You will be redirected to the website of our parent company, Schönherr Rechtsanwälte GmbH: www.schoenherr.eu
Willkommen zu unserem wöchentlichen Datenschutz-Update. Mit diesem wöchentlichen Newsletter wollen wir eine kurze und aktuelle Rechtsprechungsübersicht für das Datenschutzrecht schaffen. Erfasst wird die relevante Rechtsprechung in Österreich und auf europäischer Ebene. Neben der kurzen Zusammenfassung der einzelnen Entscheidungen zeigt der Datenschutzmonitor die Entwicklung von Rechtsprechungslinien auf.
>> Registrieren Sie sich, um wöchentliche Updates in Ihr Email-Postfach zu erhalten! <<
Updates im
Jänner 2024 | Februar 2024 | März 2024 | April 2024 | Mai 2024 | Juni 2024 | Juli 2024 | August 2024 | September 2024 | Oktober 2024 | November 2024 | Dezember 2024 | Jänner 2025
Finanzdatenaustausch, Besteuerung, GMSG
· Ein Österreicher mit einem deutschen Bankkonto erachtete sich in seinem Grundrecht auf Datenschutz verletzt, weil der Bundesminister für Finanzen (BMF) personenbezogene Daten vom deutschen Bundeszentralamt für Steuern erhielt, verarbeitete und an die zuständige Abgabenbehörde weiterleitete. Die Datenverarbeitung beruhte auf § 113 Gemeinsamer Meldestandard-Gesetz (GMSG) und der Richtlinie 2011/16/EU über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung. Die DSB wies die Datenschutzbeschwerde ab. Das BVwG wies die Bescheidbeschwerde ab. Der VfGH wies die Erkenntnisbeschwerde ab und trat sie an den VwGH zur Entscheidung darüber ab, ob der Österreicher durch das angefochtene Erkenntnis in einem sonstigen Recht verletzt wurde.
Der VfGH hat erwogen: §§ 112 und 113 GMSG setzen den automatischen Austausch von Finanzdaten gemäß Art 8 Abs 3a der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung deckungsgleich um. Der VfGH kann die Verfassungsmäßigkeit der §§ 112 und 113 GMSG daher nur dann prüfen, wenn der EuGH zuvor Art 8 Abs 3a der Richtlinie für ungültig erklärt. Der VfGH hat jedoch auch keine Bedenken ob der Vereinbarkeit des Art 8 Abs 3a der Richtlinie mit Art 7 und 8 GRC.
Einschränkungen der Rechte auf Achtung des Privat- und Familienlebens, der Wohnung sowie Kommunikation und des Rechts auf Schutz personenbezogener Daten sind gemäß Art 52 GRC zulässig, wenn sie gesetzlich vorgesehen sind und den Wesensgehalt dieser Rechte wahren. Die Einschränkungen müssen verhältnismäßig und notwendig sein und im Einklang mit dem Gemeinwohl dienenden Zielsetzungen oder dem Schutz der Rechte und Freiheiten Dritter stehen.
Bei Eingriffen in das Datenschutzrecht muss das öffentliche Interesse an der Datenerhebung gegen den Schutz des Privatlebens abgewogen werden. Besonders schützenswert sind Daten, die für die spätere automatische Datenverarbeitung gesammelt werden. Es ist sicherzustellen, dass nur relevante Daten erhoben werden und diese nicht länger aufbewahrt werden, als dies für die Erreichung der Ziele erforderlich ist. Auch Schutzmaßnahmen gegen Datenmissbrauch sind zu treffen. Der BMF und alle am Informationsaustausch beteiligten Behörden sind an die Vorgaben der DSGVO gebunden, um den erforderlichen Sicherheitsanforderungen für die Verarbeitung zu entsprechen.
Die Weitergabe von Finanzdaten gemäß der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung und somit gemäß §§ 112 f GMSG soll Steuerbetrug und -hinterziehung verhindern, die Wirksamkeit und Effizienz der Steuererhebung fördern und aggressive Steuerplanung eindämmen. Diese Ziele liegen alle im öffentlichen Interesse. Der automatische Informationsaustausch geht nicht über das Maß hinaus, das notwendig und erforderlich ist, um diese Ziele zu erreichen.
Die Rechtsprechung des EuGH zur Verhältnismäßigkeit der Vorratsdatenspeicherung sind auf die Regelungen der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung nicht übertragbar, weil sich die Regelungen in ihren Zielsetzungen unterscheiden und die verarbeiteten Finanzdaten nicht den Kernbereich des Privatlebens betreffen. Auch anderen EuGH-Urteilen kann nicht entnommen werden, dass Art 8 Abs 3a der Richtlinie über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung gegen Art 8 GRC verstoßen würde.
· Eine Verletzung des Rechts auf Geheimhaltung kann nur dann vorliegen, wenn tatsächlich Daten des Betroffenen verarbeitet wurden. Den Betroffenen trifft eine Mitwirkungspflicht, den Nachweis der Verarbeitung zu erbringen. Es besteht eine erhöhte Mitwirkungspflicht, wenn es um Umstände geht, die in der persönlichen Sphäre der Parteien liegen (BVwG 22.11.2024, W211 2272744-1; 18.11.2024, W137 2272120-1).
· Am 30.12.2024 ist die "VO (EU) 2024/3228 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Aufhebung der Verordnung (EU) Nr. 524/2013 und zur Änderung der Verordnungen (EU) 2017/2394 und (EU) 2018/1724 im Hinblick auf die Einstellung der Europäischen Plattform für Online-Streitbeilegung", ABl L 2024/3228, 1, kundgemacht worden. Mit dieser Verordnung wird die Europäische Plattform für Online-Streitbeilegung eingestellt.
· Am 30.12.2024 ist die "RL (EU) 2024/3237 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Richtlinie (EU) 2015/413 zur Erleichterung des grenzüberschreitenden Austauschs von Informationen über die Straßenverkehrssicherheit gefährdende Verkehrsdelikte", ABl L 2024/3237, 1, kundgemacht worden. Geregelt werden ua der Austausch von Fahrzeugzulassungsdaten und die Amts- und Rechtshilfe betreffend Verkehrsdelikte.
· Am 08.01.2025 wird das Urteil des EuG in der Rs T-354/22, Bindl/Kommission, verkündet. Gegenstand des Verfahrens ist ua ein Datentransfer in die USA.
· Am 09.01.2025 wird das Urteil des EuGH in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), verkündet. Der EuGH wird Fragen des VwGH zur Auslegung der Wortfolge "exzessive Anfragen" in Art 57 Abs 4 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 36. Ausgabe des Schönherr Datenschutzmonitors vom 11.09.2024 nachgelesen werden.
· Am 09.01.2025 wird das Urteil des EuGH in der Rs C-394/23, Mousse, verkündet. Geklärt wird, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf. Anm: Die Zusammenfassung der Schlussanträge kann in der 28. Ausgabe des Schönherr Datenschutzmonitors vom 17.07.2024 nachgelesen werden.
· Am 29.01.2025 wird das Urteil des EuG in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission/Europäischer Datenschutzausschuss, verkündet. Die irische Aufsichtsbehörde erhob Klage an das EuG gegen Teile eines verbindlichen Beschlusses des EDSA, weil der EDSA seine Befugnisse überschritten habe.
· Am 04.02.2025 wird die mündliche Verhandlung in der Rs T-183/23, Ballmann/Europäischer Datenschutzausschuss, stattfinden. Die Klägerin beantragt die Aufhebung eines Beschlusses des EDSA, mit dem ihr die Akteneinsicht zum Akt eines verbindlichen Beschlusses des EDSA verwehrt wurde. Anm: Es geht um denselben verbindlichen Beschluss betreffend Meta (Facebook), zu dem am 29.01.2025 ein Urteil des EuG ergehen wird.
· Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.
· Am 06.02.2025 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern. Anm: Diese Schlussanträge waren bereits für den 12.12.2024 angekündigt, ihre Verkündung wurde jedoch verschoben.
· Eine Inhaberin von Urheberrechten ("Rechteinhaberin") übermittelte eine Abmahnung an einen Anbieter von Internetzugangsdiensten ("Internet Service Provider; ISP"). Der ISP teilte aufgrund dieser Abmahnung der zuständigen Telekom-Control-Kommission ("TKK") mit, dass er wegen eines Streaming-Links ua eine IP-Zugangssperre eingerichtet hat.
Die TKK leitete daraufhin von Amts wegen ein Verfahren ein und sprach mit Bescheid aus, dass die IP-Zugangssperre, die auf die Sperre einer IPv4-Adresse gerichtet war, gegen Art 3 Abs 3 der VO 2015/2120 verstoßen habe. Gegen den Bescheid der TKK wurde Bescheidbeschwerde an das BVwG erhoben.
Das BVwG setzte das Verfahren aus und legte dem EuGH zur Vorabentscheidung fünf Fragen zur Auslegung des Art 3 Abs 3 der VO 2015/2120 vor. Im Wesentlichen fragt das BVwG, welche Verkehrsmanagementmaßnahmen gemäß Art 3 VO 2015/2120 ein ISP zum Schutz urheberrechtlich geschützter Inhalte dritter Rechtsinhaber zu ergreifen hat. Konkret geht es dem BVwG um die Unterscheidung zwischen IP-Sperren und DNS-Sperren, um IP-Overblocking zu vermeiden. Dabei kritisiert das BVwG die Rechtsprechung des OGH, die keine entsprechende Unterscheidung trifft.
Das BVwG hat ua erwogen: In der Rechtsprechung des OGH, der über das Bestehen von Unterlassungsansprüchen in letzter Instanz entscheidet, wurde bisher nur die Sphäre jener Endnutzer beachtet, die selbst Kunden jenes ISP sind, der die IP-Sperren einrichtet. Die Definition der "Endnutzer" umfasst jedoch ausdrücklich auch Nutzer, die Informationen, Inhalte, Anwendungen und Dienste bereitstellen, also beispielsweise Webseiten bereitstellen und dort Dienste wie zB Webshops betreiben.
In den bisherigen nationalen zivilgerichtlichen Entscheidungen, in denen von ISP's drohendes Overblocking als Argument gegen die Zulässigkeit der Einrichtung von IP-Sperren ins Treffen geführt wurde, ist keine Differenzierung und konkrete Auseinandersetzung mit der Art des Overblockings (DNS vs IP-Overblocking) erfolgt. Diese Entscheidungen scheinen – in technischer Hinsicht irrig – davon auszugehen, dass unabhängig davon, ob eine IP- oder DNS-Sperre vom ISP angewandt wird, nur etwaige legale Inhalte, die unter derselben Domain abrufbar sind, wie die zu sperrenden illegalen Inhalte, mitblockiert werden.
Tatsächlich ergeben sich jedoch bei Vorliegen eines IP-Overblockings potenziell deutlich weitergehende Auswirkungen der Sperrmaßnahmen, weil Inhalte bzw Dienste Dritter mitblockiert werden könnten, die unter anderen Domains angeboten werden und in keinem näheren Zusammenhang mit den erwähnten illegalen Inhalten bzw Diensten stehen.
· Ein Berufsdetektiv darf zum Zweck der Verteidigung von Rechtsansprüchen mit der Erhebung (sensibler) personenbezogener Daten durch Observierung eines Klagegegners beauftragt werden, soweit die Datenerhebung für die Zweckerreichung erforderlich ist (BVwG 23.09.2024, W274 2257472-1).
· Am 27.12.2024 wurde das Strafprozessrechtsänderungsgesetz 2024, BGBl I 2024/157, kundgemacht. In Folge des Erkenntnisses des VfGH vom 14.12.2023, G 352/2021, wird die "Beschlagnahme" von Datenträgern (zB Mobiltelefone) und Daten sowie die Aufbereitung und Auswertung von Daten neu geregelt. Ausdrücklich umfasst ist ebenso die "Beschlagnahme" von Daten, die an anderen Speicherorten als auf einem Datenträger gespeichert sind (zB in der Cloud). Neben der Strafprozessordnung (StPO) wurden mit dem Strafprozessrechtsänderungsgesetz 2024 ua auch das Staatsanwaltschaftsgesetz, das Gerichtsorganisationsgesetz, das Finanzstrafgesetz und das AVG novelliert. Anm: Mit der Neuregelung der Beschlagnahme mobiler Daten(träger) hat sich unser Kollege Oliver M. Loksa vertieft auseinandergesetzt: https://www.schoenherr.eu/content/seizure-and-examination-of-mobile-data-in-austria-new-legal-framework-finally-passed-in-parliament.
· Am 08.01.2024 wird das Urteil des EuG in der Rs T-354/22, Bindl/Kommission, veröffentlicht. Gegenstand des Verfahrens ist ua ein Datentransfer in die USA.
· Am 09.01.2024 wird das Urteil in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), verkündet. Der EuGH wird Fragen des VwGH zur Auslegung der Wortfolge "exzessive Anfragen" in Art 57 Abs 4 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 36. Ausgabe des Schönherr Datenschutzmonitors vom 11.09.2024 nachgelsen werden.
· Am 09.01.2024 wird das Urteil in der Rs C-394/23, Mousse, verkündet. Geklärt wird, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf. Anm: Die Zusammenfassung der Schlussanträge kann in der 28. Ausgabe des Schönherr Datenschutzmonitors vom 17.07.2024 nachgelesen werden.
· Die Durchsuchung der Räumlichkeiten einer juristischen Person und die anschließende Beschlagnahme einer Vielzahl von Unterlagen auf Papier oder in digitaler Form, darunter einer Liste mit den Namen und den personenbezogenen Daten der Mitglieder eines Vereins, greift in das Recht auf Achtung der Wohnung und der Korrespondenz der juristischen Person gemäß Art 8 EMRK ein. Ein solcher Grundrechtseingriff ist nur zulässig, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist. Bei juristischen Personen haben die Staaten zwar einen weiteren Ermessensspielraum als bei natürlichen Personen. Auch den juristischen Personen müssen jedoch geeignete ausgleichende Garantien gegen Machtmissbrauch und Willkür zur Verfügung stehen (EGMR 19.12.2024, 29550/17, Grande Oriente D’italia/Italien).
EuGH 19.12.2024, C-65/23, K GmbH
Kollektivvereinbarung, Betriebsvereinbarung, gerichtliche Kontrolle, Anwendungsvorrang
· Ein deutscher Arbeitgeber verarbeitete personenbezogene Mitarbeiterdaten in einer SAP-Software. Die US-Muttergesellschaft führte die cloudbasierte Software "Workday" als einheitliches Personal-Informationsmanagementsystem ein. Anschließend übertrug der Arbeitgeber bestimmte Mitarbeiterdaten an den Standort der Muttergesellschaft in den USA.
Beim Arbeitgeber war ein Betriebsrat eingerichtet. Über die Einführung der Software "Workday" wurde eine Betriebsvereinbarung abgeschlossen, die näher festlegte, welche Mitarbeiterdaten zum Befüllen der Software verwendet werden durften. Der Vorsitzende des Betriebsrats klagte den Arbeitgeber ua auf Löschung ihn betreffender Daten und auf Schadenersatz, weil an den Server der Muttergesellschaft über die Betriebsvereinbarung hinausgehende Daten übertragen worden seien.
Das vorlegende Gericht stellte dem EuGH Fragen zur Datenverarbeitung auf der Grundlage einer Kollektivvereinbarung und zum Anspruch auf immateriellen Schadenersatz. Die Fragen zum immateriellen Schadenersatz zog das vorlegende Gericht später wieder zurück, weil diese Fragen durch zwischenzeitige Rechtsprechung des EuGH hinreichend beantwortet wurden.
Der EuGH hat erwogen: Die DSGVO soll eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen. Einzelne Bestimmungen der DSGVO ermöglichen jedoch den Mitgliedstaaten, zusätzliche, strengere oder einschränkende nationale Vorschriften vorzusehen, und lassen ihnen ein Ermessen hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen ("Öffnungsklauseln"). Gemäß Art 88 DSGVO dürfen die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen "spezifischere Vorschriften" zur Datenverarbeitung im Beschäftigtenkontext vorsehen. Der Begriff Kollektivvereinbarungen umfasst auch "Betriebsvereinbarungen".
Der Regelungsgehalt der nach Art 88 DSGVO erlassenen spezifischen Vorschriften unterscheidet sich von den allgemeinen Regeln der DSGVO. Diese spezifischen Vorschriften, die durch Rechtsvorschriften oder durch Kollektivvereinbarung in die jeweiligen innerstaatlichen Rechtsordnungen eingeführt werden, haben jedoch die Anforderungen zu erfüllen, die sich aus den anderen Bestimmungen der DSGVO ergeben. Datenverarbeitungstätigkeiten aufgrund einer Kollektivvereinbarung müssen daher dem Kriterium der Erforderlichkeit der Verarbeitung entsprechen und eine der in Art 6 Abs 1 DSGVO vorgesehenen Rechtmäßigkeitsvoraussetzungen erfüllen. Daher müssen Verarbeitungstätigkeiten, die auf "spezifischere Vorschriften" gemäß Art 88 Abs 1 DSGVO beruhen, nicht nur die Voraussetzungen in Art 88 Abs 1 und 2 DSGVO, sondern auch die Voraussetzungen in den Art 5, 6 und 9 DSGVO erfüllen, wobei die Anforderungen aus den Art 5 und 6 DSGVO mit den Anforderungen aus Art 9 DSGVO kumulierbar sind.
Die Parteien einer Kollektivvereinbarung verfügen zwar über einen Spielraum beim Festlegen der Datenverarbeitungstätigkeit. Dieser Spielraum hat jedoch dieselben Grenzen wie das den Mitgliedstaaten zuerkannte Ermessen. Die Kollektivvereinbarungen unterliegen daher einer ebenso umfassenden gerichtlichen Kontrolle wie die Vorschriften des nationalen Rechts. Der Spielraum der Parteien einer Kollektivvereinbarung darf nicht dazu führen, dass diese Parteien aus Gründen der Wirtschaftlichkeit oder Einfachheit Kompromisse schließen, die die Ziele der DSGVO beinträchtigen könnten. Entsprechen einzelne Bestimmungen einer Kollektivvereinbarung den Anforderungen der DSGVO nicht, sind diese Bestimmungen vom nationalen Gericht unangewendet zu lassen.
· In Art 15 Abs 3 DSGVO ist kein eigenständiges Recht auf Erhalt einer Dokumentenkopie normiert. Das Recht des Betroffenen auf Erhalt einer Kopie der ihn betreffenden personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, bedeutet aber, dass dem Betroffenen eine originalgetreue und verständliche Reproduktion aller seiner Daten überlassen wird. Dieses Recht setzt den Erhalt einer vollständigen Kopie der Dokumente voraus, die ua diese Daten enthalten, wenn die Zurverfügungstellung einer solchen Kopie erforderlich ist, um dem Betroffenen die Überprüfung der Korrektheit und Vollständigkeit der Daten zu ermöglichen und deren Verständlichkeit zu gewährleisten. Diese Verpflichtung trifft den Verantwortlichen selbst dann, wenn der Antrag des Betroffenen einen anderen Zweck verfolgt, als in ErwGr 63 DSGVO vorgesehen ist. Die Tatsache, dass die Verarbeitung personenbezogener Daten einer gesetzlichen Verpflichtung entspricht, hat keinen Einfluss auf den Umfang dieses Rechts (EuGH 27.05.2024, C-312/23, Addiko Bank).
· Ein Betroffener brachte Beschwerde gegen das Europäisches Amt für Personalauswahl (EPSO) beim Europäischen Datenschutzbeauftragten (EDSB) ein, weil er sich durch EPSO in seinem Recht auf Auskunft verletzt erachtete. Der EDSB wies die Beschwerde des Betroffenen zunächst mit einer in drei Spruchpunkte gegliederten Entscheidung ab. Der Betroffene erhob Rechtsmittel an das EuG gegen Spruchpunkt iii der Entscheidung und begehrte Schadenersatz vom EDSB, weil der EDSB ihn in eine unsichere Lage hinsichtlich der Verarbeitung seiner personenbezogenen Daten versetzt habe.
Nach Einlangen des Rechtsmittels änderte der EDSB Spruchpunkt iii seiner Entscheidung in Hinblick auf das Urteil des EuGH in der Rs Pankki dahingehend ab, dass der Betroffene einen Anspruch auf Auskunft auf die Logfiles in seinem EPSO-Account habe.
Da Spruchpunkt iii der Entscheidung vom EDSB iSd Betroffenen abgeändert wurde, hatte das EuG nur mehr den Schadenersatzanspruch zu beurteilen. Das EuG verneinte den Schadenersatzanspruch des Betroffenen, weil er keinen tatsächlich eingetretenen immateriellen Schaden nachzuweisen vermochte (EuG 17.06.2024, T-546/23, WS/EDSB).
· Der VwGH richtete ein Vorabentscheidungsersuchen zur Auslegung der Wortfolge "exzessive Anfragen" iSd Art 57 Abs 4 DSGVO an den EuGH. Dieses Vorabentscheidungsersuchen ist beim EuGH anhängig (C-416/23, Österreichische Datenschutzbehörde). Da dieses Vorabentscheidungsersuchen für das vorliegende Verfahren präjudiziell ist, wird dieses Verfahren bis zur Entscheidung des EuGH ausgesetzt (VwGH 19.11.2024, Ro 2022/04/0016).
BVwG 19.11.2024, W176 2286887-1
Auskunft, Betroffenenrechte, Datenherkunft, Speicherdauer
· Ein Rechtsanwalt reichte im Auftrag des Bruders einer Erbin eine Pflichtteilsergänzungsklage ein. Die Erbin beschuldigte den Rechtsanwalt, im Zuge dessen unbefugt eine Namensabfrage gemäß §§ 5 und 6a GUG durchgeführt zu haben, was zu einem Disziplinarverfahren führte. Dieses wurde jedoch mangels Nachweises einer solchen Abfrage eingestellt. Später stellte die Erbin ein Auskunftsersuchen gemäß § 44 DSG an den Rechtswalt. Dieser kontaktierte den Rechtsvertreter der Erbin und teilte mit, er könne ihr aus standesrechtlichen Gründen nicht direkt antworten. Die DSB gab der Datenschutzbeschwerde der Erbin statt und stellte fest, dass der Rechtsanwalt gegen das Recht auf Auskunft verstoßen hatte. Sie verpflichtete ihn, die geforderten Informationen innerhalb von vier Wochen bereitzustellen. Daraufhin erhob der Rechtsanwalt Bescheidbeschwerde an das BVwG, das den Bescheid dahingehend abänderte, dass nur mehr ein Teil der Auskunft zu erteilen ist.
Das BVwG hat erwogen: Die Erbin hat ihr Auskunftsersuchen durch Verwendung des Musterformulars der DSB auf § 44 DSG gestützt. Dieser regelt jedoch das Auskunftsrecht der betroffenen Person lediglich im Zusammenhang mit der Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei einschließlich des Verfassungsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzugs. Folglich ist er keine taugliche Rechtsgrundlage für das Auskunftsersuchen der Erbin. Wenngleich sie sich in der Rechtsgrundlage geirrt hat, ist unmissverständlich, dass die Erbin ihr Recht auf Auskunft geltend machen wollte, wie es ihr gemäß § 1 Abs 3 DSG und Art 15 DSGVO zusteht. Der Erbin die Erteilung jeglicher Auskunft lediglich wegen Vergreifens in der Rechtsgrundlage zu verwehren, stünde im diametralen Widerspruch zu ErwGr 63 der DSGVO.
Der Rechtsanwalt erteilte bis zum Abschluss des Verwaltungsverfahrens keinerlei Auskunft. Dies holte er in seiner Bescheidbeschwerde teilweise nach. Weiterhin erteilte der Rechtsanwalt der Erbin jedoch keine Auskunft über ihre Betroffenenrechte (Art 15 Abs 1 lit e DSGVO), über die Empfänger bzw Empfängerkategorien der Daten (Art 15 Abs 1 lit c DSGVO), über die Herkunft der Daten (Art 15 Abs 1 lit g DSGVO) sowie über deren Speicherdauer (Art 15 Abs 1 lit d DSGVO).
Betreffend die Datenherkunft können Verschwiegenheitspflichten eines Rechtsanwalts der Beauskunftung entgegenstehen, diese sind jedoch im Rahmen der Auskunftserteilung geltend zu machen.
Hinsichtlich der Speicherdauer ist, falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, sind die Kriterien für die Festlegung dieser Dauer zu beauskunften. Der Rechtsanwalt ist daher verpflichtet, zumindest die Kriterien für die Festlegung der Speicherdauer anzugeben (etwa Abschluss des zivilgerichtlichen Verfahrens oder – im Hinblick auf die Abwehr von Haftungsansprüchen – eine Speicherdauer im Sinne der absoluten Verjährungsfrist im ABGB von 30 Jahren). Anm: Die DSB unterscheidet in ihrer Rechtsprechung zwischen Verfahren wegen Nichterteilung der Auskunft und unvollständiger Auskunft. Dieser Unterscheidung hat sich das BVwG in seiner bisherigen Rechtsprechung angeschlossen. Auch der VwGH überprüfte zuletzt nicht die Vollständigkeit der nachträglich erteilten Auskunft in einem auf Nichterteilung der Auskunft gerichteten Verfahren (VwGH 02.08.2024, Ra 2022/04/0161). Soweit ersichtlich, war "Sache" des Verfahrens vor der DSB nur die Nichterteilung der Auskunft. Das BVwG ging von seiner bisherigen Rechtsprechung daher ab, indem es auch die Vollständigkeit der im laufenden Verfahren erteilten Auskunft prüfte und die Vervollständigung der Auskunft auftrug.
· Das Datenschutzrecht ist ein höchstpersönliches Recht, das mit dem Tod der natürlichen Person untergeht und auf einen etwaigen Rechtsnachfolger nicht übergehen kann. Mit dem Tod der natürlichen Person geht deren Parteistellung verloren. Mit dem Verlust der Parteistellung ist die Berechtigung weggefallen, eine Datenschutzbeschwerde zu erheben. Damit fiel auch die Berechtigung der DSB (nachträglich) weg, über die Datenschutzbeschwerde zu entscheiden. Der bekämpfte Bescheid ist daher ersatzlos zu beheben (BVwG 22.11.2024, W211 2272917-1).
· Bescheidmäßig verhängte Tierhalteverbote sind keine Umweltinformation iSd § 2 Z 3 UIG. Es kann jedoch dahingestellt bleiben, ob eine Anfrage über ein Tierhalteverbot betreffend eine geschützte Tierart als Umweltinformation iSd § 2 UIG zu werten ist. Denn der Mitteilung der Umweltinformation steht der Ablehnungsgrund des § 6 Abs 2 Z 3 UIG entgegen, wenn sie eine negative Auswirkung auf die Vertraulichkeit personenbezogener Daten hätte, sofern ein schutzwürdiges Interesse an der Geheimhaltung besteht. Eine Liste mit konkret namentlich bezeichneten Personen, über die ein Tierhalteverbot verhängt wurde, beinhaltet mit Blick auf den pönalisierenden Charakter des Tierhalteverbots sensible Daten. Das Interesse an der Geheimhaltung dieser Daten überwiegt das öffentlichen Interesse an der allgemeinen Bekanntgabe von verhängten Tierhalteverboten (LVwG OÖ 28.12.2023, LVwG-552738/2/SB). Anm: Das LVwG OÖ dürfte mit der Wortfolge "sensible Daten" auf die Sensibilität der Informationen hinweisen und keine besondere Kategorie personenbezogener Daten iSd Art 9 Abs 1 DSGVO meinen.
· Am 13.12.2024 wurde das FM-GwG-Anpassungsgesetz, BGBl I 2024/151, kundgemacht. Aufgrund von Empfehlungen des internationalen Gremiums Financial Action Task Force (FATF) sowie zur Umsetzung der VO 2023/1114 (Markets in Crypto-Assets Regulation – MiCAR) wurde der Geltungsbereich des Finanzmarkt-Geldwäschegesetzes (FM-GwG) auf Kryptowertetransfers und sämtliche gezielte finanzielle Sanktionen ausgeweitet. Zudem wurde auch das Wirtschaftliche Eigentümer Registergesetz (WiEReG) novelliert. Zu beachten sind verlängerte Verjährungsfristen. Gleichzeitig wurden ebenso aufgrund von Empfehlungen der FATF auch das Bilanzbuchhaltungsgesetz, das Wirtschaftstreuhandberufsgesetz und die Gewerbeordnung novelliert (BGBl I 2024/150).
· Am 08.01.2024 wird das Urteil des EuG in der Rs T-354/22, Bindl/Kommission, veröffentlicht. Gegenstand des Verfahrens ist ua ein Datentransfer in die USA.
· Am 09.01.2024 wird das Urteil in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), verkündet. Der EuGH wird Fragen des VwGH zur Auslegung der Wortfolge "exzessive Anfragen" in Art 57 Abs 4 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 36. Ausgabe des Schönherr Datenschutzmonitors vom 11.09.2024 nachgelesen werden.
· Am 09.01.2024 wird das Urteil in der Rs C-394/23, Mousse, verkündet. Geklärt wird, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf. Anm: Die Zusammenfassung der Schlussanträge kann in der 28. Ausgabe des Schönherr Datenschutzmonitors vom 17.07.2024 nachgelesen werden.
· Datenschutzrechtliche Grundsätze müssen bei Untersuchungen durch Disziplinarbehörden gegen Beamte von EU-Organen eingehalten werden. Verwaltungsuntersuchungen haben auf einer rechtmäßigen Grundlage zu erfolgen, einem eindeutigen und rechtmäßigen Zweck zu dienen und die Beamten müssen über das Verfahren informiert werden. Der Grundsatz der Datenverarbeitung nach Treu und Glauben verhindert jedoch nicht die Nutzung von Informationen, die in einem Untersuchungsverfahren von dritter Stelle übermittelt werden, auch wenn diese Informationen zu anderen Zwecken erhoben wurden (EuGH 12.12.2024, C-587/21P, DD/FRA; 12.12.2024, C-130/22P, DD/FRA; 12.12.2024, C-680/22P, DD/FRA).
· Das gegen eine Beschwerdevorentscheidung vorgesehene Rechtsmittel ist der Antrag, dass die Bescheidbeschwerde gegen den Ausgangsbescheid dem Verwaltungsgericht zur Entscheidung vorgelegt wird (Vorlageantrag). Die DSB fasste die Beschwerdevorentscheidung in Form eines Aussetzungsbescheides. Das BVwG entschied dennoch in der Sache. Auch wenn mit der Beschwerdevorentscheidung das Verfahren ausgesetzt wurde, steht dieser Aussetzungsbescheid/"Beschwerdevorentscheidung" nach Wegfall des Aussetzungsgrundes der Entscheidung des Verwaltungsgerichts in der Sache nicht entgegen (VwGH 15.11.2024, Ro 2022/04/0028). Anm: Mit der Beschwerdevorentscheidung wird dem Ausgangsbescheid derogiert, sodass der Ausgangsbescheid vor dem Verwaltungsgericht nicht mehr dem Rechtsbestand angehört.
Energieunternehmen, intelligente Stromzähler, EEffG
· Der Bewohner einer Wohnung erhob Datenschutzbeschwerde, weil ihn das Energieunternehmen, das ihn mit Fernwärme belieferte, durch den Betrieb eines bei ihm eingebauten intelligenten Kleinwärmezählers in seinem Grundrecht auf Geheimhaltung verletzt habe. Die DSB wies die Datenschutzbeschwerde ab, woraufhin der Bewohner Bescheidbeschwerde an das BVwG erhob, die ebenfalls abgewiesen wurde.
Das BVwG hat erwogen: Das Energieunternehmen hat mit dem Bewohner einen privatrechtlichen Vertrag abgeschlossen. Somit ist das Energieunternehmen nicht als "staatliche Behörde" iSd § 1 Abs 2 DSG bzw "Behörde" iSd ErwGr 47 DSGVO zu qualifizieren.
Die anwendbare Rechtsgrundlage iSd Art 6 Abs 1 lit c DSGVO für die Installation und den Betrieb des intelligenten Wärmezählers ist § 55 EEffG, der den Zweck der Verarbeitung (Verrechnung, Kundeninformation, Energieeffizienz und Aufrechterhaltung eines sicheren Betriebes von der für die Abrechnung durchführenden Stelle, Aufrechterhaltung der Betriebsfunktion) festlegt. Aus dieser Bestimmung ergeben sich auch die Arten der Daten, die gespeichert werden dürfen, die Dauer der Aufbewahrungspflicht (zur Erfüllung des Zwecks, maximal sieben Jahre) sowie die zu ergreifenden Datensicherheitsmaßnahmen (ua Absicherung der Kommunikation der Geräte, Schutz vor unberechtigtem Zugriff).
Die Speicherung bestimmter Daten in LOG-Files ist aufgrund berechtigter Interessen des Energieunternehmens an der Aufrechterhaltung der Betriebsfunktion und dem ordnungsgemäßen Betrieb des Geräts rechtmäßig, weil ohne diese Aufzeichnung etwaige Fehler nicht erkannt und behoben werden könnten, wodurch der ordnungsgemäße Betrieb gefährdet wäre.
E-Scooter, Geheimhaltung
· Ein Passant beschwerte sich über das Abstellen von E-Scootern am Straßenrand bei der Stadt Wien mittels E-Mail, die auch ein Foto der Örtlichkeit der abgestellten Scooter enthielt. Die Stadt Wien leitete die E-Mail – ohne Angabe von Name/E-Mailadresse des Passanten – an die Betreiberfirma des E-Scooters weiter, um deren Wegschaffung zu veranlassen. Der Passant erachtete sich durch die Weiterleitung der E-Mail in seinem Recht auf Geheimhaltung verletzt und begründete dies damit, dass aus der Örtlichkeit der E-Scooter auf seinen Wohnort geschlossen werden könne. Die auf Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde wies die DSB ab. Dagegen erhob der Passant erfolglos Bescheidbeschwerde an das BVwG.
Das BVwG hat erwogen: Ein Personenbezug liegt vor, wenn Daten einer Person so zugeordnet sind, dass die Identität der Person für den jeweiligen Verwender direkt ersichtlich oder mit Hilfe von – vernünftigerweise zur Verfügung stehenden – Zusatzinformationen herstellbar ist. Die – auf keine solche Zusatzinformationen gestützte – bloße Vermutung, dass Daten einer bestimmten Person zugeordnet werden könnten, kann demnach keine Identifizierbarkeit und damit keinen Personenbezug begründen. Aus der bloßen Örtlichkeit der E-Scooter kann nicht auf den Wohnort des Passanten geschlossen werden, was schon aus der Tatsache folgt, dass dem Betreiberunternehmen eben keine Daten wie etwa Name/E-Mailadresse des Passanten übermittelt wurden.
Informationspflicht, Mitteilungspflicht
· Ein Inkassobüro und ein Rechtsanwalt machten gegenüber einem Betroffenen unberechtigte Forderungen geltend. Ursächlich dafür war eine unzutreffende "Identifizierung" aufgrund einer fälschlicherweise dem Betroffenen zugeordneten Adresse, die bei einer Identitäts- und Bonitätsdatenbank ("Kreditauskunftei") hinterlegt gewesen war. Der Betroffene begehrte die Löschung der "falschen" Adresse bei der Kreditauskunftei. Diese kam dem Löschungsersuchen erst nach, nachdem sie diese "falsche" Adresse der Berechnung eines Bonitätscores über den Betroffenen zugrunde gelegt hatte. Die Kreditauskunftei unterrichtete die jeweiligen Empfänger der – aufgrund der "falschen" Adresse zu gering bewerteten – Bonitätscores nicht über die nachträgliche Löschung der Adresse. Die DSB wies die vom Betroffenen erhobene Datenschutzbeschwerde wegen einer Verletzung des Rechts auf Information, auf Löschung sowie auf Mitteilung ab. Dagegen erhob der Betroffene (teilweise erfolgreich) Bescheidbeschwerde an das BVwG.
Das BVwG hat erwogen: Die von der Kreditauskunftei erfassten und verarbeiteten Daten sind personenbezogene Daten des Betroffenen, weil diese mit seinem Namen und Geburtsdatum verknüpft sind. Der Betroffene hat erst aufgrund mehrerer gestellter Auskunftsersuchen von den Datenverarbeitungen der Kreditauskunftei erfahren. Anders als bei den Rechten auf Auskunft, Berichtigung oder Löschung besteht beim Recht auf Information keine Möglichkeit seitens des Verantwortlichen, eine bereits erfolgte Verletzung durch einen actus contrarius (hier: Löschung der betreffenden Daten) rückwirkend zu beseitigen. Die nachträgliche Auskunftserteilung änderte nichts an der – in der Unterlassung der Erteilung einer entsprechenden Information begründeten – Informationspflichtverletzung.
Anders war die vom Betroffenen monierte Verletzung des Rechts auf Löschung zu beurteilen. Die Kreditauskunftei löschte die vom Betroffenen als unrichtig monierte Adresse noch vor dem Entscheidungszeitpunkt der DSB, sodass eine allfällige Beschwer des Betroffenen – im Nachhinein – weggefallen ist.
Die Mitteilungspflicht gemäß Art 19 Abs 1 DSGVO ist antragslos wahrzunehmen. Die Rechtsverletzung besteht in der Unterlassung der entsprechenden Mitteilung. Die Unterlassung der Mitteilungspflicht kann ebensowenig wie die Verletzung der Informationspflicht saniert werden. Daher war (auch) die Verletzung der Mitteilungspflicht gemäß Art 19 Abs 1 DSGVO festzustellen.
Geldbuße, Videoüberwachung, Verfahrenskosten
· Die Polizei entdeckte im April 2021 bei einer COVID-19-Kontrolle in einem Lokal den Betrieb einer Videoüberwachungsanlage. Die Kamera zeichnete nicht nur den Innenbereich, sondern auch die Zufahrt und einen Teil der gegenüberliegenden Liegenschaft auf. Zudem fehlte eine Kennzeichnung der Anlage. Die Beamten wiesen den Filialleiter auf die gesetzlichen Vorschriften hin. Bei einer Nachkontrolle im Oktober 2021 war die Situation dennoch unverändert. Daraufhin brachte die Polizei eine Anzeige bei der DSB ein, die ein Verwaltungsstrafverfahren gegen die Betreiberin des Lokals einleitete.
Die DSB stellte fest, dass die Betreiberin von April 2021 bis März 2022 personenbezogene Daten unrechtmäßig verarbeitet und gegen ihre Informationspflichten gemäß Art 12 und 13 DSGVO verstoßen hatte. Daher verhängte sie eine Geldstrafe iHv EUR 4.100. Dagegen erhob die Betreiberin Bescheidbeschwerde an das BVwG, das den Tatzeitraum einschränkte, im Übrigen die Bescheidbeschwerde aber abwies.
Das BVwG hat erwogen: Eine juristische Person kann Beschuldigte in einem datenschutzrechtlichen Verwaltungsstrafverfahren sein, ohne dass die Datenschutzverletzung zuvor einer konkreten natürlichen Person aus dem Kreis des Unternehmens zuzurechnen ist.
Die Betreiberin war Verantwortliche der Bildverarbeitung iSd Art 4 Z 7 DSGVO, weil sie deren Zweck und Mittel kontrollierte. Ihr ist der in ihrem Unternehmen angestellte Filialleiter als "unterstellte Person" zuzurechnen.
Bei der automatisierten Verarbeitung durch ein kamerabasiertes Videoüberwachungssystem ist bereits die "Fähigkeit", personenbezogene Daten zu erfassen, ausreichend, um von einer Verarbeitung zu sprechen. Entsprechend erfolgte durch den Betrieb der Videoüberwachungsanlage eine Verarbeitung gemäß Art 4 Z 2 DSGVO.
Es ist kein berechtigtes Interesse der Betreiberin erkennbar, weshalb über den Innenbereich ihres Lokals hinaus auch deren Außenbereich vom Aufnahmebereich der Kameras erfasst sein musste. Die Betreiberin verstieß somit gegen den Grundsatz der Rechtmäßigkeit der Datenverarbeitung. Weiters folgte sie auch nicht dem Grundsatz der Datenminimierung.
Die Betreiberin hatte bis Ende Dezember 2021 überhaupt keine Kennzeichnung der Kamera vorgenommen. Auch das nachträglich angebrachte Hinweisschild enthielt nicht die in der Leitlinie des Europäischen Datenschutzausschusses 3/2019 angeführten Mindestinformationen. Über diese Kennzeichnung hinaus erhielten die Betroffenen im relevanten Zeitraum bis März 2022 keine weiteren Informationen in Bezug auf den Betrieb der Videoüberwachungsanlage.
Die DSB hat den Tatzeitraum unzulässigerweise bis März 2022 ausgedehnt. Der Tatzeitraum ist von April 2021 bis Dezember 2021 zu reduzieren, weil die Aufforderung zur Rechtfertigung nur diesen Zeitraum umfasste.
Ein Verantwortlicher kann für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt. Die Betreiberin traf eine Erkundigungspflicht hinsichtlich der einschlägigen Bestimmungen der DSGVO vor der Verwendung einer Videoüberwachungsanlage. Nach dem eindeutigen Hinweis der Polizei konnte sie über die Rechtswidrigkeit der Datenverarbeitung jedenfalls nicht mehr im Unklaren sein.
Die Betreiberin hat personenbezogene Daten unrechtmäßig und schuldhaft über einen Zeitraum von knapp neun Monaten verarbeitet. Weiters verstieß sie mehr als elf Monate lang gegen ihre Informationspflichten. Die Verstöße wurden zwar fahrlässig begangen, sind jedoch nicht geringfügig, sondern weisen vielmehr bei Beurteilung nach Art 83 Abs 2 lit a DSGVO einen mittleren bis hohen Schweregrad auf. Auch bei der Verkürzung des Tatzeitraums von elfeinhalb auf neun Monate besteht kein Raum für eine Herabsetzung der Strafhöhe.
Da der Bescheidbeschwerde hinsichtlich des Tatzeitraums teilweise stattgegeben wurde, hat die Betreiberin die Kosten des verwaltungsgerichtlichen Verfahrens jedoch nicht zu tragen.
Stammzahlenregisterbehörde, ERsB, Informationspflicht
· Ein Betroffener erhob eine Datenschutzbeschwerde bei der DSB, weil er sich in seinem Recht auf Geheimhaltung verletzt sah. Er behauptete, dass die Stammzahlenregisterbehörde (SRB) seine Daten im Ergänzungsregister für sonstige Betroffene (ERsB) verarbeitet habe, obwohl er zu keinem Zeitpunkt einen Antrag auf Eintragung in das ERsB gestellt habe und immer im Zentralen Melderegister (ZMR) gemeldet gewesen sei. Darüber hinaus sei er zu keinem Zeitpunkt über die Eintragung gemäß Art 14 DSGVO informiert worden, weshalb er auch in seinem Recht auf Information verletzt worden sei. Die DSB wies die Datenschutzbeschwerde ab, weil die Eintragung erforderlich sei, um in einem elektronischen Verfahren unterscheiden zu können, ob eine natürliche Person in Privatangelegenheiten agiere oder unternehmerisch tätig sei. Der Betroffene richtete daraufhin eine (erfolgreiche) Bescheidbeschwerde an das BVwG.
Das BVwG hat erwogen: Die SRB war Verantwortliche, weil sie gemäß § 7 Abs 1 E-GovG iVm § 1 ERegV das Ergänzungsregister zu führen hatte.
Nach § 6 Abs 4 E-GovG (idF BGBl I 119/2022 bis zum 27.07.2023) waren Betroffene, die weder im Melderegister eingetragen waren noch im Firmenbuch oder im Vereinsregister eingetragen sein mussten, auf ihren Antrag im ERsB einzutragen. Der Betroffene war zum Zeitpunkt der Eintragung ins ERsB jedoch im ZMR eingetragen. Die Verarbeitung seiner personenbezogenen Daten im ERsB war daher unrechtmäßig.
Die Informationspflicht nach Art 14 DSGVO besteht unabhängig von einem vorherigen Antrag der betroffenen Person, sie erfordert vielmehr ein aktives Handeln des Verantwortlichen. Die SRB hat durch die Unterlassung der ihr zukommenden Informationspflicht nach Art 14 DSGVO den Betroffenen in seinen Rechten verletzt. Die Informationen hätten spätestens zum Zeitpunkt des Inkrafttretens der DSGVO erteilt werden müssen. Eine nachträgliche Sanierung der Verletzung ist nicht möglich.
· Der Zweck des Ergänzungsregisters für sonstige Betroffene (ERsB) war gemäß § 6 Abs 4 E-GovG (idF BGBl I 119/2022 bis zum 27.07.2023) die eindeutige digitale Identifikation von Betroffenen, die weder im Zentralen Melderegister (ZMR) noch im Firmenbuch (FB) oder im Vereinsregister eingetragen waren, durch ihre Stammzahlen. Die Eintragung der personenbezogenen Daten verstieß gegen das Zweckbindungsprinzip des Art 5 Abs 1 lit b DSGVO, wenn der Betroffene bereits im ZMR, FB oder Vereinsregister eingetragen war (BVwG 19.11.2024, W287 2248018-1).
· Die Information, dass sich eine Person in einem Therapiezentrum aufhält, das sich auf die Behandlung psychischer und psychiatrischer Erkrankungen spezialisiert, ist ein Gesundheitsdatum. Eine den Verfahrensgesetzen entsprechende Verwendung von (sensiblen) Daten ist aus datenschutzrechtlicher Sicht zulässig. Zusätzlich sind die sich aus den Bestimmungen des Art 5 Abs 1 und Art 6 Abs 1 DSGVO ergebenden Anforderungen einzuhalten und es muss eine der in Art 6 Abs 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt sein. Die strittige Datenverarbeitung muss in der Rechtsgrundlage allerdings nicht bezeichnet werden (BVwG 07.10.2024, W108 2277566-1).
· Eine Verletzung im Recht auf Geheimhaltung knüpft an der Verarbeitung personenbezogener Daten an. Durch einen Scheinwerfer ist die Verarbeitung personenbezogener Daten schon begrifflich ausgeschlossen. Ein Schlüsseltresor dient der Aufbewahrung von Schlüsseln. Die Datenerhebung des Außentemperatursensors einer Wetterstation beschränkt sich auf die Außentemperatur. Eine Einparkhilfe bemisst den Abstand zu einem zufahrenden Auto. Durch diese Objekte besteht keine Gefahr der Datenverarbeitung und erfolgt daher auch keine Verletzung des Rechts auf Geheimhaltung. Bleibt ein Antrag in der Datenschutzbeschwerde durch die DSB unerledigt, ist die dadurch begründete Rechtswidrigkeit nicht durch die Bescheidbeschwerde, sondern durch die Säumnisbeschwerde aufzugreifen (BVwG 29.10.2024, W274 2299991-1).
· Das datenschutzrechtliche Auskunftsrecht ist ein höchstpersönliches Recht. In höchstpersönliche Rechte eines Verstorbenen findet keine Rechtsnachfolge statt, weshalb auch die Fortsetzung des Verfahrens über solche Rechte durch die Verlassenschaft oder die Erben nicht in Betracht kommt. Das in § 4 Abs 4 KontRegG normierte Auskunftsrecht ist eine Erweiterung des nach der DSGVO zustehenden Auskunftsrechts, weil auch über etwaige indirekte personenbezogene Daten Auskunft zu erteilen ist und über die Verweigerung dieses Auskunftsrechts mit Bescheid abzusprechen ist. Eine Rechtsnachfolge findet jedoch auch in das Auskunftsrecht nach § 4 Abs 4 KontRegG nicht statt (BVwG 10.10.2024, W177 2257566-2).
· Nach Ansicht des BVwG könnte die Rechtsprechung des EuGH zur DSGVO in der Rs C-807/21, Deutsche Wohnen, wonach die Strafbarkeit einer juristischen Person "keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt", auf die Geldwäsche-Richtlinie übertragbar sein. Aus diesem Grund hat das BVwG beschlossen, dem EuGH entsprechende Fragen zum FM-GwG vorzulegen (BVwG 30.10.2024, W172 2296169-1). Anm: Dieses Vorabentscheidungsersuchen ist insofern überraschend, weil ein anderer Senat des BVwG dieselben Fragen dem EuGH bereits vorgelegt hat. Wir haben darüber am 08.05.2024 in der 18. Ausgabe des Schönherr Datenschutzmonitors berichtet. Die damals vorgelegten Fragen sind beim EuGH unter der Zahl C-291/24, Steiermärkische Bank und Sparkasse, weiterhin anhängig. In solchen Fällen kann das spätere Verfahren ausgesetzt werden, eine erneute Vorlage an den EuGH ist nicht erforderlich.
· Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen. In einer erheblichen Anzahl von Verfahren ist ua die Frage anhängig, ob ein Verstoß des Auftragsverarbeiters gegen Art 32 DSGVO dem Verantwortlichen zugerechnet werden kann (BVwG 21.11.2024, W101 2284188-1).
· Die Speicherung von DNA-Daten ist ein Eingriff ins Grundrecht auf Datenschutz. Die §§ 65 und 67 SPG regeln die (materiellen) Voraussetzungen für eine entsprechende erkennungsdienstliche Behandlung der Tatverdächtigen. Ist das einzige Verdachtsmaterial, welches den Verdächtigen belastet, das Video über den Eingangsbereich einer observierten Adresse, ist dieses Video auch dann zu sichten, wenn auf dem Observierungsvideo ca 100 verdächtige Personen zu erkennen sind. Da das Observationsvideo nicht gesichtet wurde, ist die Verwechslung des Verdächtigen dem eingeschrittenen Organ vorwerfbar und die Durchführung der erkennungsdienstlichen Behandlung (Ermittlung und Speicherung der DNA) war rechtswidrig. Die rechtswidrig erlangten DNA-Daten mögen zwar von Amts wegen zu löschen sein. Für den Antrag auf Löschung ist jedoch die DSB zuständig, sodass der Löschungsantrag vom LVwG Tirol wegen Unzuständigkeit zurückzuweisen war (LVwG Tirol 03.12.2024, LVwG-2024/12/2131-5).
· Der Europäische Datenschutzausschuss (EDSA) hat am 03.12.2024 Leitlinien zu Art 48 DSGVO veröffentlicht. Gemäß Art 48 DSGVO dürfen Urteile oder Entscheidungen von Gerichten oder Behörden in Drittländern, die einem Verantwortlichen oder Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten auftragen, nur dann anerkannt oder vollstreckt werden, wenn sie auf ein internationales Abkommen gestützt sind. Die Leitlinien konzentrieren sich auf Anfragen, die auf eine direkte Zusammenarbeit zwischen einer Drittlandsbehörde und einer privaten Einrichtung in der Union abzielen und enthalten Empfehlungen, wie mit solchen Anfragen umzugehen ist.
Die Offenlegung oder Übermittlung von in der EU verarbeiteten Daten auf Anfrage einer Drittlandsbehörde muss den Grundsätzen des Art 5 DSGVO entsprechen und auf einer Rechtsgrundlage nach Art 6 DSGVO beruhen. Zudem muss eine Übermittlungsgrundlage nach Kapitel V vorliegen ("Zweistufentest"). Die Anfrage einer ausländischen Behörde allein ist weder eine Rechtsgrundlage noch ein Übermittlungsgrund.
Besteht eine rechtliche Verpflichtung aus einem internationalen Abkommen, auf dem die Anfrage beruht, kommt Art 6 Abs 1 lit c DSGVO als Rechtsgrundlage in Betracht. Andernfalls können andere Rechtsgrundlagen gemäß Art 6 Abs 1 DSGVO genutzt werden. Einzig Art 6 Abs 1 lit b DSGVO kann von einer privaten Stelle in der EU nicht als Rechtsgrundlage für die Beantwortung einer Anfrage herangezogen werden. Ein Verantwortlicher kann sich auch nicht auf Art 6 Abs 1 lit f DSGVO stützen, um personenbezogene Daten präventiv zu erheben und zu speichern, wenn dies nicht mit den tatsächlichen (wirtschaftlichen und kommerziellen) Aktivitäten des Unternehmens zusammenhängt.
Art 48 DSGVO ist keine Übermittlungsgrundlage. Bevor auf eine Anfrage einer Drittlandsbehörde reagiert wird, muss daher eine Übermittlungsgrundlage des Kapitel V identifiziert werden. Regelt ein internationales Abkommen die Zusammenarbeit zwischen dem Verantwortlichen oder Auftragsverarbeiter in der EU/EEA und der anfragenden Drittlandsbehörde, kann dieses Abkommen als Übermittlungsgrundlage dienen, wenn es die entsprechenden Schutzmaßnahmen gemäß Art 46 Abs 2 lit a DSGVO vorsieht. Andernfalls ist ein anderer Übermittlungsgrund des Kapitels V der DSGVO zu wählen. Anm: Zu diesen Leitlinien wurde eine öffentliche Konsultation eingeleitet. Stellungnahmen können bis zum 27.01.2025 abgegeben werden.
· Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.
· Am 09.01.2024 wird das Urteil in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), verkündet. Der EuGH wird Fragen des VwGH zur Auslegung der Wortfolge "exzessive Anfragen" in Art 57 Abs 4 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 36. Ausgabe des Schönherr Datenschutzmonitors vom 11.09.2024 nachgelesen werden.
· Am 09.01.2024 wird das Urteil in der Rs C-394/23, Mousse, verkündet. Geklärt wird, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf. Anm: Die Zusammenfassung der Schlussanträge kann in der 28. Ausgabe des Schönherr Datenschutzmonitors vom 17.07.2024 nachgelesen werden.
EGMR 03.12.2024, 28935/21, MSD/Rumänien
Online-Gewalt, Schadenersatz
Persönlichkeitsrecht, Identifizierbarkeit
BVwG 11.11.2024, W298 2295931-1
Säumnis, Kohärenzverfahren
EGMR 28.11.2024, 31091/16, Csikos/Ungarn
Telefonüberwachung, Journalismus
EuGH 28.11.2024, C-169/23, Masdi
Informationspflicht, Ausnahme, Datenquelle, Datengenerierung
EuGH 28.11.2024, C-80/23, Ministerstvo
DSRL-PJ 2016/680, biometrische und genetische Daten
Aus der Rechtsprechung des VwGH:
BVwG 13.09.2024, W298 2274626-1
reCAPTCHA, Cookies, berechtigtes Interesse
BVwG 05.09.2024, W211 2291307-1
Smart Meter, Vertragserfüllung, Koppelungsverbot, Transparenz
BVwG 17.09.2024, W298 2295130-1
Geldbuße, Mitwirkung, Selbstbezichtigung
BVwG 30.09.2024, W108 2285483-1
Geldbuße, Videoüberwachung, Kennzeichnung
BVwG 17.10.2024, W274 2291368-1
Datenschutzbehörde, AuskunftspflichtG, amtswegige Verfahren
EuGH 21.11.2024, C-336/23, Hrvatska pošta
PSI 2-RL, Dokumentenzugang
ANOM, SKY ECC, Verwertungsverbot
BVwG 25.10.2024, W108 2285546-1
Geldbuße, sensible Daten, Verschulden, Strafzumessung
BVwG 13.09.2024, W252 2277317-1
Tonbandaufnahme, Scheidung, berechtigtes Interesse
Rechtsanwalt, Rechtsdurchsetzung, berechtigtes Interesse
BVwG 30.09.2024, W256 2248861-1
Aus der Rechtsprechung des BFG:
Aus der Rechtsprechung der BDB:
BVwG 22.10.2024, W252 2286224-1
Eltern-App, Haushaltsausnahme, Familienleben
BDB 29.05.2024, 2023-0.604.684
Dienstpflichtverletzung durch Datenabfrage, AIS
BVwG 30.09.2024, W603 2297646-1
Aus der Rechtsprechung des VwGH:
Amtsgeheimnis, Amtsmissbrauch, Strafverfolgung
Aus der weiteren Rechtsprechung des OGH:
BVwG 19.09.2024, W287 2248365-1
AuskunftspflichtG, Meinungsäußerungsfreiheit
BVwG 25.09.2024, W108 2287986-1
Präklusion, Haushaltsausnahme, Forderungsbetreibung
BVwG 25.09.2024, W108 2284790-1
Materielle Wahrheit, Zurückverweisung
BVwG 25.09.2024, W108 2274176-1
Materielle Wahrheit, Zurückverweisung
BVwG 16.09.2024, W137 2293092-1
Sozialversicherung, AMS, rechtliche Verpflichtung
BDB 04.03.2024, 2022-0.711.297
Amtsmissbrauch, Befangenheit
Google-Bewertungen, Zuständigkeit, Herkunftslandprinzip, Rollenverteilung, Datentransfer in die USA
EuGH 17.10.2024, C-302/23, Jarocki
eIDAS-Verordnung
BVwG 11.09.2024, W256 2290824-1
Kohärenzverfahren, Säumnisbeschwerde
BVwG 16.09.2024, W137 2288585-1
Wildkamera, zeitlicher Anwendungsbereich, DSG 2000 Verhältnismäßigkeit, gelindeste Mittel
LVwG Wien 29.02.2024, VGW-001/049/14641/2023
Handelsstatistik, UID-Nummer, Art 6 Abs 1 lit e DSGVO
Videoüberwachung, Verschleierungsverbot
BVwG 28.08.2024, W221 2279014-1
Tesla, Dash-Cam, Beweislast
BVwG 22.08.2024, W256 2246158-1
SPG, Identitätsdokumentenregister, AuvBZ, Unzuständigkeit
BVwG 05.09.2024, W176 2273820-1
Rechtsanwaltskammer, AuskunftspflichtG
BVwG 02.09.2024, W292 2292958-1
BVwG, Verfristung
BVwG 12.09.2024, W252 2272069-1
Impferinnerungsschreiben, Mitwirkungspflicht
EuGH 04.10.2024, C-446/21, Schrems III
Personalisierte Online-Werbung, Datenminimierung, sensible Daten
EuGH 04.10.2024, C-507/23, Patērētāju tiesību aizsardzības centrs
Immaterieller Schaden, Entschuldigung
EuGH 04.10.2024, C-21/23, Lindenapotheke
Apotheke, Mitbewerber, Unterlassungsklage, Gesundheitsdaten
EuGH 04.10.2024, C-621/22, Koninklijke Nederlandse Lawn Tennisbond
Interessenabwägung, wirtschaftliche Interessen
EuGH 04.10.2024, C-200/23, Agentsia po vpisvaniyata
Handelsregister, Rollenverteilung, immaterieller Schaden
EuGH 04.10.2024, C-548/21, Bezirkshauptmannschaft Landeck
StPO, Mobiltelefon, Auswertung
VwGH 03.09.2024, Ro 2022/04/0031
Schule, Art 6 Abs 1 lit e DSGVO, Interessenabwägung
VwGH 03.09.2024, Ra 2023/04/0042
AMS, Speicherbegrenzung, Rechtsansprüche
EuGH 26.09.2024, C-768/21, Land Hessen
Aufsichtsbehörde, Aufsichtsbefugnisse, Ermessen, subjektives Recht, Geldbuße
Erstkopie, Krankengeschichte, Beschränkung von Betroffenenrechten, Verhältnismäßigkeit
DSB 28.03.2024, 2024-0.215.259
Zuständigkeit, Mandatsbescheid, Untersuchungsausschuss, COFAG
Amtshaftung, feste Geschäftsverteilung, negativer Kompetenzkonflikt
BVwG 21.08.2024, W258 2246325-1
Anwendungsbereich, Unzuständigkeit, Schule, COVID
BVwG 27.08.2024, W298 2291640-1
Medien, Amtsverschwiegenheit
BVwG 21.08.2024, W214 2254151-1
Heizkostenabrechnung, Zuständigkeit
BFG 06.09.2024, AO/5100023/2024
Mutwillensstrafe, Akteinsicht
DSB 05.09.2024, 2023-0.793.494
Grundbuch, Rollenverteilung, Gemeinsam Verantwortliche, justizielle Tätigkeit
EuGH 12.09.2024, C-17/22 ua, HTB Neunte Immobilien
Gesellschaftsrecht, Rechtsgrundlagen, vertragliche Verpflichtung, berechtigte Interessen
Der EuGH hat erwogen: Eine Datenverarbeitung ist für die Erfüllung eines Vertrags dann erforderlich, wenn der Verantwortliche nachweisen kann, dass der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden kann. Die Daten müssen zur ordnungsgemäßen Erfüllung des Vertrags wesentlich sein. Für die Verarbeitung der Daten darf keine praktikable und weniger einschneidende Alternative bestehen. Wenn in Beteiligungs- und Treuhandverträgen die Weitergabe von Daten anderer Gesellschafter ausdrücklich ausgeschlossen ist, ist eine Weitergabe der Daten für die Erfüllung des Vertrags nicht erforderlich. Die Datenübermittlung kann daher nicht auf die Vertragserfüllung gestützt werden.
Bei der im Einzelfall durchzuführenden Interessenabwägung nach Art 6 Abs 1 lit f DSGVO ist das Interesse eines an dem Investmentfonds beteiligten Gesellschafters am Erhalt der Daten den Interessen anderer Gesellschafter an der Geheimhaltung ihrer Daten gegenüberzustellen. Ein Interesse der an einem Investmentfonds beteiligten Gesellschafter an einer Kontaktaufnahme wegen des Erwerbs ihrer Anteile kann nicht ausgeschlossen werden. Eine Verarbeitung der Daten im berechtigten Interesse muss jedoch zum Zeitpunkt der Erhebung der Daten erwartbar sein und darf für den Betroffenen nicht überraschend erfolgen. Ist die Weitergabe von Daten an andere Gesellschafter in einem Vertrag ausdrücklich ausgeschlossen, können die Gesellschafter nicht damit rechnen, von anderen Gesellschaftern kontaktiert zu werden.
Eine Datenverarbeitung gestützt auf Art 6 Abs 1 lit c DSGVO ist dann gerechtfertigt, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche gemäß dem Recht des betreffenden Mitgliedstaats unterliegt. Das Recht des Mitgliedstaats kann dabei auch die nationale Rechtsprechung umfassen. Die Rechtsprechung muss aber klar, präzise formuliert und für die Rechtsunterworfenen vorhersehbar sein und ein im öffentlichen Interesse liegendes Ziel verfolgen, zu dem sie in einem angemessenen Verhältnis steht.EuGH Schlussanträge 12.09.2024, C‑203/22, Dun & Bradstreet
Automatisierte Entscheidung, Bonität, Auskunft
EuGH Schlussanträge, C-383/23 12.09.2024, ILVA (Amende pour violation du RGPD)
Geldbuße, Unternehmensbegriff, Verhältnismäßigkeit
EuGH Schlussanträge 12.09.2024, C-247/23, Deldits
Transgender, Berichtigung, Register
BVwG 21.08.2024, W176 2281424-1
Exekution, justizielle Tätigkeit, Zustellung
BVwG 19.08.2024, W108 2286821-1
Altstoffsammelzentrum, Interessenabwägung
EuGH Schlussanträge 05.09.2024, C-416/23, Österreichische Datenschutzbehörde
BVwG 31.07.2024, W108 2280724-1
BVwG 10.07.2024, W298 2261830-1
BVwG 19.08.2023, W214 2242818-1
BVwG 19.08.2024, W214 2248588-1
Aus der Rechtsprechung des OGH:
BVwG 31.07.2024, W108 2284491-1
BVwG 22.04.2024, W214 2253376-1
BVwG 20.11.2023, W214 2222613-2
BVwG 22.07.2024, W211 2171666-1
VwGH 24.07.2024, Ra 2024/04/0376
Die Lebensgefährtin eines Angestellten fühlte sich von der Überwachung durch einen Detektiv in ihrem Recht auf Geheimhaltung verletzt. Die Arbeitgeberin ließ den Angestellten wegen einer arbeitsrechtlichen Auseinandersetzung observieren. Obwohl die Lebensgefährtin nicht Gegenstand des Observationsauftrags war, enthielt der Observationsbericht Fotos der Lebensgefährtin, auf denen sie allein zu sehen war, ihren vollen Namen und bezeichnete sie als "Zielperson 2". Die DSB gab der Datenschutzbeschwerde der Lebensgefährtin teilweise statt.
Gegen das Erkenntnis erhob der observierende Detektiv Bescheidbeschwerde an das BVwG, welches die Beschwerde abwies. Das BVwG sah die Verarbeitung der Daten der Lebensgefährtin nicht vom berechtigten Interesse des Detektivs gedeckt. Gegen das Erkenntnis erhob der Detektiv eine außerordentliche Revision an den VwGH. Der VwGH wies die Revision zurück.
Der VwGH hat erwogen: Bei der Beurteilung der Rechtmäßigkeit einer Datenverarbeitung gemäß Art 6 Abs 1 lit f DSGVO ist eine einzelfallbezogene Interessenabwägung durchzuführen. Eine Rechtsfrage von grundsätzlicher Bedeutung iSd Art 133 Abs 4 B-VG liegt bei Einzelfallbeurteilungen nur dann vor, wenn die Beurteilung krass fehlerhaft ist.
Die Ermittlung von Zeugen kann im berechtigten Interesse eines Detektivs liegen, muss aber vom Auftragsumfang gedeckt sein. Das Anfertigen von Fotos, auf denen die Lebensgefährtin allein zu sehen ist, fällt nicht unter die Beschaffung von Beweismitteln für ein gerichtliches oder behördliches Verfahren. Inwieweit die Fotos für einen eventuellen arbeitsrechtlichen Streit mit dem Angestellten von Nutzen sein könnten, ist nicht ersichtlich. Eine krasse Fehlbeurteilung, die aus Gründen der Rechtssicherheit einer Korrektur bedürfte, wurde in der Revision ebenso wenig aufgezeigt wie eine konkrete Rechtsfrage.
BVwG 08.07.2024, W177 2287425-1
Ein Verlassenschaftskurator stellte für die Verlassenschaft beim Bundesminister für Finanzen (BMF) ein Auskunftsbegehren betreffend den Verstorbenen bzw seiner Verlassenschaft, einschließlich seiner Kontodaten im Kontenregister. Der BMF wies den Antrag mit Bescheid ab. Gegen diesen Bescheid erhob die Verlassenschaft (erfolglose) Bescheidbeschwerde an das BVwG.
Das BVwG hat erwogen: Die Verlassenschaft hat kein Auskunftsrecht aus dem Kontenregister nach § 4 Abs 1 KontRegG, weil die Ermittlung und Feststellung von Nachlassvermögen keiner der in dieser Bestimmung taxativ genannten Zwecke ist.
Gemäß § 4 Abs 4 KontRegG haben betroffene Personen und Unternehmer das Recht auf Auskunft, welche sie betreffende Daten in das Kontenregister aufgenommen sind. Der Verlassenschaft steht dieses Auskunftsrecht nicht zu, weil es personenbezogene Daten des Verstorbenen sind. Das Auskunftsrecht nach dieser Bestimmung ist ein höchstpersönliches Recht, das mit dem Tod des Berechtigten erlischt. In höchstpersönliche Rechte des Verstorbenen findet eine Rechtsnachfolge durch die Verlassenschaft nicht statt. Dies gilt auch für das Auskunftsrecht nach dem DSG oder der DSGVO, an die die Bestimmung des § 4 Abs 4 KontRegG angelehnt ist.
Die Verlassenschaft steht zudem in keinem schuldrechtlichen Verhältnis zur Behörde, von der die Auskunft begehrt wird, sodass ein Eintritt im Wege der Gesamtrechtsnachfolge iSd Eigenschaft eines Kunden oder einer Kundin eines Kreditinstituts zur Begründung des Auskunftsrechts nicht in Betracht kommt. Die Verlassenschaft hat jedoch die Möglichkeit, direkt vom Kreditinstitut, mit dem der Verstorbene ein Vertragsverhältnis begründet hatte, Auskunft zu begehren.
BVwG 24.07.2024, W274 2287428-1
Ein Versicherter ersuchte die Gebietskrankenkasse um Löschung des Krankengeldbezugs über einen näher bezeichneten Zeitraum aus seinem Sozialversicherungsdatenauszug, weil der Krankengeldbezug für diesen Zeitraum seines Erachtens zu Unrecht als "Krankengeldbezug Sonderfall" ausgewiesen war. Der Versicherte befürchtete, dass die Daten ihm bei der Arbeitssuche schaden würden. Die Gebietskrankenkasse verweigerte die Löschung.
Der Versicherte erhob eine Datenschutzbeschwerde. Die DSB hat allerdings bereits zuvor eine Datenschutzbeschwerde des Versicherten, in dem die Löschung des Krankengeldbezugs zum Teil über denselben Zeitraum verlangt wurde, abgewiesen. Obwohl die DSB diese zeitliche Überlappung erkannte, wies sie die Datenschutzbeschwerde zur Gänze ab. Das BVwG wies die dagegen gerichtete Bescheidbeschwerde des Versicherten teilweise wegen entschiedener Sache (res iudicata) zurück und teilweise ab.
Das BVwG hat erwogen: Über einen Teil des Zeitraums betreffend den Krankengeldbezug hat die DSB bereits mit einem früheren Bescheid abgesprochen. Die DSB erkannte zwar die Identität der Sache über einen Großteil des Zeitraums, dennoch wies sie die Datenschutzbeschwerde ab. Wurde von der DSB ein neuerlicher Antrag trotz Identität der Sach- und Rechtslage nicht wegen res iudicata zurückgewiesen, sondern aus materiellen Gründen (wieder) abgewiesen, ist die Partei ungeachtet der Rechtswidrigkeit des Bescheids in keinem Recht verletzt. Wird gegen eine solche rechtswidrige meritorische Erledigung jedoch Bescheidbeschwerde an das BVwG erhoben, hat das BVwG den Antrag – ungeachtet der Sachentscheidung der DSB – wegen res iudicata zurückzuweisen.
Hinsichtlich des darüber hinausgehenden Zeitraums war die Bescheidbeschwerde abzuweisen. Die gesetzliche Pensionsversicherung knüpft am Krankengeld an. Die Grundlage der entsprechenden Information für die Pensionsversicherung ist der Versicherungsdatenauszug. Die Verarbeitung des Versicherungsdatenauszugs ist zur Erfüllung der gesetzlichen Pflicht der Gebietskrankenkasse erforderlich.
Die Qualifikation "Krankenfeldbezug Sonderfall" wird verwendet, wenn aufgrund des Bezugs von Arbeitslosengeld, Karenzurlaubsgeld oder Notstandshilfe oder auf Grund einer durch eine Beschäftigung bei einer internationalen Organisation (zB IAEO, UNIDO) oder verschiedenen Gemeinde- und Landesbediensteten begründeten Krankenversicherung nach dem ASVG-Krankengeld bezogen wurde, wobei der Grund, warum es zu diesem Krankengeldbezug gekommen ist, für die Speicherung der Qualifikation unerheblich ist.
Der Versicherte meint, sein Krankengeldbezug wäre im genannten Zeitraum aufgrund einer unzulässigen Zwangsmaßnahme nach dem UbG erfolgt, woran die Qualifikation "Krankengeldbezug Sonderfalle" anknüpfe, weshalb die Aufnahme dieser Qualifikation des Krankengeldbezugs in den Versicherungsdatenauszug unrechtmäßig war. Für die Speicherung der Qualifikation ist der Grund, weshalb es zum Krankengeldbezug gekommen ist, jedoch unerheblich. Relevant ist nur der festgestellte und nicht bestrittene Zusammenhang mit dem Notstandshilfebezug des Versicherten.
BVwG 27.06.2024, W176 2248629-1
Eine Patientin absolvierte nach einer Hüftoperation ein Anschlussheilverfahren gemäß § 65a B-KUVG in einem Rehabilitationszentrum. Zu diesem Zeitpunkt war sie dement und kognitiv signifikant eingeschränkt. Die Ärzte des Rehabilitationszentrums forderten einen neurologischen MRT-Befund von einer medizinischen Einrichtung an, um den Gesundheitszustand der Patientin und den weiteren Behandlungsverlauf besser einschätzen zu können. Durch die Weitergabe ihrer Daten ohne ausdrückliche Zustimmung erachtete sich die Patientin in ihrem Recht auf Geheimhaltung verletzt. Sie legte deshalb eine Datenschutzbeschwerde bei der DSB ein. Die Datenschutzbeschwerde wurde von der DSB abgewiesen, ihre anschließende Bescheidbeschwerde beim BVwG blieb ebenso erfolglos.
Das BVwG hat erwogen: Bei der Verarbeitung besonderer Kategorien von Daten iSd Art 9 Abs 1 DSGVO, wozu ua Gesundheitsdaten gehören, muss ein Erlaubnistatbestand des Art 9 Abs 2 DSGVO erfüllt sein. Die Patientin war aufgrund ihrer kognitiven Einschränkungen nicht in der Lage, eine ausdrückliche Einwilligung zur Datenverarbeitung zu erteilen. Folglich kann sich die medizinische Einrichtung nicht auf die ausdrückliche Einwilligung der Patientin zur Datenverarbeitung gemäß Art 9 Abs 2 lit a DSGVO berufen.
Das physiotherapeutische Anschlussheilverfahren war keine medizinische Notsituation. Die durchgeführte Datenverarbeitung kann daher nicht auf ein lebenswichtiges Interesse der Patientin gestützt werden. Die Datenverarbeitung war weder zum Schutz lebenswichtiger Interessen der Patientin erforderlich noch war eine konkrete Gefahrensituation abzuwenden.
Die Übermittlung des MRT-Befundes war jedoch erforderlich, um den Gesundheitszustand und den weiteren Behandlungsverlauf im Anschlussheilverfahren zu beurteilen. Diese Verarbeitung von Gesundheitsdaten ist gemäß Art 9 Abs 2 lit h DSGVO zulässig, weil sie der medizinischen Diagnostik, Versorgung oder Behandlung der Patientin dient. Die medizinische Einrichtung war Teil eines gehobenen medizinisch-technischen Dienstes (§ 1 Z 3 iVm § 2 Abs 3 MTD-G) und unterliegt der Verschwiegenheitspflicht gemäß § 11c Abs 1 MTD-G. Allerdings ist sie verpflichtet, relevante medizinische Informationen an andere Angehörige der Gesundheitsberufe weiterzugeben, sofern diese für die Behandlung oder Pflege erforderlich sind (§ 11b Abs 2 MTD-G).
BVwG 08.07.2024, W137 2265905-1
Ein Ehemann installierte eine Kamera in der Tiefgarage eines Mehrparteienhauses, weil der PKW seiner Ehefrau in der Vergangenheit des Öfteren beschädigt wurde. Nach der Darstellung des Ehemanns zeichnete die Kamera nur dann auf, wenn sie Bewegungen in unmittelbarer Nähe des PKWs erkannte, zudem war der Aufnahmebereich auf seinen eigenen Garagenplatz begrenzt. Auch das Mikrofon der Kamera würde nur durch Stimmen in unmittelbarer Umgebung aktiviert werden. Ein Nachbar fühlte sich durch die Kamera gestört und belegte mit Screenshots, dass größere Flächen der Garage aufgenommen wurden.
Die DSB gab der Datenschutzbeschwerde des Nachbarn statt und stellte fest, dass der Ehemann den Nachbarn durch die Verarbeitung von Bild- und Tonaufnahmen in seinem Recht auf Geheimhaltung verletzt hat. Die dagegen erhobene Bescheidbeschwerde des Ehemannes blieb erfolglos.
Das BVwG hat erwogen: Eine Videoüberwachung durch eine Privatperson kann grundsätzlich rechtmäßig sein, wenn die Privatperson an der Datenverarbeitung ein berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO hat sowie die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Das berechtigte Interesse des Ehemanns lag im Schutz seines Eigentums. Die von ihm durchgeführte Datenverarbeitung war jedoch überschießend und ging über den Zweck hinaus, weil die Kamera auch andere Garagenplätze sowie den Durchgang der Tiefgarage erfasste. Die Datenverarbeitung war somit nicht auf das notwendige Maß beschränkt.
Eine Tonaufnahme kann im berechtigte Interesse zulässig sein. Die entsprechenden Tonaufnahmen waren zur Überwachung des PKWs jedoch nicht erforderlich, weil eine auf den Garagenplatz eingeschränkte Videoüberwachung jedenfalls ausgereicht hätte, um im Falle der Beschädigung des PKWs als Beweismittel zu dienen.
Die DSGVO selbst schützt nur natürliche Personen, jedoch ist in verfassungskonformer Interpretation davon auszugehen, dass die in § 1 DSG normierten Rechte auch juristischen Personen zukommen und diese sich folglich darauf berufen können. Geschäftliche Daten, die Schlüsse auf die wirtschaftliche Gebarung der juristischen Person zulassen, sind schutzwürdige unternehmensbezogene Wirtschaftsdaten. Betreffend die Anforderungen für eine Zustimmung iSd § 1 Abs 2 DSG ist auf das Konzept der Einwilligung iSd Art 4 Z 11 DSGVO zurückzugreifen. Eine rechtswirksame Zustimmung zur Datenverarbeitung durch eine Behörde ist möglich (BVwG 30.07.2024, W287 2254678-1).
In einer Datenschutzbeschwerde ist das als verletzt erachtete Recht zu bezeichnen. Wird dieses Recht – auch nach einem Mangelbehebungsauftrag – nicht bezeichnet, ist die Datenschutzbeschwerde von der DSB zurückzuweisen (BVwG 24.07.2023, W274 2291735-1).
Wird dem einzigen Beschwerdepunkt durch die DSB mit Beschwerdevorentscheidung vollinhaltlich entsprochen, ist die Beschwerdevorentscheidung zu bestätigen, auch wenn der Bescheidbeschwerde Berechtigung zukam (BVwG 24.07.2024, W274 2292105-1).
Auf Verfahren zur Bestimmung der federführenden Aufsichtsbehörde ist § 38 Satz 2 AVG (Aussetzung eines Verfahrens bis zur Lösung einer Vorfrage) nicht anzuwenden. Eine Verfahrensaussetzung ist auch nach 24 Abs 10 Z 2 DSG nicht möglich, weil diese Bestimmung keine rechtliche Grundlage für eine Verfahrensaussetzung enthält, sondern nur eine Hemmung des Fristenlaufes normiert. Die Zeit während eines Kohärenzverfahrens nach Art 56, 60 und 63 DSGVO ist in die sechsmonatige Entscheidungsfrist nicht einzurechnen (BVwG 08.07.2024, W137 2280182-1).
Gemäß § 13 Abs 7 AVG können Anbringen in jeder Lage des Verfahrens zurückgezogen werden. Solange die Bescheidbeschwerde beim BVwG anhängig ist, kann sie zurückgezogen werden. Das Verfahren ist mit Beschluss einzustellen (BVwG 17.07.2024, W108 2276381-2).
DSB 07.07.2024, 2023-0.358.049
Ein Fahrgast erhielt vom Verkehrsunternehmen eine Mehrgebühr wegen der Nutzung öffentlicher Verkehrsmittel ohne Fahrschein, obwohl er zu diesem Zeitraum nicht in der Stadt war und ein Klimaticket besaß. Nachdem er einen Scan seines Klimatickets an das Verkehrsunternehmen übermittelte, wurde der Fall geschlossen. Der Betroffene verlangte die Löschung seiner Daten.
Das Verkehrsunternehmen verweigerte die Löschung und verwies auf die buchhalterischen Aufbewahrungspflichten nach § 132 Abs 1 BAO, den §§ 190, 212 UGB und § 18 UStG. Der Fahrgast erachtete sich in seinem Recht auf Löschung verletzt, weil die Datenverarbeitung auf einer Fahrlässigkeit des Verkehrsunternehmens beruht habe. Hätte das Verkehrsunternehmen die Identität der tatsächlich kontrollierten Person ordnungsgemäß überprüft, wäre die Buchung nicht erfolgt. Die DSB wies die Datenschutzbeschwerde des Fahrgasts ab.
Die DSB hat erwogen: Das Verkehrsunternehmen verarbeitete die personenbezogenen Daten des Fahrgasts als Verantwortliche iSd Art 4 Z 7 DSGVO. Nach Art 17 Abs 1 DSGVO steht dem Fahrgast grundsätzlich das Recht zu, die Löschung seiner personenbezogenen Daten zu begehren. Die Löschung kann jedoch nach Abs 3 lit b leg cit verweigert werden, soweit die Verarbeitung der Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Gemäß § 212 Abs 1 UGB und § 132 BAO trifft den Unternehmer eine siebenjährige Aufbewahrungspflicht hinsichtlich seiner Bücher, Belege und Buchungen. Dies dient der Erfüllung der Rechnungslegungspflicht gemäß §§ 189 ff UGB, um den zuständigen Behörden steuerrechtliche Feststellungen und mögliche Nachprüfungen zu ermöglichen. Die Speicherung der personenbezogenen Daten des Fahrgasts ist für die Erfüllung dieser gesetzlichen Aufgabe erforderlich, um den Grundsätzen ordnungsgemäßer Buchführung gerecht zu werden. Dabei ist es unerheblich, dass die Daten des Fahrgasts ohne sein Zutun von dem Verkehrsunternehmen erhoben wurden, weil die kontrollierte Person in betrügerischer Absicht seine Daten angab. Das Verkehrsunternehmen entsprach daher dem Löschungsersuchen des Fahrgasts zu Recht nicht. Es liegen auch keine Anhaltspunkte vor, dass die Daten des Fahrgasts vom Verkehrsunternehmen zweckwidrig verwendet wurden, weshalb Art 17 Abs 1 lit d DSGVO nicht einschlägig ist.
Am 19.08.2024 hat das Bundesland Tirol, LGBl 2024/56, die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart.
Am 23.08.2024 hat das Bundesland Steiermark, LGBl 2024/87, die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart.
Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.
Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).
Am 12.09.2024 werden die Schlussanträge in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV und Rs C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht.
Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in ein öffentliches Register zu berichtigen ist, wenn das Geschlecht sich ändert.
Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.
Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH wird entscheiden, ob eine Aufsichtsbehörde, wenn sie eine Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse auszuüben hat. Anm: Die Zusammenfassung der Schlussanträge in dieser Rechtssache kann in der 15. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.
VwGH 24.07.2024, Ro 2023/04/0001; VwGH 24.07.2024, Ra 2023/04/0270
Die DSB gab zwei Datenschutzbeschwerden statt, in welchen jeweils bei derselben Kreditauskunftei die Löschung von negativen Zahlungserfahrungen begehrt wurde. Das BVwG änderte beide Bescheide der DSB dahingehend ab, dass die Datenschutzbeschwerden abgewiesen werden. Die DSB erhob jeweils Amtsrevision an den VwGH.
Die Kreditauskunftei teilte dem VwGH in beiden Verfahren mit, dass sie in der Zwischenzeit die negativen Erfahrungswerte gelöscht und die Betroffenen hierüber informiert hat. Der VwGH erklärte beide Verfahren für gegenstandslos und stellte die Verfahren mit Beschluss ein.
Der VwGH hat erwogen: Gemäß § 33 Abs 1 erster Satz VwGG ist die Revision mit Beschluss als gegenstandslos geworden zu erklären und das Verfahren einzustellen, wenn in irgendeiner Lage des Verfahrens offenbar wird, dass der Revisionswerber klaglos gestellt wurde. Auch im Fall einer Amtsrevision ist bei Wegfall des rechtlichen Interesses an einer meritorischen Entscheidung das Verfahren wegen Gegenstandslosigkeit einzustellen.
Dem mit der Datenschutzbeschwerde erhobenen Löschungsbegehren wurde von der Kreditauskunftei entsprochen. Der mit der Datenschutzbeschwerde begehrte Zustand wurde hergestellt, weshalb von einer Klaglosstellung des Betroffenen und einem Wegfall des rechtlichen Interesses an der Entscheidung über die Revision ausgegangen werden kann. Achtung: Die Klaglosstellung führt vor dem VwGH nur dann zur Einstellung des Verfahrens, wenn der Verantwortliche vor dem BVwG obsiegt hat. Bis zur Entscheidung des BVwG kann der Betroffene hinsichtlich Auskunfts-, Löschungs-, Berichtigungs-, Einschränkungs- und Portabilitätsbegehren jederzeit klaglos gestellt werden.
Anm: Zwischen den Entscheidungen des BVwG und des VwGH hat der EuGH am 07.12.2023 in den verbundenen Rs C-26/22 und C-64/22, SCHUFA Holding (Libération de reliquat de dette), über die Speicherdauer von Daten, die von Kreditauskunfteien aufbewahrt werden, entschieden. Im Mai 2024 informierte die Kreditauskunftei den VwGH über die Löschung der negativen Erfahrungswerte.
Steht nicht fest, dass eine Information erteilt wurde (Negativfeststellung), fehlt die Kausalität für sämtliche Schadenersatzansprüche. Die Wahrnehmungen von Zeugen, die keine Angaben zur tatsächlichen Weitergabe personenbezogener Daten machen können, sind kein taugliches Beweisthema (OGH 24.07.2024, 1Ob87/24m).
BVwG 22.07.2024, W211 2271978-1
Für eine Hausbetreuung benutzte eine Hausverwaltung die private E-Mailadresse und Telefonnummer eines Hausbesorgers. Der Hausbesorger widerrief gegenüber der Hausverwaltung – seinem Arbeitgeber – die Einwilligung, seine privaten Kontaktdaten an Dritte weiterzugeben. Der Hausbesorger ersuchte um ein Diensttelefon sowie einen dienstlichen E-Mailaccount. Dennoch versandte die Hausverwaltung weiterhin E-Mails bzw Auftragsbestätigungen, in denen die privaten Kontaktdaten des Hausbesorgers aufschienen. Erst nach mehreren Monaten stellte die Hausverwaltung dem Hausbesorger ein Diensttelefon und eine dienstliche E-Mailadresse zur Verfügung. Aufgrund eines Krankenstands versandte die Personalverrechnung der Hausverwaltung – nachdem eine Kontaktaufnahme über die dienstliche E-Mailadresse und das Diensttelefon scheiterte – eine Aufforderung zur Vorlage einer Krankenstandbestätigung an die private E-Mailadresse des Hausbesorgers. Die auf eine Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde wies die DSB als unbegründet ab. Hiergegen erhob der Hausbesorger Bescheidbeschwerde an das BVwG, das der Bescheidbeschwerde teilweise stattgab.
Das BVwG hat erwogen: Sowohl bei privaten Telefonnummern als auch privaten E-Mailadressen handelt es sich um personenbezogene Daten. Seine Zustimmung für die Weitergabe dieser personenbezogenen Daten widerrief der Hausbesorger zwar, doch ist eine Datenverarbeitung auch dann ohne Zustimmung der betroffenen Person zulässig, wenn dies zur Wahrung überwiegender berechtigter Interessen von Dritten erforderlich ist. Im Hinblick auf die ordnungsgemäße Erfüllung der dienstlichen Aufgaben eines Hausbesorgers bestand zwar ein berechtigtes Interesse der Hausverwaltung daran, den Hausbesorger ausreichend einfach und für den Notfall rasch erreichen zu können. Das Verwenden der privaten Kontaktdaten war jedoch nicht erforderlich.
Der Hausverwaltung wäre es freigestanden, ein dienstliches Telefon und eine dienstliche E-Mailadresse bereits sehr viel früher zur Verfügung zu stellen und damit den notwendigen Kommunikationsfluss auch abseits der privaten Kontaktdaten aufrecht zu erhalten.
Auch wenn die Änderung der Kommunikationswege nach langjähriger Praxis eine gewisse Übergangszeit in Anspruch nehmen kann, wäre es der Hausverwaltung spätestens innerhalb eines Monats zumutbar gewesen, ein dienstliches Telefon mit einer Sim-Karte und einen dienstlichen E-Mailaccount zur Verfügung zu stellen. Insofern war die Angabe der privaten Kontaktdaten des Hausbesorgers in den E-Mails bzw Auftragsbestätigungen nicht erforderlich, weshalb die Hausverwaltung gegen das Geheimhaltungsrecht verstoßen hat.
Die Kontaktaufnahme der Personalverrechnungsstelle der Hausverwaltung zur Übermittlung einer Krankenstandbestätigung durch den Hausbesorger war hingegen rechtmäßig. Die Personalverrechnung bediente sich aufgrund der Dringlichkeit und der möglichen Folgen einer Verspätung (auch) der privaten E-Mailadresse des Hausbesorgers. Die damit verbundene Datenverarbeitung lag nicht nur im überwiegenden berechtigten Interesse der Hausverwaltung an der Abwicklung ihrer rechtlichen Verpflichtungen, sondern auch im Interesse des Hausbesorgers an einer rechtzeitigen und richtigen Lohnabrechnung.
BVwG 08.07.2024, W252 2241322-1
Ein ehemaliger Beschuldigter beantragte die Löschung seiner erkennungsdienstlichen Daten. Diese Daten (Identität, Beschreibung, Finger- und Handflächenabdrücke, Lichtbilder, DNA-Profil) wurden aufgrund eines Tatverdachts gegen ihn iZm absichtlich schwerer Körperverletzung erhoben und in der "Zentralen erkennungsdienstlichen Evidenz" iSd § 75 SPG gespeichert. Obwohl der ehemalige Beschuldigte von diesem Vorwurf später rechtskräftig freigesprochen wurde, lehnte die Landespolizeidirektion die Löschung der Daten ab. Sie begründete dies mit einer nicht ausreichend langen Wohlverhaltenszeit sowie einer negativen Gefährdungsprognose und einem öffentlichen Interesse an der weiteren Speicherung der Daten. Folglich erhob der ehemalige Beschuldigte eine Datenschutzbeschwerde bei der DSB. Die DSB wies diese jedoch ab, woraufhin er (erfolglos) Bescheidbeschwerde beim BVwG einlegte.
Das BVwG hat erwogen: Bei den erkennungsdienstlichen Daten handelt es sich sowohl um personenbezogene Daten iSd Art 4 Z 1 DSGVO (Identität, Beschreibung, Lichtbilder) als auch um genetische Daten iSd Art 4 Z 13 DSGVO (DNA-Profil) und biometrische Daten iSd Art 4 Z 14 DSGVO (Finger- und Handflächenabdrücke). Aufgrund der Schwere des dem ehemaligen Beschuldigten vorgeworfenen Delikts sind die Voraussetzungen für die erkennungsdienstliche Erhebung der Daten iSd §§ 64, 65 und 67 SPG erfüllt. Gemäß § 73 Ab 1 Z 4 SPG hat eine Löschung der erkennungsdienstlichen Daten von Amts wegen zu erfolgen, es sei denn, es liegen konkrete Umstände vor, die befürchten lassen, dass der Beschuldigte erneut gefährliche Angriffe begeht.
Der ehemalige Beschuldigte wurde zwar im Verfahren betreffend absichtlicher schwerer Körperverletzung freigesprochen, jedoch zeigt seine Vorgeschichte, dass weiterhin von einer Gefahr auszugehen ist. Er trat in regelmäßigen Abständen mehrfach polizeilich in Erscheinung, ua iZm Besitz verbotener Waffen, falscher Beweisaussage und Suchtgifthandel. Gerade bei Gewaltdelikten mit direktem Körperkontakt können aus DNA-Spuren wesentliche Schlüsse gezogen werden. Auch die spezialpräventive Wirkung des Wissens des ehemaligen Beschuldigten um die Verarbeitung seiner erkennungsdienstlichen Daten ist geeignet, künftige gefährliche Angriffe zu verhindern.
BVwG 18.07.2024, W137 2252081-1
Eine Betroffene trat beim Sanierungsprojekt ihres Elternhauses als Ansprechperson für das Bauunternehmen auf. Für die Fertigstellung der Fassade beauftragte das Bauunternehmen eines seiner Subunternehmen. Auf Nachfrage der Betroffenen um den Stand der Dinge leitete das Bauunternehmen den Namen, die Adresse und die Telefonnummer der Betroffenen an das Subunternehmen, ein Fassadenunternehmen, weiter, um eine einfachere Korrespondenz bezüglich der Fassade zu ermöglichen. Die Betroffene brachte daraufhin eine Datenschutzbeschwerde bei der DSB ein und behauptete, durch die Weitergabe ihrer Daten durch das Bauunternehmen und dessen Geschäftsführer in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Das Bauunternehmen und dessen Geschäftsführer brachten im Verfahren vor, dass die Betroffene am Telefon bestätigte, mit der Weitergabe ihrer Informationen einverstanden zu sein. Diese stritt dies jedoch ab. Die DSB gab der Datenschutzbeschwerde statt. Daraufhin erhoben das Bauunternehmen und dessen Geschäftsführer eine (erfolgreiche) Bescheidbeschwerde beim BVwG.
Das BVwG hat erwogen: Die Betroffene hat bereits zuvor dem Bauunternehmen die Zustimmung erteilt, ihre Telefonnummer zwecks Terminvereinbarung und Kontaktaufnahme an diverse Subunternehmen weiterzugeben. Dies ergab sich aus dem vorgelegten E-Mail-Verkehr zwischen der Betroffenen und dem Bauunternehmen. Die Einwilligung bezog sich auf alle zu denselben Zwecken vorgenommenen Verarbeitungsvorgänge. Der Zweck der Weitergabe war die rasche und unkomplizierte Bearbeitung von Problemen sowie die Terminvereinbarung bei Mängeln und Reklamationen.
Betreffend das Fassadenunternehmen erfolgte ausschließlich eine telefonische Kommunikation. Bei einer lebenspraktischen Betrachtung konnte auch das Fassadenunternehmen davon ausgehen, dass die Betroffene dem Bauunternehmen die Zustimmung zur Weitergabe der Telefonnummer gab.
Der Zweck der Weitergabe, nämlich die Kontaktaufnahme, war zudem klar abgegrenzt. Eine funktionale Abgrenzung kann auch über eine längere Periode definiert sein. Nicht gefolgt wird der dem angefochtenen Bescheid offensichtlich zugrunde gelegten Ansicht, dass ein Bauunternehmen in jedem Einzelfall eine gesonderte Zustimmung einholen müsste. Dies wäre im Kontext eines Bauprojekts lebensfremd und würde auch von einem überschießenden Schutzgedanken getragen.
Darüber hinaus durfte das Bauunternehmen die Daten auch in seinem berechtigten Interesse an das Fassadenunternehmen weitergeben. Das berechtigte Interesse des Bauunternehmens war die Weitergabe von Kontaktdaten an Subunternehmen zur raschen und unkomplizierten Bearbeitung von Problemen.
BVwG 22.07.2024, W211 2286882-1
Ein Minderjähriger stellte, vertreten durch seine Eltern, ein Auskunftsersuchen an die DSB. Die DSB erteilte dem Minderjährigen mehrfach Auskünfte und übermittelte ihm Kopien von Unterlagen, die seine personenbezogenen Daten enthielten. Der Minderjährige erachtete die Auskunft und die Kopien für unvollständig und erhob daher Datenschutzbeschwerde bei der DSB. Die DSB wies die Datenschutzbeschwerde zunächst im Hinblick auf Art 15 Abs 1 und 2 DSGVO ab und setzte das Verfahren hinsichtlich Art 15 Abs 3 DSGVO aus. Das BVwG bestätigte diese Entscheidung rechtskräftig. Nachdem der EuGH in der Rechtssache C-487/21, Österreichische Datenschutzbehörde, klargestellt hatte, dass das Recht auf eine Kopie kein eigenständiges Recht, sondern eine Modalität der Auskunftserteilung ist, wies die DSB die Beschwerde des Minderjährigen hinsichtlich Art 15 Abs 3 DSGVO zurück. Dagegen erhob der Minderjährige (erfolglos) Bescheidbeschwerde beim BVwG.
Das BVwG hat erwogen: Wird die Datenschutzbeschwerde von der DSB zurückgewiesen, ist "Sache" des Verfahrens vor dem BVwG nur die Frage der Rechtmäßigkeit der Zurückweisung. Eine inhaltliche Entscheidung ist dem BVwG verwehrt. Das BVwG entschied bereits mit rechtskräftigem Erkenntnis über das Auskunftsersuchen des Minderjährigen und hielt fest, dass die DSB die Auskunft iSd Art 15 Abs 1 bis 3 DSGVO vollständig erteilt hat und diese ausreichend verständlich und nachvollziehbar war. Da Art 15 Abs 3 DSGVO dem Betroffenen kein zusätzliches, eigenständiges Recht auf Kopien einräumt, bleibt kein Raum, über Art 15 Abs 3 DSGVO gesondert abzusprechen. Durch das rechtskräftige Erkenntnis des BVwG wurden alle Aspekte des Auskunftsrechts behandelt und einer Entscheidung zugeführt.
Wird das Verhängen einer Geldbuße nur angeregt – nicht aber beantragt –, darf die Datenschutzbehörde den "Antrag" auf Verhängen einer Geldbuße nicht zurückweisen. Der entsprechende Spruchpunkt ist vom BVwG ersatzlos zu beheben.
Voraussetzung für die Zulässigkeit der Bescheidbeschwerde ist das Bestehen eines Rechtsschutzinteresses. Der Bescheid muss die Rechtssphäre des Beschwerdeführers zu dessen Nachteil berühren. Stellt die DSB eine Verletzung im Recht auf Geheimhaltung fest, ist der Beschwerdeführer durch die abschlägige Behandlung eines weiteren auf das gleiche Rechtsschutzziel abzielenden "Beschwerdevorbringens" nicht beschwert (BVwG 27.06.2024, W176 2251448-1). Anm: Der Beschwerdeführer wird auch durch die Zurückweisung eines nichtgestellten Antrags auf das Verhängen einer Geldbuße in seiner Rechtsphäre nicht berührt und ist somit nicht beschwert. Wurde kein Antrag gestellt, war die DSB jedoch unzuständig. Die Unzuständigkeit ist von Amts wegen aufzugreifen. Das BVwG behob daher den entsprechenden Spruchpunkt zu Recht.
Bei Nichtfeststellbarkeit eines Umstandes ist davon auszugehen, dass dieser nicht vorliegt. Dies gilt auch für die Frage, ob personenbezogene Daten verarbeitet wurden. Ist auf einer Videoaufnahme die Erkennbarkeit der Personen ausgeschlossen, ist davon auszugehen, dass keine personenbezogenen Daten verarbeitet wurden (BVwG 27.06.2023, W298 2261979-1).
Das LVwG Wien fragte den EuGH zu den inhaltlichen Anforderungen, die eine Auskunft iSd Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidungsfindung) erfüllen muss (Rs C-203/22, Dun & Bradstreet Austria). Da im anhängigen Verfahren vor dem BVwG die gleichen Rechtsfragen zu beurteilen sind, die dem Vorlagebeschluss des LVwG Wien zugrunde liegen, ist das Verfahren iSv Art 81 DSGVO auszusetzen (BVwG 01.07.2024, W108 2230691-1). Anm: Das BVwG setzt regelmäßig Verfahren aus, um Urteile des EuGH abzuwarten. IdR wird die Aussetzung "nur" auf § 38 AVG gestützt. Das BVwG zog in diesem Fall zusätzlich Art 81 DSGVO im Lichte des ErwGr 144 DSGVO heran.
Gemäß § 24 Abs 4 DSG erlischt der Anspruch auf Behandlung einer Datenschutzbeschwerde, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis vom beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen. Bei den in § 24 DSG genannten Fristen handelt es sich um Präklusivfristen, auf die von Amts wegen, also bei feststehendem Sachverhalt, ohne Einwendung Bedacht genommen werden muss. Bringt der Beschwerdeführer vor, dass er von einem Datenschutzverstoß, der länger als die einjährige Präklusivfrist zurückliegt, erst später Kenntnis erlangt hat, hat er dies nachzuweisen (BVwG 15.07.2024, W137 2273833-1).
Die Zurückziehung der Bescheidbeschwerde ist so lange zulässig, bis die Bescheidbeschwerde unerledigt ist. Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 01.07.2024, W108 2247870-1).
Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 07.2024, W287 2261108-1; 10.07.2024, W252 2261086-1 und andere).
Am 12.08.2024 wurde mit der VO 2024/2019 "zur Änderung des Protokolls Nr. 3 über die Satzung des Gerichtshofs der Europäischen Union" die Satzung des EuGH novelliert. Gleichzeitig erfolgten auch Änderungen der Verfahrensordnungen des EuGH und des EuG. Zudem erließ das EuG praktische Durchführungsbestimmungen zu seiner Verfahrensordnung und beschloss die Einreichung und Zustellung von Schriftsätzen via e-Curia.
Zweck der Reform der Verfahren vor den Unionsgerichten ist die Entlastung des EuGH. Einerseits wird künftig das EuG in besonderen Sachgebieten für Vorabentscheidungsersuchen grundsätzlich zuständig. Andererseits wird die Zulässigkeit von Rechtsmitteln gegen Entscheidungen des EuG an den EuGH eingeschränkt.
Das Datenschutzrecht verbleibt in der Zuständigkeit des EuGH. Aufgrund der Entlastung des EuGH könnten datenschutzrechtliche Vorabentscheidungsersuchen jedoch schneller erledigt werden.
Am 12.08.2024 haben die Bundesländer Kärnten, LGBl 2024/64, und Salzburg, LGBl 2024/69, die Etablierung eines Transparenzportals verlautbart.
Am 12.08.2024 wurde vom Bundesfinanzminister die Transparenzdatenbank-Abfrageverordnung 2024, BGBl II 2024/223, kundgemacht. Darin werden für die Transparenzdatenbank die Leseberechtigungen in Leistungsangebote mit besonderen Kategorien personenbezogener Daten ("sensible Daten") geregelt.
Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.
Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).
Am 12.09.2024 werden die Schlussanträge in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV und Rs C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht.
Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in ein öffentliches Register zu berichtigen ist, wenn das Geschlecht sich ändert.
Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.
VwGH 25.06.2024, Ra 2022/04/0167
Eine Justizwachebeamtin wurde von einem Strafgefangenen tätlich angegriffen. Die zuständige Staatsanwaltschaft (StA) führte deshalb ein Strafverfahren gegen den Strafgefangenen durch. Die personenbezogenen Daten der Beamtin gelangten in den Ermittlungsakt und wurden von der StA an den Haftrichter übersendet. Der Strafgefangene nahm Akteneinsicht und gelangte dadurch an die personenbezogenen Daten der Justizwachebeamtin.
Die Justizwachebeamtin brachte Datenschutzbeschwerde bei der DSB ein und brachte vor, die StA habe ihr Recht auf Geheimhaltung durch Weitergabe ihrer Daten an den Strafgefangenen verletzt. Die DSB wies die Datenschutzbeschwerde ab, weil bei der StA keine Einsicht in den physischen Akt stattgefunden hat und somit von der StA an den Strafgefangenen keine Daten weitergegeben wurden.
Das BVwG gab der Bescheidbeschwerde der Justizwachebeamtin mit der Begründung statt, dass die StA dem Haftrichter personenbezogene Daten der Justizwachebeamtin weitergegeben hat, obwohl dies nicht erforderlich gewesen wäre.
Der VwGH stellte zunächst an den VfGH den Antrag, dieser möge jene Bestimmungen des DSG als verfassungswidrig aufheben, die die DSB für Datenverarbeitungstätigkeiten bei den Staatsanwaltschaften für zuständig erklären. Nachdem der VfGH diesen Antrag des VwGH abwies, behob der VwGH das Erkenntnis wegen funktioneller Unzuständigkeit des BVwG.
Der VwGH hat erwogen: Aufgrund der zulässigen Revision ist eine allfällige Unzuständigkeit des BVwG von Amts wegen aufzugreifen.
Den äußersten Rahmen für die Prüfbefugnis des BVwG bildet die "Sache" des Verfahrens. Diese "Sache" ist nur jene Angelegenheit, die den Inhalt des Spruchs der DSB gebildet hat. Die Entscheidung des BVwG hat sich innerhalb jenes Themas zu bewegen, über das die DSB entschieden hat. Entscheidet das BVwG in einer Angelegenheit, die kein Gegenstand des Verfahrens vor der DSB war, so fällt eine solche Entscheidung nicht in die funktionelle Zuständigkeit des BVwG. Eine solche Entscheidung ist daher mit Rechtswidrigkeit infolge Unzuständigkeit belastet.
Der verfahrenseinleitende Antrag, dh die Datenschutzbeschwerde, ist nicht maßgeblich. Wird die Datenschutzbeschwerde durch den Bescheid der DSB nicht vollständig erledigt, steht dem Betroffenen das Säumnisbeschwerdeverfahren zur Verfügung.
Die DSB hat nur über die Offenlegung bzw Nichtoffenlegung durch die StA an den Strafgefangen abgesprochen. Der Datenfluss von der StA an den Haftrichter war vom Spruch des Bescheides der DSB nicht umfasst. Indem das BVwG über einen Verfahrensgegenstand entschieden hat, der nicht Inhalt des Spruchs des angefochtenen Bescheides war, hat es seine Kognitionsbefugnis überschritten.
Nach Ablauf der gesetzlich normierten Löschungspflichten der Telefonanbieter gemäß § 167 Abs 1 und 2 TKG 2021 [bzw § 99 Abs 1 und 2 TKG 2003] kann die Auswertung von Verkehrsdaten grundsätzlich nicht mehr durchgeführt werden (OGH 17.07.2024, 11Os20/24m).
Gemäß § 358 ASVG ist für die Feststellung des Geburtsdatums der versicherten Person die erste schriftliche Angabe der versicherten Person gegenüber dem Versicherungsträger heranzuziehen. Eine spätere Berichtigung des Geburtsdatums durch ein ausländisches Gericht ändert daran nichts. Das sozialversicherungsrechtliche Geburtsdatum ist eine andere Datenkategorie als das biologische Geburtsdatum. Die Legitimität des Zwecks einer Datenverarbeitung ist gegeben, wenn der Zweck von der Rechtsordnung gedeckt bzw mit ihr vereinbar ist. Die Regelung des § 358 ASVG ist weder verfassungswidrig (vgl VfGH 12.06.2023, G 206/2023) noch ist sie mit der DSGVO unvereinbar (OGH 09.07.2024, 10ObS11/24a). Anm: Auch der VwGH hält § 358 ASVG mit Art 16 DSGVO für vereinbar (VwGH 08.04.2024, Ra 2022/04/0056).
Ein Grundstückseigentümer montierte eine Wildkamera auf seinem Grund. Die Kamera erfasste einen Teil eines Forstweges, der von einer Bringungsgenossenschaft genutzt wurde. Eine Bringungsgenossenschaft ist eine forstrechtliche Genossenschaft, die von Grundeigentümern und Nutzungsberechtigten gebildet wird (§ 68 ForstG).
Bei dem überwachten Abschnitt des Weges handelte es sich um einen Interessentenweg gemäß § 7 Abs 1 Z 5 Steiermärkisches Landes-Straßenverwaltungsgesetz (LStVG). Die Mitglieder der Bringungsgenossenschaft nutzten den Weg für forstliche und jagdliche Zwecke.
Der Grundstückseigentümer installierte die Kamera, um Lichtbilder zu sammeln, welche er an die Polizei weitergab. Dies führte zu Verwaltungsstrafverfahren gegen andere Mitglieder der Bringungsgenossenschaft.
Die DSB gab einer Datenschutzbeschwerde dieser anderen Mitglieder Folge und stellte eine Verletzung ihrer Geheimhaltungsrechte fest. Das BVwG änderte den Bescheid der DSB dahingehend ab, dass die Datenschutzbeschwerde abgewiesen wird.
Das BVwG hat erwogen: Die Überwachung eines öffentlichen Interessentenwegs durch eine Wildkamera erfolgt im berechtigten Interesse des Grundstückseigentümers, um die Nutzung des Weges durch unberechtigte Personen zu verhindern. Als Eigentümer des Grundstücks hat er ein berechtigtes Interesse, dass dieser Weg nicht von einem weiteren als den im § 7 Abs 1 Z 5 LStVG genannten Personenkreis benutzt wird. Die Überwachung durch eine einzelne Wildkamera, die nur bei Bewegung auslöst und bei Erkennen der Bewegung ein einzelnes Bild lokal speichert, ist als verhältnismäßig anzusehen. Gelindere Mittel, wie eine persönliche Kontrolle, wären praktisch kaum umsetzbar.
Da sowohl der Grundstückseigentümer als auch die betroffenen Mitglieder Teil der Bringungsgenossenschaft sind, stehen diese in einem engen Verhältnis zueinander und kannten die Natur des Weges sowie den zur Benützung berechtigten Personenkreis. Bei objektiver Würdigung lag die Überwachung auch im Interesse der Bringungsgenossenschaft, denn die Satzung der Genossenschaft sprach wiederholt von "schonender" und "notwendiger" Nutzung.
Die Anfertigung der Lichtbilder zum Zweck der Beweissicherung und zur Erstattung von Anzeigen wegen verwaltungsstrafrechtlich relevanter Sachverhalte ist ein erhebliches Interesse iSd Art 6 Abs 1 lit f DSGVO.
Wird ein Erkenntnis nach der Verhandlung mündlich verkündet, kann das Erkenntnis in gekürzter Form ausgefertigt werden, wenn von den Parteien auf die Revision beim Verwaltungsgerichtshof und die Beschwerde beim Verfassungsgerichtshof verzichtet wird oder nicht binnen zwei Wochen nach Ausfolgung bzw Zustellung der Verhandlungsniederschrift die Ausfertigung des Erkenntnisses beantragt wird (BVwG 24.07.2024, W605 2282514-1).
Anbringen können in jeder Lage des Verfahrens zurückgezogen werden. Unter "Anbringen" ist auch eine Säumnisbeschwerde zu verstehen. Wird eine Säumnisbeschwerde zurückgezogen, ist das Säumnisbeschwerdeverfahren mangels Erledigungsanspruch als gegenstandslos einzustellen (BVwG 22.07.2024, W292 2294844-1).
Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 02.07.2024, W214 2261131-1, BVwG 02.07.2024, W214 2263511-1 und andere).
Am 08.08.2024 haben die Bundesländer Vorarlberg, LGBl 2024/48, und Burgenland, LGBl 2024/49, eine Vereinbarung gemäß Art 15a B-VG über die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) kundgemacht. Zur Vermeidung von Doppel- und Mehrfachförderungen aus öffentlichen Mitteln werden an das Transparenzportal personenbezogene Daten, darunter auch besondere Kategorien personenbezogener Daten, übermittelt.
Am 12.08.2024 haben auch die Bundesländer Kärnten, LGBl 2024/64 und Salzburg, LGBl 2024/69, die Etablierung des Transparenzportals verlautbart.
Am 12.08.2024 wurde vom Bundesfinanzminister die Transparenzdatenbank-Abfrageverordnung 2024, BGBl II 2024/223, kundgemacht. Darin werden für die Transparenzdatenbank die Leseberechtigungen in Leistungsangebote mit besonderen Kategorien personenbezogener Daten ("sensiblen Daten") geregelt.
Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.
Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).
Am 12.09.2024 werden die Schlussanträge in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV und Rs C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht.
Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in ein öffentliches Register zu berichtigen ist, wenn das Geschlecht sich ändert.
Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.
Der Begriff des Privatlebens umfasst die Freiheit jeder Person, ihr Leben und ihre persönlichen, beruflichen und gesellschaftlichen Tätigkeiten zu gestalten. Der Eingriffsvorbehalt, dh die Zulässigkeit des Grundrechtseingriffs, kann bei beruflichen und geschäftlichen Tätigkeiten allerdings weitergehen als in anderen Fällen.
Eine Meldepflicht für steuerliche Planungs- und Gestaltungsaktivitäten im Kontext persönlicher, beruflicher oder geschäftlicher Tätigkeiten greift in das Recht auf Achtung des Privatlebens ein. Der Eingriff ist zwar nicht unerheblich, aber dennoch verhältnismäßig und gerechtfertigt, weil die Bekämpfung der aggressiven Steuerplanung und die Verhinderung der Gefahren von Steuervermeidung und Steuerhinterziehung wichtige Ziele des Unionsrechts sind (EuGH 29.07.2024, C-623/22, Belgian Association of Tax Lawyers).
OLG Graz 15.07.2024, 9Bs171/24a
Aus der Rechtsprechung des OGH (Strafrecht):
BVwG 08.07.2024, W137 2278780-1
BVwG 15.07.2024, W298 2284627-1
BVwG 12.07.2024, W298 2287221-1
BVwG 10.06.2024, W148 2291941-1
BVwG 10.07.2024, W298 2293438-1
BVwG 12.06.2024, W292 2283307-1
Aus der Rechtsprechung des OGH:
Personenbezogene Daten verkörpern einen monetären Wert. Die Bereitstellung personenbezogener Daten wie etwa Kontakt- und Einkaufsverhaltensdaten ist eine (Gegen-)Leistung, mit der man "zahlt". Die Bereitstellung dieser Daten und die Mitgliedschaft in einem Kundenbindungsprogramm sind gegenseitige Hauptleistungspflichten. In einem Kundenbindungsprogramm die Gewährung und Einlösung von Bonuspunkten anzubieten, dann aber den Mitgliedern keinen Anspruch auf das entsprechende Angebot zu gewähren, steht in krassem Missverhältnis zur vom Mitglied erbrachten Gegenleistung, nämlich vorab Daten zu seiner Person und seinem Einkaufsverhalten offengelegt zu haben (OGH 25.06.2024, 4Ob102/23p).
Aus der Rechtsprechung des BFG:
Die Organe der Abgabenbehörden und des BFG sind gemäß § 48a BAO zur Geheimhaltung der ihnen im Rahmen ihrer Amtsausübung zukommenden Daten verpflichtet. Dadurch ist der Datenschutz gewährleistet (BFG 05.06.2024, RV/7102695/2023).
DSB 04.07.2024, 2024-0.199.724
Der Rechnungshof Österreich veröffentlichte die Spendenhöhe sowie den Namen und die Postleitzahl eines Parteispenders auf seiner Website. Da diese Daten seine politische Meinung offenbarten, sah der Spender in der Veröffentlichung eine Verletzung seines Rechts auf Geheimhaltung. Daraufhin reichte der Parteispender eine Datenschutzbeschwerde gegen den Rechnungshof ein. Die DSB setzte das Verfahren bis zum Urteil des EuGH vom 01.2024, C-33/22, Österreichische Datenschutzbehörde, aus. Das EuGH-Urteil bestätigte die Zuständigkeit der DSB für Datenverarbeitungstätigkeiten der Gesetzgebungsorgane. Nach Fortsetzung des Verfahrens erklärte sich die DSB für zuständig, sie wies die Datenschutzbeschwerde jedoch ab.
Die DSB hat erwogen: Da das neu geschaffene Parlamentarische Datenschutzkomitee erst mit 01.01.2025 eingerichtet wird, ist zum Zeitpunkt der Entscheidung die DSB gemäß Art 55 Abs 1 DSGVO zuständig. Weiters fallen die Daten des Parteispenders in den Anwendungsbereich des Art 9 Abs 1 DSGVO, weil jedenfalls seine politischen Vorlieben aus seiner Spendentätigkeit hervorgehen. Art 9 Abs 2 lit g DSGVO erlaubt die Verarbeitung dieser Daten, wenn sie auf einer gesetzlichen Grundlage beruht, die ein erhebliches öffentliches Interesse verfolgt und angemessene Maßnahmen zum Schutz der Betroffenen vorsieht. § 6 Abs 2 und 3 PartG bietet diese gesetzliche Grundlage. Darüber hinaus ist die Transparenz der Parteienfinanzierung ein erhebliches öffentliches Interesse. Zudem setzte man durch das Absehen der Veröffentlichung der gesamten Anschrift des Parteispenders sowie durch Festlegung einer Löschfrist (§ 6 Abs 2 letzter Satz PartG) und Abhilfemaßnahmen angemessene Maßnahmen zur Wahrung der Grundrechte und Interessen.
Die Verarbeitung ist auch verhältnismäßig. Sie unterscheidet nach Höhe der Spende und Zeitraum, in dem gespendet wird. Die Veröffentlichung der Daten greift zwar in das Grundrecht auf Geheimhaltung ein, ist im Hinblick auf das erhebliche öffentliche Interesse an einer transparenten Parteienfinanzierung jedoch gerechtfertigt.
DSB 08.10.2021, 2021-0.698.184
Ein Geschäftsführer fühlte sich durch die Veröffentlichung seiner Daten auf der Website einer Werbeagentur in seinem Recht auf Geheimhaltung gemäß § 1 DSG verletzt. Auf der Website der Werbeagentur wurde ein firmenbuchähnlicher Service angeboten, bei dem Informationen über im Firmenbuch eingetragene Rechtsträger und handelnde Personen miteinander verknüpft wurden, um auch Verbindungen zwischen den handelnden Personen darzustellen. Die Werbeagentur stützte die Veröffentlichung auf ihr berechtigtes Interesse. Der Geschäftsführer erachtete die Verarbeitung für unrechtmäßig und brachte (erfolglose) Datenschutzbeschwerde bei der DSB ein.
Die DSB hat erwogen: Bei der Verknüpfung von öffentlich zugänglichen Daten mit neuen Daten handelt es sich um eine neue Datenverarbeitung, deren Zulässigkeit nach dem DSG und der DSGVO zu prüfen ist. Zulässigerweise veröffentlichte Daten sind nicht per se einem Geheimhaltungsanspruch entzogen.
Bei der Interessenabwägung im Rahmen der Prüfung des berechtigten Interesses gemäß Art 6 Abs 1 lit f DSGVO werden die Interessen der Werbeagentur am Betrieb der Plattform dem Interesse des Geschäftsführers an Geheimhaltung gegenübergestellt. Eine Werbeagentur hat ein wirtschaftliches Interesse ihre Dienstleistungen zu bewerben und Werbeeinnahmen zu generieren sowie ein Interesse, den Nutzern ihrer Website interessante und nützliche Informationen über bestehende Unternehmen und deren handelnde Personen zur Verfügung zu stellen. Als Website-Betreiber schaltet die Werbeagentur für unterschiedliche Unternehmen Werbung. Es liegt im Interesse eines Website-Betreibers, möglichst viele Nutzer durch die Bereitstellung interessanter Informationen auf die Website zu bringen, um dadurch Werbeeinnahmen zu generieren. Der Geschäftsführer hat ein Interesse an der Geheimhaltung seiner personenbezogenen Daten. Bei der Interessenabwägung ist auch zu berücksichtigen, ob ein Betroffener absehen kann, ob möglicherweise eine Verarbeitung zu diesem Zweck zukünftig erfolgen wird.
Die Schutzwürdigkeit der Daten des Geschäftsführers ist aufgrund ihrer allgemeinen Verfügbarkeit geringer zu bewerten. Die veröffentlichten Daten gehören ausschließlich der beruflichen Sphäre an und der Geschäftsführer entscheidet selbst, ob er als Gesellschafter oder Geschäftsführer am Wirtschaftsleben teilnimmt.
Das berechtigte Interesse der Werbeagentur an der Verarbeitung der Daten im Rahmen ihrer Website überwiegt aufgrund der geringen Eingriffsintensität die Interessen des Geschäftsführers an der Geheimhaltung.
Am 19.07.2024 wurde das "Bundesgesetz, mit dem das E-Government-Gesetz geändert wird", BGBl I 2024/117, kundgemacht. Die Novelle des E-GovG regelt ua die Wahlfreiheit der Kommunikation für Bürgerinnen und Bürger sowie den elektronischen Verkehr zwischen Verantwortlichen des öffentlichen Bereichs.
Am 22.07.2024 wurde das "Bundesgesetz, mit dem das Schulorganisationsgesetz, das Schulunterrichtsgesetz, das Schulunterrichtsgesetz für Berufstätige, Kollegs und Vorbereitungslehrgänge, das Bildungsdokumentationsgesetz 2020 und das Schulpflichtgesetz 1985 geändert werden", BGBl I 2024/121, kundgemacht. Das Bundesgesetzt enthält Regelungen zur Datenverarbeitung, darunter zur Verarbeitung des elektronischen Zertifikats zum Nachweis der Schülereigenschaft (edu.digicard). Weiters wurden Datenverarbeitungstätigkeiten auf der Grundlage des Bildungsdokumentationsgesetzes novelliert.
Am 22.07.2024 wurde das "Bundesgesetz, mit dem das Sicherheitspolizeigesetz geändert wird", BGBl I 2024/122, kundgemacht. Mit der Novelle werden den Sicherheitsbehörden Befugnisse für Datenverarbeitungstätigkeiten eingeräumt und Regelungen für den elektronischen Rechtsverkehr getroffen.
Am 16.07.2024 hat der EDSA eine Erklärung zur Rolle der Datenschutzbehörden im Rahmen der KI-VO angenommen.
Am 16.07.2024 hat der EDSA zum EU-US Data Privacy Framework separate FAQs für Einzelpersonen und für Unternehmen veröffentlicht.
Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.
Am 05.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).
EuG 17.07.2024, T-1077/23, Bytedance
Die Europäische Kommission (Kommission) hat Bytedance, ein chinesisches Unternehmen, das die Online-Plattform TikTok betreibt, als einen Torwächter (Gatekeeper) im Sinne der Verordnung über digitale Märkte (DMA) benannt. Bytedance hat gegen diese Benennung Klage erhoben und insbesondere drei Gründe geltend gemacht: (i) Eine Verletzung von Art 3 Abs 1 und 5 DMA (Benennung als Torwächter); (ii) eine Verletzung ihrer Verteidigungsrechte; und (iii) eine Verletzung des Gleichbehandlungsgrundsatzes. Das EuG wies die Klage in vollem Umfang ab.
Das EuG hat erwogen: Die Kommission hat TikTok zu Recht als einen zentralen Plattformdienst und ein wichtiges Zugangstor für Unternehmen, die ihre Endnutzer erreichen wollen, angesehen, weil Bytedance kumulativ die quantitativen Schwellenwerte von Art 3 Abs 2 lit a, b und c DMA erfüllt (Jahresumsatz, Anzahl der Endnutzer, Anzahl der Geschäftsjahre).
Bytedance hat nicht ausreichend begründet, weshalb diese Schwellenwerte nicht erfüllt sein sollten. Die vorgebrachten Argumente, wie etwa (i) das Fehlen eines Plattformökosystems, (ii) das Vorhandensein von Multihoming (die parallele Verwendung mehrerer Dienste), (iii) der angeblich geringe Umsatz in der Union, (iv) die Herkunft des Marktwerts (Hauptmarkt China), (v) die geringere Größe im Vergleich zu anderen Plattformen, (vi) die niedrigen Werbeeinnahmen, (vii) die Tatsache, dass Bytedance ein neuer Marktteilnehmer ist, oder dass (viii) seine Position von anderen Gatekeepern wie Meta und Alphabet herausgefordert wird, sind nicht geeignet, um die Einstufung als Torwächter in Frage zu stellen.
Bytedance hat einen erheblichen Einfluss auf den Binnenmarkt, weil Bytedance auch den Schwellenwert für den Marktwert von Art 3 Abs 2 lit a DMA überschritten hat (Jahresumsatz). Die Verteidigungsrechte von Bytedance wurden nicht verletzt, weil es weder nachgewiesen hat, dass es ohne die angeblichen Verfahrensfehler seine Verteidigung besser hätte wahrnehmen können, noch, dass diesfalls die Entscheidung der Kommission anders ausgefallen wäre. Der Gleichbehandlungsgrundsatz wurde nicht verletzt, weil Bytedance nicht nachgewiesen hat, dass ähnliche Argumente in vergleichbaren Fällen berücksichtigt worden wären.
EuG 17.07.2024, T-761/21, Courtois
Die Europäische Kommission ("Kommission") hat für EUR 2,7 Mrd Impfstoffe gegen COVID-19 von Pharmaunternehmen bestellt. Abgeordnete des Europäischen Parlaments sowie Privatpersonen (Antragsteller) stellten an die Kommission den Antrag, diese möge ihnen Zugang zu den Verträgen mit den Pharmaunternehmen und bestimmten mit diesen Verträgen in Zusammenhang stehenden Dokumenten gewähren.
Die Kommission verweigerte teilweise den Zugang zu den Verträgen und auch zu den Dokumenten. Hinsichtlich der Erklärungen der Mitglieder des Verhandlungsteams über das Nichtvorliegen von Interessenkonflikten stützte die Kommission die Verweigerung des (ungeschwärzten) Dokumentenzugangs auf den Schutz der Privatsphäre dieser EU-Vertreter. Das EuG erklärte die Entscheidung der Kommission für nichtig.
Das EuG hat erwogen: Die Kommission hat den Zugang zu den Erklärungen über das Fehlen von Interessenkonflikten zu Unrecht verweigert. Diese Erklärungen sind für die Transparenz und die Rechenschaftspflicht der EU-Vertreter, die an den Verhandlungen mit den Impfstoffherstellern beteiligt waren, von wesentlicher Bedeutung. Die Antragsteller haben hinreichend dargelegt, dass sie die Offenlegung dieser Erklärungen zur Überprüfung benötigen, ob die an den Verhandlungen beteiligten EU-Vertreter keinem Interessenkonflikt unterlagen. Für diese Überprüfung ist die Kenntnis der Vor- und Nachnamen sowie der beruflichen und institutionellen Rollen der besagten EU-Vertreter erforderlich.
VwGH 17.05.2024, Ra 2021/04/0009
Eine Ärztin begehrte im Jahr 2017 die Löschung ihrer personenbezogenen Daten auf einer Ärztebewertungsplattform. Nachdem die Betreiberin der Bewertungsplattform das Löschungsbegehren der Ärztin ablehnte, brachte die Ärztin eine zivilgerichtliche Klage ein, in der sie eine Verletzung im Recht auf Datenschutz geltend machte und die Löschung der Daten beantragte. Anschließend brachte die Ärztin zusätzlich eine Datenschutzbeschwerde bei der DSB ein. Die DSB wies die Datenschutzbeschwerde mit der Begründung zurück, dass sie nicht über dieselbe Frage absprechen könne, welche bereits gemäß Art 79 DSGVO zivilgerichtlich anhängig sei. Eine gleichzeitige Inanspruchnahme des Beschwerderechts bei der Aufsichtsbehörde und des gerichtlichen Rechtsbehelfs in ein- und derselben Sache komme nicht in Betracht.
Das BVwG gab der von der Ärztin eingebrachten Bescheidbeschwerde keine Folge, bestätigte die Zurückweisung der Datenschutzbeschwerde aber aus einem Grund. In der Zwischenzeit wurde die zivilrechtliche Klage der Ärztin – im Zeitpunkt der Entscheidung des BVwG jedoch noch nicht rechtskräftig – abgewiesen. Gegen diese Entscheidung erhoben sowohl die Ärztin als auch die DSB jeweils Revision an den VwGH.
Der VwGH setzte das Verfahren aus und legte dem EuGH die Fragen vor, ob im innerstaatlichen Recht das Zusammenspiel der Rechtsbehelfe so geregelt werden darf, dass
die DSB die Datenschutzbehörde zurückweisen darf.
Der VwGH hat erwogen: Nach der Rechtsprechung des EuGH dürfen eine Datenschutzbeschwerde gemäß Art 77 DSGVO an eine Aufsichtsbehörde und ein zivilgerichtlicher Rechtsbehelf gemäß Art 79 DSGVO nebeneinander und unabhängig voneinander eingelegt werden. Laut den Ausführungen des EuGH obliegt die Festlegung der Modalitäten für die Verwaltungs- und Gerichtsverfahren den EU-Mitgliedstaaten, die dabei ein hohes Schutzniveau der Unionsrechte gewährleisten müssen. Dieses hohe Schutzniveau bedinge die Vermeidung einander widersprechender Entscheidungen.
Vor diesem Hintergrund ist zu klären, ob es eine zulässige Modalität des Rechtsschutzes ist, wenn eine Datenschutzbeschwerde nach Art 77 DSGVO zurückgewiesen wird, weil in derselben Sache bereits ein gerichtlicher Rechtsbehelf nach Art 79 DSGVO eingelegt wurde und das gerichtliche Verfahren noch anhängig ist.
Anm: Das ist bereits das zumindest 14. Vorabentscheidungsersuchen an den EuGH aus Österreich mit Bezug zur DSGVO (ab 2021), wobei ein Vorabentscheidungsersuchen zurückgezogen wurde (C-701/20) und ein Vorabentscheidungsersuchen als unzulässig zurückgewiesen wurde (C-115/22). Zählt man diese nicht mit, wurden bis dato aus Österreich zwölf Vorabentscheidungsersuchen mit Bezug zur DSGVO an den EuGH gestellt. Davon kamen vier vom VwGH (C-33/22, C-416/23, C-638/23, C-414/24), drei vom OGH (C-154/21, C-300/21, C-446/21), drei vom BVwG (C-487/21, C-291/24, C-474/24), eins vom LVwG Wien (C-203/22) und eins vom LG St. Pölten (C-468/24).
BVwG 11.03.2024, W214 2235505-1
Ein Journalist begehrte im Rahmen des Auskunftspflichtgesetzes (AuskunftspflichtG) beim Bundesminister für Finanzen (BMF) per E-Mail eine Liste aller Unternehmen, die COVID-19-Hilfsmaßnahmen in Form von Steuerstundungen, Fixkostenzuschüsse oder Haftungen für Kredite in Anspruch genommen haben, einschließlich der jeweiligen Höhe der bewilligten Hilfen. Der BMF wies das Auskunftsbegehren mit Bescheid gemäß § 4 AuskunftspflichtsG ab, weil die Geheimhaltungsinteressen der Unternehmen zu wahren seien und die angeforderten Daten nicht ohne weiteres verfügbar seien, weshalb vor der Beauskunftung eine zusätzliche Verarbeitung stattfinden müsste. Gegen den abweisenden Bescheid erhob der Journalist Bescheidbeschwerde an das BVwG, das der Beschwerde hinsichtlich der Daten zu offenlegungspflichtigen Unternehmen stattgab.
Das BVwG hat erwogen: Unternehmen, die verpflichtet sind, erhaltene Corona-Beihilfen im Transparency Award Module (TAM) oder im Firmenbuch zu veröffentlichen, haben kein schutzwürdiges Interesse an der Geheimhaltung der erhaltenen Beihilfen. Einzelunternehmer und natürliche Personen genießen dagegen ein erhöhtes Geheimhaltungsinteresse. Deren Daten dürfen nur veröffentlicht werden, wenn sie auch der Offenlegungspflicht im TAM unterliegen, weil dann kein schutzwürdiges Interesse an der Geheimhaltung mehr vorliegt. Das öffentliche Interesse an der Kontrolle der Verwendung von öffentlichen Mitteln für COVID-19-Hilfsmaßnahmen überwiegt das Interesse der Unternehmen an der Wahrung ihrer Geschäfts- und Betriebsgeheimnisse. Journalisten üben dabei als "public watchdog" eine wichtige Funktion für die demokratische Meinungsbildung aus.
Auch wenn Daten erst aufzuarbeiten sind, ist eine pauschale Auskunftsverweigerung nicht zulässig. Wenn Daten bereits in automationsunterstützter und strukturierter Weise verarbeitet werden, ist eine Auskunft jedenfalls nicht unzumutbar.
Die untersten 10% der Beihilfeempfänger sind nicht zu beauskunften, weil diese eine geringe Relevanz für die öffentliche Kontrolle haben und eine höhere Gefahr der Offenlegung der Identität besteht.
BVwG 17.06.2024, W298 2283379-1
Eine für Parteimitglieder bestimmte E-Mail wurde von einer politischen Partei versehentlich an einen Bürger versendet. Seine E-Mail-Adresse wurde versehentlich in die Mitgliederdatenbank eingetragen und mit einem Parteimitglied verknüpft. Der Bürger erhob Datenschutzbeschwerde und monierte, dass die politische Partei ihn in seinem Recht auf Geheimhaltung verletzt hatte, indem sie (i) seine E-Mail-Adresse verarbeitete, (ii) ein Tracking-Pixel einsetzte und (iii) seine personenbezogenen Daten aus der Wählerevidenz abgerufen hat. Den ersten beiden Beschwerdepunkten gab die DSB statt, der dritte Beschwerdepunkt wurde abgewiesen. Dagegen richtete sich die Bescheidbeschwerde an das BVwG, die abgewiesen wurde.
Das BVwG hat erwogen: Gemäß § 1 Abs 2 PartG iVm § 4 Abs 2 WEviG ist eine politische Partei berechtigt, die dort angeführten Daten für Zwecke der Beeinflussung der staatlichen Willensbildung, insbesondere durch die Teilnahme an Wahlen zu allgemeinen Vertretungskörpern und dem Europäischen Parlament, zu empfangen. Es ist zulässig, dass politische Parteien Werbung für eigene politische Ziele durch direkte Ansprache der Wähler betreiben und dabei privilegiert auf Daten der Wählerevidenz zugreifen dürfen, sofern ein Zweck gemäß § 1 Abs 2 PartG verfolgt wird. Die politische Partei hat die Daten des Bürgers zwar zum Zweck der Wahlwerbung erhoben, aber die Daten falsch verknüpft. Der Datenschutzbeschwerde wurde in diesem Punkt auch stattgegeben. Die Abfrage der Daten aus der Wählerevidenz war jedoch rechtmäßig.
Der Antrag zur Vorabentscheidung an den EuGH wird abgewiesen, weil die Beschränkung auf die in § 1 Abs 2 PartG genannten Daten sowie die Einschränkung der Datenverarbeitung zu wahlwerbenden Zwecken iSd DSGVO hinreichend sind.
BVwG 17.06.2024, W298 2261552-1
Eine Bewohnerin hatte in ihrer Liegenschaft zwei Strompunktzähler und beauftragte für jeden Zähler einen anderen Energieanbieter. Beide Anbieter leiteten daraufhin unabhängig voneinander einen Zählpunktidentifizierungsprozess über die Wechselplattform ein, um den Wechsel der Stromlieferanten zu vollziehen. Der Netzbetreiber meldete beide Zähler an beide Energieanbieter zurück, obwohl jeweils nur für einen der beiden Zähler eine Vollmacht vorlag. Dies führte dazu, dass die Daten beider Zähler an beide Energieanbieter weitergegeben wurden. Die DSB gab der Datenschutzbeschwerde der Bewohnerin statt und stellte eine Verletzung ihres Geheimhaltungsrechts fest. Das BVwG gab der Bescheidbeschwerde des Netzbetreibers teilweise statt.
Das BVwG hat erwogen: Die Weitergabe der Daten an den zweiten Energieanbieter erfolgte ohne rechtliche Grundlage und verletzte somit das Geheimhaltungsrecht der Bewohnerin. Die Weitergabe der Daten an den ersten Energieanbieter war jedoch rechtmäßig.
Die Energieanbieter haben von der Bewohnerin jeweils eine Vollmacht zur Vornahme eines spezifischen Rechtsgeschäfts iSd § 76 Abs 3 ElWOG und des § 4 Wechselverordnung (WVO) erhalten, die zur Übernahme jeweils eines Zählers berechtigt. Die Energieanbieter müssen das Vorliegen der Vollmacht nur glaubhaft machen, sofern die Vollmacht tatsächlich erteilt wurde. Unklarheiten über den Umfang der Vollmacht muss sich die Bewohnerin zurechnen lassen. Der Netzbetreiber durfte darauf vertrauen, dass die Vollmacht dem ersten Energieanbieter im Umfang der Übernahme beider Zählpunkte erteilt worden ist.
Hinsichtlich des zweiten Energiebetreibers verletzte der Netzbetreiber jedoch seine Sorgfaltspflichten. Beide Energieanbieter haben unabhängig voneinander eine Zählpunktidentifizierung für beide Zählpunkte gestartet, welche vom Netzbetreiber jeweils genehmigt wurden.
Gemäß § 5 WVO kann der Netzbetreiber bei begründetem Verdacht, wenn die zu wechselnde Zählpunktbezeichnung einem anderen Endverbraucher zugeordnet ist, den Wechselprozess verweigern. Da die Zählpunktidentifizierung durch den ersten Energieanbieter bereits gestartet wurde, hätte der Netzbetreiber bei der Anfrage des zweiten Energieanbieters Überschneidungen der beiden Verfahren prüfen müssen.
Der Verstoß gegen die gesetzlichen Sorgfaltspflichten indiziert auch einen Verstoß gegen das Grundrecht auf Datenschutz.
Erfolgt die Datenverarbeitung durch eine Videokamera nur im unmittelbaren Bereich vor der Eingangstüre, um zu überwachen, wer sich wann und wie unmittelbar vor der Eingangstüre aufhält, ist die Datenverarbeitung verhältnismäßig und erforderlich, wenn sie aus einem nachvollziehbaren Grund erfolgt. Auf das Verhängen einer Strafe besteht kein subjektives Recht, weshalb dem Betroffenen hierfür keine Antragslegitimation zukommt (BVwG 20.06.2024, W211 2276490-1).
Wird eine Säumnisbeschwerde rechtmäßig erhoben, räumt § 28 Abs 7 VwGVG dem BVwG eine "kondemnatorische" Entscheidungsbefugnis ein. Dh das BVwG darf ihre Entscheidung auf einzelne maßgebliche Rechtsfragen beschränken und die DSB zum Erlassen eines Bescheides "verurteilen". Die DSB erhält damit eine "dritte Chance" und hat ihre Entscheidung unter Zugrundelegung der Rechtsanschauung des BVwG innerhalb von acht Wochen nachzuholen (BVwG 13.06.2024, W292 2281684-1).
Ein Aussetzungsbescheid ist ersatzlos zu beheben, wenn der von der DSB angenommene Aussetzungsgrund nicht besteht. Im fortgesetzten Verfahren wird die DSB das Verfahren formlos einzustellen haben, weil der Verantwortliche in der Zwischenzeit dem Berichtigungsersuchen des Betroffenen entsprochen hat, indem der Verantwortliche den Geschlechtseintrag des Betroffenen auf "divers" geändert hat (BVwG 18.06.2024, W214 2275651-1).
Ist kein Wiederaufnahmegrund ersichtlich, ist ein Antrag auf Wiederaufnahme aussichtslos. Die Verfahrenshilfe wird daher nicht gewährt (BVwG 27.06.2024, W292 2293432-1).