BVwG 26.03.2024, W137 2241630-1

Einem Kreditinstitut wurde von der DSB eine Geldbuße iHv EUR 4 Mio und ein Kostenbeitrag von EUR 400.000 auferlegt, weil eine Mitarbeiterin versehentlich eine E-Mail samt Excel-Liste verschickte, in der personenbezogene Bankdaten von ca 5970 Kunden enthalten waren. Dies erfolgte unter Verletzung interner Arbeitsanweisungen zur E-Mailkultur. Zuständig für die Verbreitung der Liste waren die Filialleiterin und die Mitarbeiterin, die den E-Mail-Versand durchführte. Das BVwG wies die Bescheidbeschwerde des Kreditinstituts mit der Maßgabe ab, dass die Geldbuße auf EUR 50.000 und der Kostenbeitrag auf EUR 5.000 herabgesetzt wird.

Das BVwG hat erwogen: Eine juristische Person kann Beschuldigte in einem Verwaltungsstrafverfahren sein, ohne dass die Datenschutzverletzung zuvor einer natürlichen Person aus dem Kreis des Unternehmens zuzurechnen ist. Eine Strafbarkeit gemäß Art 83 DSGVO erfordert Vorsatz oder Fahrlässigkeit, nicht aber eine Handlung oder die Kenntnis des Leitungsorgans. Die entsprechenden nationalen Regelungen des § 9 VStG und § 30 DSG sind daher nicht anzuwenden.

Unternehmen haften im Rahmen des Art 83 DSGVO für Datenschutzverstöße ihrer Beschäftigten, sofern diese nicht im Exzess handeln. Ein allfälliger Exzess ist auszuschließen, weil die Mitarbeiterin die Datenverarbeitung im Rahmen ihres Arbeitsverhältnisses und im Interesse des Kreditinstituts durchführte. Die Verantwortung für die Konfiguration und Absicherung der Daten lag bei den Leitungsorganen des Kreditinstituts. Letzteres entscheidet allein und mit Entscheidungsgewalt über die wesentlichen Aspekte der Zwecke und Mittel der Verarbeitung, ua durch Weisungen, weshalb das Kreditinstitut Verantwortlicher gemäß Art 4 Z 7 DSGVO ist. Das Verwaltungsstrafverfahren wurde somit gegen die korrekte Beschuldigte geführt.

Insgesamt verstieß der Versand der E-Mails samt Anhang gegen Art 5 Abs 1 lit f und Art 32 DSGVO und erfüllte den Straftatbestand des Art 83 Abs 4 lit a DSGVO. "State of the art" wäre eine vollständig pseudonymisierte Kundendatei gewesen, die unabhängig von einer zusätzlichen Verschlüsselung bei Verlust keine Verbindung zu konkreten Personen durch Dritte ermöglicht. Indem das Kreditinstitut eine nicht vollständig pseudonymisierte Excel-Liste für Arbeitsprozesse zur Verfügung stellte, die technisch problemlos in eine Massen-E-Mail exportiert werden konnte, handelte es leicht fahrlässig. Dass ein solcher Export grundsätzlich untersagt war, steht der leichten Fahrlässigkeit nicht entgegen, weil eine unbeabsichtigte Offenlegung einer Datei, die regelmäßig in Arbeitsprozessen verwendet wird, als potenzielles Risiko nicht ausgeschlossen werden kann.

Für den Strafrahmen ist mangels Vorliegens einer wirtschaftlichen Einheit mit der Muttergesellschaft nur das Betriebsergebnis des Kreditinstituts als hundertprozentige Tochter heranzuziehen. Unabhängig von der Beteiligungshöhe der Muttergesellschaft ist eine wirtschaftliche Einheit nicht anzunehmen, wenn das Kreditinstitut eigenständig am Markt auftritt und selbstbestimmt handelt. Das Kreditinstitut ist mit einer eigenen Führungsebene bis hin zu einem Vorstand ausgestattet, ihr sind die relevanten Geschäftszweige selbst überlassen und es besteht ein gesondertes Filialnetz, das auch personell durch das Kreditinstitut selbst geführt wird. Zudem bewahren die einzelnen Tochtergesellschaften unabhängig von der Muttergesellschaft ein eigenständiges Auftreten auf dem Markt. Neben einem gemeinsamen Datenschutzbeauftragten im Bereich des Datenschutzes sind verantwortliche Beauftragte auf Filialebene installiert. Weiters war Auslöser des Verfahrens ein individueller Fehler auf Filialebene iVm einer nicht pseudonymisierten Datei, die ein eigenes Produkt des Kreditinstituts war und somit allein die Filialebene betraf.

Praxistipp: Auch für den internen Gebrauch bestimmte Excel-Dateien mit Kunden- oder Mitarbeiterdaten sollten nach Möglichkeit pseudonymisiert oder mit Passwort geschützt werden.

BVwG 11.03.2024, W252 2271937-1

Ein "Ungeimpfter" erhielt ein COVID-19-Impferinnerungsschreiben. In der Kopf- und Fußzeile des Schreibens waren die Logos mehrerer Körperschaften öffentlichen Rechts abgebildet. Der Ungeimpfte erhob eine auf Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde gegen den vermeintlichen Verantwortlichen. Die DSB leitete parallel ein amtswegiges Prüfverfahren ein und stellte die datenschutzrechtliche Verantwortlichkeit hinsichtlich eines anderen Verantwortlichen fest. Dieses Ermittlungsergebnis übertrug die DSB auf die Datenschutzbeschwerde des Ungeimpften. Die DSB stellte einen unrechtmäßigen Zugriff auf die Daten des Ungeimpften im zentralen Impfregister sowie im zentralen Patientenindex – durch den im amtswegigen Prüfverfahren identifizierten Verantwortlichen – fest. Der dagegen erhobenen Bescheidbeschwerde gab das BVwG statt.

Das BVwG hat erwogen: Eine Datenschutzbeschwerde kann grundsätzlich nur dann erfolgreich sein, wenn der bezeichnete Beschwerdegegner tatsächlich für die Datenverarbeitung verantwortlich ist. Dies gilt jedoch nur unter der Prämisse, dass die Bezeichnung des richtigen Beschwerdegegners zumutbar ist. Indem das Impferinnerungsschreiben von zwei verschiedenen Stellen unterfertigt wurde und die Logos von vier verschiedenen Krankenkassen enthielt, war dem Ungeimpften die korrekte Bezeichnung des Beschwerdegegners unzumutbar. Es oblag diesfalls der DSB, im Rahmen der Ermittlung der materiellen Wahrheit festzustellen, wer vom möglichen Personenkreis tatsächlich über Zweck und Mittel der Datenverarbeitung bestimmt hat. Die DSB hat jedoch die falsche Stelle als Beschwerdegegnerin und damit als Verantwortliche bestimmt. Dadurch führte die DSB das Verfahren gegen eine Stelle, die vom Rechtsschutzantrag des Ungeimpften nicht umfasst war. Aus diesem Grund war der Bescheid ersatzlos zu beheben.

Wird ein Sachverhalt sowohl von einem Betroffenen als auch von der DSB aufgegriffen, um in einem Verfahren überprüft zu werden, führt dies zu keiner res iudicata.

BVwG 24.01.2024, W176 2265906-1

Ein den Sozialversicherungsträgern zugehöriges Unternehmen durchsuchte auf Grund des Verdachts eines innerbetrieblichen Verstoßes gegen Verschwiegenheitspflichten, nach der Veröffentlichung vertraulicher Sitzungsprotokolle, sämtliche E-Mail-Konten und Postfächer seiner rund 6.000 Mitarbeiter auf Nachrichtenübermittlungen im Zeitraum vom 30.07.2020 bis 15.08.2020 an eine spezielle Domain. Dabei sind Protokolldaten des E-Mail-Systems ausgewertet worden, die Inhalte der einzelnen Mails wurden nicht ausgewertet.

Mitglieder des Betriebsrats des Unternehmens meinten, dass diese Kontrollmaßnahme gegen das Recht auf Geheimhaltung verstoßen hat. Die Ergebnisse der Recherche seien zu vernichten. Gegen das Vorgehen des Unternehmens brachten die Mitglieder des Betriebsrats, die selbst betroffen waren, Datenschutzbeschwerde bei der DSB ein. Das Unternehmen brachte vor, dass die Überwachungsmaßnahme datenschutzkonform an das Modell der stufenweisen Kontrollverdichtung angelehnt war und die Auswertung eine Vorbereitungshandlung für die Geltendmachung bzw Abwehr von Rechtsansprüchen gewesen ist. Auch bestünde ein Interesse des Unternehmens daran, die Rechtmäßigkeit der durch die Mitarbeiter stattfindende Verarbeitung personenbezogener Daten zu überprüfen. Die DSB gab der Datenschutzbeschwerde der Mitglieder des Betriebsrats statt und stellte eine Verletzung ihres Geheimhaltungsrechts fest. Der Antrag auf Vernichtung der Ergebnisse der Datenrecherche wurde zurückgewiesen. Gegen den Bescheid der DSB brachte das Unternehmen eine (erfolglose) Bescheidbeschwerde beim BVwG ein.

Das BVwG hat erwogen: Das Unternehmen war bei der Durchführung der Überwachungsmaßnahme nicht hoheitlich tätig, sondern handelte im Rahmen der Privatwirtschaftsverwaltung. Daher durfte das Unternehmen grundsätzlich zur Wahrung seiner berechtigten Interessen personenbezogene Daten verarbeiten (Art 6 Abs 1 lit f DSGVO). Das Unternehmen hatte ein berechtigtes Interesse an der Aufklärung einer möglichen Dienstpflichtverletzung durch seine Mitarbeiter und an der Wahrung von Geschäftsgeheimnissen. Die Verarbeitung der Daten von 6.000 Mitarbeitern war jedoch nicht erforderlich. Das Unternehmen hat keine Einschränkung auf bestimmte Personenkreise oder Zeiträume vorgenommen. Seine Vorgehensweise entsprach somit nicht dem Modell der stufenweisen Kontrollverdichtung.

Zudem war die Durchsuchung der Logfiles für den maßgeblichen Zeitraum technisch nicht mehr möglich. Die Kontrollmaßnahme war daher nicht geeignet, die Weiterleitung des Protokolls an die spezielle Domain aufzuspüren. Das Unternehmen hat somit gegen den Grundsatz der Datenminimierung verstoßen (Art 5 Abs 1 lit c DSGVO). Darüber hinaus hat das Unternehmen gegen die Betriebsvereinbarung verstoßen, indem sie die örtlichen Betriebsratskörperschaften in die geplante Datenverarbeitung nicht involviert hat. Die durchgeführte Kontrollmaßnahme war daher nicht rechtmäßig.

BVwG 09.01.2024, W211 2262321-1

Die Patientin einer medizinischen Anstalt, welche gleichzeitig Arbeitnehmerin der Anstalt war, erhob eine Datenschutzbeschwerde bei der DSB, weil verschiedene Personen unbefugt auf ihre im elektronischen Patientendokumentationssystem gespeicherten Daten zugegriffen haben sollen. Zudem brachte die Patientin eine Datenschutzbeschwerde gegen die DSB selbst ein und gab vor, dass diese im Verfahren unzulässigerweise Stellungnahmen von einer nicht berechtigten Person entgegennahm. Nachdem die DSB die gegen sie gerichtete Datenschutzbeschwerde abwies, brachte die Patientin eine erfolglose Bescheidbeschwerde und in weiterer Folge eine außerordentliche Revision beim BVwG ein. Die Leiterin der zuständigen Gerichtsabteilung des BVwG leitete die Revision im Verfahren gegen die DSB auch Dritten, nämlich dem Arbeitgeber der Patientin und dessen Rechtsvertreter, weiter. Daraufhin erhob die Patientin eine Beschwerde gemäß Art 130 Abs 2a B-VG gegen das BVwG, weil sie sich durch das Handeln der Leiterin in ihrem Geheimhaltungsrecht verletzt fühlte.

Das BVwG hat erwogen: Die Leiterin der Gerichtsabteilung ist ein Rechtssprechungsorgan des BVwG. Das BVwG handelte bei der Zustellung der außerordentlichen Revision in Ausübung seiner justiziellen Tätigkeit. Die Zustellung der Revision an den Arbeitgeber und dessen Rechtsvertreter erfolgte aufgrund eines fehlerhaften Eintrags in der elektronischen Verfahrensadministration des BVwG, der diesen fälschlicherweise als Verfahrenspartei führte. Die außerordentliche Revision enthielt personenbezogene Daten der Patientin, wie zB ihren Namen, ihre Adresse, sowie Gesundheitsdaten. Festzuhalten ist, dass die dem Arbeitgeber unzulässigerweise übermittelten Daten diesem bereits aus dem Dienstverhältnis und der Behandlung in seiner Anstalt bekannt waren. Dennoch ist die Zustellung eine datenschutzrechtliche Verarbeitung iSd Art 4 Z 2 DSGVO, die nicht durch eine Rechtsgrundlage nach Art 6 oder 9 DSGVO gerechtfertigt war. Die Patientin wurde daher in ihrem Recht auf Geheimhaltung verletzt, weshalb der Beschwerde stattzugeben war.

Anm: Das BVwG entscheidet über Beschwerden gemäß Art 130 Abs 2a B-VG in einem Richtersenat, der aus drei Berufsrichtern besteht.

BVwG 19.03.2024, W287 2239852-1

Ein Arbeitnehmer (AN) erhob Datenschutzbeschwerde bei der DSB und brachte darin vor, dass ihm sein Arbeitgeber (AG) unvollständig Auskunft über die ihn betreffenden personenbezogenen Daten erteilt hätte. Er brachte ua vor, dass die beantragten Daten für ein zivilgerichtliches Verfahren gegen seinen AG entscheidend wären. Die DSB gab der Datenschutzbeschwerde teilweise statt und stellte fest, dass der AG den AN in seinem Recht auf Auskunft verletzt hat. Ein Anspruch auf Herausgabe ganzer Dokumente hätte gemäß Art 15 Abs 3 DSGVO jedoch nicht bestanden und auch die Herausgabe von Unterlagen für zivilgerichtliche Verfahren sei von der DSGVO nicht gedeckt. Daraufhin erhob der AN eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die DSB trug dem AG in ihrem Bescheid auf, eine ergänzende Auskunft an den AN zu erteilen. Die in diesem Beschied festgestellte Unvollständigkeit der erteilten Auskunft ist nicht Gegenstand des Verfahrens vor dem BVwG.

Darüber hinaus stellte der AN bloß zwei eingeschränkte Auskunftsersuchen an den AG. Die Vollständigkeit der erteilten Auskunft ist anhand dieser Ersuchen zu beurteilen. Die vom AN vorgebrachte Unvollständigkeit zielt auf Daten ab, die nachweislich nicht im Personalakt gespeichert werden und nicht vom Auskunftsersuchen des AN umfasst sind. Vor diesem Hintergrund liegt keine Unvollständigkeit vor.

Ein Anspruch auf Erhalt einer Dokumentenkopie besteht nur, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Rechte zu ermöglichen. Neben dem Auskunftsrecht besteht kein zusätzliches Recht auf Kopien von Auszügen aus ganzen Dokumenten oder Datenbanken.

BVwG 22.03.2024, W287 2273049-1

Das Interesse des Vermächtnisnehmers, seine Rechte als Nachlassgläubiger zu sichern, überwiegt dem Geheimhaltungsinteresse des Alleinerben, sofern die Ausführungen des Vermächtnisnehmers abstrakt geeignet sind, seinen rechtlichen Standpunkt zu stützen. Daran ändert es auch nichts, wenn der beim Verlassenschaftsgericht ursprünglich gestellte Antrag wieder zurückgezogen wird. Zudem hielt das BVwG in dieser Entscheidung fest, dass Rechtsanwälte und Gerichtssachverständige datenschutzrechtlich Verantwortliche sind.

BVwG 19.03.2024, W287 2249380-1

Der Umfang der Auskunftserteilung wird durch den Zeitpunkt der Antragstellung bestimmt. Ist ein konkreter Auskunftsgegenstand vom Spruch des angefochtenen Bescheides nicht umfasst, ist dem BVwG ein Ausspruch über diesen – neu vorgebrachten – Auskunftsgegenstand verwehrt. Wird eine zunächst unvollständige Auskunft durch eine ergänzende Auskunft vervollständigt, ist der Auskunftswerber in seinem Auskunftsrecht nicht mehr verletzt. Ein Recht auf Feststellung vergangener und inzwischen behobener Rechtsverletzungen besteht nicht.

BVwG 25.03.2024, W150 2288580-2

Rechtsanwälte haben Schriftsätze – sofern beim Gericht eingerichtet – über eine spezielle Software, dem Elektronischen Rechtsverkehr (ERV), einzubringen. Die Einbringung eines Schriftsatzes mittels ERV entspricht im Gegensatz zu den unsicheren Übermittlungsformen von E-Mail und Fax den Anforderungen der Datensicherheit nach Art 32 DSGVO.

Anm: Diese Aussage des BVwG mag zutreffen. In seiner Gesamtheit ist der Beschluss des BVwG jedoch nicht nachvollziehbar. Das BVwG wirft einem Rechtsanwalt vor, kein ERV verwendet zu haben, obwohl beim BVwG für Rechtsanwälte ERV vorgeschrieben ist. Der Rechtsanwalt brachte sein Rechtsmittel jedoch (richtig) bei der erstinstanzlichen Verwaltungsbehörde ein, wo kein ERV eingerichtet war und daher auch nicht verwendet werden konnte.

BVwG 19.03.2024, W252 2271599-1

Die Zurückziehung der Datenschutzbeschwerde während des anhängigen Beschwerdeverfahrens bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Bescheids und damit nachträglich die Rechtswidrigkeit des Bescheids. Das Verwaltungsgericht hat in einem solchen Fall den Bescheid der DSB ersatzlos zu beheben.

BFG 05.04.2024, RV/7100792/2023

Ein Bescheid bedarf gemäß § 96 Abs 2 BAO weder einer Unterschrift noch einer Beglaubigung, wenn er elektronisch ausgefertigt und mit einer Amtssignatur versehen ist. Das Anbringen einer DVR-Nummer ist im Jahr 2022 weder geboten noch möglich, weil die Datenverarbeitungsregister-Verordnung mit 24.05.2018 außer Kraft trat. Aus dem erfolgreichen Anbringen einer qualifizierten elektronischen Amtssignatur ist zu schließen, dass die Ausfertigung mittels automationsunterstützter Datenverarbeitung erstellt wurde und somit iSd § 96 Abs 2 BAO rechtlich in Existenz getreten ist.

LVwG NÖ 25.01.2024, LVwG-S-2489/001-2023

Nach dem Bundesstatistikgesetz kann jede (natürliche) Person zur Auskunft verpflichtet werden (Auskunftspflichtige). Wird für statistische Erhebungen eine Befragung der Auskunftspflichtigen angeordnet, sind die Auskunftspflichtigen zur Auskunftserteilung über jene Daten, die Erhebungsmerkmal der angeordneten statistischen Erhebung sind, verpflichtet. Wer die Auskunftserteilung verweigert, begeht eine Verwaltungsübertretung, die mit einer Geldstrafe bis zu EUR 2.180 zu bestrafen ist.

DSB 05.11.2020, 2020-0.714.215

Das AMS übermittelte bei der Abwicklung der Leistungserbringung nach dem Arbeitslosenversicherungsgesetz der Bank eines Arbeitslosen ua dessen Sozialversicherungsnummer. In die Übermittlung seiner Sozialversicherungsnummer willigte der Arbeitslose nicht ein. Die DSB wies die wegen Verletzung im Recht auf Geheimhaltung eingebrachte Datenschutzbeschwerde ab.

Die DSB hat erwogen: Das AMS ist ein Dienstleistungsunternehmen des öffentlichen Rechts zur Durchführung der Arbeitsmarktpolitik des Bundes. Es handelt sich um eine staatliche Behörde iSd § 1 Abs 2 DSG. Die Sozialversicherungsnummer ist als personenbezogenes Datum zu qualifizieren, an dem grundsätzlich ein schutzwürdiges Geheimhaltungsinteresse besteht. Im Geschäfts- und Behördenverkehr dient die Sozialversicherungsnummer regelmäßig als Identifikator.

Behördliche Eingriffe in das Grundrecht auf Datenschutz dürfen nur auf Basis einer hinreichend determinierten Rechtsgrundlage erfolgen. Nach § 25 Abs 1 AMSG ist das AMS zur Verarbeitung der Sozialversicherungsnummer insoweit ermächtigt, als diese zur Erfüllung der gesetzlichen Aufgaben eine wesentliche Voraussetzung bildet. Die Abwicklung der Auszahlung aus der Arbeitslosenversicherung ist eine gesetzliche Aufgabe des AMS. Die Verwendung der Sozialversicherungsnummer bei Zahlungsanweisungen im Zusammenhang mit Leistungen aus der Arbeitslosenversicherung dient dem AMS zur ordnungsgemäßen und richtigen Zuordnung der Leistung zum jeweiligen Leistungsempfänger. Für den durchschnittlichen Arbeitslosen ist nachvollziehbar, dass das AMS Daten wie die Sozialversicherungsnummer zwangsläufig verarbeiten muss. Zudem kann es aufgrund des großen Arbeitsaufkommens auf Seiten des AMS zu Leistungsrücklaufverfahren kommen, die eine eindeutige Identifizierung der Leistungsempfänger – auch aus buchhalterischen Gründen – voraussetzen.

Da aus der Sozialversicherungsnummer keine Rückschlüsse auf den körperlichen oder geistigen Gesundheitszustand einer Person möglich sind, ist die Sozialversicherungsnummer kein Gesundheitsdatum und somit kein besonders schutzwürdiges Datum iSd Art 9 Abs 1 DSGVO.

Am 25.04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Gegenstand des Verfahrens sind Erlaubnistatbestände des Art 6 DSGVO, der Grundsatz der Datenminimierung sowie die Verarbeitung sensibler Daten.

Am 30.04.2024 wird das Urteil des EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, verkündet. Der EuGH wird über (i) die Zulässigkeit des Zugangs einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdienste aufbewahrten Daten, (ii) die Auslegung des Begriffs "schwere Kriminalität" sowie (iii) die Aufbewahrungsfrist von 24 Monaten ab dem Zeitpunkt der Kommunikation entscheiden.

Am 30.04.2024 wird das Urteil des EuGH in der Rs C-470/21, La Quadrature du Net II, verkündet. Der EuGH wird über die Rechtsnatur von Identitätsdaten, die einer IP-Adresse zugeordnet sind, entscheiden.

Am 07.05.2024 wird das Urteil des EuGH in der Rs C-115/22, NADA, verkündet. Die Unabhängige Schiedskommission in Wien befragt den EuGH zur Zulässigkeit der Veröffentlichung des Namens einer Person, die einen Dopingverstoß begangen hat.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

EuGH Schlussanträge 11.04.2024, C-768/21, Land Hessen

Der Kunde einer Bank erfuhr, dass eine Bankmitarbeiterin mehrmals unbefugt auf seine Daten zugegriffen hat. Daraufhin beschwerte er sich bei der zuständigen Aufsichtsbehörde, weil er keine Benachrichtigung gemäß Art 34 DSGVO erhielt. Die Mitarbeiterin gab die Daten des Kunden jedoch an keinen Dritten weiter und sie verwendete die Daten auch nicht zum Nachteil des Kunden. Zudem ergriff die Bank Disziplinarmaßnahmen gegen die Mitarbeiterin. Die Aufsichtsbehörde verneinte eine Verletzung der Benachrichtigungspflicht, weil kein hohes Risiko für den Kunden ersichtlich war. Das vorlegende Gericht fragte den EuGH, ob die Aufsichtsbehörde bei Feststellung einer Verletzung der Betroffenenrechte stets verpflichtet ist, gemäß Art 58 Abs 2 DSGVO einzuschreiten und Abhilfemaßnahmen zu ergreifen.

Der Generalanwalt hat erwogen: Aufsichtsbehörden sind verpflichtet, sich mit Beschwerden nach Art 77 DSGVO zu befassen und diese mit aller gebotenen Sorgfalt zu bearbeiten. Sofern eine Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten feststellt, ist sie aufgrund des Legalitätsprinzips verpflichtet, einzuschreiten und die am besten geeigneten Abhilfemaßnahmen zur Behebung des Verstoßes zu ermitteln. Hinsichtlich der Frage, wie die Aufsichtsbehörde in den konkreten Fällen zu handeln hat, kommt ihr ein Handlungsspielraum zu. Sie hat unter Berücksichtigung der Geeignetheit, Erforderlichkeit und Verhältnismäßigkeit die am besten geeigneten Abhilfemaßnahmen zu ermitteln. Der den Aufsichtsbehörden zuerkannte Ermessensspielraum umfasst aber auch die Möglichkeit, keine der in Art 58 Abs 2 DSGVO genannten Abhilfemaßnahmen zu ergreifen, wenn die besonderen Umstände im konkreten Einzelfall dies rechtfertigten. Etwa, wenn das Problem bereits gelöst oder bewältigt ist, oder wenn der Grad der Verwerflichkeit des Verhaltens des Verantwortlichen offensichtlich gering ist. Auch ist es möglich, dass geringfügige Verstöße durch andere, vom Verantwortlichen selbst ergriffene Maßnahmen behoben werden können. Betroffenen kommt im Hinblick auf Art 58 Abs 2 DSGVO kein subjektives Recht zu, bestimmte Maßnahmen zu verlangen. Das Verhängen einer Geldbuße ist nicht in allen Fällen zwingend erforderlich und kann bei geringfügigen Verstößen durch eine Verwarnung ersetzt werden. Das heißt, dass die Beschwerden stets zu prüfen sind, die Entscheidung der heranzuziehenden Abhilfemaßnahmen jedoch im Ermessen der Aufsichtsbehörde liegt.

EuGH 11.04.2023, C-741/21, juris

Ein Rechtsanwalt war Kunde der Rechtsdatenbank juris und erhielt trotz eingelegten Widerspruchs mehrfach Werbeschreiben von juris. Daher klagte er Schadenersatz für den Verlust der Kontrolle über seine Daten ein. Das vorlegende Gericht befragte den EuGH zum Begriff des immateriellen Schadens, zur Haftungsbefreiung des Verantwortlichen, zur Bemessung des Schadenersatzes und zur Berücksichtigung mehrfacher Verstöße gegen die DSGVO.

Der EuGH hat erwogen: Der bloße Verstoß gegen Bestimmungen der DSGVO ist kein Schaden. Ein Schaden setzt kumulativ voraus: (i) den tatsächlichen Eintritt eines Schadens, (ii) einen Verstoß gegen eine DSGVO-Bestimmung und (iii) einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Der Nachweis des DSGVO-Verstoßes und des dadurch entstandenen Schadens obliegt der betroffenen Person. Die Beweislast, dass kein Kausalzusammenhang zwischen Schaden und Pflichtverletzung besteht, trifft den Verantwortlichen.

Der Verantwortliche kann sich nicht dadurch von seiner Haftung befreien, dass er sich auf die Fahrlässigkeit oder das Fehlverhalten einer ihm unterstellten Person beruft. Der Verantwortliche hat sicherzustellen, dass ihm unterstellte Personen im Einklang mit seinen Weisungen Daten verarbeiten und hat sich zu vergewissern, dass seine Weisungen korrekt ausgeführt werden. Eine Haftungsbefreiung des Verantwortlichen kommt dann in Betracht, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der Verletzung der ihm obliegenden Datenschutzpflichten und dem der betroffenen Person entstandenen Schaden gibt. Der Nachweis allein, dass der Verantwortliche den ihm unterstellten Personen Weisungen erteilt hat, genügt für die Haftungsbefreiung nicht.

BVwG 20.02.2024, W211 2261811-1

Die langjährige Kundin einer Kreditkartenanbieterin informierte diese über eine Adressänderung und legte dabei einen anderen Reisepass eines EU-Mitgliedstaates vor, als sie noch bei der Beantragung der Kreditkarte vorgelegt hatte. Die Kreditkartenanbieterin forderte im Sinne ihrer Sorgfaltspflichten nach dem Finanzmarkt-Geldwäschegesetz (FM-GwG) die Einkommens-, Konto- und Steuerunterlagen der Kundin an und erklärte die Karte mangels Konnexes der Kundin zu Österreich für ungültig. Die Kundin erachtete sich in ihrem Recht auf Geheimhaltung verletzt. Die DSB gab der Datenschutzbeschwerde statt, weil es keine Hinweise oder Indizien gegeben hätte, wonach bei der Kundin ein Risiko im Zusammenhang mit Geldwäsche und Terrorismusfinanzierung vorliegen würde und somit kein Anlass für eine Aktualisierung der Unterlagen zur Mittelherkunft bestanden hätte. Gegen diesen Bescheid erhob die Kreditkartenanbieterin Bescheidbeschwerde, der das BVwG stattgab.

Das BVwG hat erwogen: Die Datenverarbeitung nach dem FM-GwG zu Zwecken der Verhinderung von Geldwäsche und Terrorismusfinanzierung ist eine Angelegenheit des öffentlichen Interesses iSd Art 6 Abs 1 lit e DSGVO. Nach dem FM-GwG treffen die Kreditkartenanbieterin gegenüber ihren Kunden bestimmte Sorgfaltspflichten, die auch die Einholung und Überprüfung von Informationen über die Herkunft der eingesetzten Mittel umfassen. Diese Sorgfaltspflichten sind gemäß § 7 Abs 6 FM-GwG nicht nur auf neue, sondern risikoorientiert auch auf bestehende Kunden anzuwenden. Gemäß § 8 FM-GwG ist bei Kunden mit niedrigem Risiko eine anlassfallbezogene Datenaktualisierung ausreichend. Zur Einhaltung der Sorgfaltspflichten und der Einstufung von Kunden als Niedrigrisikokunden treffen die Kreditkartenanbieterin gegenüber der FMA bestimmte Nachweis- und Dokumentationspflichten, an deren Nichteinhaltung Verwaltungsstrafen geknüpft sind. Die Kreditkartenanbieterin steht somit in einem Spannungsverhältnis zwischen ihren Pflichten aus der Geldwäsche- und Terrorismusfinanzierungsprävention und sonstigen rechtlichen Pflichten, wie dem Datenschutz.

Die Durchführung der Datenaktualisierung in Bezug auf die Mittelherkunft durch Anforderung von Einkommens-, Konto- und Steuerunterlagen war verhältnismäßig, weil bei der Kundin seit Aufnahme der Geschäftsbeziehung keinerlei Datenaktualisierung vorgenommen wurde, sie mehrfach den Wohnsitz wechselte und bei der Bekanntgabe der Adressänderung einen anderen Reisepass als bei der Eröffnung der Geschäftsbeziehung vorlegte. Das Vorgehen der Kreditkartenanbieterin war daher nicht exzessiv.

Die Kreditkartenanbieterin kann sich auch nicht von ihren Verpflichtungen im Zusammenhang mit den durch sie vorgenommenen Transaktionen entziehen, indem sie auf die von einer anderen Bank für andere Dienstleistungen wahrzunehmenden Sorgfaltspflichten verweist, weil sie selbst dem FM-GwG unterliegt.

BVwG 18.01.2024, W137 2263970-1

Der Arbeitgeber eines Koches nutzte ein biometrisches System (Handvenenscanner) zur Erfassung der Arbeitszeit. Darüber hinaus wurde die Arbeitsstätte mit 29 Kameras überwacht und die Aufnahmen wurden länger als 72 Stunden gespeichert. Der Koch willigte beim Abschluss des Dienstvertrages in die Systemnutzung ein. Über die Widerrufmöglichkeit wurde er nicht informiert. Ein Betriebsrat war nicht eingerichtet. Der Koch erhob Datenschutzbeschwerde an die DSB. Die DSB gab der Datenschutzbeschwerde teilweise statt und stellte eine Verletzung im Recht auf Geheimhaltung bezüglich des Handvenenscanners und zweier Videokameras fest. Das BVwG wies die dagegen gerichtete Bescheidbeschwerde des Arbeitsgebers grundsätzlich ab, behob jedoch den Leistungsauftrag der DSB, wonach die Kameras zu kennzeichnen waren, weil der Arbeitgeber diesem Auftrag zwischenzeitlich entsprach.

Das BVwG hat erwogen: Die Verarbeitung sensibler Daten darf mit ausdrücklicher Einwilligung gemäß Art 9 Abs 2 lit a DSGVO erfolgen, eine konkludente (schlüssige) Einwilligung ist ausgeschlossen. Der Begriff "ausdrücklich" bezieht sich auf die Art und Weise, in der die Zustimmung der betroffenen Person ausgedrückt wird. Eine schriftliche Erklärung ist jedenfalls ausdrücklich. Das Koppelungsverbot dient dem Zweck, die freie Willensbetätigung der Betroffenen zu schützen. Faktisch erzwungene Einwilligungserteilungen sollen damit verhindert werden. Eine Einwilligung ist nicht freiwillig, wenn die betroffene Person keine andere Wahl hat, als der Datenverarbeitung zuzustimmen, um in den Genuss einer vertraglichen Leistung zu kommen. Hat die Betroffene keine wirkliche Wahl, fühlt sie sich zur Einwilligung gedrängt oder muss sie bei Verweigerung der Einwilligung negative Auswirkungen erdulden, ist die Einwilligung ungültig. Dies trifft im Beschäftigungskontext oft zu, weil ein Ungleichgewicht der Macht aufgrund der Abhängigkeit aus dem Dienstverhältnis gegeben ist.

Die §§ 12 und 13 DSG regeln speziell die Bildverarbeitung und sind grundsätzlich mangels unionsrechtlicher Grundlage nicht anzuwenden. Dies gilt für § 12 Abs 4 Z 2 DSG nicht, weil dessen Legitimität auf die spezifische Ermächtigung des Art 88 Abs 1 iVm Art 6 Abs 1 DSGVO gestützt werden kann. Nach § 12 Abs 4 Z 2 DSG ist die Bildaufnahme zum Zweck der Kontrolle von Arbeitnehmern unzulässig. Da die DSGVO keine speziellen Regelungen zu Bildaufnahmen vorsieht, ist diese Einschränkung zulässig, weil sich diese ausschließlich auf das Arbeitsrecht bezieht und nach Art 88 DSGVO für den Bereich des Arbeitsrechts eine Öffnungsklausel besteht. Die Kameras waren zwar nicht zu Kontrollzwecken der Arbeitnehmer installiert. Mit beiden zu beurteilenden Kameras war die Datenverarbeitung jedoch nicht erforderlich, weil weniger eingriffsintensive Maßnahmen hätten gesetzt werden können.

Das BVwG hat in seine Entscheidung alle Veränderungen bis zum Zeitpunkt der Erkenntniserlassung miteinzubeziehen und die neue Kennzeichnung der Videokameras auf Konformität nach Art 12 und 13 DSGVO zu prüfen. Ausreichend für die Informationserteilung einer Videoüberwachung ist eine Mehrebenen-Datenschutzerklärung. Auf der ersten Ebene erfolgt dabei ein Überblick über die Informationen, die zur Verfügung stehen und ein Verweis darauf, wo auf einer zweiten Ebene weitere Informationen zu finden sind. Demnach ist eine Information mit den essenziellen Informationen des Art 13 Abs 1 DSGVO (erste Ebene) in Kombination mit einem Piktogramm und einem QR-Code / einer Webadresse, welche zu umfassenderen Datenschutzinformationen (zweite Ebene) führt als Kennzeichnung für eine Kameraüberwachung ausreichend transparent.

BVwG 28.02.2024, W292 2235435-1

Ein Bürger stellte ein Auskunftsersuchen an den Österreichischen Presserat (Presserat). Der Presserat erteilte ihm die Auskunft, dass seine personenbezogenen Daten nicht nur wegen der von ihm eingebrachten Mitteilungen betreffend potenzielle Ethikverstöße verarbeitet wurden, sondern auch anlässlich einer von Dritten eingebrachten Mitteilung. Die Übermittlung dieser Mitteilung eines Dritten verweigerte der Presserat selbst in anonymisierter Form unter Berufung auf Betriebs- und Geschäftsgeheimnisse. Die auf eine Verletzung im Recht auf Auskunft gestützte Datenschutzbeschwerde wies die DSB ab. Auch die Bescheidbeschwerde des Bürgers hatte keinen Erfolg.

Das BVwG hat erwogen: Der Presserat ist eine als Verein eingerichtete Institution zur Förderung der Pressefreiheit sowie der redaktionellen Qualitätssicherung. In diesem Zusammenhang verfügt der Verein insbesondere über Kontrolleinrichtungen und Gremien, die bei Beschwerden von Betroffenen oder bei Mitteilungen von Lesern betreffend medienethisch relevante Sachverhalte tätig werden. Die Tätigkeit des Presserats unterliegt der DSGVO, weil es sich bei diesem weder um ein Medienunternehmen noch um einen Mediendienst handelt.

Der Presserat ist seinen Informationspflichten nach Art 14 DSGVO nachgekommen, obwohl der Ausnahmegrund des unverhältnismäßigen Aufwands der Verständigung einschlägig gewesen wäre. Eine Verständigung sämtlicher Personen, die in einer Mitteilung an den Presserat genannt werden, würde nicht nur einen unbewältigbaren Aufwand für den Presserat darstellen, sondern den geordneten Verfahrensablauf nach einer Presseratsmitteilung erschweren oder verunmöglichen.

Hinsichtlich der vom Bürger geforderten Übermittlung einer Kopie der Mitteilung eines Dritten an den Presserat wurde der Bürger transparent und verständlich darüber informiert, welche Daten, zu welchem Zweck und wie lange verarbeitet werden. Die Berufung auf Geschäfts- und Betriebsgeheimnisse war zwar unzulässig, weil ein Verein ideelle Zwecke verfolgt, womit die Verarbeitung der personenbezogenen Daten nicht in einem Geschäftsbetrieb erfolgt. Ein Anspruch auf Herausgabe von (auch anonymisierten) Mitteilungen von Dritten, mögen diese auch personenbezogene Daten des Auskunftswerbers enthalten, besteht jedoch nicht. Personen, die Mitteilungen bei möglichen Verstößen gegen den Ehrenkodex des Presserates an den Presserat richten, werden naturgemäß ein erhöhtes Interesse auf vertrauliche Behandlung ihrer Eingaben haben. Der Presserat kann seiner im öffentlichen Interesse gelegenen, staatlich geförderten Kontroll- und Aufklärungsfunktion nur dann uneingeschränkt und effektiv nachkommen, wenn Daten in Mitteilungen nicht an Dritte weitergegeben werden. Die Rechte Dritter können daher auch durch Anonymisierung nicht in ausreichendem Maße gewahrt werden, sodass der Presserat die Übermittlung der Kopie der Mitteilung zurecht verweigerte.

BVwG 18.03.2024, W211 2261881-1; BVwG 18.03.2024, W211 2261903-1; BVwG 19.03.2024, W211 2261795-1¸ BVwG 19.03.2024, W211 2262126-1

Ein Amt der Landesregierung (Amt) verschickte Corona-Impferinnerungsschreiben an "Ungeimpfte". Vier der Ungeimpften brachten Datenschutzbeschwerden bei der DSB ein und behaupteten, dass der Zugriff auf ihre Daten im zentralen Impfregister und im zentralen Patientenindex zur Versendung der personalisierten Schreiben unrechtmäßig war. Die DSB gab den Datenschutzbeschwerden statt. Die dagegen gerichteten Bescheidbeschwerden des Amtes hatten keinen Erfolg.

Das BVwG hat erwogen: Die Bestimmung des § 24d Abs 2 Z 5 GTelG erlaubt eine Datenverarbeitung der im Impfregister gespeicherten personenbezogenen Daten zum Zweck des Krisenmanagements im Rahmen des Ausbruchsmanagements von anzeigepflichtigen Krankheiten nur zur Unterstützung der hoheitlichen Aufgaben im Zusammenhang mit dem Epidemiegesetz. Im Zeitpunkt der Versendung der Schreiben gab es jedoch im Epidemiegesetz keine hoheitliche Aufgabe, die die vorliegende Datenverarbeitung hätte rechtfertigen können. Die entsprechende Regelung "Erinnerung an Auffrischungsimpfungen gegen COVID-19" in § 4g EpiG ist erst nach dem Versenden der Schreiben in Kraft getreten. Somit handelte es sich bei den Impferinnerungsschreiben um keine Maßnahmen iSd § 24d Abs 2 Z 5 GTelG und die Datenverarbeitungen verletzten das Recht auf Geheimhaltung der Ungeimpften. Der Zugriff auf die Daten im zentralen Impfregister gemäß § 24f Abs 4 Z 5 GTelG ist an den Zweck des Krisenmanagements gebunden. Daher war das Amt nicht berechtigt, auf diese Daten zuzugreifen. Daraus lässt sich auch ableiten, dass auf den Patientenindex gemäß § 4 Abs 3 GTelG keine Zugriffsberechtigung vorlag.

Wird ein Auskunftsersuchen über Aufzeichnungen mit einer Videokamera gestellt, darf die Auskunft verweigert werden, wenn der Zeitraum, in dem die Aufzeichnungen erfolgt sein sollen, nicht hinreichend präzise bezeichnet wird (Datum und Uhrzeit) und zur Identifizierung des Betroffenen eine große Datenmenge zu verarbeiten wäre. Werden zum Zeitpunkt des Einlangens des Auskunftsersuchens keine Daten über den Betroffenen (mehr) verarbeitet, wird mit einer Negativauskunft der Auskunftspflicht entsprochen (BVwG 12.02.2024, W176 2247266-1).

Anm: Dieses Erkenntnis enthält (obiter dicta) eine wesentliche Präzisierung, wie mit Auskunftsersuchen wegen Videoaufzeichnungen umzugehen ist. Gemeinsam mit der oben angeführten Entscheidung (BVwG 18.01.2024, W137 2263970-1) und einer rezenten Entscheidung der DSB (DSB 04.08.2023, 2023-0.159.938) entsteht ein zunehmend klares Bild, was beim Einsatz von Videoüberwachung zu beachten ist.

Art 15 Abs 3 DSGVO räumt den Betroffenen kein eigenständiges Recht auf Kopien von Auszügen aus Dokumenten oder Datenbanken ein. Zudem ist das Auskunftsrecht als ein sehr bedeutsames, aber nur vorgelagertes Recht zu verstehen, das die Ausübung weiterer Betroffenenrechte ermöglicht (BVwG 23.02.2024, W211 2262850-2).

Eine Datenverarbeitung im Einklang mit den anzuwendenden Verfahrensgesetzen ist zulässig. Die Verpflichtung zur Beschränkung der Akteneinsicht zum Schutz personenbezogener Daten trifft nicht die Staatsanwaltschaft, sondern das zuständige Strafgericht (BVwG 23.01.2024, W108 2250843-1).

Der Grundsatz der Rechenschaftspflicht erfordert, dass der Verantwortliche nachweisen ("und dokumentieren") muss, welche Informationen der Betroffene nach Art 13 und 14 DSGVO bereits hat, wie und wann er diese erhalten hat und dass seitdem keine Änderungen an den Informationen vorgenommen wurden, die sie veraltet bzw unrichtig machen würden. Mit der nachträglichen Erteilung der Informationen wird die Beschwer jedoch beseitigt (BVwG 13.02.2024, W221 2243696-1).

Eine grenzüberschreitende Datenverarbeitung liegt nur dann vor, wenn jemand von einer Datenverarbeitung betroffen ist und dies wahrscheinlich gewisse Auswirkungen von beträchtlichem Ausmaß auf diese Person hat. Die Aufsichtsbehörden haben jeweils im Einzelfall zu bestimmen, inwieweit erhebliche Auswirkungen gegeben sind (risikobasierter Ansatz). Der durchzuführenden Abwägung liegt somit eine Prognoseentscheidung zugrunde, weil ein (auch bloß möglicher) Nachteil auf Personen anderer Mitgliedsstaaten zu berücksichtigen ist (BVwG 14.03.2024, W137 2280743-1).

Ein Auskunftsersuchen, das darauf abzielt, trotz eines aufrechten Kontaktverbots eine Kontaktmöglichkeit zum minderjährigen Sohn zu erlangen, ist exzessiv (BVwG 21.02.2024, W137 2280882-1).

Die Namen von Mitarbeitern dürfen zum Schutz ihrer nachvollziehbaren und schutzwürdigen Interessen auch bei der Akteneinsicht geschwärzt werden, sofern die Offenlegung der Namen für die effektive Rechtsverfolgung nicht von Bedeutung ist (BVwG 04.03.2024, W211 2263780-1).

Bewerbungsunterlagen dürfen für sieben Monate aufbewahrt werden. Ist im Bewerbungsformular in eine dreijährige Evidenzhaltung einzuwilligen, kann dem Arbeitssuchenden nicht vorgeworfen werden, dass er seine Einwilligung verweigert und das Beschäftigungsverhältnis deshalb nicht zustande kommt (BVwG 15.03.2024, W269 2277315-1).

Nachdem einem Löschungsersuchen entsprochen wurde, ist einem Auskunftsersuchen mit einer (eingeschränkten) Negativauskunft zu entsprechen. Stehen zur Herkunft von Daten keine Informationen zur Verfügung, besteht dennoch keine nachträgliche Erhebungspflicht (BVwG 20.03.2024, W221 2257567-1).

Die Dienstbehörde darf zur Wahrnehmung der Dienstaufsicht im Büro eines Gerichtsreferenten Nachschau halten, handschriftlich Akten der Gerichtsabteilung erfassen und Lichtbilder vom Arbeitsplatz anfertigen. Daran ändert es auch nichts, wenn die Lichtbilder auf einem privaten Mobiltelefon gespeichert werden (BVwG 23.02.2024, W108 2278709-1).

Die Datenschutzbeschwerde ist der falsche Weg, um behauptete Verletzungen des Beamtendienstgesetzes geltend zu machen (BVwG 23.02.2024, W137 2277123-1).

Im Einklang mit der ständigen Rechtsprechung behob das BVwG den Bescheid der DSB, weil darin in einem amtswegigen Prüfverfahren eine Rechtsverletzung in einem selbständigen Spruchpunkt festgestellt wurde, obwohl es hierfür keine Rechtsgrundlage gibt (BVwG 22.03.2024, W211 2213604-1).

Wer gegen einen Bescheid der DSB Bescheidbeschwerde an das BVwG erhebt, hat die Eingabegebühr iHv EUR 30 zu entrichten (BFG 19.03.2024, RV/7104071/2023).

DSB 04.01.2024, 2023-0.592.319

Ein Fußballverband speicherte auf einer öffentlichen Webseite personenbezogene Daten zu Spielern, die in seiner Liga teilnahmen. Ein seit 2019 nicht mehr aktiver Spieler ersuchte 2020 um die Löschung seiner Daten. Der Fußballverband lehnte die Löschung aufgrund der Speicherung aus Statistikgründen ab. Der Spieler brachte Datenschutzbeschwerde bei der DSB ein. Die DSB gab ihm Recht und forderte den Verband zur Datenlöschung auf, welcher dieser nicht nachkam. Daraufhin leitete die DSB ein Verwaltungsstrafverfahren gegen den Fußballverband ein.

Die DSB verhängte eine Geldstrafe in der Höhe von EUR 11.000 – zuzüglich EUR 1.100 Verfahrenskosten – gegen den Fußballverband, weil der Fußballverband (i) keine geeigneten technischen und organisatorischen Maßnahmen ergriff, um Spielerdaten gänzlich aus der Datenbank zu entfernen, (ii) dem Löschungsersuchen des Spielers nicht vollständig nachkam und (iii) die Anweisung der Datenschutzbehörde nicht befolgte, wodurch der Verband seine Rechenschafts- und Kooperationspflicht verletzte.

DSB 06.09.2023, 2022-0.858.901

In einer Mittelschule wurden in der Vergangenheit mehrmals Wertsachen des Lehrpersonals gestohlen. Zum Schutz vor (weiteren) Diebstählen, aber auch zum Schutz von Personen und vor Überfällen, installierte die Mittelschule in ihren Schulräumlichkeiten insgesamt vier Überwachungskameras. Die Videoüberwachung erfolgte sowohl während als auch außerhalb der Schulstunden. Die DSB leitete ein amtswegiges Prüfverfahren ein und stellte fest, dass die Bildverarbeitung entgegen Art 6 Abs 1 DSGVO nicht rechtmäßig erfolgte und trug der Mittelschule auf, die Videoüberwachung auf die Zeit außerhalb der Schulstunden zu begrenzen.

Die DSB hat erwogen: Bei der Mittelschule handelt es sich um eine öffentliche Pflichtschule. Verantwortliche für die gegenständliche Bildverarbeitung ist folglich eine öffentliche Stelle. Hinsichtlich der Beurteilung, ob die Videoüberwachung zu hoheitlichen Zwecken oder im Rahmen der Privatwirtschaftsverwaltung erfolgt, kommt es darauf an, ob die Videoüberwachung nur während der Nachtstunden oder auch während des Schulbetriebs erfolgt. Während des Schulbetriebs agiert die Schule als öffentliche Stelle im Rahmen der Hoheitsverwaltung. Zwar lagen im gegenständlichen Fall berechtigte Interessen iSd Art 6 Abs 1 lit f DSGVO (Eigentums- und Personenschutz) vor, doch bedarf es während des Schulbetriebes einer ausdrücklichen, hinreichend determinierten gesetzlichen Ermächtigung. Eine derartige gesetzliche Ermächtigung zur Videoüberwachung in Schulgebäuden lag weder mit § 51 Abs 3 Schulunterrichtsgesetz, wonach die Pausenaufsicht vom Lehrpersonal wahrzunehmen ist, noch mit einer anderen gesetzlichen Bestimmung vor. Eine durchgehende Videoüberwachung auf sämtlichen Gängen der Mittelschule stellt darüber hinaus nicht das gelindeste Mittel dar, zumal Kinder nach ErwGr 38 DSGVO einen besonderen Schutz ihrer personenbezogenen Daten genießen.

Die Videoüberwachung während der Nachtstunden, also außerhalb des Schulbetriebes, erfolgte hingegen zulässigerweise im Rahmen privatwirtschaftlichen Handelns und unterlag dem Hausrecht der Schule.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Gegenstand des Verfahrens sind Erlaubnistatbestände des Art 6 DSGVO, der Grundsatz der Datenminimierung sowie die Verarbeitung sensibler Daten.

Am 04.2024 wird das Urteil des EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, verkündet. Der EuGH wird über (i) die Zulässigkeit des Zugangs einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdienste aufbewahrten Daten, (ii) die Auslegung des Begriffs "schwere Kriminalität" sowie (iii) die Aufbewahrungsfrist von 24 Monaten ab dem Zeitpunkt der Kommunikation entscheiden.

Am 04.2024 wird das Urteil des EuGH in der Rs C-470/21, La Quadrature du Net II, verkündet. Der EuGH wird über die Rechtsnatur von Identitätsdaten, die einer IP-Adresse zugeordnet sind, entscheiden.

Am 05.2024 wird das Urteil des EuGH in der Rs C-115/22, NADA, verkündet. Die Unabhängige Schiedskommission in Wien befragt den EuGH zur Zulässigkeit der Veröffentlichung des Namens einer Person, die einen Dopingverstoß begangen hat.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

DSB 18.12.2023, 2023-0.594.826

Die Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) leitete eine interne Untersuchung wegen angeblicher sexueller Belästigung und Diskriminierung gegen einen Botschafter, der als Projektkoordinator für die OSZE tätig war, ein. In diese Untersuchung waren auch vier Mitarbeiter der OSZE involviert. Das Diensthandy des Botschafters wurde beschlagnahmt und forensisch ausgewertet, wobei auch gelöschte Inhalte wieder hergestellt wurden. Die ausgewertete Kommunikation zeigte kein belästigendes oder diskriminierendes Verhalten. Jedoch ergab der forensische Bericht, dass die wiederhergestellten Fotos ua Nacktheit und pornographische Inhalte enthielten. Deshalb leitete die OSZE ein weiteres Verfahren wegen Verletzung der OSCE-Codes of Conduct und anderer OSZE-Vorschriften gegen den Botschafter ein.

Das Diensthandy des Botschafters war in ein Privat- und ein Arbeitsprofil unterteilt. Aus dem Diensthandy wurden eine große Menge an Daten extrahiert, darunter auch Daten über die Intimsphäre des Botschafters und seiner Ehefrau sowie Gesundheitsdaten. Der Botschafter forderte die Löschung der erlangten Daten und Auskunft über die Empfänger dieser Daten. Die OSZE lehnte diese Anträge ab. Daraufhin erhoben der Botschafter und dessen Ehefrau eine Datenschutzbeschwerde bei der DSB gegen die OSZE sowie gegen die vier beteiligten Mitarbeiter der OSZE. Die DSB wies die Datenschutzbeschwerde hinsichtlich der vier Mitarbeiter ab und betreffend die OSZE zurück.

Die DSB hat erwogen:  Die vier Mitarbeiter handelten im Rahmen ihrer Tätigkeit für die OSZE. Ihr Verhalten ist der OSZE zuzurechnen. Eine Kompetenzüberschreitung der vier Mitarbeiter kam nicht hervor. Es ist daher von keiner datenschutzrechtlichen Verantwortlichkeit der vier als Beschwerdegegner benannten Mitarbeiter auszugehen. Verantwortliche ist nur die OSZE.

Die OSZE ist eine internationale Organisation mit Amtssitz in Wien. Eine Datenverarbeitung durch eine internationale Organisation mit Sitz in Wien fällt sachlich (Art 2 DSGVO) und räumlich (Art 3 DSGVO) in den Anwendungsbereich der DSGVO. Nach gefestigter Rechtsprechung europäischer Höchstgerichte genießen internationale Organisationen keine vollständige Immunität in ihrem Sitzstaat. Eine grundsätzliche Zuständigkeit der Gerichte und Verwaltungsbehörden des Sitzstaats besteht aber nur dann, wenn dies im Amtssitzabkommen vorgesehen oder zumindest nicht ausgeschlossen ist. Zudem hängt die Zuständigkeit dieser Gerichte und Behörden davon ab, ob bei der internationalen Organisation ein angemessener alternativer Rechtsweg eingerichtet ist.

Die internen Regelungen der OSZE zum Datenschutz sind zwar nicht vollständig mit der DSGVO vergleichbar, ermöglichen aber ein Beschwerderecht und Rechtsmittelschutz. Es liegen keine Anhaltspunkte vor, dass das Amtssitzabkommen offenkundig gegen Unionsrecht verstößt und somit nicht zur Anwendung gelangt. Die OSZE genießt daher aufgrund des Amtssitzabkommens (BGBl III 2018/84) und ihrer eigenständigen Regelungen zum Schutz personenbezogener Daten Immunität gegenüber Handlungen der DSB. Die OSZE kann vor der DSB nicht belangt werden, außer sie verzichtet auf die ihr eingeräumte Immunität.

Der Botschafter könnte gegebenenfalls durch die internen datenschutzrechtlichen Regelungen der OSZE in seinen verfassungsgesetzlich gewährleisteten Rechten verletzt worden sein. Für die Prüfung der Verfassungsmäßigkeit ist jedoch der VfGH und nicht die DSB zuständig.

DSB 09.01.2023, 2022-0.479.809

Ein österreichischer Künstler erstellte einen Wikipedia-Beitrag über sich selbst. Anschließend ist der Beitrag vom Künstler selbst, aber auch von anderen Wikipedia-Nutzern bearbeitet worden. Der Künstler war mit dem Beitrag in der auch von anderen Nutzern bearbeiteten Form nicht (mehr) einverstanden und ersuchte Wikimedia, die Betreiberin von Wikipedia, um Löschung des Beitrags. Wikimedia entsprach dem Ersuchen des Künstlers nicht und der Künstler durfte den Beitrag auch nicht in seinem Sinne vervollständigen. Deshalb brachte er Datenschutzbeschwerde bei der DSB ein, die die Datenschutzbeschwerde abwies.

Die DSB hat erwogen: Die Wikimedia hat ihren Sitz in den USA. Sie verfügt als Dachorganisation aber auch über 38 Vereine, von welchen sich mindestens einer in Österreich befindet. Auf diesen Verein ist die Domain wikipedia.at registriert und über diese Domain wird man automatisch auf die Domain de.wikipedia.org weitergeleitet. Der Wikipedia-Beitrag über den Künstler ist auf Deutsch veröffentlicht. Die DSGVO ist auf Datenverarbeitungen durch Wikimedia anzuwenden, weil Wikimedia Informationsdienstleistungen anbietet und diese auf den österreichischen Markt ausrichtet ("Marktortprinzip"). Die Unentgeltlichkeit spielt keine Rolle.

Wikimedia brachte vor, dass sie für die Verarbeitung der Daten des Beschwerdeführers nicht verantwortlich sei. Die Löschung von Wikipedia-Beiträgen werde von sog Administratoren, die aus dem Kreis der Wikipedia-Nutzer gewählt werden, durchgeführt. Für die Verantwortlicheneigenschaft ist es jedoch nicht erforderlich, dass der Verantwortliche selbst Daten verarbeitet oder auf Daten zugreift. Wikimedia verfügt über bestimmte Durchgriffsrechte und ist verantwortlich für Finanzierung, Öffentlichkeitsarbeit und diverse technische und rechtliche Aufgaben. Somit ist Wikimedia neben den Administratoren zumindest "Gemeinsam Verantwortliche".

Wikimedia ist kein Medienunternehmen. Weder hat Wikimedia einen Chefredakteur, einen Redaktionsausschuss, eine Verwaltungsstelle noch eine ähnliche Einrichtung. Wikimedia kontrolliert auch nicht, welche Beiträge von den Nutzern veröffentlicht werden. Auch eine redaktionelle Tätigkeit wird von Wikimedia nicht durchgeführt. Das Medienprivileg iSd § 9 Abs 1 DSG gelangt daher nicht zur Anwendung.

Der Wikipedia-Beitrag über den Künstler bedarf keiner Vervollständigung. Die Rechtspflicht des Verantwortlichen zur Vervollständigung besteht nur dann, wenn die hinzugefügten Informationen für den Verarbeitungsprozess tatsächlich relevant sind, um die objektive Richtigkeit der Daten zu gewährleisten. Über den Künstler ergibt sich kein unzutreffendes Bild, das durch Hinzufügen weiterer Daten korrigiert werden müsste.

Das Recht auf Löschung besteht nicht, wenn die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist. Es ist eine Interessenabwägung iSd Art 6 Abs 1 lit f DSGVO zwischen dem Interesse auf Meinungsäußerungsfreiheit und dem Interesse des Künstlers auf Geheimhaltung seiner Daten durchzuführen.

Das Interesse von Wikimedia besteht darin, eine Online-Enzyklopädie zu betreiben. Das Interesse der Allgemeinheit besteht darin, diese unentgeltlich angebotene Informationsdienstleistung in Anspruch zu nehmen. Das Geheimhaltungsinteresse des Künstlers ist gering, weil er eine Person des öffentlichen Lebens ist und die im Wikipedia-Beitrag veröffentlichten Informationen auch an anderen Stellen öffentlich verfügbar sind. Der Tatbestand des Art 17 Abs 3 lit a DSGVO ist erfüllt, weshalb Wikimedia dem Löschungsersuchen des Künstlers zu Recht nicht entsprach.

Am 04.2024 wird das Urteil des EuGH in der Rs C-741/21, juris, verkündet. Der EuGH wird über mehrere Fragen zum immateriellen Schaden entscheiden, darunter zur Erheblichkeit, zum Verschulden und zur Bemessung der Höhe des Schadenersatzes.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-768/21, Land Hessen, veröffentlicht. Gegenstand des Verfahrens ist die Frage, ob die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, stets verpflichtet ist, eine der Maßnahmen gemäß Art 58 Abs 2 DSGVO zu ergreifen.

Am 16.04.2024 wird eine mündliche Verhandlung in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission, durchgeführt. Im Wesentlichen geht es um die Frage, ob der Europäische Datenschutzausschuss (EDSA) befugt war, der irischen Aufsichtsbehörde, der Data Protection Commission, aufzutragen, eine neuerliche Untersuchung gegen Meta Platforms Ireland Limited und ihren Facebookdienst durchzuführen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Gegenstand des Verfahrens sind Erlaubnistatbestände des Art 6 DSGVO, der Grundsatz der Datenminimierung sowie die Verarbeitung sensibler Daten.

Am 04.2024 wird das Urteil des EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, verkündet. Der EuGH wird über (i) die Zulässigkeit des Zugangs einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdienste aufbewahrten Daten, (ii) die Auslegung des Begriffs "schwere Kriminalität" sowie (iii) die Aufbewahrungsfrist von 24 Monaten ab dem Zeitpunkt der Kommunikation entscheiden.

Am 04.2024 wird das Urteil des EuGH in der Rs C-470/21, La Quadrature du Net II, verkündet. Der EuGH wird über die Rechtsnatur von Identitätsdaten, die einer IP-Adresse zugeordnet sind, entscheiden.

VwGH 28.02.2024, Ro 2024/04/0001; VwGH 28.02.2024, Ro 2023/04/0032

Eine Kreditauskunftei erteilte zwei Betroffenen jeweils Auskunft ua über verschiedene Bonitätsscores. Beide Betroffene erhoben Datenschutzbeschwerde an die DSB. Die DSB gab beiden Datenschutzbeschwerden teilweise statt, weil die erteilten Auskünfte über die Bonitätsscores nach Ansicht der DSB den Vorgaben des Art 15 Abs 1 lit h DSGVO nicht entsprachen. Das BVwG gab den Bescheidbeschwerden der Kreditauskunftei statt, weil die erteilten Auskünfte nach Ansicht des BVwG – unabhängig davon, ob diese Bestimmung überhaupt anzuwenden ist – den Vorgaben des Art 15 Abs 1 lit h DSGVO entsprachen.

Gemäß Art 15 Abs 1 lit h DSGVO sind betreffend eine "automatisierte Entscheidungsfindung einschließlich Profiling" aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung zu erteilen. Der EuGH sprach aus, dass uU der von einer Kreditauskunftei errechnete Scorewert als automatisierte Entscheidungsfindung zu qualifizieren ist (EuGH 07.12.23, C-634/21, SCHUFA Holding (Scoring)). Der VwGH dürfte daher davon ausgehen, dass über die vor ihm verfahrensgegenständlichen Bonitätsscores eine Auskunft gemäß Art 15 Abs 1 lit h DSGVO zu erteilen ist.

Über ein Vorabentscheidungsersuchen des LVwG Wien ist allerdings derzeit beim EuGH die Frage anhängig, welche inhaltlichen Erfordernisse eine Auskunft über Scorewerte erfüllen muss, damit die Auskunft als ausreichend "aussagekräftig" im Sinne des Art 15 Abs 1 lit h der DSGVO einzustufen ist (C-203/22, Dun & Bradstreet Austria).

Vor diesem Hintergrund setzte der VwGH beide bei ihm anhängigen Verfahren bis zur Entscheidung des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, aus.

OLG Graz 12.02.2024, 9Bs274/23x

Die Staatsanwaltschaft Graz (StA) führte gegen hunderte Beschuldigte ein Ermittlungsverfahren wegen des Verdachts der Fälschung von Beweismitteln. Die Ermittlungsakten enthielten eine Patientenliste mit folgenden Daten: Name, Geburtsdatum, Adresse, E-Mail-Adresse und Bezahlungshinweise. Diese Liste konnte im Rahmen der Akteneinsicht von sämtlichen Mitbeschuldigten eingesehen werden. Zwei der Beschuldigten erachteten sich dadurch in ihrem Grundrecht auf Datenschutz verletzt und erhoben Einspruch wegen Rechtsverletzung. Das Landesgericht für Strafsachen Graz gab dem Einspruch nicht Folge. Der Beschwerde der beiden Einspruchswerber gegen diesen Beschluss wurde vom OLG Graz auch nicht Folge gegeben.

Das OLG Graz hat erwogen: Mittels Einspruch kann nicht nur die Verletzung ausdrücklich in der StPO eingeräumter Rechte geltend gemacht werden, sondern es fließen über § 5 Abs 1 StPO auch die Garantien der EMRK in die Bestimmung des § 106 Abs 1 StPO ein. Daher kann grundsätzlich auch wegen der Verletzung des Grundrechts auf Datenschutz Einspruch erhoben werden. Allerdings gilt das DSG bloß subsidiär gegenüber der StPO, die einen "generalisierend" wirkenden Vorrang gegenüber dem DSG hat. Nach § 74 StPO, der die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten normiert, ist nicht zu kritisieren, dass die in der Patientenliste enthaltenen Daten der Einspruchswerber von der StA zu den Akten genommen und verarbeitet wurden, weil dies zur Aufklärung von Straftaten zwingend erforderlich war. Da die Patientenliste keine hochsensiblen medizinischen Daten enthielt, wurde keine Rechtsverletzung bewirkt.

Zudem darf das verfassungsrechtlich gewährleistete Recht eines Beschuldigten, in sämtliche Ergebnisse des Ermittlungsverfahrens Einsicht zu nehmen, nur in den in § 51 Abs 1 StPO normierten Ausnahmefällen beschränkt werden, die nicht vorlagen. Im Verhältnis zu Mitbeschuldigten sieht das Gesetz in Bezug auf den Umfang der Akteneinsicht – anders als bei Opfern, Privatbeteiligten oder Privatanklägern – auch keine Interessenabwägung vor. Damit hatte die StA keine gesetzliche Grundlage dafür, die Patientenliste für Mitbeschuldigte von der Akteneinsicht auszunehmen. Durch die Gewährung der Akteneinsicht und die Weitergabe der Liste mit personenbezogenen Daten wurden die Einspruchswerber in ihren subjektiven Rechten nicht verletzt.

BVwG 21.02.2024, W137 2261065-1

Während der COVID-19-Pandemie wurden Impferinnerungsschreiben an nicht geimpfte Personen gesendet, was eine Vielzahl von Datenschutzbeschwerden bei der DSB zur Folge hatte. Ein Empfänger brachte Datenschutzbeschwerde ausdrücklich gegen eine Landesregierung ein. Die DSB änderte die Datenschutzbeschwerde jedoch nach einer Stellungnahme in einem Parallelverfahren, in welcher sich das Amt der Landesregierung (das Amt) als Verantwortlicher der Datenverarbeitung bezeichnete, dahingehend ab, dass sie das Verfahren nun gegen das Amt führte. In weiterer Folge gab die DSB der Datenschutzbeschwerde statt und begründete dies mit dem unrechtmäßigen Zugriff des Amtes auf die im Impfregister hinterlegten Daten. Gegen diesen Bescheid erhob das Amt eine Bescheidbeschwerde.

Das BVwG hat erwogen: Der Empfänger des Schreibens hatte in seiner Datenschutzbeschwerde ausdrücklich die Landesregierung als Beschwerdegegner benannt. Die DSB hingegen hat in ihrer Entscheidung jemand anderen, nämlich das Amt, als Beschwerdegegner angeführt und somit den falschen datenschutzrechtlichen Verantwortlichen herangezogen. Das Impferinnerungsschreiben wurde von der Landesregierung, der Ärztekammer sowie anderen Organen und diversen Sozialversicherungsträgern unterfertigt und enthielt keinerlei Hinweise auf das Amt. Wenn die DSB feststellt, dass der ursprünglich als Beschwerdegegner benannte nicht der Verantwortliche für die Datenverarbeitung ist, hat sie die Datenschutzbeschwerde abzuweisen. Da es der DSB nicht zusteht, den Parteiantrag einseitig abzuändern, hat sie durch die Änderung des Beschwerdegegners die "Sache" des Verwaltungsverfahrens überschritten. Auch eine Erklärung gegenüber dem Empfänger des Schreibens, dass das Verfahren gegen jemand anderen geführt wird, ändert daran nichts. Der Bescheid der DSB war daher ersatzlos zu beheben.

Eine den Verfahrensgesetzen entsprechende Verwendung personenbezogener Daten, auch wenn es sich um Gesundheitsdaten handelt, ist grundsätzlich auch aus datenschutzrechtlicher Sicht zulässig (BFG 06.01.2024, RV/7100970/2023).

Das Recht auf Auskunft gemäß Art 15 DSGVO bezieht sich nicht auf Auskunftsrechte über Daten von Dritten. Für die Behandlung einer Beschwerde wegen Verarbeitung personenbezogener Daten ist zudem nicht der Magistrat der Stadt Wien, sondern die Datenschutzbehörde zuständig (LVwG Wien 23.02.2024, VGW-101/032/11502/2023).

DSB 04.08.2023, 2023-0.159.938

Ein anonymer Hinweis informierte die DSB über ein Videoüberwachungssystem in der Wohnhausanlage einer gemeinnützigen Wohnbaugesellschaft. Daraufhin leitete die DSB ein amtswegiges Prüfverfahren ein. In der Vergangenheit hatten sich dort vermehrt Diebstähle und Sachbeschädigungen in ua Keller- und Fahrradräumlichkeiten ereignet. Zudem haben sich vermehrt hausfremde Personen in der Garage und im Stiegenhaus aufgehalten. Aufgrund dessen installierte die gemeinnützige Wohnbaugesellschaft zur Verbesserung der Sicherheit ein elektronisches Zugangssystem und eine Videoüberwachungsanlage mit 38 Videokameras, um Eigentum und Bewohner zu schützen. Die DSB stellte hinsichtlich 30 der Videokameras einen Verstoß gegen die DSGVO fest, trug der Wohnbaugesellschaft auf, den Aufnahmebereich zwei der Videokameras einzuschränken und untersagte die Datenverarbeitung mit den übrigen 28 (rechtswidrig betriebenen) Videokameras.

Die DSB hat erwogen: Eine Videoüberwachung in allgemeinen Teilen einer Liegenschaft ist als Maßnahme der außerordentlichen Verwaltung iSd § 29 Abs 1 WEG anzusehen. Daher könnte selbst bei faktischem Vorliegen eines Mehrheitsbeschlusses jeder der überstimmten Wohnungseigentümer die gerichtliche Aufhebung des Mehrheitsbeschlusses verlangen.

Als Erlaubnistatbestand kommen die Erfüllung eines Vertrages (Art 6 Abs 1 lit b DSGVO) sowie die berechtigten Interessen der Wohnbaugesellschaft, anderer Miteigentümer und Dritter (Art 6 Abs 1 lit f DSGVO) in Frage. Zwischen der Wohnbaugesellschaft und den Hausbewohnern besteht ein Bestandsvertragsverhältnis (Mietvertrag), die dauerhafte Videoüberwachung aller Bewohner bei jedem Betreten und Verlassen des Wohnobjekts ist dadurch jedoch nicht rechtfertigbar.

Die Videoüberwachung an öffentlich zugänglichen Orten zum Schutz von Personen und Eigentum ist gemäß Art 6 Abs 1 lit f DSGVO grundsätzlich zulässig, sofern bereits Rechtsverletzungen stattgefunden haben oder ein hohes Gefährdungspotenzial besteht. Der EuGH sieht den Betrieb solcher Videoüberwachungssysteme zum Eigentumsschutz als berechtigtes Interesse an. Dennoch muss jede Datenverarbeitung, einschließlich Videoüberwachung, die Grundsätze des Art 5 Abs 1 DSGVO (ua Datenminimierung) erfüllen. Die Wohnbaugemeinschaft hat gemeinsam mit der Videoüberwachung ein elektronisches Zugangssystem eingebaut. Der Zweck, hausfremde Personen vom Wohnhaus fernzuhalten, wurde bereits durch dieses gelindere Mittel erreicht.

Zwei der Kameras dienten dem Zweck, den Diebstahl von Paket- und Briefsendungen zu verhindern. Hierfür genügt es jedoch, wenn die Aufnahmebereiche der Kameras auf die Abholstationen der Post eingeschränkt werden.

Soweit die Aufnahmebereiche der Kameras die Bereiche innerhalb der Müll-, Fahrrad- und Kinderwagenabstellräume erfassen, erfolgt die Videoüberwachung zur Verhinderung von Diebstählen und Sachbeschädigungen rechtmäßig, weil gelindere Mittel (zB Attrappen) nicht geeignet sind. Soweit die Kameras jedoch die vor diesen Räumen befindlichen Gangbereiche aufzeichnen, erfolgt die Datenverarbeitung rechtswidrig.

Die komplette Überwachung von Gemeinschaftsbereichen stellt einen unverhältnismäßig schweren Eingriff in das Grundrecht auf Geheimhaltung der Bewohner bzw deren Besucher dar. Das Interesse der Bewohner und ihrer Gäste, dass ihre personenbezogenen Daten nicht bei jedem Verlassen und Betreten der Wohnungen durch Bildaufnahmen aufgezeichnet werden, wiegt schwerer als das berechtigte Interesse der Wohnbaugesellschaft am Schutz ihres Eigentums. Folglich ist die Verarbeitung personenbezogener Daten durch jene Kameras, deren Aufnahmebereiche alle Personen beim Verlassen und Betreten des Wohnobjekts erfassen, durch das berechtigte Interesse der Wohnbaugesellschaft nicht gedeckt. Anm: Die Entscheidung ist für die Praxis ein guter Leitfaden, unter welchen Voraussetzungen die DSB den Einsatz von Videoüberwachung akzeptiert. Nach ständiger Rechtsprechung des VwGH hat die DSB keine Kompetenz, in einem von Amts wegen eingeleiteten Prüfverfahren einen Verstoß gegen die DSGVO festzustellen. Weshalb die DSB dies dennoch getan hat, ist nicht nachvollziehbar und wird auch nicht begründet.

DSB 08.09.2021, 2021-0.474.768

Die berufliche Stellung eines Mitarbeiters des Bundesamtes für Verfassungsschutz und Terrorismusbekämpfung (BVT) wurde durch eine Aktenvorlage des Bundesministers für Inneres (BMI) an die Mitglieder des BVT-Untersuchungsausschusses offengelegt. Die Daten waren Teil eines als vertraulich klassifizierten Aktes. Der BVT-Mitarbeiter brachte Datenschutzbeschwerde bei der DSB ein. Die DSB stellte fest, dass der BMI durch Offenlegung der Daten gegenüber dem BVT-Untersuchungsausschuss das Recht des BVT-Mitarbeiters auf Geheimhaltung verletzte.

Die DSB hat erwogen: Art 53 Abs 3 letzter Satz B-VG normiert das Geheimhaltungsinteresse von "Quellen" und stellt somit eine Ausnahme von der sonst geltenden Vorlagepflicht an einen Untersuchungsausschuss dar. Daraus ergibt sich eine objektive Verpflichtung, die vom zuständigen Organ (hier: der BMI) einzuhalten ist. Ein subjektives Geheimhaltungsrecht des Betroffenen lässt sich aus dieser Bestimmung nicht ableiten. Werden personenbezogene Daten entgegen dieser Bestimmung vorgelegt, bewirkt diese objektive Rechtsverletzung eine Verletzung des verfassungsgesetzlich gewährleisteten und subjektiven Rechts auf Geheimhaltung gemäß § 1 DSG. Der Betroffene kann daher Datenschutzbeschwere erheben.

Beschränkungen des Grundrechts auf Datenschutz dürfen nur in der gelindesten, zum Ziel führenden Art vorgenommen werden. Der BMI bezweckte mit der Vorlage der Unterlagen den Nachweis von rational begründeten und frei von politischer Einflussnahme erfolgten personellen Maßnahmen bezüglich des BVT-Mitarbeiters. Der verfolgte Zweck hätte auch durch Übermittlung geschwärzter Akten erreicht werden können. Die ungeschwärzte Übermittlung der personenbezogenen Daten des BVT-Mitarbeiters verstieß daher gegen seine Geheimhaltungsinteressen.

Am 04.2024 wird das Urteil des EuGH in der Rs C-741/21, juris, verkündet. Der EuGH wird über mehrere Fragen zum immateriellen Schaden entscheiden, darunter zur Erheblichkeit, zum Verschulden und zur Bemessung der Höhe des Schadenersatzes.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-768/21, Land Hessen, veröffentlicht. Gegenstand des Verfahrens ist die Frage, ob die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, stets verpflichtet ist, eine der Maßnahmen gemäß Art 58 Abs 2 DSGVO zu ergreifen.

Am 04.2024 wird eine mündliche Verhandlung in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission, stattfinden. Im Wesentlichen geht es um die Frage, ob der Europäische Datenschutzausschuss (EDSA) befugt war, der irischen Aufsichtsbehörde, der Data Protection Commission, aufzutragen, eine neuerliche Untersuchung gegen Meta Platforms Ireland Limited und ihren Facebookdienst durchzuführen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Gegenstand des Verfahrens sind Erlaubnistatbestände des Art 6 DSGVO, der Grundsatz der Datenminimierung sowie die Verarbeitung sensibler Daten.

Am 04.2024 wird das Urteil des EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, verkündet. Der EuGH wird über (i) die Zulässigkeit des Zugangs einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdiensten aufbewahrter Daten, (ii) die Auslegung des Begriffs "schwere Kriminalität" sowie (iii) die Aufbewahrungsfrist von 24 Monaten ab dem Zeitpunkt der Kommunikation entscheiden.

EuGH 21.03.2024, C-61/22, Landeshauptstadt Wiesbaden

Ein Unionsbürger beantragte bei der Stadt Wiesbaden die Ausstellung eines neuen Personalausweises und verlangte, dass hierfür seine Fingerabdrücke nicht aufgenommen werden sollten. Die Stadt Wiesbaden lehnte den Antrag ab und berief sich auf die VO 2019/1157, welche die Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen vorsieht.

Das vorlegende Gericht fragte den EuGH, ob die VO 2019/1157 gegen höherrangiges Unionsrecht verstößt, weil (i) sie auf die falsche Primärrechtsgrundlage gestützt wurde, (ii) sie gegen Art 7 und Art 8 GRC verstößt und (iii) keine Datenschutz-Folgeabschätzung nach Art 35 DSGVO durchgeführt wurde. Der EuGH erklärte die VO für ungültig, weil sie auf einer falschen Primärrechtsgrundlage erlassen wurde, entschied aber, dass die Wirkung der VO für eine angemessene Frist aufrechtzuerhalten ist, damit die VO, gestützt auf die richtige Rechtsgrundlage, erneut erlassen werden kann. Die datenschutzrechtlichen Regelungen der VO wurden vom EuGH für rechtmäßig befunden.

Der EuGH hat erwogen: Bei einer Verarbeitung, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten iSd Art 35 Abs 1 DSGVO durchführen. Die VO sieht jedoch lediglich vor, dass die Mitgliedstaaten bei der Beantragung eines Personalausweises bestimmte Verarbeitungen vornehmen sollen. Art 35 DSGVO ist daher nicht anzuwenden.

Fingerabdrücke sind biometrische und somit sensible Daten. Die Aufnahme und anschließende Speicherung von Fingerabdrücken in Personalausweisen schränkt die Rechte nach Art 7 und 8 GRC ein. Eine solche Einschränkung ist jedoch zulässig, sofern sie gesetzlich vorgesehen ist, der Wesensgehalt der Rechte geachtet, der Grundsatz der Verhältnismäßigkeit gewahrt wird und ein dem Gemeinwohl dienendes Ziel verfolgt wird.

Die in Fingerabdrücken enthaltenen Informationen ermöglichen für sich genommen keinen Einblick in das Privat- und Familienleben der betroffenen Personen. Die Aufnahme der Fingerabdrücke dient zur Feststellung der Echtheit der Ausweise und zur zuverlässigen Identifizierung des Inhabers. Weiters trägt die Maßnahme auch zur Interoperabilität der Systeme der Mitgliedstaaten zur Überprüfung von Identitätsdokumenten bei und verhindert das Fälschungs- und Betrugsrisiko, was ein Ziel im öffentlichen Interesse ist. Dies liegt auch im Interesse der Unionsbürger, weil ihnen dadurch die Freizügigkeit innerhalb der Union erleichtert wird. Die Aufnahme der vollständigen Fingerabdrücke ist hierfür erforderlich, weil die Mitgliedstaaten unterschiedliche Technologien zur Überprüfung von Identitätsdokumenten verwenden. Eine Aufnahme bloß bestimmter charakteristischer Punkte bietet nicht dieselbe Sicherheit und kann nicht von allen, durch die Mitgliedstaaten angewandten, unterschiedlichen Systeme erkannt werden. Hinsichtlich der Schwere des Eingriffs ist anzumerken, dass die Fingerabdrücke lediglich im Speichermedium der Personalausweise gespeichert werden, wobei diese ausschließlich durch qualifiziertes und ordnungsgemäß befugtes Personal aufgenommen werden dürfen. Weiters sind die Mitgliedstaaten dazu verpflichtet, die biometrischen Daten bei Abholung des Dokuments durch den Inhaber, spätestens aber nach 90 Tagen zu löschen und keine nationalen Datenbanken zu führen. Auch ist zu beachten, dass die Fingerabdrücke bloß sekundär herangezogen werden sollen, sofern nach einer Überprüfung anhand des Gesichtsbilds noch Zweifel an der Echtheit des Dokuments bzw der Identität des Inhabers bestehen. Vor dem Hintergrund der obigen Ausführungen ist die Einschränkung der Art 7 und 8 GRC verhältnismäßig.

Anm: Für die Praxis ist diese Entscheidung relevant, weil der EuGH eine umfassende Rechts- und Verhältnismäßigkeitsprüfung durchführt und anerkennt, dass bereits vorhandene Systeme dem Datenschutz nicht immer angepasst werden müssen.

VwGH 01.02.2024, Ro 2021/04/0013

Aufgrund einer Ermittlung wegen Amtsmissbrauchs führte die Staatsanwaltschaft (StA) eine Rufdatenerhebung bei einem Verdächtigen durch. Nach Abschluss übermittelte die StA die Ergebnisse an die "Telefonkontakte" des Verdächtigen. Sie übermittelte nicht nur die Tatsache der Rufdatenerhebung, sondern auch die staatsanwaltliche Anordnung samt Begründung. Diese Begründung beinhaltete die bisherigen Ermittlungsergebnisse (Schilderung der Verdachtslage). Der Verdächtige erhob daraufhin Datenschutzbeschwerde bei der DSB. Nach Auffassung der DSB bestand für die Offenlegung der bisherigen Ermittlungsergebnisse keine gesetzliche Grundlage, weshalb eine Verletzung im Recht auf Geheimhaltung vorlag. Gegen diesen Bescheid erhob die StA Bescheidbeschwerde an das BVwG. Das BVwG behob den Bescheid der DSB, woraufhin diese Amtsrevision an den VwGH erhob. Der VwGH wies die Amtsrevision als unbegründet ab.

Der VwGH hat erwogen: Das BVwG rügte die mangelhafte Begründung des Bescheides und änderte ihn dahingehend ab, dass die Datenschutzbeschwerde abgewiesen wird. Das BVwG darf einer Bescheidbeschwerde aber nicht allein wegen einer unzureichenden Begründung des bekämpften Bescheides Folge geben, es hat die Datenschutzbeschwerde inhaltlich zu erledigen. Das BVwG hat seine Entscheidung jedoch nicht nur auf diese Rüge gestützt. Es hat die Abweisung der Datenschutzbeschwerde vorrangig damit begründet, dass die Regelungen der StPO den einschlägigen Bestimmungen im 3. Hauptstück des DSG vorgehen.

Der Umstand, dass die § 138 Abs 5 und § 139 Abs 2 StPO besondere Regelungen über Verständigungspflichten und Einsichtsrechte enthalten, kann dazu führen, dass bestimmte Informations- und Auskunftsrechte nach dem DSG unangewendet bleiben. Trotz dieser besonderen Reglungen müssen die allgemeinen Anforderungen der StPO und des DSG zur Zulässigkeit und Rechtmäßigkeit der Datenverarbeitung beachtet werden. § 74 Abs 1 StPO erlaubt es der StA, während ihrer Aufgaben notwendige personenbezogene Daten zu verarbeiten und erklärt das DSG für subsidiär anwendbar. Die Zulässigkeitsvoraussetzungen nach dem DSG sind auch im Anwendungsbereich der StPO maßgeblich.

Gemäß § 138 Abs 5 StPO hat die StA nach Beendigung einer Ermittlungsmaßnahme ihre Anordnung den von der Durchführung der Ermittlungsmaßnahme Betroffenen unverzüglich zuzustellen. Auch wenn sich die Anordnung im Nachhinein (ex post) als rechtswidrig erweist, sind die Betroffenen von der Ermittlungsmaßnahme zu verständigen, denn die Verständigung der Betroffenen dient deren Interessen. Sie sollen von dem Eingriff erfahren, um ggf Rechtsmittel erheben zu können.

OGH 21.02.2024, 6Ob236/23h

Ein Kläger erhob Klage gegen Medieninhaberinnen, die ihren Sitz nicht im Sprengel des Erstgerichts hatten, weil sein Bild samt Begleittext in einer Print- und Online-Ausgabe veröffentlicht wurde. Er begehrte beim Erstgericht, in dessen Sprengel er wohnte und arbeitete, die Beseitigung und Löschung des Bildes und Begleittexts sowie Schadenersatz. Das Erstgericht erklärte sich für örtlich unzuständig. Der OGH entschied im Revisionsrekursverfahren, dass das Erstgericht für die Klage gegen das Printmedium örtlich unzuständig ist, für jene gegen das Onlinemedium hingegen örtlich zuständig ist.

Der OGH hat erwogen: § 29 Abs 2 DSG normiert einen Wahlgerichtsstand. Klagen gegen Verantwortliche und Auftragsverarbeiter können entweder beim Landesgericht erhoben werden, das im Sprengel des gewöhnlichen Aufenthalts oder Sitzes des Klägers oder des Beklagten liegt. Das Medienprivileg des § 9 Abs 1 DSG, dessen Aufhebung erst mit 30.06.2024 in Kraft tritt, bewirkt jedoch, dass § 29 Abs 2 DSG keine Anwendung findet, wenn Daten für journalistische Zwecke verarbeitet werden. Die Geltung des Medienprivilegs kann im Zuständigkeitsstreit dazu führen, dass ein Kläger den Verantwortlichen oder Auftragsverarbeiter vor einem anderen Gericht als dem seines gewöhnlichen Aufenthalts zu klagen hat. Dies ist nicht unionsrechtswidrig. Betroffenen Personen steht dennoch ein wirksamer gerichtlicher Rechtsbehelf iSd Art 79 Abs 1 DSGVO offen, weil die örtliche Zuständigkeit durch § 28 JN gewährleistet wird. Aufgrund des (noch geltenden) Medienprivilegs kann der Kläger die Zuständigkeit des § 29 Abs 2 DSG jedoch nicht in Anspruch nehmen.

Entfällt die Anwendung des § 29 Abs 2 DSG, verbleibt für Ansprüche aus Persönlichkeitsrechtsverletzungen in einem elektronischen Kommunikationsnetz der Gerichtsstand des § 92b JN. Entscheidend ist, dass über einen einheitlichen Sachverhalt zu entscheiden ist, bei dem verschiedene Anspruchsgrundlagen das angestrebte Ergebnis tragen. Dann ist das angerufene Gericht zuständig, wenn es die Zuständigkeit auch nur hinsichtlich einer der konkurrierenden Normen besitzt. Dies gilt auch für die örtliche Zuständigkeit, denn der Kläger soll nicht gezwungen sein, auf Anspruchsgrundlagen zu verzichten, um einen gewünschten Gerichtsstand zu erreichen. Der Kläger verfolgt mit seiner Klage eine vermeintliche Verletzung seiner Persönlichkeitsrechte und leitet sämtliche Ansprüche aus der Veröffentlichung des Bildes mit Begleittext ab. Da der Kläger sämtliche Ansprüche denkmöglich auch auf sein Grundrecht auf Datenschutz und die DSGVO gestützt hat und über einen einheitlichen Sachverhalt zu entscheiden ist, wobei verschiedene Rechtsgründe das nach dem Urteilsbegehren angestrebte Ergebnis tragen könnten, genügt es, wenn die örtliche Zuständigkeit des angerufenen Gerichts in Ansehung dieses Rechtsgrundes vorliegt.

Im Einklang mit seiner ständigen Rechtsprechung sprach das BVwG aus, dass die Zurückziehung der Datenschutzbeschwerde, während das Verfahren beim BVwG anhängig ist, zum Wegfall der Zuständigkeit der DSB führt. Dadurch wird der Bescheid der DSB (nachträglich) rechtswidrig und ist von Amts wegen zu beheben (BVwG 27.02.2024, W221 2265528-2).

LVwG Burgenland 08.01.2024, E 263/07/2023.001/018

Der Lenker eines PKW wurde auf einer Landstraße von Polizeibeamten in einem Zivilfahrzeug zur Vorführung zum Strafantritt angehalten, weil der Lenker mit der Zahlung mehrerer rechtskräftig verhängter Geldstrafen säumig war. Die Polizeibeamten nahmen den Lenker mit auf die Polizeiwache, von wo er anschließend in das Polizeianhaltezentrum überstellt wurde. Da der Lenker an Diabetes litt, verschlechterte sich sein Gesundheitszustand. Er wurde zur Versorgung in das Landesklinikum und anschließend wieder ins Polizeianhaltezentrum gebracht. Dort wurde er aufgefordert, die vom Krankenhaus erstellen Befunde abzugeben. Der Lenker wendete ein, dass die darin enthaltenen Daten dem Datenschutz unterliegen, doch wurde dieser Einwand von den Polizeibeamten ignoriert. Am nächsten Tag beglich die Gattin des Lenkers die Geldstrafen und er kam frei. Gegen die erfolgte Ausübung unmittelbarer verwaltungsbehördlicher Befehls- und Zwangsgewalt erhob der Lenker Maßnahmenbeschwerde gemäß Art 132 Abs 2 B-VG iVm §§ 7 ff VwGVG an das LVwG Burgenland. In der Beschwerde behauptete er ua, durch das Vorgehen der Polizeibeamten in seinem Recht auf Geheimhaltung verletzt worden zu sein. Der Datenschutzverstoß ergab sich gemäß dem Lenker durch die Aufforderung, Behandlungsbefunde abzugeben, welche dann Eingang in den zu ihm angelegten Gesundheitsakt im Polizeianhaltezentrum gefunden haben. Die Maßnahmenbeschwerde wurde vom LVwG in diesem Punkt als unzulässig zurückgewiesen.

Das LVwG Burgenland hat erwogen: Durch die eindeutige Festlegung von Behördenzuständigkeiten in Art 83 Abs 2 B-VG kommt die Zuständigkeit zur Überprüfung von Datenanwendungen auf Entscheidung über Beschwerden von Personen, die behaupten, in ihrem Recht auf Geheimhaltung verletzt zu sein, ausschließlich der DSB zu. Dies hat auch schon der VwGH mit Erkenntnis vom 22.04.2015, Ra 2014/04/0046 entschieden. Der Lenker hätte die in der Maßnahmenbeschwerde erhobene Rüge der Datenschutzverletzung bei der DSB erheben müssen. Die Verletzung eines Datenschutzrechts kann nicht im Rahmen eines Maßnahmenbeschwerdeverfahrens geprüft werden. Das Ersuchen auf Übergabe der Befunde zur Vorlage an den Amtsarzt ist keine Zwangsmaßnahme, weshalb die Maßnahmenbeschwerde aus diesem Punkt schon unzulässig ist. Die Maßnahmenbeschwerde dient darüber hinaus dem Zweck, eine Lücke im Rechtsschutzsystem zu schließen. Mit dieser Beschwerde sollen keine Zweigleisigkeiten für die Verfolgung ein- und desselben Rechtes geschaffen werden. Eine Maßnahmenbeschwerde steht nur offen, soweit die Rechtmäßigkeit des in Beschwerde gezogenen Handelns nicht in einem Verwaltungsverfahren geklärt werden kann. Was in einem Verwaltungsverfahren ausgetragen werden kann, kann daher nicht Gegenstand einer Maßnahmenbeschwerde sein. Die Maßnahmenbeschwerde ist ein subsidiärer Rechtsbehelf, der unzulässig ist, wenn ein anderer Rechtsschutzweg wie eine Datenschutzbeschwerde an die DSB zur Verfügung steht.

DSB 19.11.2021, 2020-0.591.897

Ein Bankkunde sah sich im Recht auf Geheimhaltung verletzt, weil die Bank ein Telefongespräch mit ihm aufgezeichnet hatte. Eine Option, die Aufzeichnung abzulehnen, gab es nicht. Die DSB gab der Beschwerde statt und stellte fest, dass die Bank den Kunden in seinem Recht auf Geheimhaltung verletzt hatte, indem sie das Gespräch ohne rechtmäßige Grundlage verarbeitet hatte.

Die DSB hat erwogen: Die Bank berief sich auf ihre gesetzlichen Pflichten nach dem Wertpapieraufsichtsgesetz (WAG) und dem Zahlungsdienstegesetz (ZaDiG), die eine Aufzeichnung von Telefongesprächen im Zusammenhang mit Wertpapiergeschäften und eine (nicht näher definierte) Nachweispflicht eines Zahlungsdienstleisters bei Zahlungsaufträgen vorsehen. Diese Pflichten kamen jedoch nicht zum Tragen, weil das Gespräch weder ein Wertpapiergeschäft noch einen Zahlungsauftrag zum Inhalt hatte, sondern lediglich eine Anfrage über die Durchführung einer Geldüberweisung. Die Bank hätte ihre Organisation so einzurichten gehabt, dass Telefongespräche, die unter eine Aufzeichnungspflicht fallen, von anderen Kundengesprächen getrennt geführt werden. Die Bank durfte die Aufzeichnung des Telefongesprächs auch nicht auf das berechtigte Interesse der Qualitätssicherung ihrer Dienstleistungen stützen, weil das Geheimhaltungsinteresse des Kunden überwog. Die Datenverarbeitung war daher unrechtmäßig.

Am 04.2024 wird das Urteil des EuGH in der Rs C-741/21, juris, verkündet. Der EuGH wird über mehrere Fragen zum immateriellen Schaden entscheiden, darunter zur Erheblichkeit, zum Verschulden und zur Bemessung der Höhe des Schadenersatzes. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-768/21, Land Hessen, veröffentlicht. Gegenstand des Verfahrens ist die Frage, ob die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, stets verpflichtet ist, eine der Maßnahmen des Art 58 Abs 2 DSGVO zu ergreifen.

Am 04.2024 wird eine mündliche Verhandlung in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission, stattfinden. Im Wesentlichen geht es um die Frage, ob der Europäische Datenschutzausschuss (EDSA) befugt war, der irischen Aufsichtsbehörde, der Data Protection Commission, aufzutragen, eine neuerliche Untersuchung gegen Meta Platforms Ireland Limited und ihren Facebookdienst durchzuführen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Gegenstand des Verfahrens sind Erlaubnistatbestände des Art 6 DSGVO, der Grundsatz der Datenminimierung sowie die Verarbeitung sensibler Daten.

EuGH 14.03.2024, C‑46/23, Ujpesti Polgarmesteri Hivatal

Eine Bezirksverwaltung wollte Stadtbewohner, die durch die COVID-19-Pandemie gefährdet waren und bestimmte Anforderungen erfüllten, finanziell unterstützen. Für die Prüfung der Anspruchsvoraussetzungen erhob die Bezirksverwaltung personenbezogene Daten (Identifizierungsdaten und Sozialversicherungsnummern) bei anderen staatlichen Stellen und fasste diese in einer Datenbank zusammen. Die nationale Aufsichtsbehörde leitete ein amtswegiges Prüfverfahren ein und trug der Bezirksverwaltung auf, die personenbezogenen Daten jener Stadtbewohner zu löschen, die zwar Anspruch auf die Unterstützung gehabt hätten, diese aber nicht beantragt hatten.

Das vorlegende Gericht fragte den EuGH, ob eine Aufsichtsbehörde ohne Löschungsersuchen der Betroffenen von Amts wegen die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anordnen darf und bejahendenfalls, ob diese Befugnis davon abhängt, dass die Daten bei den Betroffenen selbst erhoben wurden oder nicht.

Der EuGH hat erwogen: Art 58 Abs 2 DSGVO unterscheidet zwischen Abhilfemaßnahmen, die von Amts wegen ausgeübt werden und solchen, die nur auf Antrag der Betroffenen hin ergriffen werden können. Ebenso wird in Art 17 DSGVO zwischen der Löschung der Daten auf Antrag der Betroffenen und der Löschung aufgrund des Bestehens einer dem Verantwortlichen obliegenden Verpflichtung unterschieden. Um sicherzustellen, dass Datenverarbeitungen im Einklang mit der DSGVO stehen, müssen Aufsichtsbehörden über wirksame Befugnisse verfügen. Übt eine Aufsichtsbehörde ihre Befugnisse aus, muss sie geeignete Maßnahmen erlassen können, um festgestellten Verstößen abzuhelfen, und zwar unabhängig davon, ob die betroffene Person zuvor einen Antrag auf Ausübung ihrer Rechte gestellt hat. Die Aufsichtsbehörden dürfen auch ohne Antrag eines Betroffenen die Löschung personenbezogener Daten anordnen. Untätig bleibenden Personen würde ansonsten der Schutz genommen werden, obwohl ihre personenbezogenen Daten unrechtmäßig verarbeitet werden.

Auf die Herkunft der Daten kommt es nicht an. Die Befugnis der Aufsichtsbehörde zur Anordnung der Löschung unrechtmäßig verarbeiteter Daten bezieht sich sowohl auf bei den Betroffenen erhobenen als auch aus einer anderen Quelle stammenden Daten.

VfGH 12.03.2024, E3436/2023

Die Finanzmarktaufsichtsbehörde (FMA) veröffentlichte die Daten eines Unternehmens im Rahmen einer Investorenwarnung auf ihrer Webseite, weil das Unternehmen trotz fehlender Berechtigung den Anschein erweckte, konzessionspflichtige Wertpapierdienstleistungen zu erbringen. Nachdem das Unternehmen eine entsprechende inhaltliche Veränderung auf ihrer Webseite vornahm, indem es den "Footer" mit dem irreführenden Hinweis löschte, erhob es eine Datenschutzbeschwerde an die DSB. Darin brachte das Unternehmen vor, die FMA hätte die Investorenwarnung trotz der geänderten Sachlage nicht behoben und hätte das Unternehmen somit in ihrem Recht auf Löschung verletzt. Die DSB erklärte, dass das Unternehmen als juristische Person iSd § 24 DSG legitimiert sei, Datenschutzbeschwerde zu erheben und gab dieser statt, weil sich die Sachlage durch das Entfernen des "Footer" auf der Webseite geändert hatte. Die FMA habe demnach das Unternehmen in seinem Recht auf Löschung verletzt. Angesichts einer Bescheidbeschwerde der FMA beim BVwG hob dieses den Bescheid der DSB auf und führte aus, dass juristische Personen nicht von § 24 DSG erfasst seien und somit nicht aktiv legitimiert wären. Dagegen erhob das Unternehmen (erfolglos) eine Erkenntnisbeschwerde an den VfGH.

Der VfGH hat erwogen: Der VfGH hat keinen Zweifel, dass die Grundrechtsbestimmung des § 1 DSG auch juristische Personen als Grundrechtsträger erfasst, wobei auch Wirtschaftsdaten als personenbezogene Daten zu qualifizieren sind. Im konkreten Fall der Investorenwarnung gibt es jedoch einen eigenen Rechtsschutzweg an die FMA, der sowohl natürlichen als auch juristischen Personen offensteht. Das Unternehmen hätte nach Änderung der Sachlage erneut bei der FMA die Überprüfung auf Rechtmäßigkeit gemäß § 92 Abs 11 WAG beantragen müssen, in dessen Rahmen auch eine etwaige Verletzung des Grundrechts auf Datenschutz zu prüfen ist. Sollte eine solche Verletzung vorliegen, wäre die FMA dazu verpflichtet, die Veröffentlichung richtigzustellen, zu widerrufen oder zu entfernen. Die Begründung des BVwG, dass die DSB aufgrund der fehlenden Aktivlegitimation des Unternehmens unzuständig sei, war zwar unrichtig, jedoch würden daraus keine verfassungsrechtlichen Bedenken hervorgehen. Dies vor eben jenem Hintergrund, dass nicht die DSB, sondern ausschließlich die FMA zur Entscheidung über die Rechtmäßigkeit einer Investorenwarnung zuständig ist.

VwGH 01.02.2024, Ra 2021/04/0088

In das Vermögen des Verpflichteten einer Forderung sollte Exekution geführt werden, weshalb der Gerichtsvollzieher dessen Wohnung aufsuchte und, als er ihn nicht antraf, seine Visitenkarte hinterließ. Der Verpflichtete erhob gegen das BG Innsbruck, dem der Vollzieher zuzurechnen war, Beschwerde bei der DSB, die diese abwies. Das BG Innsbruck erhob dennoch Bescheidbeschwerde gegen diesen Bescheid, weil es der Ansicht war, dass die Tätigkeit des Vollziehers als "justizielle Tätigkeit" iSd Art 55 Abs 3 DSGVO zu qualifizieren ist und die DSB deshalb unzuständig war. Das BVwG behob den Bescheid der DSB, woraufhin diese Amtsrevision an den VwGH erhob. Der VwGH schloss sich der Rechtsansicht des BVwG an, hob das Erkenntnis des BVwG aber dennoch auf, weil der Spruch des Erkenntnisses falsch formuliert war.

Der VwGH hat erwogen: Die Tätigkeit von Exekutivorganen bei einer gerichtlichen Vollstreckung nach der EO ist eine Tätigkeit der "Gerichtspolizei im engeren Sinn", die der Gerichtsbarkeit zuzuordnen ist; die zu setzenden Akte sind als "abgeleitete richterliche Akte" zu qualifizieren. Das Exekutionsverfahren und dessen Vollzug ist somit eine "justizielle Tätigkeit", in deren Zusammenhang die richterliche Unabhängigkeit zu wahren ist. Art 55 Abs 3 DSGVO ist so zu verstehen, dass Datenverarbeitungen im Rahmen einer "justiziellen Tätigkeit" nicht nur auf Verarbeitungen durch Gerichte in konkreten Rechtssachen beschränkt sind, sondern in weiterem Sinn alle Verarbeitungsvorgänge durch Gerichte bei "justiziellen Tätigkeiten" erfassen. Diese Verarbeitungen sind der Kontrolle durch die DSB nicht unterworfen.

Dennoch war das Erkenntnis des BVwG aufzuheben, weil das BVwG den Bescheid der DSB nur behoben hat und eine rein kassatorische Entscheidung des Verwaltungsgerichts nicht zulässig ist, wenn dem verwaltungsbehördlichen Bescheid ein Parteiantrag zugrunde liegt. Das BVwG hätte somit in der Sache entscheiden müssen.

Anm: Das BVwG hätte den Bescheid der DSB nicht "bloß" beheben dürfen, sondern hätte den Spruch des Bescheids auch dahingehend abzuändern gehabt, dass die Datenschutzbeschwerde wegen Unzuständigkeit der DSB zurückgewiesen wird. Das wird im fortgesetzten Verfahren wohl auch geschehen.

VwGH 01.02.2024, Ro 2020/04/0016

Eine Rechtsanwältin verlangte die Übermittlung von Aktenkopien von der Staatsanwaltschaft (StA). Die StA übermittelte teilweise sensible Daten von zwei Personen, die zwar im angeforderten Akt geführt wurden, jedoch nicht die Eingabe der Rechtsanwältin betrafen. Die Rechtsanwältin leitete den Sachverhalt an die DSB weiter, die ein amtswegiges Prüfverfahren gegen die StA einleitete und eine Verletzung des Rechts auf Geheimhaltung der Betroffenen feststellte. Das BVwG wies die Bescheidbeschwerde der StA ab. Die StA erhob, vertreten durch die Finanzprokuratur, Revision an den VwGH. Der VwGH hegte Bedenken im Hinblick auf das Recht auf ein Verfahren vor dem gesetzlichen Richter (Art 83 Abs 2 B-VG) sowie den Trennungsgrundsatz (Art 94 B-VG) und stellte an den VfGH den Antrag, die Bestimmungen § 31 Abs 1 erster Satz, § 32 Abs 1 Z 3 sowie § 36 Abs 2 Z 15 DSG aufzuheben. Der VfGH teilte zwar die verfassungsgesetzlichen Bedenken des VwGH hinsichtlich des Trennungsgrundsatzes, sah jedoch wegen des Vorrangs des Unionsrechts keinen Raum die angefochtenen Bestimmungen aufzuheben, weil unter Wahrung des Unionsrechts keine verfassungskonforme Ersatzregelung möglich ist (VfGH 13.12.2023, G212/2023). Der VwGH hob das Erkenntnis des BVwG trotz richtiger Beurteilung der Zuständigkeit der DSB aus formalen Gründen dennoch auf.

Der VwGH hat erwogen: Die Staatsanwälte sind gemäß Art 90a B-VG Organe der ordentlichen Gerichtsbarkeit aber keine Gerichte. Trotz der Regelungen des GOG und des StAG sind sie auch keine unabhängigen Justizbehörden. Vor dem Hintergrund des Erkenntnisses des VfGH bestehen gegen diese Zuständigkeit der DSB auch für den Bereich der Verarbeitung personenbezogener Daten durch Staatsanwaltschaften keine verfassungsrechtlichen Bedenken (mehr).

Der VwGH hat allerdings bereits wiederholt ausgesprochen, dass die DSB in einem amtswegigen Prüfverfahren keine Befugnis hat die allfällige Rechtswidrigkeit eines Datenverarbeitungsvorgangs festzustellen. Da das BVwG den Bescheid der DSB, mit welchem eine Rechtsverletzung festgestellt wurde, bestätigte, war das Erkenntnis des BVwG aufzuheben.

VwGH 14.12.2021, Ro 2021/04/0006

Der Nationalrat setzte einen Untersuchungsausschuss ein, um eine mögliche politische Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) aufzuklären (BVT-Untersuchungsausschuss). Als Auskunftsperson wurde ein verdeckter Ermittler einvernommen, der die Anonymisierung seiner Aussage beantragte. Dennoch wurde das Protokoll seiner Befragung unter Nennung seines Klarnamens veröffentlicht. Die von der Auskunftsperson erhobene Datenschutzbeschwerde wurde von der DSB wegen Unzuständigkeit zurückgewiesen. Der Bescheidbeschwerde der Auskunftsperson gab das BVwG Folge. Die DSB erhob Amtsrevision an den VwGH. Der VwGH fragte den EuGH, (i) ob im Hinblick auf den Gewaltenteilungsgrundsatz die parlamentarische Kontrolltätigkeit durch einen Untersuchungsausschuss in den sachlichen Anwendungsbereich der DSGVO fällt und (ii) bejahendenfalls, ob diese Kontrolltätigkeit vom Anwendungsbereich der DSGVO ausgenommen ist, wenn eine Behörde kontrolliert wird, die dem Schutz der nationalen Sicherheit dient. Weiters fragte der VwGH, (iii) ob sofern bloß eine nationale Datenschutzbehörde eingerichtet ist, deren Zuständigkeit sich unmittelbar aus Art 77 DSGVO ergibt. Nachdem der EuGH diese Fragen beantwortete (EuGH 16.01.2024, C-33/22, Österreichische Datenschutzbehörde; siehe näher unser Datenschutzrechts-Update vom 24.01.2024), wies der VwGH die Amtsrevision der DSB ab.

Der VwGH hat erwogen: Ausgehend vom Urteil des EuGH ist bei der Frage, ob die Verarbeitung personenbezogener Daten vom sachlichen Anwendungsbereich der DSGVO ausgenommen ist, ausschließlich auf die Natur der Tätigkeiten abzustellen. Daher ist nicht jede Tätigkeit eines vom Nationalrat eingesetzten Untersuchungsausschuss vom Anwendungsbereich des Unionsrechts ausgenommen.

Gegenstand des BVT-Untersuchungsausschusses ist die parlamentarische Kontrolle der Aufgabenerfüllung des BVT, aber nicht unmittelbar die Gewährleistung der nationalen Sicherheit. Auch hinsichtlich des Schutzes der nationalen Sicherheit ist die Tätigkeit des BVT-Untersuchungsausschusses vom Anwendungsbereich der DSGVO daher nicht ausgenommen.

Die DSB ist für die Kontrolle des BVT-Untersuchungsausschusses zuständig, weil sie die einzige dafür eingerichtete Aufsichtsbehörde ist. Dies stößt auf keine verfassungsgesetzlichen Bedenken, weil nach den Ausführungen des VfGH im Erkenntnis vom 13.12.2023, G212/2023, kein Umsetzungsspielraum ersichtlich ist, eine mit dem verfassungsgesetzlichen Gewaltentrennungsprinzip vereinbare, für die Überprüfung der Verarbeitung personenbezogener Daten durch das Parlament zuständige Aufsichtsbehörde nach Art 51 Abs 1 DSGVO einzurichten.

Anm: Der VwGH räumt verfassungsrechtliche Bedenken mit Verweis auf das bereits oben erwähnte Erkenntnis des VfGH aus. Darin ging es allerdings um Staatsanwaltschaften. Ob eine vergleichbare Lösung für die Legislative wie für die Judikative verfassungsgesetzlich tatsächlich unzulässig ist, erscheint fraglich.

Die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung kann als eine einem berechtigten Interesse des Verantwortlichen dienende Verarbeitung angesehen werden. Die Verarbeitung der Daten einer vom Interesse des Verantwortlichen nicht unmittelbar betroffenen Person ist von diesem Zweck jedoch nicht gedeckt. Aus der Unzulässigkeit der Zusendung elektronischer Post ohne Einwilligung kann kein Umkehrschluss gezogen werden, dass die Zusendung einer persönlich adressierten Werbung per Post ohne Einwilligung zulässig wäre (VwGH 01.02.2024, Ro 2021/04/0016).

Beamte und Vertragsbedienstete der Abgabenbehörden dürfen, sofern dienstlich begründet, aus den finanzinternen Datenbanken Abgabeninformationssystem (AIS), FinanzOnline Verfahren (FON), Grunddatenverwaltung und Jahresveranlagung (JVP) personenbezogene Daten abfragen. Abfragen aufgrund von Bitten von Bekannten, Freunden und Verwandten gehören jedoch nicht zu den einem Beamten oder Vertragsbediensteten übertragen Aufgaben. Ersuchen aus dem Freundes-, Bekannten- und Verwandtenkreis sind wegen Befangenheit abzulehnen (OGH 15.02.2024, 8ObA72/23f).

Der materielle Schwerpunkt der Tätigkeit als Mitglied und somit der Tätigkeitsmittelpunkt des Gemeinderats/des Stadtrats liegt nicht in einem im Wohnungsverband gelegenen Arbeitszimmer. Das Arbeitszimmer wird auch dann nicht zum Mittelpunkt der Tätigkeit, wenn darin vertrauliche Informationen aufbewahrt werden. Vertrauliche Daten sind zwar unter Beachtung des Datenschutzgesetzes sowie der Datenschutzgrundverordnung sicher zu verwahren, die erforderlichen Vorbereitungshandlungen und Ablagemöglichkeiten können den Mittelpunkt der Kerntätigkeit jedoch nicht ins Arbeitszimmer verlagern (BFG 04.03.2024, RV/7103422/2020).

DSB 10.08.2023, 2023-0.058.359

Drei deutsche Gesellschaften im Lebensmittelsektor verarbeiteten und übermittelten Daten einer österreichischen Kommanditgesellschaft (KG) an ein drittes Unternehmen. Konkret ging es dabei um die Daten zu den – von der KG bei den deutschen Gesellschaften – bestellten Produkten, zu Mengen dieser bestellten Produkte, zur geschätzten Absatzmenge sowie des Betriebsorts der KG. Die von der KG erhobene Datenschutzbeschwerde wurde von der DSB zurückgewiesen.

Die DSB hat erwogen: Nach § 1 Abs 1 DSG sind auch die Daten juristischer Personen geschützt. Gem § 3 Abs 1 DSG sind die Bestimmungen des DSG jedoch nur auf die Verwendung von personenbezogenen Daten im Inland anzuwenden. Hinsichtlich einer Datenverarbeitung und -übermittlung durch GmbHs in Deutschland gelangen die §  1 Abs  1 DSG sowie § 24 Abs 1 DSG folglich nicht zur Anwendung. Das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art 77 Abs 1 DSGVO kommt nur natürlichen Personen zu. Eine KG kann sich auf diese Bestimmung nicht stützen. Der KG steht es offen, eine Beschwerde in Deutschland einzubringen.

Am 03.2024 wird das Urteil des EuGH in der Rs C-61/22, Landeshauptstadt Wiesbaden, verkündet. Der EuGH wird über die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten entscheiden. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 wird das Urteil des EuGH in der Rs C-741/21, juris, verkündet. Der EuGH wird über mehrere Fragen zum immateriellen Schaden entscheiden, darunter zur Erheblichkeit, zum Verschulden und zur Bemessung der Höhe des Schadenersatzes.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-768/21, Land Hessen, veröffentlicht. Gegenstand des Verfahrens ist die Frage, ob die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, stets verpflichtet ist, eine der Maßnahmen des Art 58 Abs 2 DSGVO zu ergreifen.

Am 04.2024 wird eine mündliche Verhandlung in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission, stattfinden. Im Wesentlichen geht es um die Frage, ob der Europäische Datenschutzausschuss (EDSA) befugt war, der irischen Aufsichtsbehörde, der Data Protection Commission, aufzutragen, eine neuerliche Untersuchung gegen Meta Platforms Ireland Limited und ihren Facebookdienst durchzuführen.

EuGH 07.03.2024, C‑604/22, IAB Europe

Bei Online-Werbeauktionen können Werbeunternehmen anonym Werbeplätze ersteigern und personalisierte Werbung basierend auf Nutzerprofilen anzeigen. IAB Europe, eine EU-Branchenorganisation, die Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene vertritt, entwickelte für ihre Mitglieder einen Regelungsrahmen, um sicherzustellen, dass diese Auktionen DSGVO-konform sind (das Transparency & Consent Framework; TCF). Dazu wurde eine Einwilligungsplattform (Consent Management Plattform; CMP) in ein Pop-up-Fenster integriert, um die Einwilligungspräferenzen des Websitebesuchers in einem Transparency and Consent String (TC-String) zu speichern, der aus einer Folge von Buchstaben und Zeichen besteht. Dieser Code wird an Broker übermittelt, damit diese wissen, worin die Nutzer eingewilligt haben. Das CMP speichert auch ein Cookie auf dem Gerät des Nutzers. Miteinander kombiniert können der TC‑String und das Cookie der IP‑Adresse dieses Nutzers zugeordnet werden. Das vorlegende Gericht fragte den EuGH, ob es sich bei einer solchen Zeichenfolge um personenbezogene Daten handelt und ob es sich bei einer Branchenorganisation wie IAB Europe um einen gemeinsam Verantwortlichen iSd Art 26 DSGVO handelt.

Der EuGH hat erwogen: Eine Zeichenfolge, die individuelle Einwilligungspräferenzen eines Websitebesuchers enthält, ist eine Information, die sich auf eine Person bezieht und somit eine Information "über" eine Person. Eine solche Zeichenfolge ist ein personenbezogenes Datum, wenn sie mit vertretbarem Aufwand mit einer Kennung wie einer IP-Adresse verknüpft werden kann und somit eine Identifizierung der Person möglich ist. Sofern die Mitglieder der Branchenorganisation verpflichtet sind, auf Anfrage Identifizierungsinformationen bereitzustellen, ist es unerheblich, dass die Branchenorganisation selbst keinen Zugriff auf die verarbeiteten Daten hat bzw den TC-String nicht direkt mit einer Kennung verknüpfen kann, weil die Branchenorganisation dennoch über die Mittel verfügt, die Person zu identifizieren.

Die Branchenorganisation ist als gemeinsamer Verantwortlicher zu qualifizieren, wenn sie gemeinsam mit seinen Mitgliedern die Zwecke (Förderung des Handels von Werbeflächen im Internet) und Mittel (Regelungsrahmen und technische Spezifikationen für die Verarbeitung des TC-Strings) festlegt. Dass die Branchenorganisation selbst keinen unmittelbaren Zugang zu den personenbezogenen Daten hat, die von ihren Mitgliedern innerhalb des Regelungsrahmens verarbeitet werden, hindert nicht daran, sie als Verantwortliche einzustufen. Dies gilt aber nur für die Speicherung der Einwilligungspräferenzen, nicht jedoch für die Weiterverarbeitung durch Dritte aufgrund dieser Präferenzen. Erst wenn eine Branchenorganisation Einfluss auf die Festlegung der Zwecke und Mittel dieser Weiterverarbeitungen ausübt, kann sie für diese Verarbeitung als Verantwortliche angesehen werden.

Anm: Als Folge dieses Urteils dürfte das TCF voraussichtlich überarbeitet werden.

EuGH 05.03.2024, C-755/21P, Kočner/Europol

Während der Ermittlung wegen des Mordes an einem slowakischen Journalisten und dessen Verlobten sicherte Europol die Daten auf zwei Mobiltelefonen des mutmaßlichen Mordauftraggebers (Beschuldigter). Europol übermittelte ihren Bericht an die slowakischen Behörden und übergab der Behörde eine Festplatte mit verschlüsselten Daten, die Europol aus den besagten Mobiltelefonen extrahiert hatte. Dem Bericht zufolge war der Beschuldigte wegen des Verdachts eines Finanzdelikts seit 2018 inhaftiert und sein Name stand ua mit "Mafia-Listen" und den "Panama Papers" in Verbindung. Kurze Zeit später kam es in verschiedenen Presseartikeln zur Veröffentlichung der Transkriptionen intimer Gespräche zwischen dem Beschuldigten und dessen Freundin, die von den beiden Mobiltelefonen stammten. Der Beschuldigte klagte Europol vor dem EuG auf immateriellen Schadenersatz iHv EUR 100.000, weil (i) Europol seinen Namen in die "Mafia-Listen" aufgenommen habe und (ii) die Transkription des Gesprächs mit seiner Freundin an die Medien gelangt sei. Das EuG wies die Klage ab. Der EuGH gab dem dagegen erhobenen Rechtsmittel des Beschuldigten hinsichtlich der Weitergabe der Transkription des intimen Gesprächs an die Medien statt. Das Rechtsmittel betreffend die Mafia-Listen wies der EuGH zurück.

Der EuGH hat erwogen: Nach Art 50 Abs 1 der VO (EU) 2016/794 hat der durch eine rechtswidrige Datenverarbeitung Geschädigte das Recht, entweder von Europol oder vom Mitgliedstaat, in dem der Schadensfall eingetreten ist, Ersatz für einen immateriellen Schaden zu fordern. Der Wortlaut dieser Bestimmung ist hinsichtlich der Natur der Haftung nicht eindeutig. Aus ErwGr 57 der VO (EU) 2016/794 ist aber zu schließen, dass die Regelung eine gesamtschuldnerische Haftung für Europol und den Mitgliedstaat vorsieht. Zwar ist ein ErwGr nicht verbindlich und kann er nicht herangezogen werden, um von den Bestimmungen eines Rechtsaktes abzuweichen, es kommt ihm aber ein hoher Auslegungswert zu.

Die außervertragliche Haftung von Europol setzt die Rechtswidrigkeit ihres Verhaltens, das Eintreten eines tatsächlichen und sicheren Schadens sowie einen Kausalzusammenhang zwischen dem Verhalten und dem geltend gemachten Schaden voraus. Der Beschuldigte konnte keinen Beweis erbringen, dass die "Mafia-Listen" tatsächlich von Europol erstellt oder geführt wurden und weswegen er kein rechtswidriges Verhalten nachweise konnte. Daher war dieser Rechtsmittelgrund unzulässig.

Hinsichtlich der Weitergabe des intimen Gesprächs des Beschuldigten mit seiner Freundin trug Europol vor, dass die slowakische Behörde für das Weitergeben der Informationen an die Medien verantwortlich war und Europol nur dazu verpflichtet war, geeignete technische und organisatorische Maßnahmen zu ergreifen. Gerade um solchen Beweisschwierigkeiten Rechnung zu tragen, ist jedoch mit der gesamtschuldnerischen Haftung ein zweistufiger Haftungsmechanismus vorgesehen, der den Geschädigten von der Bürde befreit, die Identität der Stelle nachzuweisen, die den Schaden verursacht hat. Europol kann sich gegebenenfalls bei der slowakischen Behörde regressieren.

Die Weitergabe der Informationen über das intime Gespräch des Beschuldigten mit seiner Freundin an die Medien war rechtswidrig. Durch diese Datenweitergabe wurde der Beschuldigte in seinem Recht auf Achtung des Privat- und Familienlebens sowie seiner Kommunikation verletzt und wurde zudem in seiner Ehre und seinem Ansehen beeinträchtigt. Unter diesen Umständen ist der erlittene Schaden durch Zahlung einer nach billigem Ermessen auf EUR 2.000 festgesetzten Entschädigung angemessen auszugleichen.

Beachte: Der EuGH verlangt einen tatsächlichen und sicheren Schaden.

EuGH 07.03.2024, C‑740/22, Endemol Shine Finland

Ein Unternehmen begehrte bei einem nationalen Gericht mündliche Auskunft darüber, ob ein Teilnehmer an einem von ihm organisierten Wettbewerb strafrechtlich in Erscheinung getreten ist. Das vorlegende Gericht fragte den EuGH, ob die mündliche Übermittlung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten eine Verarbeitung iSd DSGVO ist und ob sie mit dem (finnischen) Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten im Einklang steht.

Der EuGH hat erwogen: Der Verarbeitungsbegriff der DSGVO ist weit auszulegen und umfasst auch die mündliche Übermittlung. Der sachliche Anwendungsbereich der DSGVO ist aber nur dann eröffnet, wenn die Daten, die Gegenstand der mündlichen Übermittlung sind, in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten stellt einen besonders schweren Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten dar. Diese Rechte gehen dem Interesse der Öffentlichkeit am Zugang zu amtlichen Dokumenten vor.

Nationale Regelungen können (iSd Art 6 Abs 1 lit e DSGVO) eine Übermittlung rechtfertigen, wenn sie ein im öffentlichen Interesse liegendes Ziel verfolgen und geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsehen. Daten im Personenregister eines Gerichts über strafrechtliche Verurteilungen einer natürlichen Person dürfen jedoch nicht jeder Person mitgeteilt werden, ohne dass diese ein besonderes Interesse an diesen Daten geltend macht. Für die Beurteilung der Rechtmäßigkeit und Verhältnismäßigkeit der Übermittlung ist es unerheblich, ob die Person, die die Auskunft begehrt, ein Unternehmen oder eine Privatperson ist oder ob die Daten schriftlich oder mündlich mitgeteilt werden.

BVwG 22.12.2023, W292 2247003-1

Ein Kreditwerber erhob Datenschutzbeschwerde bei der DSB gegen eine Kreditauskunftei, weil die Kreditauskunftei Daten über ein gegen ihn geführtes Schuldenregulierungsverfahren zu lange speicherte. Die DSB wies die Datenschutzbeschwerde ab. Das BVwG gab der dagegen erhobenen Bescheidbeschwerde – gestützt auf das in der Zwischenzeit ergangene Urteil des EuGH vom 12.2023, C‑26/22 und C‑64/22, SCHUFA Holding – teilweise statt, wobei es einmal den Zeitraum prüfte, in dem die Daten über das Schuldenregulierungsverfahren noch öffentlich einsehbar waren, und einmal den Zeitraum, in dem sie das nicht mehr waren.

Das BVwG hat erwogen: Die Verarbeitung (bonitätsrelevanter) personenbezogener Daten durch Kreditauskunfteien kann in datenschutzrechtlicher Hinsicht ausschließlich auf Art 6 Abs 1 lit f DSGVO gestützt werden. Die Verarbeitung muss zur Wahrung der wirtschaftlichen Interessen am Gewerbebetrieb selbst bzw an der Einschätzung der Bonität von potenziellen Kreditnehmern unbedingt erforderlich sein und die Interessen des Kreditwerbers dürfen nicht überwiegen. Die Interessen des Kreditsektors an Informationen über eine Restschuldbefreiung können keine Verarbeitung von Daten durch Kreditauskunfteien nach der Frist der Speicherung im öffentlichen Insolvenzregister rechtfertigen, weil dadurch das mit der Löschung aus dem Insolvenzregister verfolgte Ziel, dem Kreditwerber zu ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, gefährdet würde.

Während der öffentlichen Verfügbarkeit der Daten im öffentlichen Insolvenzregister überwiegt das Interesse der Kreditauskunftei und der Kreditgeber, weil die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften ein Fundament des Kreditwesens und der Funktionsfähigkeit der Wirtschaft bilden.

Anm: Das BVwG ist aufgrund des Urteils des EuGH in der Rs SCHUFA Holding von seiner bisherigen Rsp abgegangen.

BVwG 22.01.2024, W211 2262943-1

Die Abonnentin eines österreichischen Medienunternehmens registrierte sich mit ihrer E-Mail-Adresse, um deren digitale Zeitungsausgabe zu erhalten. Bei der Registrierung waren AGB und Datenschutzinformationen hinterlegt. Die Datenschutzinformationen enthielten einen Hinweis, dass die im Zuge des Registrierungsprozesses vom Kunden hinterlegten Daten zu Werbezwecken "bis auf Widerruf" verarbeitet werden. Für die Verwaltung der Kundendaten war das Medienunternehmen mit einem IT-Unternehmen gemeinsam verantwortlich. Dieses IT-Unternehmen sandte an alle bestehenden Kunden, die keinen Widerspruch gegen die Verarbeitung ihrer Daten für Werbezwecke eingelegt hatten, eine E-Mail mit dem Hinweis auf einen neuen digitalen Newsletter. Der wegen Verletzung auf das Recht auf Geheimhaltung von der Abonnentin eingebrachten Datenschutzbeschwerde gab die DSB statt. Das BVwG wies die Bescheidbeschwerde des IT-Unternehmens ab.

Das BVwG hat erwogen: Der Versand von Werbeemails wird in § 174 TKG geregelt, der Art 13 der e-Privacy-RL ins innerstaatliche Recht umsetzt. Gemäß Art 95 DSGVO gehen die Umsetzungsvorschriften zur e-Privacy-RL der DSGVO unter den hier vorliegenden Umständen vor. § 174 TKG regelt jedoch "nur" die Zulässigkeit der Übermittlung von Werbemails. Die Abonnentin hat hingegen eine Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG geltend gemacht. Darüber durfte die DSB absprechen.

Die an die Abonnentin versandte E-Mail war Direktwerbung, weil sie eine Produktinformation zum digitalen Newsletter enthielt. Daher hätte die Werbeemail nur unter den Voraussetzungen des § 174 TKG versandt werden dürfen. Eine wirksame Einwilligung iSd § 174 Abs 1 TKG lag nicht vor, denn die "Einwilligung" zur Verwendung der E-Mail-Adresse war an den Vertragsabschluss gekoppelt.

Die E-Mail-Adresse hätte allenfalls gemäß § 174 Abs 4 TKG auch ohne Einwilligung für Direktwerbung verwendet werden dürfen. Hierfür müssten vier Voraussetzungen kumulativ erfüllt sein, von welchen drei Voraussetzungen erfüllt waren. Allerdings hätte die Abonnentin bei der Erhebung der E-Mail-Adresse, dh im Registrierungsprozess, klar und deutlich informiert werden müssen, dass sie der Verwendung ihrer E-Mail-Adresse für Direktwerbung widersprechen kann. Dieser Voraussetzung wurde mit der Information, die Daten werden "bis auf Widerruf" verarbeitet, nicht Genüge getan. Es lag nämlich nicht auf der Hand, wie der "Widerruf" einzubringen ist.

BVwG vom 16.02.2024, W221 2268420-1

Eine Versicherungsnehmerin verursachte einen Parkschaden und beging daraufhin Fahrerflucht. Durch einen Zeugen konnte die Polizei das Kennzeichen der Versicherungsnehmerin erheben und es wurde ein Verwaltungsstrafverfahren wegen Fahrerflucht eingeleitet. Die durch den Verkehrsunfall Geschädigte brachte Klage gegen die Versicherungsnehmerin und ihre Kfz-Haftpflichtversicherung auf Ersatz des Schadens ein. Die dafür notwendigen Daten stammten aus dem Verkehrsunfallsbericht der Landespolizeidirektion. Im Zuge der Schadensbearbeitung leitete der Rechtsanwalt der Versicherungsnehmerin ein Verhandlungsprotokoll an die Kfz-Haftpflichtversicherung der Versicherungsnehmerin weiter. Anschließend kündigte die KFZ-Haftpflichtversicherung das Versicherungsverhältnis auf.

Die Versicherungsnehmerin beschwerte sich bei der DSB wegen der Verwendung ihrer Daten aus dem Verkehrsunfallsbericht durch die Geschädigte und der Verarbeitung des Verhandlungsprotokolls durch eine Versicherungsangestellte. Die DSB und das BVwG wiesen die Datenschutzbeschwerde und die anschließende Bescheidbeschwerde der Versicherungsnehmerin ab.

Das BVwG hat erwogen: Die Geschädigte verwendete die Daten der Versicherungsnehmerin, um eine zivilgerichtliche Klage gegen diese einzubringen. Diese Datenverarbeitung war auf das berechtigte Interesse nach Art 6 Abs 1 lit f DSGVO gestützt, daher ist eine Interessenabwägung durchzuführen. Dabei sind die vernünftigen Erwartungen der Versicherungsnehmerin zu berücksichtigen. Das Konzept der vernünftigen Erwartungen der betroffenen Person ist nicht empirisch, sondern normativ zu verstehen, ansonsten würde man unzulässigerweise vom Sein auf das Sollen schließen; es kommt daher darauf an, ob die betroffene Person die subjektive Erwartung hat, geschützt sein zu sollen, und, ob diese Erwartung objektiv legitim ist.

Das berechtigte Interesse ist weit zu verstehen und umfasst grundsätzlich jedes von der Rechtsordnung gebilligte Interesse. Nach Art 9 Abs 2 lit f DSGVO ist selbst die Verarbeitung sensibler Daten für die Geltendmachung von Rechtsansprüchen zulässig. Im Größenschluss folgt daraus, dass diese Interessen die Verarbeitung "normaler" Daten erst recht rechtfertigen können. Die Datenverarbeitung zur Klagsführung diente dem berechtigten Interesse der Durchsetzung eines Rechtsanspruches und ist zur Erreichung dieses Zwecks auch geeignet und erforderlich. Ein überwiegendes Geheimhaltungsinteresse der Versicherungsnehmerin stand dem nicht entgegen.

In der Datenschutzbeschwerde der Versicherungsnehmerin wurde eine Versicherungsangestellte als zweite Beschwerdegegnerin (Verantwortliche) bezeichnet. Der datenschutzrechtlich Verantwortliche ist eine Person oder Einrichtung, die dafür zu sorgen hat, dass die DSGVO eingehalten wird und allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zu Verantwortlichen einer Datenverarbeitung werden Angestellte eines Unternehmens nur, wenn sie Daten für ihre eigenen Zwecke außerhalb des Tätigkeitsbereichs und der möglichen Kontrolle ihrer Organisation verarbeiten. Die Versicherungsangestellte hat keine Daten für ihre eigenen Zwecke verarbeitet, weswegen die Versicherung für die Datenverarbeitung verantwortlich war. Wird die Beschwerdegegnerin eindeutig bezeichnet, ist eine Umdeutung der Beschwerdegegnerin von Amts wegen unzulässig.

BVwG 19.01.2024, W108 2268760-1

Eine Nachbarin erhob eine Datenschutzbeschwerde bei der DSB, in der sie vorbrachte, durch die von den Eigentümern des Nachbargrundstücks installierten Kameras in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Die Überwachungskameras waren auf die Zuwege zu ihrem Haus, den Durchgang zwischen den Häusern sowie auf den Garten und die Parkflächen gerichtet und beeinträchtigten die Nachbarin bei der Ausübung ihres Servitutsrechts (Geh–, Fahrt- und Parkrecht). Nachdem die DSB der Datenschutzbeschwerde stattgab, erhoben die Eigentümer des Nachbargrundstücks eine (erfolglose) Bescheidbeschwerde beim BVwG.

Der BVwG hat erwogen: Soweit die Eigentümer vorbringen, das Beschwerderecht der Nachbarin sei gemäß § 24 Abs 4 DSG erloschen, weil die Videokameras ab dem Jahr 2015 installiert und der Nachbarin auch bekannt waren, ist ihnen entgegenzuhalten, dass der Dauerzustand der Videoüberwachung nicht abgeschlossen war und sowohl die subjektive einjährige als auch die objektive dreijährige Präklusivfrist erst mit Beendigung des Dauerzustands zu laufen beginnen.

Zum Vorbringen der Eigentümer, dass die Videoüberwachung berechtigt sei, weil die Nachbarin ihr Grundstück über die Servitut hinaus beanspruche, ist festzuhalten, dass aus diesem Grund keine andauernde Überwachung gerechtfertigt war, zumal die Eigentümer selbst vorbringen, nur ein Foto an die Nachbarin übergeben zu haben, um sie aufzufordern, das Waschen ihres Autos auf dem Privatgrundstück der Eigentümer einzustellen.

Zum Schutz ihres Eigentums dürfen die Eigentümer die Videokameras nach Einschränkung deren Aufnahmebereichs weiterbetreiben.

Wird bei der Protokollierung der mündlichen Verkündung eines Erkenntnisses eine teilweise falsche Wortfolge in den Spruch aufgenommen, kann diese offenkundige Unrichtigkeit/Fehlbezeichnung von Amts wegen berichtigt werden. Der Berichtigungsbeschluss fällt in die Zuständigkeit des Einzelrichters (BVwG 26.02.2024, W137 2248575-1).

Einer Bescheidbeschwerde gegen einen Aussetzungsbescheid der DSB wird die Grundlage entzogen, wenn die DSB den angefochtenen Bescheid behebt und das Verfahren fortsetzt. Das Verfahren ist mit Beschluss einzustellen (BVwG 23.02.2024, W211 2261563-1).

BDB 08.03.2024, 2023-0.024.209

Ein Polizist führte über Ersuchen eines Freundes eine Suchabfrage im Zentralen Melderegister (ZMR) durch und gab dem Freund das Ergebnis der Abfrage telefonisch weiter. Der Polizist wurde ua wegen dieses Verhaltens von der zuständigen Dienstbehörde bei der Bundesdisziplinarbehörde (BDB) angezeigt. Die BDB verurteilte den Polizisten, weil dieser seinem Freund und somit einem unbefugten Dritten die Adresse aus dem ZMR mitgeteilt hat und damit Informationen weitergab, die ihm ausschließlich aus seiner amtlichen Tätigkeit bekannt wurden und nur einem beschränkten Personenkreis zugänglich waren.

Die BDB hat erwogen: Die Verarbeitung personenbezogener Daten unterliegt im Hinblick auf die Dienstanweisung "Datensicherheitsvorschrift der LPD" dem Auftragsprinzip. Demnach sind Verarbeitungen lediglich zur gesetzlichen Aufgabenerfüllung und aufgrund eines Auftrags erlaubt. Durch die Datenverarbeitung verstieß der Polizist gegen diese Dienstanweisung, worüber er sich als langjähriger Mitarbeiter einer Polizeiinspektion auch im Klaren sein musste.

Am 03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, die unrechtmäßig verarbeiteten Daten des Betroffenen zu löschen.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 03.2024 wird das Urteil des EuGH in der Rs C-61/22, Landeshauptstadt Wiesbaden, verkündet. Der EuGH wird über die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten entscheiden.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 wird das Urteil des EuGH in der Rs C-741/21, juris, verkündet. Der EuGH wird über mehrere Fragen zum immateriellen Schaden entscheiden, darunter zur Erheblichkeit, zum Verschulden und zur Bemessung der Höhe des Schadenersatzes.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-768/21, Land Hessen, veröffentlicht. Gegenstand des Verfahrens ist die Frage, ob die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, stets verpflichtet ist, eine der Maßnahmen des Art 58 Abs 2 DSGVO zu ergreifen.

VwGH 01.02.2024, Ro 2020/04/0031

Über das Vermögen eines Kreditnehmers wurde ein Schuldenregulierungsverfahren eröffnet. Nach Erfüllung des Zahlungsplans durch den Kreditnehmer genehmigte das Insolvenzgericht die Löschung der entsprechenden Eintragungen aus der Insolvenzdatei. Daraufhin stellte der Kreditnehmer ein Löschungsersuchen an eine Kreditauskunftei, die die Löschung der Insolvenzdaten jedoch ablehnte.

Die DSB und das BVwG wiesen die Datenschutz- und Bescheidbeschwerden des Kreditnehmers ab. Das Erkenntnis des BVwG wurde vom VwGH unter Heranziehung eines zwischenzeitlich ergangenen Urteils des EuGH vom 07.12.2023, C-26/22 und C-64/22, SCHUFA Holding (Restschuldbefreiung), aufgehoben.

Der VwGH hat erwogen: Die Verarbeitung personenbezogener Daten aus der Insolvenzdatei durch Kreditauskunfteien ist zur Wahrung berechtigter Interessen gemäß Art 6 Abs 1 lit f DSGVO grundsätzlich rechtmäßig. Kreditauskunfteien und ihre Geschäftspartner haben ein berechtigtes Interesse an der Beurteilung von Kreditrisiken. Zudem besteht ein sozioökonomisches Interesse des Kreditsektors an der Verarbeitung von Bonitätsdaten und insbesondere von Insolvenzdaten.

Die Verarbeitung historischer Zahlungsinformationen stellt jedoch einen schweren Eingriff in die Grundrechte des Kreditnehmers dar. Je länger Insolvenzdaten durch die Kreditauskunftei gespeichert werden, desto größer sind die Folgen für den Kreditnehmer und desto höher sind die Anforderungen an die Speicherung dieser Informationen. Das Ziel des Zahlungsplans – die wirtschaftliche Gesundung des Kreditnehmers sicherzustellen – wäre gefährdet, wenn die Kreditauskunftei Daten über das Insolvenzverfahren des Kreditnehmers speichern und verwenden könnte, nachdem die Einsicht in die Insolvenzdatei nicht mehr möglich ist. Die berechtigten Interessen der Kreditauskunftei und ihrer Geschäftspartner über Informationen hinsichtlich des abgeschlossenen Insolvenzverfahrens zu verfügen, können die Verarbeitung der zuvor öffentlich einsehbaren personenbezogenen Daten nicht mehr rechtfertigen. Die Speicherung der aus der Insolvenzdatei gelöschten Daten wird nach der Rechtskraft des Beschlusses des Insolvenzgerichts rechtswidrig. Die Kreditauskunftei ist daher verpflichtet, die betreffenden Daten unverzüglich zu löschen.

Dieses Ergebnis steht im Einklang mit dem Erkenntnis des VwGH vom 09.05.2023, Ro 2020/04/0037, in dem, gestützt auf die EU-Kapitaladäquanzverordnung, eine Speicherdauer von zumindest fünf Jahren in Bezug auf die Speicherung von Zahlungserfahrungsdaten in der Bankenwarnliste grundsätzlich als rechtmäßig erachtet wurde. Denn die Bankenwarnliste ist eine von den Kreditauskunfteien gemeinsam betriebene Datenbank und die EU-Kapitaladäquanzverordnung gilt für Kreditinstitute, nicht aber für Kreditauskunfteien.

Aus der Rechtsprechung des OGH (Strafrecht):

Die Bestimmungen der StPO zur Sicherstellung von Datenträgern aus Beweisgründen (§ 110 Abs 1 Z1 und Abs 4 sowie § 111 Abs 2 StPO) sind vom VfGH als verfassungswidrig aufgehoben worden. Die Aufhebung tritt jedoch erst mit 31.12.2024 in Kraft. Bis dahin sind diese Bestimmungen anzuwenden. Die Sicherstellung eines Mobiltelefons ist zulässig, wenn sie aus Beweisgründen erforderlich erscheint. Die Aufhebung der Sicherstellung ist nicht möglich, solange die Auswertung der Daten am Mobiltelefon (mangels Zugangsdaten) nicht möglich war. Die Überwachung von Nachrichten ist gegenüber der Sicherstellung des Mobiltelefons kein gelinderes Zwangsmittel (OGH 05.02.2024, 8Bs33/24z).

BVwG 29.01.2024, W605 2253671-1

Ein Viertel der Mitglieder des "ÖVP-Korruptions-Untersuchungsausschusses" ("U-Ausschuss") ersuchte die Wirtschafts- und Korruptionsstaatsanwaltschaft ("WKStA") um Auswertung eines Datenbestandes auf Korrespondenzen mit Bezug zu bestimmten Personen. Eine dieser Personen ("Auskunftsperson"), stellte an die DSB den Antrag, der WKStA die Auswertung und Übermittlung ihrer personenbezogenen Daten mit Mandatsbescheid zu untersagen, in eventu vorübergehend zu beschränken, bis beim U-Ausschuss ein wirksames Kontrollsystem zum Schutz personenbezogener Daten eingerichtet wird. Die DSB wies die Datenschutzbeschwerde ab. Die Auskunftsperson erhob Bescheidbeschwerde an das BVwG. Nachdem der U-Ausschuss beendet wurde, erklärte das BVwG die Bescheidbeschwerde für gegenstandslos und stellte das Verfahren ein.

Das BVwG hat erwogen: Zu den Prozessvoraussetzungen für das verwaltungsgerichtliche Verfahren zählt das Rechtsschutzinteresse. Dieses Interesse ist immer dann zu verneinen, wenn es für die Rechtsstellung des Rechtsmittelwerbers keinen Unterschied macht, ob die angefochtene Entscheidung aufrecht bleibt oder aufgehoben wird. Im Zeitpunkt der Erhebung der Bescheidbeschwerde war diese zwar zulässig, infolge der Beendigung des U-Ausschusses und folglich jedweder Aktenlieferung an diesen, ist aber das Rechtschutzinteresse der Auskunftsperson nachträglich weggefallen. Eine Übermittlung von personenbezogenen Daten an einen nicht mehr bestehenden U-Ausschuss kann unabhängig davon, ob eine solche während dessen Bestehens erfolgt ist oder nicht, nicht mehr untersagt werden. Mit einem Mandatsbescheid iSd § 22 Abs 4 DSG kann zwar die "Weiterführung" einer Datenverarbeitung untersagt werden, nicht aber eine allenfalls bereits erfolgte Datenverarbeitung für unzulässig erklärt werden.

BVwG 01.02.2024, W287 2242238-1

Ein Gemeindebewohner begehrte Auskunft gemäß Art 15 DSGVO bei seiner Heimatgemeinde. Die Gemeinde erteilte ihm eine Auskunft aus den Datenverarbeitungen "Kinderbetreuungsmanagement", "Lokales Melderegister" und "Lokales Melderegister – Wahladministration" samt dazugehörenden Metainformationen (ua Datenkategorien, Verarbeitungszwecke, Empfänger). Der Gemeindebewohner erachtete die Auskunft für unvollständig und erhielt weitere Ergänzungen der Auskunft, einschließlich einer Auflistung des behördlichen Schriftverkehrs, dessen Inhalt sich auf den Gemeindebewohner bezog (nicht aber über den Inhalt). Bezüglich seines Auskunftsersuchens zu Angelegenheiten des Bau- und Raumordnungsrechts wurde der Gemeindebewohner auf die Akteneinsicht gemäß § 17 AVG verwiesen.

Der wegen Verletzung im Recht auf Auskunft eingebrachten Datenschutzbeschwerde des Gemeindebewohners gab die DSB dahingehend teilweise statt, dass der Inhalt des behördlichen Schriftverkehrs, soweit es sich nicht um Schreiben des Gemeindebewohners handelte, zu beauskunften ist. Im Übrigen wurde die Datenschutzbeschwerde abgewiesen, weshalb der Gemeindebewohner Bescheidbeschwerde an das BVwG erhob. Vor dem BVwG war zu klären, ob dem Gemeindebewohner Auskunft über Daten in einem nur in Papierform aufbewahrten Bauakt zu erteilen ist und ob die Gemeinde weitere personenbezogene Daten des Gemeindebewohners verarbeitet. Das BVwG wies die Bescheidbeschwerde ab.

Das BVwG hat erwogen: Die DSGVO gilt für die nichtautomatisierte Verarbeitung personenbezogener Daten nur dann, wenn Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Nach der DSGVO ist ein Dateisystem eine strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind. Der Ordnungsgrad in einem Dateisystems muss dabei so hoch sein, dass eine gezielte Suche nach personenbezogenen Daten möglich ist. Die Sortierung (bloß) nach Ordnungsnummern oder Zeit ist hierfür nicht ausreichend. Bei der Beurteilung, ob die DSGVO auf einen Papierakt anwendbar ist, kommt es auf das Kriterium der leichten Wiederauffindbarkeit an. Papierakten können damit zwar dem datenschutzrechtlichen Auskunftsrecht unterliegen, Akten von Behörden unterliegen jedoch keinem Auskunftsanspruch, auch wenn der entsprechende Text mit Hilfe automationsunterstützter Datenverarbeitung erstellt worden ist. Der Bauakt ist nur in physischen Ordnern abgelegt und eine gezielte Suche nach personenbezogenen Daten ist nicht möglich. Der für die Anwendung der DSGVO erforderliche Ordnungsgrad wird nicht erreicht. Über die Daten im Bauakt war von der Gemeinde daher keine Auskunft zu erteilen.

Soweit der Gemeindebewohner vermutet, die Gemeinde verarbeite weitere Daten über ihn, ist auf das Vorbringen der Gemeinde zu verweisen, dass sie keine weiteren personenbezogenen Daten des Gemeindebewohners verarbeite. Der Gemeindebewohner ist diesem Vorbringen nicht substantiiert entgegengetreten. Ein bloß allgemeines Vorbringen läuft idR auf einen unzulässigen Erkundungsbeweis hinaus. Da sich keine Anhaltspunkte für eine Unvollständigkeit der erteilten Auskunft ergaben, war die Bescheidbeschwerde abzuweisen.

Wird eine zulässige und begründete Säumnisbeschwerde an das BVwG erhoben, darf das BVwG aufgrund seiner sog "kondemnatorischen" Entscheidungsbefugnis die DSB zum Erlass eines Bescheides "verurteilen". Damit wird der DSB eine "dritte Chance" zur Bescheiderlassung eingeräumt (BVwG 13.02.2024, W256 2280818-1).

Im Einklang mit seiner nunmehr ständigen Rechtsprechung behob das BVwG einen Bescheid, mit dem die DSB ihr Verfahren bis zur Bestimmung der federführenden Aufsichtsbehörde aussetzte (BVwG 14.02.2024, W221 2280746-1).

Hat ein Bieter in einem Vergabeverfahren Bedenken hinsichtlich der Notwendigkeit der Vorlage einer Zertifizierung nach dem Qualitätsmanagementsystem gemäß ISO 9001 (oder einer gleichwertigen Zertifizierung) und einer Zertifizierung für Informationssicherheit, Cybersicherheit und Datenschutz gemäß ISO 27001 (oder einer gleichwertigen Zertifizierung), hat der Bieter ein Nachprüfungsverfahren betreffend die Ausschreibung zu beantragen. Sind die Ausschreibungsunterlagen bereits bestandsfest geworden, hat der Bieter ein entsprechendes Zertifikat nachzuweisen (BVwG 08.02.2024, W279 2278493-2).

Eine Bescheidbeschwerde, die nach Ablauf der vierwöchigen Frist zur Erhebung einer Bescheidbeschwerde eingebracht wird, ist zurückzuweisen (BVwG 01.02.2024, W287 2280832-1).

Mit der Anschaffung eines Tablet-PCs, der über einen funktionierenden Akku verfügt, ist den Erfordernissen der Datensicherheit Genüge getan. Ein Stromgenerator (Notstromaggregat) ist für die Datensicherung nicht geeignet und wird als Werbungskosten für Arbeitsmittel im Homeoffice nicht anerkannt (BFG 05.02.02, RV/3100573/2022).

DSB 26.06.2023, 2023-0.227.210

Gegen eine Rechtsanwältin sind mehrere Disziplinarverfahren eingeleitet worden und ihr wurde als einstweilige Maßnahme die Ausübung der Rechtsanwaltschaft vorläufig untersagt. Zu ihrer Vertretung bestellte die zuständige Rechtsanwaltskammer einen Kammerkommissär. Die Rechtsanwältin verweigerte die Zusammenarbeit mit dem Kammerkommissär, woraufhin dieser den elektronischen Rechtsverkehr (ERV) der Rechtsanwältin sperren und zu sich umleiten ließ sowie bei der Post einen Nachsendeauftrag stellte. Da der Kanzleisitz der Rechtsanwältin an ihrer Privatadresse war, wurde vom Nachsendeauftrag auch die private Post der Rechtsanwältin erfasst. Die Rechtsanwältin brachte für sich und eine Mandantin Datenschutzbeschwerde bei der DSB ein, weil ihre Korrespondenz per ERV und Post an den Kammerkommissär umgeleitet wurde. Die DSB wies die Datenschutzbeschwerde der Rechtsanwältin ab und jene der Mandantin zurück.

Die DSB hat erwogen: Ein Kammerkommissär ist zur Vertretung eines Rechtsanwalts zu bestellen, wenn dessen Berechtigung zur Ausübung der Rechtsanwaltschaft ruht. Den Kammerkommissär treffen Belehrungs- und Beratungspflichten gegenüber den Mandanten des zu vertretenden Rechtsanwalts. Die Rechtsanwältin verweigerte die Kooperation mit dem Kammerkommissär, wollte ihre Mandaten trotz vorläufiger Untersagung der Ausübung der Rechtsanwaltschaft weiterhin vertreten und übergab dem Kammerkommissär – entgegen ihrer gesetzlichen Verpflichtung – keine Akten. Die Umleitung der ERV-Zustellungen an den Kammerkommissär war rechtmäßig, weil dieser gesetzlich verpflichtet war, seiner Belehrungs- und Beratungspflicht gegenüber den Mandanten der Rechtsanwältin nachzukommen. Diese Pflicht konnte er mangels Kooperation der Rechtsanwältin anders nicht erfüllen.

Aus demselben Grund war auch der Nachsendeauftrag an die Post rechtmäßig. Die Rechtsanwältin behauptete zwar, dass der Kammerkommissär auch ihre privaten Briefe öffnete. Der Kammerkommissär ist dieser Behauptung jedoch substantiiert entgegengetreten. Ist eine Tatsache nicht feststellbar, ist vom Nichtvorliegen der Tatsache auszugehen. Der Nachweis für eine tatsächliche Öffnung der privaten Post wurde nicht erbracht.

Die Rechtsanwältin trat selbst im Verfahren vor der DSB als rechtsfreundliche Vertretung einer Mandantin auf. Da ihr die Ausübung der Rechtsanwaltschaft zu diesem Zeitpunkt untersagt war, durfte sie die Mandantin jedoch nicht vertreten, weshalb die Datenschutzbeschwerde der Mandantin zurückzuweisen war.

DSB 06.11.2023, 2023-0.722.005

Die Daten einer Staatsanwältin wurden trotz aufrechter Auskunftssperre aus dem Zentralen Melderegister (ZMR) von einer Meldebehörde an ein Detektivunternehmen weitergegeben. Die Staatsanwältin wurde von der Datenweitergabe nicht verständigt. Sie erfuhr durch ihre Mutter von der Datenweitergabe, weil diese Partei eines Verfahrens war, in dem das Detektivprotokoll mit den Meldedaten vorgelegt wurde. Die Meldebehörde gestand zu, dass die Daten der Staatsanwältin durch eine Mitarbeiterin der Meldebehörde – aufgrund einer Fehlinterpretation der Rechtslage – trotz der Auskunftssperre weitergegeben wurden. Die Mitarbeiterin habe sich für ihr Fehlverfahren entschuldigt. Die DSB gab der wegen Verletzung im Recht auf Geheimhaltung erhobenen Datenschutzbeschwerde der Staatsanwältin statt.

Die DSB hat erwogen: Zur Staatsanwältin bestand zum Zeitpunkt der Datenabfrage eine Auskunftssperre im ZMR. Besteht eine Auskunftssperre, dann hat die Auskunft der Meldebehörde grundsätzlich zu lauten, dass zur Meldepflichtigen keine Daten für eine Auskunft vorliegen. Liegen die Voraussetzungen vor, um trotz Auskunftssperre eine Auskunft über die Meldedaten der Meldepflichtigen zu erteilen, hat die Meldebehörde die Meldepflichtige vor Erteilung der Auskunft zu verständigen und hat ihr Gelegenheit zu einer Äußerung einzuräumen. Die Staatsanwältin wurde nicht verständigt und ihr wurde keine Gelegenheit zur Äußerung eingeräumt. Die Datenweitergabe erfolgte somit rechtswidrig.

Am 03.2024 wird das Urteil des EuGH in der Rs C-604/22, IAB Europe, verkündet. Gegenstand des Verfahrens ist das sogenannte Transparency and Consent Framework, eine Cookie-Management-Plattform. Geklärt werden wird insb, ob alphanummerische Codes, wie Cookie-Kennungen, unter bestimmten Voraussetzungen personenbezogene Daten sind.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 03.2024 wird das Urteil des EuGH in der Rs C-740/22, Endemol Shine Finland, verkündet. Entschieden wird über die Frage, ob die mündliche Übermittlung personenbezogener Daten eine Verarbeitung iSd DSGVO ist sowie über das Verhältnis des Zugangs der Öffentlichkeit zu amtlichen Dokumenten mit der DSGVO. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, die unrechtmäßig verarbeiteten Daten des Betroffenen zu löschen. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 03.2024 werden die Schlussanträge des Generalanwalts in der Rs C-61/22, Landeshauptstadt Wiesbaden, veröffentlicht. Gegenstand des Verfahrens ist die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten.

Mit dem "Bundesgesetz, mit dem das Bundes-Verfassungsgesetz geändert und ein Informationsfreiheitsgesetz erlassen wird", wird die verfassungsgesetzliche Amtsverschwiegenheit aufgehoben, eine verfassungsgesetzliche Informationsverpflichtung eingeführt und ein verfassungsgesetzlich gewährleistetes Recht (Grundrecht) auf Zugang zu Informationen geschaffen, das einfachgesetzlich durch das Informationsfreiheitsgesetz (IFG) ausgeführt wird. Das Gesetzespaket tritt im Wesentlichen – nach einer Legisvakanz – mit 01.09.2025 in Kraft (BGBl I 2024/5; ErlRV)

Mit dem "Bundesgesetz, mit dem das KommAustria-Gesetz und das Telekommunikationsgesetz 2021 geändert werden", ist eine Servicestelle für Künstliche Intelligenz bei der RTR-GmbH eingerichtet worden. Dieses Bundesgesetz trat rückwirkend mit 01.01.2024 in Kraft (BGBl I 2024/6; AB 2419). Anm: Die Europäische Kommission hat mit dem European AI Office ebenso eine Stelle für Informationen über künstliche Intelligenz eingerichtet.

EGMR 22.02.2024, 16974/14, Kaczmarek/Polen

Im Rahmen verdeckter Ermittlungen gegen einen ehemaligen polnischen Innenminister wurden auch die Telefongespräche seiner Ehefrau abgehört. Aufzeichnungen und Abschriften davon wurden der Staatsanwaltschaft übermittelt. Bei einer Pressekonferenz, die live im öffentlichen Fernsehen übertragen wurde, wurde ein Gespräch zwischen der Ehefrau und dem ehemaligen Obersten Polizeikommandant abgespielt, in dem die Hausnummer der Ehefrau enthüllt wurde. Dies wurde auf eine Bestimmung der polnischen Strafprozessordnung gestützt, die in Ausnahmefällen mit Genehmigung der Staatsanwaltschaft (die im konkreten Fall vorlag) die Einsichtnahme Dritter in die Ermittlungsakte erlaubte. Die Ehefrau beschwerte sich über die Veröffentlichung ihrer persönlichen Daten und die Aufbewahrung des Überwachungsmaterials beim EGMR. Der EGMR stellte eine Verletzung des Art 8 EMRK fest und sprach der Ehefrau eine Entschädigung iHv EUR 5.000 zu.

Der EGMR hat erwogen: Die Veröffentlichung der Aufzeichnung eines Telefongesprächs stellt einen Eingriff in das Recht auf Privatleben dar. Die Bestimmung der polnischen Strafprozessordnung sieht nicht explizit vor, dass Informationen oder Daten, die während der Untersuchung gesammelt wurden, auf einer Pressekonferenz veröffentlicht werden dürfen. Dies ist für Personen, die von den Ermittlungen selbst nicht betroffen sind, auch nicht vorhersehbar, weil das polnische Recht weder die Ausnahmefälle noch die Art und Weise der Gewährung der Akteneinsicht präzisiert. Aufzeichnungen über eine Person, die von den Ermittlungen selbst nicht betroffen war, deren Gespräche aber dennoch aufgezeichnet wurden, sind daher nicht vom nationalen Gesetz gedeckt, sodass eine Verletzung des Art 8 EMRK vorlag.

Die Speicherung von Informationen über das Privatleben einer Person durch eine Behörde gilt als Eingriff in das Recht auf Privatleben. Im Zusammenhang mit der Speicherung personenbezogener Daten sind klare und detaillierte Vorschriften über Mindestgarantien erforderlich, die ua Dauer der Speicherung, Verwendung, Zugang Dritter, Verfahren zur Wahrung der Integrität und Vertraulichkeit der Daten und Verfahren zu ihrer Vernichtung betreffen. Obwohl die Ehefrau selbst nicht das Ziel der Überwachung war, wurden Aufzeichnungen und Abschriften ihrer Telefongespräche angefertigt, sodass in ihr Recht auf Achtung des Privatlebens eingegriffen wurde. Mangels klar definierter rechtlicher Rahmenbedingungen und Verfahrensgarantien, die sich auf die Vernichtung der Aufzeichnungen beziehen, war dieser Eingriff unrechtmäßig. Die relevanten Rechtsvorschriften sahen keine ausreichenden Garantien zum Schutz von Personen vor, die nicht direkt von Sicherheitsmaßnahmen betroffen sind, deren Gespräche aber dennoch abgehört wurden.

Am 22.02.2024 werden die Schlussanträge des Generalanwalts in der Rs C-693/22, I. (Vente d'une base de données), veröffentlicht. Gegenstand des Verfahrens ist der Verkauf einer aus personenbezogenen Daten bestehenden Datenbank im Rahmen eines Vollstreckungsverfahrens.

Am 29.02.2024 wird in den verbundenen Rs C-17/22 und C-18/22, HTB Neunte Immobilien Portfolio ua, eine mündliche Verhandlung stattfinden. Gegenstand der Verfahren sind "berechtigte Interessen" im Gesellschaftsrecht.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-604/22, IAB Europe, verkündet. Gegenstand des Verfahrens ist das sogenannte Transparency and Consent Framework, eine Cookie-Management-Plattform. Geklärt werden wird insb, ob alphanummerische Codes, wie Cookie-Kennungen, unter bestimmten Voraussetzungen personenbezogene Daten sind.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-740/22, Endemol Shine Finland, verkündet. Entschieden wird über die Frage, ob die mündliche Übermittlung personenbezogener Daten eine Verarbeitung iSd DSGVO ist sowie über das Verhältnis des Zugangs der Öffentlichkeit zu amtlichen Dokumenten mit der DSGVO.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 14.03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, die unrechtmäßig verarbeiteten Daten des Betroffenen zu löschen.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 21.03.2024 werden die Schlussanträge des Generalanwalts in der Rs C-61/22, Landeshauptstadt Wiesbaden, veröffentlicht. Gegenstand des Verfahrens ist die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten

VwGH 21.12.2023, Ro 2021/04/0010

Das Arbeitsmarktservice (AMS) bietet Dienstleistungen an, um Arbeitssuchende wieder in den Arbeitsmarkt einzugliedern. Die Vorgehensweise ist dabei in der "Bundesrichtlinie" des AMS "Kernprozess Arbeitskräfte unterstützen" festgelegt. Berater des AMS haben in Beratungsgesprächen mit Arbeitssuchenden ua deren Arbeitsmarktchancen zu erörtern. Zur Berechnung der Arbeitsmarktchancen wurde das automatisierte Arbeitsmarktchancen-Assistenzsystem (AMAS) entwickelt. Das AMAS teilt die Arbeitssuchenden anhand eines Algorithmus in drei (AMS-)Kundenkategorien hinsichtlich ihrer Arbeitsmarktchancen ein. Diese Einteilung soll als Grundlage der Beratungsstrategie dienen.

Die DSB leitete ein amtswegiges Prüfverfahren ein und untersagte dem AMS die Verwendung des AMAS. Das BVwG gab der Bescheidbeschwerde des AMS Folge. Über die Amtsrevision der DSB behob der VwGH das Erkenntnis des BVwG, weil dieses wegen sekundären Feststellungsmängeln mit Rechtswidrigkeit des Inhalts belastet war.

Der VwGH hat erwogen: Das AMAS dient der Beratung im Rahmen der Arbeitsvermittlung und der Erstellung des Betreuungsplans. Zur Erfüllung dieser Aufgaben ist das AMS in der Privatwirtschaftsverwaltung – dh weder hoheitlich noch schlicht hoheitlich – tätig. Aufgrund des funktionalen Behördenbegriffs des § 1 Abs 2 DSG ist der Maßstab des § 1 Abs 2 DSG, wonach staatliche Behörden, Daten nur auf Grundlage einer qualifizierten gesetzlichen Grundlage verarbeiten dürfen, nicht zu berücksichtigen.

Die für das AMAS erhobenen Daten dürfen gemäß Art 6 Abs 1 lit e DSGVO zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, sowie im Falle von sensiblen Daten aus Gründen eines erheblichen öffentlichen Interesses gemäß Art 9 Abs 2 lit g DSGVO verarbeitet werden. Die bestmögliche Integration Arbeitssuchender am Arbeitsmarkt ist ein erhebliches öffentliches Interesse.

Nach beiden genannten Bestimmungen darf eine Datenverarbeitung nur erfolgen, wenn sie eine Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats hat. Diese Rechtsgrundlage muss zwar eine besondere Qualität aufweisen und es dürfen darin auch spezifischere Regelungen enthalten sein, es ist aber kein spezifisches Gesetz für jede einzelne Verarbeitung erforderlich. Die die Verarbeitung rechtfertigende Rechtsgrundlage muss nicht jede darauf zu stützende Datenverarbeitung bezeichnen.

Die Bestimmung über die Verschwiegenheitspflicht der Organe in § 27 AMSG und die detaillierten Bestimmungen zur Offenlegung und Aufbewahrung der Daten in § 25 AMSG wahren in ausreichendem Maß die Grundrechte und Interessen der Arbeitssuchenden.

Profiling ist eine besondere Verarbeitungsform. Die Art 6 und 9 DSGVO stellen jedoch keine besonderen Anforderungen an die rechtfertigende Rechtsgrundlage für diese Verarbeitungsform. Die Besonderheit des Profiling wird in Art 22 DSGVO berücksichtigt.

Profiling ist laut dem Urteil des EuGH vom 07.12.23, C-634/21, SCHUFA Holding (Scoring), eine automatisierte Entscheidung, wenn das Ergebnis dieser automatisierten Verarbeitung für eine bestimmte – weitere – Entscheidung insofern maßgeblich ist, als das Handeln des Dritten vom betreffenden Profiling "maßgeblich geleitet" wird.

Demnach ist die Ermittlung eines Wahrscheinlichkeitswerts, wie der von der AMAS berechnete Wert, bereits eine automatisierte Entscheidung, sofern dieser Wahrscheinlichkeitswert maßgeblich die Zuordnung zu einer AMS-Kundengruppe bestimmt und so den Arbeitssuchenden gegenüber rechtliche Wirkung entfaltet oder sie auf ähnliche Weise erheblich beeinträchtigt. Auch wenn die Letztentscheidung bei einem Betreuer des AMS liegt, hindert dies nicht die Einordnung als automatisierte Entscheidung. Ist durch Handlungsanleitungen und Schulungen sichergestellt, dass die AMS-Berater das Ergebnis des Algorithmus nicht unhinterfragt übernehmen, kann dies zwar die Annahme rechtfertigen, die Einordnung erfolge nicht ausschließlich aufgrund des errechneten Wahrscheinlichkeitswerts. AMAS kann – als automatisierte Entscheidung – dennoch maßgeblich für die Einordnung in die Kundengruppe sein. Das BVwG traf jedoch insb keine Feststellungen zur Frage, welche anderen Parameter in welchen Ausmaß Berücksichtigung finden, daher kann die Frage nach der Maßgeblichkeit der automatisierten Verarbeitung nicht final beurteilt werden. Ebenso fehlen Feststellungen, um beurteilen zu können, ob eine hinreichend klare rechtliche Grundlage existiert, die iSd Öffnungsklausel gemäß Art 22 Abs 2 lit b DSGVO eine automatisierte Entscheidung durch das AMAS rechtfertigten könnte.

Anm: Ein sekundärer Feststellungsmangel liegt vor, wenn aufgrund einer (verfehlten) Rechtsansicht bestimmte Feststellungen fehlen, weil die Unterinstanzen sie nicht für erforderlich erachteten. Der VwGH ist keine Tatsacheninstanz, dh er ist auf die Tatsachenfeststellungen des BVwG angewiesen. Deshalb behebt der VwGH das Erkenntnis schon dann, wenn nach Vornahme entsprechender Feststellungen eine anders lautende rechtliche Beurteilung möglich ist. Das BVwG muss die fehlenden Feststellungen nachholen und seine neue Entscheidung an die Rechtsansicht des VwGH ausrichten.

Eine Vermieterin beauftragte ein Detektivunternehmen mit der Observierung ihres Mieters zur Dokumentation allfälliger Kündigungsgründe. Das Detektivunternehmen fertigte Fotos über den Mieter in dessen Wohnung sowie an dessen Arbeitsplatz an und übermittelte die Fotos der Vermieterin, die daraufhin eine Räumungsklage gegen den Mieter einbrachte. Der aufgrund dieser Datenverarbeitungen erhobenen Datenschutzbeschwerde des Mieters gab die DSB statt. Das BVwG wies die gegen den Bescheid der DSB erhobene Bescheidbeschwerde des Detektivunternehmens ab.

Das BVwG hat erwogen: Als Rechtfertigungsgrund kommt hier nur die Wahrung berechtigter Interessen gemäß Art 6 Abs 1 lit f DSGVO in Betracht. Daher ist eine Interessenabwägung durchzuführen. Die Aufnahmen zeigen den Mieter in seinem höchstpersönlichen Lebensbereich (in seiner Wohnung) sowie in einem anderen geschützten Bereich (an seinem Arbeitsplatz). Dem Geheimhaltungsinteresse des Mieters sind die Interessen des Detektivunternehmens an der Ausübung seines Gewerbes (geregelt in § 129 f GewO 1994) und das Interesse der Vermieterin an der vertragsgemäßen Nutzung ihrer Wohnung sowie an der Dokumentation potenzieller mietrechtlicher Kündigungsgründe gegenüberzustellen. Berufsdetektive dürfen gemäß § 129 Abs 1 Z 3 GewO 1994 für Zwecke eines gerichtlichen oder verwaltungsbehördlichen Verfahrens Beweismittel wie Fotoaufnahmen anfertigen. Die Aufnahmen am Arbeitsplatz des Mieters hatten jedoch keinen Bezug zu mietrechtlich relevanten Umständen.

Die Aufnahmen in der Wohnung standen im Zusammenhang mit der mietrechtlichen Angelegenheit. Privatwohnungen genießen jedoch einen speziellen Schutz, weil sie dem höchstpersönlichen Lebensbereich zuzuordnen sind. Obwohl Fotoaufnahmen im höchstpersönlichen Lebensbereich ohne Einwilligung nicht per se unzulässig sind, verstieß das Detektivunternehmen gegen den Grundsatz der Datenminimierung, weil die mögliche bestandswidrige Nutzung der Wohnung auch mit gelinderen Mitteln hätte nachgewiesen werden können.

Ein Hotelier beauftragte eine Web-Agentur mit der Erstellung des Internetauftritts seines Hotels. Er erhob Datenschutzbeschwerde bei der DSB, weil die Agentur personenbezogene Daten über den Hotelier sowie den Namen des Hotels auf einem FTP-Server gespeichert haben soll, der auch anderen Geschäftskunden zugänglich war. Die DSB wies die Datenschutzbeschwerde ab. Die dagegen gerichtete Bescheidbeschwerde des Hoteliers wurde vom BVwG ebenso abgewiesen.

Das BVwG hat erwogen: Auf dem FTP-Server waren nur technische Daten gespeichert, die für das Layout, die Schriftarten, das Aussehen und die Funktionalität der Website verarbeitet wurden. Der Name des Hoteliers als Teil des Firmennamens kam weder im Ordnernamen noch in einer Dateibezeichnung vor. Die auf dem Server gespeicherten Daten enthielten keine Identifikationsmerkmale. Ebensowenig handelte es sich um relevante sachliche Informationen über den Hotelier. Eine Schriftart, ein Programmiercode oder eine Vektorgraphik sind keine relevanten – und auch schützenswerten – Aussagen über eine Person. Über den Hotelier wurden keine personenbezogenen Daten verarbeitet.

Ein Patient begehrte von seinem Arzt im Jahr 2019 Auskunft gemäß Art 15 DSGVO sowie den Erhalt der Daten per Einschreiben aber auf einer beigelegten DVD, sohin in einem gängigen, maschinenlesbaren Format gemäß Art 20 DSGVO. Er erhielt die Auskunft per Einschreiben in Papierform und erhob Datenschutzbeschwerde wegen unvollständiger Auskunft, weil die Seiten der einzelnen Befunde nicht nummeriert waren und ein Fax von ihm an den Arzt aus dem Jahr 2009 nicht beigelegt worden war, sowie wegen Verletzung im Recht auf Datenübertragbarkeit. Die DSB wies die Datenschutzbeschwerde ab. Auch das BVwG wies die daraufhin erhobene Bescheidbeschwerde ab.

Das BVwG hat erwogen: Das Auskunftsrecht des Art 15 DSGVO bezieht sich auf aktuelle Datenverarbeitungen. Eine Unvollständigkeit der Auskunft lag nicht vor, weil der Arzt die Inhalte des Faxes in die Patientendokumentation aufgenommen und beauskunftet hat. Die Form der Übermittlung der Auskunft war nicht zu beanstanden, weil der Patient in seinem Begehren selbst die Übermittlung per Einschreiben verlangt hat. Es kann der DSGVO nicht entnommen werden, dass Daten für Betroffene derart aufbereitet werden müssen, dass sie leichter bearbeitet werden können. Ein Recht auf Erhalt von Daten in einem "strukturiert, gängigen und maschinenlesbaren" Format ist in Art 15 DSGVO nicht vorgesehen. Der Anspruch des Art 20 DSGVO bezieht sich nur auf Daten, die dem Verantwortlichen von Betroffenen aktiv und wissentlich bereitgestellt wurden. Abgeleitete oder aus Rückschlüssen erzeugte Daten, die also das Ergebnis einer Verarbeitung sind, gelten nicht als bereitgestellt. Das trifft auch auf Befunde zu. Das Recht auf Datenübertragbarkeit ist nicht dafür da, Betroffene zur Aneignung fremder Leistungen zu ermächtigen.

Ein Mieter ersuchte den Rechtsanwalt seiner ehemaligen Vermieterin um Auskunft über seine personenbezogenen Daten. Nach dem ihm die entsprechende Auskunft erteilt wurde, monierte der ehemalige Mieter, dass Kopien von Dokumenten, wie ein Grundbuchs- und ein Firmenbuchauszug sowie diverser Schriftverkehr fehlen würde. Die DSB und das BVwG teilten die Ansicht des Mieters – wie auch bereits die DSB im erstinstanzlichen Verfahren – nicht.

Das BVwG hat erwogen: Das "Recht auf Kopie" ist kein eigenständiges Recht. Die Herausgabe ganzer Dokumente ist nicht vorgesehen. Nur in Fällen, in denen der Kontext, in dem die Daten stehen für die Verständlichkeit der Auskunft von Bedeutung ist, kann die Übermittlung von Auszügen aus Dokumenten oder von ganzen Dokumenten erforderlich sein. Die erteilte Auskunft war für den Mieter auch ohne Dokumente verständlich.

Das Anwaltsgeheimnis steht dem Auskunftsrecht entgegen. Zwar darf sich der Rechtsanwalt nicht pauschal auf das Anwaltsgeheimnis berufen, die Korrespondenz mit der Mandantin ist aber durch das Anwaltsgeheimnis geschützt. Das Anwaltsgeheimnis und das Recht auf Auskunft sind im Rahmen einer Interessenabwägung gegeneinander abzuwägen. Ein Mandant, der sich an einen Rechtsanwalt wendet, muss darauf vertrauen können, dass er durch die Informationserteilung an den Rechtsanwalt keine Beweismittel gegen sich schafft. Der Rechtsanwalt durfte daher die Herausgabe der Korrespondenz verweigern, auch wenn diese personenbezogene Daten des Mieters enthielt.

Ein mehrstufiger Auskunftsprozess ist grundsätzlich zulässig. Darauf kann sich der Verantwortliche jedoch nicht berufen, wenn bereits mit dem ersten Auskunftsersuchen eine konkrete Information verlangt wird. Ein Recht auf Herausgabe ganzer Dokumente bzw Aktenkopien besteht grundsätzlich nicht. Das Recht auf Auskunft darf mit dem Recht auf Akteneinsicht nicht vermengt werden. Der Verantwortliche ist nicht verpflichtet, Betroffenen physische Datenträger zur Verfügung zu stellen bzw von diesen bereitgestellte Datenträger zu verwenden (BVwG 22.01.2024, W252 2247042-1).

Das Ausdrucken und Übergeben einer E-Mail an einen Sachbearbeiter innerhalb der Firmenstruktur ist zulässig (BVwG 18.01.2024, W137 2243176-1).

Ein zur Wiedereinsetzung in den vorigen Stand führendes Ereignis liegt nur dann vor, wenn das Hindernis für die Versäumung der Frist kausal war. Wartungsarbeiten an Servern, die in der Regel geplantermaßen stattfinden, begründen nach allgemeiner Lebenserfahrung keinen unabwendbaren oder unvorhersehbaren Umstand (BVwG 01.02.2024, W287 2280832-2).

Am 29.02.2024 wird in den verbundenen Rs C-17/22 und C-18/22, HTB Neunte Immobilien Portfolio ua, eine mündliche Verhandlung stattfinden. Gegenstand der Verfahren sind "berechtigte Interessen" im Gesellschaftsrecht.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-604/22, IAB Europe, verkündet. Gegenstand des Verfahrens ist das sogenannte Transparency and Consent Framework, eine Cookie-Management-Plattform. Geklärt werden wird insb, ob alphanummerische Codes, wie Cookie-Kennungen, unter bestimmten Voraussetzungen personenbezogene Daten sind.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-740/22, Endemol Shine Finland, verkündet. Entschieden wird über die Frage, ob die mündliche Übermittlung personenbezogener Daten eine Verarbeitung iSd DSGVO ist sowie über das Verhältnis des Zugangs der Öffentlichkeit zu amtlichen Dokumenten mit der DSGVO.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 14.03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, die unrechtmäßig verarbeiteten Daten des Betroffenen zu löschen.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 21.03.2024 werden die Schlussanträge des Generalanwalts in der Rs C-61/22, Landeshauptstadt Wiesbaden, veröffentlicht. Gegenstand des Verfahrens ist die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten

Nummernunabhängige interpersonelle Kommunikationsdienste (zB Messenger-Dienste) sind in Russland in ein spezielles Register einzutragen. Dienste, die in dieses Register eingetragen sind, haben Metadaten über Internetkommunikationen für ein Jahr und Inhaltsdaten der Internetkommunikationen für sechs Monate aufzubewahren (= Vorratsdatenspeicherung). Auf Anfrage haben solche Dienste den Sicherheits- und Geheimdienstbehörden die gespeicherten Daten herauszugeben und, sofern die Daten verschlüsselt sind, auch die für die Entschlüsselung erforderlichen Daten mitzuliefern (= geheime Überwachung).

Telegram wurde 2017 in dieses Register eingetragen. Die Ende-zu-Ende Verschlüsselung war zwar nicht voreingestellt, konnte von den Nutzern aber ausgewählt werden. Der russische Geheimdienst (Federal Security Service; FSB) verlangte von Telegram die Herausgabe von mit sechs Telefonnummern verbundenen Daten sowie die zur Entschlüsselung der verschlüsselten Daten erforderlichen Informationen wegen Terrorismusverdachts und berief sich auf sechs Gerichtsurteile, die die Herausgabe dieser Daten angeordnet haben sollen. Telegram verweigerte die Herausgabe der für die Datenentschlüsselung erforderlichen Informationen, weil es unmöglich sei, dieser Anordnung Folge zu leisten, ohne eine Hintertür zu bauen, die den Verschlüsselungsmechanismus für alle Nutzer schwächt. Telegram wurde zu einer Strafe verurteilt und es wurde eine Sperranordnung an Telegram gerichtet. Dennoch blieb Telegram in Russland bis zum Urteil des EGMR verfügbar und funktionsfähig.

Die Offenlegungsanordnung des FSB wurde von 35 Telegramnutzern – darunter der spätere Beschwerdeführer vor dem EGMR – angefochten. Sie machten geltend, dass die geforderte Bereitstellung der Verschlüsselungsschlüssel (encryption keys) die Entschlüsselung der Kommunikation aller Nutzer ermöglichen würde und folglich auch ihr Recht auf Privatsphäre verletze. Die russischen Gerichte wiesen die Beschwerde als unzulässig zurück. Die dritte Kammer des EGMR stellte einstimmig eine Verletzung des Rechts auf Privatsphäre gemäß Art 8 EMRK fest.

Der EGMR hat erwogen: Der EGMR ist zuständig, weil sich der Sachverhalt vor dem 16.09.2022 ereignete, als Russland aufhörte, Vertragsstaat der EMRK zu sein.

Die bloße Vorratsdatenspeicherung stellt einen Eingriff in die Rechte nach Art 8 EMRK dar, unabhängig davon, ob die Behörden anschließend Zugriff auf die gespeicherten Daten erhalten. Die Speicherung ist, obgleich es von den privaten Diensteanbietern durchgeführt wird, gesetzlich vorgeschrieben und daher dem Staat zurechenbar. Ebenso ist die bloße Existenz eines Gesetzes, das die geheime Überwachung erlaubt, ein Eingriff in die Rechte gemäß Art 8 EMRK.

Die technischen Möglichkeiten wie auch die damit verbundenen Gefahren haben massiv zugenommen. Zu diesen Gefahren zählen ua der globale Terrorismus, Drogen- und Menschenhandel sowie die sexuelle Ausbeutung von Kindern. Verschlüsselung hilft jedoch Bürgern und Unternehmen, um sich gegen den Missbrauch von Informationstechnologien zur Wehr zu setzen. Um die Entschlüsselung der verschlüsselten Kommunikation zu ermöglichen, müsste die gesamte Verschlüsselungstechnologie von Telegram geschwächt werden. Der Einbau einer dafür erforderlichen Hintertür könnte auch von kriminellen Netzwerken ausgenutzt werden und könnte die Sicherheit aller Telegramnutzer ernsthaft gefährden.

Die russische Verpflichtung zur Vorratsdatenspeicherung umfasst ua die Speicherung der Stimm-, Text-, Bild-, Ton- und Videodaten. Der Eingriff ins Grundrecht ist damit äußerst weit und ernst. Die Diensteanbieter können auch verpflichtet werden, Equipment zu installieren, das den Behörden direkten Zugriff auf die gespeicherten Daten erlaubt. Der Datenzugriff bedarf zwar einer gerichtlichen Genehmigung, die Gerichtsentscheidung muss den Diensteanbietern jedoch nicht gezeigt werden und die entsprechenden Gerichtsentscheidungen wurden Telegram auch nicht gezeigt. Das Genehmigungsverfahren ist nicht geeignet, sicherzustellen, dass geheime Überwachungsmaßnahmen nur in Fällen angeordnet werden, in welchen dies in einer demokratischen Gesellschaft erforderlich ist. Die vorgesehenen Rechtsbehelfe sind nicht effektiv, weil die Betroffenen über die geheime Überwachung nicht informiert werden. Folglich liegt eine Verletzung des Art 8 EMRK vor.

Anm: Vorratsdatenspeicherung und Entschlüsselung sind auch innerhalb der EU ein Anliegen der Sicherheitsbehörden. Der EuGH hat die allgemeine Vorratsdatenspeicherung erstmals mit Urteil vom 08.04.2014, C‑293/12 und C‑594/12, Digital Rights Ireland Ltd, untersagt. Der VfGH lehnte mit Erkenntnis vom 11.12.2019 die Entschlüsselung verschlüsselter Kommunikationen ab (Stichwort: Bundestrojaner; VfSlG 20.356/2019).

Im Rahmen einer im Juli 2020 erhobenen Datenschutzbeschwerde behauptete ein Nachbar, in seinem Grundrecht auf Geheimhaltung verletzt worden zu sein, weil sein Grundstück vom Aufnahmebereich zweier Videokameras erfasst werde, die seine Nachbarin installiert hätte. Die Nachbarin bestritt die Möglichkeit einer unzulässigen Datenverarbeitung, weil es sich bei der einen Kamera um eine Attrappe handle und der Schwenkbereich der anderen Kamera nicht auch das Grundstück des Nachbars erfasse. Allein auf Basis von schriftlichen Stellungnahmen erließ die DSB einen die Datenschutzbeschwerde als unbegründet abweisenden Bescheid. Der dagegen erhobenen Bescheidbeschwerde gab das BVwG Folge, hob den Bescheid gemäß § 28 Abs 3 VwGVG auf und verwies die Angelegenheit zur Verfahrensergänzung und Erlassung eines neuen Bescheids an die DSB zurück. Die dagegen erhobene Amtsrevision der DSB wies der VwGH als unbegründet ab.

Der VwGH hat erwogen: In der Amtsrevision brachte die DSB vor, die AVG verpflichte sie zwar, zur Ermittlung der materiellen Wahrheit den vollen Beweis zu erbringen, Art 57 Abs 1 lit f DSGVO derogiere jedoch partiell den entsprechenden Bestimmungen des AVG, sodass für die Feststellung des maßgeblichen Sachverhalts nicht der "volle Beweis" gefordert werde, sondern die Beschwerdebehandlung – einzelfallbezogen – "in angemessenem Umfang" zu erfolgen habe. Entgegen der Ansicht der DSB besteht jedoch kein Anhaltspunkt für eine "partielle" Derogation der §§ 37 und 39 Abs 2 AVG.

Die DSB hat sich trotz einander widersprechender Behauptungen der Nachbarn zur Frage der Betriebsweise (Schwenkbarkeit) der Kameras bloß mit der Einholung schriftlicher Stellungnahmen begnügt und hat die Nachbarin, obwohl es geboten gewesen wäre, mündlich nicht einvernommen. Das BVwG ist daher vertretbar davon ausgegangen, dass die DSB ihrer Pflicht zur Bearbeitung der Datenschutzbeschwerde nicht mit aller gebotenen Sorgfalt nachgekommen ist.

Ein Offizier des Bundesheeres geriet mit Vorgesetzten und Untergebenen aufgrund unterschiedlicher Vorstellungen der Dienstausübung und des Umgangstons des Offiziers wiederholt aneinander. Die Folge waren zahlreiche Disziplinarbeschwerden bei der Bundesdisziplinarbehörde, Strafanzeigen bei der Staatsanwaltschaft und Datenschutzbeschwerden bei der DSB. Der Offizier wurde mit Disziplinarerkenntnis der Bundesdisziplinarbehörde (BDB) ua wegen unberechtigten Datenzugriffen im Aktensystem des Bundesheeres für schuldig befunden. Das BVwG bestätigte das Disziplinarerkenntnis ua wegen unrechtmäßigen Zugriffen im elektronischen Akt des Bundes (ELAK).

Das BVwG hat erwogen: Die Datenschutzbestimmungen des § 1 Abs 1 DSG iVm Art 6 Abs 1 lit e DSGVO lassen Datenverarbeitungen zur Wahrnehmung konkreter Verwaltungsaufgaben nur zu, wenn sie erforderlich sind. Der Offizier verarbeitete unrechtmäßig personenbezogene Daten, indem er auf die Mehrdienstleistungsanordnung eines Hauptmanns ohne dienstliche Notwendigkeit zugegriffen hat und diese samt der darin enthaltenen personenbezogenen Daten, Name und Personalnummer, mit weiteren Bediensteten teilte. Weiters verarbeitete der Offizier unrechtmäßig die Daten eines Obersts, indem er auf dessen Belohnungsantrag zugegriffen hat.

Dagegen handelte der Offizier rechtmäßig, als er einem Vorgesetzten vorschriftswidriges Verhalten vorwarf, weil ihm dieser die Einsicht in seinen Personalakt verweigerte. Beim Verlangen um Einsicht in den eigenen Personalakt handelt es sich um ein Auskunftsersuchen über die eigenen Daten. Die Einsicht darf nicht deshalb verweigert werden, weil man befürchtet, der Offizier könnte erneut einen Fehler finden und diesen bei der DSB zur Anzeige bringen. Der Offizier durfte einem Vorgesetzten auch einen Verstoß gegen Datenschutzbestimmungen anlasten, weil dieser auf einem Selbstauskunftsbogen des Offiziers bei der Frage nach Vorstrafen zur Angabe des Offiziers ("Nein") händisch "bereits verjährt" vermerkt hatte, obwohl verjährte Vorstrafen für den Zweck des Auskunftsbogens außer Acht bleiben mussten und dies dem Vorgesetzten bekannt war. Ebenfalls rechtmäßig handelte der Offizier, als er hinsichtlich der Empfängernennung in Auskunftsschreiben eine andere Rechtsansicht vertrat als ein Vorgesetzter und deshalb in einem der zahlreichen Verfahren vorbrachte, dass er durch die unvollständige Empfängernennung vom Vorgesetzten in seinen Rechten verletzt worden war. Der EuGH stützte später die Rechtsansicht des Offiziers, dass Empfänger konkret benannt werden müssen, und darüber hinaus dient das Disziplinarrecht nicht dazu, unliebige Meinungsäußerungen zu untersagen, sofern diese im Rahmen der freien Meinungsäußerung vertretbar sind.

Allein die missbräuchliche Beschaffung von dem Datenschutz unterliegenden personenbezogenen Daten, ohne darüberhinausgehenden Vorsatz, ein konkretes Recht des Staates oder einer Person zu schädigen, reicht für die Verwirklichung des Tatbestands von § 302 Abs 1 StGB (Amtsmissbrauch) zwar nicht aus. Eine missbräuchliche Datenbeschaffung indiziert aber in der Regel den Vorsatz, das Geheimhaltungsinteresse der betroffenen Person zu verletzen.

Bis zur Entscheidung des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, wird das Verfahren über die Rechtsfrage, welche aussagekräftigen Informationen über die involvierte Logik einer automatisierten Entscheidungsfindung, die im Spannungsverhältnis zu einem Geschäftsgeheimnis stehen, zu erteilen sind, ausgesetzt (BVwG 26.01.2024, W221 2253358-1).

Ist vom BVwG in einer erheblichen Anzahl von anhängigen oder in naher Zukunft zu erwartenden Verfahren eine Rechtsfrage zu lösen und ist gleichzeitig beim Verwaltungsgerichtshof eine Revision zur selben Rechtsfrage anhängig, kann das BVwG das Verfahren aussetzen (BVwG 29.01.2024, W101 2248576-1).

Bis zur Entscheidung des EuGH in der Rs C-416/23, Österreichische Datenschutzbehörde, wird das Verfahren über die Rechtsfrage, ob über 300 Datenschutzbeschwerden mit gleichbleibendem Kern iSd Art 57 Abs 4 DSGVO exzessiv sind, ausgesetzt (BVwG 22.01.2024, W252 2280887-1).

Bis zur Entscheidung des EuGH in der Rs C-416/23, Österreichische Datenschutzbehörde, wird das Verfahren über die Rechtsfrage, ob die Datenschutzbeschwerde des Beschwerdeführers wegen ihres wiederholenden und rechtsmissbräuchlichen Charakters iSd Art 57 Abs 4 DSGVO exzessiv ist, ausgesetzt (BVwG 22.01.2024, W252 2280766-1).

Die Datenschutzbeschwerde kann in jeder Lage des Verfahrens mit der Wirkung zurückgezogen werden, dass die DSB unzuständig und der erlassene Bescheid nachträglich rechtswidrig wird. In solchen Fällen hat das BVwG den Bescheid ersatzlos zu beheben (BVwG 16.01.2024, W292 2248304-1).

Gemäß § 5 WiEReg haben Rechtsträger bestimmte personenbezogene Daten über ihre wirtschaftlichen Eigentümer an die Bundesanstalt Statistik Österreich als Auftragsverarbeiterin der Registerbehörde (Bundesminister für Finanzen) zu melden. Die Meldung der Daten hat im elektronischen Weg über das Unternehmerserviceportal zu erfolgen. Wird eine Meldung nicht erstattet, kann das Finanzamt Österreich deren Vornahme durch Verhängung einer Zwangsstrafe erzwingen, solange die zu erzwingende Handlung noch nicht vorgenommen wurde (BFG 24.01.2024, RV/2100418/2023).

Ein Nutzer besuchte die US-Website einer in den USA niedergelassenen Websitebetreiberin. Im Zuge des Websitebesuchs willigte der Nutzer in die Verwendung von Cookies ein. Anschließend brachte der Nutzer Datenschutzbeschwerde bei der DSB ein, weil die von ihm erteilte Einwilligung ungültig gewesen sei und beantragte ua, der Websitebetreiberin die Löschung der über ihn erhobenen Cookie-Werte aufzutragen sowie das US-Websitebetreiberin zu verpflichten, allfällige Empfänger der Cookie-Werte über die Löschung iSd Art 19 DSGVO zu informieren. Die DSB gab der Datenschutzbeschwerde teilweise statt und trug der Websitebetreiberin ua auf:

1. Die Datenempfänger über die Löschung zu gemäß Art 19 DSGVO zu informieren.
2. Auf der ersten Ebene des Cookie-Banners neben der Schaltfläche für das Akzeptieren der Cookies eine gleichwertige Option für das Ablehnen der Cookies vorzusehen.
3. Einen ausdrücklichen Hinweis, wo das Recht auf Widerruf der Einwilligung ausgeübt werden kann, in den Cookie-Banner aufzunehmen.

Die DSB hat erwogen: Die US-Website ist zwar an kein europäisches Publikum gerichtet, sie verweist aber auf die Webshops anderer Unternehmen. Die britische Website bietet die Möglichkeit an, ein Printabonnement nach Österreich zu bestellen. Das bloße Zugänglichmachen der Website, einer E-Mail-Adresse oder von Kontaktdaten reichen jedoch nicht aus, um den räumlichen Anwendungsbereich der DSGVO zu eröffnen. Dennoch eröffnet ist der räumliche Anwendungsbereich der DSGVO deshalb, weil auf dem Endgerät des Nutzers Cookies ausgelesen wurden und durch Tracking auf Verhaltensprofilen basierte Personalisierungsfunktionen angeboten werden.

Die erhobenen Cookie-Werte sind personenbezogene Daten, weil die Cookies einzigartige, zufallsgenerierte Werte im Endgerät des Nutzers setzten und diese Werte an die Server der Cookie-Anbieter übermittelten.

Die eingeholte Einwilligung zum Setzen der Cookies war ungültig, weil es auf der ersten Ebene des Cookie-Banners keine Möglichkeit gab, die Einwilligung zu verweigern. Die Daten wurden daher unrechtmäßig verarbeitet und mussten von der Websitebetreiberin gelöscht werden. Dies hat sie auch getan, allerdings hätten gemäß Art 19 DSGVO auch die Empfänger der Informationen der Cookie-Werte über die erfolgte Löschung informiert werden müssen. Die US-Websitebetreiberin wendete zwar ein, dass dies mit einem unverhältnismäßigem Aufwand verbunden wäre, sie war für diese Behauptung jedoch beweispflichtig und hat keinen Nachweis erbracht.

Eine Beamtin bewarb sich für eine Führungsfunktion. Aufgrund eines entsprechenden Erlasses (sog Logfileerlass) wurden im Rahmen des Bewerbungsprozesses ihre Datenbankzugriffe analysiert. Es stellte sich zunächst heraus, dass sie auf die Steuerdaten ihres Gatten und ihrer Arbeitszimmerkollegin mehrfach ohne dienstlichen Grund zugegriffen hat. Die Beamtin verteidigte sich damit, dass sie auf die entsprechenden Daten auch privat hätte zugreifen können, es aber praktischer und schneller gewesen sei, die Daten dienstlich abzufragen. Nach weiteren Untersuchungen stellte sich heraus, dass die Beamtin auch die Daten weiterer Personen, ua in Zusammenhang mit ihrer politischen Tätigkeit, ohne dienstlichen Grund und in vielen Fällen auch ohne Einverständnis der Betroffenen abgefragt hat. Die für die Beamtin zuständige Dienstbehörde erstattete Disziplinaranzeige an die Bundesdisziplinarbehörde (BDB) und auch Strafanzeige an die zuständige Staatsanwaltschaft (StA). Die Beamtin war geständig und es wurde über sie wegen Verletzung von Bestimmungen des Beamten-Dienstrechtsgesetzes (BDG), die solche Datenzugriffe untersagten, die Disziplinarstrafe der Geldbuße iHv EUR 2.800 verhängt. Die StA stellte das Verfahren diversionell ein.

Die BDB hat datenschutzrechtlich relevant erwogen: Die Beamtin stand zu den Personen, deren Daten sie abfragte, entweder in einem Angehörigenverhältnis oder es handelte sich um Bekannte, vorwiegend aus ihrem politischen Umfeld. Deshalb ist die Beamtin als befangenes Organ anzusehen und kann daher eine dienstliche Veranlassung zur Vornahme der dokumentierten Datenzugriffe nicht gegeben sein. Die nur für dienstliche Belange bestehende rechtliche Erlaubnis, das Grundrecht auf Datenschutz (§ 1 DSG) zu durchbrechen, wird von einer Beamtin dann missbräuchlich in Anspruch genommen, wenn eine Ermittlung personenbezogener Daten ohne dienstliche Rechtfertigung erfolgt. Nach dem OGH führt der Befugnismissbrauch bei deliktspezifischem Schädigungsvorsatz zu einer strafrechtlichen Verantwortlichkeit nach § 302 Abs 1 StGB (Amtsmissbrauch), ohne dass an sich ein tatsächlicher Schadenseintritt erforderlich wäre. In der Verletzung des Grundrechts auf Datenschutz nach § 1 DSG durch eine missbräuchliche Datenermittlung ist die konkrete Schädigung der Betroffenen zu erblicken. Der Beamtin war aufgrund der absolvierten internen Trainings und interner Weisungen die Rechtswidrigkeit ihres Verhaltens auch bekannt. Sie handelte zumindest mit bedingtem Vorsatz.

Am 22.02.2024 werden die Schlussanträge des Generalanwalts in der Rs C-693/22, I. (Vente d'une base de données), veröffentlicht. Gegenstand des Verfahrens ist der Verkauf einer aus personenbezogenen Daten bestehenden Datenbank im Rahmen eines Vollstreckungsverfahrens.

Am 29.02.2024 wird in den verbundenen Rs C-17/22 und C-18/22, HTB Neunte Immobilien Portfolio ua, eine mündliche Verhandlung stattfinden. Gegenstand der Verfahren sind "berechtigte Interessen" im Gesellschaftsrecht.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-604/22, IAB Europe, verkündet. Gegenstand des Verfahrens ist das sogenannte Transparency and Consent Framework, eine Cookie-Management-Plattform. Geklärt werden wird insb, ob alphanummerische Codes, wie Cookie-Kennungen, unter bestimmten Voraussetzungen personenbezogene Daten sind.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-740/22, Endemol Shine Finland, verkündet. Entschieden wird über die Frage, ob die mündliche Übermittlung personenbezogener Daten eine Verarbeitung iSd DSGVO ist sowie über das Verhältnis des Zugangs der Öffentlichkeit zu amtlichen Dokumenten mit der DSGVO.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 14.03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, die unrechtmäßig verarbeiteten Daten des Betroffenen zu löschen.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 21.03.2024 werden die Schlussanträge des Generalanwalts in der Rs C-61/22, Landeshauptstadt Wiesbaden, veröffentlicht. Gegenstand des Verfahrens ist die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten

VwGH 14.12.2023, Ra 2023/13/0054

Die Erbin eines verstorbenen Erblassers richtete einen Auskunftsantrag nach § 4 Abs 4 KontRegG an den Bundesminister für Finanzen (BMF). Die Erbin stellte den Antrag, der BMF möge Auskunft darüber erteilen, welche den Erblasser betreffende Daten in das Kontenregister aufgenommen und welche Konten diesem konkret zugeordnet sind. Für den Fall der Nichterteilung der Auskunft ersuchte die Erbin – ua gestützt auf das AuskunftspflichtG – um Bescheiderlassung. Der BMF wies den Antrag der Erbin mit der Begründung ab, dass es sich bei den im Kontenregister erfassten Daten um personenbezogene Daten des Erblassers handelt. Mit dem Tod des Betroffenen erlösche das Recht auf Datenschutz; damit erlösche auch das Recht auf Auskunft. Gegen den Bescheid des BMF erhob die Erbin Bescheidbeschwerde an das BVwG, das die Bescheidbeschwerde gemäß § 6 AVG iVm § 17 VwGVG an das Bundesfinanzgericht (BFG) weiterleitete. Das BFG wies die Bescheidbeschwerde ab. Über die dagegen gerichtete Revision behob der VwGH das Erkenntnis des BFG wegen von Amts wegen aufzugreifender Rechtswidrigkeit infolge Unzuständigkeit.

Der VwGH hat erwogen: Die Bestimmung des § 4 Abs 4 KontRegG wurde aus Gründen des Datenschutzes in das KontRegG eingefügt. Daraus kann aber nicht abgeleitet werden, dass dieses Auskunftsrecht (nur) über ein auf das DSG oder die DSGVO gestützte Auskunftsersuchen durchgesetzt werden kann. Der BMF hat über die Nichterteilung der Auskunft mit Bescheid entschieden, es wäre unschlüssig, wenn der Auskunftsantrag auf Datenschutzrecht gestützt gewesen wäre, weil in diesem Fall vom BMF (lediglich) zu begründen gewesen wäre, warum die Auskunft nicht oder nicht vollständig erteilt wird. Das AuskunftspflichtG ist nicht anzuwenden, weil § 4 Abs 4 KontRegG eine besondere Auskunftspflicht vorsieht, es war aber – mangels anderer Regelung – bei sinngemäßer Anwendung des AuskunftspflichtG mit Bescheid abzusprechen.

Das BFG ist für Rechtssachen in Angelegenheiten der öffentlichen Abgaben oder des Finanzstrafrechts zuständig. Nach dem Gesetz besteht keine Verknüpfung zwischen einem Auskunftsantrag nach § 4 Abs 4 KontRegG und einer Abgabenangelegenheit. Das BFG war daher für die Entscheidung unzuständig.

OGH 17.01.2024, 6Ob143/23g

Der Betroffene begehrte von der DSB gemäß Art 15 Abs 3 DSGVO eine Kopie von Protokollen von Gemeinde- und Stadtratssitzungen, die der DSB im Zuge eines amtswegigen Prüfverfahrens übermittelt worden waren und Ausführungen zur Person des Betroffenen und dessen Familie enthielten. Da die DSB das Begehren ablehnte, erhob der Betroffene Klage gegen die DSB vor einem Zivilgericht und beantragte die Herausgabe der Protokolle. Das Erstgericht erklärte den ordentlichen Rechtsweg auf Grundlage des Art 79 DSGVO für zulässig. Das Rekursgericht berichtigte die Parteienbezeichnung (auf "Republik Österreich [Bund]"), erklärte den ordentlichen Rechtsweg unter Abänderung des erstgerichtlichen Beschlusses für unzulässig, wies die Klage zurück, ließ aber den ordentlichen Revisionsrekurs zu. Der OGH erachtete den Revisionsrekurs für zulässig, aber nicht berechtigt.

Der OGH hat erwogen: Die Doppelgleisigkeit des Rechtsschutzes unter der DSGVO – dh der Rechtsschutz steht den Betroffenen im Verwaltungsrechtsweg und im Zivilrechtsweg offen – wird vom erkennenden Senat des OGH in ständiger Rechtsprechung für auf Gleichordnung beruhende bürgerlich-rechtliche Ansprüche zwischen Privaten bejaht. Die DSB agiert jedoch hoheitlich und der Rechtsschutz gegen Handlungen oder Unterlassungen der DSB hat der Gesetzgeber durch die Zuständigkeit des BVwG gewährt. Dies ist mit der Rechtsprechung des EuGH vereinbar, denn die Mitgliedstaaten sind frei beim Festlegen des Zusammenspiels der Rechtsbehelfe nach Art 77 bis Art 79 DSGVO. Das BVwG ist ein Gericht, das mit den richterlichen Garantien der Unabhängigkeit, Unabsetzbarkeit und Unversetzbarkeit ausgestattet ist. Den Anforderungen des EuGH an den Rechtsschutz ist damit entsprochen. Der ordentliche Rechtsweg ist gegen die DSB unzulässig.

OGH 17.01.2024, 6Ob38/23s

Ein Unternehmen nahm ein "internes Scoring" anhand der Bestelldaten vor, wenn ein Kunde im Fall von Online-Bestellungen eine "unsichere Zahlungsart", also einen Rechnungs- oder Ratenkauf, auswählte. Bei Neukunden erfolgte automatisch eine Anfrage bei einer externen Auskunftei. War der Kunde der Auskunftei unbekannt, wurde die unsichere Zahlungsart abgelehnt. War der Kunde der Auskunftei bekannt, gab es unterschiedliche Scoring-Bewertungen. Bei rot wurde die unsichere Zahlungsart automatisch abgelehnt, bei gelb prüfte ein Mitarbeiter des Unternehmens die Voraussetzungen für die Annahme der unsicheren Zahlungsart und bei grün wurde die Bestellung angenommen. Der Verein für Konsumenteninformation (VKI) begehrte das Verbot, "die Bonitätsprüfung anhand von Scoring vorzunehmen, ohne dem Verbraucher das Recht einzuräumen, seinen eigenen Standpunkt darzulegen und seine Einstufung anzufechten" und behauptete einen systematischen Verstoß des Unternehmens gegen Art 22 DSGVO bei der Vergabe von Teilzahlungskrediten an Verbraucher.

Der OGH hat erwogen: Ein Unterlassungsbegehren ist so zu konkretisieren, dass aufgrund des stattgebenden Urteils Exekution geführt werden kann. Dieser Anforderung genügte das Unterlassungsbegehren des VKI nicht, weil das darin gebrauchte Wort "Scoring" keine konkrete, im Fall der Klagestattgebung einer Exekution zugängliche Verhaltensweise beschrieb. Der VKI hätte die tatsächlichen Umstände zu konkretisieren gehabt, die der behaupteten automatisierten Entscheidung zu Grunde liegen. Das Unterlassungsbegehren war auch unschlüssig, weil es auf die bloße Vornahme der Bonitätsprüfung (Scoring) abstellte, während die Klageerzählung die Verweigerung bestimmter Zahlungsarten behandelte.

Bevor ein unbestimmtes oder unschlüssiges Begehren abgewiesen wird, ist vom Gericht dessen Verbesserung anzuregen, damit die Parteien von der Rechtsauffassung des Gerichts nicht überrascht werden. Dies gilt auch im Verfahren vor dem OGH. Daher ist die Rechtssache zur Vermeidung des Überraschungseffekts zur neuerlichen Entscheidung an das Erstgericht zurückzuverweisen.

Anm: Der OGH erklärt nicht, weshalb es überraschend ist, dass ein Klagebegehren bestimmt und schlüssig sein muss.

BVwG 04.01.2024, W298 2262840-1

Die Empfängerin einer Einladung zu einem COVID-19-Impftermin erhob Datenschutzbeschwerde an die DSB und machte eine Geheimhaltungsverletzung durch eine näher bezeichnete Stelle als Beschwerdegegnerin geltend. Die DSB holte in einem Parallelverfahren die Stellungnahme einer anderen (in der Datenschutzbeschwerde nicht bezeichneten) Stelle ein und führte das Verfahren gegen diese Stelle als Beschwerdegegnerin fort. Die DSB gab der Datenschutzbeschwerde statt und befand, dass die nunmehrige Beschwerdegegnerin unrechtmäßig auf die Daten der Empfängerin im zentralen Impfregister und im zentralen Patientenindex zugegriffen hat. Das BVwG behob den angefochtenen Bescheid ersatzlos.

Das BVwG hat erwogen: Die Feststellung der Rechtsverletzung einer Person, die in der Datenschutzbeschwerde nicht als Beschwerdegegnerin genannt wird, überschreitet die "Sache" des Verfahrens. Ist die in der Datenschutzbeschwerde benannte Beschwerdegegnerin für die Datenverarbeitung nicht verantwortlich und kann die verfehlte Bezeichnung der Beschwerdegegnerin im Wege einer vertretbaren Auslegung nicht bereinigt werden, ist die Datenschutzbeschwerde abzuweisen. Die Berichtigung der Beschwerdegegnerin kommt von Amts wegen nicht in Frage, weil der DSB im amtswegig eingeleiteten Verfahren keine Feststellungskompetenz zukommt.

Die DSB hat die "Sache" des Verfahrens überschritten, indem sie den Bescheid gegen eine Stelle erlassen hat, die in der Datenschutzbeschwerde nicht benannt war.

BVwG 06.12.2023, W221 2280884-1

Ein Vater machte für sich und seinen minderjährigen Sohn Betroffenenrechte geltend. Seit 2018 brachte der Vater in diesem Zusammenhang 313 Datenschutzbeschwerden ein. Die DSB stufte das Vorgehen des Vaters als exzessiv ein und lehnte die Behandlung der Datenschutzbeschwerde gemäß Art 57 Abs 4 DSGVO ab. Die Datenschutzbeschwerde für den minderjährigen Sohn wies die DSB zurück. Die vom Vater ergriffene Bescheidbeschwerde wurde vom BVwG hinsichtlich des minderjährigen Sohnes zurückgewiesen und betreffend den Vater ausgesetzt.

Das BVwG hat erwogen: Der VwGH fragte den EuGH mit Vorabentscheidungsersuchen vom 27.06.2023, Ra 2023/04/0002, wann eine Anfrage gemäß Art 57 Abs 4 DSGVO exzessiv ist. Die Vorlagefrage des VwGH ist beim EuGH noch anhängig. Verwaltungsverfahren, für die die zu entscheidende Vorlagefrage präjudiziell ist, sind gemäß § 38 AVG auszusetzen. Die vom VwGH zu Art 57 Abs 4 DSGVO gestellte Vorlagefrage ist präjudiziell, weil die DSB die Behandlung der Datenschutzbeschwerde wegen deren exzessiven Charakters ablehnte.

Hinsichtlich des minderjährigen Sohnes war der Vater nicht zur Vertretung legitimiert.

BVwG 11.01.2024, W258 2243523-1

Ein Immobilienentwickler erhob Daten über potenzielle Verkaufsinteressenten aus dem Grundbuch und schrieb Liegenschaftseigentümer an. Im Herbst 2019 schrieb der Immobilienentwickler die Eigentümerin einer Liegenschaft an, die den Immobilienentwickler daraufhin um Löschung ihrer Daten ersuchte. Der Immobilienmakler löschte die aus dem Grundbuch erhobenen Daten, bewahrte aber die Korrespondenz mit der Eigentümerin zur Verteidigung von Rechtsansprüchen auf. Im März 2023 führte der Immobilienentwickler erneut eine Grundbuchsabfrage durch und schrieb dieselbe Eigentümerin wieder an. Die Eigentümerin beschwerte sich bei der DSB, weil sie ihr Recht auf Geheimhaltung für verletzt erachtete. Die DSB gab der Datenschutzbeschwerde statt und ordnete die vollständige Löschung der personenbezogenen Daten der Eigentümerin an. Das BVwG gab der dagegen erhobenen Bescheidbeschwerde des Immobilienentwicklers statt.

Das BVwG hat erwogen: Der Immobilienentwickler löschte aufgrund des Löschungsersuchens die Stamm- und Liegenschaftsdaten der Eigentümerin und entsprach damit dem Löschungsersuchen von 2019. Die Verarbeitung der Korrespondenz betreffend das Löschungsersuchen war zur Verteidigung gegen Rechtsansprüchen und zur Dokumentation des Löschvorgangs erforderlich. Folglich steht der Eigentümerin hinsichtlich der Korrespondenz kein Recht auf Löschung zu. Die erneute Erfassung der Daten nach einer weiteren Grundbuchsabfrage ändert nichts daran, dass dem ursprünglichen Löschungsersuchen entsprochen wurde. Der Eigentümerin wäre es offen gestanden, die Unterlassung der Verarbeitung ihrer Daten zu verlangen.

Laut dem Vorbringen des Immobilienmaklers wird Löschungsersuchen (damals zwar noch nicht, aber nunmehr) entsprochen, indem nicht alle Daten gelöscht werden, sondern die Liegenschaftsadresse mit einem Sperrvermerk verarbeitet wird, um das mehrfache Anschreiben von Liegenschaftseigentümern zu verhindern. Das ist rechtmäßig.

Anm: Die vom BVwG für rechtmäßig befundene Löschung per Sperrvermerk ist für das Adressverlagswesen gemäß § 151 Abs 8 GewO gesetzlich angeordnet. Der Gesetzgeber verlangt dort aber, die Betroffenen zu informieren und ihnen die Möglichkeit einzuräumen, auf die physische Löschung ihrer Daten zu bestehen. Die Löschung per Sperrvermerk bedeutet, dass Personen, die für einen bestimmten Zweck (zB Werbung) der Verarbeitung ihrer Daten widersprechen, in eine Liste eingetragen werden. Mit dieser Sperrliste oder "schwarzen Liste" wird vor dem Versand von Werbematerial ein Abgleich durchgeführt.

Weist die DSB eine Datenschutzbeschwerde zurück, spricht das BVwG nur über die Rechtmäßigkeit der Zurückweisung ab. Die Zurückweisung ist nicht rechtmäßig, wenn der Zurückweisungsbescheid vor Ablauf der in einem Mangelbehebungsauftrag gesetzten Frist erlassen wird. Die DSB wird im fortzusetzenden Verfahren zu beachten haben, dass das Bundesamt für Fremdenwesen und Asyl (BFA), die für die Datenverarbeitung verantwortliche Stelle ist, ua weil das BFA die Daten der Asylwerberin ins Zentrale Fremdenregister eingetragen hat (BVwG 22.01.2024, W101 2277417-1).

Grundstücksadressen sind personenbezogene Daten, weil mit Einsicht in das Grundbuch, das ein öffentliches Register ist, auf die Eigentümer geschlossen werden kann. Das öffentliche Interesse an Umweltinformationen überwiegt das Geheimhaltungsinteresse des Liegenschaftseigentümers an der Geheimhaltung des Umstands, dass für seine Liegenschaft ein umweltrechtliches Verfahren wegen Baumentfernungen anhängig ist, weil diese Information im Regelfall keinen Rückschluss auf höchstpersönliche Lebensumstände zulässt (LVwG Wien 04.07.2023, VGW-101/060/1619/2023).

DSB 26.04.2023, 2023-0.072.284

Ein spanisches Unternehmen sowie dessen Geschäftsführer erachteten sich in ihrem Geheimhaltungsrecht verletzt, weil ein Handelsunternehmen, bei dem das spanische Unternehmen zuvor einen Computer erworben hatte, in seiner internen Kundendatenbank die Information hinterlegte, dass von weiteren Geschäftsbeziehungen mit dem spanischen Unternehmen abgesehen wird. Der Eintrag enthielt eine (Kurz-)Bezeichnung, eine interne Nummer, die Adresse des Geschäftsführers sowie einen als "Sonderinformation" bezeichneten Text, wonach der Kunde (das spanische Unternehmen) am Telefon massiv stresst, mit Anwalt droht und keine Ausweiskopie zulässt. Die DSB wies die Datenschutzbeschwerde ab.

Die DSB hat erwogen: Das Handelsunternehmen verfügt über mehrere Niederlassungen in Österreich und die verfahrensgegenständliche Verarbeitung erfolgte im Rahmen der Tätigkeit von Niederlassungen in Österreich, die DSB ist daher örtlich zuständig. Das spanische Unternehmen ist zwar eine juristische Person, § 1 DSB schützt aber auch juristische Personen und dürfen diese Datenschutzbeschwerde bei der DSB einbringen. Die DSB ist daher auch sachlich zuständig.

Der Vermerk in der Kundendatenbank ist keine strafrechtliche Unterstellung und kann im Vermerk keine rechtswidrige Datenverarbeitung erblickt werden. Das Handelsunternehmen hat ein berechtigtes Interesse, in seiner internen Kundendatenbank zu vermerken, dass es mit bestimmten (juristischen) Personen, mit denen es bei früheren Geschäftskontakten zu Konflikten gekommen ist, von zukünftigen Vertragsabschlüssen absehen will.

Anm: Das BVwG hat in der Zwischenzeit (nach diesem Bescheid der DSB) die Aktivlegitimation juristischer Personen auf Beschwerde vor der DSB verneint (BVwG 19.09.2023, W298 2261568-1).

DSB 18.09.2023, 2023-0.336.563

Der Finder eines offenkundig vergessenen Pakets begab sich zu einer Polizeiinspektion, um eine Rechtsauskunft hinsichtlich des Finderlohns zu erhalten. Ihm wurde mitgeteilt, dass er sich mit dem Paket zum Fundamt begeben sollte und er wurde über die Konsequenzen der Nichtabgabe (Fundunterschlagung) belehrt. Der Finder verweigerte die Angabe seiner Identifikationsdaten. Da er jedoch amtsbekannt war, fuhr eine Polizeistreife zu seiner Wohnadresse und stellte das Paket sicher. Dem Finder wurde eine Ladung zur Vernehmung aufgrund des Verdachts der Fundunterschlagung zugestellt. Bei der Vernehmung wurde er unter Androhung von Zwangsgewalt erkennungsdienstlich behandelt (Fingerabdrücke, Maße und Fotos).

Der Finder erhob Datenschutzbeschwerde bei der DSB wegen Verletzung im Recht auf Geheimhaltung (wegen Erhebung seiner erkennungsdienstlichen Daten) und Verletzung im Recht auf Löschung (weil sein darauf gerichtetes Ersuchen abgelehnt wurde). Der Finder erhob auch Beschwerde beim LVwG OÖ, das die Löschung der Daten anordnete. Die DSB gab der Datenschutzbeschwerde hinsichtlich der Verletzung des Geheimhaltungsrechts statt.

Die DSB hat erwogen: Es ist das 3. Hauptstück des DSG anzuwenden, weil es sich um eine Datenverarbeitung durch einen Verantwortlichen des öffentlichen Bereichs zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten handelt. Nach § 38 DSG ist eine Datenverarbeitung ua dann zulässig, wenn sie gesetzlich vorgesehen und für die Erfüllung einer Aufgabe erforderlich und verhältnismäßig ist. Gemäß § 65 SPG sind Sicherheitsbehörden befugt, eine Person unter bestimmten Voraussetzungen erkennungsdienstlich zu behandeln. Der Finder war jedoch amtsbekannt, hat sich aus freien Stücken zur Polizeiinspektion begeben und konnte an seiner Adresse angetroffen werden. Die Voraussetzungen für die erkennungsdienstliche Behandlung lagen somit nicht vor.

Am 02.2024 werden die Schlussanträge des Generalanwalts in der Rs C-693/22, I. (Vente d'une base de données), veröffentlicht. Gegenstand des Verfahrens ist der Verkauf einer aus personenbezogenen Daten bestehenden Datenbank im Rahmen eines Vollstreckungsverfahrens.

Am 02.2024 wird in den verbundenen Rs C-17/22 und C-18/22, HTB Neunte Immobilien Portfolio ua, eine mündliche Verhandlung stattfinden. Gegenstand der Verfahren sind "berechtigte Interessen" im Gesellschaftsrecht.

Am 03.2024 wird das Urteil des EuGH in der Rs C-604/22, IAB Europe, verkündet. Gegenstand des Verfahrens ist das sogenannte Transparency and Consent Framework, eine Cookie-Management-Plattform. Geklärt werden wird insb, ob alphanummerische Codes, wie Cookie-Kennungen, unter bestimmten Voraussetzungen personenbezogene Daten sind.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, dessen unrechtmäßig verarbeitete Daten zu löschen.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

EuGH 30.01.2024, C-118/22, Direktor na Glavna direktsia „Natsionalna politsia“

In Bulgarien werden bestimmte Daten, einschließlich biometrischer und genetischer Daten, einer Person, die wegen einer vorsätzlichen Offizialstraftat verurteilt wurde, bis zu ihrem Tod in ein Polizeiregister eingetragen. Aufgrund einer falschen Zeugenaussage wurde eine Person strafgerichtlich verurteilt und ihre Daten wurden in diesem Polizeiregister gespeichert. Der Verurteilte wurde später rehabilitiert und seine Verurteilung ist aus dem bulgarischen Strafregister gelöscht worden. Der Verurteilte beantragte die Löschung seiner Daten auch aus dem Polizeiregister. Sein Löschungsantrag wurde jedoch abgelehnt, weil die Gründe für eine Löschung aus dem Polizeiregister im bulgarischen Gesetz abschließend geregelt waren und die Rehabilitation keiner dieser Gründe war.

Der EuGH hat entschieden: Die Datenverarbeitung in einem Polizeiregister fällt in den Anwendungsbereich der Datenschutzrichtlinie Polizei und Justiz (DSRL-PJ 2016/680), sofern die Daten nicht für den Schutz der nationalen Sicherheit verarbeitet werden. Genetische und biometrische Daten sind sensible Daten, deswegen wird ihnen ein erhöhter Schutz gewährt. Sie dürfen nur verarbeitet werden, wenn ihre Verarbeitung unbedingt erforderlich ist. Die Speicherung von Daten, einschließlich sensibler Daten, in einem Polizeiregister kann auch nach der Löschung der Verurteilung aus dem Strafregister und trotz Rehabilitation bis zum Tod der wegen einer vorsätzlichen Offizialstraftat verurteilen Person unbedingt erforderlich sein. Das unterschiedslose Speichern der Daten jeder wegen einer vorsätzlichen Offizialstraftat verurteilten Person bis zu ihrem Tod widerspricht jedoch dem Grundsatz der Datenminimierung, weil der Begriff "vorsätzliche Offizialstraftat" zu weit gefasst ist.

Die Erforderlichkeit der Datenaufbewahrung ist regelmäßig zu überprüfen und dem Verurteilten ist zu ermöglichen, die Löschung seiner Daten zu verlangen, wenn die Verarbeitung der Daten für die Zwecke, für die sie gespeichert wurden, nicht mehr erforderlich ist. Zur Wahrung der Verhältnismäßigkeit von Speicherfristen sind insb Art und Schwere der Straftat, der Kontext, in dem diese begangen wurde, der etwaige Zusammenhang mit laufenden Verfahren, sowie der Lebenswandel und das Profil des Verurteilten zu berücksichtigen.

OGH 19.12.2023 5Ob34/23w

Eine Bankkundin schloss mit ihrer Bank einen Kredit ab und geriet mit der Rückzahlung des Kredits in Verzug. Die Bank leitete ein Schuldenregulierungsverfahren ein und es kam zu Eintragungen in die Kleinkreditevidenz und in die Warnliste der österreichischen Banken, die jeweils von der KSV 1870 geführt werden. Im Oktober 2018 wurde Restschuldbefreiung nach Erfüllung des Zahlungsplans erteilt.

Die im Löschkonzept der KSV 1870 vorgesehenen Löschfristen von sieben Jahren waren noch nicht abgelaufen. Dem Löschungsersuchen einer Bank hätte die KSV 1870 aber auch vor Ablauf der Löschfristen entsprochen. Aus diesem Grund begehrte die Bankkundin – gestützt auf nachvertragliche Sorgfaltspflichten – von ihrer Bank, die Löschung ihrer Daten aus der Kleinkreditevidenz und der Bankenwarnliste zu veranlassen. Das Erst- und Berufungsgericht wiesen das Klagebegehren der Bankkundin ab.

Der OGH hat entschieden: Die Bankenbranche hat ein berechtigtes Interesse, eine objektive, transparente und wahrheitsgemäße Auskunft über die Zahlungsfähigkeit und -schwierigkeit von Kreditnehmern zu erhalten. Das Interesse an Informationen zum früheren Zahlungsverhalten liegt in der besseren Einschätzung des Kreditrisikos und so in der besseren Vermeidung von Zahlungsverzögerungen und -ausfällen. Daten über historische Insolvenzen und Zahlungsausfälle sind wesentlich, um das Zahlungsverhalten eines (potenziellen) Kreditnehmers einzuschätzen. Diese Daten verlieren zwar an Aussagekraft je älter sie werden. Hinsichtlich des Alters der Forderung stellte das Berufungsgericht aber zu Recht auf den Zeitpunkt der Erfüllung des Zahlungsplans ab. Auch war nicht zu beanstanden, dass das Berufungsgericht dem beträchtlichen Ausmaß des Zahlungsausfalls eine maßgebliche Bedeutung beimaß.

Der Einwand der Klägerin, wonach sich ihre Einkommensverhältnisse verbessert haben, ändert nichts am Informationsinteresse der Banken. Zudem wird die Einkommenssituation/Bonität der Bankkundin von künftigen Gläubigern bei der Einschätzung des Kreditrisikos miteinbezogen werden.

Gegen die Offenlegungspflichten gemäß § 277 ff UGB (zB Offenlegung von Jahresabschluss und Lagebericht) bestehen auch unter Bedachtnahme auf das Grundrecht auf Datenschutz keine Bedenken (OGH 20.12.2023, 6Ob29/23t).

BVwG 14.12.2023, W287 2259251-1

Ein Inkassobüro meldete negative Zahlungserfahrungsdaten über einen Kreditnehmer bei einer Kreditauskunftei ein. Der Kreditnehmer erachtete sich in seinem Recht auf Löschung verletzt und beschwerte sich bei der DSB. Die DSB gab der Datenschutzbeschwerde statt, weil der Kreditnehmer nicht in geeignete Art und Weise vorab über die Speicherung der Zahlungserfahrungsdaten in der Bonitätsdatenbank informiert worden sei. Die Kreditauskunftei erhob (erfolgreich) Bescheidbeschwerde an das BVwG.

Das BVwG hat entschieden: Der Kreditnehmer wurde über die Einmeldung seiner Daten in die Bonitätsdatenbank informiert. Die dem Kreditnehmer erteilten Informationen entsprachen zwar nicht den gesetzlichen Vorgaben, für den Kreditnehmer war aber klar zu erkennen, dass seine Zahlungserfahrungsdaten beim (weiteren) Ignorieren der Zahlungsaufforderung an eine Kreditauskunftei weitergegeben werden. Ferner führt die Verletzung der Informationspflicht nicht zwingend zur Rechtswidrigkeit der Verarbeitung, sonst müsste es aufgrund von Informationspflichtverletzungen auch bei verpflichtenden Datenverarbeitungen zur Löschung kommen.

Die Kreditauskunfteien haben zwar keine rechtliche Verpflichtung, jedoch ein von der Rechtsordnung gebilligtes berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO an der Verarbeitung. Die Tätigkeit der Kreditauskunfteien ist von der Rechtsordnung in § 152 GewO anerkannt. Der Zweck der Kreditauskunfteien liegt darin, den Kreditgebern aussagekräftige Informationen über das frühere Zahlungsverhalten der Kreditnehmer zur Verfügung zu stellen. Weder die DSGVO noch § 152 GewO enthalten konkrete Fristen zur zulässigen Speicherung von historischen Insolvenzverfahren und Zahlungsausfällen. Zur Beurteilung der zulässigen Speicherdauer kann jedoch die Kapitaladäquanzverordnung (VO 575/2013/EU) herangezogen werden. Zahlungserfahrungsdaten dürfen daher abhängig vom Einzelfall für mindestens fünf Jahre von Kreditauskunfteien aufbewahrt werden.

Ein Patient brachte Datenschutzbeschwerde gegen seinen ehemaligen Facharzt (für Sporttraumatologie und Unfallchirurgie) bei der DSB ein. Er erachtete sich in seinem Recht auf Geheimhaltung verletzt, weil seine medizinischen Unterlagen (Entlassungsbrief und OP-Bericht) vom Facharzt ohne seine Zustimmung erhoben wurden. Der Patient hatte zuvor eine Klage wegen fehlerhafter Behandlung gegen den Facharzt eingebracht. Die deshalb angeforderten medizinischen Unterlagen verwendete der Facharzt in dem Schadenersatzprozess als Beweismittel. Die DSB gab der Beschwerde statt, woraufhin der Facharzt (erfolglos) Bescheidbeschwerde beim BVwG einlegte.

Das BVwG hat entschieden: Die medizinischen Unterlagen enthielten Gesundheitsdaten gem Art 4 Z 15 DSGVO. Gesundheitsdaten sind sensible Daten gem Art 9 Abs 1 DSGVO, deren Verarbeitung grundsätzlich untersagt ist, es sei denn, es liegt eine der Ausnahmetatbestände iSd Art 9 Abs 2 DSGVO vor. Eine Einwilligung des Patienten wurde nicht eingeholt. Die Verarbeitung war auch für die Gesundheitsversorgung iSd Art 9 Abs 2 lit h DSGVO nicht erforderlich, weil der Facharzt zum Zeitpunkt der Datenanforderung nicht mehr als behandelnder Arzt anzusehen war. Die Verwendung der Daten war schließlich auch für das Gerichtsverfahren nicht erforderlich, denn der Facharzt verfügte zum selben Beweisthema bereits über andere gleichwertige Beweismittel. Weitere Ausnahmetatbestände kamen nicht in Frage, die Erhebung der medizinischen Unterlagen war sohin rechtswidrig.

BVwG 20.12.2023, W211 2261679-1

Eine Angestellte sprach ihre Kündigung gegenüber ihrem Dienstgeber, einem Transportunternehmen, aus. Drei Monate nach Beendigung des Dienstverhältnisses wurde die Dienstemailadresse der Angestellten deaktiviert und nach einem weiteren Monat gelöscht. Die (ehemalige) Angestellte brachte Datenschutzbeschwerde bei der DSB ein, weil das Transportunternehmen, in das auch für private Korrespondenzen verwendete E-Mail-Postfach nach Beendigung des Dienstverhältnisses Einsicht genommen habe. Weiters erachtete sie sich auch durch die Verarbeitung weiterer ihrer Daten im Recht auf Geheimhaltung verletzt und sie machte auch die Verletzung verschiedener Betroffenenrechte geltend (Rechte auf Information, Auskunft, Löschung, Datenübertragbarkeit).

Die DSB wies die Datenschutzbeschwerde ab. Daraufhin erhob die ehemalige Angestellte – die nun im Konkurrenzunternehmen ihres Ehemanns beschäftigt war – (erfolglos) Bescheidbeschwerde beim BVwG.

Das BVwG hat entschieden: Das Transportunternehmen hatte ein berechtigtes Interesse, wichtige Kommunikation und Korrespondenz betreffend die Abwicklung von Kundenaufträgen nicht zu verpassen, nachdem eine langjährige Angestellte das Unternehmen verlassen hatte. Das entgegenstehende Geheimhaltungsinteresse der ehemaligen Angestellten überwog nicht. Dies hätte sich zwar im Laufe der Zeit geändert. Die E-Mail-Adresse wurde jedoch nach drei Monaten deaktiviert und nach vier Monaten gelöscht. Innerhalb dieser Zeitspanne durfte das Transportunternehmen die Dienstemailadresse für ihre betrieblichen Interessen verwenden. Vom Transportunternehmen konnte auch das Hinterlegen einer Auto-Reply-Nachricht nicht verlangt werden.

Die weiteren monierten Datenverarbeitungen waren für die Abwicklung des Dienstverhältnisses erforderlich. Dies ua deshalb, weil die Datenverarbeitung zur Vertragsabwicklung für die Vertragserfüllung iSd Art 6 Abs 1 lit b DSGVO erforderlich ist.

Hinsichtlich der geltend gemachten Betroffenenrechtsverletzungen war die Bescheidbeschwerde ebenso unbegründet.

Wird eine Videoaufnahme in einem zivilgerichtlichen Verfahren als Beweismittel vorgelegt, trägt die vorlegende Partei die Behauptungs- und Beweislast, zu welchem Sachverhalt die Videoaufnahme als Beweismittel dienen soll, ob sie für diesen Zweck geeignet ist und in welchem Zeitraum die Videoaufnahme stattgefunden hat (BVwG 08.01.2024, W221 2280453-1).

Der nicht obsorgeberechtigte Vater ist mangels Vertretungsbefugnis weder zum Erheben einer Datenschutzbeschwerde noch zum Erheben einer Bescheidbeschwerde für seinen minderjährigen Sohn legitimiert (BVwG 16.01.2024, W211 2280883-1).

Im Einklang mit seiner ständigen Rechtsprechung sprach das BVwG aus, dass die Zurückziehung der Datenschutzbeschwerde, während das Verfahren beim BVwG anhängig ist, zur (rückwirkenden) Unzuständigkeit der DSB führt. Dadurch wird der Bescheid der DSB (nachträglich) rechtswidrig und ist vom BVwG von Amts wegen zu beheben (BVwG 16.01.2024, W211 2280187-1).

Für Rechtsschutz betreffend Datenschutzverletzungen ist die Datenschutzbehörde zuständig (LVwG NÖ 01.12.2023, LVwG-M-55/001-2022).

DSB 12.12.2023, 2023-0.603.142

Der Geschäftsführer eines Unternehmens schickte mehr als ein Monat nach einem Ransomware-Angriff eine Data Breach-Meldung gem Art 33 DSGVO an die DSB. Die – verspätet erstattete – Meldung enthielt zwar ungefähre Angaben über den Ransomware-Angriff und über die vom Unternehmen ergriffenen Maßnahmen. Aus Sicht der DSB war die Meldung aber zu allgemein gehalten. Die DSB leitete ein Sicherheitsverletzungs-Verfahren ein und fragte insb, ob die Betroffenen gem Art 34 DSGVO benachrichtigt wurden oder weshalb dies für nicht erforderlich befunden wurde. Anstatt die Fragen der DSB zu beantworten, teilte das Unternehmen mit, die Meldung nur abgegeben zu haben, um seine Versicherung zwecks Schadenserstattung zufrieden zu stellen.

Die DSB verhängte eine Geldbuße iHv EUR 5.900 – zuzüglich EUR 590 Verfahrenskostenbeitrag – gegen das Unternehmen wegen (i) fahrlässiger Verletzung der Meldepflicht gem Art 33 DSGVO sowie (ii) vorsätzlicher Verletzung der Mitwirkungspflicht nach Art 31 DSGVO. Zum Verschulden hielt die DSB fest, dass die Voraussetzungen des Verschuldens unionsautonom im Lichte der Rechtsprechung des EuGH auszulegen sind. Zur Strafzumessung brachte die DSB das Absorptionsprinzip des Art 83 Abs 3 DSGVO zur Anwendung und verhängte deshalb nur eine Geldbuße. Für die Strafzumessung schätzte die DSB den Jahresumsatz des Unternehmens anhand der Unternehmensgröße und wertete die Unbescholtenheit des Unternehmens strafmildernd.

Am 02.2024 wird in der Rs C-446/21, Schrems, eine mündliche Verhandlung stattfinden. Der OGH fragte den EuGH nach dem Verhältnis der Erlaubnistatbestände "Einwilligung" und "Vertragserfüllung" sowie zur Auslegung diverser Bestimmungen (Art 5, 6 und 9) der DSGVO.

Am 02.2024 werden die Schlussanträge des Generalanwalts in der Rs C-693/22, I. (Vente d'une base de données), veröffentlicht. Gegenstand des Verfahrens ist der Verkauf einer aus personenbezogenen Daten bestehenden Datenbank im Rahmen eines Vollstreckungsverfahrens.

Am 02.2024 wird in den verbundenen Rs C-17/22 und C-18/22, HTB Neunte Immobilien Portfolio ua, eine mündliche Verhandlung stattfinden. Gegenstand der Verfahren sind "berechtigte Interessen" im Gesellschaftsrecht.

Am 03.2024 wird das Urteil in der Rs C-604/22, IAB Europe, verkündet. Gegenstand des Verfahrens ist das sogenannte Transparency and Consent Framework, im Wesentlichen eine Cookie-Management-Plattform. Geklärt werden wird insb, ob alphanummerische Codes, wie Cookie-Kennungen, unter bestimmten Voraussetzungen personenbezogene Daten sind.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

EuGH 25.01.2024, C-687/21, MediaMarktSaturn

Bei der Warenausgabe eines großen Elektronikhändlers wurden Vertragsunterlagen und ein bestelltes Gerät versehentlich einem Dritten ausgehändigt. Der Irrtum wurde schnell behoben, ein Mitarbeiter des Elektronikhändlers erwirkte die Rückgabe des Geräts sowie der Unterlagen und händigte diese dem Kunden innerhalb von etwa einer halben Stunde aus. Dem Kunden wurde als Entschädigung die unentgeltliche Lieferung angeboten. Der Kunde hielt eine solche Entschädigung für unzureichend und verlangte Ersatz des immateriellen Schadens aufgrund des Risikos des Verlusts der Kontrolle über seine personenbezogenen Daten.

Das vorlegende Gericht fragte zunächst den EuGH, ob die Schadenersatznorm in der DSGVO (Art 82 DSGVO) mangels Bestimmtheit über die anzuordnenden Rechtsfolgen beim Ersatz eines immateriellen Schadens unwirksam sei. Weiters stellte das Gericht diverse Fragen zum immateriellen Schadenersatzanspruch.

Der EuGH erklärte die erste Frage für unzulässig. Die Unzulässigkeit liegt darin begründet, dass nach der Verfahrensordnung des EuGH die Gründe zur Überprüfung der Gültigkeit einer Bestimmung des Unionsrechts darzulegen sind, anhand derer das vorlegende Gericht Zweifel über die Gültigkeit dieser Bestimmung hat. Das Vorabentscheidungsersuchen enthielt hierfür keine konkreten Anhaltspunkte.

Die kurzfristige Datenweitergabe an den Dritten wertete der EuGH als Datenschutzverletzung. Der EuGH meinte aber, dass eine stattgefundene Datenschutzverletzung für sich allein noch nicht bedeutet, dass unzureichende technische und organisatorische Maßnahmen ergriffen worden sind. Im Einklang mit seiner nunmehr ständigen Rechtsprechung führte der EuGH zu Art 82 DSGVO aus, dass (i) die Beweislast für den Eintritt eines immateriellen Schadens der Betroffene trägt, (ii) der Schadenersatzanspruch eine Ausgleichsfunktion und keine Straffunktion hat und (iii) es für die Bemessung der Schadenersatzhöhe nicht auf die Schwere des Verstoßes gegen die DSGVO ankommt.

Ein rein hypothetisches Risiko der missbräuchlichen Verwendung der Daten durch Dritte reicht jedoch nicht aus, um einen Schadenersatzanspruch nach Art 82 DSGVO zu begründen.

EuGH Schlussanträge 25.01.2024, C-757/22, Meta Platforms Ireland II

Eine deutsche Verbraucherschutzeinrichtung erhob Zivilklage wegen behaupteter Datenschutzverstöße im App-Center von Facebook. Nach Ansicht der Verbraucherschutzeinrichtung entsprachen die Informationen unter dem Button "Sofort spielen" nicht den Anforderungen gem Art 12 und 13 DSGVO.

Das vorlegende Gericht ersuchte den EuGH in derselben Sache bereits 2020 um Vorabentscheidung. Mit Urteil vom 28.04.2022, C-319/20, Meta Platforms Ireland, sprach der EuGH über den persönlichen und sachlichen Anwendungsbereich des Art 80 Abs 2 DSGVO ab und bejahte die Klagelegitimation der Verbraucherschutzeinrichtung.

Im nunmehrigen Vorabentscheidungsersuchen ist nur mehr zu klären, ob sich diese Klagelegitimation auch auf die Verletzung von Informationspflichten gemäß Art 12 und 13 DSGVO erstreckt. Dies deshalb, weil laut Art 80 Abs 2 DSGVO von einer Verbraucherschutzeinrichtung nur die Verletzung von Betroffenenrechten "infolge einer Verarbeitung" geltend gemacht werden darf.

Nach Ansicht des Generalanwaltes darf eine Verbraucherschutzeinrichtung die Verletzung der Informationspflichten gemäß Art 12 und 13 DSGVO geltend machen, wenn die Informationspflicht mit einer bestimmten Verarbeitung zusammenhängt. Dabei muss es sich aber um eine tatsächlich existierende Datenverarbeitung handeln, die nicht bloß rein hypothetischer Natur ist.

Die einzelfallbezogene Auslegung einer Parteienerklärung – in einer Datenschutzbeschwerde – ist nur dann revisibel, wenn die Auslegung der Parteienerklärung vom BVwG in einer die Rechtssicherheit beeinträchtigenden, unvertretbaren Weise vorgenommen wird (VwGH 11.12.2023, Ra 2021/04/0095).

OGH 20.12.2023, 6Ob206/23x

Eine politische Partei fertigte im Zuge einer Gemeinderatssitzung Videoaufnahmen des Angestellten einer Gemeinde an. Die Partei veröffentlichte auf Facebook zwei Videos und hinterlegte jeweils ein Standbild, das den Angestellten der Gemeinde zeigt, als Hintergrund dieser veröffentlichten Beiträge. Der Angestellte musste sich mehrmals rechtfertigen, weil durch das Standbild der Eindruck entstand, er sei Mitglied der besagten Partei. Dadurch war der Angestellte "massiv genervt" und war deshalb auch im Krankenstand. Der Angestellte klagte die politische Partei auf Löschung sowie Unterlassung und begehrte zudem EUR 500 an Schadenersatz.

Die Unterinstanzen gaben der Klage statt. Der OGH wies darauf hin, dass die Beurteilung der Rechtmäßigkeit der Datenverarbeitung für "berechtigte Interessen" iSd Art 6 Abs 1 lit f DSGVO abgesehen von krassen Fehlbeurteilungen idR keine erhebliche Rechtsfrage und daher nicht revisibel ist. Die politische Partei habe nicht darlegen können, weshalb die Verwendung des Standbilds mit einer Abbildung des Angestellten erforderlich gewesen ist.

Der Einwand der politischen Partei ihre Facebook-Seite diene journalistischen Zwecken überzeugte den OGH nicht. Das Medienprivileg gemäß § 9 Abs 1 DSG wäre zwar (noch) anzuwenden gewesen: Obwohl § 9 Abs 1 DSG vom VfGH als verfassungswidrig aufgehoben wurde, tritt die Aufhebung erst mit Ablauf des 30.06.2024 in Kraft.

Trotz der gebotenen weiten Auslegung des Begriffs "zu journalistischen Zwecken" war im gegenständlichen Fall keine journalistische Zielsetzung erkennbar gewesen, weil eine über die bloße Information hinausgehende journalistische Bearbeitung nicht erfolgt ist.

Den Adäquanzzusammenhang legt der OGH weit aus: Ein Schaden ist schon dann adäquat herbeigeführt, wenn seine Ursache ihrer allgemeinen Natur nach für die Herbeiführung eines derartigen Erfolgs nicht als völlig ungeeignet erscheinen muss und keine ganz außergewöhnliche Verkettung von Umständen den Schadenseintritt bewirkt hat.

Laut OGH hatte der Angestellte, der aufgrund des Standbilds "massiv genervt" war und sich deshalb auch schon im Krankenstand befand, Anspruch auf immateriellen Schadenersatz iHv EUR 500.

Eine Einwilligungserklärung, die in AGB eingebunden ist, verstößt gegen das Koppelungsverbot, wenn keine besonderen Umstände für die Freiwilligkeit der Einwilligung sprechen. Die Einwilligungserklärung verstößt auch gegen das Transparenzgebot, wenn sie ohne besonderen Hinweis im Kontext mit anderen Inhalten angeführt wird (OGH 20.12.2023, 6Ob205/23z).

In einem nicht auf ein Urteil des EGMR gestützten Erneuerungsverfahren kann nur ein Verstoß gegen ein in der EMRK oder ihren Zusatzprotokollen normiertes Grundrecht geltend gemacht werden. Ein Verstoß gegen § 1 DSG kann nicht geltend gemacht werden. Das Verwerten privater Beweismittel in einem Ermittlungs- oder Hauptverfahren ist nicht nach den Maßstäben des Art 8 EMRK zu prüfen (OGH 11.01.2024, 12Os127/23b).

BVwG 04.01.2024, W298 2266986-1

Eine Justizwachebeamtin ist von einem Häftling verletzt worden und musste für 13 Tage in den Krankenstand. Die Republik Österreich schloss sich als Dienstgeberin der Justizwachebeamtin dem gegen den Häftling geführten Strafverfahren als Privatbeteiligte an. Der Republik sei ein Schaden entstanden, weil die Justizwachebeamtin einen (berechtigten) Entgeltfortzahlungsanspruch hatte. Für den Privatbeteiligtenanschluss mandatierte die Bundesministerin für Justiz (BMJ) die Finanzprokuratur mit der rechtsfreundlichen Vertretung der Republik. Zum Beweis des Schadens legte die Finanzprokuratur der Staatsanwaltschaft diverse ungeschwärzte Unterlagen der Justizwachebeamtin offen, die neben Gesundheitsdaten auch den Familienstand und Kontaktdaten der Justizwachebeamtin enthielten. Der Häftling erlangte im Zuge einer Akteneinsicht Kenntnis über diese Daten. Die Justizwachebeamtin befürchtete Racheaktionen und brachte eine Datenschutzbeschwerde bei der DSB ein.

Die DSB führte aus, dass ihre Befugnis zur Überprüfung von Beweismittelergebnissen durch das Übermaßverbot eingeschränkt sei und wies die Datenschutzbeschwerde daher ab.

Das BVwG entschied, dass kein Fall des Übermaßverbots vorlag, weil die Finanzprokuratur als Privatbeteiligtenvertreterin und somit wie ein Rechtsanwalt – und nicht wie eine Behörde – aufgetreten ist. Mit dem Übermaßverbot wird der Kompetenzabgrenzung zwischen Behörden Rechnung getragen. Die DSB soll in den Beurteilungsspielraum einer anderen für ein bestimmtes Verfahren zuständigen Behörde nicht übermäßig eingreifen. Da die Finanzprokuratur kein Verfahren führte, sondern als Rechtsanwalt der Republik auftrat, war das Übermaßverbot nicht zu beachten.

Laut dem BVwG durfte die Finanzprokuratur zur Geltendmachung von Rechtsansprüchen jene Daten, einschließlich Gesundheitsdaten, der Staatsanwaltschaft offenlegen, die grundsätzlich geeignet waren, das Vorliegen eines Schadens zu beweisen. Im Hinblick auf den Grundsatz der freien Beweiswürdigung könnte ein Gericht das Schwärzen einer Urkunde als Minderung von deren Beweiskraft werten, daher könne eine Partei oder deren Vertretung grundsätzlich nicht dazu verpflichtet werden, vorab Kürzungen vorzunehmen und dadurch ihre Erfolgsaussichten zu begrenzen. Die Offenlegung der Kontaktdaten und des Familienstands sei aber überschießend gewesen, weil diese Datenarten für den Anschluss als Privatbeteiligte im Strafverfahren nicht kausal waren. Die Justizwachebeamtin sei in ihrem Geheimhaltungsrecht in diesem Umfang verletzt worden.

Das BVwG ließ die Revision zu, weil es an Rechtsprechung des VwGH fehle, ob die (vollständige) Urkundenvorlage zum Beweis eines Schadens im Strafverfahren als Privatbeteiligter mit dem Datenschutzrecht vereinbar ist.

BVwG 21.12.2023, W108 2273414-1

Ein Niederösterreicher unterstützte einen Initiativantrag nach dem NÖ Stadtrechtsorganisationsgesetz (NÖ STROG). Mehr als ein Monat, nachdem der Initiativantrag in einer Gemeinderatssitzung behandelt wurde und kurz vor der NÖ Landtagswahl, erhielt der Niederösterreicher einen Brief des Bürgermeisters, der über das Ergebnis der Behandlung hinausgehend Informationen enthielt, die wie Werbung gewirkt hätten. Der Niederösterreicher erachtete sich wegen des Verwendens seiner Daten für den Briefversand in seinem Recht auf Geheimhaltung verletzt. Der Bürgermeister rechtfertigte den Briefversand mit § 8 Abs 4 NÖ STROG und der konkludenten Einwilligung des Niederösterreichers.

Das BVwG hielt fest, dass der Bürgermeister in seiner Funktion als staatliche Behörde iSd § 1 Abs 2 DSG handelte und daher Beschränkungen des Grundrechts auf Datenschutz nur aufgrund präziser gesetzlicher Grundlagen zulässig sind. Die Bestimmung des § 8 Abs 4 NÖ STROG erfüllt diese Voraussetzungen nicht, weil dort nur geregelt ist, dass der Zustellbevollmächtigte vom Ergebnis der Behandlung des Initiativantrags zu verständigen ist. Die Verständigung eines einfachen Unterstützers des Initiativantrags ist von dieser Bestimmung nicht gedeckt. Ebenso wenig konnte die Datenverarbeitung auf eine konkludente Einwilligung gestützt werden, weil weder Stillschweigen noch Untätigkeit eine Einwilligung darstellen. Zudem war die Datenverarbeitung nicht vorhersehbar. Durch die Verwendung der Daten zum Versand des Briefes wurde der Niederösterreicher sohin in seinem Recht auf Geheimhaltung verletzt.

Die DSB setzte ein Verfahren betreffend eine grenzüberschreitende Datenverarbeitung bis zur Festlegung und Entscheidung der federführenden Aufsichtsbehörde sowie bis zur allfälligen Entscheidung des EDSA aus. Dem Erkenntnis des VwGH vom 14.11.2023, Ro 2020/04/0009, folgend, behob das BVwG – widerwillig – den Aussetzungsbescheid der DSB. Der erkennende Senat des BVwG brachte aber unmissverständlich zum Ausdruck, dass er die Rechtsansicht des VwGH nicht teilt (BVwG 04.01.2024, W298 2278490-1).

Am 01.2024 hat der EuGH in der Rs C-118/22, Direktor na Glavna direktsia "Natsionalna politsia" pri MVR, entschieden. Gegenstand des Verfahrens war die Auslegung der Datenschutzrichtlinie (EU) 2016/680 für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftraten. Wir werden über diese Entscheidung nächste Wochen berichten.

Am 02.2024 wird in der Rs C-446/21, Schrems, eine mündliche Verhandlung stattfinden. Der OGH fragte den EuGH nach dem Verhältnis der Erlaubnistatbestände "Einwilligung" und "Vertragserfüllung" sowie zur Auslegung diverser Bestimmungen (Art 5, 6 und 9) der DSGVO.

Am 02.2024 werden die Schlussanträge des Generalanwalts in der Rs C-693/22, I. (Vente d'une base de données), veröffentlicht. Gegenstand des Verfahrens ist der Verkauf einer aus personenbezogenen Daten bestehenden Datenbank im Rahmen eines Vollstreckungsverfahrens.

EuGH 16.01.2024, C-33/22, Österreichische Datenschutzbehörde

Der Nationalrat setzte einen Untersuchungsausschuss ein, um eine mögliche politische Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) aufzuklären (BVT-Untersuchungsausschuss). Als Auskunftsperson wurde ein verdeckter Ermittler einvernommen, der die Anonymisierung seiner Aussage beantragte. Dennoch wurde das Protokoll seiner Befragung unter Nennung seines Klarnamens veröffentlicht. Die von der Auskunftsperson erhobene Datenschutzbeschwerde wurde von der DSB wegen Unzuständigkeit zurückgewiesen. Der Bescheidbeschwerde der Auskunftsperson gab das BVwG Folge. Die DSB erhob Amtsrevision an den VwGH.

Der VwGH fragte den EuGH, (i) ob in Hinblick auf den Gewaltenteilungsgrundsatz die parlamentarische Kontrolltätigkeit durch einen Untersuchungsausschuss in den sachlichen Anwendungsbereich der DSGVO fällt und (ii) bejahendenfalls, ob diese Kontrolltätigkeit vom Anwendungsbereich der DSGVO ausgenommen ist, wenn eine Behörde kontrolliert wird, die dem Schutz der nationalen Sicherheit dient. Weiters fragte der VwGH, (iii) ob sofern bloß eine nationale Datenschutzbehörde eingerichtet ist, deren Zuständigkeit sich unmittelbar aus Art 77 DSGVO ergibt.

Der EuGH erörterte, dass vom sachlichen Anwendungsbereich der DSGVO nach Art 2 Abs 2 lit a DSGVO nur Kategorien von Tätigkeiten und nicht Kategorien von Personen (privater oder öffentlich-rechtlicher Natur) ausgenommen sind. Die Tätigkeit eines Untersuchungsausschusses ist vom Anwendungsbereich der DSGVO auch dann nicht ausgenommen, wenn er unmittelbar und ausschließlich parlamentarisch tätig ist. Auch der Umstand, dass der Verantwortliche eine zum Schutz der nationalen Sicherheit eingerichtete Behörde ist, schließt nicht aus, dass auf durch diese Behörde durchgeführte Verarbeitungstätigkeiten die DSGVO anzuwenden ist. Die nationale Sicherheit kann jedoch Gesetzgebungsmaßnahmen iSd Art 23 DSGVO rechtfertigen, um Pflichten und Rechte der DSGVO zu beschränken.

Die letzte Frage des VwGH hatte den Hintergrund, dass aufgrund des verfassungsgesetzlich verankerten Prinzips der Gewaltentrennung die Kontrolle der Legislative durch die Exekutive (hier: die DSB) untersagt ist. Der EuGH stellte klar, dass, sofern – wie in Österreich – nur eine Datenschutzbehörde eingerichtet ist, die Befugnisse dieser Aufsichtsbehörde sich unmittelbar aus Art 77 und Art 55 DSGVO ergeben. Österreich ist ein Ermessenspielraum eingeräumt, so viele Datenschutz-Aufsichtsbehörden einzurichten, wie aufgrund seiner verfassungsmäßigen Struktur erforderlich sind.

Anm: Der Gesetzgeber ist aufgrund der "doppelten Bindung" sowohl an das Unionsrecht als auch an das Verfassungsrecht gebunden. Es müsste daher eine neue Datenschutzbehörde für die Kontrolle der parlamentarischen Tätigkeit eingerichtet werden. Solange dies nicht geschieht, ist aufgrund des Anwendungsvorrangs des Unionsrechts die DSB zuständig. Entsprechende Behördenzuständigkeiten gibt es bereits in der Gerichtsbarkeit (siehe unten: BVwG 20.11.2023, W108 2269168-1).

BVwG 13.12.2023, W292 2273362-1

Eine Hinterbliebene bestellte Schnittblumen bei einem Friedhofsgärtner. Nach der Bestellung wollte die Hinterbliebene aufgrund angeblich unfreundlicher Behandlung vom Vertrag zurücktreten. Der Friedhofsgärtner teilte ihr mit, dass es hinsichtlich Schnittblumen kein Rücktrittsrecht gibt. Daraufhin verfasste die Hinterbliebene eine negative Google-Rezension. In Beantwortung dieser Rezension hat der Friedhofsgärtner die Hinterbliebene mit Vor- und Nachnamen benannt.

Das BVwG erwog, dass die Veröffentlichung des Klarnamens der Hinterbliebenen weder auf den Erlaubniserstand "Vertragserfüllung" (Art 6 Abs 1 lit b DSGVO) noch auf den Erlaubnistatbestand "Wahrung berechtigter Interessen" (Art 6 Abs 1 lit f DSGVO) gestützt werden durfte. Der Friedhofsgärtner habe zwar ein berechtigtes Interesse an der Wahrung seiner geschäftlichen Reputation, die Offenlegung des Vor- und Nachnamens der Hinterbliebenen war jedoch nicht erforderlich. Zudem darf nach Ansicht des BVwG die Möglichkeit der anonymen Meinungsäußerung im Internet nicht unterbunden werden.

BVwG 18.12.2023, W292 2276989-1

Ein Justizwachebeamter legte den Strafvollzugsakt eines Häftlings gegenüber der Boulevardpresse eigenmächtig ohne Wissen des Leiters der Justizanstalt offen. Der Häftling brachte wegen Verletzung seines Rechts auf Geheimhaltung Datenschutzbeschwerde gegen die "Justizanstalt" ein, weil die Handlung des Justizwachebeamten der Justizanstalt zuzurechnen sei.

Das BVwG erachtete die Offenlegung des Strafvollzugsakts für rechtswidrig. Weiters hielt das BVwG fest, dass gem § 36 Abs 2 Z 7 lit a DSG iVm § 11 Abs 1 StVG der Anstaltsleiter, die für die Strafvollstreckung zuständige Behörde – der grundsätzlich die Rolle des Verantwortlichen zukommt – ist.

Der Justizwachebeamte handelte jedoch im Eigeninteresse und unter Verletzung des Amtsgeheimnisses. Deshalb war sein Verhalten dem Anstaltsleiter nicht zuzurechnen, sondern war der Justizwachebeamte selbst als Verantwortlicher zu qualifizieren.

BVwG 13.12.2023, W287 2256142-1 und W287 2256386-1

Ein Betroffener brachte Datenschutzbeschwerde bei der DSB gegen eine juristische Personen mit Sitz in Irland sowie in den USA ein. Nach Verstreichen der Entscheidungsfrist brachte der Betroffene Säumnisbeschwerde ein. Danach stellte die DSB ein Amtshilfeersuchen an die irische Aufsichtsbehörde, weil diese die federführende Aufsichtsbehörde sei (Art 61 DSGVO). Die irische Behörde fragte den Betroffenen, ob dieser mit ihrer Federführung einverstanden ist. Der Betroffene verneinte. Daraufhin setzte die DSB das Verfahren bis zur Feststellung der federführenden Aufsichtsbehörde mit Bescheid aus. Das Säumnisbeschwerdeverfahren stellte die DSB ein, weil die säumige Verfahrenshandlung nachgeholt worden sei. Der Betroffene brachte Bescheidbeschwerde beim BVwG ein.

Im Einklang mit seiner (nunmehr) ständigen Rechtsprechung behob das BVwG den Aussetzungsbescheid, weil in einem Verfahren zur Feststellung der federführenden Aufsichtsbehörde keine Vorfrage iSd § 38 AVG verbindlich beantwortet wird und es daher für die Aussetzung keine Rechtsgrundlage gab.

Die Rechtmäßigkeit der Einstellung des Säumnisbeschwerdeverfahrens wurde vom BVwG bestätigt. Denn solange der Aussetzungsbescheid dem Rechtsbestand angehörte, sei die Entscheidungspflicht weggefallen. Die dreimonatige Frist des § 16 VwGVG beginne nun aber neu zu laufen. Innerhalb dieser Frist habe die DSB zur verbindlichen Klärung des negativen Kompetenzkonflikts mit der irischen Aufsichtsbehörde zur Streitbeilegung den Europäischen Datenschutzausschuss (EDSA) zu befassen und eine allfällige Aussetzung des Verfahrens auf dieser Basis zu prüfen.

BVwG 20.12.2023, W108 2254815-1

Die Bewohner eines Grundstücks erhoben eine Datenschutzbeschwerde bei der DSB, in der sie behaupteten, dass ihr Recht auf Geheimhaltung durch unzulässige Bild- und Tonaufnahmen verletzt worden sei. Die Datenschutzbeschwerde richtete sich gegen eine Nachbarin, die angeblich eine Videokamera installiert hatte, die auf das gegenständliche Grundstück gerichtet war. Die Bewohner behaupteten, dass sie ohne ihr Einverständnis gefilmt wurden und dass die Kamera auf Bewegungen im Garten reagierte, indem sie Personen automatisch verfolgte und aufzeichnete. Die DSB wies die Datenschutzbeschwerde als unbegründet ab, weil das gegenständliche Grundstück vom Aufnahmebereich der Kamera nicht umfasst gewesen sei. Die Bewohner legten Bescheidbeschwerde beim BVwG ein.

Das BVwG hielt fest, dass die Bewohner substantiierte Behauptungen erstatteten, die eine mögliche Überwachung und Aufzeichnung ihres Grundstücks durch die Kamera der Nachbarin nahelegten. Das Ermittlungsverfahren der DSB sei unzureichend gewesen, weil wichtige Ermittlungsschritte, insb die förmliche Einvernahme der Parteien, unterblieben sind. Somit konnten wesentliche Tatsachen im Zusammenhang mit dem Betrieb der Kamera und der Speicherung von Bild- und Tondaten nicht geklärt werden. Das BVwG behob daher den angefochtenen Bescheid und verwies die Rechtssache zur neuerlichen Entscheidung an die DSB zurück.

In Einklang mit seiner ständigen Rechtsprechung, sprach das BVwG aus, dass eine Datenschutzbeschwerde, die nach Ablauf der subjektiven Präklusivfrist von einem Jahr eingebracht wird, wegen Präklusion zurückzuweisen ist (BVwG 15.12.2023, W108 2273800-1).

Die Verarbeitung personenbezogener Daten für eine Disziplinaranzeige gegen einen Richter des BVwG ist eine justizielle Tätigkeit, weil ein Disziplinarverfahren eine potenzielle Quelle mittelbaren Drucks für den Richter ist und weil das Disziplinarverfahren vor dem Bundesfinanzgericht als Disziplinargericht geführt wird. Über die Datenschutzbeschwerde entscheidet das BVwG in einem Senat aus drei Berufsrichtern (BVwG 20.11.2023, W108 2269168-1).

Die Information, dass ein Disziplinarverfahren gegen einen Bewerber auf Ernennung zum hauptberuflichen Mitglied der Bundesdisziplinarbehörde anhängig ist, darf an die Bundesdisziplinarbehörde weitergegeben werden (BVwG 20.12.2023, W108 2252906-1).

Das Anti-Gesichtsverhüllungsgesetz steht in keinem Widerspruch zum Datenschutzrecht. Dies auch dann nicht, wenn das Verhüllen des Gesichts die einzige Möglichkeit ist, einen videoüberwachten Bahnhof unerkannt zu durchqueren. Der Betroffene habe die Möglichkeit, die datenschutzrechtliche Zulässigkeit der Videoüberwachung an Bahnhöfen überprüfen zu lassen (LVwG NÖ 25.11.2023, LVwG-S-1718/001-2023).

DSB 07.12.2023, 2023-0.637.760

Die DSB forderte ein Unternehmen in einem Individualbeschwerdeverfahren mehrmals zur Stellungnahme auf. Das Unternehmen reagierte nicht. Die DSB verhängte deshalb eine Geldbuße iHv EUR 10.000 – zuzüglich EUR 1.000 Verfahrenskostenbeitrag – gegen das Unternehmen wegen Verletzung der Mitwirkungspflicht nach Art 31 DSGVO.

Im Hinblick auf das Urteil des EuGH vom 05.12.2023, C-807/21, Deutsche Wohnen wurde im Spruch des Straferkenntnisses nur die juristische Person als Unternehmensträger aber keine natürliche Führungsperson des Unternehmens benannt. Zur Strafzumessung brachte die DSB das Absorptionsprinzip gem Art 83 Abs 3 DSGVO zur Anwendung. Strafmildernd wurde (i) die Unbescholtenheit, (ii) die Mitwirkung des Unternehmen zumindest im Verwaltungsstrafverfahren sowie (iii) das nachträgliche Ergreifen von Maßnahmen des Unternehmens gewertet.

DSB 07.12.2023, 2023-0.583.644

Zwei Arbeitnehmer eines Gastronomiebetriebes beschwerten sich über eine Videoüberwachung am Arbeitsplatz. Daraufhin leitete die DSB ein Verwaltungsstrafverfahren ein und stellte fest, dass sich der Aufnahmebereich der Kameras auf den gesamten Küchen-, Lager-, Bar-, Eingangs- und Gästebereich der Betriebsstätte erstreckte. Die DSB verhängte eine Geldbuße iHv EUR 20.000 – zuzüglich EUR 2.000 Verfahrenskostenbeitrag – gegen den Gastronomiebetrieb, weil der Aufnahmebereich der Videoüberwachung ua Arbeitsplätze umfasste, die Aufzeichnung ständig – auch außerhalb der Betriebszeiten – durchgeführt wurde und die Aufzeichnungen für 14 Tage gespeichert wurden. Weiters habe das Unternehmen auch gegen seine Pflicht zur Führung eines Verarbeitungsverzeichnisses verstoßen. Eine natürliche Führungsperson wurde im Hinblick auf das Urteil des EuGH vom 05.12.2023, C-807/21, Deutsche Wohnen im Spruch des Straferkenntnisses nicht benannt.

Die DSB anerkannte zwar grundsätzlich ein berechtigtes Interesse an der Videoüberwachung zum Schutz des Eigentums sowie der Gesundheit und des Lebens der Mitarbeiter. Die Videoüberwachung müsse aber auf das absolut notwendige beschränkt werden. Der Aufnahmebereich außerhalb der Betriebszeit im Küchenbereich sowie die Speicherdauer von 14 Tagen seien nicht erforderlich gewesen. Videoaufzeichnungen dürften im Regelfall nur für 72 Stunden gespeichert werden. Für eine längere Aufbewahrung bedürfe es spezieller Gründe.

Zur subjektiven Tatseite hielt die DSB fest, dass dem Gastronomiebetrieb spätestens seit Abschluss des Individualbeschwerdeverfahrens hätte klar sein müssen, dass er gegen die DSGVO verstößt. Für die Strafzumessung wurde der Jahresumsatz des Gastronomiebetriebs von der DSB anhand der Unternehmensgröße nach den Leitlinien des EDSA für die Berechnung von Geldbußen iSd DSGVO geschätzt.

DSB 11.12.2023, 2023-0.789.858

Die Kundin einer Bank ersuchte die Bank um Auskunft gem Art 15 DSGVO. Der Datenschutzbeauftragte (DSBA) der Bank wertete das Begehren irrtümlich als Löschbegehren, löschte die personenbezogenen Daten der Kundin soweit möglich und bestätigte ihr die Löschung. Die Kundin beschwerte sich bei der DSB wegen Verletzung im Recht auf Auskunft. Die DSB verhängte eine Geldbuße iHv EUR 9.500 – zuzüglich EUR 950 Verfahrenskostenbeitrag – gegen die Bank, weil die Bank, statt Auskunft zu erteilen, die entsprechenden Daten der Kundin löschte. Eine natürliche Führungsperson wurde im Hinblick auf das Urteil des EuGH vom 05.12.2023, C-807/21, Deutsche Wohnen im Spruch des Straferkenntnisses nicht benannt.

Zum Vorliegen der subjektiven Tatseite hielt die DSB fest, dass der EuGH in der angeführten Rechtsprechung wenigstens fahrlässiges Verhalten vom Verantwortlichen voraussetze. Könne sich der Beschuldigte über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein, würde ihn ein Verschulden treffen. Die Kenntnis einer Führungsperson sei dafür nicht erforderlich. Dies sei, so die DSB, im gegenständlichen Fall erfüllt, weil das Verschulden der Bank anhand des Verhaltens des DSBA zu beurteilen ist und es keiner Zurechnung zu einer Führungsperson bedarf, weshalb auch die subjektive Tatseite vorliegt und eine Strafe zu verhängen war.

DSB 09.06.2022, 2021-0.643.804

In Folge eines Scheidungsverfahrens wurde eine Scheidungsfolgenvereinbarung, die uA die Aufteilung gemeinsamer Liegenschaften beinhaltete, vom zuständigen Grundbuchsgericht vollumfänglich in die Urkundensammlung aufgenommen. Aufgrund der damit einhergehenden Veröffentlichung darin enthaltener, das Grundbuch nicht betreffender Vereinbarungen über sonstige Vermögenswerte, erachtete sich die Exfrau im Recht auf Geheimhaltung verletzt.

Die DSB sprach aus, dass es sich bei der Führung eines öffentlichen Verzeichnisses durch das Grundbuchsgericht um keine justizielle Tätigkeit iSd Art 55 Abs 3 DSGVO handelt und bejahte daher ihre Zuständigkeit. Zur Verletzung im Recht auf Geheimhaltung hielt die DSB fest, dass § 87 Abs 1 GBG eine bloß teilweise Aufnahme des Scheidungsvergleichs nicht vorsieht. Sie verweist dazu auf einen Beschluss des OGH (OGH 25.01.2016, 5Ob250/15y), in dem ausgesprochen wurde, dass eine Teilausfertigung nicht ausreicht. Da die Veröffentlichung der personenbezogenen Daten vom Gesetz gedeckt ist, wurde die Datenschutzbeschwerde abgewiesen.

Am 01.2024 wird in der Rs C-687/21, MediaMarktSaturn, entschieden. Die Entscheidung wird verschiedene Fragen zum immateriellen Schadenersatz nach Art 82 DSGVO betreffen. Insb fragt das vorlegende Gericht, ob Art 82 DSGVO mangels Bestimmtheit unwirksam ist.

Anm: In dieser Rs wurden – soweit ersichtlich – keine Schlussanträge veröffentlicht. Angekündigt ist das Urteil.

Am 01.2024 werden die Schlussanträge des Generalanwalts in der Rs C-757/22, Meta Platforms Ireland veröffentlicht. Zu beantworten ist die Frage, ob die Verletzung von Informationspflichten iSd Art 12 und 13 DSGVO eine Rechtsverletzung "infolge einer Verarbeitung" ist und daher gem Art 80 Abs 2 DSGVO von einem Verbraucherschutzverband geltend gemacht werden kann.

Am 02.2024 wird in der Rs C-446/21, Schrems, eine mündliche Verhandlung stattfinden. Der OGH fragte den EuGH nach dem Verhältnis der Erlaubnistatbestände "Einwilligung" und "Vertragserfüllung" sowie zur Auslegung diverser Bestimmungen (Art 5, 6 und 9) der DSGVO.

Am 02.2024 werden die Schlussanträge des Generalanwalts in der Rs C-693/22, Vente d'une base de données, veröffentlicht. Gegenstand des Verfahrens ist der Verkauf einer aus personenbezogenen Daten bestehenden Datenbank im Rahmen eines Vollstreckungsverfahrens.

EGMR 11.01.2024, 42541/18, Tena Arregui/Spanien

Ein Mitglied der spanischen Partei UPyD beschwerte sich beim EGMR über eine Verletzung seines Rechts auf Privatleben und Korrespondenz gemäß Art 8 EMRK. Die UPyD ließ die E-Mail-Korrespondenz eines anderen Parteimitglieds überwachen, weil er in Verdacht stand, mit einer anderen spanischen Partei Verhandlungen zu führen. Das überwachte E-Mail-Konto war ein Konto der UPyD. Bei der Überwachung abgefangen wurden jedoch E-Mails des Beschwerdeführers, die er von seiner privaten E-Mail-Adresse verschickte. Der – spätere – Beschwerdeführer vor dem EGMR brachte eine strafrechtliche Klage in Spanien ein, weil seine E-Mail-Korrespondenz überwacht wurde. Die spanischen Gerichte wiesen seine Klage ab.

Die fünfte Kammer des EGMR erklärte die Beschwerde für zulässig, entschied aber einstimmig, dass Art 8 EMRK nicht verletzt wurde. Der EGMR argumentierte, dass den Staat eine positive Verpflichtung zum Schutz des Rechts auf Privatleben und Korrespondenz trifft, Spanien gegen diese Verpflichtung jedoch nicht verstoßen habe.

Die internen organisatorischen Strukturen politischer Parteien sind von einem Beschäftigungsverhältnis zu unterscheiden. Die organisatorische Autonomie einer politischen Partei ist durch das Recht auf Versammlungs- und Vereinigungsfreiheit geschützt (Art 11 EMRK), das bedeutet aber nicht, dass eine politische Partei die Korrespondenz ihrer Mitglieder unbeschränkt überwachen darf. Im konkreten Fall war Zweck der Überwachung, Unregelmäßigkeiten innerhalb der politischen Partei aufzudecken. Die Überwachung war auf einer Suche nach bestimmten Begriffen beschränkt und die Regeln zur Verwendung des UPyD-E-Mail-Kontos besagten klar, dass die Mailbox überwacht werden kann und die Informationen nach Beendigung der Parteimitgliedschaft der UPyD zur Verfügung stehen werden. Weiters wies der EGMR darauf hin, dass Strafgerichte nur beurteilen dürfen, ob ein Straftatbestand erfüllt ist. Dem Beschwerdeführer sei der Zivilrechtsweg offen gestanden, er habe diesen aber nicht genutzt. Durch die Abweisung seiner strafrechtlichen Klage sei der Beschwerdeführer in seinem Recht auf Privatleben und Korrespondenz unter den vorgenannten Umständen nicht verletzt.

Anm: der EGMR grenzte diese Entscheidung von der Rs Bărbulescu/Rumenien ab, indem er zwischen der Mitgliedschaft in politischen Parteien und Beschäftigungsverhältnissen differenzierte. Dennoch enthält die Entscheidung für Arbeitgeber wertvolle Hinweise.

EuGH 11.01.2024, C-231/22, Belgischer Staat

Ein Notar erstellte einen Beschlussauszug, der personenbezogene Daten der Gesellschafter enthielt und hinterlegte diesen beim zuständigen Unternehmensgericht. Das Gericht übermittelte den Auszug an eine gesetzlich eingerichtete Stelle ohne eigene Rechtspersönlichkeit, die solche Notariatsbeschlüsse in einem Amtsblatt veröffentlichte. Die personenbezogene Passage wurde vom Notar irrtümlich in den Auszug aufgenommen. Nachdem sich der Irrtum herausstellte, wendete sich der Gesellschafter mit Unterstützung des Notars an die Stelle, die das Amtsblatt veröffentlichte und ersuchte um Löschung dieser Passage. Die zuständige Stelle entsprach dem Löschungsersuchen nicht, weil sie den Beschlussauszug nur unverändert übernahm und daher der Ansicht war, dass sie iSd Art 4 Z 7 DSGVO für die Datenverarbeitung nicht verantwortlich war.

Der EuGH erwog, dass die Vorgabe der Zwecke und Mittel der Verarbeitung und gegebenenfalls die Benennung des Verantwortlichen durch das nationale Recht auch implizit erfolgen kann. Der Gesetzgeber habe die Datenverarbeitung durch das Amtsblatt implizit vorgegeben, daher sei das Amtsblatt die für die Datenverarbeitung verantwortliche Stelle. Die fehlende Rechtspersönlichkeit stehe der Verantwortlicheneigenschaft nicht entgegen, weil eine Behörde, Einrichtung oder Stelle iSd Art 4 Z 7 DSGVO nach nationalem Recht nicht zwangsläufig Rechtspersönlichkeit besitzt. Das Amtsblatt war auch alleine für die Einhaltung der in Art 5 Abs 1 DSGVO genannten Grundsätze verantwortlich, obwohl es erst am Ende einer Kette von Verarbeitungen, die Daten verarbeitete. Welche Pflichten bei einer gemeinsamen Verantwortung iSd Art 26 DSGVO welchen Verantwortlichen treffen, dürfe der nationale Gesetzgeber festlegen und die Pflicht zur Veröffentlichung des Beschlussauszugs wurde vom Gesetzgeber dem Amtsblatt auferlegt.

VwGH 27.11.2023, Ra 2023/04/0221, Ra 2023/04/0224, Ra 2023/04/0248

Eine intersexuelle Person erachtete sich in ihrem Recht auf Berichtigung als verletzt, weil keine Änderung ihres Geschlechtseintrags von "männlich" auf "divers" erfolgte. Die DSB setzte mehrere diesbezügliche Verfahren bis zur Entscheidung des EuGH in der Rs C-247/23, Deldits, aus, weil es auch in dieser Rs vor dem EuGH, um die Berichtigung des Geschlechtseintrags einer intersexuellen Person gehe und die Antwort des EuGH daher eine Vorfrage iSd § 38 AVG sei. Das BVwG gab den gegen die Aussetzungsbescheide gerichteten Bescheidbeschwerden der intersexuellen Person statt, weil die Rs Deldits nicht einschlägig sei.

Die Amtsrevisionen der DSB wurden vom VwGH zurückgewiesen. Der VwGH erwog, dass es für die Aussetzung eines Verfahrens nach § 38 AVG genügt, wenn beim EuGH ein Verfahren zur Klärung der betreffenden Frage in einem gleich gelagerten Fall, zu einer bloß ähnlichen Rechtsfrage anhängig ist oder wenn von mehreren vorgelegten Fragen auch nur eine Frage präjudiziell ist. Ob eine zur Vorabentscheidung an den EuGH vorgelegte Frage der zu beurteilenden Rechtsfrage ähnlich ist, sei aber im Einzelfall zu beurteilen und sei daher nur dann revisibel, wenn die Beurteilung des Verwaltungsgerichts offenkundig unzutreffend ist. Die Beurteilung des BVwG war nicht offenkundig unzutreffend, weil für die "Ähnlichkeit" bzw "Präjudizialität" der Rechtsfrage es nicht ausreicht, dass es um dieselbe unionsrechtliche Vorschrift geht.

Aus der weiteren Rechtsprechung des VwGH:

Eine weitere Amtsrevision der DSB zur Frage, ob ein Verwaltungsverfahren während eines "Verfahrens zur Bestimmung der federführenden Aufsichtsbehörde innerhalb der EU" ausgesetzt werden darf, wurde vom VwGH zurückgewiesen, weil der VwGH in der Zwischenzeit (nach Einlangen der Amtsrevision) über dieselbe Rechtsfrage in einem anderen Verfahren bereits entschieden hat (VwGH 30.11.2023, Ro 2023/04/0043).

Anm: Entschieden wurde über diese Frage mit Erkenntnis des VwGH vom 14.11.2023, Ro 2020/04/0009.

BVwG 29.11.2023, W214 2276491-1

Ein Pflegeheimbewohner (vertreten durch seinen Erwachsenenvertreter) behauptete durch (i) eine Kandidatin für die niederösterreichische Landtagswahl und (ii) von deren Partei in seinem Recht auf Geheimhaltung verletzt worden zu sein, weil er nach Ummeldung seiner Adresse in ein Pflegeheim, Wahlwerbung erhielt, obwohl er keine Zustimmung zur Weitergabe seiner persönlichen Daten gegeben hatte. Er vermutete, dass seine Meldedaten unrechtmäßig erlangt und verarbeitet wurden.

Das BVwG hielt fest, dass nur die politische Partei, verantwortlich für die Datenverarbeitung war, obwohl das Wahlwerbeschreiben der Kandidatin zugutekam. Das Gericht betonte, dass die Datenverarbeitung durch die politische Partei speziell zur Beeinflussung der staatlichen Willensbildung im Zusammenhang mit der Landtagswahl in Niederösterreich erfolgte, was eine legitime Nutzung iSd § 1 Abs 2 des PartG darstellt. Gem § 5 Abs 2 WEviG und § 6 NÖ Landesbürgerevidenzgesetz sind politische Parteien berechtigt, Daten aus der Wählerevidenz zu erheben und zu verarbeiten, um Wähler über ihre politischen Ziele zu informieren und ihre Mitwirkung an der staatlichen Willensbildung zu fördern. Die Daten wurden zu keinen anderen als zu Wahlwerbezwecken verarbeitet.

BVwG 14.12.2023, W256 2232894-1

Eine Arbeitslose erachtete sich in ihrem Recht auf Geheimhaltung durch eine regionale Geschäftsstelle des AMS verletzt, weil diese ihre personenbezogenen Daten auch in solchen Zeiträumen verarbeitet habe, in denen kein aufrechtes Betreuungsverhältnis bestand. Obwohl die Arbeitslose die Regionalstelle als Beschwerdegegnerin bezeichnete, qualifizierte die DSB das AMS als Verantwortlichen und damit als Beschwerdegegner, weil nur dieses und nicht die Regionalstelle Rechtspersönlichkeit habe. Die Datenschutzbeschwerde wies die DSB ab, weil die Datenverarbeitung rechtmäßig erfolgt sei.

Das BVwG behob den Bescheid der DSB, weil sie gegen das AMS und nicht gegen die Regionalstelle gerichtet war. Begründend hielt das BVwG in seiner Entscheidung fest, dass Art 4 Z 7 DSGVO die Organisationseinheit "Behörde" ausdrücklich als eigenständigen Verantwortlichen definiert. Einer Behörde könne daher ebenso wie einer juristischen Person mit Rechtspersönlichkeit die Verantwortlicheneigenschaft zukommen. Die Regionalstelle war die verantwortliche Behörde, weil der Gesetzgeber ihr die Aufgabe zur Datenverarbeitung übertrug. Der Bescheid wurde nur im Hinblick auf die Verfahrensführung gegen das AMS behoben, weil ein Austausch des Verantwortlichen im verwaltungsgerichtlichen Verfahren unzulässig ist. In der Sache entschied das BVwG nicht.

Anm: Diese Entscheidung bedeutet, dass die DSB das Verfahren in der Sache gegen die Regionalstelle fortsetzen wird.

BVwG 29.11.2023, W214 2233132-1

Die DSB trug einem Adressverlag auf, einem Auskunftswerber die konkreten Empfänger seiner Daten zu beauskunften. Der Adressverlag argumentierte vor dem BVwG, dass er die Empfängerkategorien beauskunftet habe und dies dem Wortlaut des Art 15 Abs 1 lit c DSGVO, der von Empfängern oder Empfängerkategorien spreche, genüge. Das BVwG setzte das Verfahren bis zur Entscheidung des EuGH in der Rs 01.2023, C-154/21, Österreichische Post, aus. Der EuGH entschied, dass eine Auskunft über Empfängerkategorien nicht genügt, wenn eine Auskunft über konkrete Empfänger möglich ist.

Der Adressverlag hatte keine Dokumentation über konkrete Empfänger, deshalb war eine Auskunft über konkrete Empfänger nicht möglich. Das BVwG stellte dennoch eine Verletzung des Auskunftsrechts fest. Der Adressverlag hätte seine Datenverarbeitungen bereits ab Geltungsbeginn der DSGVO so organisieren müssen, dass die Betroffenenrechte gewährleistet werden können, auch wenn der EuGH die Rechtslage erst am 12.01.2023 klarstellte.

Aus der weiteren Rechtsprechung des BVwG:

Die Kontaktaufnahme zu einer Unternehmensgruppe mit rechtlichen Fragen ist keine Einwilligung zum Erhalt des Newsletters dieser Unternehmensgruppe. Ohne Einwilligung darf ein Newsletter nur versandt werden, wenn die in § 174 Abs 3 TKG 2021 genannten Voraussetzungen kumulativ zutreffen. Wurde bei der Datenerhebung über die Möglichkeit, den Newsletter abzulehnen, nicht informiert, ist die Datenverarbeitung rechtswidrig (BVwG 01.12.2023, W108 2265844-1).

Ein Mitteilungsschreiben, mit dem die DSB den Betroffenen im Rahmen eines Kohärenzverfahrens über einen Beschluss der zuständigen irischen Aufsichtsbehörde informiert, ist kein Bescheid. Die DSB und das BVwG sind auch nicht berufen, über die hoheitliche Tätigkeit der irischen Aufsichtsbehörde nachprüfend zu entscheiden (BVwG 18.12.2023, W292 2267784-1).

Aus der Rechtsprechung des BFG

Einem volljährigen Antragsteller für die Gewährung einer erhöhten Familienbeihilfe dürfen bei der Akteneinsicht seine eigenen Daten aus Datenschutzgründen auch dann nicht vorenthalten werden, wenn der (ehemalige) Bezieher der Familienbeihilfe sein Vater war. Der Antragsteller hat ein subjektives Recht auf die Herausgabe seiner Krankheitsdaten (BFG 23.11.2023, RV/7102484/2019).

DSB 21.11.2022, 2022-0.792.182

Der AMS sucht mit einem Algorithmus auf den Websites von Unternehmen nach offenen Stellenangeboten, um diese anschließend auf seiner Website zu veröffentlichen ("AMS Jobroboter"). Ein Arbeitgeber brachte Datenschutzbeschwerde bei der DSB ein, weil sein Stelleninserat auf diesem Weg vom AMS veröffentlicht wurde.

Die DSB bejahte, dass juristische Personen bei der DSB eine Verletzung des Rechts auf Geheimhaltung gemäß § 1 DSG geltend machen dürfen. Da die DSGVO nur auf die Verarbeitung personenbezogener Daten natürlicher Personen anzuwenden ist, sei aber die Ausnahme allgemein verfügbarer Daten zu beachten. Das Stelleninserat war im Internet allgemein verfügbar und durfte daher vom AMS Jobroboter verarbeitet werden. Die DSB wies auch darauf hin, dass es sich bei der Verwendung des Stelleninserats, um eine bloße Reproduktion handelte.

Weiters führte die DSB aus, dass das AMS als "Behörde" im funktionellen Sinn seinem gesetzlichen Auftrag entsprechend handelte und auch den Grundsatz der Datenminimierung gemäß Art 5 Abs 1 lit c DSGVO, einhielt, indem es nur rudimentäre Rahmeninformation mit einer direkten Verlinkung auf die Stellenausschreibung veröffentlichte.

Anm: das BVwG hat in der Zwischenzeit (nach diesem Bescheid der DSB) die Aktivlegitimation juristischer Personen auf Beschwerde vor der DSB verneint (BVwG 19.09.2023, W298 2261568-1).

Der EuGH hat am 01.2024 in der Rs C-33/22, Österreichische Datenschutzbehörde, entschieden. Der VwGH fragte im Wesentlichen, ob die Verarbeitung personenbezogener Daten durch einen parlamentarischen Untersuchungsausschuss in den sachlichen Anwendungsbereich der DSGVO fällt. Wir werden über die Entscheidung nächste Woche berichten.

Am 01.2024 wird in der Rs C-687/21, MediaMarktSaturn, entschieden. Die Entscheidung wird verschiedene Fragen zum immateriellen Schadenersatz nach Art 82 DSGVO betreffen. Insb fragt das vorlegende Gericht, ob Art 82 DSGVO mangels Bestimmtheit unwirksam ist.

Anm: In dieser Rs wurden – soweit ersichtlich – keine Schlussanträge veröffentlicht. Angekündigt ist das Urteil.

Am 01.2024 werden die Schlussanträge des Generalanwalts in der Rs C-757/22, Meta Platforms Ireland veröffentlicht. Zu beantworten ist die Frage, ob die Verletzung von Informationspflichten iSd Art 12 und 13 DSGVO eine Rechtsverletzung "infolge einer Verarbeitung" ist und daher gemäß Art 80 Abs 2 DSGVO von einem Verbraucherschutzverband geltend gemacht werden kann.

Am 02.2024 wird in der Rs C-446/21, Schrems, eine mündliche Verhandlung stattfinden. Der OGH fragte den EuGH nach dem Verhältnis der Erlaubnistatbestände "Einwilligung" und "Vertragserfüllung" sowie zur Auslegung diverser Bestimmungen (Art 5, 6 und 9) der DSGVO.

BVwG 15.11.2023, W292 2259252-1

Eine Websitebesucherin erhob eine Datenschutzbeschwerde bei der DSB. Beim Besuch der Website sollen ihre personenbezogenen Daten (insb Online-Kennungen und Informationen über betrachtete Produkte) entgegen den Vorgaben von Art 5 Abs 1 lit a und Art 6 Abs 1 DSGVO durch verschiedene Dienste (ua Criteo, Google Analytics und Google Ads) verarbeitet worden sein. Die DSB gab der Datenschutzbeschwerde teilweise statt.

Das BVwG gab der dagegen gerichteten Bescheidbeschwerde Folge. Das BVwG hielt fest, dass die von der DSB getroffenen Sachverhaltsfeststellungen nicht auf ausreichenden Beweisen beruhten. Die Entscheidung der DSB basierte hauptsächlich auf den Angaben der Websitebesucherin und Screenshots, deren Herkunft und Zeitpunkt nicht verifiziert werden konnten. Weiters hob das BVwG hervor, dass für technisch komplexe Sachverhalte, wie die Verarbeitung personenbezogener Daten durch Cookies auf Websites, objektive Beweise erforderlich sind.

BVwG 11.12.2023, W137 2276371-1

Ein Bankkunde wurde aufgrund unklarer Kontobewegungen von seiner Bank aufgefordert, Nachweise zur Herkunft seiner finanziellen Mittel zu erbringen. Die Rechtsgrundlage für diese Aufforderung benannte die Bank falsch. Der Bankkunde weigerte sich bzw erbrachte nur unzureichende Nachweise. Die Bank erstattete daher eine Geldwäscheverdachtsmeldung an die beim Bundeskriminalamt eingerichteten Geldwäschemeldestelle. Der Bankkunde behauptete in seiner Datenschutzbeschwerde an die DSB eine Verletzung im Recht auf Geheimhaltung und argumentierte, dass er Herkunftsnachweise seiner finanziellen Mittel erbracht hätte, wenn ihm die Bank zuvor die Rechtsgrundlage für diese Datenerhebung dargelegt hätte, zudem sei die Datenweitergabe an die Geldwäschemeldestelle unrechtmäßig erfolgt.

Die DSB wies die Datenschutzbeschwerde ab. Auch das BVwG folgte der Bescheidbeschwerde nicht. Das BVwG führte aus, dass die Bank Daten für Geldwäscheverdachtsmeldungen an die Geldwäschemeldestelle weiterleiten darf. Der Eingriff in das Grundrecht auf Datenschutz, welcher aus der Erhebung und Übermittlung der Daten bei einer Geldwäscheverdachtsmeldung entsteht, sei durch eine qualifizierte gesetzliche Grundlage, nämlich näher bezeichnete Bestimmungen des FM-GwG, iS Art 6 Abs 1 lit c DSGVO gerechtfertigt. Die versehentliche Nennung der falschen Rechtsgrundlage durch eine Mitarbeiterin der Bank sei irrelevant und ändere nichts an der Zulässigkeit der Geldwäscheverdachtsmeldung. Auch das Bankgeheimnis sei der Meldung nicht entgegengestanden, weil das Bankgeheimnis einer Geldwäscheverdachtsmeldung nicht entgegensteht.

BVwG 05.12.2023, W211 2260885-1

Ein WKÖ-Mitglied wurde vom Bundesministerium für Digitalisierung und Wirtschaftsstandort informiert, dass seine im Ergänzungsregister für sonstige Betroffene (ERsB) enthaltenen Daten von der "Wirtschaftskammer" stammten. Das WKÖ-Mitglied stellte Auskunftsersuchen an mehreren Wirtschaftskammern, darunter die WKÖ, sowie die Statistik Austria und brachte schließlich gegen die WKÖ eine Datenschutzbeschwerde bei der DSB ein, weil die WKÖ sein Auskunftsersuchen nicht vollständig beantwortet habe. Nachdem die DSB innerhalb der Entscheidungsfrist keine Entscheidung traf, erhob das WKÖ-Mitglied Säumnisbeschwerde an das BVwG. Das BVwG wies die Beschwerde ab.

Das BVwG hielt fest, dass die WKÖ im laufenden Verfahren, die erteilte Auskunft vervollständigt hat. Denn durch die erteilte Auskunft sei das WKÖ-Mitglied in die Lage versetzt worden, seine Rechte wahrzunehmen. Das BVwG "empfahl" aber der WKÖ ihre Auskünfte insbesondere bei standardisierten Datenübermittlungen so zu gestalten, dass nachvollziehbar informiert wird, wie das Vorgehen dazu ist und welche Datenverarbeitungsvorgänge von der WKÖ vorgenommen werden.

In Einklang mit seiner ständigen Rechtsprechung hielt das BVwG weiters fest, dass es kein Recht auf Feststellung einer vergangenen Verletzung im Recht auf Auskunft gibt.

BVwG 05.12.2023, W211 2261719-1

Ein Betroffener begehrte Auskunft von der ELGA Ombudsstelle wegen Abfragen eines e-Impfpasses. Der Betroffene brachte Datenschutzbeschwerde bei der DSB ein, weil seinem Auskunftsersuchen nicht vollständig entsprochen worden sei. Vor dem BVwG waren über Bescheidbeschwerde des Betroffenen die Fragen anhängig, ob eine vollständige Auskunft über den Verarbeitungszweck und die Speicherdauer erteilt wurde sowie ob eine Kopie iSd Art 15 Abs 3 DSGVO zu erteilen ist.

Das BVwG hielt fest, dass zur Erfüllung des Auskunftsrechts ua anzugeben ist, für welchen Zweck die fraglichen Daten verarbeitet werden, was die ELGA Ombudsstelle klar, deutlich und nachvollziehbar erfüllte, indem sie angab, dass Gesundheitsdaten auf Grundlage des öffentlichen Interesses zum Zweck der Patientensicherheit, der besseren Reaktionsmöglichkeit bei Ausbruch von Krankheiten sowie geringeren Aufwand für Ärzte und Patienten verarbeitet wurden. Hinsichtlich der Speicherdauer sei die Angabe, dass Gesundheitsdaten dezentral für 10 Jahre, e-Befunde für 10 Jahre und e-Medikation für 18 Monate gespeichert werden, ausreichend. Nicht vom Verfahrensgegenstand aufgrund behaupteter Verletzung des Auskunftsrechts umfasst sei die Frage, ob eine bestimmte Verarbeitung rechtmäßig erfolgte. Zum Recht auf Kopie verwies das BVwG auf rezente Rechtsprechung des VwGH, wonach die Ausfolgung einer Kopie von Auszügen aus Dokumenten oder Datenbanken nur dann erforderlich ist, wenn dies zur wirksamen Ausübung der Betroffenenrechte unerlässlich ist. Im vorliegenden Fall wäre nicht erkenntlich gewesen, weshalb dies der Fall sein sollte, überdies sei die Auskunft vollständig erteilt worden und war die Bescheidbeschwerde deshalb abzuweisen.

BVwG 06.12.2023, W221 2273829-1

Ein Insasse beschwerte sich bei der Volksanwaltschaft über Hautirritationen aufgrund von Verunreinigungen in den Duschräumen der Justizanstalt. Die Volksanwaltschaft richtete eine Anfrage an das Bundesministerium für Justiz, woraufhin die Anstaltsärztin vom Anstaltsleiter um eine allgemeinmedizinische Stellungnahme ersucht wurde. Der Insasse beschwerte sich bei der DSB über die Weitergabe seiner sensiblen Daten ohne seine Zustimmung durch die Anstaltsärztin. Die DSB wies die Beschwerde ab, weil die Ärztin nicht als Verantwortliche iSd Art 4 Z 7 DSGVO gelte. Das BVwG schloss sich der DSB an und hielt fest, dass datenschutzrechtlicher Verantwortlicher der Leiter der Justizanstalt ist, weil er für die Übermittlung personenbezogener Daten eines Insassen im Zusammenhang mit einer Anfragebeantwortung der Volksanwaltschaft zuständig ist. Das Handeln der Anstaltsärztin, die im Auftrag der Anstaltsleitung Stellungnahmen zu Anfragen der Volksanwaltschaft verfasst hat, ist dem Anstaltsleiter zuzuordnen.

BVwG 11.12.2023, W137 2259819-1

Ein Spieler forderte zivilrechtlich Spielverluste bei einem Online-Glücksspielunternehmen zurück. Um gegenüber einem weiteren Mitglied der Glücksspielunternehmensgruppe Spielverluste geltend zu machen, nahm er erneut an Onlineglücksspielen teil. Das Online-Glücksspielunternehmen informierte das Gruppenmitglied über die erfolgte Rückforderung und verhalf ihm dadurch zum Obsiegen im Zivilverfahren. Der Spieler erachtete die Datenweitergabe als rechtswidrig und forderte bei der österreichischen DSB die Feststellung diverser Rechtsverletzungen.

Da das Online-Glücksspielunternehmen in Malta ansässig ist, war die maltesische Aufsichtsbehörde federführend. In ihrem Beschlussentwurf hielt sie fest, dass die Datenübermittlung innerhalb derselben Unternehmensgruppe rechtmäßig war und stellte einen Verstoß gegen die Informationspflichten des Art 13 DSGVO fest. Die österreichische DSB wies die Beschwerde ab.

Nach dem BVwG überwog das berechtigte Interesse an der Verteidigung von Rechtsansprüchen gegen eine betrügerische Spielweise eines registrierten Kunden. Da der Informationsgehalt der Übermittlung ausschließlich darin bestand, dass der Spieler bereits Spielverluste gegen ein Mitglied der Unternehmensgruppe geltend gemacht hat, ging die Datenübermittlung nicht über den Zweck der Verteidigung von Rechtsansprüchen hinaus. Nicht jede negative Auswirkung führe zu einem Überwiegen der Geheimhaltungsinteressen des Betroffenen, dass der Spieler das Zivilverfahren verloren hat, stelle keine unverhältnismäßige Schädigung dar, sodass ein Überwiegen der Interessen des Spielers nicht gegeben ist. Auch hielt das BVwG fest, dass geringe Verletzungen der Informationspflichten nicht zwingend zu einer rechtswidrigen Datenverarbeitung führen. Die Beschwerde wurde daher abgewiesen.

BVwG 24.11.2023, W211 2261817-1

Der Empfänger einer Einladung zu einem COVID-19-Impftermin erhob Datenschutzbeschwerde an die DSB und machte eine Geheimhaltungsverletzung durch den Dachverband der Sozialversicherungsträger geltend. Die DSB wies die Datenschutzbeschwerde ab.

Aufgrund der Bescheidbeschwerde des Eingeladenen erwog das BVwG, dass der Impfstatus zwar ein Gesundheitsdatum iSd Art 9 DSGVO ist, der Dachverband der Sozialversicherungsträger aber über eine qualifizierte Rechtsgrundlage für die Datenverarbeitung verfügte. Der Impfdatenabgleich im zentralen Impfregister sowie die anschließende Ermittlung der Wohnadresse im zentralen Patientenindex gemäß § 750 ASVG iVm § 18 GTelG war daher rechtmäßig. Nach dem BVwG ist auch nicht von der Verfassungswidrigkeit des § 750 Abs 1a und Abs 2 ASVG auszugehen, weshalb kein entsprechender Antrag an den VfGH zu stellen war.

In Einklang mit seiner ständigen Rechtsprechung hielt das BVwG fest, dass von der DSB und vom BVwG nur darüber abgesprochen werden darf, was beantragt worden ist. Die DSB dürfe im Individualbeschwerdeverfahren keine Rechtsverletzung (konkret: Auskunftspflichtverletzung) überprüfen, deren Überprüfung nicht beantragt wurde (BVwG 14.12.2023, W256 2245701-1).

In einem Verfahren wegen Verletzung des Rechts auf Auskunft wurde die zunächst unvollständige Auskunft während des Verfahren vor dem BVwG ergänzt und damit vervollständigt. In Einklang mit seiner ständigen Rechtsprechung behob das BVwG sowohl die Feststellung der Rechtsverletzung als auch den korrespondierenden Leistungsauftrag der DSB, weil es kein Recht auf Feststellung einer vergangenen Verletzung im Recht auf Auskunft gibt (BVwG 11.12.2023, W137 2233746-1).

Verstöße gegen das Datenschutzrecht sind vor der DSB geltend zu machen. Der Dienstbehörde kommt keine Zuständigkeit zu (BVwG 12.12.2023, W122 2270105-1).

Der EuGH wird am 01.2024 in der Rs C-231/22, Belgischer Staat entscheiden. Entschieden wird (i) über die datenschutzrechtliche Rolle des Amtsblatts eines Mitgliedstaats, das Urkunden und amtliche Dokumente in der Form veröffentlicht, in der sie ihm übermittelt werden sowie (ii) über die datenschutzrechtliche Rolle der übermittelnden Stellen.

Der EuGH wird am 01.2024 in der Rs C-33/22, Österreichische Datenschutzbehörde entscheiden. Entschieden wird im Wesentlichen über die Frage, ob die Verarbeitung personenbezogener Daten durch einen parlamentarischen Untersuchungsausschuss in den sachlichen Anwendungsbereich der DSGVO fällt.