VfGH 03.10.2024, E4003/2023

Videoüberwachung, Verschleierungsverbot

• Ein Mann trug eine Burka, um nicht von einer öffentlichen Videoüberwachungskamera erfasst zu werden. Aufgrund des Verstoßes gegen § 2 Abs 1 Anti-Gesichtsverhüllungsgesetz (AGesVG) wurde ihm mit Bescheid eine Geldstrafe auferlegt. Der Mann erhob Bescheidbeschwerde beim LVwG Niederösterreich und behauptete, das AGesVG sei verfassungswidrig, weil es gegen das verfassungsgesetzlich gewährleistete Recht auf Datenschutz verstoße. Da das LVwG die Bescheidbeschwerde abwies, erhob der Mann Erkenntnisbeschwerde an den VfGH.
  
  Der VfGH hat erwogen: Gemäß Art 8 Abs 1 EMRK hat jedermann Anspruch auf Achtung seines Privatlebens. Ein Eingriff in dieses Grundrecht ist nur statthaft, wenn dieser gesetzlich vorgesehen ist und dem materiellen Gesetzesvorbehalt des Art 8 Abs 2 EMRK entspricht. Zudem muss der Eingriff geeignet und erforderlich sein, um ein legitimes Ziel zu erreichen und er muss verhältnismäßig sein.
  
  Das AGesVG zielt auf die Förderung von Integration durch die Stärkung der Teilhabe an der Gesellschaft und die Sicherung des friedlichen Zusammenlebens von Menschen unterschiedlicher Herkunft und Religion in einer pluralistischen Gesellschaft ab. Dies dient der Aufrechterhaltung der öffentlichen Ruhe, Ordnung und Sicherheit. Zur Umsetzung dieses Ziels hat der Gesetzgeber den Verbotstatbestand des § 2 Abs 1 AGesVG normiert, der neutral formuliert ist und sämtliche Gesichtsverhüllungen in der Öffentlichkeit erfasst. Der EGMR erkennt dem Staat einen weiten Ermessensspielraum bei der Frage zu, ob es erlaubt sein soll, seine Gesichtszüge in der Öffentlichkeit zu verhüllen. Diesen rechtspolitischen Gestaltungsspielraum hat der österreichische Gesetzgeber nicht überschritten, sodass keine Verletzung im Recht auf Achtung des Privatlebens vorliegt.
  
  Da auch keine Verletzung in anderen verfassungsgesetzlich gewährleisteten Rechten oder in einem sonstigen Recht zu erkennen ist, ist der Beschwerdeführer wegen Anwendung des § 2 Abs 1 AGesVG nicht in seinen Rechten verletzt worden.

• Soweit für eine Person eine Gefahr für Leben, Gesundheit, körperliche Unversehrtheit oder Freiheit besteht, dürfen personenbezogene Daten und andere Umstände, die Rückschlüsse auf die Identität oder die höchstpersönlichen Lebensumstände der gefährdeten Person zulassen, von der Akteneinsicht ausgenommen werden (51 Abs 1 iVm § 162 StPO). Eine darüber hinausgehende Beschränkung des Rechts auf Akteneinsicht des Beschuldigten ist unzulässig (OGH 24.09.2024, 11Os75/24z; 24.09.2024, 11Os74/24b).
• Der Kläger begehrt die Unterlassung der erneuten unrechtmäßigen Offenlegung seiner personenbezogenen Daten, nicht aber die Löschung seiner Daten. Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig, die für die Beantwortung der Frage, ob und wann sich ein Unterlassungsanspruch aus der DSGVO ergibt, präjudiziell sind. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das Revisionsverfahren zu unterbrechen (OGH 20.09.2024, 6Ob112/24z).

BVwG 28.08.2024, W221 2279014-1

Tesla, Dash-Cam, Beweislast

• Tesla-Fahrzeuge sind mit mehreren Dash-Cams ausgestattet, die das Umfeld überwachen. Der "Sentry Mode" speichert Aufnahmen bei Bedrohungen. Der "Alert Mode" wird bei Erschütterungen oder ähnlichen Ereignissen aktiviert. Für die Speicherung der Videos auf einem USB-Laufwerk muss dieses korrekt formatiert und angeschlossen sein.
  
  Ein Passant fühlte sich durch die vermeintliche Videoaufzeichnung eines Teslas in seinem Recht auf Geheimhaltung verletzt. Das Fahrzeug parkte in einer Fußgängerzone, als der Passant vorbeiging. Seiner Ansicht nach filmte das Fahrzeug ihn im "Sentry Mode" und "Alert Mode", speicherte die Aufnahmen und übertrug diese in die USA. Weiters erachtete er sich in seinen Rechten auf Auskunft, Berichtigung und Löschung verletzt. Die Fahrzeughalterin verstieße gegen Art 6 DSGVO, weil es weder eine gesetzliche Grundlage noch eine Einwilligung für die Verarbeitung gebe. Zudem verletze sie mangels Kennzeichnung die Informationspflicht nach Art 13 DSGVO.
  
  Die DSB wies die Datenschutzbeschwerde des Passanten wegen Verletzung in den Rechten auf Auskunft, Berichtigung und Löschung in einem Teilbescheid ab, weil der Passant kein entsprechendes Ersuchen an die Fahrzeughalterin richtete. In einem zweiten Teilbescheid wies die DSB auch die Datenschutzbeschwerde wegen behaupteter Verletzung der Rechte auf Information und Geheimhaltung ab, weil zum entscheidungsrelevanten Zeitpunkt der "Sentry Mode" zwar aktiv gewesen sei, die Kameras jedoch nicht eingeschaltet waren. Es habe somit keine Datenverarbeitung stattgefunden. Daraufhin erhob der Passant (erfolglose) Bescheidbeschwerde gegen den zweiten Teilbescheid an das BVwG.
  
  Das BVwG hat erwogen: Die Aktivierung des "Sentry Mode" (auch wenn er nicht in den "Alert Mode" wechselt) ist eine Datenverarbeitung, die eine Informationspflicht des datenschutzrechtlich Verantwortlichen auslösen kann. Entscheidend ist daher, ob der "Sentry Mode" zum entscheidungsrelevanten Zeitpunkt tatsächlich aktiviert war.
  
  Der Verantwortliche iSd Art 4 Z 7 DSGVO trägt die Beweislast für die Rechtmäßigkeit der Datenverarbeitung iSd Art 5 DSGVO. Darüber hinaus finden sich in der einschlägigen Judikatur und in den anzuwendenden Normen jedoch keine Hinweise auf eine entsprechende Beweislastumkehr in Bezug auf das Vorliegen einer Datenverarbeitung.
  
  Weiters ist in diesem Zusammenhang auf den Amtswegigkeitsgrundsatz zu verweisen. Dieser verpflichtet die Behörde, den Sachverhalt vollständig von Amts wegen zu ermitteln, ohne in tatsächlicher Hinsicht an das Parteienvorbringen gebunden zu sein (§ 39 Abs 2 iVm § 37 AVG). Wenn es nicht gelingt, die anspruchsbegründenden Tatsachen festzustellen, geht dies zulasten des Betroffenen.
  
  Der "Sentry Mode" war zum entscheidungsrelevanten Zeitpunkt nicht aktiviert. Folglich fanden auch keine Videoaufnahmen über Passanten statt. Da keine personenbezogenen Daten verarbeitet wurden, ist das Geheimhaltungsrecht des Passanten nicht verletzt worden. Weiters gelangt Art 13 DSGVO mangels Erhebung personenbezogener Daten nicht zur Anwendung. Anm: Nach der ständigen Rechtsprechung der DSB können die Rechte auf Auskunft, Berichtigung und Löschung in einer Datenschutzbeschwerde erst geltend gemacht werden, nachdem ein Auskunfts-, Berichtigungs- oder Löschungsersuchen an den Verantwortlichen gestellt worden ist. Deshalb ist die Datenschutzbeschwerde hinsichtlich dieser Rechte mit dem ersten (unbekämpften) Teilbescheid der DSB zurückgewiesen worden (vgl auch unten BVwG 12.09.2024, W287 2296629-1).

BVwG 22.08.2024, W256 2246158-1

SPG, Identitätsdokumentenregister, AuvBZ, Unzuständigkeit

• Anlässlich einer Lärmerregung im öffentlichen Raum forderten Polizeibeamte eine Passantin zur Identitätsfeststellung in Form einer Ausweisleistung auf. Da sich die Passantin weigerte, ihren Ausweis vorzuzeigen, wurde sie schließlich von den Polizeibeamten festgenommen und zur nächstgelegenen Polizeiinspektion verbracht, wo eine Abfrage ihres Lichtbildes im Identitätsdokumentenregister ("IDR") Die von der Passantin auf Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde wies die DSB ab. Die hiergegen erhobene Bescheidbeschwerde wies das BVwG mit der Maßgabe ab, dass die ursprüngliche Datenschutzbeschwerde wegen Unzuständigkeit der DSB zurückgewiesen wird.
  
  Das BVwG hat erwogen: Die Organe des öffentlichen Sicherheitsdienstes sind gemäß § 35 Abs 2 und 3 SPG zur Feststellung der Identität einer tatverdächtigen Person ermächtigt. Dabei reicht die Skala der für die Feststellung der Identität einsetzbaren Maßnahmen vom Befragen des Betroffenen bis zur Einsichtnahme in einen amtlichen Lichtbildausweis.
  
  Über Beschwerden wegen Verletzung von Rechten durch Verarbeiten personenbezogener Daten in Angelegenheiten der Sicherheitsverwaltung entscheidet grundsätzlich die DSB. Davon ausgenommen ist jedoch die Beurteilung der Rechtmäßigkeit der Ermittlung von personenbezogenen Daten infolge der Ausübung verwaltungsbehördlicher Befehls- und Zwangsgewalt ("AuvBZ").
  
  Eine AuvBZ liegt vor, wenn physischer Zwang ausgeübt wird oder die unmittelbare Ausübung physischen Zwangs bei Nichtbefolgung eines Befehls droht. Die Passantin wurde Zwecks Feststellung ihrer Identität festgenommen, worin die Ausübung physischen Zwangs zu sehen ist. Daraus ergibt sich, dass in die personenbezogenen Daten der Passantin infolge einer AuvBZ eingesehen wurde, deren Beurteilung gemäß § 88 Abs 1 SPG in die Zuständigkeit der Landesverwaltungsgerichte fällt. Demzufolge hätte die DSB die Datenschutzbeschwerde der Passantin als unzulässig zurückzuweisen gehabt.

BVwG 05.09.2024, W176 2273820-1

Rechtsanwaltskammer, AuskunftspflichtG

• Ein Rechtsanwalt verlangte Auskunft gemäß 1 AuskunftspflichtG bei der für ihn zuständigen Rechtsanwaltskammer ("RAK") über die Zusammensetzung, das Abstimmungsverhalten der Mitwirkenden sowie über internen Abläufe und Entscheidungen der Kammer in den ihn betreffenden Ausschüssen. Die RAK lehnte das Auskunftsersuchen pauschal ohne vertiefende Begründung ab, weil die Fragen das interne Beratungs- und Willensbildungsverhalten der RAK sowie die detaillierten Abstimmungsergebnisse dem Amtsgeheimnis unterliegen würden. Der Rechtsanwalt erhob daraufhin Bescheidbeschwerde an ein LVwG, das die Bescheidbeschwerde zuständigkeitshalber an das BVwG weiterleitete. Das BVwG wies die Bescheidbeschwerde hinsichtlich des Abstimmungsverhaltens ab. Im Übrigen behob das BVwG den Bescheid und verwies die Angelegenheit zur Erlassung eines neuen Bescheids an die RAK zurück.
  
  Das BVwG hat erwogen: Auskünfte über den Beratungs- und Willensbildungsprozess von Mitgliedern eines Kollegialorgans gefährden dessen Unabhängigkeit und unterliegen dem Beratungsgeheimnis. Wenn Mitglieder von Kollegialorganen die Offenlegung ihres Abstimmungsverhaltens befürchten müssen, kann dies das Stimmverhalten und die Unabhängigkeit gefährden. Der Begriff "Auskunft" umfasst nur die Pflicht zur Information über die Tätigkeit der Behörde, nicht aber eine Verpflichtung zur Begründung behördlichen Handelns oder Unterlassens gegenüber dem Anfragenden.
  
  Das Abstimmungsverhalten von Mitgliedern des Ausschusses der RAK sind interne Beratungs- und Willensbildungsprozesse, die dem für die Unabhängigkeit des Kollegialorgans wesentlichen Beratungsgeheimnis unterliegen, sodass die betreffenden Aktenteile von der Akteneinsicht auszunehmen sind.
  
  Im Verfahren des Ausschusses der RAK ist das AVG anzuwenden. Gemäß § 18 Abs 4 AVG hat jede schriftliche Ausfertigung die Bezeichnung der Behörde, das Datum der Genehmigung und den Namen des Genehmigenden zu enthalten. Einzelne Mitglieder einer Kollegialbehörde müssen namentlich zwar nicht genannt werden. Die Bekanntgabe der Mitglieder der über eine Sache entscheidenden Behörde kann jedoch für die Überprüfung der richtigen Zusammensetzung und der Unbefangenheit erforderlich sein. Bei Auskünften nach dem AuskunftspflichtG hat eine Interessenabwägung zwischen der Amtsverschwiegenheit und dem Interesse des Auskunftswerbers an der Information zu erfolgen.
  
  Angelegenheiten, in denen jemand Parteistellung hat, stehen einer Auskunftserteilung nach dem AuskunftspflichtG entgegen, weil die Möglichkeit zur Akteneinsicht besteht. In Angelegenheiten, in denen der Rechtsanwalt keine Parteistellung hatte, könnte sein Interesse an der Erlangung der Informationen über die Zusammensetzung der entscheidenden Behörde überwiegen. Da die RAK hierzu keine Feststellungen traf, war der Bescheid zu beheben und die Angelegenheit an die RAK zurückzuverweisen.

BVwG 02.09.2024, W292 2292958-1

BVwG, Verfristung

• Ein Betroffener behauptete, durch das BVwG in seinem Grundrecht auf Datenschutz und Geheimhaltung sensibler personenbezogener Daten verletzt worden zu sein.
  
  Der Betroffene wies sich bei einer öffentlichen mündlichen Verhandlung beim BVwG mit seinem Behindertenpass aus. Da im Verhandlungsprotokoll der mündlichen Verhandlung die Information über seinen Behindertenpass aufschien, erhob der Betroffene eine Beschwerde gemäß Art 130 Abs 2a
  
  B-VG. Er führte aus, dass er nicht darüber informiert wurde, dass seine Daten an Dritte weitergegeben werden würden. Mit diesem Wissen hätte er sich mit dem Reisepass ausgewiesen. Dem Betroffenen wurde jedoch bereits nach der Verhandlung ein Kurzprotokoll vorgelegt, auf dem vermerkt wurde, dass er sich mit einem Behindertenpass ausgewiesen hat, wogegen er am Ende der Verhandlung keine Einwände erhob. Auch nach Zustellung einer Vollschrift des Verhandlungsprotokolls, in welchem die Information über den Behindertenpass übernommen wurde, erhob der Betroffene Einwendungen nur gegen das Verhandlungsprotokoll, jedoch nicht gegen die Protokollierung des Behindertenpasses selbst.
  
  Das BVwG entschied in einem aus drei Berufsrichtern gebildeten Senat und wies die Beschwerde als verspätet zurück.
  
  Das BVwG hat erwogen: Wer durch ein Organ in Ausübung seiner justiziellen Tätigkeit im Grundrecht auf Datenschutz verletzt wurde, kann gemäß § 85 Abs 8 GOG dem Bund gegenüber die Feststellung dieser Verletzung begehren. Gemäß § 24a BVwGG gelten die §§ 84 und 85 GOG sinngemäß für Organe des BVwG mit der Maßgabe, dass über behauptete Datenschutzverletzungen ein Senat des BVwG entscheidet. Der behaupteten Verletzung liegt das Handeln eines Organs des BVwG in Ausübung seiner justiziellen Tätigkeit iSd Art 55 Abs 3 DSGVO und den §§ 84 und 85 GO – nämlich die Aufnahme einer Information zum Ausweisdokument in eine Verhandlungsschrift – zugrunde.
  
  Die Beschwerde ist innerhalb eines Jahres ab dem Tag, an dem der Betroffene von der Entscheidung oder dem Vorgang Kenntnis erlangt hat, beim BVwG einzubringen. Nach Ablauf von drei Jahren nach der Entscheidung oder dem Vorgang kann die Feststellung nicht mehr begehrt werden. Der Betroffene musste die behauptete Datenschutzverletzung bereits im Rahmen der Unterzeichnung des Kurzprotokolls am 21.04.2021 kennen. Er erhob die Beschwerde jedoch erst am 01.06.2024. Zudem hat der Betroffene fünf Tage nach Zustellung der Vollschrift des Verhandlungsprotokolls Einwendungen erhoben, welche sich damals nicht auf die Protokollierung des Behindertenausweises bezogen. Vor diesem Hintergrund war die Beschwerde als verfristet zurückzuweisen.

BVwG 12.09.2024, W252 2272069-1

Impferinnerungsschreiben, Mitwirkungspflicht

• Der Empfänger eines COVID-19-Impferinnerungsschreibens behauptete, dass der (vermeintlich) absendende Verantwortliche sein Grundrecht auf Geheimhaltung verletzt habe. Der (vermeintliche) Verantwortliche soll rechtswidrig auf seine im Impfregister hinterlegten Daten zugegriffen haben. Das Impferinnerungsschreiben legte der Empfänger der Datenschutzbeschwerde nicht bei. Die DSB legte einen anderen Verantwortlichen als Beschwerdegegner fest und gab der Datenschutzbeschwerde statt. Daraufhin erhob der Beschwerdegegner eine (erfolgreiche) Bescheidbeschwerde.
  
  Das BVwG hat erwogen: Gemäß Art 77 DSGVO kommt jeder Person das Recht zu, Beschwerde bei einer Aufsichtsbehörde zu erheben, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen die DSGVO verstößt. Art 77 DSGVO macht keine inhaltlichen Vorgaben, verlangt jedoch ausreichende Angaben, damit die DSB die Art und Weise der Verarbeitung sowie den Verstoß gegen die DSGVO nachvollziehen kann.
  
  Wenn es der DSB nicht möglich ist, den entscheidungswesentlichen Sachverhalt ohne Mitwirkung der Partei festzustellen, besteht eine Mitwirkungspflicht der Partei. Dies vor allem dann, wenn die DSB sich die Kenntnis von ausschließlich in der Sphäre der Partei liegenden Umständen nicht von Amts wegen beschaffen kann. Der Empfänger machte eine Verletzung seines Rechts auf Geheimhaltung geltend, legte auf Nachfrage des BVwG jedoch kein Impferinnerungsschreiben vor. Aufgrund der Mitwirkungspflicht wäre der Empfänger dazu verpflichtet gewesen, den Beweis zu erbringen, dass seine personenbezogenen Daten tatsächlich verarbeitet wurden. Da der Empfänger mittlerweile verstorben ist, kann er dieser Mitwirkungspflicht nicht mehr nachkommen. Die Verletzung des Rechts auf Geheimhaltung konnte somit nicht festgestellt werden. Vor diesem Hintergrund war der Bescheidbeschwerde stattzugeben und die ursprüngliche Datenschutzbeschwerde abzuweisen. Anm: Dem BVwG ist zwar beizupflichten, dass der Empfänger des Impferinnerungsschreibens seine Betroffenheit durch Vorlage des Impferinnerungsschreibens nachzuweisen gehabt hätte. Da der Empfänger während des laufenden Verfahrens verstorben ist, wäre der Bescheid jedoch ersatzlos zu beheben und das Verfahren einzustellen gewesen (vgl zB BVwG 07.06.2023, W214 2263568-1).

• Das Recht auf eine Kopie der personenbezogenen Daten gemäß Art 15 Abs 3 DSGVO ist eine Regelung für die Form der Unterrichtung des Betroffenen. Art 15 Abs 3 Satz 1 DSGVO räumt dem Betroffenen neben dem Recht auf Auskunft gemäß Art 15 Abs 1 DSGVO kein zusätzliches – eigenständiges – Recht auf Kopien von Auszügen aus Dokumenten, von ganzen Dokumenten oder Auszügen aus Datenbanken, die personenbezogene Daten enthalten, ein (BVwG 09.09.2024, W176 2283061-1).
• In der Systematik des Art 12 Abs 3 und 4 DSGVO kommt zum Ausdruck, dass das in Art 15 DSGVO normierte Betroffenenrecht auf Auskunft jedenfalls (zunächst) im Wege eines Antrags an den Verantwortlichen durchzusetzen ist. Ist an den Verantwortlichen kein Auskunftsersuchen gestellt worden, ist die Datenschutzbeschwerde von der DSB abzuweisen. Die Auslegung einer Erklärung ist am Empfängerhorizont zu messen. Ist für den objektiven Erklärungsempfänger kein Auskunftsersuchen ersichtlich, ist von keinem Auskunftsersuchen auszugehen (BVwG 12.09.2024, W287 2296629-1).
• Wird eine Datenschutzbeschwerde während des laufenden Verfahrens vor dem BVwG zurückgezogen, entfällt die Zuständigkeit der DSB rückwirkend, sodass der Bescheid der DSB ersatzlos zu beheben und das Verfahren einzustellen ist (BVwG 16.09.2024, W137 2262841-1; W137 2263387-1; W137 2257622-1).
• Wird eine Bescheidbeschwerde während des laufenden Verfahrens vor dem BVwG zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 10.09.2024, W292 2285395-1).

• Bescheidbeschwerden gegen Bescheide der DSB unterliegen einer Pauschalgebühr, die zum Zeitpunkt des Einbringens der Bescheidbeschwerde bei der DSB zu entrichten ist. Die Gebührenschuld entsteht bereits beim Einbringen der Bescheidbeschwerde (BFG 27.09.2024, RV/5100356/2024).

• Am 17.10.2024 wird das Urteil des EuGH in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
• Am 13.11.2024 wird das Urteil des EuG in der Rs T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.

EuGH 04.10.2024, C-446/21, Schrems III

Personalisierte Online-Werbung, Datenminimierung, sensible Daten

• Meta Platforms Ireland ("Meta") betreibt die Plattform Facebook innerhalb der EU. Ein Facebook-Nutzer klagte Meta, weil seine Daten für personalisierte Werbung ohne rechtsgültige Einwilligung verwendet worden seien. Das Geschäftsmodell von Meta ist es, Einnahmen durch zielgerichtete Werbung und kommerzielle Inhalte zu generieren. Die Werbung wird durch Erstellung detaillierter Profile der Nutzer personalisiert. Dafür werden Daten innerhalb und außerhalb des sozialen Netzwerks erfasst und verarbeitet. Laut Vorlageentscheidung hat der Nutzer Meta nicht erlaubt, seine außerhalb von Facebook erlangten Daten für personalisierte Werbung zu nutzen. Außerdem es hat der Nutzer nicht gestattet, bestimmte Profilinformationen (zB Beziehungsstatus, Arbeitgeber, Beruf, Ausbildung) für personalisierte Werbung zu verwenden. Meta habe jedoch Daten von Webseiten Dritter für die Erstellung von zielgerichteter Werbung verwendet, unter anderem auch Daten zur sexuellen Orientierung des Nutzers. Zwar habe der Nutzer seine sexuelle Orientierung öffentlich gemacht, aber nicht auf seinem Facebook-Profil.
  
  Nachdem die Klage in den unteren Instanzen abgewiesen wurde, wandte sich der Nutzer mit seiner Revision an den OGH. Der OGH fragte den EuGH, ob personenbezogene Daten uneingeschränkt für personalisierte Werbung genutzt werden dürfen und ob die öffentliche Bekanntmachung sensibler Daten durch den Betroffenen die Verwendung dieser Daten für personalisierte Werbung erlaubt.
  
  Der EuGH hat erwogen: Ziel der DSGVO ist, ein hohes Schutzniveau der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. Jede Verarbeitung personenbezogener Daten muss im Einklang mit den in Art 5 DSGVO genannten Verarbeitungsgrundsätzen stehen, die in Art 6 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllen und die Betroffenenrechte in Art 12-22 DSGVO beachten.
  
  Dem Grundsatz der Datenminimierung entspricht eine Datenverarbeitung, wenn sie auf den notwendigen Zeitraum beschränkt ist. Auswirkungen für die Betroffenen sind umso schwerer, je länger Daten gespeichert werden. Umso höher sind auch die Anforderungen an die Rechtmäßigkeit der Datenspeicherung. Nach Erreichung des Verarbeitungszwecks müssen die Daten gelöscht werden. Eine ursprünglich zulässige Datenverarbeitung kann mit der Zeit gegen die DSGVO verstoßen, wenn die Daten nicht mehr für die Zweckerreichung, erforderlich sind. Eine unbegrenzte Speicherung der Nutzerdaten eines sozialen Netzwerks zu Zwecken der zielgerichteten Werbung ist ein unverhältnismäßiger Eingriff in die Rechte der Betroffenen.
  
  Daten dürfen nicht unterschiedslos erhoben und gespeichert werden. Nicht erforderliche Daten sind nicht zu erheben. Dabei hat der Verantwortliche gemäß Art 25 Abs 2 DSGVO Maßnahmen zu treffen, die sicherstellen, dass nur die für die Zweckerreichung notwendigen Daten verarbeitet werden. Datenverarbeitungen sind besonders umfassend, wenn sie potenziell unbegrenzte Daten betreffen und die Onlineaktivitäten zum großen Teil erfassen. Bei Betroffenen kann dies das Gefühl der dauernden Überwachung auslösen.
  
  Der Grundsatz der Datenminimierung steht einer Verarbeitung sämtlicher personenbezogener Daten entgegen, die ein Betreiber einer Onlineplattform von der betroffenen Person oder von Dritter Seite erhält, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet.
  
  Mit der Verarbeitung von besonderen Kategorien personenbezogener Daten (zB politische Meinung, sexuelle Orientierung) ist ein erhebliches Risiko für die Grundfreiheiten und Grundrechte der Betroffenen verbunden. Die Bestimmung des Art 9 Abs 1 DSGVO verbietet grundsätzlich solche Datenverarbeitungen. Ausnahmen sieht Art 9 Abs 2 DSGVO für die Rechtfertigung von der Verarbeitung besonderer Kategorien personenbezogener Daten vor.
  
  Eine Verarbeitung kann nach Art 9 Abs 2 lit e DSGVO gerechtfertigt sein, wenn Daten durch den Betroffenen durch eine eindeutige bestätigende Handlung einer breiten Öffentlichkeit zugänglich gemacht wurden. Eine Veröffentlichung im Rahmen einer Podiumsdiskussion mit Livestream ist so eine Handlung. Die Veröffentlichung von Daten bedeutet jedoch für den Betreiber einer Onlineplattform keine Zustimmung iSd Art 9 Abs 2 lit a DSGVO, die von dritten Partnern erhaltenen Daten für die Erstellung von personalisierter Werbung zu verwenden.

EuGH 04.10.2024, C-507/23, Patērētāju tiesību aizsardzības centrs

Immaterieller Schaden, Entschuldigung

• Ein Journalist mit Fachkenntnissen im Automobilbereich wurde ohne sein Einverständnis in einer Videosequenz der Kampagne einer Verbraucherschutzbehörde von einer anderen Person imitiert. Der Journalist verlangte die Beendigung der Verbreitung und Schadenersatz wegen Rufschädigung.
  
  Das Erstgericht sprach dem Journalisten einen Schadenersatz in Form einer (i) Entschuldigung und (ii) Entschädigung iHv EUR 2.000 zu. Das Berufungsgericht bestätigte den Schadenersatz in Form der Entschuldigung, verwarf jedoch die finanzielle Entschädigung. Das vorlegende Höchstgericht stellte dem EuGH mehrere Fragen zum immateriellen Schadenersatz, ua wollte das Höchstgericht wissen, ob ein immaterieller Schaden iSd Art 82 Abs 1 DSGVO durch eine Entschuldigung ausgeglichen werden kann.
  
  Der EuGH hat erwogen: Der bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch. Der Eintritt eines Schadens ist nur eine potenzielle und keine automatische Folge einer rechtswidrigen Verarbeitung. Ein Verstoß gegen die DSGVO führt nicht zwangsläufig zu einem Schaden.
  
  Die Voraussetzungen für einen immateriellen Schadenersatzanspruch sind (i) das Vorliegen eines immateriellen "Schadens", (ii) das Vorliegen eines Verstoßes gegen die DSGVO und (iii) ein Kausalzusammenhang zwischen Schaden und Verstoß.
  
  Da Art 82 DSGVO keine Regeln für die Bemessung des Schadenersatzes festlegt, sind nach dem Grundsatz der Verfahrensautonomie die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden. Der Schadenersatzanspruch nach Art 82 DSGVO hat ausschließlich eine Ausgleichsfunktion.
  
  Bei fehlender Schwere des entstandenen Schadens kann ein geringfügiger Schadenersatz ausreichen. Auch eine Entschuldigung kann ein angemessener Ersatz für einen immateriellen Schaden sein, sofern diese Form des Schadenersatzes geeignet ist, den dem Betroffenen entstandenen Schaden in vollem Umfang auszugleichen.
  
  Die Schwere eines Verstoßes gegen die DSGVO sowie die Haltung und die Beweggründe des Verantwortlichen sind beim Festlegen der Höhe der finanziellen Entschädigung – anders als bei der Strafbemessung nach Art 83 DSGVO – nicht zu berücksichtigen. Anm: Der EuGH leitete seine Rechtsprechungslinie zum immateriellen Schadenersatz iSd Art 82 DSGVO mit Urteil vom 04.05.2023, C-300/21, Österreichische Post, ein und sprach dort von einer "finanziellen Entschädigung" zum Ausgleich des erlittenen Schadens. Der EuGH wiederholte seine Wortwahl seitdem in mehreren Urteilen (EuGH 21.12.2023, C-667/21, Krankenversicherung Nordrhein; 25.01.2024, C-687/21, MediaMarktSaturn; 11.04.2024, C-741/21, juris; 20.06.2024, C-182/22 und C-189/22, Scalable Capital; 20.06.2024, C-590/22, PS [Fehlerhafte Anschrift]). Diese Wortwahl legte nahe, dass sofern ein Schaden festgestellt wird, eine finanzielle Entschädigung zuzusprechen ist. Aus der nunmehrigen Entscheidung folgt jedoch, dass der eingetretene Schaden nicht zwingend durch eine finanzielle Entschädigung auszugleichen ist, sondern etwa auch eine Entschuldigung ausreichen kann.

EuGH 04.10.2024, C-21/23, Lindenapotheke

Apotheke, Mitbewerber, Unterlassungsklage, Gesundheitsdaten

• Der Betreiber der Lindenapotheke vertrieb apothekenpflichtige Arzneimittel über Amazon-Marketplace (Amazon), wofür Kunden Angaben wie Namen, Lieferadresse und Informationen zur Individualisierung der Arzneimittel eingeben mussten. Ein anderer Apotheker (= Mitbewerber) erhob Unterlassungsklage, weil der Vertrieb wegen des Verstoßes gegen Datenschutzvorschriften unlauter sei und beantragte, der Lindenapotheke den Vertrieb über Amazon zu verbieten, solange die Kunden nicht vorab in die Verarbeitung von Gesundheitsdaten einwilligen. Das vorlegende Gericht fragte, ob Mitbewerber bei Datenschutzverstößen zivilrechtlich gegen den Verletzer vorgehen können und ob die Daten tatsächlich als Gesundheitsdaten einzustufen sind.
  
  Der EuGH hat erwogen: Die Bestimmungen des Kapitels VIII der DSGVO stehen einer nationalen Regelung nicht entgegen, die Mitbewerbern erlaubt, bei DSGVO-Verstößen unter dem Gesichtspunkt des Verbots unlauterer Geschäftspraktiken zu klagen. Die DSGVO schließt Klagen von Mitbewerbern nicht ausdrücklich aus. Das Recht auf Beschwerde bei einer Aufsichtsbehörde sowie das Recht auf einen wirksamen gerichtlichen Rechtsbehelf bestehen vielmehr unbeschadet jeglicher anderer verwaltungsrechtlicher, gerichtlicher oder außergerichtlicher Rechtsbehelfe.
  
  Aus dem Wortlaut und dem Kontext der Bestimmungen des Kapitels VIII ergibt sich, dass der Unionsgesetzgeber keine umfassende Harmonisierung der Rechtsbehelfe, die bei einem DSGVO-Verstoß zur Verfügung stehen, vornehmen und insbesondere nicht ausschließen wollte, dass Mitbewerber eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten auf der Grundlage des nationalen Rechts unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken Unterlassungsklage erheben können. Diese Möglichkeit stärkt sogar die praktische Wirksamkeit der DSGVO und verbessert damit das Schutzniveau der Betroffenen. Es ist aber Sache des nationalen Gerichts, zu prüfen, ob der mutmaßliche Verstoß gegen die DSGVO auch ein Verstoß gegen das Verbot der Vornahme unlauterer Geschäftspraktiken gemäß den einschlägigen nationalen Regelungen ist.
  
  Daten zum Erwerb von Arzneimitteln sind Gesundheitsdaten iSd Art 5 Z 1 DSGVO, wenn daraus Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person gezogen werden können, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf. Es genügt, wenn aus den eingegebenen Daten mittels gedanklicher Kombination oder Ableitung Rückschlüsse auf den Gesundheitszustand der betroffenen Person gezogen werden können, indem eine Verbindung zwischen dem Arzneimittel, seinen therapeutischen Indikationen und Anwendungen und der natürlichen Person hergestellt wird.
  
  Dies gilt auch, wenn diese Arzneimittel nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für den Kunden bestimmt sind. Werden die Arzneimittel für andere Personen bestellt, kann nicht ausgeschlossen werden, dass auch diese Personen identifiziert und Rückschlüsse auf ihren Gesundheitszustand gezogen werden können.

EuGH 04.10.2024, C-621/22, Koninklijke Nederlandse Lawn Tennisbond

Interessenabwägung, wirtschaftliche Interessen

• Der Tennisbond ist ein Sportverband, der in Form eines Vereins gegründet ist. Die Mitglieder dieses Sportverbands sind die ihm angeschlossenen Tennisvereine sowie deren Mitglieder, die durch Beitritt zum Tennisverein automatisch auch Mitglied des Tennisbonds werden. Der Tennisbond hat personenbezogene Daten seiner Mitglieder an zwei seiner Sponsoren gegen Entgelt offengelegt. Diese Daten umfassten Namen, Anschriften, Wohnorte, Geburtsdaten, Festnetz- und Mobiltelefonnummern, E-Mail-Adressen und die Namen der Tennisclubs, denen die Mitglieder angehörten. Die Sponsoren nutzten die Daten, um Werbebriefe an die Mitglieder zu versenden und Werbeanrufe durchzuführen. Die niederländische Aufsichtsbehörde verhängte eine Geldbuße von EUR 525.000 gegen Tennisbond, wogegen Tennisbond Rechtsmittel erhob. Das vorlegende Gericht fragte den EuGH ua, ob eine Datenverarbeitung, die im reinen wirtschaftlichen Interesse des Verantwortlichen liegt, auf die Wahrung berechtigter Interessen iSd Art 6 Abs 1 lit f DSGVO gestützt werden kann.
  
  Der EuGH hat erwogen: Ziel der DSGVO ist es, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen zu gewährleisten. Um diesem Ziel gerecht zu werden, muss jede Verarbeitung personenbezogener Daten im Einklang mit den Art 5 und 6 DSGVO stehen. Art 6 Abs 1 DSGVO enthält eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Art 6 Abs 1 lit b bis f DSGVO sind eng auszulegen, weil in diesen Fällen die Verarbeitung ohne Einwilligung der Betroffenen erfolgt.
  
  Nach Art 6 Abs 1 lit f DSGVO ist eine Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz dieser personenbezogenen Daten erfordern, überwiegen. Ein breites Spektrum von Interessen kann als berechtigt gelten. Der Begriff "berechtigtes Interesse" verlangt nicht, dass das Interesse gesetzlich geregelt sein muss. Ein wirtschaftliches Interesse des Verantwortlichen kann ein berechtigtes Interesse sein, sofern es nicht gesetzwidrig ist.
  
  Die Verarbeitung personenbezogener Daten muss zur Verwirklichung des berechtigten Interesses erforderlich sein. Das berechtigte Interesse darf nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden können, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen. Dem Tennisbond wäre es möglich gewesen, seine Mitglieder im Voraus zu informieren und nachzufragen, ob sie einer Weitergabe ihrer Daten für Werbe- oder Marketingzwecke möchten.
  
  Zu beachten ist insbesondere, dass es sich bei einem der Sponsoren um einen Glücksspielanbieter handelt und die Mitglieder daher der Gefahr der Entwicklung einer Spielsucht ausgesetzt werden könnten.

EuGH 04.10.2024, C-200/23, Agentsia po vpisvaniyata

Handelsregister, Rollenverteilung, immaterieller Schaden

• Eine staatliche Agentur veröffentlichte das Gründungsdokument einer Gesellschaft mit beschränkter Haftung, aus dem Vor- und Zuname eines Gesellschafters, seine ID-Nummer samt Ausstellungsort und -datum, seine Adresse sowie seine Unterschrift für die Öffentlichkeit einsehbar waren. Der Gesellschafter wandte sich gegen die Agentur und zog vor Gericht. Das vorlegende Gericht stellte ua Fragen an den EuGH zur Verarbeitung personenbezogener Daten in einem Handelsregister.
  
  Der EuGH hat erwogen: Die mit der Führung des Handelsregisters betraute Behörde eines Mitgliedsstaates, welche die in diesem Register enthaltenen personenbezogenen Daten veröffentlicht, ist sowohl als Empfängerin dieser Daten als auch als datenschutzrechtliche Verantwortliche anzusehen.
  
  Die handschriftliche Unterschrift einer natürlichen Person ist ein personenbezogenes Datum.
  
  Auch eine bloß temporäre Veröffentlichung personenbezogener Daten im Handelsregister eines Mitgliedstaats kann einen immateriellen Schaden auf Seiten der betroffenen Person auslösen, ohne dass der Begriff des "immateriellen Schadens" den Nachweis zusätzlicher konkreter negativer Folgen erfordert.
  
  Eine auf Art 58 Abs 3 lit b DSGVO gestützte Stellungnahme einer Aufsichtsbehörde eines Mitgliedstaats reicht nicht aus, um die für die Führung des Handelsregisters – und als datenschutzrechtliche Verantwortliche zu qualifizierende – zuständige Behörde von einer allfälligen Haftung nach Art 82 DSGVO zu befreien.

EuGH 04.10.2024, C-548/21, Bezirkshauptmannschaft Landeck

StPO, Mobiltelefon, Auswertung

• Zollbeamte beschlagnahmten im Rahmen einer Suchtmittelkontrolle ein Paket, in dem sich 85 g Cannabiskraut befanden. Die Kriminalpolizei nahm Ermittlungen gegen einen Tatverdächtigen auf. Die Polizeibeamten stellten das Mobiltelefon des Tatverdächtigen sicher und versuchten, es zu entsperren, um dessen Inhalte und Daten auszulesen. Einer Genehmigung der Staatsanwaltschaft oder eines Gerichts bedurfte es nach der StPO hierfür nicht. Über die versuchte Auswertung der Telefondaten wurde der Tatverdächtige erst in Kenntnis gesetzt, nachdem er Beschwerde gegen die Sicherstellung seines Mobiltelefons erhob.
  
  Das LVwG Tirol fragte den EuGH zum einen, ob (i) der Zugriff öffentlicher Stellen auf sämtliche Daten eines Mobiltelefons einen so schweren Eingriff in das Grundrecht auf Datenschutz bewirke, dass dieser bloß bei der Bekämpfung schwerer Kriminalität erfolgen darf, (ii) ein solcher Zugriff auch ohne vorherige Genehmigung durch ein Gericht oder durch eine unabhängige Verwaltungsstelle erfolgen darf und (iii) die Datenauswertung durchgeführt werden darf, ohne dass der Betroffene hierüber in Kenntnis gesetzt wird.
  
  Der EuGH hat erwogen: Die Grundrechte auf Schutz personenbezogener Daten und auf Achtung des Privat- und Familienlebens gelten grundsätzlich nicht uneingeschränkt, sondern müssen im Hinblick auf ihre gesellschaftliche Funktion gesehen und gegen andere Grundrechte abgewogen werden. Jegliche Einschränkung ihrer Ausübung muss gemäß Art 52 Abs 1 GRC gesetzlich vorgesehen sein, ihren Wesensgehalt achten sowie den Grundsatz der Verhältnismäßigkeit wahren. Dabei bedarf die Prüfung der Verhältnismäßigkeit eines Grundrechtseingriffs einer Gewichtung aller relevanten Gesichtspunkte des Einzelfalls. Zu diesen Gesichtspunkten zählen ua (i) die Schwere des Grundrechtseingriffs, die von der Natur und der Sensibilität der Daten abhängt, auf die von den zuständigen Sicherheitsbehörden zugegriffen werden kann, (ii) die Bedeutung des damit verfolgten, dem Gemeinwohl dienenden Ziels und (iii) die Verbindung zwischen dem Eigentümer des Mobiltelefons und der in Rede stehenden Straftat.
  
  Die Gewichtung all dieser Gesichtspunkte hat eine unabhängige Stelle vorzunehmen, die über alle Befugnisse verfügt und alle Garantien bietet, die erforderlich sind, um einen gerechten Ausgleich zwischen den berechtigten Interessen zur Kriminalitätsbekämpfung (des Staates) einerseits und der Achtung des Privatlebens und des Datenschutzes (von potenziell Tatverdächtigen) andererseits herzustellen. Diese unabhängige Kontrolle muss – außer in hinreichend begründeten Einzelfällen – grundsätzlich im Vorfeld jedes Versuchs von staatlicher Seite, Zugang zu Daten auf einem Mobiltelefon zu erlangen, erfolgen.
  
  Den behördlichen Zugang zu Daten auf einem Mobiltelefon bloß im Rahmen der Bekämpfung schwerer Kriminalität zuzulassen, könnte die Gefahr der Straflosigkeit von Straftaten bewirken und wäre dem der DSGVO immanenten Ziel der Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts in der Union abträglich.
  
  Bei der Verhältnismäßigkeitsprüfung ist zu beachten, dass jede Einschränkung der Ausübung eines Grundrechts gesetzlich vorgesehen sein muss. Dabei hat die Rechtsgrundlage die Tragweite des Grundrechtseingriffs hinreichend klar und präzise zu definieren. Um diesem Erfordernis zu genügen, muss der nationale Gesetzgeber die zu berücksichtigenden Gesichtspunkte, insb die Art oder die Kategorie der betreffenden Straftaten, konkretisieren.
  
  Daraus folgt, dass eine nationale Regelung, die Behörden den Zugriff zu sämtlichen auf einem Mobiltelefon gespeicherten Daten ermöglicht, dann unionrechtskonform ist, wenn diese Regelung die Art oder die Kategorie der betreffenden Straftaten hinreichend präzise definiert, die Wahrung des Grundsatzes der Verhältnismäßigkeit gewährleistet und der behördliche Zugriff – außer in hinreichend begründeten Einzelfällen – an eine vorherige Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle geknüpft ist.
  
  Ein Betroffener ist über den Datenzugriff zu informieren, sobald die Übermittlung dieser Information die Aufklärung einer Straftat nicht (mehr) beeinträchtigen kann.

VwGH 03.09.2024, Ro 2022/04/0031

Schule, Art 6 Abs 1 lit e DSGVO, Interessenabwägung

• Ein Lehrer einer Berufsschule fühlte sich durch die Veröffentlichung seiner personenbezogenen Daten auf der Schulwebsite in seinem Recht auf Geheimhaltung verletzt. Auf der Website sind der Vor- und Nachname, der akademische Grad und die dienstliche E-Mail-Adresse des Lehrers angegeben, um den Kontakt zwischen Lehrpersonal, Schülern und Erziehungsberechtigten zu erleichtern. Der Lehrer sah darin einen Verstoß gegen Art 5 und Art 6 DSGVO.
  
  Die DSB wies die Datenschutzbeschwerde des Lehrers ab, weil die Veröffentlichung der personenbezogenen Daten des Lehrers auf Art 6 Abs 1 lit e DSGVO gestützt werden konnte. Die Bescheidbeschwerde des Lehrers an das BVwG und seine anschließende Revision an den VwGH wurden jeweils abgewiesen.
  
  Der VwGH hat erwogen: Nach Art 6 Abs 1 lit e DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist. Der Zweck der Verarbeitung muss dabei nicht ausdrücklich in einer Rechtsgrundlage festgelegt sein. Daher ist es unerheblich, dass § 56 SchUG keine konkrete Datenverarbeitung normiert. Entscheidend ist, ob die in § 56 SchUG beschriebenen Aufgaben im öffentlichen Interesse liegen und ob die gegenständliche Datenverarbeitung einer dieser Aufgaben dient.
  
  Gemäß § 56 Abs 2 SchUG obliegt dem Schulleiter die Leitung der Schule sowie die Pflege der Verbindung zwischen Schule, Schülern und ihren Erziehungsberechtigten. Diese Aufgaben zielen auf die schulische Qualitätsentwicklung ab und verfolgen letztlich das Ziel, den größtmöglichen Kompetenzerwerb der Schüler zu fördern. Folglich liegen diese Aufgaben im öffentlichen Interesse.
  
  Weiters ermöglichen alternative Kommunikationswege, etwa über das Schulsekretariat oder geschützte Bereiche auf Online-Plattformen, nicht den gleichen Grad an direkter und rascher Kommunikation, wie die Veröffentlichung der E-Mail-Adressen. Darüber hinaus kann bei der Beurteilung der Rechtmäßigkeit der Datenverarbeitung darauf Bedacht genommen werden, dass die dienstliche E-Mail-Adresse nicht den Kernbereich der geschützten Privatsphäre, sondern die Sozialsphäre betrifft, die sich etwa durch die Interaktion mit Außenstehenden auszeichnet. Des Weiteren ist auch die Sensibilität der Daten und die Schwere des Eingriffs zu berücksichtigen.

VwGH 03.09.2024, Ra 2023/04/0042

AMS, Speicherbegrenzung, Rechtsansprüche

• Ein Kunde des Arbeitsmarktservice (AMS) erhob bei der DSB eine Datenschutzbeschwerde, weil beim Erstellen eines eAMS-Kontos im Jahr 2019 seine Daten aus einem Geschäftsfall von 1992-1994 vorausgefüllt gewesen seien. Die DSB wies die Datenschutzbeschwerde ab und führte aus, dass die Verarbeitung der Daten des Kunden zur Erfüllung der Aufgaben des AMS erforderlich war. Das BVwG gab der daraufhin vom Kunden erhobenen Bescheidbeschwerde teilweise statt. Es stellte fest, dass das AMS den Mitbeteiligten in seinem Recht auf Geheimhaltung verletzt habe, indem es die Daten von 1992-1994 ohne Rechtsgrundlage weiterverarbeitet habe. § 25 Abs 9 Arbeitsmarktservicegesetz (AMSG) sehe nämlich eine eindeutige Frist von sieben Jahren für die Aufbewahrung der in § 25 Abs 1 AMSG genannten Daten vor. Das AMS erhob daraufhin eine (erfolglose) Revision an den VwGH und brachte vor, § 25 Abs 9 AMSG würde Art 6 DSGVO einschränken, weil eine zeitliche Beschränkung vorgesehen wird, welche die DSGVO nicht kenne. Außerdem würde die Bestimmung die Ansprüche der Arbeitssuchenden beeinträchtigen, weil sich Ansprüche nicht bloß auf die letzten sieben Jahre beziehen würden.
  
  Der VwGH hat erwogen: Gemäß Art 6 Abs 1 lit e DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Die Regelung des § 25 AMSG verfolgt das im öffentlichen Interesse liegende Ziel, dem AMS zur Erfüllung seiner gesetzlichen Aufgaben die Aufbewahrung der Daten zu ermöglichen. Die DSGVO erlaubt den Mitgliedstaaten, spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften zu erlassen. Die DSGVO geht somit davon aus, dass Zweckbegrenzungen oder Speicherfristen durch nationale Bestimmungen vorgesehen werden dürfen. § 25 Abs 9 AMSG legt eine Frist von sieben Jahren für die Aufbewahrung der Daten fest. Diese Frist steht im Einklang mit den Bestimmungen der DSGVO. Zudem normiert der Grundsatz der Speicherbegrenzung gemäß Art 5 Abs 1 lit e DSGVO eine zeitliche Begrenzung für die Verarbeitung personenbezogener Daten.
  
  In § 25 Abs 9 zweiter Satz AMSG ist ein Ausnahmetatbestand von der siebenjährigen Frist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vorgesehen. Das BVwG geht davon aus, dass das AMS keine ihm zukommenden Rechtsansprüche aufgezeigt habe. Das AMS bringt vor, dadurch wären die Ansprüche der Arbeitssuchenden gefährdet. Unter dem Begriff "Verteidigung von Rechtsansprüchen" sind auch Fälle zu subsumieren, in denen der Verantwortliche Rechtsansprüche eines Dritten abwehrt oder bestreitet. Jedoch handelt es sich bei § 25 Abs 9 zweiter Satz um eine Ausnahme von der im ersten Satz AMSG vorgesehenen Aufbewahrungsfrist. Das AMS wird somit nicht ermächtigt, die Daten generell länger als sieben Jahre aufzubewahren. Das Vorbringen des AMS, dass die jährlichen Zahlen an Fällen zeigen, dass die Ansprüche der Arbeitssuchenden auf Leistungen nicht auf sieben Jahre befristet wären, ist nicht ausreichend. Das AMS hat keine konkrete Erforderlichkeit der längeren Speicherung der Daten des spezifischen Kunden aufgezeigt.

• Die ungenaue oder unrichtige Bezeichnung des Verantwortlichen ist der Unzumutbarkeit seiner Namhaftmachung gleichzuhalten. Ein Mängelbehebungsauftrag ist dem Beschwerdeführer nicht aufzutragen, weil das die Zumutbarkeit der Benennung des Beschwerdegegners voraussetzen würde. Die DSB darf in solchen Fällen den Beschwerdegegner selbst ermitteln und gegen ihn das Verfahren führen. Daraus ergibt sich aber nicht, dass der ermittelte Beschwerdegegner tatsächlich der Verantwortliche ist (VwGH 03.09.2024, Ra 2023/04/0092; Ra 2023/04/0107 ua).
• Ein Aussetzungsbescheid der DSB, mit dem das Verfahren "bis zur Feststellung der federführenden Aufsichtsbehörde und bis zur Entscheidung der federführenden Aufsichtsbehörde bzw des Europäischen Datenschutzausschusses" ausgesetzt wird, ist mangels einfachgesetzlicher Rechtsgrundlage rechtswidrig (VwGH 06.09.2024, Ro 2023/04/0006).

• Einer Bank kann keine Sorgfaltswidrigkeit zur Last gelegt werden, wenn trotz erfolgter starker Kundenauthentifizierung und erstmaliger Blockierung einer verdächtigen Überweisung durch das Transaktionsüberwachungssystem der Bank, der Kunde aufgrund falscher Vorstellungen die Überweisung dennoch (gestückelt in kleinere Beträge) freigibt (OGH 28.08.2024, 7Ob95/24g).

• Die Zurückziehung der Datenschutzbeschwerde während des anhängigen Beschwerdeverfahrens bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Bescheids und damit nachträglich die Rechtswidrigkeit des Bescheids. Das BVwG hat in einem solchen Fall den erstinstanzlichen Bescheid ersatzlos zu beheben (BVwG 09.2024, W292 2247490-1; 16.09.2024, W287 2248646-1).
• Wird eine Bescheidbeschwerde vor Entscheidung des BVwG zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 26.07.2024, W256 2247956-1; W256 2249414-1).

• Eine Behörde darf durch den behördlich zugelassenen Zustelldienst "Bundesrechenzentrum GmbH" ("MeinPostkorb") eine Strafverfügung zustellen. Entscheidet sich die Behörde jedoch für eine Zustellung ohne Zustellnachweis durch ein Zustellsystem gemäß § 36 ZustG und wird ein Zustellmangel behauptet, liegt es an der Behörde, einer solchen Behauptung entgegenzutreten. Gelingt der Behörde der Nachweis über den Zustellzeitpunkt nicht, ist von einem Zustellmangel auszugehen, der gemäß § 7 ZustG geheilt werden kann (LVwG Steiermark 12.04.2024, 30.5-736/2024).

• Am 17.10.2024 wird das Urteil in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

EuGH 26.09.2024, C-768/21, Land Hessen

Aufsichtsbehörde, Aufsichtsbefugnisse, Ermessen, subjektives Recht, Geldbuße

• Eine Bankmitarbeiterin griff mehrmals unbefugt auf die Daten eines ihrer Kunden zu. Die Bank meldete die Datenschutzverletzung gemäß Art 33 DSGVO der zuständigen Aufsichtsbehörde. Den Bankkunden verständigte die Bank nicht. Nachdem der Bankkunde beiläufig erfuhr, dass die Bankmitarbeiterin mehrfach unrechtmäßig auf seine Daten zugegriffen hatte, beschwerte er sich bei der zuständigen Aufsichtsbehörde, weil er keine Benachrichtigung gemäß Art 34 DSGVO erhielt.
  
  Die Bankmitarbeiterin gab die Daten des Bankkunden an keinen Dritten weiter und verwendete die Daten nicht zum Nachteil des Bankkunden. Zudem ergriff die Bank Disziplinarmaßnahmen gegen die Bankmitarbeiterin. Die Aufsichtsbehörde verneinte daher eine Verletzung der Benachrichtigungspflicht, weil kein hohes Risiko für den Kunden ersichtlich war. Den Bescheid der Aufsichtsbehörde bekämpfte der Bankkunde vor dem zuständigen Verwaltungsgericht. Das Gericht fragte den EuGH, ob die Aufsichtsbehörde, wenn sie eine Verletzung von Betroffenenrechten feststellt, stets verpflichtet ist, gemäß Art 58 Abs 2 DSGVO einzuschreiten und Abhilfemaßnahmen zu ergreifen.
  
  Der EuGH hat erwogen: Jede Aufsichtsbehörde ist verpflichtet, sich in ihrem Hoheitsgebiet mit Beschwerden in aller gebotenen Sorgfalt zu befassen. Zur Bearbeitung von Beschwerden verfügen Aufsichtsbehörden gemäß Art 58 Abs 1 DSGVO über weitreichende Untersuchungsbefugnisse. Bei der Feststellung eines Verstoßes gegen die DSGVO ist eine Aufsichtsbehörde verpflichtet, in geeigneter Weise zu reagieren, um die festgestellte Unzulänglichkeit zu beheben. Die gesetzten Maßnahmen sollen dabei geeignet, erforderlich, verhältnismäßig und den Umständen des Einzelfalls angemessen sein.
  
  Aufsichtsbehörden haben bei der Wahl der Abhilfemaßnahmen ein Ermessen. Dieses Ermessen ist durch das Erfordernis begrenzt, durch einen klar durchsetzbaren Rechtsrahmen ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten. Geldbußen können nach Art 58 Abs 2 lit i DSGVO zusätzlich oder anstelle von Maßnahmen verhängt werden, wobei Art, Schwere und Dauer des Verstoßes gebührend zu berücksichtigen sind.
  
  Die Aufsichtsbehörde ist zum Einschreiten verpflichtet, wenn das Einschreiten unter Berücksichtigung des konkreten Falls geeignet, erforderlich und verhältnismäßig ist, um einer festgestellten Unzulänglichkeit abzuhelfen.
  
  Weder nach Art 58 Abs 2 DSGVO noch nach Art 83 DSGVO ist eine Aufsichtsbehörde jedoch verpflichtet, im Fall einer festgestellten Verletzung des Schutzes personenbezogener Daten stets eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen. Die Aufsichtsbehörde hat nur die Verpflichtung, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Der Betroffene hat kein subjektives Recht, dass die Aufsichtsbehörde gegen den für die Verarbeitung Verantwortlichen eine Geldbuße verhängt.
  
  Dauert eine Datenschutzverletzung nicht mehr an und wurden schon geeignete technische und organisatorische Maßnahmen getroffen, um diese abzustellen, kann ausnahmsweise vom Ergreifen von Abhilfemaßnahmen, insbesondere von der Verhängung einer Geldbuße, abgesehen werden.
  
  Das Ergreifen einer Abhilfemaßnahme kann ausnahmsweise und unter Berücksichtigung der besonderen Umstände des konkreten Falles nicht geboten sein, wenn (i) der Situation, die einen Verstoß gegen die DSGVO begründete, bereits abgeholfen wurde, (ii) die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO durch den hierfür Verantwortlichen gewährleistet ist und (iii) das Nichteinschreiten der Aufsichtsbehörde nicht geeignet ist, das Erfordernis eines klar durchsetzbaren Rechtsrahmens zum Schutz personenbezogener Daten zu beeinträchtigen.

OGH 27.08.2024, 6Ob233/23t

Erstkopie, Krankengeschichte, Beschränkung von Betroffenenrechten, Verhältnismäßigkeit

• Ein Patient wurde infolge eines Arbeitsunfalls in ein Spital der Stadt Wien eingeliefert. Nach Empfang seines Patientenbriefs ersuchte der Anwalt des Patienten beim Spital, gestützt auf die DSGVO, um eine kostenlose Übermittlung einer Kopie der gesamten Krankengeschichte. Nachdem das Spital dem Ersuchen nicht nachkam, erhob der Patient Klage gegen die Stadt Wien und forderte die Herausgabe einer kostenlosen Kopie seines Patientenakts. Die Stadt Wien wendete ein, dass der Patient gemäß § 17 Abs 4 und § 17a Abs 2 lit g Wiener Krankenanstaltengesetz (WrKAG) nur das Recht auf Einsicht, nicht aber auf die kostenlose Herstellung einer Kopie hätte. Dies diene vor allem dazu, unnötige Anfragen zu verhindern und somit die Verwaltungskosten niedrig zu halten. Nachdem das Erstgericht der Klage stattgab, änderte das Berufungsgericht das Urteil im klagsabweisenden Sinn ab. Der OGH gab der Revision des Klägers Folge, hob die Urteile der Vorinstanzen auf und verwies die Rechtssache zur neuerlichen Entscheidung an das Erstgericht zurück. Es müsse beurteilt werden, ob Art 15 Abs 3 DSGVO durch § 17 Abs 2 lit g WrKAG zulässiger Weise eingeschränkt wird oder als der DSGVO entgegenstehendes nationales Recht unangewendet zu bleiben hat. Zudem sei eine Interessenabwägung durchzuführen.
  
  Nach erneuter Verhandlung gab das Erstgericht der Klage des Patienten statt. Die Berufung durch die Stadt Wien führte erneut zur Klageabweisung durch das Berufungsgericht. Der Patient wandte sich mit einer durch das Berufungsgericht zugelassenen (erfolgreichen) Revision abermals an den OGH.
  
  Der OGH hat erwogen: Der EuGH hat bereits in seinem Urteil vom 26.10.2023, C-307/22, FT, ausgesprochen, dass Art 15 Abs 3 iVm Art 12 Abs 5 DSGVO das Recht auf eine kostenlose Erstkopie der Krankengeschichte gewährt. Dieses Recht gilt unabhängig vom Zweck des Auskunftsersuchens, auch wenn es zur Geltendmachung von Schadenersatzansprüchen dient. Dieses Recht kann in Fällen des Rechtsmissbrauchs, in denen die Anträge offenkundig unbegründet oder exzessiv sind, eingeschränkt werden. Nach Art 15 Abs 3 DSGVO kann der Verantwortliche ein angemessenes Entgelt verlangen, wenn bereits eine kostenlose Kopie erstellt wurde. Der Patient hat jedoch weder rechtsmissbräuchlich gehandelt noch hat er zuvor eine kostenlose Kopie seiner Krankengeschichte erhalten.
  
  Art 23 Abs 1 DSGVO erlaubt Beschränkungen der Betroffenenrechte gemäß Art 12 und 15 DSGVO zum Schutz wichtiger Ziele des allgemeinen öffentlichen Interesses, worunter auch der Schutz wichtiger wirtschaftlicher und finanzieller Interessen im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit fällt. § 17a Abs 2 lit g WrKAG zielt darauf ab, die wirtschaftliche Belastung von Krankenanstalten zu verringern und liegt im wirtschaftlichen Interesse der öffentlichen Krankenanstalten. Diese Regelung normiert eine Beschränkung des Rechts auf eine kostenlose Erstkopie. Diese Beschränkung muss jedoch verhältnismäßig sein und es muss eine Interessenabwägung vorgenommen werden.
  
  Die Leitlinien der EDSA besagen, dass die Kosten der Auskunftserteilung und die finanzielle Belastung öffentlicher Haushalte kein ausreichendes öffentliches Interesse an der Einschränkung der Betroffenenrechte sind. Die Kosten für die Erstellung und Ausfolgung von Kopien der Krankengeschichten sind im Verhältnis zu den gesamten Verwaltungskosten gering. Das Interesse des Patienten, eine kostenlose Erstkopie seiner Krankengeschichte zu erhalten, überwiegt das finanzielle Interesse der Stadt Wien. Patienten haben ein anerkanntes Recht, ihre Behandlungsunterlagen selbst zu besitzen, um beispielsweise weitere fachliche Meinungen einzuholen oder Ansprüche gegen Dritte prüfen zu können. Dem Argument der Stadt Wien, wonach der Kostenbeitrag einer Steigerung der Anfragen und damit einer Erhöhung des Aufwands entgegenwirken soll, kommt kein Wert zu.
  
  Die Kostenersatzpflicht nach § 17a Abs 2 lit g WrKAG ist somit unverhältnismäßig und unzulässig und hat als der DSGVO entgegenstehendes nationales Recht unangewendet zu bleiben. Der Patient hat ein Recht auf eine kostenlose Erstkopie der Krankengeschichte. Das klagestattgebende Urteil des Erstgerichts wird wiederhergestellt.

• Der Kläger begehrt die Unterlassung der erneuten unrechtmäßigen Offenlegung seiner personenbezogenen Daten, nicht aber die Löschung seiner Daten. Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig, die für die Beantwortung der Frage, ob und wann sich ein Unterlassungsanspruch aus der DSGVO ergibt, präjudiziell sind. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das Revisionsverfahren zu unterbrechen (OGH 27.08.2024, 6Ob37/24w).

• Wird von einem Verantwortlichen das Datum "Geschlecht" in seinen IT-Systemen nicht (mehr) verarbeitet, ist es dem Verantwortlichen faktisch unmöglich, das Geschlecht des Antragstellers auf "divers" zu berichtigen. Ist die Verarbeitung des Datums "Geschlecht" auch nicht vorgesehen, ist auch von keinen unvollständigen personenbezogenen Daten iSd Art 16 letzter Satz DSGVO auszugehen. Die Feststellung einer allfälligen vergangenen Rechtsverletzung gemäß Art 16 DSGVO kommt nicht in Betracht, weil weder das DSG noch die DSGVO in Bezug auf das Recht auf Berichtigung die Feststellung vergangener Rechtsverletzungen vorsehen (BVwG 21.08.2024, W108 2283759-1).

• Das Recht auf Berichtigung einer Eintragung im Zentralen Personenstandsregister (ZPR) ist ein höchstpersönliches Recht des Betroffenen. Nach dem Tod des Berechtigten findet keine Rechtsnachfolge statt, weshalb die Fortsetzung des Verfahrens über dieses Recht durch die Verlassenschaft oder die Erben nicht in Betracht kommt. Parteistellung kommt bei der Aufnahme von Daten ins ZPR nur der Person zu, deren Personenstandsfall im ZPR verdatet (sic) wird. Eine Tochter hat keinen Rechtsanspruch auf die Eintragung und daher auch nicht auf die Berichtigung eines fehlerhaft eingetragenen akademischen Grads ihres Vaters bei der Verdatung (sic) ihres Personenstandsfalls "Geburt". Der Tochter kommt aber ein Recht zu, eine zu Unrecht erfolgte Eintragung eines akademischen Grades eines Elternteils beseitigen zu lassen. Da der akademische Grad des Vaters ohne Rechtsgrundlage und daher zu Unrecht in den Personenstandsfall "Geburt" der Tochter eingetragen wurde, war die Eintragung zu entfernen (LVwG Wien 06.08.2024, VGW-101/042/2543/2024).

DSB 28.03.2024, 2024-0.215.259

Zuständigkeit, Mandatsbescheid, Untersuchungsausschuss, COFAG

• Abgeordnete des Nationalrats verlangten vom Bundesminister für Finanzen ("Finanzminister") die Vorlage des Steueraktes und von der Bundesministerin für Justiz ("Justizministerin") die Vorlage des WKStA-Ermittlungsaktes eines Beschuldigten an den COFAG-Untersuchungsausschuss. Der Beschuldigte brachte eine Datenschutzbeschwerde bei der DSB ein und beantragte die Erlassung eines Mandatsbescheids. Konkret begehrte er die Untersagung jeder weiteren Übermittlung bzw Verarbeitung der Daten in seinem Steuer- und Ermittlungsakt durch den Finanzminister, die Justizministerin und den COFAG-Untersuchungssauschuss.
  
  Der Beschuldigte brachte ua vor, es sei gängige Praxis, dass sämtliche Unterlagen und Daten, die Untersuchungsausschüssen übermittelt werden, veröffentlicht würden, oft durch "Leaks" an Medien. Aufgrund der aktuellen Wahlkämpfe sei damit zu rechnen, dass seine personenbezogenen Daten einer breiten Öffentlichkeit zugänglich gemacht würden.
  
  Die DSB hat erwogen: Die DSB ist zur Kontrolle parlamentarischer Untersuchungsausschüsse berufen, weshalb der Antrag auf Erlassung eines Mandatsbescheids in Bezug auf den COFAG-Untersuchungsausschuss zulässig ist.
  
  Die Erlassung eines Mandatsbescheids erfordert eine materielle Rechtswidrigkeit der Datenverarbeitung. Ein begründeter Verdacht reicht aus, wenn tatsächliche Anhaltspunkte vorliegen, dass eine Datenschutzverletzung vorliegt und dies nachvollziehbar dargelegt wird. Zudem ist erforderlich, dass aufgrund dieser Datenverarbeitung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen besteht.
  
  Auch wenn personenbezogene Daten des Beschuldigten an Medien übermittelt und offengelegt würden, ist nicht erkennbar, wie diese Gefahrensituation unmittelbar aufgrund der Datenverarbeitung durch den Finanzminister oder die Justizministerin gegeben wäre. Die vermeintliche Gefährdung von Interessen des Beschuldigten wird in der Tätigkeit von Mitgliedern des Untersuchungsausschusses gesehen und nicht in der Datenverarbeitung durch den Finanzminister oder die Justizministerin und liegt daher außerhalb deren Sphären.
  
  Die Weitergabe von Akten an Medien oder Dritte durch Mitglieder des Untersuchungsausschusses ist gesetzlich nicht vorgesehen. Die datenschutzrechtliche Verantwortlichkeit solcher Handlungen trifft somit nicht den COFAG-Untersuchungsausschuss, sondern vielmehr das einzelne Mitglied des Untersuchungsausschusses. Derartige Datenverarbeitungen fallen daher auch nicht in die Sphäre des COFAG-Untersuchungsausschusses. Anm: Ab dem 01.01.2025 übergeht die Kompetenz zur Überprüfung der Datenverarbeitungstätigkeiten parlamentarischer Untersuchungsausschüsse des Bundes auf das neu eingerichtete Parlamentarische Datenschutzkomitee (vgl §§ 35a ff DSG). Die fünf künftigen Mitglieder des Parlamentarischen Datenschutzkomitees wurden am 18.09.2024 benannt und vom Nationalrat gewählt (Hauptausschussbericht 2712 BlgNR 27. GP).

• Am 04.10.2024 wird das Urteil in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Der EuGH wird Fragen des OGH zu verhaltensorientierter Online-Werbung beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-21/23, Lindenapotheke, veröffentlicht. Der EuGH wird Fragen zur Klagebefugnis von Mitbewerbern und zu Gesundheitsdaten beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors vom 05.06.2024 nachgelesen werden.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-621/22, Koninklijke Nederlandse Lawn Tennisbond, veröffentlicht. Der EuGH wird den Begriff "berechtigte Interessen" auslegen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-548/21, Bezirkshauptmannschaft Landeck, veröffentlicht. Das LVwG Tirol befragt den EuGH zur Zulässigkeit des Auswertens von auf Mobiltelefonen gespeicherten Daten durch öffentliche Stellen nach § 18 iVm § 99 StPO.
  
  
• Am 17.10.2024 wird das Urteil in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

OGH 26.08.2024, 502Präs26/24d

Amtshaftung, feste Geschäftsverteilung, negativer Kompetenzkonflikt

• Der Leiter einer Volksschule reichte im Rahmen der gesetzlich vorgesehenen Fortbildungsverpflichtung einen Antrag auf Zulassung eines Fortbildungsprogramms bei einer pädagogischen Hochschule ein. Der Antrag wurde bewilligt und der Volksschulleiter wurde als "Prozessbegleiter" für das Programm zugeteilt. Ein Lehrer ersuchte um Zuteilung eines anderen "Prozessbegleiters" und verlangte Auskunft über die vom Volksschulleiter über ihn verarbeiteten Daten. Insb wollte der Lehrer erfahren, von wem der Volksschulleiter die Auskunft erhielt, dass der Lehrer "im Bildungsbereich kein unbeschriebenes Blatt" sei und "das öffentliche Bildungswesen infrage" stelle. Die Vorinstanzen wiesen die Klage des Lehrers auf Auskunft und Schadenersatz
  
  Beim OGH wurde das Verfahren dem 6. Senat als für die Fachsache "Datenschutz" zuständigem Senat zugewiesen. Der Vorsitzende des 6. Senats bot das Verfahren dem 1. Senat zur Übernahme an, weil das Verfahren die Frage der Amtshaftung betreffe. Der Vorsitzende des 1. Senats lehnte die Übernahme des Verfahrens ab und regte wegen eines negativen Kompetenzkonflikts die Vorlage des Akts an den Personalsenat an. Der Vorsitzende des 6. Senats beantragte, dass der Personalsenat die Zuständigkeit des 1. Senats ausspreche. Der Personalsenat beschloss jedoch, dass das Verfahren in die Zuständigkeit des 6. Senats fällt.
  
  Der Personalsenat des OGH hat erwogen: Die Vorinstanzen haben ein auf das Datenschutzrecht gestütztes Klagebegehren abgewiesen, sodass nach der Geschäftsverteilung Fachzuständigkeit des 6. Senats besteht. Die Zulässigkeit des Rechtswegs ist eine Prozessvoraussetzung, die beim OGH von dem in der Hauptsache zuständigen Senat zu prüfen ist. Die Geschäftsverteilung weist dem 1. Senat Fragen der Amtshaftung zu, jedoch nicht schlechthin Klagen gegen Rechtsträger im Zusammenhang mit Aufgaben der Hoheitsverwaltung. Zudem war nicht über allgemeine Fragen des Amtshaftungsrechts, sondern darüber zu entscheiden, ob das Amtshaftungsrecht vom europäischen Datenschutzrecht überlagert wird. Darüber sollte der für das Datenschutzrecht als speziellere Materie zuständige Senat entscheiden, dies umso mehr, wenn der Schadenersatzanspruch mit einem datenschutzrechtlichen Auskunftsanspruch verbunden ist. Anm: Gemäß § 4 Bildungsdokumentationsgesetz 2020 sind Schulleiter datenschutzrechtliche Verantwortliche. Weshalb einem Schulleiter als "Prozessbegleiter" eines Fortbildungsprogramms, das an einer pädagogischen Hochschule durchgeführt wird, die Verantwortlichenrolle zukommt, geht aus dem im Urteil knapp dargestellten Sachverhalt jedoch nicht hervor.

• Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das gegenständliche Revisionsverfahren zu unterbrechen (OGH 27.08.2024, 6Ob217/23i und 6Ob159/23k).

BVwG 21.08.2024, W258 2246325-1

Anwendungsbereich, Unzuständigkeit, Schule, COVID

• Während der COVID-19-Pandemie hatten zwei Schülerinnen an zwei verschiedenen Schulen im Klassenverband unter der Kontrolle ihrer jeweiligen Lehrer Selbsttests durchzuführen, um am Präsenzunterricht teilnehmen zu dürfen. Die Testmaterialien wurden unmittelbar nach der Durchführung entsorgt. Negative und nicht eindeutige Ergebnisse wurden nicht erfasst. Die rechtliche Grundlage der Tests war eine Verordnung des zuständigen Bundesministers, die auf die Verordnungsermächtigung des § 44 Schulunterrichtsgesetz (SchUG) gestützt war.
  
  Die Schülerinnen führten die Tests in der vorgesehenen Form durch und erzielten dabei keine positiven Ergebnisse. Dennoch erachteten sie sich in ihrem Recht auf Geheimhaltung ua deshalb verletzt, weil § 44 SchUG keine taugliche Gesetzesgrundlage für die herangezogene Verordnung sei. Die DSB wies die Datenschutzbeschwerde der Schülerinnen ab. Die dagegen erhobene Bescheidbeschwerde der Schülerinnen wurde vom BVwG ebenso abgewiesen. Das BVwG änderte den Spruch des angefochtenen Bescheids zudem dahingehend ab, dass die Datenschutzbeschwerde wegen Unzuständigkeit der DSB zurückgewiesen wird.
  
  Das BVwG hat erwogen: Gemäß Art 2 Abs 1 DSGVO ist die DSGVO nur auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie auf die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, anwendbar. Die Testergebnisse wurden nicht auf Papier oder elektronisch festgehalten, es erfolgte keine automatisierte Verarbeitung oder Speicherung in einem Dateisystem. Der sachliche Anwendungsbereich der DSGVO war daher nicht eröffnet.
  
  Das Grundrecht auf Datenschutz iSd § 1 Abs 1 DSG ist von den technisch-organisatorischen Bedingungen der Verarbeitung unabhängig und ist damit anwendbar. Ein eigenständiges Beschwerderecht besteht jedoch nicht, weil § 4 Abs 1 DSG den Anwendungsbereich der einfachgesetzlichen Bestimmungen des DSG (einschließlich des Beschwerderechts) – wie in der DSGVO – beschränkt. Somit besteht ein materiellrechtlicher Anspruch, der aber mangels eigenständigem Beschwerderecht vor der DSB nicht durchgesetzt werden kann.
  
  Eine Rechtsschutzlücke entsteht hierdurch nicht. Die behauptete Verletzung des § 1 DSG hätte durch Einbringen eines Feststellungsantrags bei der datenverarbeitenden Behörde geltend gemacht werden können. Die behauptete Gesetzeswidrigkeit der Verordnung hätte durch Individualantrag gemäß Art 139 Abs 1 B-VG (Verordnungsprüfungskompetenz des VfGH) an den VfGH aufgegriffen werden können. Die Bedenken der DSB, wonach – sofern man die Zuständigkeit der DSB verneine – die mündliche Offenlegung personenbezogener Daten nicht mehr geschützt wäre, treffen somit nicht zu.

BVwG 27.08.2024, W298 2291640-1

Medien, Amtsverschwiegenheit

• Ein Journalist begehrte vom Bundesminister für europäische und internationale Angelegenheiten ("Außenminister") nach dem Auskunftspflichtgesetz die Beantwortung mehrerer Fragen zur Beglaubigung der eidesstattlichen Erklärungen zweier Zeugen, die in einem Strafprozess vorgelegt wurden. Ua aufgrund datenschutzrechtlicher Bedenken verweigerte der Außenminister die Auskunft mit einem Auskunftsverweigerungsbescheid. Dagegen erhob der Journalist (erfolglose) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Die im Auskunftspflichtgesetz geregelte Auskunftspflicht von Bundesorganen umfasst die Pflicht zur Information über die Tätigkeit der Behörde, nicht aber eine Verpflichtung zur Begründung behördlichen Handelns oder Unterlassens. Das Auskunftspflichtgesetz soll der Partei nur Informationen über bereits vorhandenes Wissen der Behörde, nicht aber eine vorzunehmende Bewertung zugänglich machen. Die Auskunftspflicht beinhaltet auch nicht die Verpflichtung, Akteneinsicht zu gewähren, sondern Informationen über einen Akteninhalt oder ein Wissen der Behörde zu geben. Diese müssen nicht die Detailliertheit aufweisen, die bei Akteneinsicht zu gewähren wäre.
  
  Gegenstand der Anfrage bilden personenbezogene Daten. Die entsprechenden Informationen sind beim Außenminister vorhanden. Durch das Entsprechen des Auskunftsbegehrens wäre jedoch eine unrechtmäßige Beeinträchtigung der Rechte Dritter zu befürchten.
  
  Zur Beurteilung der Frage, ob ein subjektiver Auskunftsanspruch gegenüber dem Rechtsträger besteht, ist der Zweck des Auskunftsersuchens relevant. Dem Journalisten kommt als public watchdog eine besondere Verantwortung zu. Sein journalistisches Interesse besteht gerade darin, zu erfahren, wie die Zeugen ihre Erklärungen abgegeben haben bzw wie sie sich bei der Behörde, dh dem Außenminister, verhalten haben und wie die Amtshandlung zustande gekommen ist. Die eidesstattlichen Erklärungen dienen auch als zitierfähige Quelle für die journalistische Arbeit und haben daher einen Mehrwert gegenüber einer öffentlich verfügbaren Quelle.
  
  Allerdings betreffen die Fragen des Journalisten zweifelsfrei Informationen über die Zeugen. Da dem Journalisten die Identität der Zeugen bekannt ist, kommt keine anonymisierte Auskunft in Frage. Die Beantwortung der Fragen des Journalisten würde sohin eine unrechtmäßige Beeinträchtigung der Rechte Dritter ergeben, weil die den Gegenstand der Anfrage bildenden Daten schutzwürdige personenbezogene Daten von Zeugen sind. Der Umstand, dass die Daten teilweise von einem anderen datenschutzrechtlichen Verantwortlichen zwischenzeitlich auf eine Weise verwendet wurden, die den Inhalt einer breiten Öffentlichkeit zugänglich gemacht hat, bedeutet nicht, dass der Außenminister von den ihn verpflichtenden Geheimhaltungspflichten entbunden ist.

BVwG 21.08.2024, W214 2254151-1

Heizkostenabrechnung, Zuständigkeit

• Die Eigentümer einer Wohnung ("Wohnungseigentümer") verwehrten der mit der jährlichen Ablesung von Verbrauchserfassungsgeräten beauftragten Liegenschaftsverwalterin den Zutritt zu ihrer Wohnung, sodass eine Erfassung (Ablesung) der Heiz-, Warmwasser- und Kaltwasserwerte unmöglich war. Daher erfolgte die Einzelabrechnung für diese Wohnung – teilweise – mittels Hochrechnung der Verbrauchswerte, welche die Liegenschaftsverwaltung an die Wohnungseigentümer übermittelte. Die Wohnungseigentümer waren der Ansicht, dass die Verbrauchswerte unrichtig hochgerechnet wurden. Die auf eine Verletzung im Recht auf Berichtigung gestützte Datenschutzbeschwerde wies die DSB ab. Hiergegen erhoben die Wohnungseigentümer (vergeblich) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Über Anträge zur Überprüfung der inhaltlichen Richtigkeit einer (Jahres-)Abrechnung entscheidet nach § 25 Abs 1 Z 2 HeizKG das für Zivilrechtssachen örtlich zuständige Bezirksgericht. Das HeizKG enthält sohin abschließende Bestimmungen zu einem eigenen Verfahren zur Richtigstellung der ermittelten Verbrauchsanteile, die der DSGVO als lex specialis derogieren. Die Wohnungseigentümer hätten die behauptete Unrichtigkeit der Einzelabrechnung vor dem zuständigen Bezirksgericht (bzw der vorgeschalteten Schlichtungsstelle) geltend zu machen gehabt.
  
  Abseits dessen war eine Schlichtungsstelle für wohnrechtliche Angelegenheiten mit der monierten Einzelabrechnung befasst und wies die Anträge der Wohnungseigentümer auf Richtigstellung der ermittelten Verbrauchsanteile ab.

• Wird einem Betroffenen, nachdem sich dieser über die Nichterteilung einer Auskunft iSd Art 15 DSGVO bei der DSB beschwerte, die begehrte Auskunft erteilt, wird die "Sache" des Verfahrens in ihrem Wesen geändert, wenn sich der Betroffene nicht mehr wegen der Nichterteilung, sondern wegen der mangelhaften Erteilung der Auskunft als beschwert erachtet. Die DSB darf daher von der Zurückziehung der ursprünglichen Datenschutzbeschwerde und der gleichzeitigen Einbringung einer neuen Datenschutzbeschwerde ausgehen (BVwG 21.08.2024, W214 2280448-1).
• Ein Verfahren kann bis zur rechtskräftigen Entscheidung einer Vorfrage, die als Hauptfrage von anderen Verwaltungsbehörden oder Gerichten zu entscheiden wäre, ausgesetzt werden, wenn die Vorfrage schon den Gegenstand eines beim für die Hauptfrage zuständigen Gericht anhängigen Verfahrens bildet. Eine Hauptfrage in diesem Sinn kann auch eine Vorlagefrage eines beim EuGH anhängigen Vorabentscheidungsverfahrens sein. Der VwGH ersuchte den EuGH um Vorabentscheidung, (i) ob eine Datenschutzbeschwerde als "Anfrage" iSd Art 57 Abs 4 DSGVO zu qualifizieren ist, (ii) welche Voraussetzungen für die Beurteilung der "Exzessivität" von Anfragen gelten und (iii) wie die DSB mit derartigen Anfragen umzugehen hat. Da diese Fragen auch im vorliegenden Verfahren präjudiziell sind, wird das Beschwerdeverfahren bis zur Entscheidung des EuGH ausgesetzt (BVwG 28.08.2024, W287 2297420-1).
  
  
• Wird die Bescheidbeschwerde gegen ein Straferkenntnis ausdrücklich zurückgezogen, ist das Verfahren mit Beschluss als gegenstandslos einzustellen. Dies bewirkt, dass das angefochtene Straferkenntnis in Rechtskraft erwächst (BVwG 29.08.2024, W101 2276072-1).

BFG 06.09.2024, AO/5100023/2024

Mutwillensstrafe, Akteinsicht

• Bei der Prüfung mehrerer Einkommenssteuerbescheide eines Steuerzahlers holte das BFG zur Prüfung dessen Gesundheitszustands gemäß § 158 BAO ein Sachverständigengutachten vom Sozialministeriumsservice Der Steuerzahler erachtete die Datenerhebung für unzulässig, weil sich § 158 BAO nur auf Abgabenbehörden beziehe. Der Steuerzahler stellte ein Auskunftsbegehren an den Präsidenten des BFG. Das BFG teilte dem Steuerzahler mit, dass seine Bescheidbeschwerde abgewiesen wurde und er die Rechtmäßigkeit einzelner Verfahrensschritte durch das Einbringen eines entsprechenden Rechtsmittels hätte überprüfen lassen können, worüber er auch belehrt wurde. Weiters wies das BFG darauf hin, dass für personenbezogene Daten, die in einem Akt enthalten sind, das datenschutzrechtliche Auskunftsrecht gemäß § 48f BAO ausgeschlossen ist, der Steuerzahler könne jedoch Akteneinsicht nehmen. Den Antrag auf Akteneinsicht könne der Steuerzahler bei der Außenstelle Linz des BFG einbringen. Der Steuerzahler richtete ein beinahe wortidentes Schreiben – wie zuvor an den Präsidenten des BFG – an den Leiter der Außenstelle Linz des BFG. Das BFG verhängte daraufhin eine Mutwillensstrafe über den Steuerzahler.
  
  Das BFG hat erwogen: Der Antragsteller erhielt bereits vom Präsidenten des BFG eine fundierte Antwort auf seine Anfrage. Nunmehr richtet der Steuerzahler ein nahezu wortidentes Anbringen an den Leiter der Außenstelle Linz des BFG.
  
  Das BFG kann eine Mutwillensstrafe gegen eine Person verhängen, die offenbar mutwillig die Tätigkeit des BFG in Anspruch nimmt. Nachdem eine nahezu wortidente Eingabe des Steuerzahlers durch das Präsidialbüro des BFG beantwortet wurde, wendet sich der Steuerzahler mit dem gleichen Anliegen an den Leiter der Außenstelle Linz des BFG. Ein solches Vorgehen ist eine bewusste nutzlose Behelligung gerichtlicher Organe, weil mit mehrfachen, nahezu wortidenten Anbringen kein sinnvolles und hinsichtlich des gegenständlichen Auskunftsbegehrens zweckmäßiges Verfahrensergebnis erreicht werden kann. Anm: Da der Präsident des BFG den Steuerzahler ausdrücklich an die Außenstelle Linz des BFG zur Akteneinsicht verwies, ist der Vorwurf der Mutwilligkeit nicht ganz nachvollziehbar, auch wenn der Steuerzahler sein Schreiben zweifellos hätte anpassen können.

DSB 05.09.2024, 2023-0.793.494

Grundbuch, Rollenverteilung, Gemeinsam Verantwortliche, justizielle Tätigkeit

• Der Betroffene brachte eine Datenschutzbeschwerde gegen (i) ein Medienhaus, (ii) die Bundesministerin für Justiz ("Justizministerin") und (iii) ein Bezirksgericht ein. Er fühlte sich in seinem Recht auf Geheimhaltung verletzt, weil das Medienhaus auf seiner Website im Namen der Justizministerin das Grundbuch veröffentlicht und neben dem Grundbuchsauszug auch persönliche Daten und Urkunden gegen Entgelt an beliebige Personen im Internet verkauft. Das Medienhaus wendete ein, von der Republik Österreich, vertreten durch die Justizministerin, zur Veröffentlichung beauftragt worden zu sein und lehnte die Löschung ab, weil es bloß als Auftragsverarbeiter tätig werde.
  
  Die Justizministerin bestritt ebenfalls ihre Verantwortlicheneigenschaft, weil sie bloß die technischen Ressourcen zur Verfügung stelle und ihr keine Entscheidungsbefugnis zukäme. Zudem sei die Datenverarbeitung im Grundbuch eine justizielle Tätigkeit, weshalb die DSB nicht zuständig sei.
  
  Auch das Bezirksgericht hielt in seiner Stellungnahme fest, dass die Bereitstellung von Urkunden in einer Urkundensammlung im Rahmen der justiziellen Tätigkeit nach Art 55 Abs 3 DSGVO erfolge und der DSB daher keine Überprüfungskompetenz zukomme.
  
  Die DSB hat erwogen: Verantwortlicher iSd Art 4 Z 7 DSGVO ist die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Wesentliches Kriterium ist hierbei die Entscheidungsbefugnis. Auftragsverarbeiter iSd Art 4 Z 8 DSGVO hingegen ist jene Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und dabei weisungsgebunden ist.
  
  Das Medienhaus gewährleistet nur den Zugang zur Grundstücksdatenbank über IT-Anwendungen aufgrund einer Vereinbarung mit der Republik Österreich. Es hat keine Entscheidungsgewalt über die Daten/Dokumente in der Grundstücksdatenbank und leitet die Inhalte unverändert weiter. Aufgrund der Weisungsgebundenheit und der mangelnden Entscheidungsgewalt ist es ein Auftragsverarbeiter. Die Datenschutzbeschwerde gegen das Medienhaus ist daher abzuweisen.
  
  Die Justizministerin ist gemäß § 1 Abs 1 Grundbuchsumstellungsgesetz (GUG) für die Umstellung des Grundbuchs auf automationsunterstützte Datenverarbeitung verantwortlich. Sie betreibt die Grundstücksdatenbank als Gemeinsam Verantwortliche. Sie hat jedoch keine Entscheidungsgewalt über die Aufnahme der Daten/Dokumente in die Grundstücks- bzw Urkundendatenbank. Diese Entscheidung trifft ausschließlich das örtlich zuständige Grundbuchsgericht. Die Justizministerin ist für diese Verarbeitungstätigkeiten keine Verantwortliche gemäß Art 4 Z 7 DSGVO. Die Datenschutzbeschwerde ist daher auch gegen die Justizministerin abzuweisen.
  
  Gemäß Art 55 Abs 3 DSGVO sind Aufsichtsbehörden nicht für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig. Die Grundbuchsnovelle 2024, mit der das GUG novelliert wurde, sieht vor, dass das Grundbuchsgericht über Anträge auf Beschränkung der Einsicht in Urkunden der Urkundensammlung entscheidet. Da es sich hierbei um eine justizielle Tätigkeit handelt, ist die DSB zur Behandlung der Datenschutzbeschwerde gegen das Bezirksgericht unzuständig, weshalb die Datenschutzbeschwerde gegen das Bezirksgericht zurückzuweisen ist. Anm: Mit der am 01.09.2024 in Kraft getretenen Grundbuchsnovelle 2024, BGBl I 2024/91, reagierte der Gesetzgeber auf das Urteil des EGMR vom 06.04.2021, 5434/17, Liebscher/Österreich, in dem Österreich vom EGMR wegen einer ohne Interessenabwägung erfolgten Veröffentlichung eines Scheidungsvergleichs in der Urkundensammlung des Grundbuchs verurteilt wurde (ErläutRV BlgNR27. GP 1; Fucik, Keine Grundbuchseinsicht in sensible Daten, ÖJZ 2024/109).

• Am 19.09.2024 hat Oberösterreich, LGBl 2024/77, die Genehmigung der Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart

• Am 26.09.2024 wurde das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH sprach über die Ausübung von Aufsichtsbefugnissen durch die Aufsichtsbehörden ab. Anm: Die Zusammenfassung der Schlussanträge kann in der 15. Ausgabe des Schönherr Datenschutzmonitors vom 17.04.2024 nachgelesen werden. Über das Urteil informieren wir Sie nächste Woche.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Der EuGH wird Fragen des OGH zu verhaltensorientierter Online-Werbung beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-21/23, Lindenapotheke, veröffentlicht. Der EuGH wird Fragen zur Klagebefugnis von Mitbewerbern und zu Gesundheitsdaten beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors vom 05.06.2024 nachgelesen werden.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-621/22, Koninklijke Nederlandse Lawn Tennisbond, veröffentlicht. Der EuGH wird den Begriff "berechtigte Interessen" auslegen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
  
  
• Am 04.10.2024 wird das Urteil in der Rs C-548/21, Bezirkshauptmannschaft Landeck, veröffentlicht. Das LVwG Tirol befragt den EuGH zur Zulässigkeit des Auswertens von auf Mobiltelefonen gespeicherten Daten durch öffentliche Stellen nach § 18 iVm § 99 StPO.
  
  
• Am 17.10.2024 wird das Urteil in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

EuGH 12.09.2024, C-17/22 ua, HTB Neunte Immobilien 

Gesellschaftsrecht, Rechtsgrundlagen, vertragliche Verpflichtung, berechtigte Interessen

• Mehre an einem als Publikumspersonengesellschaft organisierten Investmentfonds beteiligte Investmentgesellschaften verlangten von zwei treuhänderischen Beteiligungsgesellschaften Auskunft über Namen und Adressen aller ihrer mittelbar beteiligten Mitgesellschafter. Die Investmentgesellschaften verlangten diese Auskunft, um mit den anderen Gesellschaftern Kontakt aufnehmen und über den Abkauf ihrer Gesellschaftsanteile in Verhandlungen treten zu können. Die Beteiligungsgesellschaften lehnten die Auskunft ab, weil im Beteiligungsvertrag die Auskunftserteilung ausgeschlossen wurde. Das vorlegende Gericht fragte den EuGH, ob die Auskunft auf die Erfüllung einer vertraglichen Verpflichtung iSd Art 6 Abs 1 lit b DSGVO oder auf das berechtigte Interesse iSd Art 6 Abs 1 lit f DSGVO gestützt werden kann.
  

  Der EuGH hat erwogen: Eine Datenverarbeitung ist für die Erfüllung eines Vertrags dann erforderlich, wenn der Verantwortliche nachweisen kann, dass der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden kann. Die Daten müssen zur ordnungsgemäßen Erfüllung des Vertrags wesentlich sein. Für die Verarbeitung der Daten darf keine praktikable und weniger einschneidende Alternative bestehen. Wenn in Beteiligungs- und Treuhandverträgen die Weitergabe von Daten anderer Gesellschafter ausdrücklich ausgeschlossen ist, ist eine Weitergabe der Daten für die Erfüllung des Vertrags nicht erforderlich. Die Datenübermittlung kann daher nicht auf die Vertragserfüllung gestützt werden.

  Bei der im Einzelfall durchzuführenden Interessenabwägung nach Art 6 Abs 1 lit f DSGVO ist das Interesse eines an dem Investmentfonds beteiligten Gesellschafters am Erhalt der Daten den Interessen anderer Gesellschafter an der Geheimhaltung ihrer Daten gegenüberzustellen. Ein Interesse der an einem Investmentfonds beteiligten Gesellschafter an einer Kontaktaufnahme wegen des Erwerbs ihrer Anteile kann nicht ausgeschlossen werden. Eine Verarbeitung der Daten im berechtigten Interesse muss jedoch zum Zeitpunkt der Erhebung der Daten erwartbar sein und darf für den Betroffenen nicht überraschend erfolgen. Ist die Weitergabe von Daten an andere Gesellschafter in einem Vertrag ausdrücklich ausgeschlossen, können die Gesellschafter nicht damit rechnen, von anderen Gesellschaftern kontaktiert zu werden.

  Eine Datenverarbeitung gestützt auf Art 6 Abs 1 lit c DSGVO ist dann gerechtfertigt, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche gemäß dem Recht des betreffenden Mitgliedstaats unterliegt. Das Recht des Mitgliedstaats kann dabei auch die nationale Rechtsprechung umfassen. Die Rechtsprechung muss aber klar, präzise formuliert und für die Rechtsunterworfenen vorhersehbar sein und ein im öffentlichen Interesse liegendes Ziel verfolgen, zu dem sie in einem angemessenen Verhältnis steht.

EuGH Schlussanträge 12.09.2024, C‑203/22, Dun & Bradstreet

Automatisierte Entscheidung, Bonität, Auskunft

• Einer Betroffenen wurde von einem Mobilfunkanbieter wegen mangelnder Bonität der Abschluss bzw die Verlängerung eines Mobilfunkvertrags verweigert. Die Bonitätsdaten wurden dem Mobilfunkanbieter von einer Bonitätsauskunftei zur Verfügung gestellt, die die Bonitätsbeurteilung automatisiert durchgeführt hat. Die DSB gab dem Antrag der Betroffenen auf Erteilung relevanter Informationen über die der automatisierten Entscheidungsfindung zugrunde liegende Logik statt. Das BVwG bestätigte teilweise die Entscheidung der DSB und stellte fest, dass das Auskunftsrecht der Betroffenen gemäß Art 15 Abs 1 lit h DSGVO verletzt wurde, weil ihr keine aussagekräftigen Informationen über die bei der automatisierten Entscheidungsfindung in Bezug auf ihre personenbezogenen Daten involvierte Logik zur Verfügung gestellt wurde. Die Betroffene beantragte beim Magistrat der Stadt Wien die Zwangsvollstreckung dieser Entscheidung, die abgelehnt wurde. Nach Einlegen eines Rechtsbehelfs beim LVwG Wien ersuchte dieses den EuGH um Vorabentscheidung.
  
  Der Generalanwalt hat erwogen: Das Auskunftsrecht des Art 15 Abs 1 lit h DSGVO muss es der Betroffenen ermöglichen, ihre Rechte aus Art 22 DSGVO wahrzunehmen, die sich speziell auf eine Situation beziehen, in welcher die Betroffene einer auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen wird. Die Aussagekraft von Informationen setzt voraus, dass diese Informationen präzise, leicht zugänglich, verständlich sowie in klarer und einfacher Sprache abgefasst sind. Zudem müssen sie hinreichend vollständig und kontextbezogen sein, um es der Betroffenen zu ermöglichen, ihre Richtigkeit sowie das Bestehen einer objektiv nachprüfbaren Übereinstimmung und eines objektiv nachprüfbaren Kausalzusammenhangs zwischen einerseits der verwendeten Methode und den herangezogenen Kriterien und andererseits dem Ergebnis der fraglichen automatisierten Entscheidung zu überprüfen.
  
  Grundsätzlich muss der – naturgemäß technische – Prozess, der zu dieser Entscheidung geführt hat, verständlich gemacht werden. Der Verantwortliche ist aber nicht verpflichtet, Informationen offenzulegen, die aufgrund ihrer technischen Natur einen solchen Komplexitätsgrad aufweisen, dass sie von Personen ohne besondere technische Fachkenntnisse nicht nachvollzogen werden können. Dies gilt etwa für Algorithmen, die im Rahmen einer automatisierten Entscheidungsfindung eingesetzt werden. Der betroffenen Person sind Informationen über den Entscheidungsprozess, über die Gründe für das Ergebnis dieser Entscheidung und damit über die verwendete Methode und die berücksichtigten Kriterien sowie deren Gewichtung bereitzustellen, nicht aber die verwendeten Algorithmen ausführlich zu erläutern oder der gesamte Algorithmus offenzulegen.

EuGH Schlussanträge, C-383/23 12.09.2024, ILVA (Amende pour violation du RGPD)

Geldbuße, Unternehmensbegriff, Verhältnismäßigkeit

• Über die dänische Möbelhauskette ILVA, ein Tochterunternehmen der übergeordneten Lars Larsen Group, verhängte das Bezirksgericht Aarhus infolge einer Verletzung der DSGVO eine Geldbuße. Gegen diese Entscheidung legte die Staatsanwaltschaft Berufung an das vorlegende Gericht ein und vertrat die Ansicht, dass für die Berechnung der Geldbuße nicht nur der Umsatz des Tochterunternehmens ILVA, sondern der Gesamtumsatz der Lars Larsen Unternehmensgruppe zu berücksichtigen sei. Das vorlegende Gericht fragte nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.
  
  Der Generalanwalt hat erwogen: Bei der Verhängung von Geldbußen nach der DSGVO sind die wesentlichen Garantien eines Strafverfahrens einzuhalten. Aus der Rechtsprechung des EuGH lässt sich ableiten, dass der Grundsatz der Verhältnismäßigkeit einer der fundamentalen Grundsätze des Unionsrechts ist und bei dessen Anwendung vor nationalen Gerichten und Behörden beachtet werden muss. Der Grundsatz der Verhältnismäßigkeit verpflichtet die Mitgliedstaaten, Maßnahmen zu ergreifen, die zur Erreichung der verfolgten Ziele geeignet sind und nicht über das hinausgehen, was für die Zielerreichung erforderlich ist.
  
  Aus der Rechtsprechung des Gerichtshofs geht klar hervor, dass der Grundsatz der Verhältnismäßigkeit erstens erfordert, dass die verhängte Strafe der Schwere der Straftat entspricht, und zweitens, dass bei der Festsetzung der Strafe und der Höhe der Geldbuße die individuellen Umstände des konkreten Falls berücksichtigt werden. Nach der Rechtsprechung des EGMR haben die Mitgliedsstaaten die Pflicht, sicherzustellen, dass die verhängte Strafe nicht überschießend – und somit unverhältnismäßig – ist.
  
  Bei der Festsetzung des Höchstbetrags einer Geldbuße soll der Begriff "Unternehmen" den Art 101 und 102 AEUV entsprechen. Daher wird der weltweite Gesamtjahresumsatz des Unternehmens berücksichtigt, zu dem der Verantwortliche oder der Auftragsverarbeiter gehört.
  
  Bei der Bestimmung der tatsächlich zu verhängenden Geldbuße muss das nationale Gericht jedoch die speziellen Umstände zur Entscheidungsfindung berücksichtigen und sicherstellen, dass der Grundsatz der Verhältnismäßigkeit beachtet wird, wobei ein angemessener Ausgleich zwischen den Erfordernissen des allgemeinen Interesses der Gemeinschaft am Schutz personenbezogener Daten und den Erfordernissen des Schutzes der Grundrechte des Verantwortlichen, des Auftragsverarbeiters oder des Unternehmens, zu dem dieser gehört, hergestellt wird.

EuGH Schlussanträge 12.09.2024, C-247/23, Deldits

Transgender, Berichtigung, Register

• Ein Transgender-Mann mit iranischer Staatsangehörigkeit, der als "Frau" geboren wurde, erhielt in Ungarn die Flüchtlingseigenschaft. Die Fremdenpolizei nahm personenbezogene Daten, einschließlich des Geschlechts (weiblich), in das Flüchtlingsregister auf. Der Transgender-Mann beantragte unter Vorlage von Bescheinigungen von Psychiatern und Gynäkologen die Berichtigung des Registers gemäß Art 16 DSGVO, was abgelehnt wurde, weil keine geschlechtsangleichende Operation nachgewiesen wurde. Über die daraufhin erhobene Klage des Transgender-Mannes, fragte das vorlegende Gericht den EuGH, ob die Stelle, die ein nationales Register führt, die Daten einer Betroffenen zu berichtigten hat, wenn sich deren Daten, seit deren Eintragung ins Register geändert haben und bejahendenfalls, welche Nachweise die Betroffene zu erbringen hat.
  
  Der Generalanwalt hat erwogen: Art 5 Abs 1 lit d DSGVO verlangt, dass personenbezogene Daten sachlich richtig und auf dem neuesten Stand sein müssen. Art 16 DSGVO gibt der betroffenen Person das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Die Eintragung des Geschlechts als "weiblich" ist unrichtig, weil sich die Person als Transgender-Mann identifiziert und entsprechende Nachweise vorgelegt hat. Art 8 Abs 2 der EU-Grundrechtecharta garantiert das Recht auf Berichtigung der Daten, Art 16 DSGVO spiegelt dieses Recht wider und trägt zur Einhaltung des Grundsatzes der Richtigkeit bei. Die Richtigkeit der Daten hängt vom Kontext und dem Zweck der Datenerhebung ab.
  
  Das Flüchtlingsregister dient der Identifizierung, und das Geschlecht gehört zu den Identifikationsdaten natürlicher Personen. Art 16 DSGVO verlangt nicht, dass eine Person eine geschlechtsangleichende Operation nachweist, um die Berichtigung ihrer Daten zu beantragen. Der EGMR verurteilt die Auferlegung eines solchen Erfordernisses, weil es die vollständige Ausübung des Rechts auf Achtung des Privatlebens von der Aufgabe des Rechts auf körperliche Unversehrtheit abhängig macht. Eine Betroffene, die die Berichtigung von Daten beantragt, muss zwar Nachweise vorlegen, um die Unrichtigkeit einer fehlerhaften Eintragung nachzuweisen, aber sie muss nicht nachweisen, dass sie sich einer geschlechtsangleichenden Operation unterzogen hat.

BVwG 21.08.2024, W176 2281424-1

Exekution, justizielle Tätigkeit, Zustellung

• Der Schuldner eines Exekutionsverfahrens beantragte beim Bezirksgericht die Aufschiebung der Exekution und eine Zustellung in kroatischer Sprache. Zudem gab er dem Gericht bekannt, einen sechswöchigen Rehabilitationsaufenthalt anzutreten und beantragte, dass in diesem Zeitraum keine Zustellungen verfügt werden mögen. Das Bezirksgericht lehnte den Aufschiebungsantrag mit Beschluss ab und trug dem Schuldner auf, für die Dauer seines Rehabilitationsaufenthalts eine zustellfähige Adresse bekanntzugeben, widrigenfalls eine Hinterlegung ohne vorhergehenden Zustellversuch erfolgen werde.
  
  Dieser Aufforderung des Gerichts kam der Schuldner nicht nach. Daher stellte die zuständige Richterin des Exekutionsverfahrens ein Ersuchen an den zuständigen Rechtsträger um Bekanntgabe, in welcher Einrichtung sich der Schuldner befinde. Nachdem der Rechtsträger dem Ersuchen nachkam, wurden die Unterlagen des Exekutionsverfahrens dem Schuldner zugestellt. Dieser sah sich dadurch in seinem Recht auf Geheimhaltung verletzt und brachte eine Datenschutzbeschwerde bei der DSB gegen das Bezirksgericht ein.
  
  Das Bezirksgericht brachte in seiner Stellungnahme vor, im Rahmen seiner justiziellen Tätigkeit agiert zu haben, weshalb die DSB gemäß Art 55 Abs 3 DSGVO unzuständig sei. Die DSB führte in ihrem Bescheid aus, grundsätzlich für die Datenschutzbeschwerde zuständig zu sein. Es handle sich nämlich um keine justizielle Tätigkeit iSd Art 55 Abs 3 DSGVO, sondern lediglich um die Vollstreckung des Exekutionstitels durch Zwangsmittel. Die Datenschutzbeschwerde sei jedoch abzuweisen, weil das Bezirksgericht gemäß § 8 Abs 2 ZustG berechtigt war, den Aufenthaltsort des Schuldners zu ermitteln. Die Bescheidbeschwerde des Schuldners wurde vom BVwG abgewiesen und das BVwG änderte den Spruch des Bescheids dahingehend ab, dass die Datenschutzbeschwerde zurückgewiesen wird.
  
  Das BVwG hat erwogen: Der Vollzug der Exekution ist eine justizielle Tätigkeit, weil dabei weiterhin die richterliche Unabhängigkeit zu wahren ist. Zudem wird der Vollzug der Exekution nach den Bestimmungen der Exekutionsordnung im Auftrag und unter der Leitung des Gerichts durchgeführt. Die Zustellung von Schriftstücken in einem Exekutionsverfahren ist ebenso eine justizielle Tätigkeit iSd Art 55 Abs 3 DSGVO.
  
  Die DSB war sohin zur Prüfung der Verletzung im Recht auf Geheimhaltung durch das Bezirksgericht unzuständig. Die Unzuständigkeit der DSB ist gemäß § 27 VwGVG vom BVwG von Amts wegen aufzugreifen, unabhängig davon, ob dies in der Bescheidbeschwerde eingewendet wird oder nicht. Bei einer Unzuständigkeit der Behörde haben die Verwaltungsgerichte den Bescheid grundsätzlich ersatzlos zu beheben. Infolge des ersatzlosen Behebens darf die Behörde über den gleichen Gegenstand nicht erneut entscheiden. Da dem Bescheid der DSB jedoch ein Parteiantrag zugrunde liegt, ist eine kassatorische Entscheidung nicht zulässig. Daher war die Datenschutzbeschwerde des Schuldners durch das BVwG zurückzuweisen.

BVwG 19.08.2024, W108 2286821-1

Altstoffsammelzentrum, Interessenabwägung

• Ein Abfallbesitzer fuhr in ein Altstoffsammelzentrum (ASZ), um dort einen Sack mit künstlichen Mineralfasern und Verpackungsmaterial zu entsorgen. Ein Mitarbeiter des ASZ machte den Abfallbesitzer darauf aufmerksam, dass – mit Ausnahme von Verpackungsmaterial – nur die Bewohner einer bestimmten Stadt ihren Müll in diesem ASZ entsorgen dürfen. Nachdem der Abfallbesitzer dies ignorierte und den Sack mit künstlichen Mineralfasern im ASZ liegen ließ, erhielt er per Post eine Rechnung für seine Abfallentsorgung, die seiner Meinung nach zu hoch war.
  
  Der Abfallbesitzer brachte Datenschutzbeschwerde ein, weil das ASZ seines Erachtens die Zulassungsdaten des von ihm gelenkten Pkw für die Zusendung der Rechnung nicht hätte erheben dürfen. Das ASZ führte in seiner Stellungnahme aus, es sei bereits in der Einfahrt klar erkennbar gewesen, dass der Abfallbesitzer keine Berechtigung zur Müllentsorgung in dem ASZ hatte. Die Kosten seien angemessen, weil die Entsorgung gefährlicher Abfälle erhebliche Kosten verursacht. Gegen den abweisenden Bescheid der DSB brachte der Abfallbesitzer eine (erfolglose) Bescheidbeschwerde ein.
  
  Das BVwG hat erwogen: Die Erhebung der Zulassungsdaten des vom Abfallbesitzer gelenkten Fahrzeugs ist eine Verarbeitung personenbezogener Daten. Das ASZ ist als Verantwortlicher iSd Art 4 Z 7 DSGVO zu qualifizieren. Das Grundrecht auf Datenschutz umfasst auch den Schutz vor der Ermittlung und Weitergabe personenbezogener Daten. Die Ausforschung des Zulassungsbesitzers durch ein Ersuchen an die Bezirkshauptmannschaft berührt daher jedenfalls das Recht auf Geheimhaltung gemäß § 1 DSG.
  
  Die Verarbeitung personenbezogener Daten ist gemäß Art 6 Abs 1 lit f DSGVO rechtmäßig, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und die Interessen oder Grundrechte der Betroffenen nicht überwiegen. Das ASZ hat ein berechtigtes Interesse an der Erhebung der Daten, um die entstandenen Kosten für die unrechtmäßige Abfallentsorgung weiterverrechnen zu können. Der Abfallbesitzer hat den Sack Mineralwolle trotz Hinweis des Mitarbeiters, dass dies nur für Bürger der Stadt erlaubt sei, im ASZ zurückgelassen. Dadurch sind ein erheblicher Aufwand und Kosten für die ordnungsgemäße Entsorgung entstanden, zumal es sich um Abfall einer gefährlichen Art handelte. Die Verarbeitung der personenbezogenen Daten des Abfallbesitzers war erforderlich, um die Forderung gegen ihn zu betreiben. Es gab keine alternativen Mittel zur Ermittlung der benötigten Daten.
  
  Die erhobenen Daten waren weder sensible noch strafrechtlich relevante Daten. Der Abfallbesitzer musste mit einer Verarbeitung seiner Daten rechnen, weil er den Abfall unerlaubterweise zurückgelassen hat. Die berechtigten Interessen des ASZ überwogen daher die Interessen des Abfallbesitzers an der Geheimhaltung seiner personenbezogenen Daten. Die Verarbeitung war auch verhältnismäßig und auf das notwendige Maß beschränkt.
  
  Überdies kann sich das ASZ auf Art 6 Abs 1 lit e DSGVO stützen, weil es gemäß § 8 der Abfallordnung der Stadt, die aufgrund des § 6 Oö Abfallwirtschaftsgesetzes 2009 erlassen wurde, im öffentlichen Interesse handelt und eine gesetzliche Aufgabe erfüllt. Im Zusammenhang mit dieser Aufgabe ist das ASZ jedenfalls berechtigt, personenbezogene Daten zu erheben und zu verarbeiten, wenn etwa unzulässigerweise gefährlicher Abfall hinterlassen wird.

• Beim Versand einer unerbetenen Werbeemail kommt keine Ermahnung in Betracht, denn die Bedeutung des strafrechtlich geschützten Rechtsguts ist in Ansehung des Strafrahmens iHv bis zu EUR 50.000 nicht als gering zu betrachten. Wurde aufgrund der Werbeemail eine Anzeige erstattet, kann auch von keiner völlig unerheblichen Störung ausgegangen werden, weil der Empfänger beim Ausbleiben der Störung keine Anzeige erstattet hätte (BVwG 08.08.2024, W282 2289350-1).
  
  
• Setzt ein Arbeitsloser keine Bemühungen zum Erlangen einer ihm zugewiesenen konkreten Arbeitsstelle, sind datenschutzrechtliche Einwände nicht geeignet, um das Unterlassen der Bewerbung zu rechtfertigen (BVwG 17.05.2024, G305 2282006-1).

• Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH wird entscheiden, ob eine Aufsichtsbehörde, wenn sie eine Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse auszuüben hat. Anm: Die Zusammenfassung der Schlussanträge kann in der 15. Ausgabe des Schönherr Datenschutzmonitors vom 17.04.2024 nachgelesen werden.

• Am 04.10.2024 wird das Urteil in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Der EuGH wird Fragen des OGH zu verhaltensorientierter Online-Werbung beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.

• Am 04.10.2024 wird das Urteil in der Rs C-21/23, Lindenapotheke, veröffentlicht. Der EuGH wird Fragen zur Klagebefugnis von Mitbewerbern und zu Gesundheitsdaten beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.

• Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors vom 05.06.2024 nachgelesen werden.

• Am 04.10.2024 wird das Urteil in der Rs C-621/22, Koninklijke Nederlandse Lawn Tennisbond, veröffentlicht. Der EuGH wird den Begriff "berechtigte Interessen" auslegen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

• Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

• Am 17.10.2024 wird das Urteil in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

EuGH Schlussanträge 05.09.2024, C-416/23, Österreichische Datenschutzbehörde

• Ein Betroffener erachtete sich in seinem Auskunftsrecht verletzt, weil der Verantwortliche nicht innerhalb eines Monats auf sein Auskunftsersuchen geantwortet hat und erhob Datenschutzbeschwerde gemäß Art 77 Abs 1 DSGVO bei der DSB. Da er innerhalb von 20 Monaten bereits 77 ähnliche Datenschutzbeschwerden gegen verschiedene Verantwortliche eingereicht hat, die ebenfalls nicht fristgerecht auf seine Auskunfts- oder Löschersuchen reagiert haben sollen, stufte die DSB seine Datenschutzbeschwerde als exzessiv ein und verweigerte deren Bearbeitung. Das BVwG behob den Bescheid der DSB, die daraufhin Revision beim VwGH einlegte. Der VwGH ersuchte den EuGH um Vorabentscheidung, wann eine Anfrage iSd Art 57 Abs 4 DSGVO als exzessiv gilt.
  
  Der Generalanwalt hat erwogen: Die Begriffe "Anfrage" bzw "Anfragen" iSd Art 57 Abs 4 DSGVO erfassen auch Beschwerden an die Datenschutz-Aufsichtsbehörden.
  
  Um ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten, ist ein ordnungsgemäßes Funktionieren der Aufsichtsbehörden sicherzustellen, indem verhindert wird, dass diese durch das Einreichen offenkundig unbegründeter oder exzessiver Beschwerden behindert werden. Die Bestimmung des Art 57 Abs 4 DSGVO ermöglicht den Aufsichtsbehörden, mit solchen Beschwerden speziell umzugehen und dadurch die Belastung zu verringern, die solche Beschwerden auslösen können.
  
  Ein Schwellenwert, ab dem Beschwerden allein aufgrund ihrer Anzahl als exzessiv eingestuft werden könnten, würde die Betroffenenrechte beeinträchtigen. Da Art 57 Abs 4 DSGVO eng auszulegen ist, reicht die bloße Berücksichtigung der Anzahl der Beschwerden, so groß sie auch sein mag, als Rechtfertigung für die Anwendung dieser Bestimmung durch eine Aufsichtsbehörde nicht aus. Für die Feststellung, dass eine exzessive Anfrage vorliegt, ist eine missbräuchliche Absicht der Person, die die Beschwerden einreicht, nachzuweisen. Die Aufsichtsbehörde hat nachzuweisen, dass die Beschwerden nicht dem Schutz der Rechte aus der DSGVO dienen, sondern einem anderen Zweck, etwa dem Versuch, die Behörde zu überlasten.
  
  Bei exzessiven Anfragen kann die Aufsichtsbehörde wählen, ob sie eine angemessene Gebühr verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden. Diese Wahl darf die Aufsichtsbehörde jedoch nicht nach freiem Ermessen und ohne Begründung treffen. In Hinblick auf den Verhältnismäßigkeitsgrundsatz, auf das Ziel, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten und auf die Verpflichtung der Behörden, sich mit aller gebotenen Sorgfalt mit Beschwerden zu befassen, sollte vorranging eine angemessene Gebühr in Betracht gezogen werden, weil dadurch die Rechte der Betroffenen in geringerem Maße beeinträchtigt werden.

BVwG 31.07.2024, W108 2280724-1

• Ein Nutzer brachte wegen behaupteter Mangelhaftigkeit des Cookie-Banners auf einer von ihm besuchten Website Datenschutzbeschwerde bei der DSB ein. Der Nutzer monierte ua, dass auf der ersten Ebene des Cookie-Banners keine "Ablehnen"-Schaltfläche vorhanden war und die Einwilligung nicht ebenso einfach widerrufen wie erteilt werden konnte. Die DSB wies die Datenschutzbeschwerde teilweise ab und teilweise zurück. Gleichzeitig erteilte die DSB dem Websitebetreiber von Amts wegen die Aufträge, seinen Cookie-Banner und die damit verbundenen Datenverarbeitungen auf näher umschriebene Weise anzupassen. Der Websitebetreiber erhob Bescheidbeschwerde an das BVwG, entsprach jedoch während des laufenden Verfahrens vor dem BVwG den Leistungsaufträgen der DSB. Das BVwG gab der Bescheidbeschwerde daher statt und hob den angefochtenen Bescheid ersatzlos auf.
  
  Das BVwG hat erwogen: Gemäß Art 7 Abs 3 DSGVO hat der Widerruf der Einwilligung genau so einfach zu sein, wie das Erteilen der Einwilligung. Der Websitebetreiber hat die Website in der Zwischenzeit angepasst. Im Cookie-Banner wird darauf hingewiesen, dass am Seitenende ein Link "Cookie Einstellungen und Widerruf" zu finden ist, über den die Einwilligung widerrufen werden kann. Diese Anpassung entspricht den gesetzlichen und behördlichen Vorgaben, auch wenn auf einen Link geklickt werden muss und der Nutzer erst auf einer "zweiten Ebene" die Einstellungen und den Widerruf findet. Einem durchschnittlich informierten Verbraucher ist das zumutbar.
  
  Der Websitebetreiber hat auch die Datenverarbeitung angepasst und setzt beim Aufruf der Website, bevor eine Einwilligung abgegeben wurde, nur mehr technisch notwendige Cookies. Diese Cookies sind für die Diensterbringung unbedingt erforderlich und können demgemäß ohne Einwilligung gesetzt werden. Da technisch nicht notwendige Cookies erst nach Erteilen der Einwilligung gesetzt werden, hat der Websitebetreiber auch diesem Leistungsauftrag der DSB entsprochen.
  
  Anm: Leistungsaufträgen der DSB im laufenden Verfahren vor dem BVwG zu entsprechen, kann eine gute Strategie sein. Denn die Leistungsaufträge der DSB sind Anweisungen iSd Art 83 Abs 6 DSGVO. Wird ein Leistungsauftrag rechtskräftig und ist der Betroffene der Ansicht, dass dem Auftrag nicht (vollständig) entsprochen wurde, kann er Exekution führen oder bei der DSB die Einleitung eines Verwaltungsstrafverfahrens anregen.

BVwG 10.07.2024, W298 2261830-1

• Während der Corona-Pandemie sind die Mitarbeiter einer Behörde per E-Mail instruiert worden, ihren Arbeitsplatz ohne FFP2-Maske nur mit einem negativen Antigen-Test zu betreten. Die Testergebnisse konnten die Mitarbeiter in einer Datenbank einsehen, in der sie sich zuvor unter Angabe persönlicher Daten, wie etwa Vor- und Nachname, Sozialversicherungsnummer und Geburtsdatum, vorregistrieren mussten. In die Testergebnisse konnte (auch) die Behördenleitung sowie gelegentlich die Belegschaft einsehen. Die DSB gab der auf eine Verletzung des Geheimhaltungsrechts gestützten Datenschutzbeschwerde eines Mitarbeiters statt. Die dagegen erhobene Bescheidbeschwerde der Behörde wies das BVwG ab.
  
  Das BVwG hat erwogen: Bei Covid-19-Testergebnissen handelt es sich um Gesundheitsdaten. Deren Verarbeitung ist – unter anderem – dann zulässig, wenn die betroffene Person in die Verarbeitung für einen oder mehrere festgelegte Zwecke ausdrücklich und freiwillig eingewilligt hat. Zwar wurde eine Einwilligung des Mitarbeiters mit dessen Unterschrift zur Verarbeitung der Gesundheitsdaten eingeholt. Das Kriterium der Freiwilligkeit war jedoch nicht erfüllt, weil der Mitarbeiter keine echte Wahl hatte. Ohne der "freiwilligen" Teilnahme am Testprogramm hätte der Mitarbeiter während der Dienstzeiten verpflichtend durchgängig eine FFP2-Atemschutzmaske zu tragen gehabt. Davon abgesehen bedingt das einem Dienstverhältnis regelmäßig innewohnende Abhängigkeitsverhältnis des Mitarbeiters von seinem Dienstgeber, dass die Einwilligung nicht freiwillig erteilt wurde.
  
  Ebenso wenig erteilte der Mitarbeiter seine ausdrückliche Einwilligung dazu, dass nicht nur er, sondern auch Dritte (hier: die Behördenleitung) in seine Testergebnisse einsehen konnten. Die Behördenleitung konnte sich auch auf keine gesetzliche Grundlage iSd Art 9 Abs 2 lit b DSGVO stützen. Denn die 3. COVID-19-NotMV betraf die Bereithaltung von Informationen zum Beweis der Einhaltung von Präventionsmaßnahmen gegen die Verbreitung des Covid-19-Virus. Daraus ergab sich jedoch keine Datenverarbeitungsgrundlage, auf deren Basis die Behördenleitung in die Testergebnisse ihrer Mitarbeiter hätte einsehen dürfen.

BVwG 19.08.2023, W214 2242818-1

• Der Miteigentümer einer Liegenschaft schrieb E-Mails an die Hausverwaltung, in denen er Beschwerden über verschiedene Missstände äußerte. Diese E-Mails, einschließlich der E-Mail-Adresse des Miteigentümers, leitete die Hausverwaltung ohne die Zustimmung des Miteigentümers an drei andere Miteigentümer der Liegenschaft, die laut Hausverwaltung als "Vertrauensleute" bestellt waren, weiter. Die darüber erhobene Datenschutzbeschwerde des Miteigentümers wies die DSB ab. Gegen diesen Bescheid der DSB erhob der Miteigentümer (erfolgreiche) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Der Inhalt der E-Mails sowie die E-Mail-Adresse des Miteigentümers sind personenbezogene Daten iSd Art 4 Z 1 DSGVO. Das Datenschutzrecht gilt auch für die teilweise öffentlich zugänglichen Daten des Miteigentümers. Der Eigentümer hat in die Weiterleitung seiner E-Mail-Adresse nicht eingewilligt.
  
  Die Hausverwaltung war auch vertraglich iSd Art 6 Abs 1 lit b DSGVO zur Weiterleitung der Nachrichten an die "Vertrauensleute" nicht verpflichtet. Zwar übte der Miteigentümer in seinen Nachrichten massive Kritik an der Hausverwaltung, dennoch war die Weitergabe seiner personenbezogenen Daten an die "Vertrauensleute" kein geeignetes Mittel, um die Aufgabe der Hausverwaltung zu erfüllen.
  
  Die drei "Vertrauensleute" wurden nicht als Eigentümervertreter iSv § 22 WEG bestellt. Gemäß § 26 Abs 1 WEG könnten alle Wohnungseigentümer eine Vereinbarung über bestimmte Funktionen treffen. Es existiert jedoch keine entsprechende Vereinbarung, und die ehrenamtliche Tätigkeit der "Vertrauensleute" reicht nicht aus.
  
  Zwar hatte die Hausverwaltung ein berechtigtes Interesse, die übrigen Eigentümer über den Konflikt zu informieren, jedoch wäre dies auch ohne Weiterleitung der E-Mails durch alternative Methoden möglich gewesen. Folglich überwog das Recht des Miteigentümers auf Geheimhaltung seiner Daten.

BVwG 19.08.2024, W214 2248588-1

• Der Pächter einer Parzelle eines Siedlervereins brachte mehrere Überwachungskameras am Parkplatz und an den Straßen am Areal des Siedlervereins an. Einer seiner Nachbarn, welcher ebenfalls eine Parzelle gepachtet hat, brachte daraufhin wegen behaupteter Verletzung im Geheimhaltungsrecht eine Datenschutzbeschwerde bei der DSB ein. Der Pächter gab an, dass das Anbringen der Kameras durch den Vorstand des Siedlervereins genehmigt wurde und sein Nachbar Mitglied des Vorstands sei. Die Kameras sollten zur Überwachung des Fahrzeugs des Pächters und zur Feststellung von unberechtigt parkenden Fahrzeugen dienen, weil es sich um einen Privatgrund handle. Die Kameras zeichneten kontinuierlich auf und speicherten die Aufnahmen für 72 Stunden. Die DSB gab der Datenschutzbeschwerde des Nachbarn statt und stellte eine Verletzung in seinem Recht auf Geheimhaltung fest, weil die Parkplätze und Zufahrtsstraßen von allen Pächtern des Areals genutzt werden konnten und es sich somit um allgemein nutzbare Flächen handelte. Der Pächter erhob eine (erfolglose) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Der Pächter ist Verantwortlicher der Bildverarbeitung iSd Art 4 Z 7 DSGVO. Er hat die Installation der Kameras beauftragt und wurde auf den Hinweisschildern als Verantwortlicher angegeben. Die Videoüberwachung ist eine Verarbeitung personenbezogener Daten iSd Art 4 Z 2 DSGVO, weil die Kameras in der Lage sind, personenbezogene Daten zu erfassen und zu speichern.
  
  Entgegen den Behauptungen des Pächters hat der Vorstand dem Anbringen der Kameras nicht zugestimmt. Dem Protokoll der Jahreshauptversammlung des Vorstands konnte nur entnommen werden, dass über die Anbringung einer Kamera-Attrappe abgestimmt wurde. Der Pächter hat nicht hinreichend über die Details informiert.
  
  Der Pächter hat zwar ein berechtigtes Interesse an der Überwachung seines Eigentums zum Schutz vor Diebstahl und Beschädigungen sowie zur Hintanhaltung der Ablagerung von Müll. Demgegenüber steht jedoch das berechtigte Interesse des Nachbarn, nicht überwacht zu werden. Die Videoüberwachung des gesamten Parkplatzes durch vier Kameras und die Speicherung der Aufnahmen für 72 Stunden über einen Zeitraum von mehreren Jahren war unverhältnismäßig, zumal dem Pächter kein fixer Parkplatz zugewiesen war, sondern alle Parkplätze von allen Pächtern genutzt werden durften. Die Interessen des Nachbarn überwogen die berechtigten Interessen des Pächters.
  
  Auch die Überwachung der Zufahrtsstraße durch die Kameras war unverhältnismäßig, weil es allgemein zugängliche Bereiche waren und den Nachbarn nicht zuzumuten ist, bei jeder Benutzung dieser Straße von der Videoüberwachung erfasst zu werden. Der Eingriff ins Recht auf Geheimhaltung war somit unverhältnis- und unrechtmäßig.

• Eine auf § 13 Abs 3 AVG gestützte Zurückweisung kommt nur bei solchen Datenschutzbeschwerden in Frage, die mit Mängeln behaftet sind. Fehlen (i) die Bezeichnung des als verletzt erachteten Rechts, (ii) das Begehren, die behauptete Rechtsverletzung festzustellen, sowie (iii) die Angaben, die zur Beurteilung der Rechtzeitigkeit der Datenschutzbeschwerde erforderlich sind, ist das Erteilen eines Mängelbehebungsauftrags erforderlich. Kommt der Beschwerdeführer dem Mängelbehebungsauftrag nicht nach, ist die DSB berechtigt, die Datenschutzbeschwerde zurückzuweisen (BVwG 26.07.2024, W292 2265092-1).
  
  
• Wird gegen einen Zurückweisungsbescheid eine Bescheidbeschwerde erhoben, darf das BVwG nur über die Rechtmäßigkeit der Zurückweisung absprechen. Da die Zurückweisung rechtswidrig war, ist der angefochtene Bescheid aufzuheben und der DSB die Fortsetzung des Verfahrens unter Abstandnahme vom gebrauchten Zurückweisungsgrund aufzutragen (BVwG 18.06.2024, W214 2222613-2).
  
  
• Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 21.08.2024, W214 2262974-1).
  
  
• Wird eine Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 31.07.2024, W292 2250709-1).

• Das Rahmenübereinkommen des Europarats über künstliche Intelligenz und Menschenrechte, Demokratie und Rechtsstaatlichkeit, SEV 225, ist am 05.09.2024 zur Zeichnung aufgelegt worden. Am 04.09.2024 ist der "Beschluss (EU) 2024/2218 des Rates vom 28. August 2024 über die Unterzeichnung — im Namen der Europäischen Union — des Rahmenübereinkommens des Europarats über künstliche Intelligenz und Menschenrechte, Demokratie und Rechtsstaatlichkeit" kundgemacht worden, ABl L 2024/2218, 1. Das Rahmenübereinkommen wurde von der EU am 05.09.2024 unterzeichnet.

• Am 03.09.2024 hat der Bund die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) kundgemacht, BGBl I 2024/138.

• Am 04.09.2024 hat der Bundesminister für Bildung, Wissenschaft und Forschung die Registerforschungsverordnung-BMK kundgemacht, BGBl II 2024/241. Mit dieser Verordnung wurden zehn Register im Wirkungsbereich des Bundesministeriums für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie als registerforschungstaugliche Register festgelegt.

• Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

• Am 12.09.2024 wird das Urteil in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV, und C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

• Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in einem öffentlichen Register zu berichtigen ist, wenn das Geschlecht sich ändert.

• Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.

• Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH wird entscheiden, ob eine Aufsichtsbehörde, wenn sie eine Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse auszuüben hat. Anm: Die Zusammenfassung der Schlussanträge kann in der 15. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

• Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

• Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

Aus der Rechtsprechung des OGH:

• Werden in einem Strafverfahren Kommunikationsdaten des Strafverdächtigten von ausländischen Behörden erhoben und an die inländischen Strafverfolgungsbehörden übermittelt, unterliegen solche Daten keinem Beweisverwertungsverbot (OGH 27.08.2024, 11Os85/24w).

BVwG 31.07.2024, W108 2284491-1

• Ein Nutzer besuchte die Website eines Medienunternehmens, die im Cookie-Banner keine "Ablehnen"-Schaltfläche auf der ersten Ebene enthielt. Der Nutzer begehrte vom Medienunternehmen die Löschung aller durch die Cookies erhobenen personenbezogenen Daten. Das Medienunternehmen argumentierte, dass die Verarbeitung personenbezogener Daten zu journalistischen Zwecken erfolgte und daher von den Bestimmungen der DSGVO ausgenommen war. Der Nutzer erhob Datenschutzbeschwerde bei der DSB, die dieser teilweise stattgab und das Medienunternehmen zur Anpassung des Cookie-Banners aufforderte. Das Medienunternehmen erhob Bescheidbeschwerde beim BVwG, das diese abwies.
  Das BVwG hat erwogen: Die DSGVO verlangt, dass die Einwilligung zur Verarbeitung personenbezogener Daten freiwillig, informiert und unmissverständlich erfolgt. Eine Einwilligung muss genauso einfach zu widerrufen sein, wie sie erteilt wurde. Auch die Nichtabgabe einer Einwilligung muss genauso einfach sein, wie die Abgabe der Einwilligung. Ein Cookie-Banner muss daher eine gleichwertige Option zum Ablehnen der Cookies auf der ersten Ebene enthalten.
  
  Das Medienunternehmen kann sich nicht auf das Medienprivileg berufen, weil das Setzen von Cookies für Analyse-, Marketing- und Werbezwecke keine journalistische Tätigkeit ist. Bei Verarbeitungstätigkeiten für andere Zwecke von Medienunternehmen wie zB für die Personalverwaltung oder Marketing sind die Bestimmungen des DSG und der DSGVO ungeschmälert anwendbar. Auch wenn aufgrund der Wichtigkeit des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft der Begriff der "journalistischen Tätigkeit" weit auszulegen ist, zielt die Verarbeitung personenbezogener Daten zu den oben genannten Zwecken nicht auf die Vermittlung von Informationen und Ideen über Fragen im öffentlichen Interesse ab.
  
  Die DSB hat die Befugnis, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge in Einklang mit der DSGVO zu bringen. Dies umfasst auch die Gestaltung des Cookie-Banners. Die Gestaltung des Cookie-Banners des Medienunternehmens entspricht nicht den Anforderungen der DSGVO, weil die Schaltfläche zum Ablehnen der Cookies nicht auf der ersten Ebene ist und mit der Schaltfläche "Akzeptieren" optisch nicht gleichwertig gestaltet ist.

BVwG 22.04.2024, W214 2253376-1

• Im Rahmen eines Forschungsprojekts veröffentlichte ein Universitätsprofessor Adressdaten und ZVR-Nummern von Vereinen und ihren Vertretern. Bei den veröffentlichten Adressdaten handelte es sich teilweise um die Privatadressen der Vertreter. Die Vereine und deren Vertreter erachteten sich in ihren Rechten auf Geheimhaltung und Information verletzt und brachten Datenschutzbeschwerde bei der DSB gegen die Universität, den Universitätsprofessor und den Fonds, welcher das Forschungsprojekt sponserte, ein. Die DSB wies die Datenschutzbeschwerde ua deshalb ab, weil die veröffentlichten Adressen und ZVR-Nummern der betroffenen Vereine und ihrer Vertreter aus öffentlich zugänglichen Quellen stammten.
  
  Die DSB sprach jedoch auch aus, dass eine gemeinsame Verantwortlichkeit zwischen der Universität und dem Fonds besteht und daher eine Vereinbarung gemäß Art 26 DSGVO abgeschlossen werden muss. Gegen diesen Bescheid erhoben sowohl die Universität als auch die Vereine und ihre Vertreter (teilweise erfolgreiche) Bescheidbeschwerden an das BVwG.
  
  Das BVwG hat erwogen: Die Universität ist allein datenschutzrechtlich Verantwortliche für das Forschungsprojekt. Das Handeln des Universitätsprofessors als Angestellter ist der Universität zuzurechnen. Der Fonds stellt lediglich finanzielle Mittel bereit und nimmt keinen Einfluss auf die Datenverarbeitung.
  
  Die Veröffentlichung von Adressen und ZVR-Nummern von Vereinen und deren Vertretern ist eine Datenverarbeitung. Durch die Verknüpfung der personenbezogenen Daten und die Anreicherung mit weiteren Informationen werden neue Daten und Informationen generiert. Diese neuen Daten stammen nicht aus öffentlichen Quellen.
  
  Die Daten juristischer Personen, somit die Adressen der Vereine, unterliegen dem Schutz des § 1 DSG. Da die Daten nicht 1:1 aus öffentlichen Quellen zusammengeführt, sondern mit anderen Daten kombiniert wurden, sind sie nicht allgemein verfügbar iSd § 1 DSG.
  
  Zwar kann sich die Universität bei der Durchführung und Veröffentlichung von Forschungsarbeiten auf die Wissenschaftsfreiheit gemäß § 17 StGG berufen. Allerdings ist auch bei wissenschaftlichen Vorhaben das Recht auf Geheimhaltung zu beachten. Die Veröffentlichung personenbezogener Daten muss verhältnismäßig sein und dem Grundsatz der Datensparsamkeit entsprechen. Die Veröffentlichung der Adressen der Vereine und deren Vertreter war für die Erreichung des Projektziels nicht erforderlich. Durch die überschießende Datenverarbeitung wurde das Recht auf Geheimhaltung verletzt.
  
  Betroffene natürliche Personen haben ein Recht auf Information zu der Verarbeitung ihrer Daten gemäß Art 14 DSGVO. Eine Ausnahme von der Informationspflicht besteht zwar unter anderem dann, wenn die Informationserteilung unmöglich ist oder einen unverhältnismäßigen Aufwand bedeuten würde. Im Projekt wurden jedoch einzelne Betroffene vorab direkt angeschrieben und informiert. Es ist nicht ersichtlich, warum dies nicht für alle Betroffenen hätte erfolgen können. Eine erst nachträglich bereitgestellte Datenschutzinformation gilt nicht als rechtzeitig erteilt.

BVwG 20.11.2023, W214 2222613-2

• Eine Kreditauskunftei speicherte ua Bonitätsscores sowie Zwischenergebnisse (Teil-scores) zu den errechneten Bonitätsscores. Ein Betroffener ersuchte um Auskunft und um eine Kopie der über ihn gespeicherten personenbezogenen Daten. Die Kreditauskunftei erteilte eine Auskunft, der Betroffene erachtete diese jedoch für unzureichend und erhob Datenschutzbeschwerde wegen Verletzungen der Rechte auf Auskunft, Information und Geheimhaltung. Die DSB wies die Datenschutzbeschwerde teilweise zurück und teilweise ab.
  
  Über die Bescheidbeschwerde des Betroffenen erging ein Teilerkenntnis des BVwG, das von beiden Parteien mit ordentlicher Revision beim VwGH bekämpft wird.
  
  Mit Beschluss vom selben Tag ersuchte das BVwG den EuGH um Vorabentscheidung betreffend die Zurverfügungstellung einer Kopie personenbezogener Daten. Mit Urteil vom 04.05.2023, C‑487/21, Österreichische Datenschutzbehörde, beantwortete der EuGH die Vorlagefragen, weshalb das Verfahren fortgesetzt wurde. Das BVwG gab der Bescheidbeschwerde (im noch zu erledigenden Umfang) teilweise statt, und trug der Kreditauskunftei auf, dem Betroffenen die ihn betreffenden Bonitätsreports mit Ausnahme allenfalls vorhandener Daten dritter natürlicher Personen zu übermitteln.
  
  Das BVwG hat erwogen: Gegenstand des Verfahrens ist nurmehr, ob die über den Betroffenen gespeicherten personenbezogenen Daten in Form einer Kopie – allenfalls in kontextualisierter Form – zu beauskunften sind. Auf die darüber hinausgehenden Ausführungen des Betroffenen zu den Verarbeitungszwecken und der Herkunft der Daten ist nicht weiter einzugehen. Ebenso wenig sind aussagekräftige Informationen über Logik, Tragweite und Auswirkungen der eingesetzten Scoreformel Verfahrensgegenstand.
  
  Kreditauskunfteien sind verpflichtet, ihren geschäftlichen Schriftwechsel und die Geschäftsbücher für sieben Jahre aufzubewahren. Dementsprechend werden im Archiv der Kreditauskunftei die an den Kunden der Kreditauskunftei übermittelten Bonitätsscores aufbewahrt. Die Kreditauskunftei hat daher dem Betroffenen die Kopien der entsprechenden Bonitätsreports zur Verfügung zu stellen, wobei eventuell vorhandene personenbezogene Daten Dritter (etwa Namen natürlicher Personen als Mitarbeiter des Unternehmens, welches Empfänger der Bonitätsreporte war) unkenntlich zu machen sind.
  
  Der EuGH hat den Begriff der "Kopie" im gewöhnlichen Sinn ausgelegt, wonach dadurch die originalgetreue Reproduktion oder Abschrift der personenbezogenen Daten bezeichnet wird. Somit handelt es sich beim Begriff der "Kopie" nicht um eine Binärfolge, sondern um eine Darstellung in einem für den Menschen verständlichen/lesbaren Format.
  
  Eine manuell erstellte Aufstellung kann eine originalgetreue Reproduktion der Daten sein, weil es auf die Originaltreue der verarbeiteten Daten und nicht auf jene des Formats ankommt. Die Daten des Betroffenen wurden originalgetreu aus der Datenbank exportiert und stimmen somit mit den in der Datenbank verarbeiteten Daten überein. Die originalgetreue Reproduktion geht nicht dadurch verloren, dass die Daten des Nutzers in ein anderes Format übertragen werden. In welchem Format die Auskunft erteilt wird, liegt im Ermessen des Verantwortlichen.
  
  Zudem darf gemäß Art 15 Abs 4 DSGVO das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Die Datenbankstruktur gilt als Geschäfts- und Betriebsgeheimnis, das durch Screenshots offengelegt werden würde.
  
  Die Teilscores sind zwar personenbezogene Daten, durch ihre Offenlegung könnten jedoch Rückschlüsse auf die Scoreformel möglich werden. Sie sind daher Bestandteil des durch das Geschäftsgeheimnis geschützten Algorithmus und demnach nicht zu beauskunften.

BVwG 22.07.2024, W211 2171666-1

• Eine Kreditauskunftei prognostizierte anhand mathematisch-statistischer Verfahren das zukünftige Verhalten von Personen und erstellte darauf basierende Score-Werte. Diese Score-Werte übermittelte die Kreditauskunftei an ihre Geschäftskunden, darunter einem Telekomunternehmen. Ein Kunde dieses Telekomunternehmens richtete ein Auskunftsersuchen an die Kreditauskunftei. Da er mit der erteilten Auskunft unzufrieden war, erhob er Datenschutzbeschwerde bei der DSB. Die DSB gab der Datenschutzbeschwerde teilweise statt, weil die Kreditauskunftei Negativauskünfte über den Betroffenen gelöscht hatte. Gegen den abweisenden Teil des Bescheides erhob der Kunde eine Bescheidbeschwerde.
  
  Das BVwG teilte seine Entscheidung in zwei Spruchpunkte. Mit dem ersten Spruchpunkt setzte das BVwG das Verfahren bis zur Entscheidung des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, aus. Mit dem zweiten Spruchpunkt trug das BVwG der Kreditauskunftei auf, dem Kunden eine Auskunft über die Herkunft des Score-Werts "Brutto-Mindesteinkommen des Haushalts" zu erteilen.
  
  Das BVwG hat erwogen: Die Kreditauskunftei ermittelt automatisiert einen Score-Wert, der auf mathematisch-statistischen Methoden beruht und das Verhalten sowie die Bonität des Kunden analysiert. Dieses Verfahren ist als Profiling zu qualifizieren. Von den übermittelten Score-Werten der Kreditauskunftei hängt maßgeblich ab, ob ihre Geschäftskunden, hier das Telekomunternehmen, ein Vertragsverhältnis mit der abgefragten Person eingehen. Daher können sich in einer Marktwirtschaft schwerwiegende Folgen für die Unabhängigkeit und Handlungsfähigkeit von Betroffenen ergeben. Nach vorläufiger Ansicht des BVwG ist der errechnete Score daher eine automatisierte Entscheidung iSd Art 22 DSGVO. In welchem Umfang die entsprechende Auskunft nach Art 15 Abs 1 lit h DSGVO zu erteilen ist, hängt jedoch vom Urteil des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, ab, weshalb das Verfahren ausgesetzt wird.
  
  Das BVwG hat bereits in einem vorhergehenden Erkenntnis ausgesprochen, dass die Kreditauskunftei dem Kunden die Herkunft des Score-Werts "Brutto-Mindesteinkommen des Haushalts" zu beauskunften hat. Ein entsprechender Leistungsauftrag wurde jedoch nicht erteilt. Über Revision des Kunden behob der VwGH das vorherige Erkenntnis des BVwG. Der Kreditauskunftei war nunmehr ein Leistungsauftrag zur Beauskunftung der Herkunft des Score-Werts "Brutto-Mindesteinkommen des Haushalts" zu erteilen.

• Das eigene Grundstück mit Video zu überwachen, ist grundsätzlich berechtigt. Über das eigene Grundstück hinaus dürfen Teile eines öffentlichen Weges und Teile von Nachbargrundstücken jedoch ohne ein entsprechendes berechtigtes Interesse nicht erfasst werden (BVwG 15.07.2024, W137 2268788-1).
  
  
• Das BVwG kann ein Verfahren bis zur Entscheidung des EuGH über ein Vorabentscheidungsersuchen aussetzen, auch wenn beim EuGH eine (bloß) ähnliche Rechtsfrage anhängig ist. Der VwGH ersuchte den EuGH um Vorabentscheidung, wann eine Datenschutzbeschwerde exzessiv ist. Diese Frage ist präjudiziell, weshalb das Verfahren auszusetzen ist (BVwG 04.07.2024, W211 2283135-1; BVwG 31.07.2024, W108 2283036-1).
  
  
• Wird die Datenschutzbeschwerde zurückgezogen, hat dies zur Folge, dass die angefochtenen Spruchpunkte des Bescheids der DSB dadurch (nachträglich) von einer unzuständigen Behörde erlassen wurden und sich diese Spruchpunkte (rückwirkend) als rechtswidrig erweisen (BVwG 21.08.2024, W214 2257555-1).

• Am 28.08.2024 hat Wien, LGBl 2024/24, die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart.

• Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.

• Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

• Am 12.09.2024 wird das Urteil in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV, und C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

• Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in ein öffentliches Register zu berichtigen ist, wenn das Geschlecht sich ändert.

• Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.

• Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH wird entscheiden, ob eine Aufsichtsbehörde, wenn sie eine Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse auszuüben hat. Anm: Die Zusammenfassung der Schlussanträge kann in der 15. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

• Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

• Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

VwGH 24.07.2024, Ra 2024/04/0376

Die Lebensgefährtin eines Angestellten fühlte sich von der Überwachung durch einen Detektiv in ihrem Recht auf Geheimhaltung verletzt. Die Arbeitgeberin ließ den Angestellten wegen einer arbeitsrechtlichen Auseinandersetzung observieren. Obwohl die Lebensgefährtin nicht Gegenstand des Observationsauftrags war, enthielt der Observationsbericht Fotos der Lebensgefährtin, auf denen sie allein zu sehen war, ihren vollen Namen und bezeichnete sie als "Zielperson 2". Die DSB gab der Datenschutzbeschwerde der Lebensgefährtin teilweise statt.

Gegen das Erkenntnis erhob der observierende Detektiv Bescheidbeschwerde an das BVwG, welches die Beschwerde abwies. Das BVwG sah die Verarbeitung der Daten der Lebensgefährtin nicht vom berechtigten Interesse des Detektivs gedeckt. Gegen das Erkenntnis erhob der Detektiv eine außerordentliche Revision an den VwGH. Der VwGH wies die Revision zurück.

Der VwGH hat erwogen: Bei der Beurteilung der Rechtmäßigkeit einer Datenverarbeitung gemäß Art 6 Abs 1 lit f DSGVO ist eine einzelfallbezogene Interessenabwägung durchzuführen. Eine Rechtsfrage von grundsätzlicher Bedeutung iSd Art 133 Abs 4 B-VG liegt bei Einzelfallbeurteilungen nur dann vor, wenn die Beurteilung krass fehlerhaft ist.

Die Ermittlung von Zeugen kann im berechtigten Interesse eines Detektivs liegen, muss aber vom Auftragsumfang gedeckt sein. Das Anfertigen von Fotos, auf denen die Lebensgefährtin allein zu sehen ist, fällt nicht unter die Beschaffung von Beweismitteln für ein gerichtliches oder behördliches Verfahren. Inwieweit die Fotos für einen eventuellen arbeitsrechtlichen Streit mit dem Angestellten von Nutzen sein könnten, ist nicht ersichtlich. Eine krasse Fehlbeurteilung, die aus Gründen der Rechtssicherheit einer Korrektur bedürfte, wurde in der Revision ebenso wenig aufgezeigt wie eine konkrete Rechtsfrage.

BVwG 08.07.2024, W177 2287425-1

Ein Verlassenschaftskurator stellte für die Verlassenschaft beim Bundesminister für Finanzen (BMF) ein Auskunftsbegehren betreffend den Verstorbenen bzw seiner Verlassenschaft, einschließlich seiner Kontodaten im Kontenregister. Der BMF wies den Antrag mit Bescheid ab. Gegen diesen Bescheid erhob die Verlassenschaft (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Verlassenschaft hat kein Auskunftsrecht aus dem Kontenregister nach § 4 Abs 1 KontRegG, weil die Ermittlung und Feststellung von Nachlassvermögen keiner der in dieser Bestimmung taxativ genannten Zwecke ist.

Gemäß § 4 Abs 4 KontRegG haben betroffene Personen und Unternehmer das Recht auf Auskunft, welche sie betreffende Daten in das Kontenregister aufgenommen sind. Der Verlassenschaft steht dieses Auskunftsrecht nicht zu, weil es personenbezogene Daten des Verstorbenen sind. Das Auskunftsrecht nach dieser Bestimmung ist ein höchstpersönliches Recht, das mit dem Tod des Berechtigten erlischt. In höchstpersönliche Rechte des Verstorbenen findet eine Rechtsnachfolge durch die Verlassenschaft nicht statt. Dies gilt auch für das Auskunftsrecht nach dem DSG oder der DSGVO, an die die Bestimmung des § 4 Abs 4 KontRegG angelehnt ist.

Die Verlassenschaft steht zudem in keinem schuldrechtlichen Verhältnis zur Behörde, von der die Auskunft begehrt wird, sodass ein Eintritt im Wege der Gesamtrechtsnachfolge iSd Eigenschaft eines Kunden oder einer Kundin eines Kreditinstituts zur Begründung des Auskunftsrechts nicht in Betracht kommt. Die Verlassenschaft hat jedoch die Möglichkeit, direkt vom Kreditinstitut, mit dem der Verstorbene ein Vertragsverhältnis begründet hatte, Auskunft zu begehren.

BVwG 24.07.2024, W274 2287428-1

Ein Versicherter ersuchte die Gebietskrankenkasse um Löschung des Krankengeldbezugs über einen näher bezeichneten Zeitraum aus seinem Sozialversicherungsdatenauszug, weil der Krankengeldbezug für diesen Zeitraum seines Erachtens zu Unrecht als "Krankengeldbezug Sonderfall" ausgewiesen war. Der Versicherte befürchtete, dass die Daten ihm bei der Arbeitssuche schaden würden. Die Gebietskrankenkasse verweigerte die Löschung.

Der Versicherte erhob eine Datenschutzbeschwerde. Die DSB hat allerdings bereits zuvor eine Datenschutzbeschwerde des Versicherten, in dem die Löschung des Krankengeldbezugs zum Teil über denselben Zeitraum verlangt wurde, abgewiesen. Obwohl die DSB diese zeitliche Überlappung erkannte, wies sie die Datenschutzbeschwerde zur Gänze ab. Das BVwG wies die dagegen gerichtete Bescheidbeschwerde des Versicherten teilweise wegen entschiedener Sache (res iudicata) zurück und teilweise ab.

Das BVwG hat erwogen: Über einen Teil des Zeitraums betreffend den Krankengeldbezug hat die DSB bereits mit einem früheren Bescheid abgesprochen. Die DSB erkannte zwar die Identität der Sache über einen Großteil des Zeitraums, dennoch wies sie die Datenschutzbeschwerde ab. Wurde von der DSB ein neuerlicher Antrag trotz Identität der Sach- und Rechtslage nicht wegen res iudicata zurückgewiesen, sondern aus materiellen Gründen (wieder) abgewiesen, ist die Partei ungeachtet der Rechtswidrigkeit des Bescheids in keinem Recht verletzt. Wird gegen eine solche rechtswidrige meritorische Erledigung jedoch Bescheidbeschwerde an das BVwG erhoben, hat das BVwG den Antrag – ungeachtet der Sachentscheidung der DSB – wegen res iudicata zurückzuweisen.

Hinsichtlich des darüber hinausgehenden Zeitraums war die Bescheidbeschwerde abzuweisen. Die gesetzliche Pensionsversicherung knüpft am Krankengeld an. Die Grundlage der entsprechenden Information für die Pensionsversicherung ist der Versicherungsdatenauszug. Die Verarbeitung des Versicherungsdatenauszugs ist zur Erfüllung der gesetzlichen Pflicht der Gebietskrankenkasse erforderlich.

Die Qualifikation "Krankenfeldbezug Sonderfall" wird verwendet, wenn aufgrund des Bezugs von Arbeitslosengeld, Karenzurlaubsgeld oder Notstandshilfe oder auf Grund einer durch eine Beschäftigung bei einer internationalen Organisation (zB IAEO, UNIDO) oder verschiedenen Gemeinde- und Landesbediensteten begründeten Krankenversicherung nach dem ASVG-Krankengeld bezogen wurde, wobei der Grund, warum es zu diesem Krankengeldbezug gekommen ist, für die Speicherung der Qualifikation unerheblich ist.

Der Versicherte meint, sein Krankengeldbezug wäre im genannten Zeitraum aufgrund einer unzulässigen Zwangsmaßnahme nach dem UbG erfolgt, woran die Qualifikation "Krankengeldbezug Sonderfalle" anknüpfe, weshalb die Aufnahme dieser Qualifikation des Krankengeldbezugs in den Versicherungsdatenauszug unrechtmäßig war. Für die Speicherung der Qualifikation ist der Grund, weshalb es zum Krankengeldbezug gekommen ist, jedoch unerheblich. Relevant ist nur der festgestellte und nicht bestrittene Zusammenhang mit dem Notstandshilfebezug des Versicherten.

BVwG 27.06.2024, W176 2248629-1

Eine Patientin absolvierte nach einer Hüftoperation ein Anschlussheilverfahren gemäß § 65a B-KUVG in einem Rehabilitationszentrum. Zu diesem Zeitpunkt war sie dement und kognitiv signifikant eingeschränkt. Die Ärzte des Rehabilitationszentrums forderten einen neurologischen MRT-Befund von einer medizinischen Einrichtung an, um den Gesundheitszustand der Patientin und den weiteren Behandlungsverlauf besser einschätzen zu können. Durch die Weitergabe ihrer Daten ohne ausdrückliche Zustimmung erachtete sich die Patientin in ihrem Recht auf Geheimhaltung verletzt. Sie legte deshalb eine Datenschutzbeschwerde bei der DSB ein. Die Datenschutzbeschwerde wurde von der DSB abgewiesen, ihre anschließende Bescheidbeschwerde beim BVwG blieb ebenso erfolglos.

Das BVwG hat erwogen: Bei der Verarbeitung besonderer Kategorien von Daten iSd Art 9 Abs 1 DSGVO, wozu ua Gesundheitsdaten gehören, muss ein Erlaubnistatbestand des Art 9 Abs 2 DSGVO erfüllt sein. Die Patientin war aufgrund ihrer kognitiven Einschränkungen nicht in der Lage, eine ausdrückliche Einwilligung zur Datenverarbeitung zu erteilen. Folglich kann sich die medizinische Einrichtung nicht auf die ausdrückliche Einwilligung der Patientin zur Datenverarbeitung gemäß Art 9 Abs 2 lit a DSGVO berufen.

Das physiotherapeutische Anschlussheilverfahren war keine medizinische Notsituation. Die durchgeführte Datenverarbeitung kann daher nicht auf ein lebenswichtiges Interesse der Patientin gestützt werden. Die Datenverarbeitung war weder zum Schutz lebenswichtiger Interessen der Patientin erforderlich noch war eine konkrete Gefahrensituation abzuwenden.

Die Übermittlung des MRT-Befundes war jedoch erforderlich, um den Gesundheitszustand und den weiteren Behandlungsverlauf im Anschlussheilverfahren zu beurteilen. Diese Verarbeitung von Gesundheitsdaten ist gemäß Art 9 Abs 2 lit h DSGVO zulässig, weil sie der medizinischen Diagnostik, Versorgung oder Behandlung der Patientin dient. Die medizinische Einrichtung war Teil eines gehobenen medizinisch-technischen Dienstes (§ 1 Z 3 iVm § 2 Abs 3 MTD-G) und unterliegt der Verschwiegenheitspflicht gemäß § 11c Abs 1 MTD-G. Allerdings ist sie verpflichtet, relevante medizinische Informationen an andere Angehörige der Gesundheitsberufe weiterzugeben, sofern diese für die Behandlung oder Pflege erforderlich sind (§ 11b Abs 2 MTD-G).

BVwG 08.07.2024, W137 2265905-1

Ein Ehemann installierte eine Kamera in der Tiefgarage eines Mehrparteienhauses, weil der PKW seiner Ehefrau in der Vergangenheit des Öfteren beschädigt wurde. Nach der Darstellung des Ehemanns zeichnete die Kamera nur dann auf, wenn sie Bewegungen in unmittelbarer Nähe des PKWs erkannte, zudem war der Aufnahmebereich auf seinen eigenen Garagenplatz begrenzt. Auch das Mikrofon der Kamera würde nur durch Stimmen in unmittelbarer Umgebung aktiviert werden. Ein Nachbar fühlte sich durch die Kamera gestört und belegte mit Screenshots, dass größere Flächen der Garage aufgenommen wurden.

Die DSB gab der Datenschutzbeschwerde des Nachbarn statt und stellte fest, dass der Ehemann den Nachbarn durch die Verarbeitung von Bild- und Tonaufnahmen in seinem Recht auf Geheimhaltung verletzt hat. Die dagegen erhobene Bescheidbeschwerde des Ehemannes blieb erfolglos.

Das BVwG hat erwogen: Eine Videoüberwachung durch eine Privatperson kann grundsätzlich rechtmäßig sein, wenn die Privatperson an der Datenverarbeitung ein berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO hat sowie die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Das berechtigte Interesse des Ehemanns lag im Schutz seines Eigentums. Die von ihm durchgeführte Datenverarbeitung war jedoch überschießend und ging über den Zweck hinaus, weil die Kamera auch andere Garagenplätze sowie den Durchgang der Tiefgarage erfasste. Die Datenverarbeitung war somit nicht auf das notwendige Maß beschränkt.

Eine Tonaufnahme kann im berechtigte Interesse zulässig sein. Die entsprechenden Tonaufnahmen waren zur Überwachung des PKWs jedoch nicht erforderlich, weil eine auf den Garagenplatz eingeschränkte Videoüberwachung jedenfalls ausgereicht hätte, um im Falle der Beschädigung des PKWs als Beweismittel zu dienen.

Die DSGVO selbst schützt nur natürliche Personen, jedoch ist in verfassungskonformer Interpretation davon auszugehen, dass die in § 1 DSG normierten Rechte auch juristischen Personen zukommen und diese sich folglich darauf berufen können. Geschäftliche Daten, die Schlüsse auf die wirtschaftliche Gebarung der juristischen Person zulassen, sind schutzwürdige unternehmensbezogene Wirtschaftsdaten. Betreffend die Anforderungen für eine Zustimmung iSd § 1 Abs 2 DSG ist auf das Konzept der Einwilligung iSd Art 4 Z 11 DSGVO zurückzugreifen. Eine rechtswirksame Zustimmung zur Datenverarbeitung durch eine Behörde ist möglich (BVwG 30.07.2024, W287 2254678-1).

In einer Datenschutzbeschwerde ist das als verletzt erachtete Recht zu bezeichnen. Wird dieses Recht – auch nach einem Mangelbehebungsauftrag – nicht bezeichnet, ist die Datenschutzbeschwerde von der DSB zurückzuweisen (BVwG 24.07.2023, W274 2291735-1).

Wird dem einzigen Beschwerdepunkt durch die DSB mit Beschwerdevorentscheidung vollinhaltlich entsprochen, ist die Beschwerdevorentscheidung zu bestätigen, auch wenn der Bescheidbeschwerde Berechtigung zukam (BVwG 24.07.2024, W274 2292105-1).

Auf Verfahren zur Bestimmung der federführenden Aufsichtsbehörde ist § 38 Satz 2 AVG (Aussetzung eines Verfahrens bis zur Lösung einer Vorfrage) nicht anzuwenden. Eine Verfahrensaussetzung ist auch nach 24 Abs 10 Z 2 DSG nicht möglich, weil diese Bestimmung keine rechtliche Grundlage für eine Verfahrensaussetzung enthält, sondern nur eine Hemmung des Fristenlaufes normiert. Die Zeit während eines Kohärenzverfahrens nach Art 56, 60 und 63 DSGVO ist in die sechsmonatige Entscheidungsfrist nicht einzurechnen (BVwG 08.07.2024, W137 2280182-1).

Gemäß § 13 Abs 7 AVG können Anbringen in jeder Lage des Verfahrens zurückgezogen werden. Solange die Bescheidbeschwerde beim BVwG anhängig ist, kann sie zurückgezogen werden. Das Verfahren ist mit Beschluss einzustellen (BVwG 17.07.2024, W108 2276381-2).

DSB 07.07.2024, 2023-0.358.049

Ein Fahrgast erhielt vom Verkehrsunternehmen eine Mehrgebühr wegen der Nutzung öffentlicher Verkehrsmittel ohne Fahrschein, obwohl er zu diesem Zeitraum nicht in der Stadt war und ein Klimaticket besaß. Nachdem er einen Scan seines Klimatickets an das Verkehrsunternehmen übermittelte, wurde der Fall geschlossen. Der Betroffene verlangte die Löschung seiner Daten.

Das Verkehrsunternehmen verweigerte die Löschung und verwies auf die buchhalterischen Aufbewahrungspflichten nach § 132 Abs 1 BAO, den §§ 190, 212 UGB und § 18 UStG. Der Fahrgast erachtete sich in seinem Recht auf Löschung verletzt, weil die Datenverarbeitung auf einer Fahrlässigkeit des Verkehrsunternehmens beruht habe. Hätte das Verkehrsunternehmen die Identität der tatsächlich kontrollierten Person ordnungsgemäß überprüft, wäre die Buchung nicht erfolgt. Die DSB wies die Datenschutzbeschwerde des Fahrgasts ab.

Die DSB hat erwogen: Das Verkehrsunternehmen verarbeitete die personenbezogenen Daten des Fahrgasts als Verantwortliche iSd Art 4 Z 7 DSGVO. Nach Art 17 Abs 1 DSGVO steht dem Fahrgast grundsätzlich das Recht zu, die Löschung seiner personenbezogenen Daten zu begehren. Die Löschung kann jedoch nach Abs 3 lit b leg cit verweigert werden, soweit die Verarbeitung der Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Gemäß § 212 Abs 1 UGB und § 132 BAO trifft den Unternehmer eine siebenjährige Aufbewahrungspflicht hinsichtlich seiner Bücher, Belege und Buchungen. Dies dient der Erfüllung der Rechnungslegungspflicht gemäß §§ 189 ff UGB, um den zuständigen Behörden steuerrechtliche Feststellungen und mögliche Nachprüfungen zu ermöglichen. Die Speicherung der personenbezogenen Daten des Fahrgasts ist für die Erfüllung dieser gesetzlichen Aufgabe erforderlich, um den Grundsätzen ordnungsgemäßer Buchführung gerecht zu werden. Dabei ist es unerheblich, dass die Daten des Fahrgasts ohne sein Zutun von dem Verkehrsunternehmen erhoben wurden, weil die kontrollierte Person in betrügerischer Absicht seine Daten angab. Das Verkehrsunternehmen entsprach daher dem Löschungsersuchen des Fahrgasts zu Recht nicht. Es liegen auch keine Anhaltspunkte vor, dass die Daten des Fahrgasts vom Verkehrsunternehmen zweckwidrig verwendet wurden, weshalb Art 17 Abs 1 lit d DSGVO nicht einschlägig ist.

Am 19.08.2024 hat das Bundesland Tirol, LGBl 2024/56, die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart.

Am 23.08.2024 hat das Bundesland Steiermark, LGBl 2024/87, die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart.

Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.

Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

Am 12.09.2024 werden die Schlussanträge in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV und Rs C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht.

Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in ein öffentliches Register zu berichtigen ist, wenn das Geschlecht sich ändert.

Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.

Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d’agir de l’autorité de protection des données), veröffentlicht. Der EuGH wird entscheiden, ob eine Aufsichtsbehörde, wenn sie eine Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse auszuüben hat. Anm: Die Zusammenfassung der Schlussanträge in dieser Rechtssache kann in der 15. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.

VwGH 24.07.2024, Ro 2023/04/0001; VwGH 24.07.2024, Ra 2023/04/0270

Die DSB gab zwei Datenschutzbeschwerden statt, in welchen jeweils bei derselben Kreditauskunftei die Löschung von negativen Zahlungserfahrungen begehrt wurde. Das BVwG änderte beide Bescheide der DSB dahingehend ab, dass die Datenschutzbeschwerden abgewiesen werden. Die DSB erhob jeweils Amtsrevision an den VwGH.

Die Kreditauskunftei teilte dem VwGH in beiden Verfahren mit, dass sie in der Zwischenzeit die negativen Erfahrungswerte gelöscht und die Betroffenen hierüber informiert hat. Der VwGH erklärte beide Verfahren für gegenstandslos und stellte die Verfahren mit Beschluss ein.

Der VwGH hat erwogen: Gemäß § 33 Abs 1 erster Satz VwGG ist die Revision mit Beschluss als gegenstandslos geworden zu erklären und das Verfahren einzustellen, wenn in irgendeiner Lage des Verfahrens offenbar wird, dass der Revisionswerber klaglos gestellt wurde. Auch im Fall einer Amtsrevision ist bei Wegfall des rechtlichen Interesses an einer meritorischen Entscheidung das Verfahren wegen Gegenstandslosigkeit einzustellen.

Dem mit der Datenschutzbeschwerde erhobenen Löschungsbegehren wurde von der Kreditauskunftei entsprochen. Der mit der Datenschutzbeschwerde begehrte Zustand wurde hergestellt, weshalb von einer Klaglosstellung des Betroffenen und einem Wegfall des rechtlichen Interesses an der Entscheidung über die Revision ausgegangen werden kann. Achtung: Die Klaglosstellung führt vor dem VwGH nur dann zur Einstellung des Verfahrens, wenn der Verantwortliche vor dem BVwG obsiegt hat. Bis zur Entscheidung des BVwG kann der Betroffene hinsichtlich Auskunfts-, Löschungs-, Berichtigungs-, Einschränkungs- und Portabilitätsbegehren jederzeit klaglos gestellt werden.

Anm: Zwischen den Entscheidungen des BVwG und des VwGH hat der EuGH am 07.12.2023 in den verbundenen Rs C-26/22 und C-64/22, SCHUFA Holding (Libération de reliquat de dette), über die Speicherdauer von Daten, die von Kreditauskunfteien aufbewahrt werden, entschieden. Im Mai 2024 informierte die Kreditauskunftei den VwGH über die Löschung der negativen Erfahrungswerte.

Steht nicht fest, dass eine Information erteilt wurde (Negativfeststellung), fehlt die Kausalität für sämtliche Schadenersatzansprüche. Die Wahrnehmungen von Zeugen, die keine Angaben zur tatsächlichen Weitergabe personenbezogener Daten machen können, sind kein taugliches Beweisthema (OGH 24.07.2024, 1Ob87/24m).

BVwG 22.07.2024, W211 2271978-1

Für eine Hausbetreuung benutzte eine Hausverwaltung die private E-Mailadresse und Telefonnummer eines Hausbesorgers. Der Hausbesorger widerrief gegenüber der Hausverwaltung – seinem Arbeitgeber – die Einwilligung, seine privaten Kontaktdaten an Dritte weiterzugeben. Der Hausbesorger ersuchte um ein Diensttelefon sowie einen dienstlichen E-Mailaccount. Dennoch versandte die Hausverwaltung weiterhin E-Mails bzw Auftragsbestätigungen, in denen die privaten Kontaktdaten des Hausbesorgers aufschienen. Erst nach mehreren Monaten stellte die Hausverwaltung dem Hausbesorger ein Diensttelefon und eine dienstliche E-Mailadresse zur Verfügung. Aufgrund eines Krankenstands versandte die Personalverrechnung der Hausverwaltung – nachdem eine Kontaktaufnahme über die dienstliche E-Mailadresse und das Diensttelefon scheiterte – eine Aufforderung zur Vorlage einer Krankenstandbestätigung an die private E-Mailadresse des Hausbesorgers. Die auf eine Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde wies die DSB als unbegründet ab. Hiergegen erhob der Hausbesorger Bescheidbeschwerde an das BVwG, das der Bescheidbeschwerde teilweise stattgab.

Das BVwG hat erwogen: Sowohl bei privaten Telefonnummern als auch privaten E-Mailadressen handelt es sich um personenbezogene Daten. Seine Zustimmung für die Weitergabe dieser personenbezogenen Daten widerrief der Hausbesorger zwar, doch ist eine Datenverarbeitung auch dann ohne Zustimmung der betroffenen Person zulässig, wenn dies zur Wahrung überwiegender berechtigter Interessen von Dritten erforderlich ist. Im Hinblick auf die ordnungsgemäße Erfüllung der dienstlichen Aufgaben eines Hausbesorgers bestand zwar ein berechtigtes Interesse der Hausverwaltung daran, den Hausbesorger ausreichend einfach und für den Notfall rasch erreichen zu können. Das Verwenden der privaten Kontaktdaten war jedoch nicht erforderlich.

Der Hausverwaltung wäre es freigestanden, ein dienstliches Telefon und eine dienstliche E-Mailadresse bereits sehr viel früher zur Verfügung zu stellen und damit den notwendigen Kommunikationsfluss auch abseits der privaten Kontaktdaten aufrecht zu erhalten.

Auch wenn die Änderung der Kommunikationswege nach langjähriger Praxis eine gewisse Übergangszeit in Anspruch nehmen kann, wäre es der Hausverwaltung spätestens innerhalb eines Monats zumutbar gewesen, ein dienstliches Telefon mit einer Sim-Karte und einen dienstlichen E-Mailaccount zur Verfügung zu stellen. Insofern war die Angabe der privaten Kontaktdaten des Hausbesorgers in den E-Mails bzw Auftragsbestätigungen nicht erforderlich, weshalb die Hausverwaltung gegen das Geheimhaltungsrecht verstoßen hat.

Die Kontaktaufnahme der Personalverrechnungsstelle der Hausverwaltung zur Übermittlung einer Krankenstandbestätigung durch den Hausbesorger war hingegen rechtmäßig. Die Personalverrechnung bediente sich aufgrund der Dringlichkeit und der möglichen Folgen einer Verspätung (auch) der privaten E-Mailadresse des Hausbesorgers. Die damit verbundene Datenverarbeitung lag nicht nur im überwiegenden berechtigten Interesse der Hausverwaltung an der Abwicklung ihrer rechtlichen Verpflichtungen, sondern auch im Interesse des Hausbesorgers an einer rechtzeitigen und richtigen Lohnabrechnung.

BVwG 08.07.2024, W252 2241322-1

Ein ehemaliger Beschuldigter beantragte die Löschung seiner erkennungsdienstlichen Daten. Diese Daten (Identität, Beschreibung, Finger- und Handflächenabdrücke, Lichtbilder, DNA-Profil) wurden aufgrund eines Tatverdachts gegen ihn iZm absichtlich schwerer Körperverletzung erhoben und in der "Zentralen erkennungsdienstlichen Evidenz" iSd § 75 SPG gespeichert. Obwohl der ehemalige Beschuldigte von diesem Vorwurf später rechtskräftig freigesprochen wurde, lehnte die Landespolizeidirektion die Löschung der Daten ab. Sie begründete dies mit einer nicht ausreichend langen Wohlverhaltenszeit sowie einer negativen Gefährdungsprognose und einem öffentlichen Interesse an der weiteren Speicherung der Daten. Folglich erhob der ehemalige Beschuldigte eine Datenschutzbeschwerde bei der DSB. Die DSB wies diese jedoch ab, woraufhin er (erfolglos) Bescheidbeschwerde beim BVwG einlegte.

Das BVwG hat erwogen: Bei den erkennungsdienstlichen Daten handelt es sich sowohl um personenbezogene Daten iSd Art 4 Z 1 DSGVO (Identität, Beschreibung, Lichtbilder) als auch um genetische Daten iSd Art 4 Z 13 DSGVO (DNA-Profil) und biometrische Daten iSd Art 4 Z 14 DSGVO (Finger- und Handflächenabdrücke). Aufgrund der Schwere des dem ehemaligen Beschuldigten vorgeworfenen Delikts sind die Voraussetzungen für die erkennungsdienstliche Erhebung der Daten iSd §§ 64, 65 und 67 SPG erfüllt. Gemäß § 73 Ab 1 Z 4 SPG hat eine Löschung der erkennungsdienstlichen Daten von Amts wegen zu erfolgen, es sei denn, es liegen konkrete Umstände vor, die befürchten lassen, dass der Beschuldigte erneut gefährliche Angriffe begeht.

Der ehemalige Beschuldigte wurde zwar im Verfahren betreffend absichtlicher schwerer Körperverletzung freigesprochen, jedoch zeigt seine Vorgeschichte, dass weiterhin von einer Gefahr auszugehen ist. Er trat in regelmäßigen Abständen mehrfach polizeilich in Erscheinung, ua iZm Besitz verbotener Waffen, falscher Beweisaussage und Suchtgifthandel. Gerade bei Gewaltdelikten mit direktem Körperkontakt können aus DNA-Spuren wesentliche Schlüsse gezogen werden. Auch die spezialpräventive Wirkung des Wissens des ehemaligen Beschuldigten um die Verarbeitung seiner erkennungsdienstlichen Daten ist geeignet, künftige gefährliche Angriffe zu verhindern.

BVwG 18.07.2024, W137 2252081-1

Eine Betroffene trat beim Sanierungsprojekt ihres Elternhauses als Ansprechperson für das Bauunternehmen auf. Für die Fertigstellung der Fassade beauftragte das Bauunternehmen eines seiner Subunternehmen. Auf Nachfrage der Betroffenen um den Stand der Dinge leitete das Bauunternehmen den Namen, die Adresse und die Telefonnummer der Betroffenen an das Subunternehmen, ein Fassadenunternehmen, weiter, um eine einfachere Korrespondenz bezüglich der Fassade zu ermöglichen. Die Betroffene brachte daraufhin eine Datenschutzbeschwerde bei der DSB ein und behauptete, durch die Weitergabe ihrer Daten durch das Bauunternehmen und dessen Geschäftsführer in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Das Bauunternehmen und dessen Geschäftsführer brachten im Verfahren vor, dass die Betroffene am Telefon bestätigte, mit der Weitergabe ihrer Informationen einverstanden zu sein. Diese stritt dies jedoch ab. Die DSB gab der Datenschutzbeschwerde statt. Daraufhin erhoben das Bauunternehmen und dessen Geschäftsführer eine (erfolgreiche) Bescheidbeschwerde beim BVwG.

Das BVwG hat erwogen: Die Betroffene hat bereits zuvor dem Bauunternehmen die Zustimmung erteilt, ihre Telefonnummer zwecks Terminvereinbarung und Kontaktaufnahme an diverse Subunternehmen weiterzugeben. Dies ergab sich aus dem vorgelegten E-Mail-Verkehr zwischen der Betroffenen und dem Bauunternehmen. Die Einwilligung bezog sich auf alle zu denselben Zwecken vorgenommenen Verarbeitungsvorgänge. Der Zweck der Weitergabe war die rasche und unkomplizierte Bearbeitung von Problemen sowie die Terminvereinbarung bei Mängeln und Reklamationen.

Betreffend das Fassadenunternehmen erfolgte ausschließlich eine telefonische Kommunikation. Bei einer lebenspraktischen Betrachtung konnte auch das Fassadenunternehmen davon ausgehen, dass die Betroffene dem Bauunternehmen die Zustimmung zur Weitergabe der Telefonnummer gab.

Der Zweck der Weitergabe, nämlich die Kontaktaufnahme, war zudem klar abgegrenzt. Eine funktionale Abgrenzung kann auch über eine längere Periode definiert sein. Nicht gefolgt wird der dem angefochtenen Bescheid offensichtlich zugrunde gelegten Ansicht, dass ein Bauunternehmen in jedem Einzelfall eine gesonderte Zustimmung einholen müsste. Dies wäre im Kontext eines Bauprojekts lebensfremd und würde auch von einem überschießenden Schutzgedanken getragen.

Darüber hinaus durfte das Bauunternehmen die Daten auch in seinem berechtigten Interesse an das Fassadenunternehmen weitergeben. Das berechtigte Interesse des Bauunternehmens war die Weitergabe von Kontaktdaten an Subunternehmen zur raschen und unkomplizierten Bearbeitung von Problemen.

BVwG 22.07.2024, W211 2286882-1

Ein Minderjähriger stellte, vertreten durch seine Eltern, ein Auskunftsersuchen an die DSB. Die DSB erteilte dem Minderjährigen mehrfach Auskünfte und übermittelte ihm Kopien von Unterlagen, die seine personenbezogenen Daten enthielten. Der Minderjährige erachtete die Auskunft und die Kopien für unvollständig und erhob daher Datenschutzbeschwerde bei der DSB. Die DSB wies die Datenschutzbeschwerde zunächst im Hinblick auf Art 15 Abs 1 und 2 DSGVO ab und setzte das Verfahren hinsichtlich Art 15 Abs 3 DSGVO aus. Das BVwG bestätigte diese Entscheidung rechtskräftig. Nachdem der EuGH in der Rechtssache C-487/21, Österreichische Datenschutzbehörde, klargestellt hatte, dass das Recht auf eine Kopie kein eigenständiges Recht, sondern eine Modalität der Auskunftserteilung ist, wies die DSB die Beschwerde des Minderjährigen hinsichtlich Art 15 Abs 3 DSGVO zurück. Dagegen erhob der Minderjährige (erfolglos) Bescheidbeschwerde beim BVwG.

Das BVwG hat erwogen: Wird die Datenschutzbeschwerde von der DSB zurückgewiesen, ist "Sache" des Verfahrens vor dem BVwG nur die Frage der Rechtmäßigkeit der Zurückweisung. Eine inhaltliche Entscheidung ist dem BVwG verwehrt. Das BVwG entschied bereits mit rechtskräftigem Erkenntnis über das Auskunftsersuchen des Minderjährigen und hielt fest, dass die DSB die Auskunft iSd Art 15 Abs 1 bis 3 DSGVO vollständig erteilt hat und diese ausreichend verständlich und nachvollziehbar war. Da Art 15 Abs 3 DSGVO dem Betroffenen kein zusätzliches, eigenständiges Recht auf Kopien einräumt, bleibt kein Raum, über Art 15 Abs 3 DSGVO gesondert abzusprechen. Durch das rechtskräftige Erkenntnis des BVwG wurden alle Aspekte des Auskunftsrechts behandelt und einer Entscheidung zugeführt.

Wird das Verhängen einer Geldbuße nur angeregt – nicht aber beantragt –, darf die Datenschutzbehörde den "Antrag" auf Verhängen einer Geldbuße nicht zurückweisen. Der entsprechende Spruchpunkt ist vom BVwG ersatzlos zu beheben.

Voraussetzung für die Zulässigkeit der Bescheidbeschwerde ist das Bestehen eines Rechtsschutzinteresses. Der Bescheid muss die Rechtssphäre des Beschwerdeführers zu dessen Nachteil berühren. Stellt die DSB eine Verletzung im Recht auf Geheimhaltung fest, ist der Beschwerdeführer durch die abschlägige Behandlung eines weiteren auf das gleiche Rechtsschutzziel abzielenden "Beschwerdevorbringens" nicht beschwert (BVwG 27.06.2024, W176 2251448-1). Anm: Der Beschwerdeführer wird auch durch die Zurückweisung eines nichtgestellten Antrags auf das Verhängen einer Geldbuße in seiner Rechtsphäre nicht berührt und ist somit nicht beschwert. Wurde kein Antrag gestellt, war die DSB jedoch unzuständig. Die Unzuständigkeit ist von Amts wegen aufzugreifen. Das BVwG behob daher den entsprechenden Spruchpunkt zu Recht.

Bei Nichtfeststellbarkeit eines Umstandes ist davon auszugehen, dass dieser nicht vorliegt. Dies gilt auch für die Frage, ob personenbezogene Daten verarbeitet wurden. Ist auf einer Videoaufnahme die Erkennbarkeit der Personen ausgeschlossen, ist davon auszugehen, dass keine personenbezogenen Daten verarbeitet wurden (BVwG 27.06.2023, W298 2261979-1).

Das LVwG Wien fragte den EuGH zu den inhaltlichen Anforderungen, die eine Auskunft iSd Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidungsfindung) erfüllen muss (Rs C-203/22, Dun & Bradstreet Austria). Da im anhängigen Verfahren vor dem BVwG die gleichen Rechtsfragen zu beurteilen sind, die dem Vorlagebeschluss des LVwG Wien zugrunde liegen, ist das Verfahren iSv Art 81 DSGVO auszusetzen (BVwG 01.07.2024, W108 2230691-1). Anm: Das BVwG setzt regelmäßig Verfahren aus, um Urteile des EuGH abzuwarten. IdR wird die Aussetzung "nur" auf § 38 AVG gestützt. Das BVwG zog in diesem Fall zusätzlich Art 81 DSGVO im Lichte des ErwGr 144 DSGVO heran.

Gemäß § 24 Abs 4 DSG erlischt der Anspruch auf Behandlung einer Datenschutzbeschwerde, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis vom beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind zurückzuweisen. Bei den in § 24 DSG genannten Fristen handelt es sich um Präklusivfristen, auf die von Amts wegen, also bei feststehendem Sachverhalt, ohne Einwendung Bedacht genommen werden muss. Bringt der Beschwerdeführer vor, dass er von einem Datenschutzverstoß, der länger als die einjährige Präklusivfrist zurückliegt, erst später Kenntnis erlangt hat, hat er dies nachzuweisen (BVwG 15.07.2024, W137 2273833-1).

Die Zurückziehung der Bescheidbeschwerde ist so lange zulässig, bis die Bescheidbeschwerde unerledigt ist. Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 01.07.2024, W108 2247870-1).

Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 07.2024, W287 2261108-1; 10.07.2024, W252 2261086-1 und andere).

Am 12.08.2024 wurde mit der VO 2024/2019 "zur Änderung des Protokolls Nr. 3 über die Satzung des Gerichtshofs der Europäischen Union" die Satzung des EuGH novelliert. Gleichzeitig erfolgten auch Änderungen der Verfahrensordnungen des EuGH und des EuG. Zudem erließ das EuG praktische Durchführungsbestimmungen zu seiner Verfahrensordnung und beschloss die Einreichung und Zustellung von Schriftsätzen via e-Curia.

Zweck der Reform der Verfahren vor den Unionsgerichten ist die Entlastung des EuGH. Einerseits wird künftig das EuG in besonderen Sachgebieten für Vorabentscheidungsersuchen grundsätzlich zuständig. Andererseits wird die Zulässigkeit von Rechtsmitteln gegen Entscheidungen des EuG an den EuGH eingeschränkt.

Das Datenschutzrecht verbleibt in der Zuständigkeit des EuGH. Aufgrund der Entlastung des EuGH könnten datenschutzrechtliche Vorabentscheidungsersuchen jedoch schneller erledigt werden.

Am 12.08.2024 haben die Bundesländer Kärnten, LGBl 2024/64, und Salzburg, LGBl 2024/69, die Etablierung eines Transparenzportals verlautbart.

Am 12.08.2024 wurde vom Bundesfinanzminister die Transparenzdatenbank-Abfrageverordnung 2024, BGBl II 2024/223, kundgemacht. Darin werden für die Transparenzdatenbank die Leseberechtigungen in Leistungsangebote mit besonderen Kategorien personenbezogener Daten ("sensible Daten") geregelt.

Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.

Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

Am 12.09.2024 werden die Schlussanträge in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV und Rs C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht.

Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in ein öffentliches Register zu berichtigen ist, wenn das Geschlecht sich ändert.

Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.

EuGH 12.09.2024, C-17/22 ua, HTB Neunte Immobilien 

Gesellschaftsrecht, Rechtsgrundlagen, vertragliche Verpflichtung, berechtigte Interessen

• Mehre an einem als Publikumspersonengesellschaft organisierten Investmentfonds beteiligte Investmentgesellschaften verlangten von zwei treuhänderischen Beteiligungsgesellschaften Auskunft über Namen und Adressen aller ihrer mittelbar beteiligten Mitgesellschafter. Die Investmentgesellschaften verlangten diese Auskunft, um mit den anderen Gesellschaftern Kontakt aufnehmen und über den Abkauf ihrer Gesellschaftsanteile in Verhandlungen treten zu können. Die Beteiligungsgesellschaften lehnten die Auskunft ab, weil im Beteiligungsvertrag die Auskunftserteilung ausgeschlossen wurde. Das vorlegende Gericht fragte den EuGH, ob die Auskunft auf die Erfüllung einer vertraglichen Verpflichtung iSd Art 6 Abs 1 lit b DSGVO oder auf das berechtigte Interesse iSd Art 6 Abs 1 lit f DSGVO gestützt werden kann.
  

  Der EuGH hat erwogen: Eine Datenverarbeitung ist für die Erfüllung eines Vertrags dann erforderlich, wenn der Verantwortliche nachweisen kann, dass der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden kann. Die Daten müssen zur ordnungsgemäßen Erfüllung des Vertrags wesentlich sein. Für die Verarbeitung der Daten darf keine praktikable und weniger einschneidende Alternative bestehen. Wenn in Beteiligungs- und Treuhandverträgen die Weitergabe von Daten anderer Gesellschafter ausdrücklich ausgeschlossen ist, ist eine Weitergabe der Daten für die Erfüllung des Vertrags nicht erforderlich. Die Datenübermittlung kann daher nicht auf die Vertragserfüllung gestützt werden.

  Bei der im Einzelfall durchzuführenden Interessenabwägung nach Art 6 Abs 1 lit f DSGVO ist das Interesse eines an dem Investmentfonds beteiligten Gesellschafters am Erhalt der Daten den Interessen anderer Gesellschafter an der Geheimhaltung ihrer Daten gegenüberzustellen. Ein Interesse der an einem Investmentfonds beteiligten Gesellschafter an einer Kontaktaufnahme wegen des Erwerbs ihrer Anteile kann nicht ausgeschlossen werden. Eine Verarbeitung der Daten im berechtigten Interesse muss jedoch zum Zeitpunkt der Erhebung der Daten erwartbar sein und darf für den Betroffenen nicht überraschend erfolgen. Ist die Weitergabe von Daten an andere Gesellschafter in einem Vertrag ausdrücklich ausgeschlossen, können die Gesellschafter nicht damit rechnen, von anderen Gesellschaftern kontaktiert zu werden.

  Eine Datenverarbeitung gestützt auf Art 6 Abs 1 lit c DSGVO ist dann gerechtfertigt, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche gemäß dem Recht des betreffenden Mitgliedstaats unterliegt. Das Recht des Mitgliedstaats kann dabei auch die nationale Rechtsprechung umfassen. Die Rechtsprechung muss aber klar, präzise formuliert und für die Rechtsunterworfenen vorhersehbar sein und ein im öffentlichen Interesse liegendes Ziel verfolgen, zu dem sie in einem angemessenen Verhältnis steht.

EuGH Schlussanträge 12.09.2024, C‑203/22, Dun & Bradstreet

Automatisierte Entscheidung, Bonität, Auskunft

• Einer Betroffenen wurde von einem Mobilfunkanbieter wegen mangelnder Bonität der Abschluss bzw die Verlängerung eines Mobilfunkvertrags verweigert. Die Bonitätsdaten wurden dem Mobilfunkanbieter von einer Bonitätsauskunftei zur Verfügung gestellt, die die Bonitätsbeurteilung automatisiert durchgeführt hat. Die DSB gab dem Antrag der Betroffenen auf Erteilung relevanter Informationen über die der automatisierten Entscheidungsfindung zugrunde liegende Logik statt. Das BVwG bestätigte teilweise die Entscheidung der DSB und stellte fest, dass das Auskunftsrecht der Betroffenen gemäß Art 15 Abs 1 lit h DSGVO verletzt wurde, weil ihr keine aussagekräftigen Informationen über die bei der automatisierten Entscheidungsfindung in Bezug auf ihre personenbezogenen Daten involvierte Logik zur Verfügung gestellt wurde. Die Betroffene beantragte beim Magistrat der Stadt Wien die Zwangsvollstreckung dieser Entscheidung, die abgelehnt wurde. Nach Einlegen eines Rechtsbehelfs beim LVwG Wien ersuchte dieses den EuGH um Vorabentscheidung.
  
  Der Generalanwalt hat erwogen: Das Auskunftsrecht des Art 15 Abs 1 lit h DSGVO muss es der Betroffenen ermöglichen, ihre Rechte aus Art 22 DSGVO wahrzunehmen, die sich speziell auf eine Situation beziehen, in welcher die Betroffene einer auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen wird. Die Aussagekraft von Informationen setzt voraus, dass diese Informationen präzise, leicht zugänglich, verständlich sowie in klarer und einfacher Sprache abgefasst sind. Zudem müssen sie hinreichend vollständig und kontextbezogen sein, um es der Betroffenen zu ermöglichen, ihre Richtigkeit sowie das Bestehen einer objektiv nachprüfbaren Übereinstimmung und eines objektiv nachprüfbaren Kausalzusammenhangs zwischen einerseits der verwendeten Methode und den herangezogenen Kriterien und andererseits dem Ergebnis der fraglichen automatisierten Entscheidung zu überprüfen.
  
  Grundsätzlich muss der – naturgemäß technische – Prozess, der zu dieser Entscheidung geführt hat, verständlich gemacht werden. Der Verantwortliche ist aber nicht verpflichtet, Informationen offenzulegen, die aufgrund ihrer technischen Natur einen solchen Komplexitätsgrad aufweisen, dass sie von Personen ohne besondere technische Fachkenntnisse nicht nachvollzogen werden können. Dies gilt etwa für Algorithmen, die im Rahmen einer automatisierten Entscheidungsfindung eingesetzt werden. Der betroffenen Person sind Informationen über den Entscheidungsprozess, über die Gründe für das Ergebnis dieser Entscheidung und damit über die verwendete Methode und die berücksichtigten Kriterien sowie deren Gewichtung bereitzustellen, nicht aber die verwendeten Algorithmen ausführlich zu erläutern oder der gesamte Algorithmus offenzulegen.

EuGH Schlussanträge, C-383/23 12.09.2024, ILVA (Amende pour violation du RGPD)

Geldbuße, Unternehmensbegriff, Verhältnismäßigkeit

• Über die dänische Möbelhauskette ILVA, ein Tochterunternehmen der übergeordneten Lars Larsen Group, verhängte das Bezirksgericht Aarhus infolge einer Verletzung der DSGVO eine Geldbuße. Gegen diese Entscheidung legte die Staatsanwaltschaft Berufung an das vorlegende Gericht ein und vertrat die Ansicht, dass für die Berechnung der Geldbuße nicht nur der Umsatz des Tochterunternehmens ILVA, sondern der Gesamtumsatz der Lars Larsen Unternehmensgruppe zu berücksichtigen sei. Das vorlegende Gericht fragte nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.
  
  Der Generalanwalt hat erwogen: Bei der Verhängung von Geldbußen nach der DSGVO sind die wesentlichen Garantien eines Strafverfahrens einzuhalten. Aus der Rechtsprechung des EuGH lässt sich ableiten, dass der Grundsatz der Verhältnismäßigkeit einer der fundamentalen Grundsätze des Unionsrechts ist und bei dessen Anwendung vor nationalen Gerichten und Behörden beachtet werden muss. Der Grundsatz der Verhältnismäßigkeit verpflichtet die Mitgliedstaaten, Maßnahmen zu ergreifen, die zur Erreichung der verfolgten Ziele geeignet sind und nicht über das hinausgehen, was für die Zielerreichung erforderlich ist.
  
  Aus der Rechtsprechung des Gerichtshofs geht klar hervor, dass der Grundsatz der Verhältnismäßigkeit erstens erfordert, dass die verhängte Strafe der Schwere der Straftat entspricht, und zweitens, dass bei der Festsetzung der Strafe und der Höhe der Geldbuße die individuellen Umstände des konkreten Falls berücksichtigt werden. Nach der Rechtsprechung des EGMR haben die Mitgliedsstaaten die Pflicht, sicherzustellen, dass die verhängte Strafe nicht überschießend – und somit unverhältnismäßig – ist.
  
  Bei der Festsetzung des Höchstbetrags einer Geldbuße soll der Begriff "Unternehmen" den Art 101 und 102 AEUV entsprechen. Daher wird der weltweite Gesamtjahresumsatz des Unternehmens berücksichtigt, zu dem der Verantwortliche oder der Auftragsverarbeiter gehört.
  
  Bei der Bestimmung der tatsächlich zu verhängenden Geldbuße muss das nationale Gericht jedoch die speziellen Umstände zur Entscheidungsfindung berücksichtigen und sicherstellen, dass der Grundsatz der Verhältnismäßigkeit beachtet wird, wobei ein angemessener Ausgleich zwischen den Erfordernissen des allgemeinen Interesses der Gemeinschaft am Schutz personenbezogener Daten und den Erfordernissen des Schutzes der Grundrechte des Verantwortlichen, des Auftragsverarbeiters oder des Unternehmens, zu dem dieser gehört, hergestellt wird.

EuGH Schlussanträge 12.09.2024, C-247/23, Deldits

Transgender, Berichtigung, Register

• Ein Transgender-Mann mit iranischer Staatsangehörigkeit, der als "Frau" geboren wurde, erhielt in Ungarn die Flüchtlingseigenschaft. Die Fremdenpolizei nahm personenbezogene Daten, einschließlich des Geschlechts (weiblich), in das Flüchtlingsregister auf. Der Transgender-Mann beantragte unter Vorlage von Bescheinigungen von Psychiatern und Gynäkologen die Berichtigung des Registers gemäß Art 16 DSGVO, was abgelehnt wurde, weil keine geschlechtsangleichende Operation nachgewiesen wurde. Über die daraufhin erhobene Klage des Transgender-Mannes, fragte das vorlegende Gericht den EuGH, ob die Stelle, die ein nationales Register führt, die Daten einer Betroffenen zu berichtigten hat, wenn sich deren Daten, seit deren Eintragung ins Register geändert haben und bejahendenfalls, welche Nachweise die Betroffene zu erbringen hat.
  
  Der Generalanwalt hat erwogen: Art 5 Abs 1 lit d DSGVO verlangt, dass personenbezogene Daten sachlich richtig und auf dem neuesten Stand sein müssen. Art 16 DSGVO gibt der betroffenen Person das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Die Eintragung des Geschlechts als "weiblich" ist unrichtig, weil sich die Person als Transgender-Mann identifiziert und entsprechende Nachweise vorgelegt hat. Art 8 Abs 2 der EU-Grundrechtecharta garantiert das Recht auf Berichtigung der Daten, Art 16 DSGVO spiegelt dieses Recht wider und trägt zur Einhaltung des Grundsatzes der Richtigkeit bei. Die Richtigkeit der Daten hängt vom Kontext und dem Zweck der Datenerhebung ab.
  
  Das Flüchtlingsregister dient der Identifizierung, und das Geschlecht gehört zu den Identifikationsdaten natürlicher Personen. Art 16 DSGVO verlangt nicht, dass eine Person eine geschlechtsangleichende Operation nachweist, um die Berichtigung ihrer Daten zu beantragen. Der EGMR verurteilt die Auferlegung eines solchen Erfordernisses, weil es die vollständige Ausübung des Rechts auf Achtung des Privatlebens von der Aufgabe des Rechts auf körperliche Unversehrtheit abhängig macht. Eine Betroffene, die die Berichtigung von Daten beantragt, muss zwar Nachweise vorlegen, um die Unrichtigkeit einer fehlerhaften Eintragung nachzuweisen, aber sie muss nicht nachweisen, dass sie sich einer geschlechtsangleichenden Operation unterzogen hat.

VwGH 25.06.2024, Ra 2022/04/0167

Eine Justizwachebeamtin wurde von einem Strafgefangenen tätlich angegriffen. Die zuständige Staatsanwaltschaft (StA) führte deshalb ein Strafverfahren gegen den Strafgefangenen durch. Die personenbezogenen Daten der Beamtin gelangten in den Ermittlungsakt und wurden von der StA an den Haftrichter übersendet. Der Strafgefangene nahm Akteneinsicht und gelangte dadurch an die personenbezogenen Daten der Justizwachebeamtin.

Die Justizwachebeamtin brachte Datenschutzbeschwerde bei der DSB ein und brachte vor, die StA habe ihr Recht auf Geheimhaltung durch Weitergabe ihrer Daten an den Strafgefangenen verletzt. Die DSB wies die Datenschutzbeschwerde ab, weil bei der StA keine Einsicht in den physischen Akt stattgefunden hat und somit von der StA an den Strafgefangenen keine Daten weitergegeben wurden.

Das BVwG gab der Bescheidbeschwerde der Justizwachebeamtin mit der Begründung statt, dass die StA dem Haftrichter personenbezogene Daten der Justizwachebeamtin weitergegeben hat, obwohl dies nicht erforderlich gewesen wäre.

Der VwGH stellte zunächst an den VfGH den Antrag, dieser möge jene Bestimmungen des DSG als verfassungswidrig aufheben, die die DSB für Datenverarbeitungstätigkeiten bei den Staatsanwaltschaften für zuständig erklären. Nachdem der VfGH diesen Antrag des VwGH abwies, behob der VwGH das Erkenntnis wegen funktioneller Unzuständigkeit des BVwG.

Der VwGH hat erwogen: Aufgrund der zulässigen Revision ist eine allfällige Unzuständigkeit des BVwG von Amts wegen aufzugreifen.

Den äußersten Rahmen für die Prüfbefugnis des BVwG bildet die "Sache" des Verfahrens. Diese "Sache" ist nur jene Angelegenheit, die den Inhalt des Spruchs der DSB gebildet hat. Die Entscheidung des BVwG hat sich innerhalb jenes Themas zu bewegen, über das die DSB entschieden hat. Entscheidet das BVwG in einer Angelegenheit, die kein Gegenstand des Verfahrens vor der DSB war, so fällt eine solche Entscheidung nicht in die funktionelle Zuständigkeit des BVwG. Eine solche Entscheidung ist daher mit Rechtswidrigkeit infolge Unzuständigkeit belastet.

Der verfahrenseinleitende Antrag, dh die Datenschutzbeschwerde, ist nicht maßgeblich. Wird die Datenschutzbeschwerde durch den Bescheid der DSB nicht vollständig erledigt, steht dem Betroffenen das Säumnisbeschwerdeverfahren zur Verfügung.

Die DSB hat nur über die Offenlegung bzw Nichtoffenlegung durch die StA an den Strafgefangen abgesprochen. Der Datenfluss von der StA an den Haftrichter war vom Spruch des Bescheides der DSB nicht umfasst. Indem das BVwG über einen Verfahrensgegenstand entschieden hat, der nicht Inhalt des Spruchs des angefochtenen Bescheides war, hat es seine Kognitionsbefugnis überschritten.

Nach Ablauf der gesetzlich normierten Löschungspflichten der Telefonanbieter gemäß § 167 Abs 1 und 2 TKG 2021 [bzw § 99 Abs 1 und 2 TKG 2003] kann die Auswertung von Verkehrsdaten grundsätzlich nicht mehr durchgeführt werden (OGH 17.07.2024, 11Os20/24m).

Gemäß § 358 ASVG ist für die Feststellung des Geburtsdatums der versicherten Person die erste schriftliche Angabe der versicherten Person gegenüber dem Versicherungsträger heranzuziehen. Eine spätere Berichtigung des Geburtsdatums durch ein ausländisches Gericht ändert daran nichts. Das sozialversicherungsrechtliche Geburtsdatum ist eine andere Datenkategorie als das biologische Geburtsdatum. Die Legitimität des Zwecks einer Datenverarbeitung ist gegeben, wenn der Zweck von der Rechtsordnung gedeckt bzw mit ihr vereinbar ist. Die Regelung des § 358 ASVG ist weder verfassungswidrig (vgl VfGH 12.06.2023, G 206/2023) noch ist sie mit der DSGVO unvereinbar (OGH 09.07.2024, 10ObS11/24a). Anm: Auch der VwGH hält § 358 ASVG mit Art 16 DSGVO für vereinbar (VwGH 08.04.2024, Ra 2022/04/0056).

Ein Grundstückseigentümer montierte eine Wildkamera auf seinem Grund. Die Kamera erfasste einen Teil eines Forstweges, der von einer Bringungsgenossenschaft genutzt wurde. Eine Bringungsgenossenschaft ist eine forstrechtliche Genossenschaft, die von Grundeigentümern und Nutzungsberechtigten gebildet wird (§ 68 ForstG).

Bei dem überwachten Abschnitt des Weges handelte es sich um einen Interessentenweg gemäß § 7 Abs 1 Z 5 Steiermärkisches Landes-Straßenverwaltungsgesetz (LStVG). Die Mitglieder der Bringungsgenossenschaft nutzten den Weg für forstliche und jagdliche Zwecke.

Der Grundstückseigentümer installierte die Kamera, um Lichtbilder zu sammeln, welche er an die Polizei weitergab. Dies führte zu Verwaltungsstrafverfahren gegen andere Mitglieder der Bringungsgenossenschaft.

Die DSB gab einer Datenschutzbeschwerde dieser anderen Mitglieder Folge und stellte eine Verletzung ihrer Geheimhaltungsrechte fest. Das BVwG änderte den Bescheid der DSB dahingehend ab, dass die Datenschutzbeschwerde abgewiesen wird.

Das BVwG hat erwogen: Die Überwachung eines öffentlichen Interessentenwegs durch eine Wildkamera erfolgt im berechtigten Interesse des Grundstückseigentümers, um die Nutzung des Weges durch unberechtigte Personen zu verhindern. Als Eigentümer des Grundstücks hat er ein berechtigtes Interesse, dass dieser Weg nicht von einem weiteren als den im § 7 Abs 1 Z 5 LStVG genannten Personenkreis benutzt wird. Die Überwachung durch eine einzelne Wildkamera, die nur bei Bewegung auslöst und bei Erkennen der Bewegung ein einzelnes Bild lokal speichert, ist als verhältnismäßig anzusehen. Gelindere Mittel, wie eine persönliche Kontrolle, wären praktisch kaum umsetzbar.

Da sowohl der Grundstückseigentümer als auch die betroffenen Mitglieder Teil der Bringungsgenossenschaft sind, stehen diese in einem engen Verhältnis zueinander und kannten die Natur des Weges sowie den zur Benützung berechtigten Personenkreis. Bei objektiver Würdigung lag die Überwachung auch im Interesse der Bringungsgenossenschaft, denn die Satzung der Genossenschaft sprach wiederholt von "schonender" und "notwendiger" Nutzung.

Die Anfertigung der Lichtbilder zum Zweck der Beweissicherung und zur Erstattung von Anzeigen wegen verwaltungsstrafrechtlich relevanter Sachverhalte ist ein erhebliches Interesse iSd Art 6 Abs 1 lit f DSGVO.

Wird ein Erkenntnis nach der Verhandlung mündlich verkündet, kann das Erkenntnis in gekürzter Form ausgefertigt werden, wenn von den Parteien auf die Revision beim Verwaltungsgerichtshof und die Beschwerde beim Verfassungsgerichtshof verzichtet wird oder nicht binnen zwei Wochen nach Ausfolgung bzw Zustellung der Verhandlungsniederschrift die Ausfertigung des Erkenntnisses beantragt wird (BVwG 24.07.2024, W605 2282514-1).

Anbringen können in jeder Lage des Verfahrens zurückgezogen werden. Unter "Anbringen" ist auch eine Säumnisbeschwerde zu verstehen. Wird eine Säumnisbeschwerde zurückgezogen, ist das Säumnisbeschwerdeverfahren mangels Erledigungsanspruch als gegenstandslos einzustellen (BVwG 22.07.2024, W292 2294844-1).

Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 02.07.2024, W214 2261131-1, BVwG 02.07.2024, W214 2263511-1 und andere).

Am 08.08.2024 haben die Bundesländer Vorarlberg, LGBl 2024/48, und Burgenland, LGBl 2024/49, eine Vereinbarung gemäß Art 15a B-VG über die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) kundgemacht. Zur Vermeidung von Doppel- und Mehrfachförderungen aus öffentlichen Mitteln werden an das Transparenzportal personenbezogene Daten, darunter auch besondere Kategorien personenbezogener Daten, übermittelt.

Am 12.08.2024 haben auch die Bundesländer Kärnten, LGBl 2024/64 und Salzburg, LGBl 2024/69, die Etablierung des Transparenzportals verlautbart.

Am 12.08.2024 wurde vom Bundesfinanzminister die Transparenzdatenbank-Abfrageverordnung 2024, BGBl II 2024/223, kundgemacht. Darin werden für die Transparenzdatenbank die Leseberechtigungen in Leistungsangebote mit besonderen Kategorien personenbezogener Daten ("sensiblen Daten") geregelt.

Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.

Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

Am 12.09.2024 werden die Schlussanträge in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV und Rs C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht.

Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in ein öffentliches Register zu berichtigen ist, wenn das Geschlecht sich ändert.

Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.

Der Begriff des Privatlebens umfasst die Freiheit jeder Person, ihr Leben und ihre persönlichen, beruflichen und gesellschaftlichen Tätigkeiten zu gestalten. Der Eingriffsvorbehalt, dh die Zulässigkeit des Grundrechtseingriffs, kann bei beruflichen und geschäftlichen Tätigkeiten allerdings weitergehen als in anderen Fällen.

Eine Meldepflicht für steuerliche Planungs- und Gestaltungsaktivitäten im Kontext persönlicher, beruflicher oder geschäftlicher Tätigkeiten greift in das Recht auf Achtung des Privatlebens ein. Der Eingriff ist zwar nicht unerheblich, aber dennoch verhältnismäßig und gerechtfertigt, weil die Bekämpfung der aggressiven Steuerplanung und die Verhinderung der Gefahren von Steuervermeidung und Steuerhinterziehung wichtige Ziele des Unionsrechts sind (EuGH 29.07.2024, C-623/22, Belgian Association of Tax Lawyers).

OLG Graz 15.07.2024, 9Bs171/24a

• Ein Vermieter wurde verdächtigt, in einem von ihm an Urlauber vermieteten Appartement unbefugte Bildaufnahmen sexuell konnotierter Körperteile durch eine als Wecker getarnte Spykamera gemacht zu haben, sodass die Anordnung der Hausdurchsuchung bewilligt wurde. Gegen diesen Durchsuchungsbeschluss erhob der Vermieter Beschwerde.
  
  Das OLG Graz hat erwogen: Da die Durchsuchung bereits vollzogen wurde, ist die richtige Anwendung des Gesetzes zu prüfen. Die Rechtmäßigkeit der Durchsuchungsbewilligung ist zum Zeitpunkt der Entscheidung des Erstgerichts (ex-ante-Perspektive) zu beurteilen.
  
  Die gerichtliche Bewilligung der Hausdurchsuchung erfordert einen begründeten Verdacht, der vor dem Eingriff bestimmt und hinreichend sein muss. Eine Durchsuchung ist nur zulässig, wenn aufgrund bestimmter Tatsachen anzunehmen ist, dass sich dort sicherzustellende oder auszuwertende Gegenstände oder Spuren befinden. Der Verdacht beruhte auf den Ermittlungsergebnissen, insbesondere den Angaben der mutmaßlichen Opfer. Die heimliche Installation einer auf die Sauna gerichteten Kamera legt auch den Schluss nahe, dass es dem Vermieter darauf ankam, Bildaufnahmen ohne Einwilligung seiner Opfer zu machen.
  
  Zwar wurde die Spykamera direkt nach der Anzeige von einem Polizeibeamten sichergestellt, ob die Kamera tatsächlich Videos aufzeichnete, konnte aber vorerst nicht festgestellt werden. Um zu beweisen, dass auf die Kamera zugegriffen wurde und unbefugte Bildaufnahmen gemacht wurden, war daher eine Hausdurchsuchung erforderlich. Ein Zuwarten auf die Auswertung hätte die Gefahr geborgen, dass der Vermieter Beweise vernichtet. Aus demselben Grund kamen eine Vernehmung des Vermieters oder ein anderer zielführender und grundrechtsschonenderer Ermittlungsschritt nicht in Frage.
  
  Die Durchsuchung war verhältnismäßig. Das Gewicht einer strafbaren Handlung und deren sozialer Störwert misst sich nicht ausschließlich an der Strafdrohung. Angesichts der beiden Opfer des mehrtägigen Tatzeitraums und dem nicht unerheblichen Gewicht der angelasteten Straftat ist die Durchsuchung gerechtfertigt.

Aus der Rechtsprechung des OGH (Strafrecht):

• Gelangt der Inhalt einer verschlüsselten Kommunikation im Rechtshilfeweg in das Ermittlungsverfahren der Staatsanwaltschaft, unterliegen die von ausländischen Behörden übermittelten Kommunikationsdaten keinem Beweisverwertungsverbot (OGH 17.07.2024, 11Os55/24h).

• Sicherheitspolizeiliche Fallkonferenzen verfolgen – wie sich bereits aus dem Gesetzeswortlaut des § 22 Abs 2 SPG ergibt – das Ziel, gefährlichen Angriffen auf Leben, Gesundheit, Freiheit, Sittlichkeit, Vermögen oder Umwelt vorzubeugen und Schutzmaßnahmen für die gefährdeten Personen möglichst effizient aufeinander abzustimmen. Es wird durch den Informationsaustausch zwischen den zuständigen Behörden und Institutionen die Möglichkeit geschaffen, koordinierte Maßnahmen zur Verhinderung von Straftaten zu ergreifen. Gemäß § 56 Abs 1 Z 9 SPG dürfen die Sicherheitsbehörden personenbezogene Daten an die Teilnehmerinnen und Teilnehmer der Sicherheitspolizeilichen Fallkonferenz übermitteln. Die Teilnehmer sind – sofern sie nicht ohnehin der Amtsverschwiegenheit unterliegen – jedoch zur vertraulichen Behandlung der Daten verpflichtet (LVwG NÖ 06.06.2024, LVwG-AV-2018/001-2023).

BVwG 08.07.2024, W137 2278780-1

• Ein ehemaliger Arbeitnehmer erhob Datenschutzbeschwerde bei der DSB, weil die von ihm begehrte Datenauskunft des ehemaligen Arbeitgebers unvollständig gewesen sei. Der Arbeitnehmer befand sich parallel bereits in zwei Arbeits- und Sozialgerichtlichen Verfahren gegen den Arbeitgeber. Der Arbeitgeber hat Dokumente von der Auskunft ausgenommen, weil sonst in Rechte und Freiheiten anderer Personen in Hinsicht auf die Verfahren eingegriffen werden würde. Die DSB hat die Beschwerde abgewiesen, woraufhin der Arbeitnehmer Bescheidbeschwerde beim BVwG erhob, das diese ebenfalls abwies.
  
  Das BVwG hat erwogen: Die Auskunft war vollständig. Vorbringen, die auf Dokumente gerichtet sind, die angeblich existieren müssten, sind unbeachtlich. Eine Auskunft darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen (Art 15 Abs 4 DSGVO). Das betrifft grundsätzlich alle Rechte, die vom Recht der Union oder des nationalen Rechts anerkannt sind. Nach § 4 Abs 6 DSG besteht das Auskunftsrecht "in der Regel" dann nicht, wenn durch die Erfüllung Geschäfts- oder Betriebsgeheimnisse gefährdet werden. Durch diese Formulierung ist klargestellt, dass eine Abwägung der Interessen im Einzelfall stattfinden muss. Die begehrten Dokumente waren Teil der parallel geführten ASG-Verfahren. Deren Beauskunftung hätte die Prozessposition des Arbeitgebers geschwächt, weshalb ein berücksichtigungswürdiges Geheimhaltungsinteresse vorlag und die Beauskunftung verweigert werden durfte. Die Beschaffung von prozessstärkender Information geht über den Schutzzweck der Norm hinaus.

BVwG 15.07.2024, W298 2284627-1

• Die Betreiberin eines Restaurants betrieb in den Gästeräumen mehrere Überwachungskameras zum Zwecke des Eigentumsschutzes der Gäste und zur speziellen Gefahrenprävention sowie zur Möglichkeit der Aufklärung von Straftaten. Eine der Kameras im Garderobenbereich war so eingestellt, dass sie den Toiletteneingangsbereich miterfasste. Die DSB stellte einen Verstoß gegen die Verarbeitungsgrundsätze der DSGVO fest, weil der Aufnahmebereich über das für die Gefahrenabwehr unbedingt erforderliche Ausmaß hinausging. Die DSB verhängte über die Restaurantbetreiberin eine Geldstrafe. Die Restaurantbetreiberin bekämpfte das Straferkenntnis nur der Höhe nach beim BVwG. Das BVwG reduzierte den Betrag der Geldstrafe.
  
  Das BVwG hat erwogen: Das Verhängen einer Geldbuße im Zuge einer überschießenden Videoüberwachung ist aus generalpräventiven Gründen unbedingt erforderlich. Eine Verwarnung nach Art 11 DSG kommt nicht in Betracht. Grundsätzlich hat jede Aufsichtsbehörde nach Art 83 Abs 1 DSGVO sicherzustellen, dass das Verhängen von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
  
  In Art 83 Abs 2 DSGVO sind Zumessungskriterien angeführt, die bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall "gebührend" zu berücksichtigen sind (zB Art, Schwere und Dauer des Verstoßes).
  
  Das Verschulden der Restaurantbetreiberin war – entgegen der Auffassung der DSB – nur geringfügig. Zum einen war es nicht möglich, den Toiletteneingangsbereich zu betreten, ohne zuvor den Garderobenbereich zu passieren, für dessen Videoüberwachung eine Registrierung bei der DSB vorlag. Insofern hatten sich die Gäste beim Betreten der Toilette ohnedies einer (kurzfristigen) Datenverarbeitung auszusetzen. Zum anderen war die Beeinträchtigung durch die unrechtmäßige Überwachung im Toiletteneingangsbereich als zeitlich gering und vergleichsweise wenig eingriffsintensiv zu werten. Da es sich zudem um den ersten einschlägigen Verstoß der Restaurantbetreiberin handelte, war die verhängte Geldbuße auf EUR 1.500 zzgl EUR 150 an Kosten des Strafverfahrens zu reduzieren.

BVwG 12.07.2024, W298 2287221-1

• Anlässlich eines Nachbarschaftskonflikts erließ das örtlich zuständige Bezirksgericht mehrere einstweilige Verfügungen gegen den Nachbarn, einen Stalker. Dem Stalker wurde das Betreten des Straßenabschnitts rund um das Grundstück seines Nachbarn, der die einstweiligen Verfügungen erwirkte, untersagt. Der Stalker verstieß gegen das Betretungsverbot. Zum Beweis dafür legte der Nachbar im bezirksgerichtlichen Verfahren mehrere Videoaufnahmen vor, die er mit seiner Actionkamera angefertigt hatte. Darüber hinaus betrieb er zwei fest montierte Videokameras, die ausschließlich sein Grundstück erfassten. Sowohl die DSB als auch das BVwG beurteilten die Anfertigung der Videoaufnahmen zur Beweismittelsicherung als datenschutzrechtlich zulässig.
  
  Das BVwG hat erwogen: Die Verarbeitung personenbezogener Daten durch Anfertigung von Videoaufnahmen ist nach der Judikatur des EuGH unter drei kumulativen Voraussetzungen zulässig. Die Videoüberwachung bedarf (i) der Wahrnehmung eines berechtigten Interesses, sie muss (ii) erforderlich sein und (iii) das berechtigte Interesse des Verantwortlichen muss das Interesse des Betroffenen auf Datenschutz überwiegen.
  
  Der Nachbar verfolgte mit der Installation des Videoüberwachungssystems ein berechtigtes Interesse. Er wollte sein Eigentum sowie Leib und Leben schützen. Zur Beantwortung der Frage, ob die Videoaufnahmen erforderlich gewesen sind, ist der besondere Unrechtsgehalt, der sich aus dem Stalking über einen längeren Zeitraum ergibt, zu beachten. Alternative Maßnahmen, wie ein vor dem Bezirksgericht vorgelegtes Stalking-Protokoll, sind nicht ausreichend, um das Stalking zu unterbinden. Der Stalker hat sich – hinsichtlich der Verarbeitung aller hier verfahrensgegenständlichen personenbezogenen Daten – entgegen seinen rechtlichen Verpflichtungen in Bereiche begeben, in denen er sich nicht aufhalten durfte. Nach den vernünftigen Erwartungen konnte der Stalker davon ausgehen, dass er einer Datenverarbeitung unterliegen könnte, die zum Ziel hat, sein Verhalten gegenüber Behörden und Gerichten offenzulegen, die für die Einhaltung dieser Regeln verantwortlich sind.

BVwG 10.06.2024, W148 2291941-1

• Ein Journalist begehrte eine erweiterte Auskunft gem § 9 WiEReG aus dem Register der wirtschaftlichen Eigentümer. Er begehrte insbesondere Einsicht in das dort hinterlegte Compliance-Package zu einer GmbH. Der Journalist begründete sein Recht auf Auskunft mit seiner Rolle als public watchdog. Die Information brauchte der Journalist für eine Recherche über die Umsetzung von Sanktionsmaßnahmen gegen die für die GmbH handelnden Akteure. Der Bundesminister für Finanzen als Registerbehörde wies die Anträge des Journalisten zurück. Gegen den Zurückweisungsbescheid erhob der Journalist (erfolglose) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Das WiEReG räumt natürlichen Personen und Organisationen, die ein berechtigtes Interesse nachweisen können, gemäß § 10 WiEReG ein Einsichtsrecht ein. Dieses umfasst Angaben zum Rechtsträger sowie den wirtschaftlichen und indirekt wirtschaftlichen Eigentümern. Weitere Informationen, insbesondere zum Compliance-Package, sind vom Einsichtsrecht nicht umfasst. In der Bestimmung hat der Gesetzgeber die Aufgabe von Journalisten als public watchdogs anerkannt und ihnen ein berechtigtes Interesse zugestanden. Ein gesamtgesellschaftliches Interesse des Journalisten auf Einsicht kann aber nur soweit aufgegriffen werden, wie dies vom anwendbaren Gesetz anerkannt ist, was im vorliegenden Fall durch § 10 WiEReG geschehen ist.

BVwG 10.07.2024, W298 2293438-1

• Eine Hausverwaltung veröffentlichte durch Aushang in einer Wohnanlage ein Schreiben, das personenbezogene Daten eines Wohnungseigentümers enthielt. Die Hausverwaltung sah zur Durchführung eines Umlaufbeschlusses gem § 24 WEG eine gesetzliche Notwendigkeit für die Veröffentlichung des Schreibens. Der betroffene Wohnungseigentümer fühlte sich in seinem Recht auf Geheimhaltung verletzt und erhob Datenschutzbeschwerde. Gegen den stattgebenden Bescheid der DSB erhob die Hausverwaltung (erfolglose) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Nach § 1 Abs 2 DSG sind Beschränkungen des Geheimhaltungsanspruchs unter anderem bei überwiegenden berechtigten Interessen eines Dritten oder bei Vorhandensein einer qualifizierten gesetzlichen Grundlage zulässig.
  
  Auf das ausgedruckte veröffentlichte Schreiben ist die DSGVO anwendbar, weil dieses in einem elektronischen Textverarbeitungsprogramm und via E-Mail verarbeitet wurde. Der Inhalt des Schreibens und die Veröffentlichung an einen nicht näher definierbaren Personenkreis liegt im Anwendungsbereich des § 1 Abs 1 DSG, weil keine familiäre Tätigkeit der Hausverwaltung vorliegt.
  
  Die offengelegten Daten waren nicht öffentlich, weil im Schreiben Informationen enthalten waren, die sich nicht aus öffentlichen Quellen ergaben. Die Daten wurden auch nicht nur gegenüber den beschlussfassenden Parteien veröffentlicht. Die Möglichkeit von der Kenntnisnahme von schützenswerten Daten reicht für die Verletzung einer Geheimhaltungspflichtverletzung aus. Der Wortlaut des § 24 Abs 5 WEG enthält keine Verpflichtung, ein an Wohnungseigentümer adressiertes Schreiben zu veröffentlichen.
  
  Für die Begründung eines berechtigten Interesses ist eine einzelfallbezogene Interessenabwägung durchzuführen. Dabei ist das Interesse der Hausverwaltung an der Veröffentlichung dem Interesse des Wohnungseigentümers an Geheimhaltung seiner Daten gegenüberzustellen. Für die Zweckerreichung war die Veröffentlichung in der gewählten Form nicht erforderlich.

BVwG 12.06.2024, W292 2283307-1

• Ein Journalist, der sich als "public watchdog" bezeichnete, verlangte Auskünfte gemäß den §§ 2, 3 iVm § 4 Auskunftspflichtgesetz von der Bundesministerin für Landesverteidigung (Ministerin). Diese Informationen betrafen ein Disziplinarverfahren wegen Wiederbetätigung und das entsprechende Erkenntnis der Bundesdisziplinarbehörde. Die Anfragen des Journalisten umfassten detaillierte Fragen zu den beteiligten Personen, den Inhalt verschiedener Bescheide und die Maßnahmen innerhalb des Bundesministeriums für Landesverteidigung.
  
  Die Ministerin beantwortete einige der Fragen. Der Journalist hielt die Beantwortung jedoch für unvollständig. Die Ministerin verweigerte die Beantwortung weiterer Fragen mit Bescheid. Daraufhin erhob der Journalist (erfolglose) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Die Auskunftspflicht besteht nur innerhalb der örtlichen und sachlichen Zuständigkeit des ersuchten Organs. Die vom Journalisten erfragten Informationen über die Disziplinarverfahren betreffen auch Angelegenheiten, die nicht in den Wirkungsbereich der Ministerin fielen. Für die Entscheidungen der Bundesdisziplinarbehörde oder für deren Veröffentlichung ist die Ministerin nicht zuständig.
  
  Hinzu kommt, dass auch aus der Verpflichtung zur Auskunft iSv Art 20 Abs 4 B-VG keine Verpflichtung einer Behörde abgeleitet werden kann, behördliches Handeln oder Unterlassen zu begründen. Daher kommt dem Journalisten als nicht am Verfahren beteiligten Dritten kein Recht zu, eine nähere Begründung hinsichtlich der ergangenen Entscheidungen zu erhalten.
  
  Die Pflicht zur Amtsverschwiegenheit gemäß Art 20 Abs 3 B-VG besteht, wenn schutzwürdige Geheimhaltungsinteressen vorliegen. Die Namen, Ränge und Funktionsbezeichnungen sind personenbezogene Daten iSv § 1 Abs 1 DSG, deren Geheimhaltung schutzwürdig ist. Insbesondere die Aufrechterhaltung des guten Rufes des Disziplinaranwalts und die bestehende Gefahr, bei medialer Berichterstattung in der Öffentlichkeit angeprangert zu werden, ist als legitimes und überwiegendes Interesse an der Geheimhaltung seiner Identität anzusehen. Des Weiteren fallen alle Personen unter die Verschwiegenheitsverpflichtung des § 26 Ab 2 HDG 2014, die mit einem Disziplinarverfahren in Berührung kamen.
  
  Weiters würde die Bekanntgabe personenbezogener Daten, wie die Identität des Disziplinaranwalts, nicht zur Meinungsbildung in einer Debatte von allgemeinem Interesse beitragen. Darüber hinaus ist die Disziplinarentscheidung im RIS veröffentlicht. Der Journalist hat somit Zugang zu den Informationen, die nicht den höchstpersönlichen Lebensbereich betreffen. Daher kommt ihm auch aus Art 10 EMRK kein Recht auf Auskunftserteilung zu. Der Name als Mittel zur individuellen Bezeichnung einer Person ist vom Schutzbereich des Art 8 EMRK umfasst. Auch aus Art 8 EMRK folgt, dass eine Übermittlung der geforderten Informationen nicht zulässig ist.
  
  Des Weiteren wurden einige Fragen bereits hinreichend beantwortet, wie aus den Schreiben der Ministerin hervorgeht. Folglich steht dem Journalisten kein Recht auf weitere Auskünfte in Bezug auf diese Fragen zu.

• Wird Einsicht in einen Vergabeakt gewährt, der personenbezogene Daten enthält, sind zum Schutz personenbezogener Daten entsprechende Datenminimierungsmaßnahmen zu treffen (BVwG 24.06.2024, W606 2286002-2).
  
  
• Hat ein Beschwerdeführer vor der DSB vollständig obsiegt, ist er durch den Bescheid der DSB nicht beschwert. Werden in der Beschwerde an das BVwG eine Bescheidbeschwerde und eine Säumnisbeschwerde vermischt, ist die Beschwerde hinsichtlich der Säumnisbeschwerde zwecks allfälliger weiterer Behandlung gemäß § 6 AVG der DSB zu übermitteln (BVwG 08.07.2024, W137 2289439-1).
  
  
• Das Säumnisbeschwerdeverfahren hat als Rechtsschutzziel (nur) die Herbeiführung einer Entscheidung in der betreffenden Verwaltungsangelegenheit und nicht die Richtigkeit der Entscheidung. Hat die DSB nach Einlangen der Säumnisbeschwerde innerhalb von drei Monaten eine Entscheidung getroffen, ist das Säumnisbeschwerdeverfahren einzustellen (BVwG 08.07.2024, W137 2293870-1).
  
  
• Der Antrag, personenbezogene Daten von einer Website zu löschen, ist ein Löschungsersuchen. Sind die personenbezogenen Daten zum Entscheidungszeitpunkt auf der Website nicht mehr abrufbar, kommt ein Leistungsauftrag zur Entfernung dieser Daten von der Website jedoch nicht mehr in Betracht. Auch eine wesentliche unmittelbare Gefährdung des Betroffenen (Gefahr in Verzug) liegt nicht mehr vor, sodass ein Vorgehen mit einem Mandatsbescheid nach § 22 Abs 4 DSG ausscheidet (BVwG 28.06.2024, W108 2250401-2).
  
  
• Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 26.06.2024, W258 2261057-1, BVwG 03.07.2024, W258 2262326-1 und andere).

• Am 22.07.2024 wurde das " Bundesgesetz, mit dem die Gewerbeordnung 1994 geändert wird", BGBl I 2024/130, kundgemacht. Mit der Novelle werden elektronische Eintragungen in das Gewerbeinformationssystem Austria (GISA) ermöglicht. Hierzu gelangt die E-ID zum Einsatz. Die DSGVO wird berücksichtigt.

• Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.

• Am 05.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

Aus der Rechtsprechung des OGH:

Personenbezogene Daten verkörpern einen monetären Wert. Die Bereitstellung personenbezogener Daten wie etwa Kontakt- und Einkaufsverhaltensdaten ist eine (Gegen-)Leistung, mit der man "zahlt". Die Bereitstellung dieser Daten und die Mitgliedschaft in einem Kundenbindungsprogramm sind gegenseitige Hauptleistungspflichten. In einem Kundenbindungsprogramm die Gewährung und Einlösung von Bonuspunkten anzubieten, dann aber den Mitgliedern keinen Anspruch auf das entsprechende Angebot zu gewähren, steht in krassem Missverhältnis zur vom Mitglied erbrachten Gegenleistung, nämlich vorab Daten zu seiner Person und seinem Einkaufsverhalten offengelegt zu haben (OGH 25.06.2024, 4Ob102/23p).

Aus der Rechtsprechung des BFG:

Die Organe der Abgabenbehörden und des BFG sind gemäß § 48a BAO zur Geheimhaltung der ihnen im Rahmen ihrer Amtsausübung zukommenden Daten verpflichtet. Dadurch ist der Datenschutz gewährleistet (BFG 05.06.2024, RV/7102695/2023).

DSB 04.07.2024, 2024-0.199.724

Der Rechnungshof Österreich veröffentlichte die Spendenhöhe sowie den Namen und die Postleitzahl eines Parteispenders auf seiner Website. Da diese Daten seine politische Meinung offenbarten, sah der Spender in der Veröffentlichung eine Verletzung seines Rechts auf Geheimhaltung. Daraufhin reichte der Parteispender eine Datenschutzbeschwerde gegen den Rechnungshof ein. Die DSB setzte das Verfahren bis zum Urteil des EuGH vom 01.2024, C-33/22, Österreichische Datenschutzbehörde, aus. Das EuGH-Urteil bestätigte die Zuständigkeit der DSB für Datenverarbeitungstätigkeiten der Gesetzgebungsorgane. Nach Fortsetzung des Verfahrens erklärte sich die DSB für zuständig, sie wies die Datenschutzbeschwerde jedoch ab.

Die DSB hat erwogen: Da das neu geschaffene Parlamentarische Datenschutzkomitee erst mit 01.01.2025 eingerichtet wird, ist zum Zeitpunkt der Entscheidung die DSB gemäß Art 55 Abs 1 DSGVO zuständig. Weiters fallen die Daten des Parteispenders in den Anwendungsbereich des Art 9 Abs 1 DSGVO, weil jedenfalls seine politischen Vorlieben aus seiner Spendentätigkeit hervorgehen. Art 9 Abs 2 lit g DSGVO erlaubt die Verarbeitung dieser Daten, wenn sie auf einer gesetzlichen Grundlage beruht, die ein erhebliches öffentliches Interesse verfolgt und angemessene Maßnahmen zum Schutz der Betroffenen vorsieht. § 6 Abs 2 und 3 PartG bietet diese gesetzliche Grundlage. Darüber hinaus ist die Transparenz der Parteienfinanzierung ein erhebliches öffentliches Interesse. Zudem setzte man durch das Absehen der Veröffentlichung der gesamten Anschrift des Parteispenders sowie durch Festlegung einer Löschfrist (§ 6 Abs 2 letzter Satz PartG) und Abhilfemaßnahmen angemessene Maßnahmen zur Wahrung der Grundrechte und Interessen.

Die Verarbeitung ist auch verhältnismäßig. Sie unterscheidet nach Höhe der Spende und Zeitraum, in dem gespendet wird. Die Veröffentlichung der Daten greift zwar in das Grundrecht auf Geheimhaltung ein, ist im Hinblick auf das erhebliche öffentliche Interesse an einer transparenten Parteienfinanzierung jedoch gerechtfertigt.

DSB 08.10.2021, 2021-0.698.184

Ein Geschäftsführer fühlte sich durch die Veröffentlichung seiner Daten auf der Website einer Werbeagentur in seinem Recht auf Geheimhaltung gemäß § 1 DSG verletzt. Auf der Website der Werbeagentur wurde ein firmenbuchähnlicher Service angeboten, bei dem Informationen über im Firmenbuch eingetragene Rechtsträger und handelnde Personen miteinander verknüpft wurden, um auch Verbindungen zwischen den handelnden Personen darzustellen. Die Werbeagentur stützte die Veröffentlichung auf ihr berechtigtes Interesse. Der Geschäftsführer erachtete die Verarbeitung für unrechtmäßig und brachte (erfolglose) Datenschutzbeschwerde bei der DSB ein.

Die DSB hat erwogen: Bei der Verknüpfung von öffentlich zugänglichen Daten mit neuen Daten handelt es sich um eine neue Datenverarbeitung, deren Zulässigkeit nach dem DSG und der DSGVO zu prüfen ist. Zulässigerweise veröffentlichte Daten sind nicht per se einem Geheimhaltungsanspruch entzogen.

Bei der Interessenabwägung im Rahmen der Prüfung des berechtigten Interesses gemäß Art 6 Abs 1 lit f DSGVO werden die Interessen der Werbeagentur am Betrieb der Plattform dem Interesse des Geschäftsführers an Geheimhaltung gegenübergestellt. Eine Werbeagentur hat ein wirtschaftliches Interesse ihre Dienstleistungen zu bewerben und Werbeeinnahmen zu generieren sowie ein Interesse, den Nutzern ihrer Website interessante und nützliche Informationen über bestehende Unternehmen und deren handelnde Personen zur Verfügung zu stellen. Als Website-Betreiber schaltet die Werbeagentur für unterschiedliche Unternehmen Werbung. Es liegt im Interesse eines Website-Betreibers, möglichst viele Nutzer durch die Bereitstellung interessanter Informationen auf die Website zu bringen, um dadurch Werbeeinnahmen zu generieren. Der Geschäftsführer hat ein Interesse an der Geheimhaltung seiner personenbezogenen Daten. Bei der Interessenabwägung ist auch zu berücksichtigen, ob ein Betroffener absehen kann, ob möglicherweise eine Verarbeitung zu diesem Zweck zukünftig erfolgen wird.

Die Schutzwürdigkeit der Daten des Geschäftsführers ist aufgrund ihrer allgemeinen Verfügbarkeit geringer zu bewerten. Die veröffentlichten Daten gehören ausschließlich der beruflichen Sphäre an und der Geschäftsführer entscheidet selbst, ob er als Gesellschafter oder Geschäftsführer am Wirtschaftsleben teilnimmt.

Das berechtigte Interesse der Werbeagentur an der Verarbeitung der Daten im Rahmen ihrer Website überwiegt aufgrund der geringen Eingriffsintensität die Interessen des Geschäftsführers an der Geheimhaltung.

Am 19.07.2024 wurde das "Bundesgesetz, mit dem das E-Government-Gesetz geändert wird", BGBl I 2024/117, kundgemacht. Die Novelle des E-GovG regelt ua die Wahlfreiheit der Kommunikation für Bürgerinnen und Bürger sowie den elektronischen Verkehr zwischen Verantwortlichen des öffentlichen Bereichs.

Am 22.07.2024 wurde das "Bundesgesetz, mit dem das Schulorganisationsgesetz, das Schulunterrichtsgesetz, das Schulunterrichtsgesetz für Berufstätige, Kollegs und Vorbereitungslehrgänge, das Bildungsdokumentationsgesetz 2020 und das Schulpflichtgesetz 1985 geändert werden", BGBl I 2024/121, kundgemacht. Das Bundesgesetzt enthält Regelungen zur Datenverarbeitung, darunter zur Verarbeitung des elektronischen Zertifikats zum Nachweis der Schülereigenschaft (edu.digicard). Weiters wurden Datenverarbeitungstätigkeiten auf der Grundlage des Bildungsdokumentationsgesetzes novelliert.

Am 22.07.2024 wurde das "Bundesgesetz, mit dem das Sicherheitspolizeigesetz geändert wird", BGBl I 2024/122, kundgemacht. Mit der Novelle werden den Sicherheitsbehörden Befugnisse für Datenverarbeitungstätigkeiten eingeräumt und Regelungen für den elektronischen Rechtsverkehr getroffen.

Am 16.07.2024 hat der EDSA eine Erklärung zur Rolle der Datenschutzbehörden im Rahmen der KI-VO angenommen.

Am 16.07.2024 hat der EDSA zum EU-US Data Privacy Framework separate FAQs für Einzelpersonen und für Unternehmen veröffentlicht.

Am 05.09.2024 werden die Schlussanträge in der Rs C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), veröffentlicht. Der VwGH fragte den EuGH, wann eine Datenschutzbeschwerde exzessiv ist.

Am 05.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).

EuG 17.07.2024, T-1077/23, Bytedance

Die Europäische Kommission (Kommission) hat Bytedance, ein chinesisches Unternehmen, das die Online-Plattform TikTok betreibt, als einen Torwächter (Gatekeeper) im Sinne der Verordnung über digitale Märkte (DMA) benannt. Bytedance hat gegen diese Benennung Klage erhoben und insbesondere drei Gründe geltend gemacht: (i) Eine Verletzung von Art 3 Abs 1 und 5 DMA (Benennung als Torwächter); (ii) eine Verletzung ihrer Verteidigungsrechte; und (iii) eine Verletzung des Gleichbehandlungsgrundsatzes. Das EuG wies die Klage in vollem Umfang ab.

Das EuG hat erwogen: Die Kommission hat TikTok zu Recht als einen zentralen Plattformdienst und ein wichtiges Zugangstor für Unternehmen, die ihre Endnutzer erreichen wollen, angesehen, weil Bytedance kumulativ die quantitativen Schwellenwerte von Art 3 Abs 2 lit a, b und c DMA erfüllt (Jahresumsatz, Anzahl der Endnutzer, Anzahl der Geschäftsjahre).

Bytedance hat nicht ausreichend begründet, weshalb diese Schwellenwerte nicht erfüllt sein sollten. Die vorgebrachten Argumente, wie etwa (i) das Fehlen eines Plattformökosystems, (ii) das Vorhandensein von Multihoming (die parallele Verwendung mehrerer Dienste), (iii) der angeblich geringe Umsatz in der Union, (iv) die Herkunft des Marktwerts (Hauptmarkt China), (v) die geringere Größe im Vergleich zu anderen Plattformen, (vi) die niedrigen Werbeeinnahmen, (vii) die Tatsache, dass Bytedance ein neuer Marktteilnehmer ist, oder dass (viii) seine Position von anderen Gatekeepern wie Meta und Alphabet herausgefordert wird, sind nicht geeignet, um die Einstufung als Torwächter in Frage zu stellen.

Bytedance hat einen erheblichen Einfluss auf den Binnenmarkt, weil Bytedance auch den Schwellenwert für den Marktwert von Art 3 Abs 2 lit a DMA überschritten hat (Jahresumsatz). Die Verteidigungsrechte von Bytedance wurden nicht verletzt, weil es weder nachgewiesen hat, dass es ohne die angeblichen Verfahrensfehler seine Verteidigung besser hätte wahrnehmen können, noch, dass diesfalls die Entscheidung der Kommission anders ausgefallen wäre. Der Gleichbehandlungsgrundsatz wurde nicht verletzt, weil Bytedance nicht nachgewiesen hat, dass ähnliche Argumente in vergleichbaren Fällen berücksichtigt worden wären.

EuG 17.07.2024, T-761/21, Courtois

Die Europäische Kommission ("Kommission") hat für EUR 2,7 Mrd Impfstoffe gegen COVID-19 von Pharmaunternehmen bestellt. Abgeordnete des Europäischen Parlaments sowie Privatpersonen (Antragsteller) stellten an die Kommission den Antrag, diese möge ihnen Zugang zu den Verträgen mit den Pharmaunternehmen und bestimmten mit diesen Verträgen in Zusammenhang stehenden Dokumenten gewähren.

Die Kommission verweigerte teilweise den Zugang zu den Verträgen und auch zu den Dokumenten. Hinsichtlich der Erklärungen der Mitglieder des Verhandlungsteams über das Nichtvorliegen von Interessenkonflikten stützte die Kommission die Verweigerung des (ungeschwärzten) Dokumentenzugangs auf den Schutz der Privatsphäre dieser EU-Vertreter. Das EuG erklärte die Entscheidung der Kommission für nichtig.

Das EuG hat erwogen: Die Kommission hat den Zugang zu den Erklärungen über das Fehlen von Interessenkonflikten zu Unrecht verweigert. Diese Erklärungen sind für die Transparenz und die Rechenschaftspflicht der EU-Vertreter, die an den Verhandlungen mit den Impfstoffherstellern beteiligt waren, von wesentlicher Bedeutung. Die Antragsteller haben hinreichend dargelegt, dass sie die Offenlegung dieser Erklärungen zur Überprüfung benötigen, ob die an den Verhandlungen beteiligten EU-Vertreter keinem Interessenkonflikt unterlagen. Für diese Überprüfung ist die Kenntnis der Vor- und Nachnamen sowie der beruflichen und institutionellen Rollen der besagten EU-Vertreter erforderlich.

VwGH 17.05.2024, Ra 2021/04/0009

Eine Ärztin begehrte im Jahr 2017 die Löschung ihrer personenbezogenen Daten auf einer Ärztebewertungsplattform. Nachdem die Betreiberin der Bewertungsplattform das Löschungsbegehren der Ärztin ablehnte, brachte die Ärztin eine zivilgerichtliche Klage ein, in der sie eine Verletzung im Recht auf Datenschutz geltend machte und die Löschung der Daten beantragte. Anschließend brachte die Ärztin zusätzlich eine Datenschutzbeschwerde bei der DSB ein. Die DSB wies die Datenschutzbeschwerde mit der Begründung zurück, dass sie nicht über dieselbe Frage absprechen könne, welche bereits gemäß Art 79 DSGVO zivilgerichtlich anhängig sei. Eine gleichzeitige Inanspruchnahme des Beschwerderechts bei der Aufsichtsbehörde und des gerichtlichen Rechtsbehelfs in ein- und derselben Sache komme nicht in Betracht.

Das BVwG gab der von der Ärztin eingebrachten Bescheidbeschwerde keine Folge, bestätigte die Zurückweisung der Datenschutzbeschwerde aber aus einem Grund. In der Zwischenzeit wurde die zivilrechtliche Klage der Ärztin – im Zeitpunkt der Entscheidung des BVwG jedoch noch nicht rechtskräftig – abgewiesen. Gegen diese Entscheidung erhoben sowohl die Ärztin als auch die DSB jeweils Revision an den VwGH.

Der VwGH setzte das Verfahren aus und legte dem EuGH die Fragen vor, ob im innerstaatlichen Recht das Zusammenspiel der Rechtsbehelfe so geregelt werden darf, dass

1. sofern ein Rechtsbehelf beim Gericht bereits anhängig ist, oder (zumindest)
2. nachdem eine (wenn auch noch nicht rechtskräftige) inhaltliche Entscheidung des Gerichts ergangen ist,

die DSB die Datenschutzbehörde zurückweisen darf.

Der VwGH hat erwogen: Nach der Rechtsprechung des EuGH dürfen eine Datenschutzbeschwerde gemäß Art 77 DSGVO an eine Aufsichtsbehörde und ein zivilgerichtlicher Rechtsbehelf gemäß Art 79 DSGVO nebeneinander und unabhängig voneinander eingelegt werden. Laut den Ausführungen des EuGH obliegt die Festlegung der Modalitäten für die Verwaltungs- und Gerichtsverfahren den EU-Mitgliedstaaten, die dabei ein hohes Schutzniveau der Unionsrechte gewährleisten müssen. Dieses hohe Schutzniveau bedinge die Vermeidung einander widersprechender Entscheidungen.

Vor diesem Hintergrund ist zu klären, ob es eine zulässige Modalität des Rechtsschutzes ist, wenn eine Datenschutzbeschwerde nach Art 77 DSGVO zurückgewiesen wird, weil in derselben Sache bereits ein gerichtlicher Rechtsbehelf nach Art 79 DSGVO eingelegt wurde und das gerichtliche Verfahren noch anhängig ist.

Anm: Das ist bereits das zumindest 14. Vorabentscheidungsersuchen an den EuGH aus Österreich mit Bezug zur DSGVO (ab 2021), wobei ein Vorabentscheidungsersuchen zurückgezogen wurde (C-701/20) und ein Vorabentscheidungsersuchen als unzulässig zurückgewiesen wurde (C-115/22). Zählt man diese nicht mit, wurden bis dato aus Österreich zwölf Vorabentscheidungsersuchen mit Bezug zur DSGVO an den EuGH gestellt. Davon kamen vier vom VwGH (C-33/22, C-416/23, C-638/23, C-414/24), drei vom OGH (C-154/21, C-300/21, C-446/21), drei vom BVwG (C-487/21, C-291/24, C-474/24), eins vom LVwG Wien (C-203/22) und eins vom LG St. Pölten (C-468/24).

BVwG 11.03.2024, W214 2235505-1

Ein Journalist begehrte im Rahmen des Auskunftspflichtgesetzes (AuskunftspflichtG) beim Bundesminister für Finanzen (BMF) per E-Mail eine Liste aller Unternehmen, die COVID-19-Hilfsmaßnahmen in Form von Steuerstundungen, Fixkostenzuschüsse oder Haftungen für Kredite in Anspruch genommen haben, einschließlich der jeweiligen Höhe der bewilligten Hilfen. Der BMF wies das Auskunftsbegehren mit Bescheid gemäß § 4 AuskunftspflichtsG ab, weil die Geheimhaltungsinteressen der Unternehmen zu wahren seien und die angeforderten Daten nicht ohne weiteres verfügbar seien, weshalb vor der Beauskunftung eine zusätzliche Verarbeitung stattfinden müsste. Gegen den abweisenden Bescheid erhob der Journalist Bescheidbeschwerde an das BVwG, das der Beschwerde hinsichtlich der Daten zu offenlegungspflichtigen Unternehmen stattgab.

Das BVwG hat erwogen: Unternehmen, die verpflichtet sind, erhaltene Corona-Beihilfen im Transparency Award Module (TAM) oder im Firmenbuch zu veröffentlichen, haben kein schutzwürdiges Interesse an der Geheimhaltung der erhaltenen Beihilfen. Einzelunternehmer und natürliche Personen genießen dagegen ein erhöhtes Geheimhaltungsinteresse. Deren Daten dürfen nur veröffentlicht werden, wenn sie auch der Offenlegungspflicht im TAM unterliegen, weil dann kein schutzwürdiges Interesse an der Geheimhaltung mehr vorliegt. Das öffentliche Interesse an der Kontrolle der Verwendung von öffentlichen Mitteln für COVID-19-Hilfsmaßnahmen überwiegt das Interesse der Unternehmen an der Wahrung ihrer Geschäfts- und Betriebsgeheimnisse. Journalisten üben dabei als "public watchdog" eine wichtige Funktion für die demokratische Meinungsbildung aus.

Auch wenn Daten erst aufzuarbeiten sind, ist eine pauschale Auskunftsverweigerung nicht zulässig. Wenn Daten bereits in automationsunterstützter und strukturierter Weise verarbeitet werden, ist eine Auskunft jedenfalls nicht unzumutbar.

Die untersten 10% der Beihilfeempfänger sind nicht zu beauskunften, weil diese eine geringe Relevanz für die öffentliche Kontrolle haben und eine höhere Gefahr der Offenlegung der Identität besteht.

BVwG 17.06.2024, W298 2283379-1

Eine für Parteimitglieder bestimmte E-Mail wurde von einer politischen Partei versehentlich an einen Bürger versendet. Seine E-Mail-Adresse wurde versehentlich in die Mitgliederdatenbank eingetragen und mit einem Parteimitglied verknüpft. Der Bürger erhob Datenschutzbeschwerde und monierte, dass die politische Partei ihn in seinem Recht auf Geheimhaltung verletzt hatte, indem sie (i) seine E-Mail-Adresse verarbeitete, (ii) ein Tracking-Pixel einsetzte und (iii) seine personenbezogenen Daten aus der Wählerevidenz abgerufen hat. Den ersten beiden Beschwerdepunkten gab die DSB statt, der dritte Beschwerdepunkt wurde abgewiesen. Dagegen richtete sich die Bescheidbeschwerde an das BVwG, die abgewiesen wurde.

Das BVwG hat erwogen: Gemäß § 1 Abs 2 PartG iVm § 4 Abs 2 WEviG ist eine politische Partei berechtigt, die dort angeführten Daten für Zwecke der Beeinflussung der staatlichen Willensbildung, insbesondere durch die Teilnahme an Wahlen zu allgemeinen Vertretungskörpern und dem Europäischen Parlament, zu empfangen. Es ist zulässig, dass politische Parteien Werbung für eigene politische Ziele durch direkte Ansprache der Wähler betreiben und dabei privilegiert auf Daten der Wählerevidenz zugreifen dürfen, sofern ein Zweck gemäß § 1 Abs 2 PartG verfolgt wird. Die politische Partei hat die Daten des Bürgers zwar zum Zweck der Wahlwerbung erhoben, aber die Daten falsch verknüpft. Der Datenschutzbeschwerde wurde in diesem Punkt auch stattgegeben. Die Abfrage der Daten aus der Wählerevidenz war jedoch rechtmäßig.

Der Antrag zur Vorabentscheidung an den EuGH wird abgewiesen, weil die Beschränkung auf die in § 1 Abs 2 PartG genannten Daten sowie die Einschränkung der Datenverarbeitung zu wahlwerbenden Zwecken iSd DSGVO hinreichend sind.

BVwG 17.06.2024, W298 2261552-1

Eine Bewohnerin hatte in ihrer Liegenschaft zwei Strompunktzähler und beauftragte für jeden Zähler einen anderen Energieanbieter. Beide Anbieter leiteten daraufhin unabhängig voneinander einen Zählpunktidentifizierungsprozess über die Wechselplattform ein, um den Wechsel der Stromlieferanten zu vollziehen. Der Netzbetreiber meldete beide Zähler an beide Energieanbieter zurück, obwohl jeweils nur für einen der beiden Zähler eine Vollmacht vorlag. Dies führte dazu, dass die Daten beider Zähler an beide Energieanbieter weitergegeben wurden. Die DSB gab der Datenschutzbeschwerde der Bewohnerin statt und stellte eine Verletzung ihres Geheimhaltungsrechts fest. Das BVwG gab der Bescheidbeschwerde des Netzbetreibers teilweise statt.

Das BVwG hat erwogen: Die Weitergabe der Daten an den zweiten Energieanbieter erfolgte ohne rechtliche Grundlage und verletzte somit das Geheimhaltungsrecht der Bewohnerin. Die Weitergabe der Daten an den ersten Energieanbieter war jedoch rechtmäßig.

Die Energieanbieter haben von der Bewohnerin jeweils eine Vollmacht zur Vornahme eines spezifischen Rechtsgeschäfts iSd § 76 Abs 3 ElWOG und des § 4 Wechselverordnung (WVO) erhalten, die zur Übernahme jeweils eines Zählers berechtigt. Die Energieanbieter müssen das Vorliegen der Vollmacht nur glaubhaft machen, sofern die Vollmacht tatsächlich erteilt wurde. Unklarheiten über den Umfang der Vollmacht muss sich die Bewohnerin zurechnen lassen. Der Netzbetreiber durfte darauf vertrauen, dass die Vollmacht dem ersten Energieanbieter im Umfang der Übernahme beider Zählpunkte erteilt worden ist.

Hinsichtlich des zweiten Energiebetreibers verletzte der Netzbetreiber jedoch seine Sorgfaltspflichten. Beide Energieanbieter haben unabhängig voneinander eine Zählpunktidentifizierung für beide Zählpunkte gestartet, welche vom Netzbetreiber jeweils genehmigt wurden.

Gemäß § 5 WVO kann der Netzbetreiber bei begründetem Verdacht, wenn die zu wechselnde Zählpunktbezeichnung einem anderen Endverbraucher zugeordnet ist, den Wechselprozess verweigern. Da die Zählpunktidentifizierung durch den ersten Energieanbieter bereits gestartet wurde, hätte der Netzbetreiber bei der Anfrage des zweiten Energieanbieters Überschneidungen der beiden Verfahren prüfen müssen.

Der Verstoß gegen die gesetzlichen Sorgfaltspflichten indiziert auch einen Verstoß gegen das Grundrecht auf Datenschutz.

Erfolgt die Datenverarbeitung durch eine Videokamera nur im unmittelbaren Bereich vor der Eingangstüre, um zu überwachen, wer sich wann und wie unmittelbar vor der Eingangstüre aufhält, ist die Datenverarbeitung verhältnismäßig und erforderlich, wenn sie aus einem nachvollziehbaren Grund erfolgt. Auf das Verhängen einer Strafe besteht kein subjektives Recht, weshalb dem Betroffenen hierfür keine Antragslegitimation zukommt (BVwG 20.06.2024, W211 2276490-1).

Wird eine Säumnisbeschwerde rechtmäßig erhoben, räumt § 28 Abs 7 VwGVG dem BVwG eine "kondemnatorische" Entscheidungsbefugnis ein. Dh das BVwG darf ihre Entscheidung auf einzelne maßgebliche Rechtsfragen beschränken und die DSB zum Erlassen eines Bescheides "verurteilen". Die DSB erhält damit eine "dritte Chance" und hat ihre Entscheidung unter Zugrundelegung der Rechtsanschauung des BVwG innerhalb von acht Wochen nachzuholen (BVwG 13.06.2024, W292 2281684-1).

Ein Aussetzungsbescheid ist ersatzlos zu beheben, wenn der von der DSB angenommene Aussetzungsgrund nicht besteht. Im fortgesetzten Verfahren wird die DSB das Verfahren formlos einzustellen haben, weil der Verantwortliche in der Zwischenzeit dem Berichtigungsersuchen des Betroffenen entsprochen hat, indem der Verantwortliche den Geschlechtseintrag des Betroffenen auf "divers" geändert hat (BVwG 18.06.2024, W214 2275651-1).

Ist kein Wiederaufnahmegrund ersichtlich, ist ein Antrag auf Wiederaufnahme aussichtslos. Die Verfahrenshilfe wird daher nicht gewährt (BVwG 27.06.2024, W292 2293432-1).

Gemäß § 62 Abs 4 AVG kann das BVwG Schreib- und Rechenfehler oder diesen gleichzuhaltende, offenbar auf einem Versehen oder offenbar ausschließlich auf technisch mangelhaftem Betrieb einer automationsunterstützten Datenverarbeitungsanlage beruhende Unrichtigkeiten in Entscheidungen jederzeit von Amts wegen berichtigen. Eine Berichtigung nach § 62 Abs 4 AVG ist keine Entscheidung in der Sache und hat daher gemäß § 31 Abs 1 VwGVG in Form eines Beschlusses zu erfolgen (BVwG 14.06.2024, W292 2282284-1).

Ist die DSB der Auffassung, in der Sache nicht entscheiden zu können, weil der Sachverhalt mangelhaft vorgebracht ist oder Beweismittel fehlen, hat die DSB den Betroffenen zur Stellungnahme oder Urkundenvorlage aufzufordern. Die Zurückweisung der Datenschutzbeschwerde ohne Durchführung eines Ermittlungsverfahrens ist dagegen verfehlt (BVwG 16.05.2024, W252 2281584-1).

Die wirksame Zurückziehung der Datenschutzbeschwerde im Beschwerdeverfahren vor dem BVwG bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des angefochtenen Aussetzungsbescheides und damit (nachträglich) dessen Rechtswidrigkeit. Die Unzuständigkeit einer Behörde hat das Verwaltungsgericht von Amts wegen wahrzunehmen. Das BVwG ist somit gehalten, den Bescheid ersatzlos aufzuheben (BVwG 12.06.2024, W108 2280177-1).

Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 20.06.2024, W292 2248579-1).

BFG 20.06.2024, RV/5100216/2024

Im Rahmen einer Außenprüfung forderte das Finanzamt für Großbetriebe von einem Kreditinstitut Kundenkonten und -depots zur Überprüfung der Sorgfalts- und Meldepflichten nach dem Gemeinsamen Meldestandard-Gesetz (GMSG) an. Das Kreditinstitut verweigerte die geforderte Datenübermittlung mit Hinweis auf die fehlende Erforderlichkeit und Bedenken aufgrund Bestimmungen des Datenschutzrechts. Da diese Unterlagen nicht übermittelt wurden, wurde eine Zwangsstrafe iHv EUR 500 verhängt. Gegen diesen Bescheid wurde Bescheidbeschwerde erhoben, weil die Abfrage personenbezogener Daten zur Ausübung der Kontrollbefugnisse unrechtmäßig sei. Die Bescheidbeschwerde wurde mit Beschwerdevorentscheidung als unbegründet abgewiesen. Die DSGVO-Rechtmäßigkeit der Prüfung der Abgabenerklärung ergäbe sich aus dem klar definierten öffentlichen Interesse iSd Art 6 Abs 1 lit e DSGVO an der Steuererhebung und der Bekämpfung von Steuerbetrug. Somit sei die Abgabenerklärung auch eine rechtliche Verpflichtung iSd Art 6 Abs 1 lit c DSGVO. Dagegen richtet sich der Vorlageantrag des Kreditinstituts.

Das BFG hat erwogen: Aus § 110 und 111 GMSG ergibt sich der gesetzliche Auftrag zur Überprüfung der Meldepflicht und der ausgeübten Sorgfalt und somit eine klare gesetzliche Grundlage für die vom Finanzamt vorgenommenen Datenanforderungen. Die auf § 111 GMSG iVm § 114 BAO basierende Datenverarbeitung ist ein verhältnismäßiger und minimalinvasiver Eingriff in das Grundrecht auf Datenschutz und erfolgt in der Durchführung von Unionsrecht anhand der Abgabevorschriften. Die Möglichkeit der Einsicht in die erhobenen Daten ist zudem ausschließlich auf Organe der Finanzverwaltung im Rahmen ihrer dienstlichen Tätigkeit beschränkt, sodass keine datenschutzrechtlichen Bedenken vorliegen. Durch die Verweigerung der Herausgabe der Kundenkonten wurde der Zweck der Prüfungshandlung, die Vollständigkeit der GMSG-Daten zu überprüfen, konterkariert, sodass die Verhängung der Zwangsstrafe rechtmäßig war.

Um den Erfordernissen des Datenschutzes zu entsprechen, haben die Abgabenbehörden nach Maßgabe ihrer technischen Möglichkeiten Zustellungen an Empfänger, die Teilnehmer von FinanzOnline sind, elektronisch vorzunehmen (BFG 30.04.2024, RV/7100834/2023).

Ein durchdachtes Berechtigungskonzept, in dem Zugriffsrechte auf Rollenebene definiert werden, trägt zur Erfüllung der Anforderungen der DSGVO bei (LVwG 11.07.2024, LVwG-2024/32/1750-4).

Am 17.07.2024 wurde das "Bundesgesetz, mit dem ein Qualifizierte-Einrichtungen-Gesetz erlassen wird und die Zivilprozessordnung, das Konsumentenschutzgesetz, das Gerichtsgebührengesetz und das Rechtsanwaltstarifgesetz geändert werden (Verbandsklagen-Richtlinie-Umsetzungs-Novelle)", BGBl I 2024/85, kundgemacht. Mit diesem Bundesgesetz wird die Verbandsklagen-Richtlinie (EU) 2020/1828 ins österreichische Recht umgesetzt. Gestützt auf dieses Bundesgesetz können Verbandsklagen auch wegen (behaupteten) Verletzungen des Datenschutzrechts geltend gemacht werden.

Am 18.07.2024 wurde das "Bundesgesetz, mit dem das KommAustria-Gesetz geändert wird", BGBl I 2024/90, kundgemacht. Ua wird das KOG dem "Koordinator-für-digitale-Dienste-Gesetz" (KDD-G) angepasst. Zudem wird der RTR-GmbH ein jährliches Budget iHv EUR 0,5 Mio zur Verfügung gestellt, um Audio-Podcasts über Medien- und Digitalkompetenz etc zu produzieren.

Am 19.07.2024 wurde das "Bundesgesetz, mit dem das Arbeitsvertragsrechts-Anpassungsgesetz, das Arbeitsverfassungsgesetz, das Arbeitsinspektionsgesetz 1993, das Dienstnehmerhaftpflichtgesetz, das Allgemeine Sozialversicherungsgesetz, das Beamten-Kranken- und Unfallversicherungsgesetz, das Notarversorgungsgesetz, das Einkommensteuergesetz 1988, das Heimarbeitsgesetz und das Landarbeitsgesetz 2021 geändert werden (Telearbeitsgesetz)", BGBl I 2024/110, kundgemacht. Als Telearbeit wird die regelmäßige Verrichtung der Arbeit unter Einsatz von Informations- und Kommunikationstechnologien von Örtlichkeiten außerhalb des Unternehmens verstanden.

Am 19.07.2024 wurde das "Bundesgesetz, mit dem ein DORA-Vollzugsgesetz erlassen und das Alternative Investmentfonds Manager-Gesetz, das Bankwesengesetz, das Börsegesetz 2018, das Finanzmarktaufsichtsbehördengesetz, das Investmentfondsgesetz 2011, das Pensionskassengesetz, das Sanierungs- und Abwicklungsgesetz, das Versicherungsaufsichtsgesetz 2016, das Wertpapieraufsichtsgesetz 2018 und das Zahlungsdienstegesetz 2018 geändert werden", BGBl I 2024/112, kundgemacht. Mit dem DORA-Vollzugsgesetz wird ua die FMA als zuständige Behörde für die Überwachung der Einhaltung der DORA-Verordnung (EU) 2022/2554 festgelegt.

Am 07.2024 wurde das "Zweite Oö Digitalisierungsgesetz", OÖ LGBl 2024/59, kundgemacht. Mit diesem Landesgesetz wurde ua das oberösterreichische Auskunftspflicht-, Datenschutz- und Informationsweiterverwendungsgesetz geändert.

EuGH 11.07.2024, C-757/22, Meta

Beim Aufruf des "App-Zentrums" von Meta wurden die Nutzer darüber informiert, dass sie durch die Nutzung bestimmter Spieleanwendungen das Sammeln und Veröffentlichen persönlicher Daten gestatten und sie den AGB und der Datenschutzpolitik zustimmen. Der Bundesverband der Verbraucherzentralen und Verbraucherverbände hielt diese Hinweise ua mangels wirksamer Einwilligung für unlauter und erhob eine Unterlassungsklage. Der EuGH äußerte sich zur Frage, ob ein Verband eine Verletzung der Rechte einer betroffenen Person "infolge einer Verarbeitung" iSd Art 80 Abs 2 DSGVO geltend macht, wenn die Klage darauf gestützt wird, dass der Verantwortliche seine Informationspflichten verletzt hat.

Der EuGH hat erwogen: Die Informationspflicht des Verantwortlichen gegenüber der von der Datenverarbeitung betroffenen Person ist logische Folge des Informationsrechts, das dieser Person durch Art 12 und 13 DSGVO zuerkannt wird. Dieses Recht gehört damit zu den Rechten, auf welche die in Art 80 Abs 2 DSGVO vorgesehenen Verbandsklagen gestützt werden sollen.

Die Erhebung einer auf Art 80 Abs 2 DSGVO gestützten Verbandsklage impliziert, dass es anlässlich der Verarbeitung personenbezogener Daten zu einer Verletzung der Rechte einer betroffenen Person aus den Datenschutzvorschriften der DSGVO kommt. Die Gültigkeit einer datenschutzrechtlichen Einwilligung hängt davon ab, ob die betroffene Person zuvor Informationen über alle Umstände im Zusammenhang mit der Datenverarbeitung hat, auf die sie nach Art 12 und 13 DSGVO Anspruch hat. Diese Informationen ermöglichen es ihr, die Einwilligung in voller Kenntnis der Sachlage zu geben. Eine Verletzung des Informationsrechts könnte der Erteilung einer Einwilligung in informierter Weise entgegenstehen und somit die Datenverarbeitung rechtswidrig machen.

Eine Verletzung des Informationsrechts verstößt gegen die in Art 5 DSGVO festgelegten Anforderungen und ist daher als Verstoß gegen die Rechte der betroffenen Person "infolge einer Verarbeitung" iSd Art 80 Abs 2 DSGVO anzusehen.

EuGH 11.07.2024, C-461/22, MK

Ein Schutzbedürftiger ersuchte seinen ehemaligen Erwachsenenvertreter, einen Anwalt aus seinem persönlichen Umfeld, um Auskunft über jene personenbezogenen Daten, die der Anwalt im Zuge der Wahrnehmung seiner Aufgaben als Erwachsenenvertreter verarbeitet hatte.

Das vorlegende Gericht fragte den EuGH, ob ein gesetzlich bestellter Erwachsenenvertreter, der diese Tätigkeit berufsmäßig ausübt, Verantwortlicher gemäß Art 4 Z 7 DSGVO ist und demzufolge zur Auskunft verpflichtet ist.

Der EuGH hat erwogen: Laut ErwGr 18 und Art 2 Abs 2 lit c DSGVO findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten, die durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten ohne Bezug zu beruflichen oder wirtschaftlichen Tätigkeiten vorgenommen werden. Der Umstand, dass der Erwachsenenvertreter aus dem persönlichen Umfeld des Schutzbefohlenen stammte, ändert aber nichts daran, dass der Vertreter seine Aufgaben im Rahmen der Erwachsenenvertretung in Ausübung seiner anwaltlichen Tätigkeiten berufsmäßig wahrgenommen hat. Zwar handelt ein Erwachsenenvertreter nach den Vorschriften des deutschen Betreuungsrechts im Namen und auf Rechnung des Vertretenen, doch handelt es sich bei einem ehemaligen Erwachsenenvertreter um eine dritte Person.

Daraus folgt, dass ein ehemaliger Erwachsenenvertreter, der seine Aufgaben in Bezug auf eine unter seine Betreuung gestellte Person berufsmäßig wahrgenommen hat, als Verantwortlicher gemäß Art 4 Z 7 DSGVO einzustufen ist und sämtliche Bestimmungen der DSGVO, darunter auch die Auskunftspflicht gemäß Art 15 DSGVO, zu beachten hat.

EuGH Schlussanträge 11.07.2024, C-394/23, Mousse

Ein Verband erhob Klage gegen ein Transportunternehmen, weil dieses bei der Online-Buchung von Fahrscheinen die Angabe der Anrededaten "Herr" oder "Frau" von seinen Kunden verlangte. Der Generalanwalt äußerte sich zur Auslegung von Art 5 Abs 1 lit c sowie Art 6 Abs 1 lit b und c DSGVO.

Der Generalanwalt hat erwogen: Die systematische Verarbeitung von Anrededaten ist für die Vertragserfüllung oder die Durchführung vorvertraglicher Maßnahmen nicht erforderlich, wenn sie der personalisierten geschäftlichen Kommunikation oder geschlechtsspezifischen Anpassung von Beförderungsleistungen dient. Hauptgegenstand des Vertrags ist die Bereitstellung eines Fahrscheins und die Beförderung der Kunden. Die Kommunikation mit dem Kunden ist zwar integraler Bestandteil des Beförderungsvertrags, die Verarbeitung der Anrededaten ist aber nicht erforderlich, weil personalisierte Kommunikation auch ohne Anrededaten möglich ist. Für spezielle Anpassungen der Beförderungsdienstleistung (zB Reservierung eines Nachtzugwagons für Frauen oder Unterstützung von Personen mit eingeschränkter Mobilität) sind nicht Anrede- sondern Geschlechtsdaten erforderlich. Dieses Ziel kann auch erreicht werden, indem diese Daten nur in besonderen Fällen und nicht bei allen Fahrscheinkäufen erhoben werden.

Das Transportunternehmen hat die betroffenen Personen zum Zeitpunkt der Datenerhebung nicht über die verfolgten berechtigten Interessen informiert. Aus der Nichteinhaltung der Informationspflicht resultiert die Rechtswidrigkeit der Verarbeitung der Anrededaten. Ohne Information über die berechtigten Interessen kann die Verarbeitung der Anrededaten auch nicht als erforderlich angesehen werden. Selbst wenn das berechtigte Interesse der personalisierten Kundenkommunikation mitgeteilt worden wäre, wäre die Verarbeitung der Anrededaten nicht erforderlich, weil die Kommunikation auch ohne diese Daten möglich ist. Kunden können vernünftigerweise nicht absehen, dass ihre Anrededaten zur Kommunikation aufgrund eines Fahrscheinerwerbs verarbeitet werden.

Die Verarbeitung von Anrededaten könnte die Grundrechte oder -freiheiten betroffener Personen beeinträchtigen, weil sie zu einer Diskriminierung aufgrund des Geschlechts führen könnte. Dies gilt insb bei Transgender-Personen oder Personen mit Staatsangehörigkeit eines Staates, der das neutrale Geschlecht anerkennt. Das berechtigte Interesse an der Kommunikation mit dem Kunden überwiegt daher nicht die Interessen oder die Grundrechte oder -freiheiten der betroffenen Person.

Das Bestehen eines Widerspruchsrechts ist für die Beurteilung der Erforderlichkeit bei einer Verarbeitung nach Art 6 Abs 1 lit f DSGVO irrelevant, weil es eine rechtmäßige Verarbeitung voraussetzt. Es kann erst ausgeübt werden, wenn die rechtmäßige Verarbeitung bereits erfolgt ist, um diese zu unterbinden. Eine andere Auslegung würde die Rechtmäßigkeitsgründe des Art 6 DSGVO ausweiten. Das Schutzniveau der betroffenen Personen hinge davon ab, dass diese der Datenverarbeitung widersprechen.

Eine Zurückverweisung an die DSB zur Durchführung notwendiger Ermittlungen gemäß § 28 Abs 3 VwGVG ist nur bei besonders gravierenden Ermittlungslücken gerechtfertigt. Wenn die DSB auf Grundlage ihrer Ermittlungsergebnisse bereits Feststellungen getroffen hat und ergänzende Ermittlungen ohne Schwierigkeiten vom Verwaltungsgericht durchgeführt werden können, ist eine Zurückverweisung nicht erforderlich. Im Interesse der Verfahrensbeschleunigung und der angemessenen Verfahrensdauer haben Verwaltungsgerichte erforderliche ergänzende Ermittlungen selbst vorzunehmen (VwGH 13.06.2024, Ra 2023/04/0259).

BVwG 27.03.2024, W214 2243436-1

Ein Unternehmen betrieb ein branchenübergreifendes Kundenbindungsprogramm, für das zur Rechtfertigung der Verarbeitung Einwilligungen physisch über ein Anmeldeformular und über eine Website eingeholt wurden. Um die Rechtmäßigkeit der Vorgehensweise zu prüfen, leitete die DSB ein amtswegiges Prüfverfahren ein. Da die Einwilligungen nicht der DSGVO entsprachen, verhängte die DSB im darauffolgenden Strafverfahren eine Geldstrafe iHv EUR 1,2 Mio (zuzüglich EUR 120.000 Verfahrenskostenbeitrag). Dagegen erhob das Unternehmen Bescheidbeschwerde an das BVwG, welches die Strafe auf EUR 700.000 (zuzüglich EUR 70.000 Verfahrenskostenbeitrag) herabsetzte und den Bescheid teilweise abänderte.

Das BVwG hat erwogen: Das Selbstbezichtigungsverbot des Art 90 Abs 2 B-VG und Art 6 EMRK gilt in Verwaltungsstrafverfahren nach der DSGVO jedenfalls nicht für juristische Personen. Beweisergebnisse, die in einem vorgelagerten Administrativverfahren unter strafbewehrter Mitwirkungspflicht erlangt wurden, dürfen im nachgelagerten Verwaltungsstrafverfahren verwertet werden.

Bei der Beurteilung der Gültigkeit einer Einwilligung ist maßgeblich, wie eine durchschnittliche einwilligende Person, die über keine juristischen oder technischen Kenntnisse verfügt und sich der Einwilligung mit durchschnittlicher Aufmerksamkeit widmet, diese versteht. Eine datenschutzrechtliche Erklärung, die zwar fettgedruckt ist, jedoch am Ende eines physischen Anmeldeformulars unter einem Unterschriftsfeld platziert wurde, ist irreführend. Eine bei einem Onlineformular missverständlich beschriftete Schaltfläche ist dabei irreführend und intransparent. Durch die intransparente Vorgehensweise entsprechen die Einwilligungen nicht den Erfordernissen iSd Art 7 DSGVO. Eine darauf gestützte Datenverarbeitung ist rechtswidrig.

Bei Profiling iSd DSGVO handelt es sich um einen erheblichen Eingriff in die Grundrechte von Betroffenen. Das Interesse Betroffener, keinem Profiling unterworfen zu werden, überwiegt das Interesse eines Unternehmens, ohne Einwilligung Daten zur interessensgerichteten Werbung verarbeiten zu dürfen.

Geschäftsführer trifft eine Erkundigungspflicht hinsichtlich einschlägiger Bestimmungen vor Beginn einer Datenverarbeitung. Zur Wirksamkeit eines internen Kontrollsystems muss dargelegt werden, wie dieses Kontrollsystem im Einzelfall hätte funktionieren sollen.

Für die Bemessung der Höhe einer Strafe nach der DSGVO liegt eine Unternehmensgruppe vor, wenn eine Muttergesellschaft einen entscheidenden Einfluss auf ein Tochterunternehmen ausübt.

Werden personenbezogene Daten (i) schuldhaft unrechtmäßig verarbeitet, (ii) betrifft die Verarbeitung das gesamte Bundesgebiet, (iii) stellt die Verarbeitung eine zentrale Tätigkeit des Verantwortlichen dar und (iv) sind eine große Anzahl natürlicher Personen von der Verarbeitung über einen Zeitraum von zwei Jahren betroffen, liegt bei einem fahrlässigen Verstoß gegen die DSGVO für die Strafbemessung ein mittlerer bis hoher Schweregrad vor. Anm: Das BVwG verwehrt datenschutzrechtlich Verantwortlichen, insb wenn sie juristische Personen sind, den Schutz vor Zwang zur Selbstbezichtigung.

BVwG 07.06.2024, W256 2246230-1

Ein Unternehmen hat von Mai 2019 bis Januar 2021 personenbezogene Daten für personalisierte Werbung, basierend auf Einwilligungserklärungen, die mittels Flyer und Webseite eingeholt wurden, erhoben. Die DSB leitete ein amtswegiges Prüfverfahren ein, in dem sie die Einwilligungserklärungen für ungültig erklärte. Im anschließenden Verwaltungsstrafverfahren verhängte die DSB eine Geldstrafe iHv EUR 2 Mio. Das Unternehmen erhob dagegen Bescheidbeschwerde an das BVwG, das die Geldbuße auf EUR 500.000 herabsetzte.

Das BVwG hat erwogen: Ergebnisse des amtswegigen Prüfverfahrens können in ein Verwaltungsstrafverfahren einbezogen werden. Das Recht, sich selbst nicht einer strafbaren Handlung bezichtigen zu müssen, kommt einer juristischen Person nicht zu. Die Einwilligungserklärungen entsprechen nicht den Anforderungen des Art 7 Abs 2 DSGVO, weil sie nicht klar und verständlich gestaltet, und damit nicht freiwillig waren. Die Einwilligungserklärung muss optisch und sprachlich transparent ausgestaltet sein, insb wenn sie verschiedene Sachverhalte betrifft. Das Unternehmen hat den Gesamteindruck vermittelt, dass es sich eigentlich um eine Unterschrift für die Teilnahme am Kundenbindungsprogramm und nicht um eine Einwilligung zum Profiling handelt.

Die Verarbeitung kann nicht auf Art 6 Abs 1 lit f oder Art 6 Abs 4 DSGVO gestützt werden, weil die betroffenen Personen nicht mit einer solchen Verarbeitung rechnen mussten. Das Unternehmen hat fahrlässig gehandelt, weil den Geschäftsführern und/oder dem Datenschutzbeauftragten die Rechtswidrigkeit der Einwilligungserklärungen hätte auffallen müssen. Die Geldbuße ist jedoch zu hoch angesetzt, weil die Verhältnismäßigkeit und die wirtschaftliche Leistungsfähigkeit des Unternehmens sowie mildernde Umstände zu berücksichtigen sind.

Die Revision an den VwGH ist zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage von grundsätzlicher Bedeutung abhängt, insb zu Art 7 DSGVO und zum entschuldbaren Verbotsirrtum im Anwendungsbereich der DSGVO.

Die mündliche Weitergabe personenbezogener Daten fällt nicht in den sachlichen Anwendungsbereich der DSGVO, ist aber anhand des Maßstabs des § 1 DSG zu prüfen. Eine Information über den stationären Aufenthalt einer Patientin ist ein Gesundheitsdatum iSd Art 4 Z 15 DSGVO. Die allgemeine Verfügbarkeit von Daten schließt die Verletzung eines Geheimhaltungsinteresses iSd § 1 DSG ausdrücklich aus. Daten, die nur einem begrenzten Personenkreis offengelegt werden, sind jedoch nicht allgemein verfügbar (BVwG 12.06.2024, W211 2281442-1). Beachte: Fällt eine Datenverarbeitung in den Anwendungsbereich der DSGVO, sind auch allgemein verfügbare Daten geschützt.

Über die Beschwerde einer Sportlerin gegen eine Entscheidung der Unabhängigen Dopingkontrolleinrichtung (NADA) legte die Unabhängige Schiedskommission (USK) mehrere Fragen hinsichtlich der Vereinbarkeit von Anti-Doping-Regelungen mit der DSGVO dem EuGH vor. Der EuGH wies die Fragen der USK mit Urteil vom 05.2024, C‑115/22, NADA, zurück, weil die USK kein Gericht iSd Art 267 AEUV ist. Das BVwG setzte ein bei ihm anhängiges Verfahren bis zur Entscheidung des EuGH aus. Nunmehr hat das BVwG das bei ihm anhängige Verfahren fortgesetzt und als Gericht iSd Art 267 AEUV dem EuGH die Fragen der USK nochmals vorgelegt. Den Fragen der USK stellt das BVwG jedoch eine weitere Frage voran, die die Schlussanträge der Generalanwältin reflektieren. Die Generalanwältin hinterfragte, ob die Durchführung des Anti-Doping-Rechts in den Anwendungsbereich des Unionsrechts und somit in jenen der DSGVO fällt (BVwG 28.06.2024, W108 2250401-1).

Von einem unvertretenen juristischen Laien kann die rechtliche Einordnung und Anführung der korrekten Norm nicht erwartet werden (BVwG 17.06.2024, W287 2285759-1).

Entsteht nach Ansicht des Beschuldigten aufgrund der Zusammenstellung personenbezogener Daten eine inhaltliche Irreführung, kann er Fehlannahmen durch Vorbringen im Einklang mit der Strafprozessordnung richtigstellen. Ein Recht auf Vervollständigung seiner Daten im Ermittlungsakt kommt ihm nicht zu (BVwG 12.06.2024, W605 2280077-1).

Wird das Recht auf Löschung geltend gemacht, kann eine Verantwortliche bis zum Abschluss des Verfahrens vor der DSB die behauptete Rechtsverletzung nachträglich beseitigen, indem sie den Anträgen des Betroffenen entspricht (§ 24 Abs 6 DSG). Diese Bestimmung ist sinngemäß auch im Verfahren beim BVwG anzuwenden (§ 17 VwGVG). Bei materieller Klaglosstellung wegen Wegfalls des Rechtsschutzinteresses ist das Verfahren einzustellen (BVwG 20.06.2024, W211 2225136-1).

Die DSB kann eine Verletzung des Grundrechts auf Geheimhaltung nur ex post betrachtet feststellen, weshalb eine Datenschutzbeschwerde über eine möglicherweise in der Zukunft eintretende Verletzung bereits aus diesem Grund abzuweisen ist (BVwG 27.05.2024, W137 2288754-1).

Am 07.2024 wurde die Verordnung über künstliche Intelligenz "VO (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13.06.2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828" im Amtsblatt der EU veröffentlicht. Anm: Einen kurzen Überblick finden Sie unter folgendem Link.

Am 07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.

VwGH 06.06.2024, Ra 2022/04/0008

Die Teilnehmerin einer Gruppe zur Stressbewältigung erachtete sich in ihrem Recht auf Geheimhaltung verletzt, weil die Betreiberin der Gruppe Chatverläufe an den Ex-Freund der Teilnehmerin weitergeleitet haben soll. Die DSB gab der Datenschutzbeschwerde der Teilnehmerin statt. Der von der Betreiberin der Gruppe erhobenen Bescheidbeschwerde gab das BVwG insofern statt, als es den Bescheid behob und die Angelegenheit zur Verfahrensergänzung und Erlassung eines neuen Bescheids an die DSB zurückverwies. Aufgrund der dagegen erhobenen außerordentlichen Amtsrevision der DSB behob der VwGH den Zurückverweisungsbeschluss des BVwG wegen Rechtswidrigkeit des Inhalts.

Der VwGH hat erwogen: Die nach § 28 Abs 3 Satz 2 VwGVG bestehende Zurückverweisungsmöglichkeit stellt eine Ausnahme von der grundsätzlichen meritorischen Entscheidungszuständigkeit der Verwaltungsgerichte dar. Das BVwG wich insofern von der stRsp des VwGH ab, als die Voraussetzungen für eine Aufhebung und Zurückverweisung der Angelegenheit an die DSB mangels gravierender Ermittlungslücken nicht vorlagen. Eine Zurückverweisung ist regelmäßig nur dann zulässig, wenn die Verwaltungsbehörde jegliche erforderliche Ermittlungstätigkeit unterlassen hat, die zur Ermittlung des maßgebenden Sachverhalts gesetzten Ermittlungsschritte völlig ungeeignet waren oder von der Verwaltungsbehörde bloß ansatzweise ermittelt wurde. Solche – einen Zurückweisungsbeschluss rechtfertigende – Mängel haften dem Ermittlungsverfahren nicht an. Das BVwG hätte die von ihm als notwendig angesehenen ergänzenden Ermittlungsschritte – etwa im Rahmen einer mündlichen Verhandlung – nachholen können.

Die DSB hat den Ex-Freund der Teilnehmerin als Zeugen einvernommen. Auf Grundlage dieser Ermittlungsergebnisse hat die DSB – nach Einräumung des Parteiengehörs – Sachverhaltsfeststellungen getroffen und diese ihrer Entscheidung zugrunde gelegt. Zu beurteilen, ob die Beweiswürdigung der DSB im Zusammenhang mit der Weiterleitung der Chats ggf verfehlt war, gehört zu den zentralen Aufgaben des BVwG.

Ebenso wenig kann die Frage, ob die Haushaltsausnahme nach Art 2 Abs 2 lit c DSGVO anzuwenden gewesen wäre, eine Zurückverweisung rechtfertigen. Diese Rechtsfrage hat das BVwG selbst zu beantworten.

Die DSB hat von sich aus den vollständigen und wahren entscheidungsrelevanten Sachverhalt durch Aufnahme aller nötigen Beweise festzustellen. Wenn die DSB jegliche erforderliche Ermittlungstätigkeit unterlässt, nur völlig ungeeignete Ermittlungsschritte setzt oder bloß ansatzweise ermittelt, darf das BVwG das Verfahren an die DSB zurückverweisen (VwGH 06.06.2024, Ra 2023/04/0280).

Die Zurückziehung einer Datenschutzbeschwerde nach Entscheidung durch das BVwG und somit nach Eintritt der Rechtskraft ist nicht mehr möglich (VwGH 06.06.2024, Ra 2023/04/0004; Ra 2023/04/0006).

BVwG 23.04.2024, W292 2248672-1

Eine Kreditauskunftei übermittelte Informationen zur Bonität eines Betroffenen in Form eines Scoring-Wertes an einen Energieversorger, wobei sie dem Betroffenen eine "mittlere" Bonität zuschrieb, obwohl keine sachlich begründenden Informationen hierfür vorlagen. Aufgrund dieses Bonitätsscores verweigerte der Energieversorger einen Vertragsabschluss mit dem Betroffenen. Daraufhin erhob der Betroffene eine Datenschutzbeschwerde bei der DSB und machte mehrere Verletzungen seiner Rechte durch die Kreditauskunftei geltend, insbesondere das Recht auf Auskunft, das Recht auf Datenrichtigkeit, das Prinzip der Verarbeitung nach Treu und Glauben und das Recht, keiner automatisierten Entscheidung unterworfen zu werden.

Die DSB stellte fest, dass die Kreditauskunftei gegen die Grundsätze der Rechtsmäßigkeit und der Verarbeitung nach Treu und Glauben verstoßen hatte, weil die Berechnung ohne Vorhandensein von konkreten Zahlungserfahrungsdaten zur Person des Betroffenen durchgeführt wurde. Zudem sah die DSB einen Verstoß gegen den Grundsatz der Transparenz vorliegen, weil die Kreditauskunftei es unterlassen hatte, verständlich darzustellen, ob sie die personenbezogenen Daten auch zu anderen Zwecken als zur Ausübung des Gewerbes der Kreditauskunftei verarbeite. Der Betroffene wurde nach Ansicht der DSB auch in seinem Recht auf Geheimhaltung und Auskunft verletzt, weil seine personenbezogenen Daten unrechtmäßig verarbeitet wurden und die Kreditauskunftei ihm keine Auskunft gemäß Art 15 Abs 1 lit h DSGVO erteilt hatte. Die gegen diesen Bescheid erhobene Bescheidbeschwerde der Kreditauskunftei war zum Teil erfolgreich.

Das BVwG hat erwogen: Die Kreditauskunftei hat bei der Berechnung des Bonitätsscores eine automatisierte Entscheidungsfindung iSd Art 22 DSGVO durchgeführt, weil sie einen auf personenbezogene Daten gestützten Wahrscheinlichkeitswert in Bezug auf die Fähigkeit der Betroffenen, künftige Zahlungsverpflichtungen zu erfüllen, automatisiert erstellt hat und der Energieversorger aufgrund dessen den Vertragsabschluss verweigert hat. Damit hat die automatisierte Entscheidungsfindung den Energieversorger maßgeblich geleitet und rechtliche Wirkung für den Betroffenen entfaltet bzw ihn in ähnlicher Weise erheblich beeinträchtigt.

Es waren keine Ausnahmetatbestände iSd Art 22 Abs 2 DSGVO erfüllt. Auch den weitergehenden Informationspflichten nach Art 13 Abs 2 lit f und Art 14 Abs 2 lit g DSGVO ist die Kreditauskunftei nicht nachgekommen, weil sie dem Betroffenen keine Informationen über die involvierte Logik sowie Tragweite und die angestrebten Auswirkungen der Verarbeitung zur Verfügung gestellt hat. Es war aus den Bonitätsauszügen auch nicht ersichtlich, dass der darin enthaltene Bonitätsscore ohne Zahlungserfahrungsdaten berechnet wurde. Die Kreditauskunftei verstieß somit gegen die Grundsätze der Rechtsmäßigkeit und der Verarbeitung nach Treu und Glauben.

Der Ausspruch der DSB, wonach die Kreditauskunftei gegen den Grundsatz der Transparenz verstoßen hat, war aufzuheben, weil dieser Verstoß von der Datenschutzbeschwerde nicht umfasst war und die Kreditauskunftei in ihrer zuvor ergangenen Stellungnahme klar angegeben hatte, zu welchen Zwecken sie die Daten verarbeitet. Auch eine Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG wurde in der Datenschutzbeschwerde nicht geltend gemacht, weshalb auch der hierzu ergangene Spruchpunkt des Bescheides der DSB ersatzlos zu beheben war.

Die Kreditauskunftei vertrat die Ansicht, dass sie keine automatisierte Entscheidungsfindung durchführe, weshalb kein Anspruch des Betroffenen auf Auskunft bestehe. Damit ist sie dem Auskunftsersuchen des Betroffenen bis zum Abschluss des Verfahrens nicht vollständig nachgekommen und hat ihn in seinem Recht auf Auskunft gemäß Art 15 DSGVO verletzt. Das Argument der Kreditauskunftei, dass die verlangten Informationen zum Bonitätsscore Geschäftsgeheimnisse sind, schließt den Auskunftsanspruch nicht absolut aus. Dennoch müssen Informationen über die Berechnung des Bonitätsscores zumindest grundlegend bereitgestellt werden, ohne dass hierbei Geschäftsgeheimnisse preisgegeben werden müssen.

BVwG 28.05.2024, W176 2249328-1

Eine Muttergesellschaft ist Alleingesellschafterin einer Tochtergesellschaft, die ein Kundenbindungsprogramm betreibt. In der Konzeptionsphase legte der Vorstand der Muttergesellschaft die Strategie für ein Multipartner-System fest, das die Tochtergesellschaft durch das Kundenbindungsprogramm ohne Involvierung der Muttergesellschaft umsetzte. In Folge eines amtswegigen Prüfverfahrens leitete die DSB ein Verwaltungsstrafverfahren gegen die beiden Gesellschaften als gemeinsame Verantwortliche ein. Die gemeinsame Verantwortlichkeit wurde damit begründet, dass die Muttergesellschaft die strategische Entscheidung traf, ein Multipartner-Kundenbindungsprogramm einzurichten, die Tochtergesellschaft zu gründen und diese finanziell und personell zu unterstützten. Den Gesellschaften wurde vorgeworfen, dass die Einwilligungsformulare für die Datenverarbeitung zu Zwecken des Profiling nicht den datenschutzrechtlichen Anforderungen an eine wirksame Einwilligung entsprechen würden und die Datenverarbeitung daher auf keinen Erlaubnistatbestand des Art 6 Abs 1 DSGVO gestützt werden könne. Der Muttergesellschaft wurde eine Geldbuße iHv EUR 8 Mio und ein Verfahrenskostenbeitrag von EUR 800.000 auferlegt. Das BVwG hat das Straferkenntnis behoben und das Verwaltungsstrafverfahren eingestellt.

Das BVwG hat erwogen: Die gemeinsame Verantwortlichkeit erfordert ein kooperatives Zusammenwirken zweier Akteure. Ein solches ist nicht erkennbar, weil die Muttergesellschaft seit Abschluss der Konzeptionsphase nicht mehr in die maßgeblichen Vorgänge involviert war und sie keinen Einfluss auf konkrete Datenverarbeitungszwecke und -mittel nehmen konnte.

Die Muttergesellschaft ist nicht Verantwortliche für die Datenverarbeitung, weil sich ihre Tätigkeit auf die strategische Festlegung eines Multipartner-Kundenbindungsprogramms und der Gründung der Tochtergesellschaft in der Konzeptionsphase beschränkte. Ab der Aufnahme des operativen Geschäftsbetriebs hat sie keine Leitungs- und Kontrolltätigkeiten in Bezug auf die Tochtergesellschaft vorgenommen oder veranlasst. Es fehlt eine gewollte und bewusste Zusammenarbeit der Beteiligten, die wesentlichen Entscheidungen über Zwecke und Mittel der Datenverarbeitung zu treffen, sodass keine gemeinsame Verantwortlichkeit vorliegt.

BVwG 28.06.2023, W214 2245388-1

Eine Bürgerin fühlte sich von dem Bundesminister für Digitalisierung und Wirtschaftsstandort als Stammzahlenregisterbehörde (Stammzahlenregisterbehörde) in ihrem Recht auf Geheimhaltung und Löschung verletzt, weil personenbezogene Daten zu ihrer Person im Ergänzungsregister für sonstige Betroffene (ERsB) eingetragen wurden und ihrem Löschersuchen nicht nachgekommen wurde. Die Eintragung war ihrer Ansicht nach nicht notwendig, weil ihre Daten schon im Zentralen Melderegister (ZMR) erfasst waren und sie keine unternehmerische Tätigkeit ausübt. Die Datenschutzbeschwerde blieb erfolglos. Die gegen den Bescheid der DSB erhobene Bescheidbeschwerde der Bürgerin hatte Erfolg.

Das BVwG hat erwogen: Die Stammzahlenregisterbehörde führt neben dem Ergänzungsregister für natürliche Personen (ERnP) auch das ERsB für alle anderen Betroffenen.

Die Bürgerin wurde als Einzelunternehmerin ins ERsB eingetragen, weil die Stammzahlenbehörde von einem weiten Unternehmensbegriff ausgeht, der natürliche Personen, Personengesellschaften, Personengemeinschaften und Personenvereinigungen, die unternehmerisch tätig sind, umfasst.

Die Bürgerin bezog zwar für eine Tätigkeit Funktionsgebühren, die gemäß § 29 Z 4 EStG als sonstige Einkunft zu den außerbetrieblichen Einkunftsarten aus nicht selbständiger Arbeit zählen. Eine unternehmerische Tätigkeit entfaltete sie jedoch nicht. Die Eintragung der Bürgerin ins ERsB erfolgte daher zu Unrecht.

BVwG 03.06.2024, W292 2282284-1

Die Ordinationsassistentin einer Fachärztin für Psychiatrie und psychotherapeutische Medizin versendete eine Terminerinnerung versehentlich mittels Gruppentextnachricht an 27 Patienten. Dadurch legte sie personenbezogene Daten, einschließlich Gesundheitsdaten der Patienten, für alle Empfänger offen. Die DSB verhängte eine Geldbuße iHv EUR 6.000 und einen Verfahrenskostenbeitrag von EUR 600. Das BVwG gab der Bescheidbeschwerde der Fachärztin teilweise statt und senkte die Geldbuße auf EUR 4.000 und den Verfahrenskostenbeitrag auf EUR 400 herab.

Das BVwG hat erwogen: Die Telefonnummern der Patienten sind personenbezogene Daten iSd Art 4 Z 1 DSGVO. Die Information über die Inanspruchnahme des Dienstleistungsangebots der Fachärztin durch die Patienten ist als Gesundheitsdatum iSd Art 4 Z 15 DSGVO zu qualifizieren. Diese Daten lassen zumindest indirekt auf eine psychische Erkrankung der Empfänger schließen. Die Fachärztin hat die unbefugte Offenlegung der Daten nicht unverzüglich und innerhalb von 72 Stunden der DSB gemeldet (Art 33 Abs 1 DSGVO).

Die Informationen aus der Gruppen-Textnachricht können zu physischen, materiellen oder immateriellen Schäden für die Patienten führen. Darüber hinaus erfordern Gesundheitsdaten ein besonderes Maß an Sorgfalt. Diese Informationen unterliegen einem besonderen Geheimhaltungsinteresse. Es ist die Pflicht der Fachärztin, ihre Mitarbeiter ausreichend zu schulen und für die Einhaltung der datenschutzrechtlichen Vorgaben zu sorgen. Die Fachärztin ergriff keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz der Vertraulichkeit. Weiters führte die Fachärztin auch kein Verzeichnis über ihre Verarbeitungstätigkeiten (Art 30 DSGVO).

Nach Art 83 Abs 1 DSGVO müssen Aufsichtsbehörden sicherstellen, dass Geldbußen wirksam, verhältnismäßig und abschreckend sind. Bei der Bemessung sind Art, Schwere und Dauer des Verstoßes, die Zahl der betroffenen Personen, das Ausmaß des Schadens und die Kategorie der betroffenen Daten zu berücksichtigen. Die Verknüpfung der offengelegten Telefonnummern mit namentlich identifizierbaren Personen ist mit einem gewissen Aufwand verbunden, was eine geringfügige Minderung der Schwere des Eingriffs und eine Reduktion der Geldbuße rechtfertigt. Für Terminerinnerungen per SMS muss eine ausdrückliche Einwilligung der Patienten gemäß Art 9 Abs 2 lit a DSGVO vorliegen. Die Fachärztin war sich dieser Vorgaben nicht bewusst und setzte keine sichere technische Lösung ein. Diese Handlungen und Unterlassungen sind als grob fahrlässiges Verhalten zu qualifizieren. Mildernd wirken die fahrlässige Begehung, die Unbescholtenheit, die Mitwirkung im Ermittlungsverfahren, die Anpassung der technischen Einstellungen und die nachträgliche Erstellung eines Verarbeitungsverzeichnisses.

BVwG 06.06.2024, W108 2280859-1

Nachdem das E-Mail-Postfach eines Arztes und des von ihm geführten Labors kompromittiert wurde, gelangte eine Excel-Liste mit tausenden PCR-Test-Ergebnissen und personenbezogenen Daten an zwei Medienunternehmen. Nachdem die Medienunternehmen über die geleakten Ergebnisse berichteten, beantragte das Labor die Löschung der E-Mail und nach Ablehnung durch die Medienunternehmen stellten der Arzt und das Labor einen Antrag auf Auskunft, dem die Medienunternehmen nicht vollständig nachkamen. Vor diesem Hintergrund brachten der Arzt und das Labor Datenschutzbeschwerden bei der DSB ein. Der Arzt behauptete eine Verletzung in seinem Recht auf Auskunft und das Labor in seinem Recht auf Löschung, Geheimhaltung und Auskunft. Die Medienunternehmen beriefen sich darauf, dass sie gemäß § 9 DSG dem Medienprivileg unterliegen würden und den Arzt und das Labor nicht in ihren Rechten verletzt hätten. Die DSB wies die Datenschutzbeschwerden zunächst mangels Zuständigkeit aufgrund der Anwendbarkeit des Medienprivilegs nach § 9 Abs 1 DSG zurück, woraufhin der Arzt und das Labor Bescheidbeschwerden an das BVwG richteten. Das BVwG leitete ein Normprüfungsverfahren beim VfGH ein, welches zur Aufhebung des § 9 Abs 1 DSG wegen Verfassungswidrigkeit führte. In weiterer Folge entschied die DSB, dass keine Verletzung des Rechts auf Löschung vorlag und stellte fest, dass die Medienunternehmen gewisse Informationen aufgrund des § 31 Abs 1 MedienG nicht zu beauskunften hatten, hinsichtlich anderer Informationen jedoch den Arzt und das Labor in ihren Rechten auf Auskunft verletzt haben. Daraufhin erhoben sowohl die Medienunternehmen als auch der Arzt und das Labor Bescheidbeschwerden an das BVwG. Das BVwG wies sämtliche Bescheidbeschwerden ab.

Das BVwG hat erwogen: Der Begriff "personenbezogene Daten" ist weit zu verstehen. Auch wenn die Excel-Liste personenbezogene Daten Dritter enthielt, war die Medienberichterstattung mit dem Arzt und dem Labor verknüpft. Daher wurden auch personenbezogene Daten des Arztes und des Labors verarbeitet. Das Labor ist, entgegen der Annahme der Medienunternehmen, als juristische Person beschwerdelegitimiert, weil § 1 DSG widrigenfalls eine gleichheits- und damit verfassungswidrige Norm wäre.

Das Interesse des Arztes und des Labors auf Auskunft überwog dem Geheimhaltungsinteresse der Medienunternehmen jedoch nicht, weil eine Berufung auf das Redaktionsgeheimnis auch außerhalb des § 31 Abs 1 MedienG möglich ist. Dies gilt vor allem mit Blick auf Art 10 EMRK, weil Informanten die Medien nicht unterstützen könnten, wenn kein Schutz journalistischer Quellen im Rahmen der Pressefreiheit garantiert wäre. Da den Medien in ihrer Rolle als "public watchdog" eine wichtige Kontroll- und Aufklärungsfunktion zukommt, muss ein dringendes Erfordernis des öffentlichen Interesses vorliegen, um in den Schutz journalistischer Quellen einzugreifen. Ein solches Interesse besteht hier nicht.

Unter "Stammdaten", die von den Medienunternehmen zu beauskunften sind, fallen persönliche Angaben wie Namen, Adresse, Geburtsdatum, Sozialversicherungsnummer und Kontaktdaten, nicht jedoch das gesamte journalistische Recherchematerial. Das Redaktionsgeheimnis wird durch das Offenlegen dieser Daten nicht verletzt.

Da dem Grundrecht auf Datenschutz unmittelbare Horizontal- bzw Drittwirkung zukommt, können auch Private verpflichtet sein. Das Untätigbleiben der Medienunternehmen mit der Begründung, dass juristischen Personen kein Auskunftsrecht zukommt, war rechtswidrig, weil die Betroffenenrechte gemäß Art 12 f DSGVO analog auf juristische Personen anzuwenden sind.

Das Erleichterungsgebot gemäß Art 12 Abs 2 DSGVO ist eine Strafnorm. Ein Verstoß dagegen kann gemäß Art 83 Abs 5 lit b DSGVO mit einer Geldbuße geahndet werden. Der Verantwortliche hat jedoch nur leicht fahrlässig gehandelt, weshalb die Strafe von EUR 9,5 Mio auf EUR 500.000 herabzusetzen war (BVwG 18.04.2024, W137 2248575-1).

Die DSB ist berechtigt, die Herausgabe personenbezogener Daten eines Beschwerdeführers vom Verantwortlichen zu verlangen, wenn die angeforderten Daten für das Erheben des maßgeblichen Sachverhalts erforderlich sein können. Der Verantwortliche hat dem Auftrag der DSB auf Herausgabe der Daten im Rahmen seiner Mitwirkungspflicht gemäß Art 31 DSGVO zu entsprechen (BVwG 13.05.2024, W101 2249293-1).

Wird in einem Einspruch gegen eine Strafverfügung nur die Herabsetzung der Strafe beantragt, tritt Teilrechtskraft hinsichtlich des Schuldspruchs ein (BVwG 06.05.2024, W108 2281246-1).

Krankheitsrisiken sind Gesundheitsdaten. Daher ist das Datum "Impfstatus" als Gesundheitsdatum iSd Art 9 Abs 1 DSGVO zu qualifizieren (BVwG 11.07.2023, W214 2257639-1).

Kommt dem Wiederaufnahmewerber mangels Obsorge keine Vertretungsbefugnis für seinen minderjährigen Sohn zu, fehlt ihm die Legitimation zur Erhebung eines Antrags auf Wiederaufnahme (BVwG 12.06.2024, W211 2267466-2; W211 2280883-2).

Die Zurückziehung der Datenschutzbeschwerde bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Bescheides und damit (nachträglich) dessen Rechtswidrigkeit. Das BVwG hat daher den bekämpften Bescheid (ersatzlos) zu beheben (BVwG 06.06.2024, W287 2268623-1).

Der EuGH hat mit Urteil vom 16.01.2024, C-33/22, Österreichische Datenschutzbehörde, die Zuständigkeit der DSB für Datenverarbeitungstätigkeiten der Gesetzgebungsorgane bejaht, weil keine andere Aufsichtsbehörde für die Überwachung der entsprechenden Datenverarbeitungstätigkeiten eingerichtet war.

Der Gesetzgeber hat am 04.07.2024 mit einem Gesetzgebungspaket reagiert (BGBl I 2024/68; BGBl I 2024/70; BGBl I 2024/71). Es sind ua das Bundes-Verfassungsgesetz (B-VG), das DSG, das Informationsordnungsgesetz, das Rechnungshofgesetz und das Volksanwaltschaftsgesetz novelliert worden.

Mit dem Gesetzgebungspaket wird insb ein "Parlamentarisches Datenschutzkomitee" eingerichtet, das neben der DSB als nationale Aufsichtsbehörde fungieren wird. Das Parlamentarische Datenschutzkomitee wird für Datenschutzbeschwerden gegen den Nationalrat, den Bundesrat, den Rechnungshof, die Volksanwaltschaft sowie die obersten Organe des Nationalrats, des Bundesrats, des Rechnungshofs sowie der Volksanwaltschaft zuständig sein.

Durch Landesverfassungsgesetz kann die Zuständigkeit des Parlamentarischen Datenschutzkomitees auf die Datenverarbeitungstätigkeiten

Am 07.2024 wurde das Bundesgesetz zur Einrichtung einer nationalen Behörde für die Cybersicherheitszertifizierung (Cybersicherheitszertifizierungs-Gesetz, CSZG, BGBl I 2024/78), mit dem eine nationale Behörde für die Cybersicherheitszertifizierung eingerichtet wurde, kundgemacht.

Am 11.07.2024 werden die Schlussanträge in der Rs C-394/23, Mousse, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf.

Am 11.07.2024 wird das Urteil des EuGH in der Rs C-757/22, Meta Platforms Ireland, veröffentlicht. Geklärt werden weitere Voraussetzungen, unter welchen Verbraucherschutzverbände wegen der Verletzung von Informationspflichten klagen können.

Am 07.2024 wird das Urteil des EuGH in der Rs C-461/22, MK (Curateur professionnel), veröffentlicht. Geklärt wird, ob ein Rechtsanwalt, der als Erwachsenenvertreter (= Sachwalter) bestellt wird, ein Verantwortlicher iSd Art 4 Z 7 DSGVO ist und dem Vertretenen zur Auskunft gemäß Art 15 DSGVO verpflichtet ist. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.

EGMR 25.06.2024, 23215/21, Vlaisavljevikj/Nordmazedonien

Der Betroffene machte bei der zuständigen nationalen Behörde (Direktion für den Schutz personenbezogener Daten) eine Datenschutzbeschwerde geltend und brachte vor, durch einen Wärmelieferanten in seinem Recht auf Schutz seiner personenbezogenen Daten verletzt worden zu sein. Dieser soll dem Betroffenen Rechnungen geschickt haben, obwohl in seiner Wohnung keine Heizungen installiert waren und er keinen Vertrag mit dem Wärmelieferanten abgeschlossen hatte. Der Wärmelieferant stütze sich auf das nationale Energiegesetz und brachte vor, die Verarbeitung sei rechtmäßig gewesen, weil er die Daten vom vorherigen Versorger erhalten hatte und berechtigt sei, die Daten zu verarbeiten, um Zahlungen einzuziehen. Die Direktion wies die Datenschutzbeschwerde ab und argumentierte dies mit dem berechtigten Interesse des Wärmelieferanten, die Wärmemenge in Rechnung zu stellen und erachtete die Verarbeitung als rechtmäßig iSd Energiegesetzes.

Der Betroffene ging gegen die Entscheidung der Direktion beim Verwaltungsgericht vor und hielt fest, dass die herangezogene Bestimmung auf seinen Fall nicht anzuwenden sei, weil dies bloß für Wärmeverbraucher anzuwenden wäre. Er habe aber nie einen Vertrag geschlossen, daher sei bereits der frühere Versorger unrechtmäßig an seine Daten gelangt. Nachdem das Verwaltungsgericht dem Betroffenen Recht gab, hob das Oberverwaltungsgericht dieses Urteil wieder auf und argumentierte im Wesentlichen wie die Direktion. Der Betroffene machte nunmehr eine Verletzung des Art 8 EMRK vor dem EGMR geltend, weil die inländischen Behörden es versäumt hätten, ihn vor der rechtswidrigen Erhebung und Verwendung seiner personenbezogenen Daten zu schützen. Die nordmazedonische Regierung trug vor, dass der Betroffene die sechsmonatige Frist zur Antragstellung nicht eingehalten und den innerstaatlichen Rechtsweg nicht ausgeschöpft habe.

Der EGMR hat erwogen: Da der Betroffene nicht die zugrundeliegenden Bestimmungen selbst als verfassungsrechtlich bedenklich hielt, sondern vielmehr die Versäumnis der Behörden und somit die Anwendung des Gesetzes auf seinen Fall rügte, war keine Verfassungsbeschwerde durch den Betroffenen erforderlich. Zudem kann die Klage nicht wegen der Nichteinhaltung der sechsmonatigen Frist abgewiesen werden, weil das Abwarten des Betroffenen auf die endgültige Erledigung seiner verwaltungsrechtlichen Beschwerde angemessen war, bevor er eine Beschwerde beim EGMR eingereicht hat. Es steht jedenfalls fest, dass der Wärmelieferant die personenbezogenen Daten des Betroffenen verarbeitet hat. Dass die Daten im Grundbuch eingetragen und somit auf der Website des Grundbuchamts öffentlich zugänglich und abrufbar waren ändert nichts daran, dass die Daten dem Schutz von Art 8 EMRK unterliegen. Der Wärmelieferant war nicht berechtigt, die Daten des Betroffenen zu verarbeiten und hat ihn in seinen Rechten nach Art 8 EMRK verletzt.

Der nordmazedonische Staat hat eine positive Verpflichtung zur Gewährleistung des Rechts des Betroffenen auf Achtung des Privatlebens. Die Wärmeversorger sind durch das Energiegesetz zwar berechtigt, Daten zu verarbeiten, um das ordnungsgemäße Funktionieren des Wärmeversorgungssystems als Angelegenheit des öffentlichen Interesses zu gewährleisten. Der Betroffene machte jedoch geltend, dass er nie einen Vertrag mit einem Wärmelieferanten abgeschlossen hatte, worauf weder die Direktion noch das Oberverwaltungsgericht eingegangen sind. Damit wurde der Kern des vom Betroffenen geltend gemachten Anspruchs nie wirklich geprüft, weil es an einer umfassenden Prüfung der Frage gefehlt hat, ob die Speicherung und Verwendung der Daten in Ermangelung eines vertraglichen Verhältnisses zwischen dem Betroffenen und dem Wärmelieferanten dem legitimen Ziel des Energiegesetzes entsprachen. Vor diesem Hintergrund haben die nationalen Gerichte das Recht des Betroffenen auf Achtung seines Privatlebens nicht wirksam geschützt. Es liegt eine Verletzung des Art 8 EMRK vor. Achtung: Die Beschwerdefrist an den EGMR ist in der Zwischenzeit auf vier Monate herabgesetzt worden!

VwGH 17.05.2024, Ro 2022/04/0026

Die auf einer Bewertungsplattform für Reisen gelisteten Betreiber eines Hotels forderten die Löschung aller ihrer personenbezogenen Daten einschließlich der Bewertungen. Die Bewertungsplattformbetreiberin ist diesem Löschersuchen nicht nachgekommen, weil die Datenverarbeitung im berechtigten Interesse der Plattform und ihrer Nutzer liege und durch die Meinungsäußerungsfreiheit und das Informationsinteresse der Öffentlichkeit geschützt sei. Die DSB und das BVwG wiesen die Beschwerden der Hotelbetreiber mangels Rechtswidrigkeit der Datenverarbeitung ab. Der VwGH wies die ordentliche Revision ab.

Der VwGH hat erwogen: Die Wahrnehmung des Rechts auf Meinungs- und Informationsfreiheit kann ein berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO sein. Dementsprechend sieht Art 17 Abs 3 lit a DSGVO eine Ausnahme vom Recht auf Löschung vor, soweit die Datenverarbeitung zur Ausübung dieser Rechte erforderlich ist. Die Bewertungsplattform ermöglicht Meinungsäußerungen und strukturierte Suchen, was der Ausübung der Meinungsäußerungsfreiheit dient. Daher ist die damit verbundene Datenverarbeitung zur Wahrung eines berechtigten Interesses erforderlich. Dass die Daten nur für einen kleinen Teil der Öffentlichkeit relevant sind, ändert nichts an dem grundsätzlichen Vorliegen eines berechtigten Interesses, kann aber bei der Interessenabwägung berücksichtigt werden.

Die Bewertungen betreffen die Erbringung von Dienstleistungen gegenüber Dritten und damit ein Verhalten in der Öffentlichkeit. Die verarbeiteten Daten fallen daher in die Sozialsphäre der Hotelbetreiber, die einen geringeren Schutz als der Kernbereich der Privatsphäre (zB Daten zum Sexualleben) genießt. Der bloße Umstand, dass sich die Eingriffsintensität einer Datenverarbeitung durch die Änderung maßgeblicher Umstände (zB Betriebsübergabe) in Zukunft ändern kann, führt für sich genommen nicht dazu, dass eine solche Datenverarbeitung von vornherein nicht der Sozial- bzw Berufssphäre zuzurechnen wäre.

Wer Dienstleistungen öffentlich anbietet, muss mit Beobachtung und Kritik rechnen und die Bewertungsplattform auf unberechtigte Kritik prüfen. Dies ist auch zumutbar, weil die Bewertungsplattform es ermöglicht, per E-Mail über neue Bewertungen informiert zu werden und zu Kommentaren Stellung zu nehmen. Die Bewertungsplattformbetreiberin hat hinreichende Maßnahmen ergriffen, um missbräuchliche Verwendungen durch Nutzer einzuschränken bzw den Betroffenen zu ermöglichen, sich gegen Kommentare zu wehren. Da die Datenverarbeitung rechtmäßig ist, besteht kein Löschungsanspruch der Hotelbetreiber.

VwGH 28.05.2024, Ro 2021/04/0034

Eine Kreditauskunftei hatte zu einem Geschäftsführer einer GmbH unter anderem einen Hinweis über dessen Insolvenz in ihrer Wirtschaftsdatenbank gespeichert. Nach Abschluss des Insolvenzverfahrens erhob der Geschäftsführer Datenschutzbeschwerde und begehrte die Löschung des Eintrags. Die DSB wies die Datenschutzbeschwerde ab, wogegen der Geschäftsführer Bescheidbeschwerde erhob. Das BVwG gab der Bescheidbeschwerde statt und trug der Kreditauskunftei die Löschung des Eintrags auf. Die Kreditauskunftei erhob Revision beim VwGH, der diese zurückwies.

Der VwGH hat erwogen: Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nach Art 6 Abs 1 lit f DSGVO verlangt eine fallbezogene Interessenabwägung zwischen den Interessen der Kreditauskunftei und den Interessen, Grundrechten und Grundfreiheiten des Geschäftsführers. Das BVwG hat die Interessenabwägung anhand der konkreten Umstände des Einzelfalls und der Rechtsprechung des EuGH vorgenommen. Die Insolvenz des Geschäftsführers der GmbH ist nicht bonitätsrelevant für die Gesellschaft, weil sie weder ein Ausschlussgrund für die Bestellung noch ein zwingender Grund für seine Abberufung ist. Die Haftung des Geschäftsführers gegenüber Dritten ist deliktischer Natur und mit der Haftbarkeit von Dienstnehmern vergleichbar. Die Verarbeitung der Insolvenzdaten des Geschäftsführers durch die Kreditauskunftei ist daher nicht zur Wahrung ihrer berechtigten Interessen oder der ihrer Kunden erforderlich. Auch überwiegt das Interesse des Geschäftsführers an der Löschung des Eintrags, weil dieser die Gefahr einer Missinterpretation seiner Bonität und seiner organschaftlichen Verpflichtungen mit sich bringt. Die Revision zeigt keine grundsätzliche Rechtsfrage auf, die eine Korrektur der Interessenabwägung des BVwG erfordert.

Die in der Marketingbranche als Sinus-Geo-Milieus bekannten anonymen statistischen Wahrscheinlichkeitswerte verwandeln sich in personenbezogene Daten, wenn sie einer natürlichen Person zugeordnet werden. Gleichzeitig gehen aus ihnen die weltanschaulichen Überzeugungen der Person hervor, der sie zugeordnet werden (irrelevant ist, dass diese Person beim Berechnen der Sinus-Geo-Milieus nicht einmal bekannt ist). Das Einhalten genehmigter Verhaltensregeln kann eine rechtswidrige Datenverarbeitung nicht rechtfertigen (VwGH 17.05.2024, Ra 2023/04/0005).

BVwG 03.06.2024, W211 2273051-1

Ein Richter des Landesgerichts für Strafsachen (LG) übermittelte aufgrund eines Ersuchens gemäß § 360 ASVG Verfahrens- und Gerichtsakten an die GKK (nunmehr ÖGK), die PVA und das Sozialministerium zur straf- und regressrechtlichen Verfolgung. Der Beschuldigte fühlte sich von der Vorgehensweise in seinem Recht auf Geheimhaltung verletzt und erhob Datenschutzbeschwerde bei der DSB gegen den Richter und das LG. Die DSB wies die Datenschutzbeschwerde gegen den Richter ab und gegen das LG zurück. Aufgrund der weit auszulegenden justiziellen Tätigkeit sei die DSB nicht zuständig. Dagegen erhob der Beschuldigte (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Der Richter ist als Rechtsprechungsorgan dem LG zuzuordnen. Die Eigenschaft eines datenschutzrechtlich Verantwortlichen kommt ihm nicht zu. Im Bereich der Gerichtsbarkeit (justizielle Tätigkeiten) kommt dabei dem jeweils verfahrensführenden Gericht die Eigenschaft als für die Verarbeitung Verantwortlichen in Betracht, wenn Verfahrensbestimmungen die konkrete gerichtliche Zuständigkeit anordnen. Da sich der Richter mit der Datenübermittlung innerhalb der Verfahrensordnung bewegte, kommt die Eigenschaft als Verantwortlicher dem LG zu.

Im Falle der Zurückweisung einer Datenschutzbeschwerde durch die DSB ist Sache des Beschwerdeverfahrens lediglich die Frage deren Rechtmäßigkeit. Hinsichtlich der Datenschutzbeschwerde gegen das LG ist die in Art 55 Abs 3 DSGVO genannte "justizielle Tätigkeit" weit zu verstehen. Diese ist nicht ausschließlich auf die Erlassung von Entscheidungen in konkreten Rechtssachen beschränkt. Auch die Datenübermittlung iS § 360 ASVG fällt unter die justizielle Tätigkeit eines Gerichts. Die DSB war für die Datenschutzbeschwerde daher nicht zuständig.

Für die Rüge einer Datenschutzverletzung durch ein Gericht in Ausübung der justiziellen Tätigkeit steht dem Beschuldigten der Rechtschutzbehelf des § 85 GOG zur Verfügung.

Der Empfänger eines "Impferinnerungsschreibens" hat seine Datenschutzbeschwerde gegen den falschen Verantwortlichen gerichtet. Richtet sich eine Datenschutzbeschwerde unzweifelhaft gegen eine bestimmte Person oder Stelle, welche die Datenverarbeitung nicht zu verantworten hat, dann ist die Datenschutzbeschwerde abzuweisen. Überdies konnte das Versenden des "Impferinnerungsschreibens" auf § 750 Abs 1a und 2 ASVG gestützt werden (BVwG 03.06.2024, W211 2263700-1).

Die Rechtsfrage der datenschutzrechtlichen Rollenverteilung beim Zugriff auf den Patientenindex sowie auf das zentrale Impfregister für den Versand von COVID-Impferinnerungsschreiben ist beim VwGH anhängig. Zudem liegen dem BVwG etwa 750 Bescheidbeschwerden zu dieser Rechtsfrage vor. Aus Gründen der Prozessökonomie gilt es, die gleiche Rechtsfrage nicht nebeneinander in mehreren Verfahren zu erörterten. Um das Verfahren zu vereinfachen und die Parteien vor unnötigen Revisionen beim VwGH zu schützen, wird das Verfahren ausgesetzt (BVwG 03.06.2024, W211 2262341-1).

Säumnisbeschwerden sind bei der belangten Behörde einzubringen, sofern das Verwaltungsverfahren noch bei dieser anhängig ist. Wenn die belangte Behörde bereits einen (negativen) Bescheid erlassen hat, liegt faktisch keine Säumnis vor (BVwG 05.06.2024, W252 2288636-1).

Am 06.2024 wurde das "Bundesgesetz, mit dem das Datenschutzgesetz geändert wird" kundgemacht (BGBl I 2024/62). Mit dieser Novelle wird das sogenannte Medienprivileg (§ 9 DSG) neugefasst, weil der VfGH den alten § 9 DSG als verfassungswidrig aufgehoben hat. Darüber hinaus enthält die DSG-Novelle redaktionelle Anpassungen.

Am 11.07.2024 werden die Schlussanträge in der Rs C-394/23, Mousse, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf.

Am 11.07.2024 wird das Urteil des EuGH in der Rs C-757/22, Meta Platforms Ireland, veröffentlicht. Geklärt werden weitere Voraussetzungen, unter welchen Verbraucherschutzverbände wegen der Verletzung von Informationspflichten klagen können.

Am 07.2024 wird das Urteil des EuGH in der Rs C-461/22, MK (Curateur professionnel), veröffentlicht. Geklärt wird, ob ein Rechtsanwalt, der als Erwachsenenvertreter (= Sachwalter) bestellt wird, ein Verantwortlicher iSd Art 4 Z 7 DSGVO ist und dem Vertretenen zur Auskunft gemäß Art 15 DSGVO verpflichtet ist. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.

EGMR 20.06.2024, 8826/20, Namazli/Azerbaijan

Ein aserbaidschanischer Häftling wurde von seinem Rechtsanwalt besucht und sie berieten sich über ein vor dem EGMR anhängiges Verfahren. Der Rechtsanwalt wurde sowohl beim Betreten als auch beim Verlassen des Gefängnisgebäudes vom Gefängnispersonal durchsucht. Dabei stellte das Gefängnispersonal die schriftliche Kopie einer Stellungnahme sicher, die der Rechtsanwalt für seinen Mandanten vorbereitet hatte, um diese anschließend beim EGMR einzubringen. Das Schriftstück wurde dem Gefängnisdirektor vorgelegt, der daraufhin die Beschlagnahme anordnete. Ein Protokoll über die Beschlagnahme wurde nicht angefertigt.

In seiner Beschwerde an den EGMR behauptete der Rechtsanwalt, dass er wegen der Beschlagnahme von Unterlagen, die unter den Schutz des Anwaltsgeheimnisses fallen, in seinen Rechten gemäß Art 8 EMRK verletzt wurde. Der EGMR stellte eine Verletzung des Art 8 EMRK in Bezug auf die Beschlagnahme des anwaltlichen Schriftstücks fest und sprach dem Rechtsanwalt eine Entschädigung iHv EUR 4.500 zu.

Der EGMR hat erwogen: Die Beschlagnahme von Schriftstücken, die dem Anwaltsgeheimnis unterliegen, ist ein Eingriff in die Rechte gemäß Art 8 EMRK, der nur dann zulässig ist, wenn er gesetzlich vorgesehen ist, einem legitimen Zweck dient und in einer demokratischen Gesellschaft notwendig ist.

Das aserbaidschanische Strafvollzugsgesetz legt fest, dass ein Anwalt gegen Vorlage seines Personalausweises ein Gefängnis betreten darf. Gleichzeitig ermächtigt das Strafvollzugsgesetz das Gefängnispersonal, die Besitztümer von ein- und ausgehenden Personen zu kontrollieren, ohne dabei zwischen den verschiedenen Personenkategorien zu unterscheiden. Ferner enthielten die aserbaidschanischen Regelungen keine Vorschriften darüber, wie die Leibesvisitation durchzuführen ist.

Die Durchsuchung einer Person ist ein schwerwiegender Eingriff in die Rechte nach Art 8 EMRK und bedarf daher einer besonders präzisen gesetzlichen Grundlage. Klare und detaillierte Vorschriften zum Schutz gegen möglichen Missbrauch oder Willkür sind unerlässlich.

Die anlasslose Einsichtnahme in anwaltliche Schriftstücke ist mit dem durch Art 8 EMRK garantierten Schutz des Anwaltsgeheimnisses unvereinbar.

EuGH 20.06.2024, C-182/22 und C-189/22, Scalable Capital

Die Kläger hatten bei Scalable Capital, einer Gesellschaft deutschen Rechts, die eine Trading-App betreibt, einen Account eröffnet und dazu bestimmte personenbezogene Daten hinterlegt. Im Jahr 2020 wurden diese Daten von unbekannten Dritten abgegriffen, ohne dass bisher ein Identitätsdiebstahl oder -betrug festgestellt wurde. Die Kläger klagten auf Ersatz des immateriellen Schadens, der ihnen durch den Diebstahl ihrer personenbezogenen Daten entstanden ist.

Der EuGH hat erwogen: Eine auf Art 82 DSGVO gestützte Entschädigung in Geld soll es ermöglichen, den erlittenen Schaden in vollem Umfang auszugleichen, sodass diese Bestimmung eine ausschließliche Ausgleichsfunktion, keine Abschreckungs- oder Straffunktion hat.

Art 82 DSGVO verlangt nicht, dass die Schwere des Verschuldens bei der Bemessung der Höhe des Schadenersatzes berücksichtigt wird. Damit die finanzielle Entschädigung vollständig und wirksam ist, ist der Betrag jedoch so festzulegen, dass er den konkret aufgrund des DSGVO-Verstoßes erlittenen Schaden in vollem Umfang ausgleicht. Dieser Grundsatz des vollständigen und wirksamen Schadenersatzes für den erlittenen Schaden könnte durch die Annahme, dass eine Körperverletzung von Natur aus schwerer wiegt als ein immaterieller Schaden, in Frage gestellt werden.

Bei fehlender Schwere des Schadens kann ein Gericht diesen ausgleichen, indem es der betroffenen Person einen geringfügigen Schadenersatz zuspricht, sofern dieser Schadenersatz geeignet ist, den entstandenen Schaden in vollem Umfang auszugleichen.

Der Diebstahl personenbezogener Daten stellt für sich genommen keinen Identitätsdiebstahl oder -betrug dar. Der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens kann aber nicht auf Fälle beschränkt werden, in denen nachgewiesen wird, dass er anschließend zu einem Identitätsdiebstahl oder -betrug geführt hat.

EuGH 20.06.2024, C-590/22, PS (Adresse erronée)

Zwei Mandanten einer deutschen Steuerberatungskanzlei teilten dieser ihre neue Postanschrift mit. Aufgrund eines Fehlers der Kanzlei wurde die Steuererklärung aber an die alte Adresse der Mandanten verschickt und von den neuen Bewohnern an dieser Adresse geöffnet. Die Mandanten erhoben daraufhin Klage gegen die Kanzlei und begehrten Schadenersatz zur Wiedergutmachung des immateriellen Schadens, der ihnen durch die Weitergabe ihrer personenbezogenen Daten an Dritte entstanden sein soll. Das vorlegende Gericht legte dem EuGH mehrere Fragen zu den Voraussetzungen und zur Bemessung des Schadenersatzanspruchs nach Art 82 DSGVO vor.

Der EuGH hat erwogen: Ein Verstoß gegen die DSGVO reicht für sich genommen nicht aus, um einen Anspruch auf Schadenersatz nach Art 82 Abs 1 DSGVO zu begründen. Die Betroffenen müssen auch das Vorliegen eines durch diesen Verstoß verursachten Schadens nachweisen. Dieser Schaden muss jedoch keinen bestimmten Schweregrad erreichen. Bereits die Befürchtung, dass Daten an Dritte weitergegeben wurden, kann zur Begründung eines Schadenersatzanspruchs reichen, wenn die Befürchtung und ihre negativen Folgen ordnungsgemäß nachgewiesen wurden. Ein Nachweis der tatsächlichen Datenweitergabe ist nicht erforderlich.

Die Kriterien zur Festlegung von Geldbußen (Art 83 DSGVO) sind nicht zur Bemessung von Schadenersatz heranzuziehen. Ebenso wenig zu berücksichtigen sind nationale Vorschriften, die zwar ebenfalls personenbezogene Daten schützen sollen, aber die DSGVO nicht präzisieren.

OGH 15.05.2024, 6Ob70/24y

Der Mieter einer Wohnung versuchte im alkoholisierten Zustand sein Auto vor seiner Wohnung zu parken, wobei er über die Parkplatzbegrenzungen hinausfuhr und sein Auto dabei beschädigte. Da der Mieter in seiner Unfallmeldung an seinen Kaskoversicherer behauptete, der Unfall sei aufgrund einer plötzlich vor sein Auto laufenden Katze passiert, erhielt er zunächst eine Deckungszusage. Im Zuge einer Nachschau vor Ort fielen dem Mitarbeiter der Versicherung die vom Vermieter am Gebäude installierten Videoüberwachungskameras auf. Der Vermieter übermittelte dem Versicherer auf Anfrage die Videoaufnahmen des Unfalls, woraufhin die Versicherung die Deckung für die Reparaturkosten nun ablehnte. Der Mieter brachte daraufhin eine Klage gegen seinen Vermieter ein und begehrte die Zahlung der Reparaturkosten aus dem Titel des Schadenersatzes gemäß Art 82 DSGVO. Nach abweisenden Urteilen durch die Erst- und Berufungsgerichte brachte der Mieter eine Revision beim OGH ein.

Der OGH hat erwogen: Nach Art 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Nach § 29 DSG sind für Schadenersatzansprüche die allgemeinen Bestimmungen des bürgerlichen Rechts anwendbar. Der Mieter stützte seine Schadenersatzklage darauf, dass der Vermieter durch eine unzulässige Datenverarbeitung die Deckung der Reparaturkosten durch den Versicherer verhindert hätte.

Der Mieter versucht eine vom Versicherer zu Recht verweigerte Versicherungsleistung im Zuge einer Schadenersatzklage geltend zu machen. Dies liegt außerhalb des Schutzzweckes des Art 82 DSGVO. Auch im Lichte des Effektivitätsgebots ändert sich das Ergebnis nicht, weil eine versuchte Erschleichung einer Versicherungsleistung erfolgt ist. Die abweisenden Urteile der Vorinstanzen sind aufgrund des mangelnden Rechtswidrigkeitszusammenhangs zu bestätigen, weil der vom Mieter geltend gemachte Schadenersatzanspruch nicht vom Schutzzweck des Art 82 DSGVO umfasst ist.

Die Auskunftsverpflichtung besteht auch dann, wenn das Auskunftsersuchen aus einem datenschutzfremden Zweck gestellt wird. Dient das Auskunftsersuchen der Beschaffung von Beweismitteln für eine Rückforderungsklage, ist das weder rechtsmissbräuchlich noch schikanös. Die Auskunft ist zu erteilen (OLG Wien 10.06.2024, 14R48/24t).

BVwG 24.05.2024, W271 2269889-1

Ein Hauseigentümer erhielt von einer von ihm beauftragen Hausverwaltung eine Willkommensmail mit diversen Anhängen, darunter auch Angebote von Drittanbietern. Der Hauseigentümer wertete die E-Mail als unerlaubte Werbung und zeigte die Hausverwaltung beim Fernmeldebüro an. Die Hausverwaltung brachte vor, dass sie mit der E-Mail nicht werben wollte und dass der Hauseigentümer bei einem von ihm selbst organisierten Treffen der Zusendung einer solchen E-Mail nicht widersprochen hat. Das Fernmeldebüro verhängte aufgrund der Verletzung von § 174 Abs 3 TKG 2021 eine Strafe. Die Bescheidbeschwerde der Hausverwaltung an das BVwG blieb erfolglos.

Das BVwG hat erwogen: Die Zusendung elektronischer Post zu Zwecken der Direktwerbung ist ohne vorherige Einwilligung des Empfängers gemäß § 174 Abs 3 TKG 2021 unzulässig.

Nicht nur die in der E-Mail selbst enthaltenen Informationen, sondern auch die in den Anhängen enthaltenen Informationen sind dabei erfasst. Für die Einordnung als Werbung ist es irrelevant, ob es sich um Informationen zu eigenen oder fremden Produkten handelt. Der Begriff der Werbung ist weit gefasst und umfasst auch Äußerungen, die für eine bestimmte Idee werben oder dafür Argumente liefern.

Das TKG enthält keine Erfordernisse, die eine Einwilligung erfüllen muss. Insofern ist auf die allgemeinen datenschutzrechtlichen Bestimmungen zurückzugreifen. Die Willensbekundung kann sowohl ausdrücklich als auch konkludent erfolgen. Entscheidend für die konkludente Willensbekundung ist, ob ein bestimmtes Verhalten unzweifelhaft als Einwilligung in den Erhalt von Werbung verstanden werden kann. Die bloße Eintragung von Kontaktinformationen in Listen oder Websites ist keine konkludente Einwilligung. Auch nicht die Nichtbeanstandung bereits erhaltener Werbesendungen. Die Anwesenheit bei einer Versammlung oder das Fehlen eines ausdrücklichen Widerspruchs zur Übermittlung von Werbung kann deshalb keine Einwilligung nach dem TKG sein, unabhängig davon, ob es sich um eine Privatperson oder einen Unternehmer handelt.

Ob es sich bei dem Adressaten und Empfänger der E-Mail um eine Firma oder Privatperson, einen Verbraucher oder Unternehmer handelt, ist für die gesetzliche Bestimmung des § 174 Abs 3 TKG 2021 unerheblich.

Bei der Zusammenstellung einer Zusendung ist die der Bedeutung der Sache gebührende Sorgfalt aufzubringen. Dabei muss ein gut funktionierendes Kontrollsystem eingerichtet sein, um die Zusendung von Werbeinhalten ohne Einwilligung zu verhindern. Durch das Nichtvorliegen eines solchen Systems handelte die Hausverwaltung zumindest fahrlässig.

BVwG 23.05.2024, W298 2284122-1

Die Unterstützerin eines Initiativantrags iSd § 6 NÖ STRÖG brachte eine Datenschutzbeschwerde bei der DSB ein, weil sie sich vom Bürgermeister in ihrem Recht auf Geheimhaltung für verletzt erachtete. Die Unterstützerin brachte vor, dass sie vom Bürgermeister zwei Schreiben erhalten hatte, eines mit Werbung der ÖVP NÖ und eines mit einer Verständigung über das Ergebnis der Behandlung des Initiativantrags. Der Bürgermeister hatte die Adressdaten der Unterstützerin aus dem Initiativantrag entnommen, den sie unterschrieben hatte. Hinsichtlich der Werbung erstattete der Datenschutzbeauftragte der ÖVP NÖ eine Stellungnahme und führte aus, dass das Schreiben von der ÖVP NÖ stammte und diese daher Verantwortliche sei. Die Daten seien rechtmäßig aus dem Wählerregister entnommen worden.

Hinsichtlich des Ergebnisses des Initiativantrags nahm der Magistratsdirektor Stellung und führte aus, dass der Bürgermeister dazu verpflichtet sei, den Zustellungsbevollmächtigten über das Ergebnis zu unterrichten, und dieser in Folge die Unterstützer zu benachrichtigen hat. Da sich dies in der Praxis jedoch als schwierig bzw unmöglich erwiesen hat, wäre § 8 Abs 4 NÖ STRÖG so auszulegen, dass die Unterstützer konkludent mit der Unterzeichnung des Initiativantrags auch in die Verständigung vom Ergebnis einwilligen würden. Die DSB gab der Datenschutzbeschwerde statt und stellte eine Verletzung des Rechts auf Geheimhaltung der Unterstützerin durch den Bürgermeister fest, welcher in Folge eine (erfolglose) Bescheidbeschwerde erhob.

Das BVwG hat erwogen: Der Bürgermeister hat als staatliche Behörde iSd § 1 Abs 2 DSG gehandelt und personenbezogene Daten der Unterstützerin verarbeitet. Für einen behördlichen Eingriff in das Grundrecht auf Datenschutz ist eine gesetzliche Grundlage erforderlich, die hinreichend determiniert ist und der Eingriff muss verhältnismäßig sein. Der Bürgermeister berief sich auf § 8 Abs 4 NÖ STRÖG, wonach er den Zustellungsbevollmächtigten des Initiativantrags vom Ergebnis der Behandlung zu verständigen hat. Diese Bestimmung erlaubt jedoch nicht die Verständigung aller Unterstützer durch den Bürgermeister, sondern verpflichtet den Zustellungsbevollmächtigten dazu. Die Verarbeitung kann daher nicht auf § 8 Abs 4 NÖ STÖG gestützt werden. Auch eine konkludente Einwilligung der Unterstützerin in die Verarbeitung ihrer personenbezogenen Daten konnte nicht angenommen werden, weil sie diese nicht in informierter Weise und unmissverständlich abgegeben hatte. Hierfür hätte sie mit einer eindeutig bestätigenden Handlung einwilligen müssen, was gerade nicht geschehen ist.

Der sachliche Anwendungsbereich der DSGVO ist gemäß Art 2 Abs 1 DSGVO auch für die nichtautomatisierte Verarbeitung personenbezogener Daten eröffnet, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Werden physische Kopien von Beilagen, die personenbezogene Daten enthalten, manuell an Teilnehmer einer Sitzung übergeben, ist der sachliche Anwendungsbereich der DSGVO eröffnet, wenn die Beilagen in einem Dateisystem abgespeichert werden (BVwG 13.05.2024, W101 2216385-1).

Anbieter von Kommunikationsdiensten sind, sofern eine befugte Behörde (Gericht, Staatsanwaltschaft, Kriminalpolizei) ein Auskunftsbegehren betreffend die Übermittlung von Kundendaten stellt, unter anderem gemäß § 181 Abs 9 TKG 2021 verpflichtet, die entsprechenden Auskünfte zu erteilen (BVwG 17.04.2024, W108 2271999-2).

Das Beschwerdeverfahren wird bis zur Entscheidung des EuGH, ob Betroffene ein subjektives Recht auf das Ergreifen bestimmter Maßnahmen durch die Aufsichtsbehörde haben, ausgesetzt (BVwG 12.04.2024, W108 2274731-1).

Das Beschwerdeverfahren wird bis zur Klärung der Frage durch den EuGH, welche aussagekräftigen Informationen über die involvierte Logik einer automatisierten Entscheidungsfindung dem Betroffenen gemäß Art 15 Abs 1 lit h DSGVO zur Verfügung zu stellen sind, ausgesetzt (BVwG 26.04.2024, W256 2253364-1).

Wird eine Datenverarbeitung nicht nachgewiesen, ist weder der Verantwortliche passiv- noch der Betroffene aktivlegitimiert (BVwG 22.05.2024, W298 2263508-1).

Zum Klären der Fragen, ob (i) eine Beschwerdeerhebung verfristet (präkludiert) ist und (ii) ein Auskunftsersuchen ordnungsgemäß beantwortet worden ist, ist das Bereitstellen eines Rechtsanwalts als Verfahrenshelfer mangels besondere rechtliche und technische Schwierigkeiten nicht erforderlich (BVwG 23.04.2024, W605 2289290-1).

Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren als gegenstandslos einzustellen (BVwG 29.05.2024, W101 2246818-1).

Am 06.2024 wurde die "VO (EU) 2024/1620 des Europäischen Parlaments und des Rates vom 31. Mai 2024 zur Errichtung der Behörde zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung … " im Amtsblatt der EU veröffentlicht.

Am 06.2024 wurde die "VO (EU) 2024/1624 des Europäischen Parlaments und des Rates vom 31. Mai 2024 zur Verhinderung der Nutzung des Finanzsystems für Zwecke der Geldwäsche oder der Terrorismusfinanzierung" im Amtsblatt der EU veröffentlicht.

Am 06.2024 wurde die "RL (EU) 2024/1640 des Europäischen Parlaments und des Rates vom 31. Mai 2024 über die von den Mitgliedstaaten einzurichtenden Mechanismen zur Verhinderung der Nutzung des Finanzsystems für Zwecke der Geldwäsche oder der Terrorismusfinanzierung, zur Änderung der Richtlinie (EU) 2019/1937 und zur Änderung und Aufhebung der Richtlinie (EU) 2015/849" im Amtsblatt der EU veröffentlicht.

Am 06.2024 wurde die "Richtlinie (EU) 2024/1654 des Europäischen Parlaments und des Rates vom 31. Mai 2024 zur Änderung der Richtlinie (EU) 2019/1153 in Bezug auf den Zugang zuständiger Behörden zu zentralen Bankkontenregistern über das Vernetzungssystem und auf technische Maßnahmen zur Erleichterung der Verwendung von Transaktionsaufzeichnungen" im Amtsblatt der EU veröffentlicht.

Am 02.07.2024 wird eine mündliche Verhandlung in der Rs C-492/23, Russmedia Digital und Inform Media Press, stattfinden. Gegenstand des Verfahrens sind ua die Verantwortlichkeiten von Hostingprovidern.

Am 11.07.2024 werden die Schlussanträge in der Rs C-394/23, Mousse, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf.

Am 11.07.2024 wird das Urteil des EuGH in der Rs C-757/22, Meta Platforms Ireland, veröffentlicht. Geklärt werden weitere Voraussetzungen, unter welchen Verbraucherschutzverbände wegen der Verletzung von Informationspflichten klagen können.

Am 07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.

EuGH 13.06.2024, C-229/23, HYA ua II

Die bulgarische Staatsanwaltschaft (StA) stellte mehrere Anträge auf Telefonüberwachung betreffend vier Personen, die schwerer Straftaten verdächtigt wurden. Die Anträge der StA enthielten detaillierte individualisierte Begründungen. Genehmigt wurden die Anträge am Einreichungstag vom zuständigen Gericht mittels Textvorlage ohne individualisierte Begründung. Die Zulässigkeit dieser Vorgehensweise nach dem Unionsrecht wurde im Verfahren HYA ua I (EuGH 16.02.2023, C-349/21) bejaht. Das nun mit der Sache befasste Gericht stieß bei der Anwendung der vom EuGH festgehaltenen Grundsätze auf Schwierigkeiten. Gerichtliche Genehmigungen haben nach dem bulgarischen Recht ausdrücklich eine schriftliche Begründung zu enthalten, während nach dem Unionsrecht eine standardisierte gerichtliche Genehmigung in bestimmten Fällen ausreicht.

Vor diesem Hintergrund fragte das vorlegende Gericht den EuGH, ob nationale Rechtsvorschriften, die die ausdrückliche Angabe von schriftlichen Gründen in der gerichtlichen Genehmigung verlangen, unangewendet zu lassen sind.

Der EuGH hat erwogen: Das Urteil HYA ua I kann nicht dahin ausgelegt werden, dass damit ein Begründungsmodell entwickelt worden ist, welches die bulgarischen Behörden verpflichten würde, Bestimmungen des nationalen Rechts zur Genehmigung von Überwachungsmaßnahmen unangewendet zu lassen, weil sie mit dem Unionsrecht unvereinbar sind. Eine nationale Regelung, nach der gerichtliche Entscheidungen zur Genehmigung von Überwachungsmaßnahmen selbst eine ausdrückliche schriftliche Begründung enthalten müssen, entspricht den Anforderungen des Unionsrechts. Nationale Gerichte sind nicht verpflichtet, eine solche Regelung unangewendet zu lassen.

Die Anforderungen an eine ausreichende Begründung dürfen vom nationalen Recht nicht untergraben werden. Die Mitgliedstaaten sollen aber nicht von höheren nationalen Anforderungen abweichen, auch wenn dies das Unionsrecht zulassen würde.

EuGH Schlussanträge 13.06.2024, C-80/23, Ministerstvo na vatreshnite raboti

Über die Beschuldigte eines vorsätzlichen Verbrechens sollte eine Polizeiakte angelegt werden, die auch biometrische und genetische Daten erfassen sollte. Die Beschuldigte verweigerte die Zustimmung dazu, woraufhin die Polizei die zwangsweise Erstellung der Akte bei einem bulgarischen Gericht beantragte. Das Gericht hatte Zweifel an der Zulässigkeit und der Vereinbarkeit der entsprechenden bulgarischen Regelung mit den Anforderungen der Richtlinie 2016/680, insbesondere hinsichtlich der Verarbeitung sensibler Daten, und legte dem EuGH zwei Fragen zur Vorabentscheidung vor.

Der Generalanwalt hat erwogen: Die Richtlinie 2016/680 verlangt, dass die Verarbeitung besonderer Kategorien personenbezogener Daten nur in einer stark begrenzten Anzahl von Fällen als "unbedingt erforderlich", und damit zulässig, angesehen werden darf. Die Erforderlichkeit ist für den jeweils eindeutig festgelegten Zweck zu bestimmen. Die Prinzipien der Richtlinie (insb Datenminimierung) sind besonders streng zu prüfen.

Die bulgarische Regelung lässt keinen Raum für eine wirksame Beurteilung der "Erforderlichkeit" durch die zuständigen Behörden, sondern erst durch das überprüfende Gericht. Das führt zu einer diskriminierenden und generalisierten Erhebung der biometrischen und genetischen Daten der meisten beschuldigten Personen, unabhängig von der Art und Schwere der Straftat, der sie beschuldigt werden, und von den besonderen Umständen des Falles. Deshalb ist die bulgarische Regelung mit Art 10 der Richtlinie 2016/680 nicht vereinbar.

OGH 26.04.2024, 6Ob210/23k

Ein Polizist wurde bei einer Demonstration fotografiert und gefilmt. Das Video wurde auf Facebook veröffentlicht. Der Polizist wurde nicht nur des Amtsmissbrauchs bezichtigt, sondern es wurde auch zur Weiterverbreitung aufgerufen, woraufhin ein Shitstorm losbrach. Tatsächlich war der Polizist nur Glied einer polizeilichen Absperrkette und an der behaupteten Amtshandlung überhaupt nicht beteiligt. Der Beklagte teilte das Bild des Polizisten samt herabsetzendem Text auf seinem Facebook-Profil ohne Prüfung auf den Wahrheitsgehalt. Der Polizist begehrte Ersatz für den immateriellen Schaden, den er aufgrund des Shitstorms erlitten hat. Der OGH sprach ihm EUR 3.000 zu.

Der OGH hat erwogen: Schadenersatz nach der DSGVO verlangt nicht nur einen schuldhaften Verstoß gegen die jeweiligen Rechtsvorschriften und den Eintritt eines Schadens, sondern auch einen Kausalzusammenhang zwischen Verstoß und eingetretenem Schaden.

Ein Shitstorm ist ein "Sturm der Entrüstung im virtuellen Raum" mit zum Teil beleidigenden Äußerungen gegen eine Person, der durch das Zusammenwirken vieler Menschen entsteht. Ein Einzelner kann einen Shitstorm nur lostreten oder daran teilnehmen, ihn aber nicht allein bewirken. Die Schlagkraft eines Shitstorms liegt in der öffentlichen Schmähung durch viele Personen, die vom Opfer als ungerechte Verurteilung durch die Allgemeinheit erlebt wird.

Jeder Teilnehmer an einem Shitstorm begeht durch das Teilen des Postings allein eine Datenschutz- und Bildnisschutzverletzung, die einen ideellen Schaden des Polizisten verursacht. Allerdings verursacht ein Shitstorm einen anderen Schaden, der zusätzliche Ängste auslöst, insbesondere über die Verbreitung und über zukünftige Anwürfe. Die Entwicklung des Schadens ist nicht linear, weil jede schädigende Handlung in Kombination mit dem Aufruf zur Weiterverbreitung ein weiteres Verbreiterungs- und damit Schadenspotenzial eröffnet. Die Schadensentwicklung ist damit potenziell exponentiell, sodass sich der Gesamtschaden nicht in begrenzt bewertbare Einzelschäden zerteilen lässt.

Die Unaufklärbarkeit der Verursachung eines bestimmten Schadens durch einen einzelnen Beitrag führt nicht zur Entlastung des einzelnen Täters. Der Geschädigte kann den Ersatz für den gesamten Schaden im Wege der Solidarhaftung auch nur von einem Schädiger verlangen, wenn er behauptet und belegt, Opfer eines Shitstorms (gewesen) zu sein. Die Schwierigkeit, andere Schädiger ausfindig zu machen und das Risiko der Uneinbringlichkeit ist von den Schädigern zu tragen. Die einzelnen Teilnehmer am Shitstorm haben die Schadensaufteilung im Regressweg untereinander vorzunehmen.

Der Schaden des Polizisten besteht in der (i) Schädigung des Rufs sowie (ii) empfindlichen Kränkung und der dadurch bewirkten Ängste und Sorgen. Die Bemessung des Schadens ist gemäß § 273 ZPO vorzunehmen. Der Polizist hat zwar bereits Zahlungen erhalten, dennoch erhält der Polizist beim Zuspruch von (weiteren) EUR 3.000 nicht mehr als EUR 5.000. Der gesamte Zahlungsanspruch ist unzweifelhaft berechtigt.

OGH 15.05.2024, 6Ob20/24w

Im Rahmen eines Pflegschaftsverfahrens erachtete sich eine Mutter in ihrem Recht auf Geheimhaltung verletzt und begehrte ggü dem Bund die Feststellung einer Datenschutzverletzung nach § 85 Gerichtsorganisationsgesetz (GOG). Das Erstgericht wies den Antrag teilweise zurück und teilweise ab. Hiergegen wandte sich die Mutter mittels Rekurs an den OGH. Mangels Vorliegens einer erheblichen Rechtsfrage wies der OGH den Antrag der Mutter zurück.

Der OGH hat erwogen: Die Zulässigkeit des Zugangs zum OGH setzt das Vorliegen einer erheblichen Rechtsfrage nach § 85 Abs 5 GOG voraus. Über eine Beschwerde wegen einer Verletzung im Grundrecht auf Datenschutz im Rahmen der justiziellen Tätigkeit ist grundsätzlich im Verfahren außer Streitsachen zu entscheiden. Während ein Antrag im Verfahren außer Streitsachen kein bestimmtes Begehren enthalten muss, stellt § 85 Abs 3 GOG höhere Anforderung an die Präzisierungspflicht eines Beschwerdeführers. Diesen Mindestinhalt in Form einer Angabe, worin die Mutter konkret eine Verletzung in ihrem Recht auf Geheimhaltung sieht, lässt ihr Antrag vermissen. Vielmehr erschöpfte sich das Vorbringen der Mutter in der Pauschalbehauptung, vertrauliche Unterlagen aus Gerichtsakten, die ihre Person betreffen, seien an verfahrensunbeteiligte Dritte weitergegeben worden.

Bereits das Erstgericht hielt fest, dass das Vorbringen der Mutter mangels Konkretisierung nicht überprüfbar sei. Nachdem die Mutter im Rahmen des Rekurses nicht dargelegt hat, warum diese Beurteilung unrichtig sein sollte – und lediglich auf "inkriminierte Handlungen/Vorgänge" verwiesen hat –, vermag das Rechtsmittel der Mutter keine erhebliche Rechtsfrage anzusprechen.

Die Bemessung des immateriellen Schadenersatzes erfolgt nicht im Wege der Rechnungslegung, sondern im Wege des § 273 ZPO (OGH 15.05.2024, 6Ob43/24b).

BVwG 23.05.2024, W298 2255416-1

Ein Berufsdetektiv hat im Zuge einer Observierung auch Bilder von der Lebensgefährtin der auftragsgemäß zu überwachenden Person (Zielperson) angefertigt, die Beschwerde bei der DSB erhob. Die DSB stellte einen Verstoß gegen das Recht auf Geheimhaltung fest. Der Detektiv erhob Bescheidbeschwerde an das BVwG, das diese abwies.

Das BVwG hat erwogen: Der Detektiv hat die personenbezogenen Bilddaten der Lebensgefährtin ohne Rechtfertigungsgrund verarbeitet. Die Lebensgefährtin war auf den Fotos zu erkennen und wurde auch bezeichnet (Zielperson 2). Die Lebensgefährtin war sohin zumindest identifizierbar, weshalb der Detektiv ihre personenbezogenen Daten verarbeitet hat. Der Detektiv hatte kein berechtigtes Interesse an der Verarbeitung dieser Daten, weil er damit seinen Auftrag, die eigentliche Zielperson zu observieren, überschritten hat. Die Beobachtung und das Fotografieren der Lebensgefährtin waren weder für die Ausübung seines Gewerbes als Berufsdetektiv noch für die Wahrung der Interessen seines Auftraggebers erforderlich. Zudem überwog das Geheimhaltungsinteresse der Lebensgefährtin.

BVwG 28.08.2023, W214 2226813-1

Ein Fluggast brachte eine Datenschutzbeschwerde bei der DSB ein, weil er sich durch den Bundesminister für Inneres (BMI) in seinem Recht auf Geheimhaltung verletzt sah. Der BMI soll seine personenbezogenen Daten auf Grundlage des PNR-Gesetzes für die Flüge zwischen Wien und Brüssel verarbeitet haben, ohne dass ein begründeter Verdacht vorlag. Da die Verarbeitung verdachtsunabhängig erfolgt sei, war nach Ansicht des Fluggastes keine taugliche Rechtsgrundlage gegeben. Die DSB hielt fest, dass die Verarbeitung ausdrücklich gesetzlich vorgesehen ist und bloß die im PNR-G vorgesehen Daten verarbeitet wurden. Zu prüfen, ob das PNR-G grundrechtskonform ist, obliege nicht der DSB. Die DSB wies die Datenschutzbeschwerde daher ab. Daraufhin erhob der Fluggast Bescheidbeschwerde an das BVwG. Das BVwG setzte das Verfahren bis zur Vorabentscheidung des EuGH vom 21.06.2022, C-817/19, Ligue des droits humains, aus und wies die Bescheidbeschwerde in weiterer Folge ab.

Das BVwG hat erwogen: Eine Verarbeitung personenbezogener Daten iSd 3. Hauptstücks des DSG ist erfolgt. Die verarbeitende Behörde ist eine zuständige Behörde iSd § 36 Abs 2 Z 7 DSG. Bei den verarbeitenden Fluggastdaten handelt es sich um personenbezogene Daten iSd § 36 Abs 2 Z 1 DSG. Nach dem 3. Hauptstück des DSG ist eine Verarbeitung rechtmäßig, soweit sie gesetzlich vorgesehen ist und für die Erfüllung einer Aufgabe erforderlich und verhältnismäßig ist. § 4 Abs 1 PNR-G enthält eine Ermächtigung für die beim BMI eingerichteten Fluggastdatenzentralstelle, die bei ihr eingelangten Fluggastdaten mit Daten aus Fahndungsevidenzen und sonstigen sicherheitspolizeilichen Datenverarbeitungen abzugleichen und das Ergebnis gemeinsam mit den Fluggastdaten zu verarbeiten, wenn dies der Vorbeugung oder Verfolgung von gerichtlich strafbaren Handlungen dient.

Bei Situationen und Ergebnissen, die zu einer erhöhten Gefährdungslage führen können, darf der BMI auf der Grundlage von § 2 Abs 5 PNR-G Verordnungen erlassen. Die auf dieser Grundlage erlassene Verordnung (die PNR-V) sah eine Erstreckung des PNR-G auf EU-Flüge für einen Zeitraum von sechs Monaten vor und wurde dreimal jeweils um sechs Monate verlängert.

Laut dem EuGH darf die Verarbeitung der Fluggastdaten nur dann auf die PNR-RL und somit auf die PNR-V gestützt werden, wenn der Mitgliedstaat zum Zeitpunkt der Verarbeitung mit einer realen und aktuellen oder vorhersehbaren terroristischen Bedrohung konfrontiert war. Da der BMI glaubhaft ausführte, dass zu dem Zeitpunkt aufgrund islamistisch motivierter Terroranschläge und des Anstiegs in der Jihadisten-Szene eine solche Bedrohung vorlag, war die Verarbeitung erforderlich und verhältnismäßig. Zudem war die PNR-V zeitlich befristet und somit ein auf das absolut Notwendige beschränkte Mittel zur Terrorismusbekämpfung.

Die Zurückweisung einer Datenschutzbeschwerde ist rechtmäßig, wenn (i) die Datenschutzbeschwerde mangelhaft und der Verbesserungsauftrag daher erforderlich war, (ii) der Verbesserungsauftrag den gesetzlichen Anforderungen entsprach und (iii) der Mangelbehebungsauftrag nicht befolgt wurde. Der Betroffene machte Verletzungen in den Rechten auf Berichtigung und Geheimhaltung geltend. Zur Geltendmachung der Verletzung im Recht auf Berichtigung hätte der Betroffene die Vorkorrespondenz mit dem Verantwortlichen, in der dieses Recht ausgeübt wurde, vorzulegen gehabt. Da der Betroffene auch nach erfolgtem Verbesserungsauftrag keine Vorkorrespondenz vorlegte, war die Zurückweisung der Datenschutzbeschwerde in diesem Punkt rechtmäßig. Hinsichtlich des Geheimhaltungsrechts war die Datenschutzbeschwerde jedoch nicht mangelhaft, weshalb der Zurückweisungsbescheid der DSB zu beheben war (BVwG 16.04.2024, W605 2285496-1).

Eine Datenschutzbeschwerde ist zurückzuweisen, wenn ihr Angaben (i) zum für verletzt erachteten Recht, (ii) zum Rechtsträger, dem die Rechtsverletzung zugerechnet wird, (iii) zur Rechtzeitigkeit sowie (iv) das Begehren, die Rechtsverletzung festzustellen, fehlen. Die DSB hat im Rahmen ihrer gesetzlichen Pflicht gehandelt, indem sie einen Verbesserungsauftrag erteilt hat (BVwG 10.04.2024, W605 2275708-1).

Das Informationsschreiben zur dritten Corona-Schutzimpfung war keine Maßnahme des Krisenmanagements gemäß § 24d Abs 2 Z 5 GTelG 2012, weshalb die Abfrage der Daten aus dem Impfregister nicht darauf gestützt werden konnte (BVwG 23.05.2024, W298 2261884-1).

Die Trägerin einer Pensionsversicherung darf Gutachten, die für die Gewährung einer Berufsunfähigkeitspension erstellt wurden, einschließlich der darin befindlichen Gesundheitsdaten, an das AMS übermitteln (BVwG 16.05.2024, W252 2276589-1).

Die DSB lehnte die Behandlung der Datenschutzbeschwerde als "exzessiv" iSd Art 57 Abs 4 DSGVO ab, weil der Betroffene innerhalb von zwei Jahren 42 Beschwerdeverfahren vor der DSB anstrengte. Der VwGH legte dem EuGH die Frage vor, wie der Begriff "exzessiv" iSd Art 57 Abs 4 DSGVO auszulegen ist. Bis zur Entscheidung des EuGH war das Verfahren daher auszusetzen (BVwG 15.05.2024, W108 2284624-2).

Die DSB lehnte die Behandlung der Datenschutzbeschwerde als "exzessiv" iSd Art 57 Abs 4 DSGVO ab, weil der Betroffene innerhalb von 50 Monaten 19 Datenschutzbeschwerden gegen die Einzelabrechnungen einer Immobilienkanzlei einbrachte. Der VwGH legte dem EuGH die Frage vor, wie der Begriff "exzessiv" iSd Art 57 Abs 4 DSGVO auszulegen ist. Bis zur Entscheidung des EuGH war das Verfahren daher auszusetzen (BVwG 10.04.2024, W605 2284124-1).

DSB 06.10.2023, 2023-0.273.912

Nachdem das E-Mail-Postfach eines Arztes und des von ihm geführten Labors kompromittiert wurde, gelangte eine Excel-Liste mit tausenden COVID19-PCR-Test-Ergebnissen und personenbezogenen Daten an zwei Medienunternehmen. Nachdem die Medienunternehmen über die geleakten Ergebnisse berichteten, beantragte das Labor die Löschung der E-Mail und nach Ablehnung durch die Medienunternehmen stellten der Arzt und das Labor einen Antrag auf Auskunft, dem die Medienunternehmen nicht vollständig nachkamen. Vor diesem Hintergrund brachten der Arzt und das Labor Datenschutzbeschwerde bei der DSB ein. Der Arzt behauptete eine Verletzung in seinem Recht auf Auskunft und das Labor in seinem Recht auf Löschung, Geheimhaltung und Auskunft. Die Medienunternehmen beriefen sich darauf, dass sie gemäß § 9 DSG dem Medienprivileg unterliegen würden und den Arzt und das Labor nicht in ihren Rechten verletzt hätten. Die DSB wies die Datenschutzbeschwerde mangels Zuständigkeit aufgrund der Anwendbarkeit des Medienprivilegs nach § 9 Abs 1 DSG zurück, woraufhin der Arzt und das Labor eine Bescheidbeschwerde beim BVwG einbrachten. Das BVwG leitete ein Normprüfungsverfahren beim VfGH ein, welches zur Aufhebung des § 9 Abs 1 DSG wegen Verfassungswidrigkeit führte. Aufgrund der Anlassfallwirkung war § 9 Abs 1 DSG bereits vor dessen Außerkrafttreten am 01.07.2024 auf den vorliegenden Fall nicht anzuwenden.

Die DSB hat erwogen: Das Labor ist als juristische Person beschwerdelegitimiert, weil § 1 DSG widrigenfalls eine gleichheits- und damit verfassungswidrige Norm wäre. Nachdem das Medienunternehmen dem Löschersuchen nicht nachgekommen ist, hat das Labor seinen Antrag gewechselt und Auskunft darüber verlangt, welche Daten zu welchem Zweck verarbeitet werden und an wen diese übermittelt wurden. Damit bestand zum Zeitpunkt der Beschwerdeerhebung kein aufrechtes Löschungsersuchen, weshalb das Recht auf Löschung nicht verletzt wurde. Selbst bei einem aufrechten Löschungsersuchen würde gemäß Art 17 Abs 3 lit a DSGVO kein Löschungsrecht bestehen, soweit die Datenverarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist. Da die E-Mail das Kernelement der Medienberichterstattung war, würde dessen Löschung den Kerninhalt der Berichterstattung vernichten.

Im Hinblick auf die Auskunftsersuchen ist die Verweigerung dann gerechtfertigt, wenn die Geheimhaltungsinteressen der Medienunternehmen gegenüber dem Auskunftsinteresse des Arztes und des Labors überwiegen, wobei die Interessenabwägung für jede Datenart gesondert erfolgen muss. Eines der Medienunternehmen erteilte dem Arzt zwar eine Auskunft über seine Stammdaten. Über die im Zusammenhang mit der Medienberichterstattung verarbeiteten Daten erteilte das Medienunternehmen jedoch keine Auskunft, wodurch es den Arzt in seinem Recht auf Auskunft verletzt hat.

Die Herkunft personenbezogener Daten ist gemäß § 31 Abs 1 MedienG von Medienunternehmen nicht zu beauskunften, wenn die Daten die Person des Verfassers, Einsenders oder Gewährsmannes betreffen. Das Medienunternehmen hat die Auskunft darüber also zu Recht verweigert. Das zweite Medienunternehmen erteilte dem Arzt bloß Auskunft im Zusammenhang mit seiner Digital-Sat-Karte, nicht jedoch hinsichtlich der Medienberichterstattung und verletzte ihn somit ebenfalls in seinem Recht auf Auskunft.

Da das Labor an beide Medienunternehmen das gleiche Auskunftsersuchen gestellt hat, war eine einheitliche Vorgehensweise der Medienunternehmen hinsichtlich der Löschung der der Berichterstattung zugrundeliegenden Nachricht geboten. Der Austausch zwischen den Medienunternehmen über die an sie gerichteten Auskunftsersuchen lag im Schutzbereich der Meinungsäußerungs-/Informationsfreiheit. Das Recht der Medienunternehmen überwiegt dem Interesse des Labors auf Schutz seiner personenbezogenen Daten. Daher wurde das Labor durch den Informationsaustausch zwischen den Medienunternehmen in seinem Recht auf Geheimhaltung nicht verletzt.

Am 19.06.2024 wird eine mündliche Verhandlung in der Rs C-383/21, ILVA, stattfinden. Gegenstand des Verfahrens ist die Auslegung des Unternehmensbegriffs in Art 83 Abs 5 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in den verbundenen Rs C-182/22 und C-189/22, Scalable Capital, verkündet. Geklärt werden soll insbesondere die Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in der Rs C-590/22, PS (Adresse erronée), verkündet. Gegenstand des Verfahrens sind Anspruch auf und Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 02.07.2024 wird eine mündliche Verhandlung in der Rs C-492/23, Russmedia Digital und Inform Media Press, stattfinden. Gegenstand des Verfahrens sind ua die Verantwortlichkeiten von Hostingprovidern.

Am 11.07.2024 werden die Schlussanträge in der Rs C-394/23, Mousse, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf.

Am 11.07.2024 wird das Urteil des EuGH in der Rs C-757/22, Meta Platforms Ireland, veröffentlicht. Geklärt werden weitere Voraussetzungen, unter welchen Verbraucherschutzverbände wegen der Verletzung von Informationspflichten klagen können.

Am 07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.

Der EGMR hatte sich mit Inhaltsdaten, die aus einem Mobiltelefon stammten, auseinanderzusetzen. Eine Anwältin händigte ihr Mobiltelefon "freiwillig" einem Untersuchungsrichter aus. Da das Mobiltelefon extensiv durchsucht wurde, stellte der EGMR neben einer Verletzung des Rechts auf Geheimhaltung der Korrespondenz und des Privatlebens auch eine Verletzung des Anwaltsgeheimnisses fest (EGMR 06.06.2024, 36559/19, Bersheda/Monaco).

EuGH Schlussanträge 06.06.2024, C-169/23, Masdi

Eine Betroffene erhielt von einer Regierungsbehörde ein Immunitätszertifikat für ihre Covid-19-Impfung. Einige darin enthaltene Daten (zB Seriennummer, Gültigkeitsdauer, QR-Code) wurden nicht bei der Person selbst erhoben oder von einer anderen Organisation erlangt, sondern von der Regierungsbehörde selbst erzeugt. Die Betroffene monierte, dass ihr kein Datenschutzhinweis bereitgestellt wurde. Die zuständige Aufsichtsbehörde wies ihre Beschwerde zurück, weil die Ausnahme nach Art 14 Abs 5 lit c DSGVO gelte, sodass die Verantwortliche nicht zur Informationserteilung verpflichtet gewesen sei. Das Rechtsmittelgericht gab der Klage der Betroffenen statt, weil die Daten von der Behörde selbst erzeugt wurden und die Ausnahme daher nicht greife. Das vorlegende Gericht befragte den EuGH zur Auslegung des Art 14 Abs 5 lit c DSGVO.

Der Generalanwalt hat erwogen: Art 14 Abs 5 lit c DSGVO enthält keine Einschränkung hinsichtlich einer bestimmten Art der Verarbeitung oder der Methode, mit der Verantwortliche die Daten erlangen. Diese Ausnahmeregelung gilt daher sowohl für Daten, die von anderen Einrichtungen stammen als auch für solche, die von Verantwortlichen selbst erzeugt wurden. Die durch die Mitgliedstaaten gewählten alternativen Unterrichtungswege für Betroffene müssen aber ebenso sicherstellen, dass diese Kontrolle über ihre Daten ausüben und ihre Rechte nach der DSGVO wahrnehmen können. Betroffene müssen daher wissen, von wem sie Informationen über die Verarbeitung ihrer Daten erhalten.

Aufsichtsbehörden sind zur Prüfung befugt, ob alle Voraussetzungen des Art 14 Abs 5 lit c DSGVO erfüllt sind. Insbesondere sind sie zur Prüfung der Frage berechtigt, ob das nationale Recht geeignete Maßnahmen zum Schutz der berechtigten Interessen der Betroffenen vorsieht. Sind die Voraussetzungen nicht erfüllt, darf die Aufsichtsbehörde Verantwortliche anweisen, der Betroffenen die in Art 14 Abs 1 bis 4 DSGVO genannten Informationen bereitzustellen. Eine solche Anweisung berührt nicht die Gültigkeit der Rechtsvorschrift, an die Verantwortliche gebunden sind.

Ist die Aufsichtsbehörde der Ansicht, dass die fragliche Rechtsvorschrift ungültig ist, kann sie ein nach nationalem Recht vorgesehenes Gerichtsverfahren anstrengen. Sieht die einschlägige Rechtsvorschrift keine geeigneten Maßnahmen zum Schutz der berechtigten Interessen der Betroffenen vor, ist die Aufsichtsbehörde befugt, der Legislative oder der Exekutive zu raten, die einschlägige Rechtsvorschrift zu ändern.

Der Begriff der "geeigneten Maßnahmen" ist im Licht des Transparenzgrundsatzes auszulegen. Unter der Ausnahmeregelung des Art 14 Abs 5 lit c DSGVO übernimmt das nationale Recht die Informationspflicht des Verantwortlichen. Es obliegt daher dem Gesetzgeber, je nach Kategorie der erlangten Daten und dem Kontext, in dem die Verarbeitung stattfindet, geeignete Maßnahmen zu bestimmen und dadurch für eine faire und transparente Verarbeitung zu sorgen.

Damit die Betroffene eine Risikoeinschätzung der Datenverarbeitung vornehmen kann, muss sie in der Lage sein, einfach nachlesen zu können, wer die Daten aus welchem Grund und auf welche Weise verarbeitet. Die Mitgliedstaaten können dabei spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen. Der nationale Gesetzgeber hat aber nicht die in Art 32 DSGVO vorgesehenen Maßnahmen in Bezug auf die Datensicherheit umzusetzen.

BVwG 02.09.2022, W292 2255476-1

Eine politisch aktive Bürgerin reichte im Rahmen der öffentlichen Auflage eines Stadtentwicklungsplans per E-Mail eine Stellungnahme ein. Diese Stellungnahme veröffentlichte sie auch selbst auf einer eigenen Homepage. Darin enthalten war ihr Name und ihre Privatadresse. Der Magistrat der Stadt veröffentlichte in Vorbereitung auf eine Gemeinderatsitzung auf der städtischen Internetseite einen Bericht, der die Stellungnahme der Bürgerin inklusive Name und Privatadresse enthielt. Durch die Veröffentlichung erachtete die sich Bürgerin in ihrem Recht auf Geheimhaltung verletzt und brachte Datenschutzbeschwerde bei der DSB ein. Die Stadt sah die Veröffentlichung als rechtmäßig an, weil es eine ausreichende Rechtsgrundlage für die Veröffentlichung gab. Zudem seien die Daten aufgrund der Veröffentlichung allgemein zugänglich, weswegen kein Geheimhaltungsinteresse der Bürgerin bestehe. Nachdem die DSB der Datenschutzbeschwerde stattgab, erhob der Magistrat der Stadt (erfolglose) Bescheidbeschwerde beim BVwG.

Das BVwG hat erwogen: Das Grundrecht zum Schutz personenbezogener Daten ist in Art 8 der Europäischen Grundrechtecharta (GRC) geregelt. Der Anwendungsbereich knüpft an die Verarbeitung personenbezogener Daten an. Eine Ausnahme des Anwendungsbereichs betreffend "allgemein verfügbare Daten" kennt die GRC nicht. Das DSG sieht in § 1 DSG als zusätzliches Anwendungskriterium die Schutzwürdigkeit des Geheimhaltungsinteresses vor. Die DSGVO enthält dieses Kriterium jedoch nicht und es besteht auch keine Öffnungsklausel für eine solche Regelung. Die Ausnahmeregelung des § 1 DSG wird sohin aufgrund des Anwendungsvorrangs vom Unionsrecht verdrängt. Eine Veröffentlichung von Daten an einer anderen Stelle im Internet steht einem berechtigten Geheimhaltungsinteresse nicht entgegen.

Art 6 Abs 1 lit e DSGVO unterscheidet zwei Rechtfertigungstatbestände, zum einen eine Aufgabe im öffentlichen Interesse und zum anderen eine Aufgabe in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde. Die Verarbeitung muss in beiden Fällen zur Wahrnehmung der Aufgabe erforderlich sein. Die Erforderlichkeit ist dabei eng mit dem Grundsatz der Datenminimierung in Art 5 Abs 1 lit c DSGVO verbunden.

Die landesgesetzlichen Bestimmungen der §§ 24 Abs 4, Abs 6, Abs 26 NÖ STROG 2014 und § 24 Abs 9 NÖ ROG 2014 enthalten keinen gesetzlichen Auftrag oder eine Ermächtigung, anlässlich des Begutachtungsprozesses oder im Zuge der Vorbereitung von Gemeinderatssitzungen sowie der Durchführung von Gemeinderatssitzungen in Stellungnahmen enthaltene personenbezogene Daten zu veröffentlichen.

BVwG 19.04.2024, W287 2251990-1

Eine Wohnungseigentümerin richtete eine E-Mail an ihre Hausverwaltung, um Aufklärung über Ungereimtheiten bei Betriebskostenabrechnungen zu fordern. Die Hausverwaltung leitete diese E-Mail an das von ihr beauftragte Hausbetreuerunternehmen weiter, um eine Stellungnahme zu den bemängelten Rechnungen zu erhalten. Dadurch wurden dem Hausbetreuerunternehmen Name, E-Mail-Adresse und Inhalt der E-Mail der Wohnungseigentümerin offengelegt. Als die Wohnungseigentümerin von der Weiterleitung erfuhr, erhob sie Datenschutzbeschwerde bei der DSB, der die DSB stattgab. Die Bescheidbeschwerde der Hausverwaltung blieb erfolglos.

Das BVwG hat erwogen: Die Hausverwaltung übermittelte personenbezogene Daten der Wohnungseigentümerin (Name, E-Mail-Adresse und Inhalt der E-Mail) an das Hausbetreuungsunternehmen. Diese Daten sind eindeutig der Wohnungseigentümerin zuzuordnen und nicht allgemein verfügbar, weshalb sie ein schutzwürdiges Interesse an diesen Daten hat. Daran ändert auch die Tatsache nichts, dass dem Hausbetreuungsunternehmen Name und E-Mail-Adresse der Wohnungseigentümerin bereits vorher bekannt waren, zumal auch die spezifische Information über die Beanstandung der Abrechnung des Hausbetreuungsunternehmens offengelegt wurde.

Die Wohnungseigentümerin willigte in die Datenverarbeitung nicht ein. Die bloße Bitte, die Themen mit dem Hausbetreuungsunternehmen zu klären, ist keine Einwilligung. Auch eine allgemeine Datenschutzklausel im Wohnungseigentumsvertrag erfüllt nicht die spezifischen Anforderungen an eine Einwilligung. Zur Erfüllung vertraglicher Verpflichtungen war die Datenverarbeitung nicht notwendig, weil eine Klärung der Anliegen auch ohne Offenlegung der Identität erfolgen kann.

Die Hausverwaltung kann sich auch nicht auf ein allfälliges berechtigtes Interesse berufen, weil eine anonymisierte Klärung der Fragen möglich gewesen wäre. Zudem verfügte die Wohnungseigentümerin über die Kontaktdaten des Hausbetreuerunternehmens selbst. Sie hätte daher die Themen auf direktem (nicht anonymen) Weg mit dem Hausbetreuerunternehmen klären können, wenn sie das gewollt hätte.

BVwG 19.04.2024, W287 2276988-1

Ein Betroffener ersuchte um die Löschung seiner bonitätsrelevanten Daten aus der Bonitätsdatenbank einer Kreditauskunftei. Die Kreditauskunftei kam dem Ersuchen nicht nach. Daraufhin erhob der Betroffene eine Datenschutzbeschwerde bei der DSB und machte die Verletzung seiner Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch geltend. Die Kreditauskunftei bot dem Betroffenen an, die Daten bloß für interne buchhalterische Zwecke zu speichern und nicht mehr an Dritte weiterzugeben. Nachdem die siebenjährige abgabenrechtliche Aufbewahrungsfrist verstrichen war, löschte die Kreditauskunftei die bonitätsrelevanten Daten des Betroffenen gänzlich. Der Betroffene hielt an seiner Datenschutzbeschwerde jedoch weiterhin fest, weil die Löschung zu spät erfolgt sei. Die DSB wies die Datenschutzbeschwerde als unbegründet ab, woraufhin der Betroffene eine (erfolglose) Bescheidbeschwerde erhob.

Das BVwG hat erwogen: Das Recht auf Löschung umfasst kein Recht auf Feststellung vergangener, inzwischen behobener Rechtsverletzungen. Sobald die Löschung vom Verantwortlichen durchgeführt ist, hat der Betroffene sein Rechtsschutzziel erreicht. Die Kreditauskunftei ist dem Löschungsersuchen nachgekommen, womit der Betroffene im Entscheidungszeitpunkt durch die DSB in seinem Recht auf Löschung nicht mehr verletzt war. Die Möglichkeit, eine Schadenersatzklage vor den ordentlichen Gerichten einzubringen, wird dadurch nicht eingeschränkt, weil ein Feststellungsbescheid der DSB keine Voraussetzung für eine solche Klage ist.

Die Rechte auf Berichtigung, Einschränkung der Verarbeitung und Widerspruch sind antragsbedürftige Rechte. Da der Betroffene lediglich einen Antrag auf Löschung der ihn betreffenden bonitätsrelevanten Daten gestellt hat, wurde er in diesen Rechten nicht verletzt. Auch ergab sich keine Verpflichtung der Kreditauskunftei, die Daten von sich aus zu berichtigen.

Anm: In der verwaltungsrechtlichen Rechtsprechung wird zwischen "antragsbedürftigen Rechten" und solchen Rechten unterschieden, die ohne vorherigen Antrag an den Verantwortlichen ausgeübt werden dürfen. Damit ist gemeint, dass vor dem Erheben einer Datenschutzbeschwerde ein Ersuchen um Auskunft, Löschung, Berichtigung, Vervollständigung, Einschränkung der Verarbeitung an den Verantwortlichen zu stellen oder ein Widerspruch beim Verantwortlichen einzulegen ist. Bei den Rechten auf Geheimhaltung oder hinsichtlich der Verletzung der Informationspflicht kann antragsunabhängig (= ohne vorherige Kontaktaufnahme mit dem Verantwortlichen)  eine Datenschutzbeschwerde erhoben werden.

Die Zurückziehung einer Beschwerde wird mit dem Zeitpunkt ihres Einlangens wirksam. Ab diesem Zeitpunkt ist – mangels einer aufrechten Beschwerde – die Pflicht des BVwG zur Entscheidung weggefallen und das Beschwerdeverfahren ist einzustellen. Der Beschwerdeverzicht (bzw die Zurückziehung der Beschwerde) ist unwiderruflich, weil es eine einseitige, verbindliche Prozesshandlung ist (BVwG 12.04.2024, W605 2280854-1).

Die Zulässigkeit einer Säumnisbeschwerde setzt die Säumnis der vor dem Verwaltungsgericht belangten Behörde voraus, deren Entscheidungspflicht geltend gemacht wird, und somit die Verpflichtung dieser Behörde, über den bei ihr eingebrachten Antrag mittels Bescheid zu entscheiden. Fehlt es an der Säumnis der Behörde, so ist die Säumnisbeschwerde zurückzuweisen. Da zum Zeitpunkt des Einbringens der Säumnisbeschwerde die DSB bereits mit Bescheid über den Antrag der Betroffenen vollständig abgesprochen hat, kann der DSB nicht vorgeworfen werden, ihre Entscheidungspflicht verletzt zu haben (BVwG 22.12.2022, W292 2246171-1).

DSB 01.09.2022, 2022-0.616.013

Ein Minderjähriger richtete ein Auskunftsersuchen an ein Unternehmen, das dessen Daten im Rahmen eines Kundenbindungsprogramms verarbeitete. Das Unternehmen erteilte dem Minderjährigen die Auskunft und teilte gleichzeitig mit, dass die Mitgliedschaft aufgekündigt wurde, weil er – entgegen den zugrundeliegenden Teilnahmebedingungen – noch nicht volljährig sei. Der Minderjährige erachtete sich in seinem Recht auf Auskunft verletzt und erhob (erfolglose) Datenschutzbeschwerde bei der DSB.

Die DSB hat erwogen: Das Recht auf Auskunft ist auf jene Daten beschränkt, die zum Zeitpunkt des Einlangens des Auskunftsersuchens tatsächlich verarbeitet werden. Ein Recht auf Verarbeitung personenbezogener Daten kann aus der DSGVO nicht abgeleitet werden. Die Grundlage jeder datenschutzrechtlichen Auskunftserteilung ist der Istzustand an gespeicherten Personendaten und verfügbaren Informationen über deren Verwendung, nicht ein wie immer gearteter Sollzustand.

Das Unternehmen hat die Daten des Minderjährigen nach Auskunftserteilung gelöscht, weil es der Ansicht war, dass dessen Registrierung mangels Volljährigkeit nicht wirksam erfolgt war. Das Vorbringen des Minderjährigen, wonach er mit Vollendung seines 14 Lebensjahres in die Verarbeitung seiner Daten wirksam einwilligen könne, war irrelevant, weil die Frage der Wirksamkeit der datenschutzrechtlichen Einwilligung keinen Einfluss auf die Frage der (zivilrechtlich zu beurteilenden) Gültigkeit eines Vertragsabschlusses hat. Die Prüfung der Frage, ob das Unternehmen berechtigt war, das Vertragsverhältnis mit dem Minderjährigen zu beenden, fällt nicht in die Zuständigkeit der Datenschutzbehörde, sondern in die Zuständigkeit der Zivilgerichte.

Das Unternehmen hat dem Minderjährigen gesetzmäßig Auskunft über die zu seiner Person verarbeiteten Daten erteilt. Die gleichzeitig erteilte Information, dass nun eine Löschung dieser Daten erfolgen werde, ist keine Verletzung des Auskunftsrechts des Minderjährigen gemäß Art 15 DSGVO.

DSB 16.12.2021, 2021-0.816.492

Eine Betroffene stellte per E-Mail ein Auskunftsersuchen gemäß § 44 DSG über polizeiliche Eintragungen an den Bundesminister für Inneres (BMI). Der E-Mail war auch eine Kopie ihres Reisepasses angehängt und sie gab an, die Auskunft per E-Mail erhalten zu wollen. Der BMI versuchte zunächst, die Auskunft an die (aus dem Antrag hervorgehende) Anschrift zuzustellen, was aufgrund der Ortsabwesenheit der Betroffenen scheiterte. Nach einer ZMR-Abfrage versuchte der BMI eine erneute Zustellung an die neue Wohnadresse der Betroffenen, welche aus gleichem Grund erfolglos blieb. Die Betroffene brachte Datenschutzbeschwerde bei der DSB ein.

In seiner Stellungnahme an die DSB hielt der BMI fest, dass er als Behörde bei Zustellungen nach dem ZustG vorgehen müsse. Demnach sei eine Zustellung aus besonders wichtigen Gründen nach § 21 ZustG bloß zu eigenen Handen mittels RSa-Brief oder gemäß § 28 Abs 3 ZustG elektronisch mit Zustellnachweis durch Zustellsysteme möglich, wobei E-Mails keine zulässige Zustellform sind. Dadurch soll vor allem vermieden werden, dass Ersatzempfänger Kenntnis von strafrechtsrelevanten Daten erlangen. Da die Betroffene ihre Identität mit keiner Bürgerkarte nachgewiesen hat, konnte die Zustellung nicht elektronisch erfolgen. Die DSB gab der Datenschutzbeschwerde statt, weil der BMI nicht alle ihm zur Verfügung stehenden Maßnahmen ausgeschöpft hatte, um die Auskunft zuzustellen. Daraufhin brachte der BMI eine Bescheidbeschwerde bei der DSB ein und führte darin aus, dass er die Auskunft durch Hinterlegung sehr wohl zugestellt hat. Zudem brachte der BMI vor, dass keine Feststellung darüber getroffen wurde, ob er die Auskunft per E-Mail zustellen müsse. Die DSB änderte den Spruch ihres (weiterhin) stattgebenden Bescheides mit einer Beschwerdevorentscheidung ab.

Die DSB hat erwogen: Der Verantwortliche hat die Auskunft grundsätzlich in derselben Form, in der er das Auskunftsersuchen erhalten hat, zu übermitteln.

Der Verantwortliche muss alle Anstrengungen unternehmen, damit die Auskunft der Betroffenen tatsächlich zukommt. Dem BMI ist zwar zuzustimmen, dass er eine Behörde ist und daher der Anwendung des AVG und des ZustG unterliegt. Das 3. Hauptstück des DSG ist jedoch eine lex specialis. Einschlägig ist daher § 42 Abs 4 DSG, welcher im Lichte des Art 12 der "Datenschutz-RL für den Bereich Inneres und Justiz" auszulegen ist. Die Auskunft ist demnach in derselben Form, in der das Ersuchen gestellt wurde, zu erteilen. Eine Abweichung hiervon bedarf einer Begründung. Das ZustG steht einer Zustellung per E-Mail nicht entgegen. Da es zwei Zustellversuche zu eigenen Handen der Betroffenen gegeben hat, lagen keine Zweifel an der Identität dieser vor, weshalb die Auskunft per E-Mail zu erfolgen gehabt hätte.

Am 19.06.2024 wird eine mündliche Verhandlung in der Rs C-383/21, ILVA, stattfinden. Gegenstand des Verfahrens ist die Auslegung des Unternehmensbegriffs in Art 83 Abs 5 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in den verbundenen Rs C-182/22 und C-189/22, Scalable Capital, verkündet. Geklärt werden soll insbesondere die Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in der Rs C-590/22, PS (Adresse erronée), verkündet. Gegenstand des Verfahrens sind Anspruch auf und Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 02.07.2024 wird eine mündliche Verhandlung in der Rs C-492/23, Russmedia Digital und Inform Media Press, stattfinden. Gegenstand des Verfahrens sind ua die Verantwortlichkeiten von Hostingprovidern.

Am 11.07.2024 werden die Schlussanträge in der Rs C-394/23, Mousse, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf.

Am 11.07.2024 wird das Urteil des EuGH in der Rs C-757/22, Meta Platforms Ireland, veröffentlicht. Geklärt werden weitere Voraussetzungen, unter welchen Verbraucherschutzverbände wegen der Verletzung von Informationspflichten klagen können.

EGMR 28.05.2024, 72038/17, Pietrzak/Polen

Fünf polnische Staatsbürger wendeten sich gegen die nationale Gesetzgebung zur geheimen Überwachung von Kommunikationsdaten. Die Beschwerdeführer waren Rechtsanwälte, Menschenrechtsaktivisten und Journalisten, die befürchteten, dass ihre berufliche und private Kommunikation von den polnischen Behörden überwacht und gespeichert wurde, ohne dass sie davon Kenntnis hatten oder dagegen vorgehen konnten. Sie machten geltend, dass die polnischen Rechtsvorschriften zur Vorratsdatenspeicherung von Kommunikationsdaten unverhältnismäßig und unklar waren sowie einer unzureichenden Aufsicht unterlagen und daher gegen ihre Rechte gemäß Art 8 EMRK sowie gegen ihr Recht auf einen wirksamen Rechtsbehelf verstießen. Der EGMR stellte eine Verletzung der Rechte der Staatsbürger fest.

Der EGMR hat erwogen: Die Staatsbürger sind potenzielle Opfer einer Verletzung der EMRK, weil sie einer ständigen Gefahr einer geheimen Überwachung ihrer Kommunikation ausgesetzt sind, die sich aus der bloßen Existenz und Anwendung der angegriffenen Rechtsvorschriften ergibt, ohne dass die Staatsbürger dies nachweisen oder dagegen vorgehen könnten.

Die geheime Überwachung von Kommunikationsdaten ist ein Eingriff in die Rechte gemäß Art 8 EMRK, der nur dann zulässig ist, wenn er gesetzlich vorgesehen ist, einem legitimen Zweck dient und in einer demokratischen Gesellschaft notwendig ist.

Die polnischen Regelungen zur Vorratsdatenspeicherung von Kommunikationsdaten sind zwar gesetzlich vorgesehen, genügen jedoch nicht den Anforderungen, die der EGMR in seiner Rechtsprechung entwickelt hat, um einen angemessenen Schutz vor willkürlichen Eingriffen zu gewährleisten.

Nicht ausreichend klar und präzise geregelt sind etwa die Kategorien von Personen, die der geheimen Überwachung unterliegen können, die Art und der Umfang der zu erfassenden Daten, die Dauer sowie die Bedingungen der Speicherung. Weiters ist keine wirksame gerichtliche oder parlamentarische Kontrolle der Überwachungsmaßnahmen vorgesehen.

Die Staatsbürger hatten auch keinen wirksamen Rechtsbehelf iSd Art 13 EMRK, um die Rechtmäßigkeit der geheimen Überwachung ihrer Kommunikationen überprüfen zu lassen.

EGMR 23.05.2024, 2507/19, Contrada/Italien

Ein (ehemaliger) Polizeibeamter geriet in den Fokus umfangreicher Ermittlungen zum Mord an einem anderen Polizisten. Die Staatsanwaltschaft (StA) wollte Verbindungen zwischen den mutmaßlichen Tätern und mafiösen Strukturen aufdecken und ordnete die Überwachung von fünf Telefonleitungen an, die der Polizeibeamte genutzt hat. Obwohl er nicht als Verdächtiger galt, vermutete die StA, dass der Polizeibeamte als ehemaliger Vorgesetzter der verdächtigen Polizisten und aufgrund seiner Kontakte wertvolle Informationen besaß. Die Ermittlungen gründeten auf der Annahme, dass der ermordete Polizist Teil einer geheimen Einheit des italienischen Geheimdienstes war, die gegen die Mafia operierte und durch Korruption unterwandert worden war. Der Polizeibeamte stand unter Verdacht, Informationen zurückzuhalten und nicht kooperativ zu sein, was die Überwachung seiner Telefonate begründete. Zudem hatten die nationalen Gerichte ihn bereits zuvor wegen Unterstützung der mafiösen Organisation "Cosa Nostra" verurteilt. Der Polizeibeamte erfuhr erst durch einen Durchsuchungsbeschluss für seine Wohnung über die Abhörmaßnahmen.

In seiner Beschwerde an den EGMR behauptete der Polizeibeamte, wegen des Durchsuchungsbeschlusses und des Abhörens der Telefone in seinen Rechten gemäß Art 8 EMRK verletzt worden zu sein. Der EGMR stellte eine Verletzung des Art 8 EMRK in Bezug auf das Abhören der Telefone fest und sprach dem Polizeibeamten eine Entschädigung iHv EUR 9.000 zu.

Der EGMR hat erwogen: Nach italienischem Recht kann ein Durchsuchungsbefehl gerichtlich überprüft werden, sofern dabei eine Beschlagnahme von Gegenständen erfolgt. Der Polizeibeamte hätte die Durchsuchungsanordnung bekämpfen und beschlagnahmte Gegenstände zurückerhalten können. Der Polizeibeamte beantragte jedoch keine gerichtliche Überprüfung. Seine Beschwerde war daher hinsichtlich des Durchsuchungsbeschlusses unzulässig, weil er die innerstaatlichen Rechtsmittel nicht ausgeschöpft hat.

Das Abhören der Telefone verletzte jedoch den Polizisten in seiner Privatsphäre. Nach italienischem Recht müssen die Parteien eines Verfahrens nach Abschluss der Abhörmaßnahmen sofort informiert werden. Weiters muss ihnen Zugang zu den entsprechenden Aufnahmen und Transkripten sowie zu allen relevanten gerichtlichen Entscheidungen gewährt werden, damit sie die Rechtmäßigkeit dieser Maßnahmen anfechten können. Diese nachträgliche Benachrichtigung ist jedoch für Personen, deren Kommunikation abgehört wurde, die an den Verfahren aber nicht beteiligt waren, nicht vorgesehen. Folglich erhielt der Polizeibeamte keine Benachrichtigung über die Abhörmaßnahmen, weshalb er die Rechtmäßigkeit der Maßnahme nicht überprüfen lassen konnte.

Das italienische Recht bietet somit keine hinreichenden Garantien gegen Missbrauch für Personen, die abgehört werden, aber nicht verdächtigt oder angeklagt sind. Aufgrund dieser Mängel genügt das italienische Gesetz den Anforderungen des Art 8 EMRK nicht und ist auch nicht geeignet, die Beeinträchtigung auf das "in einer demokratischen Gesellschaft notwendige" Maß zu beschränken.

EuGH Schlussanträge 30.05.2024, C-200/23, Agentsia po vpisvaniyata

Der Gesellschaftsvertrag einer GmbH bulgarischen Rechts, der gesetzlich nicht erforderliche personenbezogene Daten einer Gesellschafterin enthielt, wurde ungeschwärzt im Handelsregister eingetragen und veröffentlicht. Die Gesellschafterin beantragte bei der für die Eintragung zuständigen Agentur die Löschung ihrer überschießenden personenbezogenen Daten im Gesellschaftsvertrag und erklärte, dass sie ihre Einwilligung widerruft, sofern die Datenverarbeitung auf einer solchen beruht.

Gemäß bulgarischem Recht ist dem Antrag auf Eintragung einer Gesellschaft in das Handelsregister das Original oder eine beglaubigte Kopie der offenzulegenden Urkunden, somit auch des Gesellschaftsvertrags, beizufügen. Die Agentur ersuchte daher die Gesellschafterin, ihr eine geschwärzte Kopie des Gesellschaftsvertrags vorzulegen, um ihrem Löschersuchen entsprechen zu können. Da die Gesellschafterin keine geschwärzte Kopie vorlegte, lehnte die Agentur ihr Löschersuchen ab.

Der Generalanwalt hat erwogen: Die Agentur ist für die Verarbeitung die alleinige Verantwortliche, weil das öffentliche Zugänglichmachen der personenbezogenen Daten im Handelsregister in Wahrnehmung der Aufgaben erfolgte, die ihr als mit der Führung des Registers betraute Stelle übertragen wurden. Irrelevant ist, dass die in den Urkunden enthaltenen personenbezogenen Daten vor ihrer Veröffentlichung nicht kontrolliert werden oder die Agentur diese Daten nicht ändern oder berichtigen kann.

Schwärzt der Eintragungspflichtige die gesetzlich nicht erforderlichen Informationen nicht, wird er dadurch nicht selbst für die Verarbeitung verantwortlich. Er hat auf die gesetzlich bestimmten Zwecke und Mittel der Datenverarbeitung bei der Agentur nämlich keinen Einfluss. Der Eintragungspflichtige legt mit der Erfüllung der Eintragungsformalitäten einen eigenen Zweck fest, der sich von den öffentlichen Zwecken unterscheidet, die von der Agentur verfolgt werden.

Die im bulgarischen Recht aufgestellte Vermutung der Einwilligung erfüllt die Voraussetzungen der DSGVO nicht, weil sie nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich, in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung erteilt wird. Die Datenverarbeitung kann daher nicht auf die Einwilligung gestützt werden.

Die Datenverarbeitung kann auch nicht auf die Erfüllung einer rechtlichen Verpflichtung gestützt werden, weil die bloße Tatsache, dass die Agentur eine ihr ungeschwärzt übermittelte Urkunde veröffentlicht, nicht ausreicht, um eine rechtliche Verpflichtung zu begründen. Die Datenverarbeitung erfolgt auch nicht in Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt. Zwar wird die Datenverarbeitung anlässlich einer im öffentlichen Interesse liegenden Aufgabe durchgeführt, sie ist dafür aber nicht erforderlich. Die Offenlegung der Urkunden kann auch so erfolgen, dass personenbezogene Daten, deren öffentliches Zugänglichmachen nicht erforderlich ist, geschwärzt werden.

Um einen angemessenen Ausgleich zwischen den Interessen der betroffenen Person und den Interessen der Öffentlichkeit zu schaffen, müsste die Agentur die Befugnis haben, die Daten unverzüglich nach Eingang des Löschersuchens selbst in der öffentlich zugänglichen Kopie der Urkunde unkenntlich zu machen. Gleichzeitig sollte sie das Original dieser Urkunde aufbewahren und von der Gesellschaft verlangen, eine Änderung der Urkunde vorzulegen, aus der die Daten entfernt wurden, wobei diese Änderung ebenfalls im Register veröffentlicht werden sollte.

BVwG 29.04.2024, W176 2234682-1

Ein "Bürgerjournalist" filmte einen Jäger ohne dessen Wissen und Einverständnis bei der Jagd. Ein daraufhin vom Jäger gestelltes Auskunftsersuchen ließ der "Bürgerjournalist" unbeantwortet. Stattdessen rechtfertigte er die Anfertigung des Videomaterials damit, dass er den Vorgang einer Jagd zu journalistischen Zwecken dokumentieren wollte.

Das BVwG hat erwogen: Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber zu journalistischen Zwecken eines Medienunternehmens oder Mediendienstes finden gemäß § 9 Abs 1 DSG weite Teile der DSGVO keine Anwendung.

Zwar verfolgte der "Bürgerjournalist" mit der Anfertigung der Bildaufnahmen möglicherweise journalistische Zwecke, doch fand deren Verarbeitung nicht im Rahmen eines Medienunternehmens statt.

Dem Vorbringen des "Bürgerjournalisten", er sei ein "Ein-Personen-Medienunternehmen" kann nicht gefolgt werden. Nach der Rechtsprechung des OGH wird ein Medieninhaber erst dann zum Medienunternehmer iSd § 1 Abs 1 Z 6 MedienG, wenn er über den Zweck der bloß privaten Verbreitung von Inhalten hinaus ein Unternehmen – mit einem Mindestmaß an unternehmerischen Strukturen – betreibt, dessen Unternehmenszweck die inhaltliche Gestaltung einer redaktionell gestalteten Website ist.

Da der "Bürgerjournalist" die Fotos von seinem privaten Facebook-Account veröffentlichte und selbst angab, diese aus Eigeninteresse angefertigt zu haben, handelte er nicht als Medienunternehmer. Der "Bürgerjournalist" konnte die Nichterteilung der Auskunft deshalb nicht auf das Medienprivileg stützen.

Anm: Der VfGH hat § 9 Abs 1 DSG mit Erkenntnis vom 14.12.2022, G 287/2022, für verfassungswidrig erklärt und er hat für das Außerkrafttreten der Bestimmung eine Frist bestimmt (VfSlg 20590/2022). In der derzeitigen Form tritt § 9 Abs 1 DSG mit Ablauf des 30.06.2024 außer Kraft. Eine Novelle ist bereits auf dem Weg.

BVwG 12.04.2024, W108 2249366-1

Ein emeritierter Rechtsanwalt brachte bei der DSB eine Datenschutzbeschwerde gegen eine Rechtsanwaltskammer (RAK) ein. Er behauptete darin, die RAK habe ihm trotz mehrmaliger Auskunftsersuchen keine ausreichenden und gesetzesmäßigen Auskünfte erteilt. So wurde ihm etwa die gewünschte Korrespondenz zwischen ihm und der RAK nicht übermittelt und weiters gäbe es den Verdacht, dass unbefugte Mitarbeiter auf seine Daten zugreifen könnten. Außerdem hätte die RAK es unterlassen, seine Daten zu berichtigen, die RAK würde das Prinzip der Zweckbindung missachten und kein passendes Löschkonzept besitzen.

Die RAK hielt in einer Stellungnahme fest, dass der Rechtsanwalt mehrere Auskunftsersuchen mit gleichem Inhalt gestellt hatte, wobei das erste Ersuchen fristgerecht und vollständig beantwortet wurde. Mit dem zweiten Ersuchen verlangte der Rechtsanwalt im Grunde dieselben Auskünfte und eine postalische Übermittlung sämtlicher Korrespondenz der vergangenen 15 Jahre, was eine schikanöse Rechtsausübung sei, weil dies einen erheblichen Aufwand und monetären Schaden für die RAK verursachen würde.

Die DSB wies die Datenschutzbeschwerde als unbegründet ab, weil die RAK dem ersten Ersuchen entsprochen hatte und die ersuchten Auskünfte samt Kopie der geforderten Unterlagen übermittelt hatte. Auch hinsichtlich des Rechts auf Berichtigung und Geheimhaltung sah die DSB keinen Verstoß. Daraufhin erhob der Rechtsanwalt eine (erfolglose) Bescheidbeschwerde beim BVwG.

Der BVwG hat erwogen: Sämtliche Personen (zB Mitarbeiter) und Stellen, die unter der Aufsicht bzw Anweisung des Verantwortlichen eine Datenverarbeitung durchführen, sind ihm funktional zuzurechnen.

Die RAK ist gemäß § 23 Abs 7 RAO ermächtigt, personenbezogene Daten ihrer Mitglieder zu verarbeiten, soweit dies zur Wahrnehmung ihrer gesetzlichen Aufgaben notwendig ist. Die RAK konnte nachweisen, dass sie die Daten den Gesetzen entsprechend im bloß erforderlichen Umfang verarbeitet hat. Zudem wurde auch glaubhaft gemacht, dass die Mitarbeiter der RAK ihre Befugnisse nicht überschritten haben. Die Datenverarbeitung durch die RAK war somit rechtmäßig.

Mit dem Recht auf Auskunft wird dem Betroffenen ermöglicht, sich der Verarbeitung seiner Daten bewusst zu werden und deren Rechtmäßigkeit zu kontrollieren. Bei den vom Rechtsanwalt begehrten Dokumenten handelte es sich um E-Mails und Schreiben, die der Rechtsanwalt selbst regelmäßig (3 – 4 Schreiben pro Monat) an die RAK übermittelte. Eine postalische Zurverfügungstellung sämtlicher Korrespondenz war nicht unerlässlich, weil der Rechtsanwalt diese selbst an die RAK verschickte und damit über diese Schreiben verfügt hat.

In seinem Recht auf Berichtigung ist der Rechtsanwalt schon deshalb nicht verletzt, weil er keinen Berichtigungsantrag an die RAK gestellt hat, sondern bloß eine Verletzung dieses Rechts behauptete.

BVwG 12.04.2024, W108 2255217-1

Ein Arbeitssuchender brachte beim AMS ein Auskunftsersuchen über die zu seiner Person verarbeiteten Daten ein. Da die Auskunft zu seinen Daten zu spät erteilt wurde, brachte er Datenschutzbeschwerde bei der DSB ein. Im Laufe des Verfahrens wurde ihm vom AMS umfassende Auskunft über seine Daten erteilt. Der Arbeitssuchende erachtete die ihm erteilte Auskunft aber für unvollständig. Seiner Ansicht nach fehlten in der Auskunft unter anderem Informationen zur Ermittlung von Daten, die als Grundlage für einen Bescheid in einem Verwaltungsverfahren verwendet wurden. Weiters wurden keine Kopien der Aktenbestandteile iSd Art 15 Abs 3 DSGVO übermittelt. Die Datenschutzbeschwerde wurde mit Teilbescheid abgewiesen. Hinsichtlich der Frage der Aktenkopie gemäß Art 15 Abs 3 DSGVO wurde das Verfahren ausgesetzt. Gegen den Teilbescheid erhob der Arbeitssuchende erfolglose Bescheidbeschwerde an das BVwG, das auch über den ausgesetzten Verfahrensteil entschied.

Das BVwG hat erwogen: Das Recht auf Kopie gemäß Art 15 Abs 3 DSGVO ist kein eigenständiges subjektives öffentliches Recht eines Betroffenen. Über einen Verstoß gegen dieses Recht kann nicht gesondert abgesprochen werden. Die DSB hätte demnach das Verfahren nicht trennen dürfen. Das BVwG darf jedoch über den nicht behandelten Aspekt urteilen, weil die Beurteilung des Rechts auf Auskunft nach Art 15 Abs 1 DSGVO auch Rechtsverletzungen nach Abs 3 mitumfasst.

Mit dem Recht auf Auskunft wird der Zweck verfolgt, Betroffenen zu ermöglichen, sich der sie betreffenden Datenverarbeitungen bewusst zu werden. Eine Übermittlung von originalgetreuen Kopien, Auszügen aus Dokumenten, ganzer Dokumente oder Auszügen aus Datenbanken ist nur dann erforderlich, wenn die Zurverfügungstellung solcher Kopien unerlässlich ist, um die wirksame Ausübung der durch die DSGVO eingeräumten Rechte zu ermöglichen.

Die für die Erlassung eines Bescheids zugrundeliegenden Daten eines Ermittlungsverfahrens müssen im Rahmen des Auskunftsrechts nach Art 15 DSGVO beauskunftet werden. Das Recht auf Auskunft gemäß Art 15 DSGVO besteht neben dem Recht auf Akteneinsicht, ist aber auf die Daten des Auskunftswerbers beschränkt und ermöglicht keine vollständige Einsicht in die Ergebnisse des Ermittlungsverfahrens oder den Gang des Verfahrens. Das AVG sieht keine Einschränkung von Betroffenenrechten gemäß Art 23 DSGVO vor. Im AVG besteht dazu keine planwidrige Lücke, die durch Analogie geschlossen werden muss.

Beim Auskunftsrecht handelt es sich um ein subjektives Kontrollrecht, um den Ist-Zustand der verarbeiteten Daten feststellen zu können. Die vom AMS erteilte Auskunft war vollständig.

Wird die inhaltliche Behandlung einer Datenschutzbeschwerde wegen exzessiver Ausübung der Rechte iSd Art 57 Abs 4 DSGVO abgelehnt, ist in einem Wiederaufnahmeantrag darzutun, dass aufgrund neu hervorgekommener Tatsachen oder Beweismittel die Entscheidung des BVwG hinsichtlich dieser Ablehnung der inhaltlichen Behandlung der Datenschutzbeschwerde anders gelautet hätte (BVwG 18.04.2024, W137 2255503-2).

Ist die Löschung der Daten bereits erfolgt, ist ein von der DSB erteilter Löschungsauftrag nicht mehr durchführbar. Der entsprechende Spruchpunkt des angefochtenen Bescheids ist ersatzlos zu beheben (BVwG 17.04.2024, W298 2273385-1).

Eine Datenschutzbeschwerde ist innerhalb eines Jahres nach Kenntniserlangung vom beschwerenden Ereignis bei der DSB einzubringen. Andernfalls erlischt das Recht auf Beschwerdebehandlung und ist die Datenschutzbeschwerde zurückzuweisen (BVwG 17.04.2024, W298 2274023-1).

Mit dem Register der wirtschaftlichen Eigentümer wird das Ziel verfolgt, die hinter Unternehmen und Vermögensmassen stehenden Eigentümer transparent und überprüfbar zu machen (BFG 12.04.2024, RV/4100104/2024).

Am 24.05.2024 wurde die "Delegierte Verordnung (EU) 2024/1366 der Kommission vom 11. März 2024 zur Ergänzung der Verordnung (EU) 2019/943 des Europäischen Parlaments und des Rates durch Festlegung eines Netzkodex mit sektorspezifischen Vorschriften für Cybersicherheitsaspekte grenzüberschreitender Stromflüsse" im Amtsblatt der EU veröffentlicht.

Am 30.05.2024 wurde die "Delegierte Verordnung (EU) 2024/1502 der Kommission vom 22. Februar 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen kritisch" im Amtsblatt der EU veröffentlicht.

Am 30.05.2024 wurde die "Delegierte Verordnung (EU) 2024/1505 der Kommission vom 22. Februar 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch Festlegung der Höhe der von der federführenden Überwachungsbehörde bei kritischen IKT-Drittdienstleistern zu erhebenden Überwachungsgebühren und der Art und Weise der Entrichtung dieser Gebühren" im Amtsblatt der EU veröffentlicht.

Am 06.06.2024 werden die Schlussanträge in der Rs C-169/23, Másdi, veröffentlicht. Gegenstand des Verfahrens ist die Informationspflicht einer Behörde nach Art 14 Abs 5 lit c DSGVO.

Am 19.06.2024 wird eine mündliche Verhandlung in der Rs C-383/21, ILVA, stattfinden. Gegenstand des Verfahrens ist die Auslegung des Unternehmensbegriffs in Art 83 Abs 5 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in den verbundenen Rs C-182/22 und C-189/22, Scalable Capital, verkündet. Geklärt werden soll insbesondere die Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in der Rs C-590/22, PS (Adresse erronée), verkündet. Gegenstand des Verfahrens sind Anspruch auf und Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 02.07.2024 wird eine mündliche Verhandlung in der Rs C-492/23, Russmedia Digital und Inform Media Press, stattfinden. Gegenstand des Verfahrens sind ua die Verantwortlichkeiten von Hostingprovidern.

VwGH 22.04.2024, Ro 2022/04/0038

Der Betroffene erhob eine Datenschutzbeschwerde bei der DSB, weil er sich durch das Verhalten einer Kreditauskunftei in seinem Recht auf Geheimhaltung gemäß § 1 DSG und seinem Recht auf Löschung gemäß Art 17 DSGVO verletzt sah. Der Betroffene ersuchte um die Löschung seiner insolvenzbezogenen Daten aus der Bonitätsdatenbank der Kreditauskunftei. Die Kreditauskunftei kam diesem Ersuchen nicht nach. Die DSB wies die Datenschutzbeschwerde ab und begründete dies damit, dass die Datenverarbeitung durch die Kreditauskunftei dazu diene, den Unternehmen, die im Rahmen ihrer wirtschaftlichen Tätigkeit ein Kreditrisiko eingehen, Zugang zu diesen Daten zu ermöglichen. Die Löschung der Daten aus der Insolvenzdatei gemäß § 256 IO müsse keine Löschung aus der Bonitätsbank nach sich ziehen. Das BVwG wies die daraufhin erhobene Bescheidbeschwerde des Betroffenen ab und hielt fest, dass längere Speicherfristen im Falle von Insolvenzverfahren gerechtfertigt werden können. Zudem würde sich die höchstzulässige Speicherfrist nicht aus der IO ergeben. Der Betroffene brachte daraufhin eine (erfolgreiche) Revision beim VwGH ein.

Der VwGH hat erwogen: Unter Bezugnahme auf das Urteil des EuGH vom 07.12.203, C-26/22 und C-64/22, SCHUFA Holding, ist festzuhalten, dass die Speicherung personenbezogener Daten durch eine Kreditauskunftei nach der Löschung aus der Insolvenzdatei gemäß § 256 IO nicht auf Art 6 Abs 1 lit f DSGVO gestützt werden kann. Aus diesem Grund war die Speicherung der Daten des Betroffenen betreffend seine Insolvenz nicht rechtmäßig. Die Löschung aus der Insolvenzdatei soll den Schuldner vor negativen Auswirkungen im Geschäftsverkehr schützen. Dieser Schutz kann nicht gewährleistet werden, wenn die Daten über die Insolvenz, welche die Bewertung der Kreditwürdigkeit des Schuldners negativ beeinflussen, durch eine Kreditauskunftei länger gespeichert werden. Vor diesem Hintergrund rechtfertigen die berechtigten Interessen der Kreditauskunftei die Verarbeitung der personenbezogenen Daten über die Insolvenz nicht. Die Annahme des BVwG, wonach sich die höchstzulässige Speicherfrist nicht aus § 256 IO ergäbe, trifft nicht zu. Das angefochtene Erkenntnis war daher aufzuheben.

BVwG 26.04.2024, W211 2281997-1

Ein Nutzer besuchte die Website eines Medienunternehmens und erhob danach Datenschutzbeschwerde bei der DSB, weil der Cookie-Banner so aufgebaut war, dass die Zustimmung zu mehreren Tracking-Cookies erteilt werden musste, um die Website öffnen zu können. Die DSB gab der Datenschutzbeschwerde statt und erteilte dem Medienunternehmen den Auftrag, den Cookie-Banner so abzuändern, dass eine gültige Einwilligung vorliegt. Das Medienunternehmen erhob Bescheidbeschwerde an das BVwG, das dieser stattgab.

Das BVwG hat erwogen: Das Medienprivileg des DSG (und damit der Ausschluss der DSGVO) kommt nicht zur Anwendung, weil die durch Cookies erhobenen Daten nicht journalistischen Zwecken dienen. Das Medienprivileg schützt das inhaltliche Tätigwerden der Presse und damit nur solche Tätigkeiten, die ausschließlich zum Ziel haben, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten.

Auch wenn der Nutzer nicht in Österreich wohnhaft ist, kann dennoch eine Datenschutzbeschwerde bei der DSB eingebracht werden. Anlassloses "forum shopping" ist zwar nicht möglich, Art 77 DSGVO erlaubt einem Betroffenen aber eine Datenschutzbeschwerde bei einer Aufsichtsbehörde einzureichen, zu der ein räumliches und/oder sprachliches Naheverhältnis iZm dem Beschwerdesachverhalt besteht.

Websitebetreiber dürfen als Gegenleistung für ihr Angebot das Entgelt in Form personenbezogener Daten verlangen, wenn ihnen keine marktbeherrschende Stellung zukommt. In der Rs C-252/21, Meta Platforms, wurde dem EuGH ein wettbewerbsrechtlich determiniertes Vorabentscheidungsersuchen gestellt. Aus diesem Urteil des EuGH kann daher nicht abgeleitet werden, dass die personenbezogenen Daten des Betroffenen zu keiner Hauptleistung eines Rechtsgeschäfts werden dürften, wenn dem Verantwortlichen keine marktbeherrschende Stellung zukommt.

Die Voraussetzungen festzulegen, unter denen Nutzer ihre Website besuchen dürfen, ist den Websitebetreibern zu überlassen. Den Websitebetreibern aufzuerlegen, dass sie ein echtes Alternativangebot, wie ein "Pay or Okay"-Modell zu schaffen haben, wäre ein ungerechtfertigter Eingriff in die Privatautonomie.

Da das Medienunternehmen keine marktbeherrschende Stellung innehat, keine lebensnotwendigen Güter verkauft und es zahlreiche Alternativen gibt, muss auch kein "Pay or Okay"-Modell verwirklicht werden. Werden personenbezogene Daten als Gegenleistung für eine Hauptleistung erhoben, ist darauf zwar explizit hinzuweisen. Das Medienunternehmen hat das jedoch durch ein Pop-Up Fenster getan. Die Einwilligung verstieß somit nicht gegen das Koppelungsverbot und sie wurde wirksam erteilt. Anm: Das BVwG bestätigt damit die datenschutzrechtliche Zulässigkeit von Online-Angeboten, die als Gegenleistung für personenbezogene Daten erbracht werden. Gleichzeitig stellt das BVwG klar, dass das Recht auf Datenschutz anderen Grundrechten nicht vorgeht. Voraussetzung der Rechtmäßigkeit der Verarbeitung ist aber der ausdrückliche Hinweis, dass personenbezogene Daten als Gegenleistung für das Online-Angebot erhoben werden.

BVwG 23.04.2024, W221 2281444-1

Ein Rechtsanwalt richtete ein Auskunftsersuchen an den Disziplinarrat einer Rechtsanwaltskammer (RAK) und begehrte Auskunft darüber, wer konkret, also welcher Mitarbeiter der RAK, ein ihn betreffendes Disziplinarerkenntnis an den Bundesminister für Justiz (BMJ) übersandt hat. Sein Ersuchen stützte der Rechtsanwalt neben Art 15 DSGVO auch auf das AuskunftspflichtG.

Die RAK verweigerte die Auskunftserteilung mit der Begründung, dass sie ihren Mitarbeitern zur gesetzlichen Verschwiegenheit verpflichtet ist. Gegen den Bescheid des Disziplinarrats der RAK erhob der Rechtsanwalt Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Im Hinblick darauf, dass Auskünfte nach dem AuskunftspflichtG auch personenbezogene Daten umfassen können, stellt die Bestimmung des § 1 Abs 1 AuskunftspflichtG einen Eingriff in das Grundrecht auf Datenschutz dar. Das Auskunftsbegehren des Rechtsanwalts betrifft den Namen eines Mitarbeiters der RAK und damit personenbezogene Daten. Die Erteilung der Auskunft wäre folglich mit einem Eingriff in das Recht des betroffenen Mitarbeiters auf Datenschutz verbunden gewesen. Für die Beurteilung der Rechtmäßigkeit der Auskunftsverweigerung war daher eine Abwägung des Geheimhaltungsinteresses des betroffenen Mitarbeiters mit dem Informations- und Auskunftsinteresse des Rechtsanwalts maßgebend. Da die Identität des betroffenen Mitarbeiters der RAK, der das Disziplinarerkenntnis für die RAK an den BMJ übermittelte, keinerlei Relevanz in Bezug auf die Information der Öffentlichkeit über die Amtsgeschäftsführung der RAK hat, war die begehrte Auskunft nicht von öffentlichem Interesse.

Soweit der Rechtsanwalt in seiner Bescheidbeschwerde klarstellte, dass sich sein Antrag vordergründig auf die Identität des Genehmigenden bezog, war darin eine Änderung des Antrags zu sehen, der im Rahmen des Beschwerdeverfahrens vor dem BVwG nicht berücksichtigt werden konnte. Denn "Sache" des Verfahrens vor dem BVwG war allein die Frage, ob die mit dem Auskunftsbegehren befasste RAK die Auskunft zu Recht oder zu Unrecht verweigert hat. Damit war eine Änderung jenes Auskunftsbegehrens, welches dem Auskunftsverweigerungsbescheid zu Grunde lag, im Beschwerdeverfahren nicht vereinbar.

BVwG 17.04.2024, W298 2277414-1

Gegen einen Beschuldigten wurde ein Ermittlungsverfahren wegen des Verdachts der gefährlichen Drohung und der versuchten Bestimmung zum Amtsmissbrauch geführt. In der Verfahrensautomation Justiz (VJ) wurden daher seine Vermögensdaten gespeichert. Der Beschuldigte richtete ein Löschersuchen an die sachlich und örtlich zuständige StA und behauptete, die Erhebung der Daten sei illegal erfolgt. Die DSB wies seine Datenschutzbeschwerde ab. Das BVwG bestätigte den Bescheid der DSB mit der Maßgabe, dass die Datenschutzbeschwerde wegen der Verarbeitung von Daten im VJ zurückgewiesen wird.

Das BVwG hat erwogen: Der Beschuldigte hat die behauptete Rechtswidrigkeit der Datenerhebung sowie die Unrichtigkeit der Daten nicht hinreichend konkretisiert, obwohl er dazu gemäß § 24 Abs 2 Z 4 DSG verpflichtet war. Zwar muss keine umfassende Schilderung des Beschwerdegrundes angegeben werden, der Antragsteller hat die ihn begünstigenden maßgeblichen Umstände aber in schlüssiger Weise zu behaupten und zu konkretisieren, um die DSB in die Lage zu versetzen, Erhebungen zur Frage durchzuführen, ob diese Behauptungen zutreffen. Eine etwaige Unmöglichkeit, die anspruchsbegründenden Tatsachen (positiv) festzustellen, geht zu Lasten des Antragstellers. Zur amtswegigen Ermittlung ist die DSB nur insoweit verhalten, als ein ausreichend konkretes, maßgebliches Vorbringen erstattet wurde. Sie ist nicht verpflichtet zu prüfen, ob irgendwelche denkbaren Verstöße vorliegen. Da es sich um keine gesetzwidrig ermittelten Daten handelt, besteht keine Verpflichtung, diese zu löschen.

Der Beschuldigte behauptete die Unrichtigkeit der über ihn verarbeiteten Daten, verlangte aber auch mehrfach die Schwärzung seiner Daten. Damit widersprach sich der beschuldigte, denn eine Schwärzung falscher Daten würde keinen Sinn ergeben. Infrage käme nur die Löschung oder Richtigstellung falscher Daten.

Verantwortlich für den VJ ist der Bundesminister für Justiz. Soweit der Beschuldigte eine Löschung aus dem VJ verlangt, ist dies zurückzuweisen, weil die StA mangels Verantwortlichkeit nicht passivlegitimiert ist.

BVwG 26.04.2024, W211 2261821-1

Ein Konsument erachtete sich wegen der behaupteten Verarbeitung seiner Daten für drei Produkte einer Kreditauskunftei, nämlich "Wirtschaftlichkeitsindex", "InfoPass für Mieter" sowie "PersonenProfile Consumer" in seinen Rechten verletzt. Aufgrund eines bereits anhängigen datenschutzrechtlichen Rechtsstreits und weiterer angedrohter Zivilrechtsverfahren beschränkte die Kreditauskunftei die Datenverarbeitung hinsichtlich der Daten des Konsumenten. Die Einschränkung der Verarbeitung führte zu Negativauskünften zum Namen des Konsumenten bei Anfragen zu diesen Produkten.

Nach Ansicht des Konsumenten waren die Negativauskünfte der Berichtigung gemäß Art 16 DSGVO zugänglich, weil sie ein falsches Bild über seine Bonität vermittelten. Sowohl die Datenschutzbeschwerde als auch die Bescheidbeschwerde des Konsumenten blieben erfolglos.

Das BVwG hat erwogen: Das Produkt "Wirtschaftlichkeitsindex" wird von der Kreditauskunftei nicht mehr angeboten. Die Produkte "InfoPass für Mieter" und "PersonenProfile Consumer" werden auf Anfrage im Einzelfall anhand der gespeicherten Daten über den Betroffenen erstellt/generiert. Aufgrund der Einschränkung der Datenverarbeitung durch die Kreditauskunftei wurden im Rahmen dieser Produkte keine Werte über den Konsumenten generiert.

Eine Einschränkung der Datenverarbeitung durch die Kreditauskunftei verstößt nicht gegen den Grundsatz der Verarbeitung nach Treu und Glauben und Transparenz, weil durch die Einschränkung der Verarbeitung kein datenschutzrechtlicher Verarbeitungsvorgang, auf den der Grundsatz anwendbar sein könnte, vorliegt. Eine Einschränkung der Datenverarbeitung durch die Kreditauskunftei führt für den Konsumenten zu keinem erheblichen Nachteil im Wirtschaftsleben.

Das Recht auf Berichtigung nach Art 16 DSGVO soll Betroffenen ermöglichen, unrichtige Daten, die rechtmäßig verarbeitet werden, richtigzustellen oder zu vervollständigen. Maßstab für die Datenrichtigkeit ist der Zweck der Datenverarbeitung. Ein Ersuchen auf Berichtigung muss eine Begründung enthalten, warum die Daten unrichtig sind und wie diese zu berichtigen sind. Eine Berichtigung ist nur dann durchzuführen, wenn die verarbeiteten personenbezogenen Daten isoliert betrachtet richtig sind, in der Gesamtheit aber eine objektiv falsche oder missverständliche Aussage treffen. Mit der Negativauskunft wird keine objektiv falsche oder missverständliche Aussage getroffen, eine gute oder schlechte Bonität wird dem Konsumenten nicht attestiert, vielmehr wird keine Aussage getroffen. Die erteilten Negativauskünfte sind keine unrichtigen Daten, die nach Art 16 DSGVO berichtigt werden müssen.

BVwG 15.04.2024, W211 2277264-1

In einem Mehrparteienhaushalt ist es vermehrt zu Einbrüchen, einer versuchten Vergewaltigung, einem Brandanschlag und zu zahlreichen Sachbeschädigungen gekommen. Die Eigentümergemeinschaft installierte für den Schutz der dortigen Bewohner eine Videoüberwachungsanlage bestehend aus fünf Kameras. Eine Mieterin erhob eine Datenschutzbeschwerde bei der DSB, in der sie vorbrachte, durch die installierten Kameras in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Die Kameras überwachten den gesamten Weg vom Eingang in das Mehrparteienhaus bis zur Wohnungstür der Mieterin. Eine der Kameras war so positioniert, dass sie bei geöffneter Wohnungstüre auch den privaten Wohnbereich der Mieterin erfasste. Nachdem die DSB der Datenschutzbeschwerde stattgab, erhob die Eigentümergemeinschaft (erfolglose) Bescheidbeschwerde beim BVwG.

Das BVwG hat erwogen: Eine konkludente Einwilligung in die Verarbeitung von personenbezogenen Daten ist nach der DSGVO strengsten Bedingungen unterworfen. Eine solche eindeutige und bestätigende Handlung/Erklärung der Mieterin iSd Art 4 Z 11 DSGVO lag nicht vor. Die Mieterin willigte nicht freiwillig und ausdrücklich in die Datenverarbeitung durch die Videoüberwachungsanlage ein.

Der Eigentümergemeinschaft kann grundsätzlich im Rahmen ihrer Stellung nach dem WEG 2002 ein Interesse am Schutz des Hauses und der Bewohner vor strafrechtlich relevanten Sachverhalten nicht von vornherein abgesprochen werden. Jedoch müssen die angewandten Mittel erforderlich sein und der Grundsatz der Datenminimierung eingehalten werden. Die installierten Kameras erfassen nicht nur die Bewohner, sondern auch alle zufällig und rechtmäßig anwesenden Personen. In den letzten zehn Jahren sind keine gröberen Vorfälle mehr im Haus geschehen. Darüber hinaus übergab man die angefertigten Bildaufnahmen kein einziges Mal wegen zB eines Einbruchsversuchs an die Polizei. Folglich sind die getroffenen Maßnahmen nicht geeignet, um tatsächlich zB Einbruchsversuche gänzlich zu verhindern oder sinnvoll eine effektive Strafverfolgung zu begünstigen. Weiters schafft die Videoüberwachung, bei der die Bilddaten bei einem Bewohner zusammenlaufen, der auch Miteigentümer ist, einen Überwachungsdruck. Es stehen der Eigentümergemeinschaft gelindere Mittel zur Zielerreichung zur Verfügung, wie etwa die Adaptierung der Eingangstüren und eine Kameraattrappe zur Erzeugung eines Drucks für mögliche Täter. Die aktuell festgestellte Verarbeitungssituation wird jedenfalls dem Rechtfertigungstatbestand des Art 6 Abs 1 lit f DSGVO nicht gerecht. Die durch die Videoüberwachungsanlage im Mehrparteienhaus vorgenommene Verarbeitung der personenbezogenen Daten der Mieterin ist demnach nicht rechtmäßig.

Ein Recht auf Feststellung einer Rechtsverletzung in der Vergangenheit besteht nicht, wenn die Rechtsverletzung zum Zeitpunkt der Entscheidung nicht mehr besteht. Wird mit einer Datenschutzbeschwerde das Recht auf Löschung geltend gemacht, tritt durch Löschung der entsprechenden Daten materielle Klaglosstellung ein. Das Beschwerdeverfahren ist als gegenstandslos einzustellen (BVwG 22.01.2024, W101 2134867-1).

DSB 06.08.2021, 2021-0.415.529

Ein Personalvermittlungsunternehmen schickte unaufgefordert eine SMS mit Jobangeboten an einen Arbeitssuchenden. Dieser verlangte von dem Unternehmen Auskunft über die Herkunft seiner Daten. Die Daten stammten vom AMS, wurde ihm telefonisch mitgeteilt. Daraufhin brachte er ein Löschersuchen bei dem Unternehmen ein. Auf das Löschersuchen reagierte das Unternehmen nicht, stattdessen schickte es dem Arbeitssuchenden erneut eine SMS mit Jobangeboten. Der Arbeitssuchende brachte Datenschutzbeschwerde bei der DSB ein. Die DSB gab der Datenschutzbeschwerde statt.

Die DSB hat erwogen: Ein datenschutzrechtlich Verantwortlicher benötigt zur Sicherung der Rechtmäßigkeit der Datenverarbeitung nicht nur einen Rechtfertigungsgrund gemäß Art 6 DSGVO, sondern muss auch die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art 5 Abs 1 DSGVO beachten und deren Einhaltung im Anlassfall gegenüber der DSB nachweisen.

Insbesondere müssen Daten auf transparente Weise verarbeitet werden. Für Betroffene soll Klarheit darüber bestehen, wie die sie betreffenden personenbezogenen Daten verarbeitet werden. Der Transparenzgrundsatz wird insbesondere durch die Informationspflicht gemäß Art 14 DSGVO umgesetzt. Diese Bestimmung kommt zur Anwendung, wenn die zu verarbeitenden Daten nicht beim Betroffenen selbst erhoben werden.

Das Unternehmen hat verabsäumt, den Arbeitssuchenden entsprechend Art 14 Abs 3 lit b DSGVO, spätestens zum Zeitpunkt der ersten SMS, Informationen über die Verarbeitung zukommen zu lassen. Durch die Nichteinhaltung des Transparenzgrundsatzes wurden die Daten bereits von Anfang an unrechtmäßig verarbeitet. Das Personalvermittlungsunternehmen ist folglich verpflichtet, die unrechtmäßig verarbeiteten Daten zu löschen.

Am 05.2024 wurde die "VO (EU) 2024/1358 des Europäischen Parlaments und des Rates … über die Einrichtung von Eurodac für den Abgleich biometrischer Daten … sowie zur Feststellung der Identität illegal aufhältiger Drittstaatsangehöriger oder Staatenloser und über der Gefahrenabwehr und Strafverfolgung dienende Anträge der Gefahrenabwehr- und Strafverfolgungsbehörden der Mitgliedstaaten und Europols auf den Abgleich mit Eurodac-Daten …" im Amtsblatt der EU veröffentlicht.

Am 05.2024 wurde der "Durchführungsbeschluss (EU) 2024/1432 der Kommission vom 21. Mai 2024 zur Gründung des Konsortiums für eine europäische Digitalinfrastruktur für eine europäische Blockchain-Partnerschaft und eine europäische Blockchain-Dienste-Infrastruktur (EUROPEUM-EDIC)" im Amtsblatt der EU veröffentlicht.

Am 06.2024 wird eine mündliche Verhandlung in der Rs C-247/23, Deldits, stattfinden. Gegenstand des Verfahrens ist das Recht einer transsexuellen Person, ihr Geschlecht in einem öffentlichen Register berichtigen zu lassen.

Am 06.2024 werden die Schlussanträge in der Rs C-169/23, Másdi, veröffentlicht. Gegenstand des Verfahrens ist die Informationspflicht einer Behörde nach Art 14 Abs 5 lit c DSGVO.

• Am 06.2024 wird eine mündliche Verhandlung in der Rs C-383/21, ILVA, stattfinden. Gegenstand des Verfahrens ist die Auslegung des Unternehmensbegriffs in Art 83 Abs 5 DSGVO.

Am 06.2024 wird das Urteil des EuGH in den verbundenen, verkündet. Geklärt werden soll insbesondere die Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 06.2024 wird das Urteil des EuGH in der, verkündet. Gegenstand des Verfahrens sind Anspruch auf und Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

• Ein Abgeordneter des Europäischen Parlaments (EP) wurde wegen mehrerer Straftaten verfolgt und nach Aufhebung seiner Immunität strafgerichtlich zu einer langjährigen Haftstrafe verurteilt. Auf sein Mandat im EP verzichtete der Abgeordnete auch nach seiner Verurteilung nicht. Drei Aktivisten bzw Journalisten beantragten Zugang zu Dokumenten des EP, ua über Bezüge und Vergütungen des Abgeordneten und Vergütungen seiner parlamentarischen Assistenten. Das EP verweigerte den Zugang zu diesen Dokumenten mit Verweis auf den Schutz personenbezogener Daten. Die Aktivisten legten Rechtsmittel beim EuG ein.

Das EuG hat erwogen: Gemäß Art 15 Abs 3 AEUV hat jeder Unionsbürger das Recht auf Zugang zu Dokumenten der Organe, Einrichtungen und sonstigen Stellen der Union. Laut Art 9 Abs 1 lit b der Datenschutzverordnung für die Organe, Einrichtungen und sonstigen Stellen der Union (VO (EU) 2018/1725) dürfen personenbezogene Daten an Empfänger, die keine Organe oder Einrichtungen der Union sind, nur übermittelt werden, wenn der Empfänger nachweist, dass die Datenübermittlung im öffentlichen Interesse liegt und der Verantwortliche nachweist, dass die Datenübermittlung verhältnismäßig ist. Die Übermittlung der beantragten Dokumente, die personenbezogene Daten enthalten, ist daher nur zulässig, wenn die Anforderungen der genannten Bestimmung eingehalten werden.

Der Sachverhalt ist außergewöhnlich, weil der Abgeordnete zu einer langjährigen Haftstrafe wegen schwerer Kriminalität verurteilt wurde, dennoch Abgeordneter des EP blieb, daher weiterhin Anspruch auf Bezüge und Vergütungen des EP hatte und diese auch bezogen hat. Das öffentliche Interesse am Zugang zu den entsprechenden Dokumenten des EP ist gegeben.

Das Recht auf Dokumentenzugang geht jedoch nicht so weit, dass Dokumente, die nicht existieren oder über die das EP nicht verfügt, herausgegeben werden müssten. Zudem sind die Bezüge von Abgeordneten öffentlich verfügbar, weshalb die Herausgabe entsprechender personenbezogener Unterlagen nicht erforderlich ist. Das EP hat den Antrag der Aktivisten daher teilweise zu Recht abgelehnt.

Die Dokumente über die Vergütung für Reisekosten und Taggelder sind jedoch herauszugeben, weil entsprechende Informationen öffentlich nicht verfügbar sind. Auch die Dokumente über die Vergütung der Reisekosten der parlamentarischen Assistenten sind herauszugeben, weil nicht ausgeschlossen werden kann, dass diese Dokumente Hinweise auf mögliche, wenn auch nur indirekte, Beteiligungen an Straftaten enthalten.

Die DSB hat im Verfahren über eine Datenschutzbeschwerde den Grundsatz der materiellen Wahrheit zu beachten. Für eine "partielle" Derogation dieses Grundsatzes ergeben sich aus der DSGVO keine Anhaltspunkte. Stützt die DSB ihre Entscheidung nur auf schriftliche Stellungnahmen ohne Einvernahme der Verfahrensparteien, ist die Auffassung des BVwG, wonach der Sachverhalt ergänzungsbedürftig geblieben ist, vertretbar (VwGH 19.04.2024, Ra 2022/04/0006).

Übermittelt die Staatsanwaltschaft (StA) Ermittlungsakte an das Straflandesgericht, hängt die Entscheidung des Strafrichters über das Recht des Beschuldigten auf Akteneinsicht und dessen allfällige Beschränkung nicht davon ab, ob die StA zuvor das Recht des Beschuldigten auf Akteneinsicht beschränkt hat. Die Beurteilung der Erforderlichkeit der Datenübermittlung unterliegt einer Einzelfallbetrachtung. Diese Beurteilung wurde vom BVwG richtig vorgenommen. Der Strafrichter hätte allerdings zu prüfen gehabt, ob Daten des Opfers und seiner Familienangehörigen unkenntlich zu machen und von der Akteneinsicht auszunehmen sind (VwGH 19.04.2024, Ra 2024/04/0303).

BVwG 30.04.2024, W252 2272830-1

Eine Richterin gewährte einem Anwalt Akteneinsicht in den Strafakt eines verurteilten Straftäters. Die Akteneinsicht erfolgte ohne Wissen und Zustimmung des Straftäters. Der Anwalt war vom Straftäter nicht bevollmächtigt. Durch die gewährte Akteneinsicht fühlte sich der Straftäter von der Richterin und dem Gericht in seinem Recht auf Geheimhaltung verletzt und brachte eine erfolglose Datenschutzbeschwerde bei der DSB ein. Die DSB wies die Datenschutzbeschwerde hinsichtlich der Richterin aufgrund mangelnder Verantwortlichkeit ab. Betreffend das Gericht wies die DSB die Datenschutzbeschwerde mangels Zuständigkeit für Datenverarbeitungen im Rahmen der justiziellen Tätigkeit zurück. Das BVwG änderte den Bescheid der DSB dahingehend ab, dass auch die Datenschutzbeschwerde des Straftäters gegen die Richterin zurückgewiesen wird.

Das BVwG hat erwogen: Die "Sache" des Beschwerdeverfahrens in einem Verfahren, bei dem es um die Zurückweisung einer Beschwerde durch die Vorinstanz geht, ist die Frage der Rechtmäßigkeit der Zurückweisung. Die Zurückweisung der Datenschutzbeschwerde durch die DSB betreffend das Gericht war daher rechtmäßig.

Für den Rechtsschutz im Bereich der justiziellen Tätigkeit der Strafgerichte sind ausschließlich die Gerichte zuständig. Die Gewährung von Akteneinsicht an eine am Verfahren nicht beteiligte Person ist der justiziellen Tätigkeit des Gerichts zuzurechnen. Die DSB war daher auch für die Datenschutzbeschwerde gegen die Richterin unzuständig, weshalb die Datenschutzbeschwerde mangels Zuständigkeit der DSB zurückzuweisen war.

Dem Straftäter steht es offen, sich mit einer Beschwerde gemäß §§ 85a iVm 85 GOG an das zuständige Gericht zu wenden oder einen Einspruch iSd § 106 StPO zu erheben.

BVwG 02.04.2024, W176 2266382-1

Ein Betroffener beschwerte sich bei einem Sprachprüfungsverein über die fehlende Qualifikation bestimmter Sprachprüfer. Der Verein leitete das Beschwerdeschreiben an eigene Mitarbeiter sowie an das Sprachenzentrum einer Universität, das Lizenznehmer des Vereins war, weiter. Der Betroffene erhob Datenschutzbeschwerde an die DSB, weil durch die Weiterleitung des Schreibens seine Identität als Urheber des Beschwerdeschreibens offengelegt wurde. Die DSB wies die Datenschutzbeschwerde ab und verweigerte dem Betroffenen die Akteneinsicht in die Lizenzvereinbarung zwischen dem Verein und der Universität. Das BVwG wies die Bescheidbeschwerde des Betroffenen ab und befand die Verweigerung der Akteneinsicht für rechtmäßig.

Das BVwG hat erwogen: Entgegen der in der Praxis üblichen Ausdrucksweise "überwiegende berechtigte Interessen" müssen die berechtigten Interessen des Verantwortlichen (oder eines Dritten) tatsächlich die Interessen (oder Grundrechte und Grundfreiheiten) des Betroffenen nicht überwiegen – es genügt ein Gleichgewicht der Interessen.

Der Sprachprüfungsverein und das Sprachenzentrum der Universität hatten ein berechtigtes Interesse an der Datenweiterleitung, weil das Sprachenzentrum das Recht hatte, zu den Vorwürfen Stellung zu nehmen. Das Sprachenzentrum war aufgrund der Lizenzvereinbarung auch verpflichtet, sich zum Vorwurf, bei ihr kämen unqualifizierte Prüfende zum Einsatz, zu äußern. Die Identität des Betroffenen war auch deshalb offenzulegen, um die kritisierten Institutionen und Personen in die Lage zu versetzen, gegebenenfalls wegen möglichen Persönlichkeits- und Rechtsverletzungen rechtliche Schritte gegen den Betroffenen einzuleiten.

Der Betroffene musste damit rechnen, dass sein Schreiben, einschließlich seiner personenbezogenen Daten an die kritisierten Personen und Institutionen weitergegeben wird. Um eine vertrauliche Behandlung seines Schreibens ersuchte er nicht.

Betriebs- und Geschäftsgeheimnisse dürfen von der Akteneinsicht ausgenommen werden. Hinsichtlich der Lizenzvereinbarung machte der Sprachprüfungsverein in plausibler Weise geltend, dass durch ihre Offenlegung vertragliche Geheimhaltungspflichten gegenüber den Lizenznehmern verletzt würden. Anm: Die Verweigerung der Akteneinsicht erfolgt durch Verfahrensanordnung (§ 17 Abs 4 AVG). Diese Verfahrensanordnung kann nur gemeinsam mit dem Bescheid beim BVwG bekämpft werden.

BVwG 12.04.2024, W108 2275368-1

Ein Kirchenmitglied erhielt aufgrund seines mehrjährigen Rückstandes beim Kirchenbeitrag die Mahnklage einer Diözese zugestellt. Die Klage wurde an eine Liegenschaftsadresse des Kirchenmitgliedes gesandt, an der er keinen Wohnsitz hatte. Daraufhin erhob das Mitglied eine Datenschutzbeschwerde bei der DSB und brachte vor, dass die Diözese bei der Ermittlung seiner Adresse sein Recht auf Geheimhaltung verletzt habe. Die Diözese führte in ihrer Stellungnahme aus, dass ihre Mahnabteilung aufgrund eines Zustellanstandes eine ZMR-Abfrage sowie eine Internetabfrage auf den öffentlich zugänglichen Seiten der WKO durchführte. Nachdem eine Zustellung der Mahnklage an die abgefragte Adresse erfolglos blieb, beantragte die Diözese beim Gericht die Zustellung an die Liegenschaftsadresse, weil diese in der Diözesanen Katholikendatei (DKD) als ehemaliger Hauptwohnsitz des Mitglieds und seiner Ehefrau erfasst war. Die DSB wies die Datenschutzbeschwerde ab. Eine darauffolgende Bescheidbeschwerde des Kirchenmitglieds blieb erfolglos.

Das BVwG hat erwogen: Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn sie zur Wahrnehmung eines berechtigten Interesses erfolgt, erforderlich ist und das Recht der betroffenen Person nicht überwiegt. Zudem müssen die Grundätze des Art 5 DSGVO erfüllt sein. Das Interesse an der Datenverarbeitung ist weit zu verstehen. Darunter fallen sowohl rechtliche als auch wirtschaftliche und ideelle Interessen. Der EuGH hat in seinem Urteil vom 17.06.2021, C-597/19, M.I.C.M, erkannt, dass die ordnungsgemäße Forderungsbetreibung ein berechtigtes Interesse sein kann. Da das Kirchenmitglied seit geraumer Zeit im Rückstand mit seinen Kirchenbeiträgen war, hatte die Diözese ein berechtigtes Interesse an der Mahnklage. Nachdem die zuvor versuchte Zustellung an die im ZMR angegebene Wohnadresse erfolglos blieb, musste die Diözese dem Gericht gemäß § 75 ZPO eine andere Adresse angeben, an welche die Mahnklage zugestellt werden konnte. Die gegenständliche Verarbeitung der Adresse war daher für das Mahnklageverfahren notwendig und das gelindeste Mittel.

Nicht maßgeblich ist, aus welcher Quelle die Diözese die Information über den früheren Hauptwohnsitz des Mitglieds erhoben hat. Denn die Eigentumsverhältnisse an der Liegenschaft sind Informationen, die die Diözese für die Zustellung der Mahnklage jedenfalls rechtmäßig aus dem – öffentlich zugänglichen – Grundbuch hätte erheben dürfen.

Betrifft eine Datenschutzbeschwerde einen grenzüberschreitenden Sachverhalt, der nicht in die Alleinzuständigkeit der DSB fällt, darf das Verfahren – bis zur Feststellung der federführenden Aufsichtsbehörde und bis zur Entscheidung der federführenden Aufsichtsbehörde bzw des Europäischen Datenschutzausschusses – dennoch nicht mit Bescheid ausgesetzt werden (BVwG 17.04.2024, W298 2281864-1).

Die Rechtsfrage, welche aussagekräftigen Informationen über die involvierte Logik einer automatisierten Entscheidungsfindung dem Betroffenen gemäß Art 15 Abs 1 lit h DSGVO zur Verfügung zu stellen sind, ist beim EuGH in der Rs C-203/22, Dun & Bradstreet Austria, anhängig. Bis zur Entscheidung des EuGH wird das Verfahren über das Auskunftsrecht auf Bonitätsscores ausgesetzt (BVwG 17.04.2024, W287 2253353-1).

Die Rechtsfrage der datenschutzrechtlichen Rollenverteilung beim Zugriff auf den Patientenindex sowie auf das zentrale Impfregister zum Versenden von COVID-Impferinnerungsschreiben ist beim Verwaltungsgerichtshof anhängig. Beim BVwG sind etwa 750 Bescheidbeschwerden zu dieser Rechtsfrage anhängig. Aus Gründen der Prozessökonomie ist zu vermeiden, dass die gleiche Rechtsfrage nebeneinander in mehreren Verfahren erörtert werden muss. Zur Vereinfachung des Verfahrens und zur Bewahrung der Parteien vor der Einbringung unnötiger Revisionen bei dem Verwaltungsgerichtshof wird das Verfahren ausgesetzt (BVwG 18.04.2024, W256 2273356-1).

Am 06.2024 wird eine mündliche Verhandlung in der Rs C-247/23, Deldits, stattfinden. Gegenstand des Verfahrens ist das Recht einer transsexuellen Person, ihr Geschlecht in einem öffentlichen Register berichtigen zu lassen.

Am 06.06.2024 werden die Schlussanträge in der Rs C-169/23, Másdi, veröffentlicht. Gegenstand des Verfahrens ist die Informationspflicht einer Behörde nach Art 14 Abs 5 lit c DSGVO.

Am 19.06.2024 wird eine mündliche Verhandlung in der Rs C-383/21, ILVA, stattfinden. Gegenstand des Verfahrens ist die Auslegung des Unternehmensbegriffs in Art 83 Abs 5 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in den verbundenen Rs C-182/22 und C-189/22, Scalable Capital, verkündet. Geklärt werden soll insb die Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

Am 20.06.2024 wird das Urteil des EuGH in der Rs C-590/22, PS, verkündet. Gegenstand des Verfahrens sind Anspruch auf und Bemessung des immateriellen Schadenersatzes nach Art 82 DSGVO.

EuGH 07.05.2024, C‑115/22, NADA

Eine Profisportlerin, die gegen Anti-Doping-Regeln verstoßen hat, wurde von der Österreichischen Anti-Doping-Rechtskommission (ÖADR) sanktioniert. Die Daten der Sportlerin wurden von der Unabhängigen Dopingkontrolleinrichtung (NADA) auf deren Website veröffentlicht. Die Sportlerin forderte eine Überprüfung des Beschlusses durch die Unabhängige Schiedskommission (USK), die die Konformität der Veröffentlichung mit der DSGVO hinterfragte und ein Vorabentscheidungsersuchen an den EuGH richtete. Der EuGH erklärte das Vorabentscheidungsersuchen der USK für unzulässig.

Der EuGH hat erwogen: Zur Anrufung des EuGH mit einem Vorabentscheidungsersuchen sind nur solche Stellen berechtigt, die als "Gericht" iSd Art 267 AEUV eingestuft werden können. Diese Einstufung setzt voraus, dass die Einrichtung (i) eine gesetzliche Grundlage hat, (ii) ständig eingerichtet ist, (iii) eine obligatorische Gerichtsbarkeit ausübt, (iv) über streitige Verfahren entscheidet, (v) Rechtsnormen anwendet und (vi) unabhängig ist.

Die USK ist durch ein (i) nationales Gesetz eingerichtet (§ 8 Anti-Doping-Bundesgesetz; ADBG), (ii) hat einen ständigen Charakter, (iii) übt eine obligatorische Gerichtsbarkeit aus, (iv) entscheidet über streitige Verfahren und (v) wendet Rechtsnormen an. Fraglich ist jedoch, ob die USK (vi) dem Unabhängigkeitskriterium genügt. Die Unabhängigkeit erfordert im Außenverhältnis, dass die Einrichtung ihre Funktion in völliger Autonomie ausübt, ohne Anweisungen zu erhalten und ohne dem Druck von Interventionen ausgesetzt zu sein.

Dies setzt die Unabsetzbarkeit der Mitglieder der Einrichtung voraus. Dh, dass die Richter im Amt bleiben dürfen, bis sie das obligatorische Ruhestandsalter erreicht haben oder ihre Amtszeit, sofern diese befristet ist, abgelaufen ist. Ausnahmen bedürfen legitimer und zwingender Gründe, wobei der Verhältnismäßigkeitsgrundsatz zu beachten ist. Der Grundsatz der Unabsetzbarkeit ist gewährleistet, wenn Mitglieder der Einrichtung nur nach ausdrücklichen gesetzlichen Vorschriften abberufen werden können, die über die allgemeinen Regeln des Verwaltungs- und Arbeitsrechts hinausgehende Garantien bieten.

Im Innenverhältnis erfordert die Unabhängigkeit die Unparteilichkeit der Einrichtung. Dh, dass die Zusammensetzung der Einrichtung, die Ernennung, die Amtsdauer und die Gründe für Enthaltung, Ablehnung und Abberufung ihrer Mitglieder es ermöglichen, bei den Rechtsunterworfenen jeden berechtigten Zweifel an der Unempfänglichkeit der genannten Stelle für Einflussnahmen von außen auszuschließen.

Die Mitglieder der USK sind in der Ausübung ihrer Funktion grundsätzlich unabhängig und unparteilich. Ihre Bestellung kann jedoch "aus wichtigen Gründen" widerrufen werden, ohne dass diese wichtigen Gründe näher definiert werden. Es gibt daher keine spezielle Vorschrift, die die Unabsetzbarkeit der Mitglieder der USK gewährleistet. Weiters ist für die Bestellung der Mitglieder des USK ein Bundesminister und somit ein Mitglied der Exekutive zuständig, ohne dass genaue Kriterien oder Garantien festgelegt wären. Die USK ist sohin nicht als "Gericht" iSd Art 267 AEUV einzustufen.

BVwG 02.04.2024, W176 2277128-1

Ein Richter des BVwG sah sich mit disziplinarrechtlichen Maßnahmen konfrontiert, nachdem sein Referent wegen Krankheit länger abwesend war. Während dieser Zeit stellte man Mängel in der Aktenführung und Verfahrensadministration des Referenten fest, was zu einer Überprüfung der offenen Arbeitsaufträge und einer Durchsuchung seines Büros führte. Daraufhin erstattete der Präsident des BVwG eine Disziplinaranzeige gegen den Referenten wegen Verstößen gegen Dienstpflichten und eine weitere Anzeige gegen den Richter selbst. Grundlage dieser Disziplinaranzeigen war ein Analysebericht, der insbesondere eine bildliche Darstellung des Arbeitsplatzes im Zeitpunkt des Beginns der durchgeführten Bestandsaufnahme, Angaben zur Anzahl der auf dem Arbeitsplatz vorgefundenen Unterlagen sowie eine nähere Berichterstattung enthielt.

Infolgedessen erhob der Richter eine Datenschutzbeschwerde gegen den Präsidenten des BVwG bei der DSB. Die DSB setzte das Verfahren zunächst aus, bis der EuGH in der Rs C-245/20, Autoriteit Persoonsgegevens, entschieden hat. Danach wies sie die Beschwerde des Richters ab. Gegen diesen Bescheid erhob der Richter Bescheidbeschwerde an das BVwG. Dieses wies die Bescheidbeschwerde hinsichtlich der Datenverarbeitungen iZm der erstatteten Disziplinaranzeige wegen Unzuständigkeit zurück und im Übrigen ab.

Das BVwG hat erwogen: Datenverarbeitungen, die sich auf den Richter oder seinen Referenten beziehen, sind rechtlich unterschiedlich zu bewerten. Die Ansicht der DSB und des Präsidenten des BVwG, dass keine justizielle Tätigkeit iSd Art 55 Abs 3 DSGVO vorliegt, ist bzgl der Datenverarbeitungen betreffend die Disziplinaranzeige gegen den Richter unzutreffend.

Der EuGH beschränkt die Verarbeitungen von Daten durch Gerichte "im Rahmen ihrer justiziellen Tätigkeit" nicht auf solche, welche die Gerichte während der Bearbeitung konkreter Rechtssachen durchführen. Der Begriff "justizielle Tätigkeit" schließt auch Aufgaben ein, die möglicherweise nicht direkt mit einer gerichtlichen Entscheidung verbunden sind, aber die richterliche Unabhängigkeit beeinflussen können. Selbst scheinbar administrative Aufgaben können, wenn sie Ermessen beinhalten, Einfluss auf die Unabhängigkeit der Gerichte haben. Die disziplinarrechtlichen Schritte, die man gegen den Richter einleitete, sind als justizielle Tätigkeit anzusehen, weil sie geeignet sind, Einfluss auf die Kerntätigkeit des richterlichen Organs zu nehmen. Darüber hinaus ist ein Disziplinarverfahren gegen einen Richter des BVwG ein gerichtliches Verfahren vor dem BFG als Disziplinargericht und keine (bloße) Verwaltungstätigkeit bzw rein administrative Aufgabe. Es überwiegen die Gründe, die für das Vorliegen einer "justiziellen Tätigkeit" in Art 55 Abs 3 DSGVO sprechen. Folglich ist gemäß Art 130 Abs 2a B-VG iVm § 24a BVwGG iVm §§ 84 f GOG für Beschwerden wegen Datenschutzverletzungen das BVwG (in erster Instanz) zuständig.

Hinsichtlich des Referenten fand die Datenverarbeitung in Ausübung der Dienstaufsicht über den Referenten statt. Der Präsident des BVwG handelte somit gegen kein richterliches Organ und übte keine justizielle Tätigkeit aus. Weiters war der Präsident berechtigt und verpflichtet, potenziellen Dienstpflichtverletzungen nachzugehen. Die entsprechenden Datenverarbeitungen waren erforderlich und angemessen für das Disziplinarverfahren. Darüber hinaus ist die Datenschutzbehörde bzw das BVwG in einem datenschutzrechtlichen Verfahren nicht dazu berufen, eine allgemeine Rechtskontrolle über die Verfahrensführung anderer Behörden oder Gerichte auszuüben (Übermaßverbot).

Ist ein Vater für sein Kind nicht mehr obsorgeberechtigt, fehlt ihm auch die Antragslegitimation für die Erhebung eines Antrags auf Wiederaufnahme des Verfahrens (BVwG 03.04.2024, W221 2280884-2).

Im verwaltungsgerichtlichen Verfahren ist die Zurückziehung einer (Datenschutz-)Beschwerde zulässig und bis zur Entscheidung des Verwaltungsgerichts möglich. Die Zurückziehung einer Datenschutzbeschwerde führt zum Verlust des Erledigungsanspruchs. Geht der Erledigungsanspruch verloren, ist das Verfahren mit Beschluss einzustellen (BVwG 19.04.2024, W258 2252485-1).

Die Liste der Jägerschaft der jeweiligen Bezirke ist eine offizielle Liste, die für jedermann einsehbar ist und nicht dem Amtsgeheimnis unterliegt. Die Jägerschaftsliste enthält die Namen der Jagdausübungsberechtigten (= Pächter) und der mit der Jagdaufsicht betrauten, vereidigten Behördenvertreter (BDB 04.07.2023, 2023-0.375.632).

Am 06.2024 wird eine mündliche Verhandlung in der Rs C-247/23, Deldits, stattfinden. Gegenstand des Verfahrens ist das Recht einer transsexuellen Person, ihr Geschlecht in einem öffentlichen Register berichtigen zu lassen.

Am 06.2024 werden die Schlussanträge in der Rs C-169/23, Másdi, veröffentlicht. Gegenstand des Verfahrens ist die Informationspflicht einer Behörde nach Art 14 Ab 5 lit c DSGVO.

EuGH 30.04.2024, C-470/21, La Quadrature du Net II

Der französischen Behörde für Urheberrechtsschutz im Internet (Hadopi) ist der Zugang zu Verbindungsdaten für im Internet begangene Urheberrechtsverstöße ohne vorherige Kontrolle durch einen Richter gestattet. Die Verstöße müssen keine "schweren Straftaten" sein. Der Verein La Quadrature du Net beantragte deshalb die Aufhebung der entsprechenden Rechtsvorschrift.

Das vorlegende Gericht fragte den EuGH, ob (i) zu IP-Adressen zugeordnete Identitätsdaten Verkehrs- oder Standortdaten sind und einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterliegen müssen, (ii) die ePrivacyRL nationalen Regelungen entgegensteht, die keine vorherige Kontrolle vorsieht und (iii) die Kontrolle automatisiert stattfinden darf.

Der EuGH hat erwogen: Der Hadopi werden erhobene IP-Adressen übermittelt, welche für die Verletzung von Urheberrechten oder verwandten Schutzrechten genutzt wurden. Auf Anfrage der Hadopi haben die Internetanbieter die IP-Adressen mit den Inhabern der Adressen abzugleichen und stellen der Hadopi eine Reihe personenbezogener Daten zur Verfügung. Dies dient dazu, dass die Hadopi gegen die Verletzungen Maßnahmen ergreifen und "Empfehlungen" (Warnungen) übersenden kann. IP-Adressen sind sowohl Verkehrsdaten iSd ePrivacyRL als auch personenbezogene Daten iSd DSGVO, unterscheiden sich jedoch von den anderen Kategorien der Verkehrsdaten, weil sie einen geringeren Sensibilitätsgrad aufweisen. Werden IP-Adressen nur zur Identifizierung einer Person verwendet, sind sie jedoch Identitätsdaten.

Eine allgemeine und unterschiedslose Vorratsspeicherung von IP-Adressen ist zulässig, wenn ausgeschlossen ist, dass diese Speicherung einen schweren Eingriff in das Privatleben der Betroffenen darstellt. Hierzu müssen die Mitgliedstaaten sichergehen, dass die Modalitäten der Vorratsspeicherung gewährleisten, dass jede Kombination der IP-Adresse mit anderen auf Vorrat gespeicherten Daten ausgeschlossen ist und keine Schlüsse auf das Privatleben der Personen gezogen werden können. Hierfür muss jede Kategorie von Daten völlig getrennt voneinander gespeichert werden und eine strikte Trennung zwischen den Kategorien stattfinden. Außerdem muss die Dauer der Speicherung auf das absolut notwendigste begrenzt werden und die Betroffenen müssen über wirksame Rechtsschutzgarantien verfügen. Der Zugang von Hadopi darf nur der Identifizierung von Personen dienen, die im Verdacht stehen eine Straftat begangen zu haben.

Eine vorherige Kontrolle des Zugangs durch ein Gericht oder eine unabhängige Verwaltungsstelle ist dann erforderlich, wenn die Behörde durch den Zugang genaue Schlüsse auf das Privatleben des Betroffenen ziehen und somit schwerwiegend in seine Grundrechte eingreifen könnte. Eine solche Kontrolle darf nicht vollständig automatisiert sein, weil die kontrollierende Stelle für einen Ausgleich zwischen den berechtigten Interessen im Rahmen der Kriminalitätsbekämpfung und dem Grundrecht auf Schutz personenbezogener Daten der Person, auf dessen Daten zugegriffen wird, zu sorgen hat. Zudem müssen die von den Behörden genutzten Datenverarbeitungssysteme regelmäßig von unabhängigen Stellen kontrolliert werden.

EuGH 30.04.2024, C-178/22, Procura della Repubblica presso il Tribunale di Bolzano

Ein italienisches Gesetz verpflichtet Gerichte, der Staatsanwaltschaft den Zugang zu Verkehrs- oder Standortdaten zur Verfolgung schwerer Straftaten zu genehmigen. Der italienische Gesetzgeber stufte Straftaten, die mit einer Freiheitsstrafe im Höchstmaß "von mindestens drei Jahren" bedroht sind, als schwere Straftaten ein.

Das vorlegende Gericht fragte den EuGH, ob dieses Gesetz mit Art 15 der ePrivacyRL vereinbar ist, weil durch das Abstellen auf die Schwelle von "drei Jahren Freiheitsstrafe" auch die Verfolgung von Straftaten erfasst ist, die nur eine begrenzt sozialschädliche Wirkung entfalten (zB Diebstähle von Mobiltelefonen oder Fahrrädern).

Der EuGH hat erwogen: Der Zugang zu Verkehrs- oder Standortdaten wie IMEI-Codes, Websiteaufrufe, Zeitpunkt und Dauer von Anrufen, gesendete und empfangene SMS/MMS ermöglicht genaue Rückschlüsse auf das Privatleben einer Person (zB Gewohnheiten des täglichen Lebens, Aufenthaltsorte oder soziale Beziehungen). Ein solcher Eingriff in die Privatsphäre kann nur durch die Ziele der Bekämpfung schwerer Straftaten oder der Verhütung ernsthafter Bedrohungen der öffentlichen Sicherheit gerechtfertigt werden.

Die Definition des Begriffs "schwere Straftaten" ist Sache der Mitgliedstaaten. Diese Definition muss aber den Anforderungen des Art 15 ePrivacyRL und der GRCh entsprechen. Eine Definition, wonach "schwere Straftaten" solche sind, für die die Freiheitsstrafe im Höchstmaß mindestens eine gesetzlich bestimmte Dauer beträgt, ist auf ein objektives Kriterium gestützt und steht damit im Einklang mit diesen Anforderungen. Das Fehlen der Bezugnahme auf eine anwendbare Mindeststrafe verstößt nicht zwangsläufig gegen den Grundsatz der Verhältnismäßigkeit. Die Gerichte müssen aber befugt sein, den Zugriff auf die Daten zu verweigern oder einzuschränken, wenn sie feststellen, dass es sich bei der betreffenden Tat offensichtlich um keine schwere Straftat handelt.

EuGH 30.04.2024, C-670/22, M.N. (EncroChat)

Französische Behörden installierten eine Trojaner-Software auf Kryptohandys von Personen im Bereich der Betäubungsmittelkriminalität, die den sogenannten "EncroChat"-Dienst nutzten, um Ende-zu-Ende verschlüsselte Telekommunikation zu betreiben, die mit herkömmlichen Ermittlungsmethoden nicht überwacht werden konnte. Betroffen waren ca 32.500 Nutzer in 122 Ländern, davon ca 4.600 in Deutschland. Die Generalstaatsanwaltschaft Frankfurt ersuchte daher die französischen Behörden mittels einer Europäischen Ermittlungsanordnung (EEA), die von ihnen erhobenen EncroChat-Daten zu erlangen, um diese in Strafverfahren verwenden zu können. Der EuGH präzisierte bestimmte, sich aus der Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen ergebende Voraussetzungen für die Übermittlung und Verwendung von Beweismitteln.

Der EuGH hat erwogen: Eine EEA, die auf die Übermittlung von Beweismitteln gerichtet ist, die sich bereits im Besitz der zuständigen Behörden des Staats befinden, in dem die EEA vollstreckt werden soll (Vollstreckungsstaat), muss nicht notwendigerweise von einem Richter erlassen werden. Sie kann von einem Staatsanwalt erlassen werden, wenn dieser in einem rein innerstaatlichen Verfahren dafür zuständig ist, die Übermittlung bereits erhobener Beweise anzuordnen.

Der Erlass einer solchen Anordnung unterliegt denselben materiell-rechtlichen Voraussetzungen, wie sie für die Übermittlung ähnlicher Beweismittel bei einem rein innerstaatlichen Sachverhalt gelten. Nicht erforderlich ist, dass er denselben materiell-rechtlichen Voraussetzungen unterliegt, wie sie für die Erhebung der Beweise gelten.

Die Infiltration von Endgeräten, die auf die Abschöpfung von Kommunikations-, Ver-kehrs- oder Standortdaten eines internetbasierten Kommunikationsdienstes abzielt, ist eine Überwachung des Telekommunikationsverkehrs. Der Mitgliedstaat, in dessen Hoheitsgebiet sich die Zielperson der Überwachung befindet, muss von dieser Überwachungsmethode unterrichtet werden. Sollte der überwachende Mitgliedstaat nicht in der Lage sein, die zuständige Behörde des zu unterrichtenden Mitgliedstaats zu ermitteln, kann die Unterrichtung an jede Behörde gerichtet werden, die der überwachende Mitgliedstaat für geeignet hält.

Die zuständige Behörde des Mitgliedstaats, in dem sich die Zielperson befindet, kann die Überwachung des Telekommunikationsverkehrs untersagen oder beenden, wenn die Überwachung in einem vergleichbaren innerstaatlichen Fall nicht genehmigt würde. Auch kann sie der Behörde des überwachenden Mitgliedstaats mitteilen, dass das bereits gesammelte Material nicht oder nur unter den von ihr festzulegenden Bedingungen verwendet werden darf. Dies dient einerseits der Achtung der Souveränität des unterrichteten Mitgliedstaats, andererseits dem Schutz des Betroffenen.

Es muss ein nationaler Rechtsbehelf für Betroffene bestehen. Das nationale Strafgericht muss Beweismittel gegen die Zielperson unberücksichtigt lassen, wenn diese nicht in der Lage ist, sachgerecht zu ihnen Stellung zu nehmen und wenn sie geeignet sind, die Würdigung der Tatsachen maßgeblich zu beeinflussen.

VwGH 06.03.2024, Ro 2021/04/0027

Ein Betroffener beschwerte sich wegen unvollständiger Auskunftserteilung an die DSB, die seine Datenschutzbeschwerde abwies. Nachdem seine Bescheidbeschwerde vom BVwG abgewiesen wurde, richtete der Betroffene eine Revision an den VwGH. Der Revision wurde der Erfolg ebenso versagt.

Der VwGH hat erwogen: Das DSG sieht als Rechtsbehelf im Fall einer datenschutzrechtlichen Rechtsverletzung explizit einen Feststellungantrag im Rahmen der Beschwerde vor. Dieser ist gemäß § 24 Abs 5 DSG Folge zu geben, sofern sie sich als berechtigt erweist.

Kommt der Beschwerdegegner dem Leistungsbegehren (Auskunft, Richtigstellung, Löschung) nach, kommt die Feststellung einer Rechtsverletzung nicht mehr in Frage. Dem steht die DSGVO nicht entgegen, weil diese keine Feststellung einer Rechtsverletzung verlangt.

Es ist nicht ersichtlich, inwiefern es erforderlich wäre, dem Betroffenen eine Feststellung über eine bereits beseitigte Rechtsverletzung zuzugestehen. Wenn das Rechtsschutzbegehren darauf abzielt, eine bestimmte Leistung zu erhalten, die zum Entscheidungszeitpunkt erfüllt wurde, hat der Betroffene sein Rechtsschutzziel erreicht. Dies steht einem allfälligen Schadenersatzanspruch wegen der verspäteten Auskunftserteilung nicht entgegen, weil die Frage der Verspätung im Verfahren über das Ersuchen um Auskunftserteilung selbst nicht geklärt wird. Die Feststellung der Aufsichtsbehörde betreffend die verspätete Auskunftserteilung ist auch nicht Voraussetzung für eine Schadenersatzklage vor den Zivilgerichten. Ein Betroffener ist daher an der Verfolgung seiner Ansprüche nicht gehindert.

Eine "entscheidende Erleichterung" bei der Geltendmachung weiterer Ansprüche begründet kein rechtliches Interesse an einem Feststellungsbescheid.

Gemäß § 358 ASVG wird die unbedingte Anknüpfung an das "wahre" Geburtsdatum aufgegeben. Das biologische Geburtsdatum und das sozialversicherungsrechtliche Geburtsdatum sind unterschiedliche Datenkategorien. Die Regelung des § 358 ASVG ist eine zulässige Beschränkung gemäß Art 23 DSGVO, weshalb kein Recht auf Berichtigung besteht (VwGH 08.04.2024, Ra 2022/04/0056).

Bei einer im Einzelfall vorgenommenen Interessenabwägung ist die Revision an den VwGH nur dann zulässig, wenn das Ergebnis der Abwägung im angefochtenen Erkenntnis des BVwG in unvertretbarer Weise erzielt worden ist (VwGH 02.04.2024, Ro 2021/04/0018).

Einer Revision ist die aufschiebende Wirkung zuzuerkennen, wenn der Zuerkennung keine zwingenden öffentlichen Interessen entgegenstehen (VwGH 04.03.2024, Ra 2024/04/0010).

BVwG 09.11.2022, W292 2256548-1

Bei einer Häftlingsüberstellung verletzte ein Häftling eine Justizwachebeamtin. Die Justizanstalt erstattete Strafanzeige gegen den Häftling und legte der Anzeige Unterlagen der Justizwachebeamtin bei, die den Namen, die Kontaktdaten, die private Mobiltelefonnummer und Gesundheitsdaten enthielten. Die Staatsanwaltschaft (StA) prüfte nicht ob in den übermittelten Unterlagen personenbezogene Daten enthalten waren. Durch Akteneinsicht im Ermittlungsverfahren erlangte der Häftling Kenntnis über die Daten der Justizwachebeamtin. Infolgedessen drohte der Häftling der Justizwachebeamtin, sie an ihrem Wohnort aufzusuchen. Nach Einbringen des Strafantrags regte die StA bei dem zuständigen Richter die Schwärzung der Gesundheitsdaten im Akt an. Dieser Anregung folgte das Gericht nicht. Durch die Offenlegung der Daten durch die StA sah die Justizwachebeamtin sich in Ihrem Recht auf Geheimhaltung verletzt und erhob (erfolglose) Datenschutzbeschwerde bei der DSB. Gegen den Bescheid erhob sie Bescheidbeschwerde an das BVwG. Dieses hob die Entscheidung der DSB auf und stellte eine Verletzung des Rechts auf Geheimhaltung fest.

Das BVwG hat erwogen: Die StA ist datenschutzrechtlich für die Durchführung des Ermittlungsverfahrens verantwortlich. Sie hat zu jedem Zeitpunkt des Verfahrens die Grundsätze der Rechtmäßigkeit, Erforderlichkeit und Verhältnismäßigkeit einzuhalten. Die Aufnahme der privaten Mobiltelefonnummer der Justizwachebeamtin in den Ermittlungsakt und die Übermittlung an den Haft- und Rechtsschutzrichter erfolgte unrechtmäßig. Die Verarbeitung der privaten Mobiltelefonnummer war zur Erfüllung der gesetzlichen Aufgaben der StA iSd § 74 StPO und der §§ 37 und 38 DSG nicht erforderlich.

Die Verarbeitung der weiteren Angaben der Justizwachebeamtin hat unter Wahrung des Geheimhaltungsinteresses und den Vorgaben des § 74 Abs 2 StPO zu erfolgen. Die StA hat Schritte zu unternehmen, um zu überprüfen, ob Unterlagen personenbezogene Daten enthalten, die für die Erfüllung ihrer Aufgaben nicht erforderlich sind. Auch hat die StA Maßnahmen zu ergreifen, um personenbezogene Daten vor unbeabsichtigter Weitergabe im Laufe eines Strafverfahrens zu schützen.

Das BVwG hat in einer bankenrechtlichen Angelegenheit dem EuGH zur Vorabentscheidung die Frage vorgelegt, ob die Regelung des § 35 FM-GwG, wonach juristische Personen nur unter bestimmten Voraussetzungen bestraft werden dürfen, mit Art 60 Abs 5 der 4. GeldwäscheRL vereinbar ist. Der Vorlagebeschluss ist ua darauf gestützt, dass die im Wesentlichen inhaltsgleiche Regelung des § 30 DSG infolge des EuGH Urteils in der Rs Deutsche Wohnen (C-870/21) nunmehr als unionrechtswidrig gilt (BVwG 25.04.2024, W148 2289668-1).

DSB 26.01.2024, 2024-0.044.042

Eine Gemeinde beabsichtigte, ihr gesamtes Straßennetz mittels Panoramaaufnahmen zu dokumentieren, um eine umfassende Datenbasis für städtische Infrastrukturprojekte zu schaffen. Für die Durchführung des Projekts verhandelte sie mit dem Anbieter DataViewing. Vor Beginn des Projekts führte die Gemeinde eine Datenschutz-Folgenabschätzung (DSFA) durch. Diese ergab ein hohes Risiko für Betroffene, insbesondere wegen der Identifizierbarkeit von Personen und KFZ-Kennzeichen. Die angebotene Lizenzierung beinhaltete lediglich eine 95%ige Verpixelung. Eine vollständige Verpixelung hätte mehr gekostet. Die Gemeinde beantragte daher eine vorherige Konsultation bei der DSB (Art 36 DSGVO). Die DSB wies den Antrag zurück, weil die Voraussetzungen für die vorherige Konsultation gemäß Art 36 DSGVO mangels in der DSFA (dargelegtem) hohen Risikos nicht vorlagen.

Die DSB hat erwogen: Sind die entsprechenden Voraussetzungen erfüllt, ist die vorherige Konsultation keine Möglichkeit, sondern eine Verpflichtung des Verantwortlichen. Die Art 32, 35 und 36 DSGVO normieren ein dreistufiges System, wonach die Hürden für risikoreiche Verarbeitungen abhängig von der Höhe des Risikos und der Schwierigkeit, dieses Risiko einzudämmen, steigen.

Zum Zeitpunkt der Erstellung von Panoramabildern sind Personen und Kennzeichen identifizierbar, es werden somit personenbezogene Daten verarbeitet. Weite Teile des öffentlichen Straßennetzes im Gemeindegebiet zu erfassen, ist aufgrund des Verarbeitungsumfangs mit potenziell vielen Betroffenen mit einem hohen Risiko verbunden. Die Zweck-Mittel-Entscheidung über diese Datenerfassung trifft jedoch die DataViewing.

Die Gemeinde ist somit nicht die verantwortliche Stelle für diese Datenverarbeitung. Weiters haben Aufnahmen bereits stattgefunden. Schon alleine deshalb ist der Verarbeitungsvorgang einer vorherigen Konsultation nicht zugänglich.

DataViewing prüft nach Erfassen des Straßennetzes die einzelnen Aufnahmen und gibt sie erst in bearbeiteter Form an die Gemeinde weiter. Die Verpixelung verringert die Identifizierbarkeit und hat einen datenminimierenden Effekt. Für die Gemeinde als potenzielle Lizenznehmerin ist der Personenbezug nicht notwendig, daher erscheint dies auch als geeignete technische und organisatorische Maßnahme gemäß Art 25 und 32 DSGVO. Aufgrund der fehlenden Ganzkörperverpixelung wird jedoch die Identifizierbarkeit nicht gänzlich beseitigt. Zudem ist aufgrund möglicher technischer Gebrechen mit unzureichenden Verpixelungen zu rechnen.

Indem die Gemeinde, das von DataViewing prozessierte Bildmaterial über einen Webviewer zur Schaffung einer Geodateninfrastruktur abfragt, wird sie selbst zum Verantwortlichen iSd Art 4 Z 7 DSGVO. Das Restrisiko für diesen Verarbeitungsvorgang wurde von der Gemeinde jedoch als "niedrig" eingestuft. Ist das Risiko niedrig, liegen die Voraussetzungen für eine vorherige Konsultation laut der DSFA nicht vor. Eine über die DSFA hinausgehende Prüfung liegt nicht im Aufgabenbereich der DSB.

Das Konsultationsverfahren dient nicht der Beantwortung allgemeiner Fragestellungen hinsichtlich der Zulässigkeit von Verarbeitungstätigkeiten und noch weniger zur Beurteilung der Angemessenheit allfälliger Zusatzangebote (bzw der damit verbundenen Kosten). Im Übrigen kann auch ein (zulässiges) Konsultationsverfahren in keinem Fall "abschließende Rechtssicherheit" durch die DSB gewähren.

BDB 18.04.2024, 2023-0.907.787

Ein Polizeibeamter hat während der Ausübung seines Dienstes mehrere Abfragen zu Personen und Kennzeichen durchgeführt, ohne diese entsprechend zu dokumentieren. Unter anderem Adressenabfragen von ehemaligen Kollegen, um diesen Einladungen zu einer Abschiedsfeier zu schicken und eine Kennzeichenabfrage vom Auto seines Sohnes, welcher sich nicht an sein neues Kennzeichen erinnern konnte.

Die BDB hat erwogen: Der Polizeibeamte hat insgesamt 26 Abfragen durchgeführt, wobei die von ihm angeführten Gründe teilweise nicht schlüssig und teilweise unzureichend waren. Er arbeitet seit acht Jahren in diesem Bereich und hat jährlich eine Datenschutzerklärung unterfertigt, in der auf die datenschutzrechtlichen Vorschriften hingewiesen wurde. Demnach dürfen Daten nur für festgelegte, eindeutige und legitime Zwecke und zur Erfüllung einer Aufgabe verarbeitet werden. Bei den Abfragen betreffend seine Kollegen und seines Sohnes handelte es sich eindeutig um keine dienstlichen, sondern um private und somit ungerechtfertigte Abfragen. Aus diesem Grund hat der Polizeibeamte gegen näher bezeichnete Dienstanweisungen verstoßen, weshalb eine Geldbuße gegen ihn verhängt wurde.

Am 05.2024 hat der EuGH in der Rs C-115/22, NADA, entschieden. Das Vorabentscheidungsersuchen wurde als unzulässig zurückgewiesen. Wir werden nächste Woche berichten.

Am 06.2024 wird eine mündliche Verhandlung in der Rs C-247/23, Deldits, stattfinden. Gegenstand des Verfahrens ist das Recht einer transsexuellen Person, ihr Geschlecht in einem öffentlichen Register berichtigen zu lassen.

Am 06.2024 werden die Schlussanträge in der Rs C-169/23, Másdi, veröffentlicht. Gegenstand des Verfahrens ist die Informationspflicht einer Behörde nach Art 14 Ab 5 lit c DSGVO.

EuGH Schlussanträge 25.04.2024, C-446/21, Schrems (Communication de données au grand public)

Ein Facebook-Nutzer klagte Meta, weil seine personenbezogenen Daten, insbesondere zu seiner sexuellen Orientierung, für personalisierte Werbung verwendet wurden. Zwar hat er seine Homosexualität öffentlich erwähnt, aber nicht auf seinem Facebook-Profil angegeben. Außerdem hat der Nutzer es Meta nicht gestattet, bestimmte Profil-Informationen (zB Beziehungsstatus, Arbeitgeber, Beruf, Ausbildung) für personalisierte Werbung zu verwenden. Dennoch erhielt er regelmäßig Werbung, die sich an Homosexuelle richtete.

Das vorlegende Gericht zog zwei seiner ursprünglichen Fragen zurück, weil diese bereits Gegenstand eines anderen EuGH-Verfahrens waren. Zu klären blieb, ob personenbezogene Daten uneingeschränkt für personalisierte Werbung genutzt werden dürfen und ob die öffentliche Bekanntmachung sensibler Daten durch den Betroffenen die Verwendung dieser Daten für personalisierte Werbung erlaubt.

Der Generalanwalt hat erwogen: Der Grundsatz der Datenminimierung (Art 5 Abs 1 lit c DSGVO) steht der schrankenlosen Verarbeitung personenbezogener Daten nach Speicherdauer oder Art der Daten für die Zwecke personalisierter Werbung entgegen. Das vorlegende Gericht hat im Rahmen einer Einzelfallbeurteilung und unter Anwendung des Grundsatzes der Verhältnismäßigkeit zu prüfen, ob die Speicherdauer und die Art der verarbeiteten Daten für die personalisierte Werbung angemessen sind. Dem Gericht steht es dabei frei, zwischen "statischen" Daten (zB Alter, Geschlecht) und "verhaltensorientierten" Daten (zB Surfverhalten) sowie zwischen der Erhebung von Daten, die ein "aktives" Verhalten (zB Anklicken eines Like-Button) oder ein "passives" Verhalten (zB bloßer Besuch einer Website) betreffen, zu unterscheiden. Das vorlegende Gericht darf auch unterscheiden, ob die Daten innerhalb oder außerhalb der Facebook-Plattform erhoben werden. Dabei sind die jeweils zweitgenannten Unterscheidungen für den Betroffenen jeweils eingriffsintensiver. Zu berücksichtigen sind die vernünftigen Erwartungen des Betroffenen.

Gemäß Art 9 Abs 2 lit e DSGVO dürfen sensible Daten verarbeitet werden, wenn sie der Betroffene öffentlich bekannt gemacht hat. Dies erfordert die objektive Bedingung, dass die personenbezogenen Daten offensichtlich öffentlich gemacht wurden und die subjektive Bedingung, dass dies durch den Betroffenen geschah. Der Nutzer hat seine sexuelle Orientierung beiläufig im Rahmen einer Podiumsdiskussion offengelegt. Dies ist eine Handlung, mit der in voller Kenntnis der Sachlage sensible Daten offensichtlich öffentlich gemacht wurden. Aufgrund des offenen Charakters der live und dann als Streaming übertragenen Veranstaltung sowie des Interesses der Öffentlichkeit an dem dort behandelten Thema wurde ein unbestimmtes Publikum erreicht, das weit über das im Saal anwesende Publikum hinausgeht. Indem der Nutzer seine sexuelle Orientierung im Rahmen einer offenen und der Presse zugänglichen Veranstaltung offen erwähnte, hatte er zumindest das volle Bewusstsein, dieses Datum öffentlich zu machen. Die Anwendung des Art 9 Abs 2 lit e DSGVO hat aber lediglich zur Folge, dass der besondere Schutz durch den Betroffenen bewusst aufgehoben wird und die ursprünglich "geschützten" personenbezogenen Daten zu "gewöhnlichen" (dh nicht sensiblen) Daten werden. Die öffentliche Bekanntmachung allein bedeutet jedoch nicht, dass die Daten für die Zwecke der personalisierten Werbung verarbeitet werden dürfen.

EuGH Schlussanträge 25.04.2024, C-21/23, Lindenapotheke

Das vorlegende Gericht fragte den EuGH, ob (i) eine Apotheke, die Arzneimittel online verkauft, aufgrund eines Verstoßes gegen die DSGVO von einem Mitbewerber auf Unterlassung geklagt werden kann, und (ii) Daten, die bei der Online-Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln übermittelt werden, Gesundheitsdaten im Sinne der DSGVO sind.

Der Generalanwalt hat erwogen: Die DSGVO räumt nur natürlichen Personen Rechte ein. Unternehmen können sich aber inzident auf die Bestimmungen der DSGVO berufen, wenn sie eine Klage auf der Grundlage des nationalen Rechts erheben, wie etwa eine Unterlassungsklage wegen unlauteren Wettbewerbs. Eine solche Klage ist dann zulässig, wenn sie das in der DSGVO vorgesehene System von Rechtsbehelfen, die Ziele und die praktische Wirksamkeit der DSGVO nicht beeinträchtigt. Die Bestimmungen von Kapitel VIII der DSGVO stehen einer Klage eines Unternehmens aufgrund unlauteren Wettbewerbs, weil Mitbewerber gegen die materiellen Bestimmungen der DSGVO verstoßen haben, nicht entgegen.

Der Begriff der Gesundheitsdaten ist weit auszulegen und umfasst alle Daten, aus denen Informationen über den Gesundheitszustand eines Betroffenen hervorgehen. Diese Informationen müssen aber ein Mindestmaß an Gewissheit über den Gesundheitszustand bieten und nicht bloß hypothetisch oder ungenau sein. Der Kontext, in dem die Daten erhoben und verarbeitet werden, sowie die Identität des für die Verarbeitung Verantwortlichen ist zu berücksichtigen. Die Daten der Kunden einer Apotheke, die bei der Bestellung von apothekenpflichtigen, aber nicht verschreibungspflichtigen Arzneimitteln auf einer Online-Verkaufsplattform übermittelt werden, sind keine Gesundheitsdaten, weil die bestellten Arzneimittel nicht auf die Behandlung eines bestimmten Krankheitszustands abstellen, sondern auch allgemein für Alltagsbeschwerden oder rein vorsorglich verwendet werden können. Es ist auch nicht sicher, dass die bestellende Person jene Person ist, die das Arzneimittel anwendet. Auch kann eine Person etwas bestellen, ohne genaue Angaben zu ihrer Identität zu machen.

Der Umstand, dass zur Identifizierung des Betroffenen zusätzliche Informationen erforderlich sind, vermag nicht auszuschließen, dass die fraglichen Daten als personenbezogene Daten qualifiziert werden können. Die Möglichkeit, die fraglichen Daten mit zusätzlichen Informationen zu kombinieren, muss jedoch ein Mittel sein, das nach allgemeinem Ermessen wahrscheinlich genutzt wird, um den Betroffenen zu identifizieren (EuGH 07.03.2024, C-479/22P, OC/Kommission). Anm: Dieses Urteil ist bereits am 07.03.2024 veröffentlicht worden.

Der Zugang der Öffentlichkeit zu amtlichen Dokumenten gemäß VO (EG) 1049/2001 darf beschränkt werden, wenn der Aufwand zum Schwärzen personenbezogener Daten einen unverhältnismäßigen Verwaltungsaufwand verursachen und dadurch gegen den Grundsatz der ordnungsgemäßen Verwaltung verstoßen würde. (EuG 24.04.2024, T-205/22, Naass und Sea-Watch/Frontex).

VwGH 06.03.2024, Ro 2021/04/0030

Ein Betroffener stellte ein Auskunftsersuchen an eine Kreditauskunftei. Die erteilte Auskunft erachtete er für unvollständig. Der Betroffene erhob Datenschutzbeschwerde wegen Verletzungen in seinen Rechten auf Geheimhaltung und Auskunft sowie wegen Verletzungen der Informationspflicht nach Art 14 DSGVO, der Datenminimierungspflicht nach Art 5 DSGVO sowie der Datensicherungspflichten nach Art 25 DSGVO. Die DSB wies die Datenschutzbeschwerde teilweise ab und teilweise zurück. Das BVwG gab der Bescheidbeschwerde des Betroffenen teilweise statt. Die DSB und die Kreditauskunftei erhoben Revisionen gegen das Erkenntnis des BVwG, denen der VwGH teilweise stattgab.

Der VwGH hat erwogen: Die Feststellung einer Verletzung im Recht auf Auskunft ist im DSG ausdrücklich vorgesehen. Deshalb ist die Rechtsprechung zur Subsidiarität von Feststellungsbescheiden auf Datenschutzbeschwerden wegen Verletzung im Recht auf Auskunft nicht anzuwenden.

Die Kreditauskunftei hat den Betroffenen in seinem Recht auf Auskunft durch die fehlende Bekanntgabe der genauen Speicherdauer jedoch nicht verletzt, weil die Kreditauskunftei über die Kriterien für die Festlegung der Speicherdauer hinreichend präzise informiert hat. Darauf, ob die beauskunftete Speicherdauer mit dem Grundsatz der Speicherbegrenzung vereinbar ist, kommt es bei der Beurteilung der Auskunft nicht an.

Gemäß Art 77 DSGVO haben Betroffene das Recht auf Datenschutzbeschwerde, wenn sie der Ansicht sind, dass die Verarbeitung der sie betreffenden Daten gegen die DSGVO verstößt. Der Wortlaut des Art 77 DSGVO stellt somit nicht auf eine Verletzung in Rechten, sondern auf einen Verstoß der Datenverarbeitung gegen die DSGVO ab. Eine Datenschutzbeschwerde kann daher auf einen der Grundsätze des Art 5 Abs 1 DSGVO (zB Datenminimierung) gestützt werden.

Eine Verletzung im Recht auf Geheimhaltung ist nicht in jedem Fall automatisch auch ein Verstoß gegen die DSGVO. Umgekehrt ist nicht ausgeschlossen, dass in einer Datenschutzbeschwerde nach Art 77 DSGVO ein Verstoß gegen die DSGVO geltend gemacht wird, die keine Verletzung im Recht auf Geheimhaltung ist.

Die Informationspflicht nach Art 14 DSGVO unterscheidet sich von den Regelungen der Rechte auf Auskunft, Berichtigung und Löschung dadurch, dass sie von keinem Antrag des Betroffenen abhängt. Demnach gibt es keinen Leistungsantrag, dem der Verantwortliche entsprechen könnte. Die Rechtsverletzung liegt in der Unterlassung der (antraglos zu erfolgenden) Mitteilung. Die nachträgliche Beseitigung der Pflichtverletzung gemäß § 24 Abs 6 DSG ist nicht möglich.

Die Informationspflicht nach Art 14 DSGVO erfordert ein proaktives Handeln des Verantwortlichen. Die Bereitstellung einer Datenschutzerklärung auf der Homepage ist nicht ausreichend, wenn der Betroffene keine Kenntnis von der Datenverarbeitung hat. Die Kreditauskunftei hat ihre Informationspflicht nach Art 14 Abs 1 lit e DSGVO verletzt, weil sie den Betroffenen nicht aktiv informierte. Anm: Nach der bisherigen Rechtsprechung der DSB konnte eine Datenschutzbeschwerde nur auf die Verletzung subjektiver Rechte gestützt werden, wobei die Verletzung des Rechts auf Geheimhaltung aus Verletzungen unterschiedlichster Bestimmungen der DSGVO hergeleitet werden konnte. Nunmehr kann eine Datenschutzbeschwerde auf die Verletzung jeder Bestimmung der DSGVO gestützt werden.

Nach der bisherigen Rechtsprechung der DSB und des BVwG konnten Verströße gegen das Recht auf Information (Art 13 und 14 DSGVO) bis zum Ende des Verfahrens vor der DSB bzw des BVwG saniert werden. Das ist nun nicht mehr möglich, weshalb mit einer zunehmenden Zahl von Bescheiden wegen Verletzung der Informationspflicht zu rechnen ist.

VwGH 02.04.2024, Ro 2021/04/0008

Ein Betroffener richtete ein Auskunftsersuchen an eine Kreditauskunftei, die ihren Geschäftskunden Scorewerte in der Form von Ampelfarben zur Verfügung gestellt haben soll. Die Kreditauskunftei erteilte nach Ansicht des Betroffenen keine vollständige Auskunft. Die DSB und auch das BVwG stellten jeweils fest, dass die Kreditauskunftei den Betroffenen in seinem Auskunftsrecht teilweise verletzt hat. Das BVwG entschied jedoch, dass der Betroffene kein Recht auf Auskunft gemäß Art 15 Abs 1 lit h DSGVO habe, weil die Auskunftei keine automatisierte Entscheidung iSd Art 22 DSGVO treffe.

In der Zwischenzeit sprach der EuGH mit Urteil vom 07.12.2023, C-634/21, SCHUFA Holding (Scoring) aus, dass Profiling eine "automatisierte Entscheidung im Einzelfall" iSd Art 22 Abs 1 DSGVO ist, wenn das Ergebnis des Profiling für eine bestimmte – weitere – Entscheidung insofern maßgeblich ist, als das Handeln des Dritten von dem betreffenden Profiling bzw Scorewert maßgeblich geleitet wird, und so den Betroffenen erheblich beeinträchtigt. Der VwGH behob daher das Erkenntnis des BVwG im angefochtenen Spruchpunkt.

Der VwGH hat erwogen: Der Ansicht des BVwG zur Frage der Anwendbarkeit des Art 15 Abs 1 lit h DSGVO kann vor dem Hintergrund der Rechtsprechung des EuGH nicht gefolgt werden, weil der Umstand, dass der Verantwortliche das Ergebnis des Profiling (bloß) an eine dritte Person weitergibt, die darauf eine Entscheidung gründet, nichts daran ändert, dass das Profiling selbst eine automatisierte Entscheidung im Sinne des Art 22 Abs 1 DSGVO ist, sofern der sich aus dem Profiling ergebende Informationswert maßgeblich die von der dritten Person vorgenommene Entscheidung beeinflusst und derart dem Betroffenen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Das BVwG traf keine Feststellungen zum von der Kreditauskunftei als Bonitätsbeurteilung erstellten "Ampelwert", der wiederum von Kunden der Kreditauskunftei als Grundlage für den Abschluss von Verträgen herangezogen worden sein könnte. Aufgrund dieses sekundären Feststellungsmangels ist das Erkenntnis im angefochtenen Spruchpunkt zu beheben. Anm: Sowohl der Betroffene als auch die DSB haben gegen denselben Spruchpunkt des BVwG-Erkenntnisses Revisionen an den VwGH erhoben. Beide erstatteten Revisionsbeantwortungen auf die Revision des/der jeweils andere/n, obwohl die Revisionen dasselbe Ziel verfolgten. Der VwGH wies beide Revisionsbeantwortungen als unzulässig zurück, weil der Betroffene wie auch die DSB in Wirklichkeit ihre eigenen Revisionen weiter ausführten.

Über Datenschutzbeschwerden, die auf eine Verletzung im Recht auf Auskunft gerichtet sind, ist – auch wenn das Auskunftsersuchen vor Inkrafttreten der DSGVO gestellt wurde – die neue Rechtslage, dh Art 15 DSGVO, anzuwenden (VwGH 06.03.2024, Ro 2021/04/0037).

BVwG 27.03.2023, W214 2259197-1

Ein Fußgänger passierte ein geparktes und verriegeltes Fahrzeug. Über Nachschau durch das Fahrerfenster stellte der Fußgänger fest, dass der Halter des Fahrzeugs einen "Überwachungsmodus" aktiviert hatte, in dem die am Fahrzeug befestigten Kameras Bewegungen im Nahebereich des Fahrzeuges erkennen und aufzeichnen können. Die DSB wies die wegen Verletzung im Recht auf Geheimhaltung eingebrachte Datenschutzbeschwerde ab. Auch den Antrag des Fußgängers, eine Verletzung in seinen Informationsrechten durch den Fahrzeughalter festzustellen, wies die DSB ab.

Das BVwG hat erwogen: Der "Überwachungsmodus" ist eine Funktion zur Überwachung des Fahrzeugs gegen etwaige Einbrüche oder Diebstähle. Wenn diese Funktion aktiviert ist, bleiben die am Fahrzeug angebrachten Kameras und Sensoren eingeschaltet und bereit zur Aufzeichnung verdächtiger Aktivitäten rund um das Fahrzeug. Der Modus benötigt ein korrekt formatiertes USB-Laufwerk, das in den USB-Anschluss des Fahrzeugs eingesteckt ist, um Aufnahmen auf dem USB-Stick zu speichern und abzuspielen. Zum Zeitpunkt des Passierens des Fußgängers war zwar kein USB-Stick angeschlossen. Die fehlende Speicherung der Videosequenz ändert allerdings nichts daran, dass der Fußgänger von den Kameras erfasst und somit eine Datenverarbeitung durchgeführt wurde. Insofern trifft aufgrund der erfolgten Bildverarbeitung den Fahrzeughalter auch die Pflicht zur Information bei Erhebung personenbezogener Daten nach der DSGVO.

Das Gesetz sieht als Rechtsbehelf im Fall einer datenschutzrechtlichen Rechtsverletzung explizit einen Feststellungsantrag im Rahmen der Datenschutzbeschwerde vor, der gemäß § 24 Abs 5 DSG Folge zu geben ist, sofern sie sich als berechtigt erweist. Da die Informationspflichten im Zeitpunkt der Datenerhebung zu erfüllen sind, kommt es darauf an, ob es einem Verantwortlichen zu diesem Zeitpunkt grundsätzlich möglich ist, den Betroffenen zu kontaktieren und ihm die gebotenen Informationen zur Verfügung zu stellen. Dies ist prinzipiell der Fall, wenn der Betroffene selbst als unmittelbare Datenquelle dient, indem der Verantwortliche entweder seine Erscheinung oder sein Verhalten synchron wahrnimmt oder mit ihr in einen – auch asynchronen – persönlichen Kontakt tritt. Demgegenüber ist es irrelevant, ob der Betroffene aktiv an der Datenerhebung mitwirkt, sich ihr entziehen kann oder auch nur von ihr weiß. Da der Fahrzeughalter die entsprechenden Informationen im Zeitpunkt der Datenverarbeitung – während des Parkvorgangs – nicht zur Verfügung gestellt hatte, verletzte er die Informationspflicht.

BVwG 01.03.2024, W176 2249967-1

Ein Journalist begehrte beim AMS eine Auskunft nach dem AuskunftspflichtG, über die Unternehmen, die im Zuge der COVID-19-Pandemie Kurzarbeitsbeihilfen von mehr als 100.000 Euro erhalten haben, sowie Daten zu der Höhe der Beihilfen. Das AMS lehnte die Auskunftserteilung mit der Begründung ab, es handle sich bei den Daten der Unternehmen um Informationen, die dem Amtsgeheimnis und dem Datenschutz unterliegen. Gegen den Bescheid erhob der Journalist Bescheidbeschwerde an das BVwG. Das BVwG gab der Bescheidbeschwerde teilweise statt und verpflichtete das AMS, die Auskunft zu erteilen.

Das BVwG hat erwogen: Ob eine Auskunft nach dem AuskunftspflichtG erteilt werden muss, ist nach einer Interessenabwägung zu bestimmen. Bei der Abwägung ist das Recht auf Zugang zu Informationen (Art 10 EMRK) jenen Rechten gegenüberzustellen, die eine zulässige Verweigerung einer Auskunft erlauben. Die DSGVO kennt den Schutz personenbezogener Daten juristischer Personen, anders als das DSG, nicht. Angaben zu juristischen Personen können sich jedoch indirekt auf eine natürliche Person beziehen. Dies trifft beispielsweise auf Kapitalgesellschaften mit nur einem Gesellschafter zu. Dabei kann die Anwendbarkeit der DSGVO bei der Auskunftserteilung zu juristischen Personen nicht gänzlich ausgeschlossen werden.

Der Journalist hat ein berechtigtes Interesse an den begehrten Informationen, weil er über die Verwendung von öffentlichen Mitteln für die Bewältigung der COVID-19-Krise berichten will. Die Information ist für die journalistische Tätigkeit notwendig, um einen öffentlichen Diskurs über die Verteilung öffentlicher Mittel zur Bewältigung der COVID-19-Pandemie anzuregen. Die schutzwürdigen Interessen der Betroffenen überwiegen nicht, weil die angefragten Daten wirtschaftliche und unternehmensbezogene Daten sind, die keinen hohen Schutz nach dem Datenschutzrecht genießen. Zudem hat der Beschwerdeführer seine Anfrage auf die Unternehmen beschränkt, die mehr als 100.000 Euro an Kurzarbeitsbeihilfen erhalten haben, um einen unverhältnismäßigen Eingriff in die Rechte von natürlichen Personen, wie zum Beispiel Einzelunternehmer, zu vermeiden.

Bei der Auskunftserteilung werden die Daten zu einem anderen Zweck übermittelt als zu dem sie erhoben wurden. Es liegt aber kein inkompatibler Zweck für eine Weiterverarbeitung vor. Das AuskunftspflichtG ist zudem ein Eingriffsgesetz iSd Art 23 Abs 1 lit i DSGVO.

BVwG 05.10.2023, W292 2256176-1

Das AMS legte zur Auszahlung von Leistungen die Sozialversicherungsnummer eines Arbeitslosen offen. Der Arbeitslose erhob Datenschutzbeschwerde und machte geltend, dass die Sozialversicherungsnummer ein Gesundheitsdatum sei und dass seine Geheimhaltungsinteressen verletzt worden seien. Die DSB wies die Datenschutzbeschwerde ab und stützte sich dabei auf § 25 Abs 1 AMSG, wonach das AMS zur Verarbeitung der Sozialversicherungsnummer insoweit ermächtigt ist, als dies zur Erfüllung der gesetzlichen Aufgaben eine wesentliche Voraussetzung ist. Gegen den Bescheid erhob der Arbeitslose (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die Verwendung der Sozialversicherungsnummer durch das AMS war rechtmäßig, weil die Verwendung auf einer qualifizierten gesetzlichen Grundlage beruhte (§ 25 AMSG). Die Sozialversicherungsnummer ist kein Gesundheitsdatum, weil sie sich weder auf die körperliche oder geistige Gesundheit einer natürlichen Person bezieht noch daraus Informationen über den Gesundheitszustand hervorgehen. Die Sozialversicherungsnummer wurde auch nicht zweckfremd oder überschießend verwendet, sondern lediglich als Identifikator im postalischen Benachrichtigungsvermerk angeführt. Das Vorbringen des Arbeitslosen, dass seine Sozialversicherungsnummer Dritten gegenüber offengelegt worden ist, war unsubstantiiert und nicht nachvollziehbar.

BVwG 05.04.2024, W287 2259607-1

Der Eigentümer eines Hauses fertigte eine Videoaufnahme an, in welcher seine Nachbarn und deren, auf der Zufahrt des Eigentümers abgestellte, Auto zu sehen waren. Im Video war auch eine "Drohung" von einem der Nachbarn zu hören, welche ca 30 Sekunden nach Beginn der Videoaufnahme fiel. Die Aufnahme wurde den Nachbarn von der Polizei zugestellt, weil der Eigentümer eine Anzeige wegen gefährlicher Drohung erstattete. Daraufhin erhoben die Nachbarn eine Datenschutzbeschwerde bei der DSB und brachten vor, durch die Aufnahme in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Der Eigentümer hielt in seiner Stellungnahme fest, dass die Aufnahme als Beweismittel im Rahmen einer Besitzstörungsklage und einer Anzeige bei der Polizeiinspektion dienen sollte. Die DSB gab der Datenschutzbeschwerde. Daraufhin erhob der Eigentümer eine (erfolglose) Bescheidbeschwerde an das BVwG.

Der BVwG hat erwogen: Die Nachbarn sind im Video erkennbar und wurden vom Eigentümer namentlich angesprochen, damit sind personenbezogene Daten verarbeitet worden. Da bei der Datenverarbeitung keine Einwilligung der Nachbarn vorlag, ist eine Interessenabwägung durchzuführen. Im Hinblick auf die Besitzstörung ist festzuhalten, dass eine mit Datum und Uhrzeit versehene Bildaufnahme ausreichend gewesen wäre. Eine Videoaufnahme zum Beweis einer gefährlichen Drohung kann grundsätzlich rechtmäßig sein, jedoch gab es zu Beginn der Videoaufnahme keine Drohungen seitens der Nachbarn, weshalb die Aufnahme nicht anlassbezogen zur Dokumentation einer Drohung erfolgte. Das Video begann bereits ca 30 Sekunden vor der "Drohung" und dauerte danach noch ca weitere 4 Minuten an. Damit war die Datenverarbeitung nicht auf das notwendigste Maß gemäß Art 5 Abs 1 lit c DSGVO beschränkt und unzulässig.

Das Verwaltungsgericht kann gegen Personen, die offenbar mutwillig die Tätigkeit der Behörde in Anspruch nehmen oder in der Absicht einer Verschleppung der Angelegenheit unrichtige Angaben machen, eine Mutwillensstrafe in der Höhe von bis zu EUR 726 verhängen. Wiederholte grund- und aussichtslose Eingaben sind als rechtsmissbräuchlich zu werten (BVwG 12.03.2024, W292 2256176-1).

Das Erheben einer Säumnisbeschwerde nach Erlassen des beantragten Bescheids ist zulässig. Eine Säumnisbeschwerde wird jedoch gegenstandlos, wenn die Verwaltungsbehörde den beantragten Bescheid erlassen hat (BVwG 08.04.2024, W108 2288735-1).

Gemäß § 24 Abs 4 DSG erlischt der Anspruch auf Behandlung einer Datenschutzbeschwerde, wenn der Betroffene den Anspruch nicht binnen eines Jahres ab Kenntnis vom beschwerenden Ereignis geltend macht. Die Weitergabe von Daten ist eine abgeschlossene Handlung, weshalb keine "fortgesetzte Schädigung" besteht (BVwG 05.04.2024, W211 2274025-1).

Die Frist zum Erheben einer Bescheidbeschwerde beträgt vier Wochen. Wird die Rechtsmittelfrist versäumt, ist die Bescheidbeschwerde als verspätet zurückzuweisen (BVwG 15.04.2024, W108 2287168-1).

Ein grenzüberschreitendes Verfahren liegt vor, wenn potenziell von der verfahrensgegenständlichen Verarbeitung in anderen Mitgliedstaaten Personen betroffen sein können. Das Verfahren darf zur Ermittlung der federführenden Aufsichtsbehörde formell jedoch nicht ausgesetzt werden (BVwG 02.04.2024, W176 2275060-1).

Das Verfahren vor der DSB darf zur Ermittlung der federführenden Aufsichtsbehörde formell nicht ausgesetzt werden. Denn § 24 Abs 10 Z 2 sieht keine Verfahrensaussetzung vor, sondern normiert nur eine Hemmung des Fristenlaufs, während das Kohärenzverfahren anhängig ist (BVwG 04.04.2024, W211 2280745-1; 04.2024, W211 2278962-1).

DSB 17.01.2022, 2021-0.512.929

Die A1 übermittelte monatlich Daten des Personalakts eines Mitarbeiters an ihren Zentralausschuss (Zentralbetriebsrat). Weiters gewährte sie dem Zentralausschuss einen direkten Zugriff auf Teile des Personalverwaltungssystems SAP. Daraufhin brachte der Mitarbeiter Datenschutzbeschwerde bei der DSB ein. Die DSB gab der Datenschutzbeschwerde teilweise statt. Sie stellte eine Verletzung im Recht auf Geheimhaltung durch die monatliche Übermittlung der Daten fest.

Die DSB hat erwogen: Der Zentralausschuss ist ein gemäß §§ 9 iVm 21 PBVG bei der A1 eingerichtetes Personalvertretungsorgan. Bei der A1 sind mehrere Personalausschüsse und zahlreiche Vertrauenspersonenausschüsse etabliert. Adressat der Mitwirkungsrechte des § 89 ArbVG ist jedoch nur der jeweils zuständige Betriebsrat. § 73 PBVG sieht eine entsprechende Kompetenzabgrenzung der Personalvertretungsorgane vor. Gemäß § 73 Abs 1 PBVG sind primär die Personalausschüsse und sekundär der Vertrauenspersonenausschuss für die der Arbeitnehmerschaft gemäß § 72 PBVG zustehenden Befugnisse zuständig. Die dem Betriebsrat zustehenden Überwachungsbefugnisse fallen demnach in die Zuständigkeit der Personalausschüsse. Eine Zuständigkeit des Zentralausschusses ist hierfür im PBVG nicht vorgesehen. Darüber hinaus sieht § 89 ArbVG zwar Überwachungs- und Kontrollbefugnisse des Betriebsrats vor, jedoch wird darin keine Rechtsgrundlage für die proaktive und periodische Übermittlung von Mitarbeiterdaten durch den Betriebsinhaber normiert. Der Zentralausschuss hatte die Daten des Mitarbeiters in Ausübung seiner Befugnisse auch nicht aktiv angefordert. Folglich übermittelte A1 die personenbezogenen Daten des Mitarbeiters ohne qualifizierte gesetzliche Rechtsgrundlage und ohne berechtigtes Interesse an ein unzuständiges Personalvertretungsorgan.

Es erfolgte jedoch kein unrechtmäßiger Zugriff auf die Daten des Mitarbeiters im Personalverwaltungssystem SAP. Der Mitarbeiter behauptete auch keinen solchen Zugriff. Eine Verletzung des Grundrechts auf Geheimhaltung kann nur aus einer ex-post Betrachtung aufgrund der in der Datenschutzbeschwerde relevierten Umstände festgestellt werden. Verletzungen, die sich entweder noch nicht manifestiert haben oder nur möglicherweise auftreten könnten, dürfen nicht geltend gemacht werden.

Am 04.2024 hat der EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, über den Zugang einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdienste aufbewahrter Verkehrs- oder Standortdaten entschieden. Wir werden nächste Woche berichten.

Am 04.2024 hat der EuGH in der Rs C-470/21, La Quadrature du Net II, über den Zugang zu IP-Adressen entschieden. Wir werden nächste Woche berichten.

Am 04.2024 hat der EuGH in der Rs C‑670/22, M.N. (EncroChat), über die Verarbeitung personenbezogener Daten in Zusammenhang mit der Europäische Ermittlungsanordnung entschieden. Wir werden nächste Woche berichten.

Am 05.2024 wird das Urteil des EuGH in der Rs C-115/22, NADA, verkündet. Die Unabhängige Schiedskommission in Wien befragt den EuGH zur Zulässigkeit der Veröffentlichung des Namens einer Person, die einen Dopingverstoß begangen hat.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

BVwG 26.03.2024, W137 2241630-1

Einem Kreditinstitut wurde von der DSB eine Geldbuße iHv EUR 4 Mio und ein Kostenbeitrag von EUR 400.000 auferlegt, weil eine Mitarbeiterin versehentlich eine E-Mail samt Excel-Liste verschickte, in der personenbezogene Bankdaten von ca 5970 Kunden enthalten waren. Dies erfolgte unter Verletzung interner Arbeitsanweisungen zur E-Mailkultur. Zuständig für die Verbreitung der Liste waren die Filialleiterin und die Mitarbeiterin, die den E-Mail-Versand durchführte. Das BVwG wies die Bescheidbeschwerde des Kreditinstituts mit der Maßgabe ab, dass die Geldbuße auf EUR 50.000 und der Kostenbeitrag auf EUR 5.000 herabgesetzt wird.

Das BVwG hat erwogen: Eine juristische Person kann Beschuldigte in einem Verwaltungsstrafverfahren sein, ohne dass die Datenschutzverletzung zuvor einer natürlichen Person aus dem Kreis des Unternehmens zuzurechnen ist. Eine Strafbarkeit gemäß Art 83 DSGVO erfordert Vorsatz oder Fahrlässigkeit, nicht aber eine Handlung oder die Kenntnis des Leitungsorgans. Die entsprechenden nationalen Regelungen des § 9 VStG und § 30 DSG sind daher nicht anzuwenden.

Unternehmen haften im Rahmen des Art 83 DSGVO für Datenschutzverstöße ihrer Beschäftigten, sofern diese nicht im Exzess handeln. Ein allfälliger Exzess ist auszuschließen, weil die Mitarbeiterin die Datenverarbeitung im Rahmen ihres Arbeitsverhältnisses und im Interesse des Kreditinstituts durchführte. Die Verantwortung für die Konfiguration und Absicherung der Daten lag bei den Leitungsorganen des Kreditinstituts. Letzteres entscheidet allein und mit Entscheidungsgewalt über die wesentlichen Aspekte der Zwecke und Mittel der Verarbeitung, ua durch Weisungen, weshalb das Kreditinstitut Verantwortlicher gemäß Art 4 Z 7 DSGVO ist. Das Verwaltungsstrafverfahren wurde somit gegen die korrekte Beschuldigte geführt.

Insgesamt verstieß der Versand der E-Mails samt Anhang gegen Art 5 Abs 1 lit f und Art 32 DSGVO und erfüllte den Straftatbestand des Art 83 Abs 4 lit a DSGVO. "State of the art" wäre eine vollständig pseudonymisierte Kundendatei gewesen, die unabhängig von einer zusätzlichen Verschlüsselung bei Verlust keine Verbindung zu konkreten Personen durch Dritte ermöglicht. Indem das Kreditinstitut eine nicht vollständig pseudonymisierte Excel-Liste für Arbeitsprozesse zur Verfügung stellte, die technisch problemlos in eine Massen-E-Mail exportiert werden konnte, handelte es leicht fahrlässig. Dass ein solcher Export grundsätzlich untersagt war, steht der leichten Fahrlässigkeit nicht entgegen, weil eine unbeabsichtigte Offenlegung einer Datei, die regelmäßig in Arbeitsprozessen verwendet wird, als potenzielles Risiko nicht ausgeschlossen werden kann.

Für den Strafrahmen ist mangels Vorliegens einer wirtschaftlichen Einheit mit der Muttergesellschaft nur das Betriebsergebnis des Kreditinstituts als hundertprozentige Tochter heranzuziehen. Unabhängig von der Beteiligungshöhe der Muttergesellschaft ist eine wirtschaftliche Einheit nicht anzunehmen, wenn das Kreditinstitut eigenständig am Markt auftritt und selbstbestimmt handelt. Das Kreditinstitut ist mit einer eigenen Führungsebene bis hin zu einem Vorstand ausgestattet, ihr sind die relevanten Geschäftszweige selbst überlassen und es besteht ein gesondertes Filialnetz, das auch personell durch das Kreditinstitut selbst geführt wird. Zudem bewahren die einzelnen Tochtergesellschaften unabhängig von der Muttergesellschaft ein eigenständiges Auftreten auf dem Markt. Neben einem gemeinsamen Datenschutzbeauftragten im Bereich des Datenschutzes sind verantwortliche Beauftragte auf Filialebene installiert. Weiters war Auslöser des Verfahrens ein individueller Fehler auf Filialebene iVm einer nicht pseudonymisierten Datei, die ein eigenes Produkt des Kreditinstituts war und somit allein die Filialebene betraf.

Praxistipp: Auch für den internen Gebrauch bestimmte Excel-Dateien mit Kunden- oder Mitarbeiterdaten sollten nach Möglichkeit pseudonymisiert oder mit Passwort geschützt werden.

BVwG 11.03.2024, W252 2271937-1

Ein "Ungeimpfter" erhielt ein COVID-19-Impferinnerungsschreiben. In der Kopf- und Fußzeile des Schreibens waren die Logos mehrerer Körperschaften öffentlichen Rechts abgebildet. Der Ungeimpfte erhob eine auf Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde gegen den vermeintlichen Verantwortlichen. Die DSB leitete parallel ein amtswegiges Prüfverfahren ein und stellte die datenschutzrechtliche Verantwortlichkeit hinsichtlich eines anderen Verantwortlichen fest. Dieses Ermittlungsergebnis übertrug die DSB auf die Datenschutzbeschwerde des Ungeimpften. Die DSB stellte einen unrechtmäßigen Zugriff auf die Daten des Ungeimpften im zentralen Impfregister sowie im zentralen Patientenindex – durch den im amtswegigen Prüfverfahren identifizierten Verantwortlichen – fest. Der dagegen erhobenen Bescheidbeschwerde gab das BVwG statt.

Das BVwG hat erwogen: Eine Datenschutzbeschwerde kann grundsätzlich nur dann erfolgreich sein, wenn der bezeichnete Beschwerdegegner tatsächlich für die Datenverarbeitung verantwortlich ist. Dies gilt jedoch nur unter der Prämisse, dass die Bezeichnung des richtigen Beschwerdegegners zumutbar ist. Indem das Impferinnerungsschreiben von zwei verschiedenen Stellen unterfertigt wurde und die Logos von vier verschiedenen Krankenkassen enthielt, war dem Ungeimpften die korrekte Bezeichnung des Beschwerdegegners unzumutbar. Es oblag diesfalls der DSB, im Rahmen der Ermittlung der materiellen Wahrheit festzustellen, wer vom möglichen Personenkreis tatsächlich über Zweck und Mittel der Datenverarbeitung bestimmt hat. Die DSB hat jedoch die falsche Stelle als Beschwerdegegnerin und damit als Verantwortliche bestimmt. Dadurch führte die DSB das Verfahren gegen eine Stelle, die vom Rechtsschutzantrag des Ungeimpften nicht umfasst war. Aus diesem Grund war der Bescheid ersatzlos zu beheben.

Wird ein Sachverhalt sowohl von einem Betroffenen als auch von der DSB aufgegriffen, um in einem Verfahren überprüft zu werden, führt dies zu keiner res iudicata.

BVwG 24.01.2024, W176 2265906-1

Ein den Sozialversicherungsträgern zugehöriges Unternehmen durchsuchte auf Grund des Verdachts eines innerbetrieblichen Verstoßes gegen Verschwiegenheitspflichten, nach der Veröffentlichung vertraulicher Sitzungsprotokolle, sämtliche E-Mail-Konten und Postfächer seiner rund 6.000 Mitarbeiter auf Nachrichtenübermittlungen im Zeitraum vom 30.07.2020 bis 15.08.2020 an eine spezielle Domain. Dabei sind Protokolldaten des E-Mail-Systems ausgewertet worden, die Inhalte der einzelnen Mails wurden nicht ausgewertet.

Mitglieder des Betriebsrats des Unternehmens meinten, dass diese Kontrollmaßnahme gegen das Recht auf Geheimhaltung verstoßen hat. Die Ergebnisse der Recherche seien zu vernichten. Gegen das Vorgehen des Unternehmens brachten die Mitglieder des Betriebsrats, die selbst betroffen waren, Datenschutzbeschwerde bei der DSB ein. Das Unternehmen brachte vor, dass die Überwachungsmaßnahme datenschutzkonform an das Modell der stufenweisen Kontrollverdichtung angelehnt war und die Auswertung eine Vorbereitungshandlung für die Geltendmachung bzw Abwehr von Rechtsansprüchen gewesen ist. Auch bestünde ein Interesse des Unternehmens daran, die Rechtmäßigkeit der durch die Mitarbeiter stattfindende Verarbeitung personenbezogener Daten zu überprüfen. Die DSB gab der Datenschutzbeschwerde der Mitglieder des Betriebsrats statt und stellte eine Verletzung ihres Geheimhaltungsrechts fest. Der Antrag auf Vernichtung der Ergebnisse der Datenrecherche wurde zurückgewiesen. Gegen den Bescheid der DSB brachte das Unternehmen eine (erfolglose) Bescheidbeschwerde beim BVwG ein.

Das BVwG hat erwogen: Das Unternehmen war bei der Durchführung der Überwachungsmaßnahme nicht hoheitlich tätig, sondern handelte im Rahmen der Privatwirtschaftsverwaltung. Daher durfte das Unternehmen grundsätzlich zur Wahrung seiner berechtigten Interessen personenbezogene Daten verarbeiten (Art 6 Abs 1 lit f DSGVO). Das Unternehmen hatte ein berechtigtes Interesse an der Aufklärung einer möglichen Dienstpflichtverletzung durch seine Mitarbeiter und an der Wahrung von Geschäftsgeheimnissen. Die Verarbeitung der Daten von 6.000 Mitarbeitern war jedoch nicht erforderlich. Das Unternehmen hat keine Einschränkung auf bestimmte Personenkreise oder Zeiträume vorgenommen. Seine Vorgehensweise entsprach somit nicht dem Modell der stufenweisen Kontrollverdichtung.

Zudem war die Durchsuchung der Logfiles für den maßgeblichen Zeitraum technisch nicht mehr möglich. Die Kontrollmaßnahme war daher nicht geeignet, die Weiterleitung des Protokolls an die spezielle Domain aufzuspüren. Das Unternehmen hat somit gegen den Grundsatz der Datenminimierung verstoßen (Art 5 Abs 1 lit c DSGVO). Darüber hinaus hat das Unternehmen gegen die Betriebsvereinbarung verstoßen, indem sie die örtlichen Betriebsratskörperschaften in die geplante Datenverarbeitung nicht involviert hat. Die durchgeführte Kontrollmaßnahme war daher nicht rechtmäßig.

BVwG 09.01.2024, W211 2262321-1

Die Patientin einer medizinischen Anstalt, welche gleichzeitig Arbeitnehmerin der Anstalt war, erhob eine Datenschutzbeschwerde bei der DSB, weil verschiedene Personen unbefugt auf ihre im elektronischen Patientendokumentationssystem gespeicherten Daten zugegriffen haben sollen. Zudem brachte die Patientin eine Datenschutzbeschwerde gegen die DSB selbst ein und gab vor, dass diese im Verfahren unzulässigerweise Stellungnahmen von einer nicht berechtigten Person entgegennahm. Nachdem die DSB die gegen sie gerichtete Datenschutzbeschwerde abwies, brachte die Patientin eine erfolglose Bescheidbeschwerde und in weiterer Folge eine außerordentliche Revision beim BVwG ein. Die Leiterin der zuständigen Gerichtsabteilung des BVwG leitete die Revision im Verfahren gegen die DSB auch Dritten, nämlich dem Arbeitgeber der Patientin und dessen Rechtsvertreter, weiter. Daraufhin erhob die Patientin eine Beschwerde gemäß Art 130 Abs 2a B-VG gegen das BVwG, weil sie sich durch das Handeln der Leiterin in ihrem Geheimhaltungsrecht verletzt fühlte.

Das BVwG hat erwogen: Die Leiterin der Gerichtsabteilung ist ein Rechtssprechungsorgan des BVwG. Das BVwG handelte bei der Zustellung der außerordentlichen Revision in Ausübung seiner justiziellen Tätigkeit. Die Zustellung der Revision an den Arbeitgeber und dessen Rechtsvertreter erfolgte aufgrund eines fehlerhaften Eintrags in der elektronischen Verfahrensadministration des BVwG, der diesen fälschlicherweise als Verfahrenspartei führte. Die außerordentliche Revision enthielt personenbezogene Daten der Patientin, wie zB ihren Namen, ihre Adresse, sowie Gesundheitsdaten. Festzuhalten ist, dass die dem Arbeitgeber unzulässigerweise übermittelten Daten diesem bereits aus dem Dienstverhältnis und der Behandlung in seiner Anstalt bekannt waren. Dennoch ist die Zustellung eine datenschutzrechtliche Verarbeitung iSd Art 4 Z 2 DSGVO, die nicht durch eine Rechtsgrundlage nach Art 6 oder 9 DSGVO gerechtfertigt war. Die Patientin wurde daher in ihrem Recht auf Geheimhaltung verletzt, weshalb der Beschwerde stattzugeben war.

Anm: Das BVwG entscheidet über Beschwerden gemäß Art 130 Abs 2a B-VG in einem Richtersenat, der aus drei Berufsrichtern besteht.

BVwG 19.03.2024, W287 2239852-1

Ein Arbeitnehmer (AN) erhob Datenschutzbeschwerde bei der DSB und brachte darin vor, dass ihm sein Arbeitgeber (AG) unvollständig Auskunft über die ihn betreffenden personenbezogenen Daten erteilt hätte. Er brachte ua vor, dass die beantragten Daten für ein zivilgerichtliches Verfahren gegen seinen AG entscheidend wären. Die DSB gab der Datenschutzbeschwerde teilweise statt und stellte fest, dass der AG den AN in seinem Recht auf Auskunft verletzt hat. Ein Anspruch auf Herausgabe ganzer Dokumente hätte gemäß Art 15 Abs 3 DSGVO jedoch nicht bestanden und auch die Herausgabe von Unterlagen für zivilgerichtliche Verfahren sei von der DSGVO nicht gedeckt. Daraufhin erhob der AN eine (erfolglose) Bescheidbeschwerde an das BVwG.

Das BVwG hat erwogen: Die DSB trug dem AG in ihrem Bescheid auf, eine ergänzende Auskunft an den AN zu erteilen. Die in diesem Beschied festgestellte Unvollständigkeit der erteilten Auskunft ist nicht Gegenstand des Verfahrens vor dem BVwG.

Darüber hinaus stellte der AN bloß zwei eingeschränkte Auskunftsersuchen an den AG. Die Vollständigkeit der erteilten Auskunft ist anhand dieser Ersuchen zu beurteilen. Die vom AN vorgebrachte Unvollständigkeit zielt auf Daten ab, die nachweislich nicht im Personalakt gespeichert werden und nicht vom Auskunftsersuchen des AN umfasst sind. Vor diesem Hintergrund liegt keine Unvollständigkeit vor.

Ein Anspruch auf Erhalt einer Dokumentenkopie besteht nur, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Rechte zu ermöglichen. Neben dem Auskunftsrecht besteht kein zusätzliches Recht auf Kopien von Auszügen aus ganzen Dokumenten oder Datenbanken.

BVwG 22.03.2024, W287 2273049-1

Das Interesse des Vermächtnisnehmers, seine Rechte als Nachlassgläubiger zu sichern, überwiegt dem Geheimhaltungsinteresse des Alleinerben, sofern die Ausführungen des Vermächtnisnehmers abstrakt geeignet sind, seinen rechtlichen Standpunkt zu stützen. Daran ändert es auch nichts, wenn der beim Verlassenschaftsgericht ursprünglich gestellte Antrag wieder zurückgezogen wird. Zudem hielt das BVwG in dieser Entscheidung fest, dass Rechtsanwälte und Gerichtssachverständige datenschutzrechtlich Verantwortliche sind.

BVwG 19.03.2024, W287 2249380-1

Der Umfang der Auskunftserteilung wird durch den Zeitpunkt der Antragstellung bestimmt. Ist ein konkreter Auskunftsgegenstand vom Spruch des angefochtenen Bescheides nicht umfasst, ist dem BVwG ein Ausspruch über diesen – neu vorgebrachten – Auskunftsgegenstand verwehrt. Wird eine zunächst unvollständige Auskunft durch eine ergänzende Auskunft vervollständigt, ist der Auskunftswerber in seinem Auskunftsrecht nicht mehr verletzt. Ein Recht auf Feststellung vergangener und inzwischen behobener Rechtsverletzungen besteht nicht.

BVwG 25.03.2024, W150 2288580-2

Rechtsanwälte haben Schriftsätze – sofern beim Gericht eingerichtet – über eine spezielle Software, dem Elektronischen Rechtsverkehr (ERV), einzubringen. Die Einbringung eines Schriftsatzes mittels ERV entspricht im Gegensatz zu den unsicheren Übermittlungsformen von E-Mail und Fax den Anforderungen der Datensicherheit nach Art 32 DSGVO.

Anm: Diese Aussage des BVwG mag zutreffen. In seiner Gesamtheit ist der Beschluss des BVwG jedoch nicht nachvollziehbar. Das BVwG wirft einem Rechtsanwalt vor, kein ERV verwendet zu haben, obwohl beim BVwG für Rechtsanwälte ERV vorgeschrieben ist. Der Rechtsanwalt brachte sein Rechtsmittel jedoch (richtig) bei der erstinstanzlichen Verwaltungsbehörde ein, wo kein ERV eingerichtet war und daher auch nicht verwendet werden konnte.

BVwG 19.03.2024, W252 2271599-1

Die Zurückziehung der Datenschutzbeschwerde während des anhängigen Beschwerdeverfahrens bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Bescheids und damit nachträglich die Rechtswidrigkeit des Bescheids. Das Verwaltungsgericht hat in einem solchen Fall den Bescheid der DSB ersatzlos zu beheben.

BFG 05.04.2024, RV/7100792/2023

Ein Bescheid bedarf gemäß § 96 Abs 2 BAO weder einer Unterschrift noch einer Beglaubigung, wenn er elektronisch ausgefertigt und mit einer Amtssignatur versehen ist. Das Anbringen einer DVR-Nummer ist im Jahr 2022 weder geboten noch möglich, weil die Datenverarbeitungsregister-Verordnung mit 24.05.2018 außer Kraft trat. Aus dem erfolgreichen Anbringen einer qualifizierten elektronischen Amtssignatur ist zu schließen, dass die Ausfertigung mittels automationsunterstützter Datenverarbeitung erstellt wurde und somit iSd § 96 Abs 2 BAO rechtlich in Existenz getreten ist.

LVwG NÖ 25.01.2024, LVwG-S-2489/001-2023

Nach dem Bundesstatistikgesetz kann jede (natürliche) Person zur Auskunft verpflichtet werden (Auskunftspflichtige). Wird für statistische Erhebungen eine Befragung der Auskunftspflichtigen angeordnet, sind die Auskunftspflichtigen zur Auskunftserteilung über jene Daten, die Erhebungsmerkmal der angeordneten statistischen Erhebung sind, verpflichtet. Wer die Auskunftserteilung verweigert, begeht eine Verwaltungsübertretung, die mit einer Geldstrafe bis zu EUR 2.180 zu bestrafen ist.

DSB 05.11.2020, 2020-0.714.215

Das AMS übermittelte bei der Abwicklung der Leistungserbringung nach dem Arbeitslosenversicherungsgesetz der Bank eines Arbeitslosen ua dessen Sozialversicherungsnummer. In die Übermittlung seiner Sozialversicherungsnummer willigte der Arbeitslose nicht ein. Die DSB wies die wegen Verletzung im Recht auf Geheimhaltung eingebrachte Datenschutzbeschwerde ab.

Die DSB hat erwogen: Das AMS ist ein Dienstleistungsunternehmen des öffentlichen Rechts zur Durchführung der Arbeitsmarktpolitik des Bundes. Es handelt sich um eine staatliche Behörde iSd § 1 Abs 2 DSG. Die Sozialversicherungsnummer ist als personenbezogenes Datum zu qualifizieren, an dem grundsätzlich ein schutzwürdiges Geheimhaltungsinteresse besteht. Im Geschäfts- und Behördenverkehr dient die Sozialversicherungsnummer regelmäßig als Identifikator.

Behördliche Eingriffe in das Grundrecht auf Datenschutz dürfen nur auf Basis einer hinreichend determinierten Rechtsgrundlage erfolgen. Nach § 25 Abs 1 AMSG ist das AMS zur Verarbeitung der Sozialversicherungsnummer insoweit ermächtigt, als diese zur Erfüllung der gesetzlichen Aufgaben eine wesentliche Voraussetzung bildet. Die Abwicklung der Auszahlung aus der Arbeitslosenversicherung ist eine gesetzliche Aufgabe des AMS. Die Verwendung der Sozialversicherungsnummer bei Zahlungsanweisungen im Zusammenhang mit Leistungen aus der Arbeitslosenversicherung dient dem AMS zur ordnungsgemäßen und richtigen Zuordnung der Leistung zum jeweiligen Leistungsempfänger. Für den durchschnittlichen Arbeitslosen ist nachvollziehbar, dass das AMS Daten wie die Sozialversicherungsnummer zwangsläufig verarbeiten muss. Zudem kann es aufgrund des großen Arbeitsaufkommens auf Seiten des AMS zu Leistungsrücklaufverfahren kommen, die eine eindeutige Identifizierung der Leistungsempfänger – auch aus buchhalterischen Gründen – voraussetzen.

Da aus der Sozialversicherungsnummer keine Rückschlüsse auf den körperlichen oder geistigen Gesundheitszustand einer Person möglich sind, ist die Sozialversicherungsnummer kein Gesundheitsdatum und somit kein besonders schutzwürdiges Datum iSd Art 9 Abs 1 DSGVO.

Am 25.04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Gegenstand des Verfahrens sind Erlaubnistatbestände des Art 6 DSGVO, der Grundsatz der Datenminimierung sowie die Verarbeitung sensibler Daten.

Am 30.04.2024 wird das Urteil des EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, verkündet. Der EuGH wird über (i) die Zulässigkeit des Zugangs einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdienste aufbewahrten Daten, (ii) die Auslegung des Begriffs "schwere Kriminalität" sowie (iii) die Aufbewahrungsfrist von 24 Monaten ab dem Zeitpunkt der Kommunikation entscheiden.

Am 30.04.2024 wird das Urteil des EuGH in der Rs C-470/21, La Quadrature du Net II, verkündet. Der EuGH wird über die Rechtsnatur von Identitätsdaten, die einer IP-Adresse zugeordnet sind, entscheiden.

Am 07.05.2024 wird das Urteil des EuGH in der Rs C-115/22, NADA, verkündet. Die Unabhängige Schiedskommission in Wien befragt den EuGH zur Zulässigkeit der Veröffentlichung des Namens einer Person, die einen Dopingverstoß begangen hat.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

EuGH Schlussanträge 11.04.2024, C-768/21, Land Hessen

Der Kunde einer Bank erfuhr, dass eine Bankmitarbeiterin mehrmals unbefugt auf seine Daten zugegriffen hat. Daraufhin beschwerte er sich bei der zuständigen Aufsichtsbehörde, weil er keine Benachrichtigung gemäß Art 34 DSGVO erhielt. Die Mitarbeiterin gab die Daten des Kunden jedoch an keinen Dritten weiter und sie verwendete die Daten auch nicht zum Nachteil des Kunden. Zudem ergriff die Bank Disziplinarmaßnahmen gegen die Mitarbeiterin. Die Aufsichtsbehörde verneinte eine Verletzung der Benachrichtigungspflicht, weil kein hohes Risiko für den Kunden ersichtlich war. Das vorlegende Gericht fragte den EuGH, ob die Aufsichtsbehörde bei Feststellung einer Verletzung der Betroffenenrechte stets verpflichtet ist, gemäß Art 58 Abs 2 DSGVO einzuschreiten und Abhilfemaßnahmen zu ergreifen.

Der Generalanwalt hat erwogen: Aufsichtsbehörden sind verpflichtet, sich mit Beschwerden nach Art 77 DSGVO zu befassen und diese mit aller gebotenen Sorgfalt zu bearbeiten. Sofern eine Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten feststellt, ist sie aufgrund des Legalitätsprinzips verpflichtet, einzuschreiten und die am besten geeigneten Abhilfemaßnahmen zur Behebung des Verstoßes zu ermitteln. Hinsichtlich der Frage, wie die Aufsichtsbehörde in den konkreten Fällen zu handeln hat, kommt ihr ein Handlungsspielraum zu. Sie hat unter Berücksichtigung der Geeignetheit, Erforderlichkeit und Verhältnismäßigkeit die am besten geeigneten Abhilfemaßnahmen zu ermitteln. Der den Aufsichtsbehörden zuerkannte Ermessensspielraum umfasst aber auch die Möglichkeit, keine der in Art 58 Abs 2 DSGVO genannten Abhilfemaßnahmen zu ergreifen, wenn die besonderen Umstände im konkreten Einzelfall dies rechtfertigten. Etwa, wenn das Problem bereits gelöst oder bewältigt ist, oder wenn der Grad der Verwerflichkeit des Verhaltens des Verantwortlichen offensichtlich gering ist. Auch ist es möglich, dass geringfügige Verstöße durch andere, vom Verantwortlichen selbst ergriffene Maßnahmen behoben werden können. Betroffenen kommt im Hinblick auf Art 58 Abs 2 DSGVO kein subjektives Recht zu, bestimmte Maßnahmen zu verlangen. Das Verhängen einer Geldbuße ist nicht in allen Fällen zwingend erforderlich und kann bei geringfügigen Verstößen durch eine Verwarnung ersetzt werden. Das heißt, dass die Beschwerden stets zu prüfen sind, die Entscheidung der heranzuziehenden Abhilfemaßnahmen jedoch im Ermessen der Aufsichtsbehörde liegt.

EuGH 11.04.2023, C-741/21, juris

Ein Rechtsanwalt war Kunde der Rechtsdatenbank juris und erhielt trotz eingelegten Widerspruchs mehrfach Werbeschreiben von juris. Daher klagte er Schadenersatz für den Verlust der Kontrolle über seine Daten ein. Das vorlegende Gericht befragte den EuGH zum Begriff des immateriellen Schadens, zur Haftungsbefreiung des Verantwortlichen, zur Bemessung des Schadenersatzes und zur Berücksichtigung mehrfacher Verstöße gegen die DSGVO.

Der EuGH hat erwogen: Der bloße Verstoß gegen Bestimmungen der DSGVO ist kein Schaden. Ein Schaden setzt kumulativ voraus: (i) den tatsächlichen Eintritt eines Schadens, (ii) einen Verstoß gegen eine DSGVO-Bestimmung und (iii) einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Der Nachweis des DSGVO-Verstoßes und des dadurch entstandenen Schadens obliegt der betroffenen Person. Die Beweislast, dass kein Kausalzusammenhang zwischen Schaden und Pflichtverletzung besteht, trifft den Verantwortlichen.

Der Verantwortliche kann sich nicht dadurch von seiner Haftung befreien, dass er sich auf die Fahrlässigkeit oder das Fehlverhalten einer ihm unterstellten Person beruft. Der Verantwortliche hat sicherzustellen, dass ihm unterstellte Personen im Einklang mit seinen Weisungen Daten verarbeiten und hat sich zu vergewissern, dass seine Weisungen korrekt ausgeführt werden. Eine Haftungsbefreiung des Verantwortlichen kommt dann in Betracht, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der Verletzung der ihm obliegenden Datenschutzpflichten und dem der betroffenen Person entstandenen Schaden gibt. Der Nachweis allein, dass der Verantwortliche den ihm unterstellten Personen Weisungen erteilt hat, genügt für die Haftungsbefreiung nicht.

BVwG 20.02.2024, W211 2261811-1

Die langjährige Kundin einer Kreditkartenanbieterin informierte diese über eine Adressänderung und legte dabei einen anderen Reisepass eines EU-Mitgliedstaates vor, als sie noch bei der Beantragung der Kreditkarte vorgelegt hatte. Die Kreditkartenanbieterin forderte im Sinne ihrer Sorgfaltspflichten nach dem Finanzmarkt-Geldwäschegesetz (FM-GwG) die Einkommens-, Konto- und Steuerunterlagen der Kundin an und erklärte die Karte mangels Konnexes der Kundin zu Österreich für ungültig. Die Kundin erachtete sich in ihrem Recht auf Geheimhaltung verletzt. Die DSB gab der Datenschutzbeschwerde statt, weil es keine Hinweise oder Indizien gegeben hätte, wonach bei der Kundin ein Risiko im Zusammenhang mit Geldwäsche und Terrorismusfinanzierung vorliegen würde und somit kein Anlass für eine Aktualisierung der Unterlagen zur Mittelherkunft bestanden hätte. Gegen diesen Bescheid erhob die Kreditkartenanbieterin Bescheidbeschwerde, der das BVwG stattgab.

Das BVwG hat erwogen: Die Datenverarbeitung nach dem FM-GwG zu Zwecken der Verhinderung von Geldwäsche und Terrorismusfinanzierung ist eine Angelegenheit des öffentlichen Interesses iSd Art 6 Abs 1 lit e DSGVO. Nach dem FM-GwG treffen die Kreditkartenanbieterin gegenüber ihren Kunden bestimmte Sorgfaltspflichten, die auch die Einholung und Überprüfung von Informationen über die Herkunft der eingesetzten Mittel umfassen. Diese Sorgfaltspflichten sind gemäß § 7 Abs 6 FM-GwG nicht nur auf neue, sondern risikoorientiert auch auf bestehende Kunden anzuwenden. Gemäß § 8 FM-GwG ist bei Kunden mit niedrigem Risiko eine anlassfallbezogene Datenaktualisierung ausreichend. Zur Einhaltung der Sorgfaltspflichten und der Einstufung von Kunden als Niedrigrisikokunden treffen die Kreditkartenanbieterin gegenüber der FMA bestimmte Nachweis- und Dokumentationspflichten, an deren Nichteinhaltung Verwaltungsstrafen geknüpft sind. Die Kreditkartenanbieterin steht somit in einem Spannungsverhältnis zwischen ihren Pflichten aus der Geldwäsche- und Terrorismusfinanzierungsprävention und sonstigen rechtlichen Pflichten, wie dem Datenschutz.

Die Durchführung der Datenaktualisierung in Bezug auf die Mittelherkunft durch Anforderung von Einkommens-, Konto- und Steuerunterlagen war verhältnismäßig, weil bei der Kundin seit Aufnahme der Geschäftsbeziehung keinerlei Datenaktualisierung vorgenommen wurde, sie mehrfach den Wohnsitz wechselte und bei der Bekanntgabe der Adressänderung einen anderen Reisepass als bei der Eröffnung der Geschäftsbeziehung vorlegte. Das Vorgehen der Kreditkartenanbieterin war daher nicht exzessiv.

Die Kreditkartenanbieterin kann sich auch nicht von ihren Verpflichtungen im Zusammenhang mit den durch sie vorgenommenen Transaktionen entziehen, indem sie auf die von einer anderen Bank für andere Dienstleistungen wahrzunehmenden Sorgfaltspflichten verweist, weil sie selbst dem FM-GwG unterliegt.

BVwG 18.01.2024, W137 2263970-1

Der Arbeitgeber eines Koches nutzte ein biometrisches System (Handvenenscanner) zur Erfassung der Arbeitszeit. Darüber hinaus wurde die Arbeitsstätte mit 29 Kameras überwacht und die Aufnahmen wurden länger als 72 Stunden gespeichert. Der Koch willigte beim Abschluss des Dienstvertrages in die Systemnutzung ein. Über die Widerrufmöglichkeit wurde er nicht informiert. Ein Betriebsrat war nicht eingerichtet. Der Koch erhob Datenschutzbeschwerde an die DSB. Die DSB gab der Datenschutzbeschwerde teilweise statt und stellte eine Verletzung im Recht auf Geheimhaltung bezüglich des Handvenenscanners und zweier Videokameras fest. Das BVwG wies die dagegen gerichtete Bescheidbeschwerde des Arbeitsgebers grundsätzlich ab, behob jedoch den Leistungsauftrag der DSB, wonach die Kameras zu kennzeichnen waren, weil der Arbeitgeber diesem Auftrag zwischenzeitlich entsprach.

Das BVwG hat erwogen: Die Verarbeitung sensibler Daten darf mit ausdrücklicher Einwilligung gemäß Art 9 Abs 2 lit a DSGVO erfolgen, eine konkludente (schlüssige) Einwilligung ist ausgeschlossen. Der Begriff "ausdrücklich" bezieht sich auf die Art und Weise, in der die Zustimmung der betroffenen Person ausgedrückt wird. Eine schriftliche Erklärung ist jedenfalls ausdrücklich. Das Koppelungsverbot dient dem Zweck, die freie Willensbetätigung der Betroffenen zu schützen. Faktisch erzwungene Einwilligungserteilungen sollen damit verhindert werden. Eine Einwilligung ist nicht freiwillig, wenn die betroffene Person keine andere Wahl hat, als der Datenverarbeitung zuzustimmen, um in den Genuss einer vertraglichen Leistung zu kommen. Hat die Betroffene keine wirkliche Wahl, fühlt sie sich zur Einwilligung gedrängt oder muss sie bei Verweigerung der Einwilligung negative Auswirkungen erdulden, ist die Einwilligung ungültig. Dies trifft im Beschäftigungskontext oft zu, weil ein Ungleichgewicht der Macht aufgrund der Abhängigkeit aus dem Dienstverhältnis gegeben ist.

Die §§ 12 und 13 DSG regeln speziell die Bildverarbeitung und sind grundsätzlich mangels unionsrechtlicher Grundlage nicht anzuwenden. Dies gilt für § 12 Abs 4 Z 2 DSG nicht, weil dessen Legitimität auf die spezifische Ermächtigung des Art 88 Abs 1 iVm Art 6 Abs 1 DSGVO gestützt werden kann. Nach § 12 Abs 4 Z 2 DSG ist die Bildaufnahme zum Zweck der Kontrolle von Arbeitnehmern unzulässig. Da die DSGVO keine speziellen Regelungen zu Bildaufnahmen vorsieht, ist diese Einschränkung zulässig, weil sich diese ausschließlich auf das Arbeitsrecht bezieht und nach Art 88 DSGVO für den Bereich des Arbeitsrechts eine Öffnungsklausel besteht. Die Kameras waren zwar nicht zu Kontrollzwecken der Arbeitnehmer installiert. Mit beiden zu beurteilenden Kameras war die Datenverarbeitung jedoch nicht erforderlich, weil weniger eingriffsintensive Maßnahmen hätten gesetzt werden können.

Das BVwG hat in seine Entscheidung alle Veränderungen bis zum Zeitpunkt der Erkenntniserlassung miteinzubeziehen und die neue Kennzeichnung der Videokameras auf Konformität nach Art 12 und 13 DSGVO zu prüfen. Ausreichend für die Informationserteilung einer Videoüberwachung ist eine Mehrebenen-Datenschutzerklärung. Auf der ersten Ebene erfolgt dabei ein Überblick über die Informationen, die zur Verfügung stehen und ein Verweis darauf, wo auf einer zweiten Ebene weitere Informationen zu finden sind. Demnach ist eine Information mit den essenziellen Informationen des Art 13 Abs 1 DSGVO (erste Ebene) in Kombination mit einem Piktogramm und einem QR-Code / einer Webadresse, welche zu umfassenderen Datenschutzinformationen (zweite Ebene) führt als Kennzeichnung für eine Kameraüberwachung ausreichend transparent.

BVwG 28.02.2024, W292 2235435-1

Ein Bürger stellte ein Auskunftsersuchen an den Österreichischen Presserat (Presserat). Der Presserat erteilte ihm die Auskunft, dass seine personenbezogenen Daten nicht nur wegen der von ihm eingebrachten Mitteilungen betreffend potenzielle Ethikverstöße verarbeitet wurden, sondern auch anlässlich einer von Dritten eingebrachten Mitteilung. Die Übermittlung dieser Mitteilung eines Dritten verweigerte der Presserat selbst in anonymisierter Form unter Berufung auf Betriebs- und Geschäftsgeheimnisse. Die auf eine Verletzung im Recht auf Auskunft gestützte Datenschutzbeschwerde wies die DSB ab. Auch die Bescheidbeschwerde des Bürgers hatte keinen Erfolg.

Das BVwG hat erwogen: Der Presserat ist eine als Verein eingerichtete Institution zur Förderung der Pressefreiheit sowie der redaktionellen Qualitätssicherung. In diesem Zusammenhang verfügt der Verein insbesondere über Kontrolleinrichtungen und Gremien, die bei Beschwerden von Betroffenen oder bei Mitteilungen von Lesern betreffend medienethisch relevante Sachverhalte tätig werden. Die Tätigkeit des Presserats unterliegt der DSGVO, weil es sich bei diesem weder um ein Medienunternehmen noch um einen Mediendienst handelt.

Der Presserat ist seinen Informationspflichten nach Art 14 DSGVO nachgekommen, obwohl der Ausnahmegrund des unverhältnismäßigen Aufwands der Verständigung einschlägig gewesen wäre. Eine Verständigung sämtlicher Personen, die in einer Mitteilung an den Presserat genannt werden, würde nicht nur einen unbewältigbaren Aufwand für den Presserat darstellen, sondern den geordneten Verfahrensablauf nach einer Presseratsmitteilung erschweren oder verunmöglichen.

Hinsichtlich der vom Bürger geforderten Übermittlung einer Kopie der Mitteilung eines Dritten an den Presserat wurde der Bürger transparent und verständlich darüber informiert, welche Daten, zu welchem Zweck und wie lange verarbeitet werden. Die Berufung auf Geschäfts- und Betriebsgeheimnisse war zwar unzulässig, weil ein Verein ideelle Zwecke verfolgt, womit die Verarbeitung der personenbezogenen Daten nicht in einem Geschäftsbetrieb erfolgt. Ein Anspruch auf Herausgabe von (auch anonymisierten) Mitteilungen von Dritten, mögen diese auch personenbezogene Daten des Auskunftswerbers enthalten, besteht jedoch nicht. Personen, die Mitteilungen bei möglichen Verstößen gegen den Ehrenkodex des Presserates an den Presserat richten, werden naturgemäß ein erhöhtes Interesse auf vertrauliche Behandlung ihrer Eingaben haben. Der Presserat kann seiner im öffentlichen Interesse gelegenen, staatlich geförderten Kontroll- und Aufklärungsfunktion nur dann uneingeschränkt und effektiv nachkommen, wenn Daten in Mitteilungen nicht an Dritte weitergegeben werden. Die Rechte Dritter können daher auch durch Anonymisierung nicht in ausreichendem Maße gewahrt werden, sodass der Presserat die Übermittlung der Kopie der Mitteilung zurecht verweigerte.

BVwG 18.03.2024, W211 2261881-1; BVwG 18.03.2024, W211 2261903-1; BVwG 19.03.2024, W211 2261795-1¸ BVwG 19.03.2024, W211 2262126-1

Ein Amt der Landesregierung (Amt) verschickte Corona-Impferinnerungsschreiben an "Ungeimpfte". Vier der Ungeimpften brachten Datenschutzbeschwerden bei der DSB ein und behaupteten, dass der Zugriff auf ihre Daten im zentralen Impfregister und im zentralen Patientenindex zur Versendung der personalisierten Schreiben unrechtmäßig war. Die DSB gab den Datenschutzbeschwerden statt. Die dagegen gerichteten Bescheidbeschwerden des Amtes hatten keinen Erfolg.

Das BVwG hat erwogen: Die Bestimmung des § 24d Abs 2 Z 5 GTelG erlaubt eine Datenverarbeitung der im Impfregister gespeicherten personenbezogenen Daten zum Zweck des Krisenmanagements im Rahmen des Ausbruchsmanagements von anzeigepflichtigen Krankheiten nur zur Unterstützung der hoheitlichen Aufgaben im Zusammenhang mit dem Epidemiegesetz. Im Zeitpunkt der Versendung der Schreiben gab es jedoch im Epidemiegesetz keine hoheitliche Aufgabe, die die vorliegende Datenverarbeitung hätte rechtfertigen können. Die entsprechende Regelung "Erinnerung an Auffrischungsimpfungen gegen COVID-19" in § 4g EpiG ist erst nach dem Versenden der Schreiben in Kraft getreten. Somit handelte es sich bei den Impferinnerungsschreiben um keine Maßnahmen iSd § 24d Abs 2 Z 5 GTelG und die Datenverarbeitungen verletzten das Recht auf Geheimhaltung der Ungeimpften. Der Zugriff auf die Daten im zentralen Impfregister gemäß § 24f Abs 4 Z 5 GTelG ist an den Zweck des Krisenmanagements gebunden. Daher war das Amt nicht berechtigt, auf diese Daten zuzugreifen. Daraus lässt sich auch ableiten, dass auf den Patientenindex gemäß § 4 Abs 3 GTelG keine Zugriffsberechtigung vorlag.

Wird ein Auskunftsersuchen über Aufzeichnungen mit einer Videokamera gestellt, darf die Auskunft verweigert werden, wenn der Zeitraum, in dem die Aufzeichnungen erfolgt sein sollen, nicht hinreichend präzise bezeichnet wird (Datum und Uhrzeit) und zur Identifizierung des Betroffenen eine große Datenmenge zu verarbeiten wäre. Werden zum Zeitpunkt des Einlangens des Auskunftsersuchens keine Daten über den Betroffenen (mehr) verarbeitet, wird mit einer Negativauskunft der Auskunftspflicht entsprochen (BVwG 12.02.2024, W176 2247266-1).

Anm: Dieses Erkenntnis enthält (obiter dicta) eine wesentliche Präzisierung, wie mit Auskunftsersuchen wegen Videoaufzeichnungen umzugehen ist. Gemeinsam mit der oben angeführten Entscheidung (BVwG 18.01.2024, W137 2263970-1) und einer rezenten Entscheidung der DSB (DSB 04.08.2023, 2023-0.159.938) entsteht ein zunehmend klares Bild, was beim Einsatz von Videoüberwachung zu beachten ist.

Art 15 Abs 3 DSGVO räumt den Betroffenen kein eigenständiges Recht auf Kopien von Auszügen aus Dokumenten oder Datenbanken ein. Zudem ist das Auskunftsrecht als ein sehr bedeutsames, aber nur vorgelagertes Recht zu verstehen, das die Ausübung weiterer Betroffenenrechte ermöglicht (BVwG 23.02.2024, W211 2262850-2).

Eine Datenverarbeitung im Einklang mit den anzuwendenden Verfahrensgesetzen ist zulässig. Die Verpflichtung zur Beschränkung der Akteneinsicht zum Schutz personenbezogener Daten trifft nicht die Staatsanwaltschaft, sondern das zuständige Strafgericht (BVwG 23.01.2024, W108 2250843-1).

Der Grundsatz der Rechenschaftspflicht erfordert, dass der Verantwortliche nachweisen ("und dokumentieren") muss, welche Informationen der Betroffene nach Art 13 und 14 DSGVO bereits hat, wie und wann er diese erhalten hat und dass seitdem keine Änderungen an den Informationen vorgenommen wurden, die sie veraltet bzw unrichtig machen würden. Mit der nachträglichen Erteilung der Informationen wird die Beschwer jedoch beseitigt (BVwG 13.02.2024, W221 2243696-1).

Eine grenzüberschreitende Datenverarbeitung liegt nur dann vor, wenn jemand von einer Datenverarbeitung betroffen ist und dies wahrscheinlich gewisse Auswirkungen von beträchtlichem Ausmaß auf diese Person hat. Die Aufsichtsbehörden haben jeweils im Einzelfall zu bestimmen, inwieweit erhebliche Auswirkungen gegeben sind (risikobasierter Ansatz). Der durchzuführenden Abwägung liegt somit eine Prognoseentscheidung zugrunde, weil ein (auch bloß möglicher) Nachteil auf Personen anderer Mitgliedsstaaten zu berücksichtigen ist (BVwG 14.03.2024, W137 2280743-1).

Ein Auskunftsersuchen, das darauf abzielt, trotz eines aufrechten Kontaktverbots eine Kontaktmöglichkeit zum minderjährigen Sohn zu erlangen, ist exzessiv (BVwG 21.02.2024, W137 2280882-1).

Die Namen von Mitarbeitern dürfen zum Schutz ihrer nachvollziehbaren und schutzwürdigen Interessen auch bei der Akteneinsicht geschwärzt werden, sofern die Offenlegung der Namen für die effektive Rechtsverfolgung nicht von Bedeutung ist (BVwG 04.03.2024, W211 2263780-1).

Bewerbungsunterlagen dürfen für sieben Monate aufbewahrt werden. Ist im Bewerbungsformular in eine dreijährige Evidenzhaltung einzuwilligen, kann dem Arbeitssuchenden nicht vorgeworfen werden, dass er seine Einwilligung verweigert und das Beschäftigungsverhältnis deshalb nicht zustande kommt (BVwG 15.03.2024, W269 2277315-1).

Nachdem einem Löschungsersuchen entsprochen wurde, ist einem Auskunftsersuchen mit einer (eingeschränkten) Negativauskunft zu entsprechen. Stehen zur Herkunft von Daten keine Informationen zur Verfügung, besteht dennoch keine nachträgliche Erhebungspflicht (BVwG 20.03.2024, W221 2257567-1).

Die Dienstbehörde darf zur Wahrnehmung der Dienstaufsicht im Büro eines Gerichtsreferenten Nachschau halten, handschriftlich Akten der Gerichtsabteilung erfassen und Lichtbilder vom Arbeitsplatz anfertigen. Daran ändert es auch nichts, wenn die Lichtbilder auf einem privaten Mobiltelefon gespeichert werden (BVwG 23.02.2024, W108 2278709-1).

Die Datenschutzbeschwerde ist der falsche Weg, um behauptete Verletzungen des Beamtendienstgesetzes geltend zu machen (BVwG 23.02.2024, W137 2277123-1).

Im Einklang mit der ständigen Rechtsprechung behob das BVwG den Bescheid der DSB, weil darin in einem amtswegigen Prüfverfahren eine Rechtsverletzung in einem selbständigen Spruchpunkt festgestellt wurde, obwohl es hierfür keine Rechtsgrundlage gibt (BVwG 22.03.2024, W211 2213604-1).

Wer gegen einen Bescheid der DSB Bescheidbeschwerde an das BVwG erhebt, hat die Eingabegebühr iHv EUR 30 zu entrichten (BFG 19.03.2024, RV/7104071/2023).

DSB 04.01.2024, 2023-0.592.319

Ein Fußballverband speicherte auf einer öffentlichen Webseite personenbezogene Daten zu Spielern, die in seiner Liga teilnahmen. Ein seit 2019 nicht mehr aktiver Spieler ersuchte 2020 um die Löschung seiner Daten. Der Fußballverband lehnte die Löschung aufgrund der Speicherung aus Statistikgründen ab. Der Spieler brachte Datenschutzbeschwerde bei der DSB ein. Die DSB gab ihm Recht und forderte den Verband zur Datenlöschung auf, welcher dieser nicht nachkam. Daraufhin leitete die DSB ein Verwaltungsstrafverfahren gegen den Fußballverband ein.

Die DSB verhängte eine Geldstrafe in der Höhe von EUR 11.000 – zuzüglich EUR 1.100 Verfahrenskosten – gegen den Fußballverband, weil der Fußballverband (i) keine geeigneten technischen und organisatorischen Maßnahmen ergriff, um Spielerdaten gänzlich aus der Datenbank zu entfernen, (ii) dem Löschungsersuchen des Spielers nicht vollständig nachkam und (iii) die Anweisung der Datenschutzbehörde nicht befolgte, wodurch der Verband seine Rechenschafts- und Kooperationspflicht verletzte.

DSB 06.09.2023, 2022-0.858.901

In einer Mittelschule wurden in der Vergangenheit mehrmals Wertsachen des Lehrpersonals gestohlen. Zum Schutz vor (weiteren) Diebstählen, aber auch zum Schutz von Personen und vor Überfällen, installierte die Mittelschule in ihren Schulräumlichkeiten insgesamt vier Überwachungskameras. Die Videoüberwachung erfolgte sowohl während als auch außerhalb der Schulstunden. Die DSB leitete ein amtswegiges Prüfverfahren ein und stellte fest, dass die Bildverarbeitung entgegen Art 6 Abs 1 DSGVO nicht rechtmäßig erfolgte und trug der Mittelschule auf, die Videoüberwachung auf die Zeit außerhalb der Schulstunden zu begrenzen.

Die DSB hat erwogen: Bei der Mittelschule handelt es sich um eine öffentliche Pflichtschule. Verantwortliche für die gegenständliche Bildverarbeitung ist folglich eine öffentliche Stelle. Hinsichtlich der Beurteilung, ob die Videoüberwachung zu hoheitlichen Zwecken oder im Rahmen der Privatwirtschaftsverwaltung erfolgt, kommt es darauf an, ob die Videoüberwachung nur während der Nachtstunden oder auch während des Schulbetriebs erfolgt. Während des Schulbetriebs agiert die Schule als öffentliche Stelle im Rahmen der Hoheitsverwaltung. Zwar lagen im gegenständlichen Fall berechtigte Interessen iSd Art 6 Abs 1 lit f DSGVO (Eigentums- und Personenschutz) vor, doch bedarf es während des Schulbetriebes einer ausdrücklichen, hinreichend determinierten gesetzlichen Ermächtigung. Eine derartige gesetzliche Ermächtigung zur Videoüberwachung in Schulgebäuden lag weder mit § 51 Abs 3 Schulunterrichtsgesetz, wonach die Pausenaufsicht vom Lehrpersonal wahrzunehmen ist, noch mit einer anderen gesetzlichen Bestimmung vor. Eine durchgehende Videoüberwachung auf sämtlichen Gängen der Mittelschule stellt darüber hinaus nicht das gelindeste Mittel dar, zumal Kinder nach ErwGr 38 DSGVO einen besonderen Schutz ihrer personenbezogenen Daten genießen.

Die Videoüberwachung während der Nachtstunden, also außerhalb des Schulbetriebes, erfolgte hingegen zulässigerweise im Rahmen privatwirtschaftlichen Handelns und unterlag dem Hausrecht der Schule.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Gegenstand des Verfahrens sind Erlaubnistatbestände des Art 6 DSGVO, der Grundsatz der Datenminimierung sowie die Verarbeitung sensibler Daten.

Am 04.2024 wird das Urteil des EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, verkündet. Der EuGH wird über (i) die Zulässigkeit des Zugangs einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdienste aufbewahrten Daten, (ii) die Auslegung des Begriffs "schwere Kriminalität" sowie (iii) die Aufbewahrungsfrist von 24 Monaten ab dem Zeitpunkt der Kommunikation entscheiden.

Am 04.2024 wird das Urteil des EuGH in der Rs C-470/21, La Quadrature du Net II, verkündet. Der EuGH wird über die Rechtsnatur von Identitätsdaten, die einer IP-Adresse zugeordnet sind, entscheiden.

Am 05.2024 wird das Urteil des EuGH in der Rs C-115/22, NADA, verkündet. Die Unabhängige Schiedskommission in Wien befragt den EuGH zur Zulässigkeit der Veröffentlichung des Namens einer Person, die einen Dopingverstoß begangen hat.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

DSB 18.12.2023, 2023-0.594.826

Die Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) leitete eine interne Untersuchung wegen angeblicher sexueller Belästigung und Diskriminierung gegen einen Botschafter, der als Projektkoordinator für die OSZE tätig war, ein. In diese Untersuchung waren auch vier Mitarbeiter der OSZE involviert. Das Diensthandy des Botschafters wurde beschlagnahmt und forensisch ausgewertet, wobei auch gelöschte Inhalte wieder hergestellt wurden. Die ausgewertete Kommunikation zeigte kein belästigendes oder diskriminierendes Verhalten. Jedoch ergab der forensische Bericht, dass die wiederhergestellten Fotos ua Nacktheit und pornographische Inhalte enthielten. Deshalb leitete die OSZE ein weiteres Verfahren wegen Verletzung der OSCE-Codes of Conduct und anderer OSZE-Vorschriften gegen den Botschafter ein.

Das Diensthandy des Botschafters war in ein Privat- und ein Arbeitsprofil unterteilt. Aus dem Diensthandy wurden eine große Menge an Daten extrahiert, darunter auch Daten über die Intimsphäre des Botschafters und seiner Ehefrau sowie Gesundheitsdaten. Der Botschafter forderte die Löschung der erlangten Daten und Auskunft über die Empfänger dieser Daten. Die OSZE lehnte diese Anträge ab. Daraufhin erhoben der Botschafter und dessen Ehefrau eine Datenschutzbeschwerde bei der DSB gegen die OSZE sowie gegen die vier beteiligten Mitarbeiter der OSZE. Die DSB wies die Datenschutzbeschwerde hinsichtlich der vier Mitarbeiter ab und betreffend die OSZE zurück.

Die DSB hat erwogen:  Die vier Mitarbeiter handelten im Rahmen ihrer Tätigkeit für die OSZE. Ihr Verhalten ist der OSZE zuzurechnen. Eine Kompetenzüberschreitung der vier Mitarbeiter kam nicht hervor. Es ist daher von keiner datenschutzrechtlichen Verantwortlichkeit der vier als Beschwerdegegner benannten Mitarbeiter auszugehen. Verantwortliche ist nur die OSZE.

Die OSZE ist eine internationale Organisation mit Amtssitz in Wien. Eine Datenverarbeitung durch eine internationale Organisation mit Sitz in Wien fällt sachlich (Art 2 DSGVO) und räumlich (Art 3 DSGVO) in den Anwendungsbereich der DSGVO. Nach gefestigter Rechtsprechung europäischer Höchstgerichte genießen internationale Organisationen keine vollständige Immunität in ihrem Sitzstaat. Eine grundsätzliche Zuständigkeit der Gerichte und Verwaltungsbehörden des Sitzstaats besteht aber nur dann, wenn dies im Amtssitzabkommen vorgesehen oder zumindest nicht ausgeschlossen ist. Zudem hängt die Zuständigkeit dieser Gerichte und Behörden davon ab, ob bei der internationalen Organisation ein angemessener alternativer Rechtsweg eingerichtet ist.

Die internen Regelungen der OSZE zum Datenschutz sind zwar nicht vollständig mit der DSGVO vergleichbar, ermöglichen aber ein Beschwerderecht und Rechtsmittelschutz. Es liegen keine Anhaltspunkte vor, dass das Amtssitzabkommen offenkundig gegen Unionsrecht verstößt und somit nicht zur Anwendung gelangt. Die OSZE genießt daher aufgrund des Amtssitzabkommens (BGBl III 2018/84) und ihrer eigenständigen Regelungen zum Schutz personenbezogener Daten Immunität gegenüber Handlungen der DSB. Die OSZE kann vor der DSB nicht belangt werden, außer sie verzichtet auf die ihr eingeräumte Immunität.

Der Botschafter könnte gegebenenfalls durch die internen datenschutzrechtlichen Regelungen der OSZE in seinen verfassungsgesetzlich gewährleisteten Rechten verletzt worden sein. Für die Prüfung der Verfassungsmäßigkeit ist jedoch der VfGH und nicht die DSB zuständig.

DSB 09.01.2023, 2022-0.479.809

Ein österreichischer Künstler erstellte einen Wikipedia-Beitrag über sich selbst. Anschließend ist der Beitrag vom Künstler selbst, aber auch von anderen Wikipedia-Nutzern bearbeitet worden. Der Künstler war mit dem Beitrag in der auch von anderen Nutzern bearbeiteten Form nicht (mehr) einverstanden und ersuchte Wikimedia, die Betreiberin von Wikipedia, um Löschung des Beitrags. Wikimedia entsprach dem Ersuchen des Künstlers nicht und der Künstler durfte den Beitrag auch nicht in seinem Sinne vervollständigen. Deshalb brachte er Datenschutzbeschwerde bei der DSB ein, die die Datenschutzbeschwerde abwies.

Die DSB hat erwogen: Die Wikimedia hat ihren Sitz in den USA. Sie verfügt als Dachorganisation aber auch über 38 Vereine, von welchen sich mindestens einer in Österreich befindet. Auf diesen Verein ist die Domain wikipedia.at registriert und über diese Domain wird man automatisch auf die Domain de.wikipedia.org weitergeleitet. Der Wikipedia-Beitrag über den Künstler ist auf Deutsch veröffentlicht. Die DSGVO ist auf Datenverarbeitungen durch Wikimedia anzuwenden, weil Wikimedia Informationsdienstleistungen anbietet und diese auf den österreichischen Markt ausrichtet ("Marktortprinzip"). Die Unentgeltlichkeit spielt keine Rolle.

Wikimedia brachte vor, dass sie für die Verarbeitung der Daten des Beschwerdeführers nicht verantwortlich sei. Die Löschung von Wikipedia-Beiträgen werde von sog Administratoren, die aus dem Kreis der Wikipedia-Nutzer gewählt werden, durchgeführt. Für die Verantwortlicheneigenschaft ist es jedoch nicht erforderlich, dass der Verantwortliche selbst Daten verarbeitet oder auf Daten zugreift. Wikimedia verfügt über bestimmte Durchgriffsrechte und ist verantwortlich für Finanzierung, Öffentlichkeitsarbeit und diverse technische und rechtliche Aufgaben. Somit ist Wikimedia neben den Administratoren zumindest "Gemeinsam Verantwortliche".

Wikimedia ist kein Medienunternehmen. Weder hat Wikimedia einen Chefredakteur, einen Redaktionsausschuss, eine Verwaltungsstelle noch eine ähnliche Einrichtung. Wikimedia kontrolliert auch nicht, welche Beiträge von den Nutzern veröffentlicht werden. Auch eine redaktionelle Tätigkeit wird von Wikimedia nicht durchgeführt. Das Medienprivileg iSd § 9 Abs 1 DSG gelangt daher nicht zur Anwendung.

Der Wikipedia-Beitrag über den Künstler bedarf keiner Vervollständigung. Die Rechtspflicht des Verantwortlichen zur Vervollständigung besteht nur dann, wenn die hinzugefügten Informationen für den Verarbeitungsprozess tatsächlich relevant sind, um die objektive Richtigkeit der Daten zu gewährleisten. Über den Künstler ergibt sich kein unzutreffendes Bild, das durch Hinzufügen weiterer Daten korrigiert werden müsste.

Das Recht auf Löschung besteht nicht, wenn die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist. Es ist eine Interessenabwägung iSd Art 6 Abs 1 lit f DSGVO zwischen dem Interesse auf Meinungsäußerungsfreiheit und dem Interesse des Künstlers auf Geheimhaltung seiner Daten durchzuführen.

Das Interesse von Wikimedia besteht darin, eine Online-Enzyklopädie zu betreiben. Das Interesse der Allgemeinheit besteht darin, diese unentgeltlich angebotene Informationsdienstleistung in Anspruch zu nehmen. Das Geheimhaltungsinteresse des Künstlers ist gering, weil er eine Person des öffentlichen Lebens ist und die im Wikipedia-Beitrag veröffentlichten Informationen auch an anderen Stellen öffentlich verfügbar sind. Der Tatbestand des Art 17 Abs 3 lit a DSGVO ist erfüllt, weshalb Wikimedia dem Löschungsersuchen des Künstlers zu Recht nicht entsprach.

Am 04.2024 wird das Urteil des EuGH in der Rs C-741/21, juris, verkündet. Der EuGH wird über mehrere Fragen zum immateriellen Schaden entscheiden, darunter zur Erheblichkeit, zum Verschulden und zur Bemessung der Höhe des Schadenersatzes.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-768/21, Land Hessen, veröffentlicht. Gegenstand des Verfahrens ist die Frage, ob die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, stets verpflichtet ist, eine der Maßnahmen gemäß Art 58 Abs 2 DSGVO zu ergreifen.

Am 16.04.2024 wird eine mündliche Verhandlung in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission, durchgeführt. Im Wesentlichen geht es um die Frage, ob der Europäische Datenschutzausschuss (EDSA) befugt war, der irischen Aufsichtsbehörde, der Data Protection Commission, aufzutragen, eine neuerliche Untersuchung gegen Meta Platforms Ireland Limited und ihren Facebookdienst durchzuführen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Gegenstand des Verfahrens sind Erlaubnistatbestände des Art 6 DSGVO, der Grundsatz der Datenminimierung sowie die Verarbeitung sensibler Daten.

Am 04.2024 wird das Urteil des EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, verkündet. Der EuGH wird über (i) die Zulässigkeit des Zugangs einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdienste aufbewahrten Daten, (ii) die Auslegung des Begriffs "schwere Kriminalität" sowie (iii) die Aufbewahrungsfrist von 24 Monaten ab dem Zeitpunkt der Kommunikation entscheiden.

Am 04.2024 wird das Urteil des EuGH in der Rs C-470/21, La Quadrature du Net II, verkündet. Der EuGH wird über die Rechtsnatur von Identitätsdaten, die einer IP-Adresse zugeordnet sind, entscheiden.

VwGH 28.02.2024, Ro 2024/04/0001; VwGH 28.02.2024, Ro 2023/04/0032

Eine Kreditauskunftei erteilte zwei Betroffenen jeweils Auskunft ua über verschiedene Bonitätsscores. Beide Betroffene erhoben Datenschutzbeschwerde an die DSB. Die DSB gab beiden Datenschutzbeschwerden teilweise statt, weil die erteilten Auskünfte über die Bonitätsscores nach Ansicht der DSB den Vorgaben des Art 15 Abs 1 lit h DSGVO nicht entsprachen. Das BVwG gab den Bescheidbeschwerden der Kreditauskunftei statt, weil die erteilten Auskünfte nach Ansicht des BVwG – unabhängig davon, ob diese Bestimmung überhaupt anzuwenden ist – den Vorgaben des Art 15 Abs 1 lit h DSGVO entsprachen.

Gemäß Art 15 Abs 1 lit h DSGVO sind betreffend eine "automatisierte Entscheidungsfindung einschließlich Profiling" aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung zu erteilen. Der EuGH sprach aus, dass uU der von einer Kreditauskunftei errechnete Scorewert als automatisierte Entscheidungsfindung zu qualifizieren ist (EuGH 07.12.23, C-634/21, SCHUFA Holding (Scoring)). Der VwGH dürfte daher davon ausgehen, dass über die vor ihm verfahrensgegenständlichen Bonitätsscores eine Auskunft gemäß Art 15 Abs 1 lit h DSGVO zu erteilen ist.

Über ein Vorabentscheidungsersuchen des LVwG Wien ist allerdings derzeit beim EuGH die Frage anhängig, welche inhaltlichen Erfordernisse eine Auskunft über Scorewerte erfüllen muss, damit die Auskunft als ausreichend "aussagekräftig" im Sinne des Art 15 Abs 1 lit h der DSGVO einzustufen ist (C-203/22, Dun & Bradstreet Austria).

Vor diesem Hintergrund setzte der VwGH beide bei ihm anhängigen Verfahren bis zur Entscheidung des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, aus.

OLG Graz 12.02.2024, 9Bs274/23x

Die Staatsanwaltschaft Graz (StA) führte gegen hunderte Beschuldigte ein Ermittlungsverfahren wegen des Verdachts der Fälschung von Beweismitteln. Die Ermittlungsakten enthielten eine Patientenliste mit folgenden Daten: Name, Geburtsdatum, Adresse, E-Mail-Adresse und Bezahlungshinweise. Diese Liste konnte im Rahmen der Akteneinsicht von sämtlichen Mitbeschuldigten eingesehen werden. Zwei der Beschuldigten erachteten sich dadurch in ihrem Grundrecht auf Datenschutz verletzt und erhoben Einspruch wegen Rechtsverletzung. Das Landesgericht für Strafsachen Graz gab dem Einspruch nicht Folge. Der Beschwerde der beiden Einspruchswerber gegen diesen Beschluss wurde vom OLG Graz auch nicht Folge gegeben.

Das OLG Graz hat erwogen: Mittels Einspruch kann nicht nur die Verletzung ausdrücklich in der StPO eingeräumter Rechte geltend gemacht werden, sondern es fließen über § 5 Abs 1 StPO auch die Garantien der EMRK in die Bestimmung des § 106 Abs 1 StPO ein. Daher kann grundsätzlich auch wegen der Verletzung des Grundrechts auf Datenschutz Einspruch erhoben werden. Allerdings gilt das DSG bloß subsidiär gegenüber der StPO, die einen "generalisierend" wirkenden Vorrang gegenüber dem DSG hat. Nach § 74 StPO, der die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten normiert, ist nicht zu kritisieren, dass die in der Patientenliste enthaltenen Daten der Einspruchswerber von der StA zu den Akten genommen und verarbeitet wurden, weil dies zur Aufklärung von Straftaten zwingend erforderlich war. Da die Patientenliste keine hochsensiblen medizinischen Daten enthielt, wurde keine Rechtsverletzung bewirkt.

Zudem darf das verfassungsrechtlich gewährleistete Recht eines Beschuldigten, in sämtliche Ergebnisse des Ermittlungsverfahrens Einsicht zu nehmen, nur in den in § 51 Abs 1 StPO normierten Ausnahmefällen beschränkt werden, die nicht vorlagen. Im Verhältnis zu Mitbeschuldigten sieht das Gesetz in Bezug auf den Umfang der Akteneinsicht – anders als bei Opfern, Privatbeteiligten oder Privatanklägern – auch keine Interessenabwägung vor. Damit hatte die StA keine gesetzliche Grundlage dafür, die Patientenliste für Mitbeschuldigte von der Akteneinsicht auszunehmen. Durch die Gewährung der Akteneinsicht und die Weitergabe der Liste mit personenbezogenen Daten wurden die Einspruchswerber in ihren subjektiven Rechten nicht verletzt.

BVwG 21.02.2024, W137 2261065-1

Während der COVID-19-Pandemie wurden Impferinnerungsschreiben an nicht geimpfte Personen gesendet, was eine Vielzahl von Datenschutzbeschwerden bei der DSB zur Folge hatte. Ein Empfänger brachte Datenschutzbeschwerde ausdrücklich gegen eine Landesregierung ein. Die DSB änderte die Datenschutzbeschwerde jedoch nach einer Stellungnahme in einem Parallelverfahren, in welcher sich das Amt der Landesregierung (das Amt) als Verantwortlicher der Datenverarbeitung bezeichnete, dahingehend ab, dass sie das Verfahren nun gegen das Amt führte. In weiterer Folge gab die DSB der Datenschutzbeschwerde statt und begründete dies mit dem unrechtmäßigen Zugriff des Amtes auf die im Impfregister hinterlegten Daten. Gegen diesen Bescheid erhob das Amt eine Bescheidbeschwerde.

Das BVwG hat erwogen: Der Empfänger des Schreibens hatte in seiner Datenschutzbeschwerde ausdrücklich die Landesregierung als Beschwerdegegner benannt. Die DSB hingegen hat in ihrer Entscheidung jemand anderen, nämlich das Amt, als Beschwerdegegner angeführt und somit den falschen datenschutzrechtlichen Verantwortlichen herangezogen. Das Impferinnerungsschreiben wurde von der Landesregierung, der Ärztekammer sowie anderen Organen und diversen Sozialversicherungsträgern unterfertigt und enthielt keinerlei Hinweise auf das Amt. Wenn die DSB feststellt, dass der ursprünglich als Beschwerdegegner benannte nicht der Verantwortliche für die Datenverarbeitung ist, hat sie die Datenschutzbeschwerde abzuweisen. Da es der DSB nicht zusteht, den Parteiantrag einseitig abzuändern, hat sie durch die Änderung des Beschwerdegegners die "Sache" des Verwaltungsverfahrens überschritten. Auch eine Erklärung gegenüber dem Empfänger des Schreibens, dass das Verfahren gegen jemand anderen geführt wird, ändert daran nichts. Der Bescheid der DSB war daher ersatzlos zu beheben.

Eine den Verfahrensgesetzen entsprechende Verwendung personenbezogener Daten, auch wenn es sich um Gesundheitsdaten handelt, ist grundsätzlich auch aus datenschutzrechtlicher Sicht zulässig (BFG 06.01.2024, RV/7100970/2023).

Das Recht auf Auskunft gemäß Art 15 DSGVO bezieht sich nicht auf Auskunftsrechte über Daten von Dritten. Für die Behandlung einer Beschwerde wegen Verarbeitung personenbezogener Daten ist zudem nicht der Magistrat der Stadt Wien, sondern die Datenschutzbehörde zuständig (LVwG Wien 23.02.2024, VGW-101/032/11502/2023).

DSB 04.08.2023, 2023-0.159.938

Ein anonymer Hinweis informierte die DSB über ein Videoüberwachungssystem in der Wohnhausanlage einer gemeinnützigen Wohnbaugesellschaft. Daraufhin leitete die DSB ein amtswegiges Prüfverfahren ein. In der Vergangenheit hatten sich dort vermehrt Diebstähle und Sachbeschädigungen in ua Keller- und Fahrradräumlichkeiten ereignet. Zudem haben sich vermehrt hausfremde Personen in der Garage und im Stiegenhaus aufgehalten. Aufgrund dessen installierte die gemeinnützige Wohnbaugesellschaft zur Verbesserung der Sicherheit ein elektronisches Zugangssystem und eine Videoüberwachungsanlage mit 38 Videokameras, um Eigentum und Bewohner zu schützen. Die DSB stellte hinsichtlich 30 der Videokameras einen Verstoß gegen die DSGVO fest, trug der Wohnbaugesellschaft auf, den Aufnahmebereich zwei der Videokameras einzuschränken und untersagte die Datenverarbeitung mit den übrigen 28 (rechtswidrig betriebenen) Videokameras.

Die DSB hat erwogen: Eine Videoüberwachung in allgemeinen Teilen einer Liegenschaft ist als Maßnahme der außerordentlichen Verwaltung iSd § 29 Abs 1 WEG anzusehen. Daher könnte selbst bei faktischem Vorliegen eines Mehrheitsbeschlusses jeder der überstimmten Wohnungseigentümer die gerichtliche Aufhebung des Mehrheitsbeschlusses verlangen.

Als Erlaubnistatbestand kommen die Erfüllung eines Vertrages (Art 6 Abs 1 lit b DSGVO) sowie die berechtigten Interessen der Wohnbaugesellschaft, anderer Miteigentümer und Dritter (Art 6 Abs 1 lit f DSGVO) in Frage. Zwischen der Wohnbaugesellschaft und den Hausbewohnern besteht ein Bestandsvertragsverhältnis (Mietvertrag), die dauerhafte Videoüberwachung aller Bewohner bei jedem Betreten und Verlassen des Wohnobjekts ist dadurch jedoch nicht rechtfertigbar.

Die Videoüberwachung an öffentlich zugänglichen Orten zum Schutz von Personen und Eigentum ist gemäß Art 6 Abs 1 lit f DSGVO grundsätzlich zulässig, sofern bereits Rechtsverletzungen stattgefunden haben oder ein hohes Gefährdungspotenzial besteht. Der EuGH sieht den Betrieb solcher Videoüberwachungssysteme zum Eigentumsschutz als berechtigtes Interesse an. Dennoch muss jede Datenverarbeitung, einschließlich Videoüberwachung, die Grundsätze des Art 5 Abs 1 DSGVO (ua Datenminimierung) erfüllen. Die Wohnbaugemeinschaft hat gemeinsam mit der Videoüberwachung ein elektronisches Zugangssystem eingebaut. Der Zweck, hausfremde Personen vom Wohnhaus fernzuhalten, wurde bereits durch dieses gelindere Mittel erreicht.

Zwei der Kameras dienten dem Zweck, den Diebstahl von Paket- und Briefsendungen zu verhindern. Hierfür genügt es jedoch, wenn die Aufnahmebereiche der Kameras auf die Abholstationen der Post eingeschränkt werden.

Soweit die Aufnahmebereiche der Kameras die Bereiche innerhalb der Müll-, Fahrrad- und Kinderwagenabstellräume erfassen, erfolgt die Videoüberwachung zur Verhinderung von Diebstählen und Sachbeschädigungen rechtmäßig, weil gelindere Mittel (zB Attrappen) nicht geeignet sind. Soweit die Kameras jedoch die vor diesen Räumen befindlichen Gangbereiche aufzeichnen, erfolgt die Datenverarbeitung rechtswidrig.

Die komplette Überwachung von Gemeinschaftsbereichen stellt einen unverhältnismäßig schweren Eingriff in das Grundrecht auf Geheimhaltung der Bewohner bzw deren Besucher dar. Das Interesse der Bewohner und ihrer Gäste, dass ihre personenbezogenen Daten nicht bei jedem Verlassen und Betreten der Wohnungen durch Bildaufnahmen aufgezeichnet werden, wiegt schwerer als das berechtigte Interesse der Wohnbaugesellschaft am Schutz ihres Eigentums. Folglich ist die Verarbeitung personenbezogener Daten durch jene Kameras, deren Aufnahmebereiche alle Personen beim Verlassen und Betreten des Wohnobjekts erfassen, durch das berechtigte Interesse der Wohnbaugesellschaft nicht gedeckt. Anm: Die Entscheidung ist für die Praxis ein guter Leitfaden, unter welchen Voraussetzungen die DSB den Einsatz von Videoüberwachung akzeptiert. Nach ständiger Rechtsprechung des VwGH hat die DSB keine Kompetenz, in einem von Amts wegen eingeleiteten Prüfverfahren einen Verstoß gegen die DSGVO festzustellen. Weshalb die DSB dies dennoch getan hat, ist nicht nachvollziehbar und wird auch nicht begründet.

DSB 08.09.2021, 2021-0.474.768

Die berufliche Stellung eines Mitarbeiters des Bundesamtes für Verfassungsschutz und Terrorismusbekämpfung (BVT) wurde durch eine Aktenvorlage des Bundesministers für Inneres (BMI) an die Mitglieder des BVT-Untersuchungsausschusses offengelegt. Die Daten waren Teil eines als vertraulich klassifizierten Aktes. Der BVT-Mitarbeiter brachte Datenschutzbeschwerde bei der DSB ein. Die DSB stellte fest, dass der BMI durch Offenlegung der Daten gegenüber dem BVT-Untersuchungsausschuss das Recht des BVT-Mitarbeiters auf Geheimhaltung verletzte.

Die DSB hat erwogen: Art 53 Abs 3 letzter Satz B-VG normiert das Geheimhaltungsinteresse von "Quellen" und stellt somit eine Ausnahme von der sonst geltenden Vorlagepflicht an einen Untersuchungsausschuss dar. Daraus ergibt sich eine objektive Verpflichtung, die vom zuständigen Organ (hier: der BMI) einzuhalten ist. Ein subjektives Geheimhaltungsrecht des Betroffenen lässt sich aus dieser Bestimmung nicht ableiten. Werden personenbezogene Daten entgegen dieser Bestimmung vorgelegt, bewirkt diese objektive Rechtsverletzung eine Verletzung des verfassungsgesetzlich gewährleisteten und subjektiven Rechts auf Geheimhaltung gemäß § 1 DSG. Der Betroffene kann daher Datenschutzbeschwere erheben.

Beschränkungen des Grundrechts auf Datenschutz dürfen nur in der gelindesten, zum Ziel führenden Art vorgenommen werden. Der BMI bezweckte mit der Vorlage der Unterlagen den Nachweis von rational begründeten und frei von politischer Einflussnahme erfolgten personellen Maßnahmen bezüglich des BVT-Mitarbeiters. Der verfolgte Zweck hätte auch durch Übermittlung geschwärzter Akten erreicht werden können. Die ungeschwärzte Übermittlung der personenbezogenen Daten des BVT-Mitarbeiters verstieß daher gegen seine Geheimhaltungsinteressen.

Am 04.2024 wird das Urteil des EuGH in der Rs C-741/21, juris, verkündet. Der EuGH wird über mehrere Fragen zum immateriellen Schaden entscheiden, darunter zur Erheblichkeit, zum Verschulden und zur Bemessung der Höhe des Schadenersatzes.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-768/21, Land Hessen, veröffentlicht. Gegenstand des Verfahrens ist die Frage, ob die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, stets verpflichtet ist, eine der Maßnahmen gemäß Art 58 Abs 2 DSGVO zu ergreifen.

Am 04.2024 wird eine mündliche Verhandlung in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission, stattfinden. Im Wesentlichen geht es um die Frage, ob der Europäische Datenschutzausschuss (EDSA) befugt war, der irischen Aufsichtsbehörde, der Data Protection Commission, aufzutragen, eine neuerliche Untersuchung gegen Meta Platforms Ireland Limited und ihren Facebookdienst durchzuführen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Gegenstand des Verfahrens sind Erlaubnistatbestände des Art 6 DSGVO, der Grundsatz der Datenminimierung sowie die Verarbeitung sensibler Daten.

Am 04.2024 wird das Urteil des EuGH in der Rs C-178/22, Procura della Repubblica presso il Tribunale di Bolzano, verkündet. Der EuGH wird über (i) die Zulässigkeit des Zugangs einer Staatsanwaltschaft zu bei Betreibern elektronischer Kommunikationsdiensten aufbewahrter Daten, (ii) die Auslegung des Begriffs "schwere Kriminalität" sowie (iii) die Aufbewahrungsfrist von 24 Monaten ab dem Zeitpunkt der Kommunikation entscheiden.

EuGH 21.03.2024, C-61/22, Landeshauptstadt Wiesbaden

Ein Unionsbürger beantragte bei der Stadt Wiesbaden die Ausstellung eines neuen Personalausweises und verlangte, dass hierfür seine Fingerabdrücke nicht aufgenommen werden sollten. Die Stadt Wiesbaden lehnte den Antrag ab und berief sich auf die VO 2019/1157, welche die Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen vorsieht.

Das vorlegende Gericht fragte den EuGH, ob die VO 2019/1157 gegen höherrangiges Unionsrecht verstößt, weil (i) sie auf die falsche Primärrechtsgrundlage gestützt wurde, (ii) sie gegen Art 7 und Art 8 GRC verstößt und (iii) keine Datenschutz-Folgeabschätzung nach Art 35 DSGVO durchgeführt wurde. Der EuGH erklärte die VO für ungültig, weil sie auf einer falschen Primärrechtsgrundlage erlassen wurde, entschied aber, dass die Wirkung der VO für eine angemessene Frist aufrechtzuerhalten ist, damit die VO, gestützt auf die richtige Rechtsgrundlage, erneut erlassen werden kann. Die datenschutzrechtlichen Regelungen der VO wurden vom EuGH für rechtmäßig befunden.

Der EuGH hat erwogen: Bei einer Verarbeitung, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten iSd Art 35 Abs 1 DSGVO durchführen. Die VO sieht jedoch lediglich vor, dass die Mitgliedstaaten bei der Beantragung eines Personalausweises bestimmte Verarbeitungen vornehmen sollen. Art 35 DSGVO ist daher nicht anzuwenden.

Fingerabdrücke sind biometrische und somit sensible Daten. Die Aufnahme und anschließende Speicherung von Fingerabdrücken in Personalausweisen schränkt die Rechte nach Art 7 und 8 GRC ein. Eine solche Einschränkung ist jedoch zulässig, sofern sie gesetzlich vorgesehen ist, der Wesensgehalt der Rechte geachtet, der Grundsatz der Verhältnismäßigkeit gewahrt wird und ein dem Gemeinwohl dienendes Ziel verfolgt wird.

Die in Fingerabdrücken enthaltenen Informationen ermöglichen für sich genommen keinen Einblick in das Privat- und Familienleben der betroffenen Personen. Die Aufnahme der Fingerabdrücke dient zur Feststellung der Echtheit der Ausweise und zur zuverlässigen Identifizierung des Inhabers. Weiters trägt die Maßnahme auch zur Interoperabilität der Systeme der Mitgliedstaaten zur Überprüfung von Identitätsdokumenten bei und verhindert das Fälschungs- und Betrugsrisiko, was ein Ziel im öffentlichen Interesse ist. Dies liegt auch im Interesse der Unionsbürger, weil ihnen dadurch die Freizügigkeit innerhalb der Union erleichtert wird. Die Aufnahme der vollständigen Fingerabdrücke ist hierfür erforderlich, weil die Mitgliedstaaten unterschiedliche Technologien zur Überprüfung von Identitätsdokumenten verwenden. Eine Aufnahme bloß bestimmter charakteristischer Punkte bietet nicht dieselbe Sicherheit und kann nicht von allen, durch die Mitgliedstaaten angewandten, unterschiedlichen Systeme erkannt werden. Hinsichtlich der Schwere des Eingriffs ist anzumerken, dass die Fingerabdrücke lediglich im Speichermedium der Personalausweise gespeichert werden, wobei diese ausschließlich durch qualifiziertes und ordnungsgemäß befugtes Personal aufgenommen werden dürfen. Weiters sind die Mitgliedstaaten dazu verpflichtet, die biometrischen Daten bei Abholung des Dokuments durch den Inhaber, spätestens aber nach 90 Tagen zu löschen und keine nationalen Datenbanken zu führen. Auch ist zu beachten, dass die Fingerabdrücke bloß sekundär herangezogen werden sollen, sofern nach einer Überprüfung anhand des Gesichtsbilds noch Zweifel an der Echtheit des Dokuments bzw der Identität des Inhabers bestehen. Vor dem Hintergrund der obigen Ausführungen ist die Einschränkung der Art 7 und 8 GRC verhältnismäßig.

Anm: Für die Praxis ist diese Entscheidung relevant, weil der EuGH eine umfassende Rechts- und Verhältnismäßigkeitsprüfung durchführt und anerkennt, dass bereits vorhandene Systeme dem Datenschutz nicht immer angepasst werden müssen.

VwGH 01.02.2024, Ro 2021/04/0013

Aufgrund einer Ermittlung wegen Amtsmissbrauchs führte die Staatsanwaltschaft (StA) eine Rufdatenerhebung bei einem Verdächtigen durch. Nach Abschluss übermittelte die StA die Ergebnisse an die "Telefonkontakte" des Verdächtigen. Sie übermittelte nicht nur die Tatsache der Rufdatenerhebung, sondern auch die staatsanwaltliche Anordnung samt Begründung. Diese Begründung beinhaltete die bisherigen Ermittlungsergebnisse (Schilderung der Verdachtslage). Der Verdächtige erhob daraufhin Datenschutzbeschwerde bei der DSB. Nach Auffassung der DSB bestand für die Offenlegung der bisherigen Ermittlungsergebnisse keine gesetzliche Grundlage, weshalb eine Verletzung im Recht auf Geheimhaltung vorlag. Gegen diesen Bescheid erhob die StA Bescheidbeschwerde an das BVwG. Das BVwG behob den Bescheid der DSB, woraufhin diese Amtsrevision an den VwGH erhob. Der VwGH wies die Amtsrevision als unbegründet ab.

Der VwGH hat erwogen: Das BVwG rügte die mangelhafte Begründung des Bescheides und änderte ihn dahingehend ab, dass die Datenschutzbeschwerde abgewiesen wird. Das BVwG darf einer Bescheidbeschwerde aber nicht allein wegen einer unzureichenden Begründung des bekämpften Bescheides Folge geben, es hat die Datenschutzbeschwerde inhaltlich zu erledigen. Das BVwG hat seine Entscheidung jedoch nicht nur auf diese Rüge gestützt. Es hat die Abweisung der Datenschutzbeschwerde vorrangig damit begründet, dass die Regelungen der StPO den einschlägigen Bestimmungen im 3. Hauptstück des DSG vorgehen.

Der Umstand, dass die § 138 Abs 5 und § 139 Abs 2 StPO besondere Regelungen über Verständigungspflichten und Einsichtsrechte enthalten, kann dazu führen, dass bestimmte Informations- und Auskunftsrechte nach dem DSG unangewendet bleiben. Trotz dieser besonderen Reglungen müssen die allgemeinen Anforderungen der StPO und des DSG zur Zulässigkeit und Rechtmäßigkeit der Datenverarbeitung beachtet werden. § 74 Abs 1 StPO erlaubt es der StA, während ihrer Aufgaben notwendige personenbezogene Daten zu verarbeiten und erklärt das DSG für subsidiär anwendbar. Die Zulässigkeitsvoraussetzungen nach dem DSG sind auch im Anwendungsbereich der StPO maßgeblich.

Gemäß § 138 Abs 5 StPO hat die StA nach Beendigung einer Ermittlungsmaßnahme ihre Anordnung den von der Durchführung der Ermittlungsmaßnahme Betroffenen unverzüglich zuzustellen. Auch wenn sich die Anordnung im Nachhinein (ex post) als rechtswidrig erweist, sind die Betroffenen von der Ermittlungsmaßnahme zu verständigen, denn die Verständigung der Betroffenen dient deren Interessen. Sie sollen von dem Eingriff erfahren, um ggf Rechtsmittel erheben zu können.

OGH 21.02.2024, 6Ob236/23h

Ein Kläger erhob Klage gegen Medieninhaberinnen, die ihren Sitz nicht im Sprengel des Erstgerichts hatten, weil sein Bild samt Begleittext in einer Print- und Online-Ausgabe veröffentlicht wurde. Er begehrte beim Erstgericht, in dessen Sprengel er wohnte und arbeitete, die Beseitigung und Löschung des Bildes und Begleittexts sowie Schadenersatz. Das Erstgericht erklärte sich für örtlich unzuständig. Der OGH entschied im Revisionsrekursverfahren, dass das Erstgericht für die Klage gegen das Printmedium örtlich unzuständig ist, für jene gegen das Onlinemedium hingegen örtlich zuständig ist.

Der OGH hat erwogen: § 29 Abs 2 DSG normiert einen Wahlgerichtsstand. Klagen gegen Verantwortliche und Auftragsverarbeiter können entweder beim Landesgericht erhoben werden, das im Sprengel des gewöhnlichen Aufenthalts oder Sitzes des Klägers oder des Beklagten liegt. Das Medienprivileg des § 9 Abs 1 DSG, dessen Aufhebung erst mit 30.06.2024 in Kraft tritt, bewirkt jedoch, dass § 29 Abs 2 DSG keine Anwendung findet, wenn Daten für journalistische Zwecke verarbeitet werden. Die Geltung des Medienprivilegs kann im Zuständigkeitsstreit dazu führen, dass ein Kläger den Verantwortlichen oder Auftragsverarbeiter vor einem anderen Gericht als dem seines gewöhnlichen Aufenthalts zu klagen hat. Dies ist nicht unionsrechtswidrig. Betroffenen Personen steht dennoch ein wirksamer gerichtlicher Rechtsbehelf iSd Art 79 Abs 1 DSGVO offen, weil die örtliche Zuständigkeit durch § 28 JN gewährleistet wird. Aufgrund des (noch geltenden) Medienprivilegs kann der Kläger die Zuständigkeit des § 29 Abs 2 DSG jedoch nicht in Anspruch nehmen.

Entfällt die Anwendung des § 29 Abs 2 DSG, verbleibt für Ansprüche aus Persönlichkeitsrechtsverletzungen in einem elektronischen Kommunikationsnetz der Gerichtsstand des § 92b JN. Entscheidend ist, dass über einen einheitlichen Sachverhalt zu entscheiden ist, bei dem verschiedene Anspruchsgrundlagen das angestrebte Ergebnis tragen. Dann ist das angerufene Gericht zuständig, wenn es die Zuständigkeit auch nur hinsichtlich einer der konkurrierenden Normen besitzt. Dies gilt auch für die örtliche Zuständigkeit, denn der Kläger soll nicht gezwungen sein, auf Anspruchsgrundlagen zu verzichten, um einen gewünschten Gerichtsstand zu erreichen. Der Kläger verfolgt mit seiner Klage eine vermeintliche Verletzung seiner Persönlichkeitsrechte und leitet sämtliche Ansprüche aus der Veröffentlichung des Bildes mit Begleittext ab. Da der Kläger sämtliche Ansprüche denkmöglich auch auf sein Grundrecht auf Datenschutz und die DSGVO gestützt hat und über einen einheitlichen Sachverhalt zu entscheiden ist, wobei verschiedene Rechtsgründe das nach dem Urteilsbegehren angestrebte Ergebnis tragen könnten, genügt es, wenn die örtliche Zuständigkeit des angerufenen Gerichts in Ansehung dieses Rechtsgrundes vorliegt.

Im Einklang mit seiner ständigen Rechtsprechung sprach das BVwG aus, dass die Zurückziehung der Datenschutzbeschwerde, während das Verfahren beim BVwG anhängig ist, zum Wegfall der Zuständigkeit der DSB führt. Dadurch wird der Bescheid der DSB (nachträglich) rechtswidrig und ist von Amts wegen zu beheben (BVwG 27.02.2024, W221 2265528-2).

LVwG Burgenland 08.01.2024, E 263/07/2023.001/018

Der Lenker eines PKW wurde auf einer Landstraße von Polizeibeamten in einem Zivilfahrzeug zur Vorführung zum Strafantritt angehalten, weil der Lenker mit der Zahlung mehrerer rechtskräftig verhängter Geldstrafen säumig war. Die Polizeibeamten nahmen den Lenker mit auf die Polizeiwache, von wo er anschließend in das Polizeianhaltezentrum überstellt wurde. Da der Lenker an Diabetes litt, verschlechterte sich sein Gesundheitszustand. Er wurde zur Versorgung in das Landesklinikum und anschließend wieder ins Polizeianhaltezentrum gebracht. Dort wurde er aufgefordert, die vom Krankenhaus erstellen Befunde abzugeben. Der Lenker wendete ein, dass die darin enthaltenen Daten dem Datenschutz unterliegen, doch wurde dieser Einwand von den Polizeibeamten ignoriert. Am nächsten Tag beglich die Gattin des Lenkers die Geldstrafen und er kam frei. Gegen die erfolgte Ausübung unmittelbarer verwaltungsbehördlicher Befehls- und Zwangsgewalt erhob der Lenker Maßnahmenbeschwerde gemäß Art 132 Abs 2 B-VG iVm §§ 7 ff VwGVG an das LVwG Burgenland. In der Beschwerde behauptete er ua, durch das Vorgehen der Polizeibeamten in seinem Recht auf Geheimhaltung verletzt worden zu sein. Der Datenschutzverstoß ergab sich gemäß dem Lenker durch die Aufforderung, Behandlungsbefunde abzugeben, welche dann Eingang in den zu ihm angelegten Gesundheitsakt im Polizeianhaltezentrum gefunden haben. Die Maßnahmenbeschwerde wurde vom LVwG in diesem Punkt als unzulässig zurückgewiesen.

Das LVwG Burgenland hat erwogen: Durch die eindeutige Festlegung von Behördenzuständigkeiten in Art 83 Abs 2 B-VG kommt die Zuständigkeit zur Überprüfung von Datenanwendungen auf Entscheidung über Beschwerden von Personen, die behaupten, in ihrem Recht auf Geheimhaltung verletzt zu sein, ausschließlich der DSB zu. Dies hat auch schon der VwGH mit Erkenntnis vom 22.04.2015, Ra 2014/04/0046 entschieden. Der Lenker hätte die in der Maßnahmenbeschwerde erhobene Rüge der Datenschutzverletzung bei der DSB erheben müssen. Die Verletzung eines Datenschutzrechts kann nicht im Rahmen eines Maßnahmenbeschwerdeverfahrens geprüft werden. Das Ersuchen auf Übergabe der Befunde zur Vorlage an den Amtsarzt ist keine Zwangsmaßnahme, weshalb die Maßnahmenbeschwerde aus diesem Punkt schon unzulässig ist. Die Maßnahmenbeschwerde dient darüber hinaus dem Zweck, eine Lücke im Rechtsschutzsystem zu schließen. Mit dieser Beschwerde sollen keine Zweigleisigkeiten für die Verfolgung ein- und desselben Rechtes geschaffen werden. Eine Maßnahmenbeschwerde steht nur offen, soweit die Rechtmäßigkeit des in Beschwerde gezogenen Handelns nicht in einem Verwaltungsverfahren geklärt werden kann. Was in einem Verwaltungsverfahren ausgetragen werden kann, kann daher nicht Gegenstand einer Maßnahmenbeschwerde sein. Die Maßnahmenbeschwerde ist ein subsidiärer Rechtsbehelf, der unzulässig ist, wenn ein anderer Rechtsschutzweg wie eine Datenschutzbeschwerde an die DSB zur Verfügung steht.

DSB 19.11.2021, 2020-0.591.897

Ein Bankkunde sah sich im Recht auf Geheimhaltung verletzt, weil die Bank ein Telefongespräch mit ihm aufgezeichnet hatte. Eine Option, die Aufzeichnung abzulehnen, gab es nicht. Die DSB gab der Beschwerde statt und stellte fest, dass die Bank den Kunden in seinem Recht auf Geheimhaltung verletzt hatte, indem sie das Gespräch ohne rechtmäßige Grundlage verarbeitet hatte.

Die DSB hat erwogen: Die Bank berief sich auf ihre gesetzlichen Pflichten nach dem Wertpapieraufsichtsgesetz (WAG) und dem Zahlungsdienstegesetz (ZaDiG), die eine Aufzeichnung von Telefongesprächen im Zusammenhang mit Wertpapiergeschäften und eine (nicht näher definierte) Nachweispflicht eines Zahlungsdienstleisters bei Zahlungsaufträgen vorsehen. Diese Pflichten kamen jedoch nicht zum Tragen, weil das Gespräch weder ein Wertpapiergeschäft noch einen Zahlungsauftrag zum Inhalt hatte, sondern lediglich eine Anfrage über die Durchführung einer Geldüberweisung. Die Bank hätte ihre Organisation so einzurichten gehabt, dass Telefongespräche, die unter eine Aufzeichnungspflicht fallen, von anderen Kundengesprächen getrennt geführt werden. Die Bank durfte die Aufzeichnung des Telefongesprächs auch nicht auf das berechtigte Interesse der Qualitätssicherung ihrer Dienstleistungen stützen, weil das Geheimhaltungsinteresse des Kunden überwog. Die Datenverarbeitung war daher unrechtmäßig.

Am 04.2024 wird das Urteil des EuGH in der Rs C-741/21, juris, verkündet. Der EuGH wird über mehrere Fragen zum immateriellen Schaden entscheiden, darunter zur Erheblichkeit, zum Verschulden und zur Bemessung der Höhe des Schadenersatzes. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-768/21, Land Hessen, veröffentlicht. Gegenstand des Verfahrens ist die Frage, ob die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, stets verpflichtet ist, eine der Maßnahmen des Art 58 Abs 2 DSGVO zu ergreifen.

Am 04.2024 wird eine mündliche Verhandlung in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission, stattfinden. Im Wesentlichen geht es um die Frage, ob der Europäische Datenschutzausschuss (EDSA) befugt war, der irischen Aufsichtsbehörde, der Data Protection Commission, aufzutragen, eine neuerliche Untersuchung gegen Meta Platforms Ireland Limited und ihren Facebookdienst durchzuführen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Gegenstand des Verfahrens sind Erlaubnistatbestände des Art 6 DSGVO, der Grundsatz der Datenminimierung sowie die Verarbeitung sensibler Daten.

EuGH 14.03.2024, C‑46/23, Ujpesti Polgarmesteri Hivatal

Eine Bezirksverwaltung wollte Stadtbewohner, die durch die COVID-19-Pandemie gefährdet waren und bestimmte Anforderungen erfüllten, finanziell unterstützen. Für die Prüfung der Anspruchsvoraussetzungen erhob die Bezirksverwaltung personenbezogene Daten (Identifizierungsdaten und Sozialversicherungsnummern) bei anderen staatlichen Stellen und fasste diese in einer Datenbank zusammen. Die nationale Aufsichtsbehörde leitete ein amtswegiges Prüfverfahren ein und trug der Bezirksverwaltung auf, die personenbezogenen Daten jener Stadtbewohner zu löschen, die zwar Anspruch auf die Unterstützung gehabt hätten, diese aber nicht beantragt hatten.

Das vorlegende Gericht fragte den EuGH, ob eine Aufsichtsbehörde ohne Löschungsersuchen der Betroffenen von Amts wegen die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anordnen darf und bejahendenfalls, ob diese Befugnis davon abhängt, dass die Daten bei den Betroffenen selbst erhoben wurden oder nicht.

Der EuGH hat erwogen: Art 58 Abs 2 DSGVO unterscheidet zwischen Abhilfemaßnahmen, die von Amts wegen ausgeübt werden und solchen, die nur auf Antrag der Betroffenen hin ergriffen werden können. Ebenso wird in Art 17 DSGVO zwischen der Löschung der Daten auf Antrag der Betroffenen und der Löschung aufgrund des Bestehens einer dem Verantwortlichen obliegenden Verpflichtung unterschieden. Um sicherzustellen, dass Datenverarbeitungen im Einklang mit der DSGVO stehen, müssen Aufsichtsbehörden über wirksame Befugnisse verfügen. Übt eine Aufsichtsbehörde ihre Befugnisse aus, muss sie geeignete Maßnahmen erlassen können, um festgestellten Verstößen abzuhelfen, und zwar unabhängig davon, ob die betroffene Person zuvor einen Antrag auf Ausübung ihrer Rechte gestellt hat. Die Aufsichtsbehörden dürfen auch ohne Antrag eines Betroffenen die Löschung personenbezogener Daten anordnen. Untätig bleibenden Personen würde ansonsten der Schutz genommen werden, obwohl ihre personenbezogenen Daten unrechtmäßig verarbeitet werden.

Auf die Herkunft der Daten kommt es nicht an. Die Befugnis der Aufsichtsbehörde zur Anordnung der Löschung unrechtmäßig verarbeiteter Daten bezieht sich sowohl auf bei den Betroffenen erhobenen als auch aus einer anderen Quelle stammenden Daten.

VfGH 12.03.2024, E3436/2023

Die Finanzmarktaufsichtsbehörde (FMA) veröffentlichte die Daten eines Unternehmens im Rahmen einer Investorenwarnung auf ihrer Webseite, weil das Unternehmen trotz fehlender Berechtigung den Anschein erweckte, konzessionspflichtige Wertpapierdienstleistungen zu erbringen. Nachdem das Unternehmen eine entsprechende inhaltliche Veränderung auf ihrer Webseite vornahm, indem es den "Footer" mit dem irreführenden Hinweis löschte, erhob es eine Datenschutzbeschwerde an die DSB. Darin brachte das Unternehmen vor, die FMA hätte die Investorenwarnung trotz der geänderten Sachlage nicht behoben und hätte das Unternehmen somit in ihrem Recht auf Löschung verletzt. Die DSB erklärte, dass das Unternehmen als juristische Person iSd § 24 DSG legitimiert sei, Datenschutzbeschwerde zu erheben und gab dieser statt, weil sich die Sachlage durch das Entfernen des "Footer" auf der Webseite geändert hatte. Die FMA habe demnach das Unternehmen in seinem Recht auf Löschung verletzt. Angesichts einer Bescheidbeschwerde der FMA beim BVwG hob dieses den Bescheid der DSB auf und führte aus, dass juristische Personen nicht von § 24 DSG erfasst seien und somit nicht aktiv legitimiert wären. Dagegen erhob das Unternehmen (erfolglos) eine Erkenntnisbeschwerde an den VfGH.

Der VfGH hat erwogen: Der VfGH hat keinen Zweifel, dass die Grundrechtsbestimmung des § 1 DSG auch juristische Personen als Grundrechtsträger erfasst, wobei auch Wirtschaftsdaten als personenbezogene Daten zu qualifizieren sind. Im konkreten Fall der Investorenwarnung gibt es jedoch einen eigenen Rechtsschutzweg an die FMA, der sowohl natürlichen als auch juristischen Personen offensteht. Das Unternehmen hätte nach Änderung der Sachlage erneut bei der FMA die Überprüfung auf Rechtmäßigkeit gemäß § 92 Abs 11 WAG beantragen müssen, in dessen Rahmen auch eine etwaige Verletzung des Grundrechts auf Datenschutz zu prüfen ist. Sollte eine solche Verletzung vorliegen, wäre die FMA dazu verpflichtet, die Veröffentlichung richtigzustellen, zu widerrufen oder zu entfernen. Die Begründung des BVwG, dass die DSB aufgrund der fehlenden Aktivlegitimation des Unternehmens unzuständig sei, war zwar unrichtig, jedoch würden daraus keine verfassungsrechtlichen Bedenken hervorgehen. Dies vor eben jenem Hintergrund, dass nicht die DSB, sondern ausschließlich die FMA zur Entscheidung über die Rechtmäßigkeit einer Investorenwarnung zuständig ist.

VwGH 01.02.2024, Ra 2021/04/0088

In das Vermögen des Verpflichteten einer Forderung sollte Exekution geführt werden, weshalb der Gerichtsvollzieher dessen Wohnung aufsuchte und, als er ihn nicht antraf, seine Visitenkarte hinterließ. Der Verpflichtete erhob gegen das BG Innsbruck, dem der Vollzieher zuzurechnen war, Beschwerde bei der DSB, die diese abwies. Das BG Innsbruck erhob dennoch Bescheidbeschwerde gegen diesen Bescheid, weil es der Ansicht war, dass die Tätigkeit des Vollziehers als "justizielle Tätigkeit" iSd Art 55 Abs 3 DSGVO zu qualifizieren ist und die DSB deshalb unzuständig war. Das BVwG behob den Bescheid der DSB, woraufhin diese Amtsrevision an den VwGH erhob. Der VwGH schloss sich der Rechtsansicht des BVwG an, hob das Erkenntnis des BVwG aber dennoch auf, weil der Spruch des Erkenntnisses falsch formuliert war.

Der VwGH hat erwogen: Die Tätigkeit von Exekutivorganen bei einer gerichtlichen Vollstreckung nach der EO ist eine Tätigkeit der "Gerichtspolizei im engeren Sinn", die der Gerichtsbarkeit zuzuordnen ist; die zu setzenden Akte sind als "abgeleitete richterliche Akte" zu qualifizieren. Das Exekutionsverfahren und dessen Vollzug ist somit eine "justizielle Tätigkeit", in deren Zusammenhang die richterliche Unabhängigkeit zu wahren ist. Art 55 Abs 3 DSGVO ist so zu verstehen, dass Datenverarbeitungen im Rahmen einer "justiziellen Tätigkeit" nicht nur auf Verarbeitungen durch Gerichte in konkreten Rechtssachen beschränkt sind, sondern in weiterem Sinn alle Verarbeitungsvorgänge durch Gerichte bei "justiziellen Tätigkeiten" erfassen. Diese Verarbeitungen sind der Kontrolle durch die DSB nicht unterworfen.

Dennoch war das Erkenntnis des BVwG aufzuheben, weil das BVwG den Bescheid der DSB nur behoben hat und eine rein kassatorische Entscheidung des Verwaltungsgerichts nicht zulässig ist, wenn dem verwaltungsbehördlichen Bescheid ein Parteiantrag zugrunde liegt. Das BVwG hätte somit in der Sache entscheiden müssen.

Anm: Das BVwG hätte den Bescheid der DSB nicht "bloß" beheben dürfen, sondern hätte den Spruch des Bescheids auch dahingehend abzuändern gehabt, dass die Datenschutzbeschwerde wegen Unzuständigkeit der DSB zurückgewiesen wird. Das wird im fortgesetzten Verfahren wohl auch geschehen.

VwGH 01.02.2024, Ro 2020/04/0016

Eine Rechtsanwältin verlangte die Übermittlung von Aktenkopien von der Staatsanwaltschaft (StA). Die StA übermittelte teilweise sensible Daten von zwei Personen, die zwar im angeforderten Akt geführt wurden, jedoch nicht die Eingabe der Rechtsanwältin betrafen. Die Rechtsanwältin leitete den Sachverhalt an die DSB weiter, die ein amtswegiges Prüfverfahren gegen die StA einleitete und eine Verletzung des Rechts auf Geheimhaltung der Betroffenen feststellte. Das BVwG wies die Bescheidbeschwerde der StA ab. Die StA erhob, vertreten durch die Finanzprokuratur, Revision an den VwGH. Der VwGH hegte Bedenken im Hinblick auf das Recht auf ein Verfahren vor dem gesetzlichen Richter (Art 83 Abs 2 B-VG) sowie den Trennungsgrundsatz (Art 94 B-VG) und stellte an den VfGH den Antrag, die Bestimmungen § 31 Abs 1 erster Satz, § 32 Abs 1 Z 3 sowie § 36 Abs 2 Z 15 DSG aufzuheben. Der VfGH teilte zwar die verfassungsgesetzlichen Bedenken des VwGH hinsichtlich des Trennungsgrundsatzes, sah jedoch wegen des Vorrangs des Unionsrechts keinen Raum die angefochtenen Bestimmungen aufzuheben, weil unter Wahrung des Unionsrechts keine verfassungskonforme Ersatzregelung möglich ist (VfGH 13.12.2023, G212/2023). Der VwGH hob das Erkenntnis des BVwG trotz richtiger Beurteilung der Zuständigkeit der DSB aus formalen Gründen dennoch auf.

Der VwGH hat erwogen: Die Staatsanwälte sind gemäß Art 90a B-VG Organe der ordentlichen Gerichtsbarkeit aber keine Gerichte. Trotz der Regelungen des GOG und des StAG sind sie auch keine unabhängigen Justizbehörden. Vor dem Hintergrund des Erkenntnisses des VfGH bestehen gegen diese Zuständigkeit der DSB auch für den Bereich der Verarbeitung personenbezogener Daten durch Staatsanwaltschaften keine verfassungsrechtlichen Bedenken (mehr).

Der VwGH hat allerdings bereits wiederholt ausgesprochen, dass die DSB in einem amtswegigen Prüfverfahren keine Befugnis hat die allfällige Rechtswidrigkeit eines Datenverarbeitungsvorgangs festzustellen. Da das BVwG den Bescheid der DSB, mit welchem eine Rechtsverletzung festgestellt wurde, bestätigte, war das Erkenntnis des BVwG aufzuheben.

VwGH 14.12.2021, Ro 2021/04/0006

Der Nationalrat setzte einen Untersuchungsausschuss ein, um eine mögliche politische Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) aufzuklären (BVT-Untersuchungsausschuss). Als Auskunftsperson wurde ein verdeckter Ermittler einvernommen, der die Anonymisierung seiner Aussage beantragte. Dennoch wurde das Protokoll seiner Befragung unter Nennung seines Klarnamens veröffentlicht. Die von der Auskunftsperson erhobene Datenschutzbeschwerde wurde von der DSB wegen Unzuständigkeit zurückgewiesen. Der Bescheidbeschwerde der Auskunftsperson gab das BVwG Folge. Die DSB erhob Amtsrevision an den VwGH. Der VwGH fragte den EuGH, (i) ob im Hinblick auf den Gewaltenteilungsgrundsatz die parlamentarische Kontrolltätigkeit durch einen Untersuchungsausschuss in den sachlichen Anwendungsbereich der DSGVO fällt und (ii) bejahendenfalls, ob diese Kontrolltätigkeit vom Anwendungsbereich der DSGVO ausgenommen ist, wenn eine Behörde kontrolliert wird, die dem Schutz der nationalen Sicherheit dient. Weiters fragte der VwGH, (iii) ob sofern bloß eine nationale Datenschutzbehörde eingerichtet ist, deren Zuständigkeit sich unmittelbar aus Art 77 DSGVO ergibt. Nachdem der EuGH diese Fragen beantwortete (EuGH 16.01.2024, C-33/22, Österreichische Datenschutzbehörde; siehe näher unser Datenschutzrechts-Update vom 24.01.2024), wies der VwGH die Amtsrevision der DSB ab.

Der VwGH hat erwogen: Ausgehend vom Urteil des EuGH ist bei der Frage, ob die Verarbeitung personenbezogener Daten vom sachlichen Anwendungsbereich der DSGVO ausgenommen ist, ausschließlich auf die Natur der Tätigkeiten abzustellen. Daher ist nicht jede Tätigkeit eines vom Nationalrat eingesetzten Untersuchungsausschuss vom Anwendungsbereich des Unionsrechts ausgenommen.

Gegenstand des BVT-Untersuchungsausschusses ist die parlamentarische Kontrolle der Aufgabenerfüllung des BVT, aber nicht unmittelbar die Gewährleistung der nationalen Sicherheit. Auch hinsichtlich des Schutzes der nationalen Sicherheit ist die Tätigkeit des BVT-Untersuchungsausschusses vom Anwendungsbereich der DSGVO daher nicht ausgenommen.

Die DSB ist für die Kontrolle des BVT-Untersuchungsausschusses zuständig, weil sie die einzige dafür eingerichtete Aufsichtsbehörde ist. Dies stößt auf keine verfassungsgesetzlichen Bedenken, weil nach den Ausführungen des VfGH im Erkenntnis vom 13.12.2023, G212/2023, kein Umsetzungsspielraum ersichtlich ist, eine mit dem verfassungsgesetzlichen Gewaltentrennungsprinzip vereinbare, für die Überprüfung der Verarbeitung personenbezogener Daten durch das Parlament zuständige Aufsichtsbehörde nach Art 51 Abs 1 DSGVO einzurichten.

Anm: Der VwGH räumt verfassungsrechtliche Bedenken mit Verweis auf das bereits oben erwähnte Erkenntnis des VfGH aus. Darin ging es allerdings um Staatsanwaltschaften. Ob eine vergleichbare Lösung für die Legislative wie für die Judikative verfassungsgesetzlich tatsächlich unzulässig ist, erscheint fraglich.

Die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung kann als eine einem berechtigten Interesse des Verantwortlichen dienende Verarbeitung angesehen werden. Die Verarbeitung der Daten einer vom Interesse des Verantwortlichen nicht unmittelbar betroffenen Person ist von diesem Zweck jedoch nicht gedeckt. Aus der Unzulässigkeit der Zusendung elektronischer Post ohne Einwilligung kann kein Umkehrschluss gezogen werden, dass die Zusendung einer persönlich adressierten Werbung per Post ohne Einwilligung zulässig wäre (VwGH 01.02.2024, Ro 2021/04/0016).

Beamte und Vertragsbedienstete der Abgabenbehörden dürfen, sofern dienstlich begründet, aus den finanzinternen Datenbanken Abgabeninformationssystem (AIS), FinanzOnline Verfahren (FON), Grunddatenverwaltung und Jahresveranlagung (JVP) personenbezogene Daten abfragen. Abfragen aufgrund von Bitten von Bekannten, Freunden und Verwandten gehören jedoch nicht zu den einem Beamten oder Vertragsbediensteten übertragen Aufgaben. Ersuchen aus dem Freundes-, Bekannten- und Verwandtenkreis sind wegen Befangenheit abzulehnen (OGH 15.02.2024, 8ObA72/23f).

Der materielle Schwerpunkt der Tätigkeit als Mitglied und somit der Tätigkeitsmittelpunkt des Gemeinderats/des Stadtrats liegt nicht in einem im Wohnungsverband gelegenen Arbeitszimmer. Das Arbeitszimmer wird auch dann nicht zum Mittelpunkt der Tätigkeit, wenn darin vertrauliche Informationen aufbewahrt werden. Vertrauliche Daten sind zwar unter Beachtung des Datenschutzgesetzes sowie der Datenschutzgrundverordnung sicher zu verwahren, die erforderlichen Vorbereitungshandlungen und Ablagemöglichkeiten können den Mittelpunkt der Kerntätigkeit jedoch nicht ins Arbeitszimmer verlagern (BFG 04.03.2024, RV/7103422/2020).

DSB 10.08.2023, 2023-0.058.359

Drei deutsche Gesellschaften im Lebensmittelsektor verarbeiteten und übermittelten Daten einer österreichischen Kommanditgesellschaft (KG) an ein drittes Unternehmen. Konkret ging es dabei um die Daten zu den – von der KG bei den deutschen Gesellschaften – bestellten Produkten, zu Mengen dieser bestellten Produkte, zur geschätzten Absatzmenge sowie des Betriebsorts der KG. Die von der KG erhobene Datenschutzbeschwerde wurde von der DSB zurückgewiesen.

Die DSB hat erwogen: Nach § 1 Abs 1 DSG sind auch die Daten juristischer Personen geschützt. Gem § 3 Abs 1 DSG sind die Bestimmungen des DSG jedoch nur auf die Verwendung von personenbezogenen Daten im Inland anzuwenden. Hinsichtlich einer Datenverarbeitung und -übermittlung durch GmbHs in Deutschland gelangen die §  1 Abs  1 DSG sowie § 24 Abs 1 DSG folglich nicht zur Anwendung. Das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art 77 Abs 1 DSGVO kommt nur natürlichen Personen zu. Eine KG kann sich auf diese Bestimmung nicht stützen. Der KG steht es offen, eine Beschwerde in Deutschland einzubringen.

Am 03.2024 wird das Urteil des EuGH in der Rs C-61/22, Landeshauptstadt Wiesbaden, verkündet. Der EuGH wird über die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten entscheiden. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 wird das Urteil des EuGH in der Rs C-741/21, juris, verkündet. Der EuGH wird über mehrere Fragen zum immateriellen Schaden entscheiden, darunter zur Erheblichkeit, zum Verschulden und zur Bemessung der Höhe des Schadenersatzes.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-768/21, Land Hessen, veröffentlicht. Gegenstand des Verfahrens ist die Frage, ob die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, stets verpflichtet ist, eine der Maßnahmen des Art 58 Abs 2 DSGVO zu ergreifen.

Am 04.2024 wird eine mündliche Verhandlung in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission, stattfinden. Im Wesentlichen geht es um die Frage, ob der Europäische Datenschutzausschuss (EDSA) befugt war, der irischen Aufsichtsbehörde, der Data Protection Commission, aufzutragen, eine neuerliche Untersuchung gegen Meta Platforms Ireland Limited und ihren Facebookdienst durchzuführen.

EuGH 07.03.2024, C‑604/22, IAB Europe

Bei Online-Werbeauktionen können Werbeunternehmen anonym Werbeplätze ersteigern und personalisierte Werbung basierend auf Nutzerprofilen anzeigen. IAB Europe, eine EU-Branchenorganisation, die Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene vertritt, entwickelte für ihre Mitglieder einen Regelungsrahmen, um sicherzustellen, dass diese Auktionen DSGVO-konform sind (das Transparency & Consent Framework; TCF). Dazu wurde eine Einwilligungsplattform (Consent Management Plattform; CMP) in ein Pop-up-Fenster integriert, um die Einwilligungspräferenzen des Websitebesuchers in einem Transparency and Consent String (TC-String) zu speichern, der aus einer Folge von Buchstaben und Zeichen besteht. Dieser Code wird an Broker übermittelt, damit diese wissen, worin die Nutzer eingewilligt haben. Das CMP speichert auch ein Cookie auf dem Gerät des Nutzers. Miteinander kombiniert können der TC‑String und das Cookie der IP‑Adresse dieses Nutzers zugeordnet werden. Das vorlegende Gericht fragte den EuGH, ob es sich bei einer solchen Zeichenfolge um personenbezogene Daten handelt und ob es sich bei einer Branchenorganisation wie IAB Europe um einen gemeinsam Verantwortlichen iSd Art 26 DSGVO handelt.

Der EuGH hat erwogen: Eine Zeichenfolge, die individuelle Einwilligungspräferenzen eines Websitebesuchers enthält, ist eine Information, die sich auf eine Person bezieht und somit eine Information "über" eine Person. Eine solche Zeichenfolge ist ein personenbezogenes Datum, wenn sie mit vertretbarem Aufwand mit einer Kennung wie einer IP-Adresse verknüpft werden kann und somit eine Identifizierung der Person möglich ist. Sofern die Mitglieder der Branchenorganisation verpflichtet sind, auf Anfrage Identifizierungsinformationen bereitzustellen, ist es unerheblich, dass die Branchenorganisation selbst keinen Zugriff auf die verarbeiteten Daten hat bzw den TC-String nicht direkt mit einer Kennung verknüpfen kann, weil die Branchenorganisation dennoch über die Mittel verfügt, die Person zu identifizieren.

Die Branchenorganisation ist als gemeinsamer Verantwortlicher zu qualifizieren, wenn sie gemeinsam mit seinen Mitgliedern die Zwecke (Förderung des Handels von Werbeflächen im Internet) und Mittel (Regelungsrahmen und technische Spezifikationen für die Verarbeitung des TC-Strings) festlegt. Dass die Branchenorganisation selbst keinen unmittelbaren Zugang zu den personenbezogenen Daten hat, die von ihren Mitgliedern innerhalb des Regelungsrahmens verarbeitet werden, hindert nicht daran, sie als Verantwortliche einzustufen. Dies gilt aber nur für die Speicherung der Einwilligungspräferenzen, nicht jedoch für die Weiterverarbeitung durch Dritte aufgrund dieser Präferenzen. Erst wenn eine Branchenorganisation Einfluss auf die Festlegung der Zwecke und Mittel dieser Weiterverarbeitungen ausübt, kann sie für diese Verarbeitung als Verantwortliche angesehen werden.

Anm: Als Folge dieses Urteils dürfte das TCF voraussichtlich überarbeitet werden.

EuGH 05.03.2024, C-755/21P, Kočner/Europol

Während der Ermittlung wegen des Mordes an einem slowakischen Journalisten und dessen Verlobten sicherte Europol die Daten auf zwei Mobiltelefonen des mutmaßlichen Mordauftraggebers (Beschuldigter). Europol übermittelte ihren Bericht an die slowakischen Behörden und übergab der Behörde eine Festplatte mit verschlüsselten Daten, die Europol aus den besagten Mobiltelefonen extrahiert hatte. Dem Bericht zufolge war der Beschuldigte wegen des Verdachts eines Finanzdelikts seit 2018 inhaftiert und sein Name stand ua mit "Mafia-Listen" und den "Panama Papers" in Verbindung. Kurze Zeit später kam es in verschiedenen Presseartikeln zur Veröffentlichung der Transkriptionen intimer Gespräche zwischen dem Beschuldigten und dessen Freundin, die von den beiden Mobiltelefonen stammten. Der Beschuldigte klagte Europol vor dem EuG auf immateriellen Schadenersatz iHv EUR 100.000, weil (i) Europol seinen Namen in die "Mafia-Listen" aufgenommen habe und (ii) die Transkription des Gesprächs mit seiner Freundin an die Medien gelangt sei. Das EuG wies die Klage ab. Der EuGH gab dem dagegen erhobenen Rechtsmittel des Beschuldigten hinsichtlich der Weitergabe der Transkription des intimen Gesprächs an die Medien statt. Das Rechtsmittel betreffend die Mafia-Listen wies der EuGH zurück.

Der EuGH hat erwogen: Nach Art 50 Abs 1 der VO (EU) 2016/794 hat der durch eine rechtswidrige Datenverarbeitung Geschädigte das Recht, entweder von Europol oder vom Mitgliedstaat, in dem der Schadensfall eingetreten ist, Ersatz für einen immateriellen Schaden zu fordern. Der Wortlaut dieser Bestimmung ist hinsichtlich der Natur der Haftung nicht eindeutig. Aus ErwGr 57 der VO (EU) 2016/794 ist aber zu schließen, dass die Regelung eine gesamtschuldnerische Haftung für Europol und den Mitgliedstaat vorsieht. Zwar ist ein ErwGr nicht verbindlich und kann er nicht herangezogen werden, um von den Bestimmungen eines Rechtsaktes abzuweichen, es kommt ihm aber ein hoher Auslegungswert zu.

Die außervertragliche Haftung von Europol setzt die Rechtswidrigkeit ihres Verhaltens, das Eintreten eines tatsächlichen und sicheren Schadens sowie einen Kausalzusammenhang zwischen dem Verhalten und dem geltend gemachten Schaden voraus. Der Beschuldigte konnte keinen Beweis erbringen, dass die "Mafia-Listen" tatsächlich von Europol erstellt oder geführt wurden und weswegen er kein rechtswidriges Verhalten nachweise konnte. Daher war dieser Rechtsmittelgrund unzulässig.

Hinsichtlich der Weitergabe des intimen Gesprächs des Beschuldigten mit seiner Freundin trug Europol vor, dass die slowakische Behörde für das Weitergeben der Informationen an die Medien verantwortlich war und Europol nur dazu verpflichtet war, geeignete technische und organisatorische Maßnahmen zu ergreifen. Gerade um solchen Beweisschwierigkeiten Rechnung zu tragen, ist jedoch mit der gesamtschuldnerischen Haftung ein zweistufiger Haftungsmechanismus vorgesehen, der den Geschädigten von der Bürde befreit, die Identität der Stelle nachzuweisen, die den Schaden verursacht hat. Europol kann sich gegebenenfalls bei der slowakischen Behörde regressieren.

Die Weitergabe der Informationen über das intime Gespräch des Beschuldigten mit seiner Freundin an die Medien war rechtswidrig. Durch diese Datenweitergabe wurde der Beschuldigte in seinem Recht auf Achtung des Privat- und Familienlebens sowie seiner Kommunikation verletzt und wurde zudem in seiner Ehre und seinem Ansehen beeinträchtigt. Unter diesen Umständen ist der erlittene Schaden durch Zahlung einer nach billigem Ermessen auf EUR 2.000 festgesetzten Entschädigung angemessen auszugleichen.

Beachte: Der EuGH verlangt einen tatsächlichen und sicheren Schaden.

EuGH 07.03.2024, C‑740/22, Endemol Shine Finland

Ein Unternehmen begehrte bei einem nationalen Gericht mündliche Auskunft darüber, ob ein Teilnehmer an einem von ihm organisierten Wettbewerb strafrechtlich in Erscheinung getreten ist. Das vorlegende Gericht fragte den EuGH, ob die mündliche Übermittlung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten eine Verarbeitung iSd DSGVO ist und ob sie mit dem (finnischen) Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten im Einklang steht.

Der EuGH hat erwogen: Der Verarbeitungsbegriff der DSGVO ist weit auszulegen und umfasst auch die mündliche Übermittlung. Der sachliche Anwendungsbereich der DSGVO ist aber nur dann eröffnet, wenn die Daten, die Gegenstand der mündlichen Übermittlung sind, in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten stellt einen besonders schweren Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten dar. Diese Rechte gehen dem Interesse der Öffentlichkeit am Zugang zu amtlichen Dokumenten vor.

Nationale Regelungen können (iSd Art 6 Abs 1 lit e DSGVO) eine Übermittlung rechtfertigen, wenn sie ein im öffentlichen Interesse liegendes Ziel verfolgen und geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsehen. Daten im Personenregister eines Gerichts über strafrechtliche Verurteilungen einer natürlichen Person dürfen jedoch nicht jeder Person mitgeteilt werden, ohne dass diese ein besonderes Interesse an diesen Daten geltend macht. Für die Beurteilung der Rechtmäßigkeit und Verhältnismäßigkeit der Übermittlung ist es unerheblich, ob die Person, die die Auskunft begehrt, ein Unternehmen oder eine Privatperson ist oder ob die Daten schriftlich oder mündlich mitgeteilt werden.

BVwG 22.12.2023, W292 2247003-1

Ein Kreditwerber erhob Datenschutzbeschwerde bei der DSB gegen eine Kreditauskunftei, weil die Kreditauskunftei Daten über ein gegen ihn geführtes Schuldenregulierungsverfahren zu lange speicherte. Die DSB wies die Datenschutzbeschwerde ab. Das BVwG gab der dagegen erhobenen Bescheidbeschwerde – gestützt auf das in der Zwischenzeit ergangene Urteil des EuGH vom 12.2023, C‑26/22 und C‑64/22, SCHUFA Holding – teilweise statt, wobei es einmal den Zeitraum prüfte, in dem die Daten über das Schuldenregulierungsverfahren noch öffentlich einsehbar waren, und einmal den Zeitraum, in dem sie das nicht mehr waren.

Das BVwG hat erwogen: Die Verarbeitung (bonitätsrelevanter) personenbezogener Daten durch Kreditauskunfteien kann in datenschutzrechtlicher Hinsicht ausschließlich auf Art 6 Abs 1 lit f DSGVO gestützt werden. Die Verarbeitung muss zur Wahrung der wirtschaftlichen Interessen am Gewerbebetrieb selbst bzw an der Einschätzung der Bonität von potenziellen Kreditnehmern unbedingt erforderlich sein und die Interessen des Kreditwerbers dürfen nicht überwiegen. Die Interessen des Kreditsektors an Informationen über eine Restschuldbefreiung können keine Verarbeitung von Daten durch Kreditauskunfteien nach der Frist der Speicherung im öffentlichen Insolvenzregister rechtfertigen, weil dadurch das mit der Löschung aus dem Insolvenzregister verfolgte Ziel, dem Kreditwerber zu ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, gefährdet würde.

Während der öffentlichen Verfügbarkeit der Daten im öffentlichen Insolvenzregister überwiegt das Interesse der Kreditauskunftei und der Kreditgeber, weil die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften ein Fundament des Kreditwesens und der Funktionsfähigkeit der Wirtschaft bilden.

Anm: Das BVwG ist aufgrund des Urteils des EuGH in der Rs SCHUFA Holding von seiner bisherigen Rsp abgegangen.

BVwG 22.01.2024, W211 2262943-1

Die Abonnentin eines österreichischen Medienunternehmens registrierte sich mit ihrer E-Mail-Adresse, um deren digitale Zeitungsausgabe zu erhalten. Bei der Registrierung waren AGB und Datenschutzinformationen hinterlegt. Die Datenschutzinformationen enthielten einen Hinweis, dass die im Zuge des Registrierungsprozesses vom Kunden hinterlegten Daten zu Werbezwecken "bis auf Widerruf" verarbeitet werden. Für die Verwaltung der Kundendaten war das Medienunternehmen mit einem IT-Unternehmen gemeinsam verantwortlich. Dieses IT-Unternehmen sandte an alle bestehenden Kunden, die keinen Widerspruch gegen die Verarbeitung ihrer Daten für Werbezwecke eingelegt hatten, eine E-Mail mit dem Hinweis auf einen neuen digitalen Newsletter. Der wegen Verletzung auf das Recht auf Geheimhaltung von der Abonnentin eingebrachten Datenschutzbeschwerde gab die DSB statt. Das BVwG wies die Bescheidbeschwerde des IT-Unternehmens ab.

Das BVwG hat erwogen: Der Versand von Werbeemails wird in § 174 TKG geregelt, der Art 13 der e-Privacy-RL ins innerstaatliche Recht umsetzt. Gemäß Art 95 DSGVO gehen die Umsetzungsvorschriften zur e-Privacy-RL der DSGVO unter den hier vorliegenden Umständen vor. § 174 TKG regelt jedoch "nur" die Zulässigkeit der Übermittlung von Werbemails. Die Abonnentin hat hingegen eine Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG geltend gemacht. Darüber durfte die DSB absprechen.

Die an die Abonnentin versandte E-Mail war Direktwerbung, weil sie eine Produktinformation zum digitalen Newsletter enthielt. Daher hätte die Werbeemail nur unter den Voraussetzungen des § 174 TKG versandt werden dürfen. Eine wirksame Einwilligung iSd § 174 Abs 1 TKG lag nicht vor, denn die "Einwilligung" zur Verwendung der E-Mail-Adresse war an den Vertragsabschluss gekoppelt.

Die E-Mail-Adresse hätte allenfalls gemäß § 174 Abs 4 TKG auch ohne Einwilligung für Direktwerbung verwendet werden dürfen. Hierfür müssten vier Voraussetzungen kumulativ erfüllt sein, von welchen drei Voraussetzungen erfüllt waren. Allerdings hätte die Abonnentin bei der Erhebung der E-Mail-Adresse, dh im Registrierungsprozess, klar und deutlich informiert werden müssen, dass sie der Verwendung ihrer E-Mail-Adresse für Direktwerbung widersprechen kann. Dieser Voraussetzung wurde mit der Information, die Daten werden "bis auf Widerruf" verarbeitet, nicht Genüge getan. Es lag nämlich nicht auf der Hand, wie der "Widerruf" einzubringen ist.

BVwG vom 16.02.2024, W221 2268420-1

Eine Versicherungsnehmerin verursachte einen Parkschaden und beging daraufhin Fahrerflucht. Durch einen Zeugen konnte die Polizei das Kennzeichen der Versicherungsnehmerin erheben und es wurde ein Verwaltungsstrafverfahren wegen Fahrerflucht eingeleitet. Die durch den Verkehrsunfall Geschädigte brachte Klage gegen die Versicherungsnehmerin und ihre Kfz-Haftpflichtversicherung auf Ersatz des Schadens ein. Die dafür notwendigen Daten stammten aus dem Verkehrsunfallsbericht der Landespolizeidirektion. Im Zuge der Schadensbearbeitung leitete der Rechtsanwalt der Versicherungsnehmerin ein Verhandlungsprotokoll an die Kfz-Haftpflichtversicherung der Versicherungsnehmerin weiter. Anschließend kündigte die KFZ-Haftpflichtversicherung das Versicherungsverhältnis auf.

Die Versicherungsnehmerin beschwerte sich bei der DSB wegen der Verwendung ihrer Daten aus dem Verkehrsunfallsbericht durch die Geschädigte und der Verarbeitung des Verhandlungsprotokolls durch eine Versicherungsangestellte. Die DSB und das BVwG wiesen die Datenschutzbeschwerde und die anschließende Bescheidbeschwerde der Versicherungsnehmerin ab.

Das BVwG hat erwogen: Die Geschädigte verwendete die Daten der Versicherungsnehmerin, um eine zivilgerichtliche Klage gegen diese einzubringen. Diese Datenverarbeitung war auf das berechtigte Interesse nach Art 6 Abs 1 lit f DSGVO gestützt, daher ist eine Interessenabwägung durchzuführen. Dabei sind die vernünftigen Erwartungen der Versicherungsnehmerin zu berücksichtigen. Das Konzept der vernünftigen Erwartungen der betroffenen Person ist nicht empirisch, sondern normativ zu verstehen, ansonsten würde man unzulässigerweise vom Sein auf das Sollen schließen; es kommt daher darauf an, ob die betroffene Person die subjektive Erwartung hat, geschützt sein zu sollen, und, ob diese Erwartung objektiv legitim ist.

Das berechtigte Interesse ist weit zu verstehen und umfasst grundsätzlich jedes von der Rechtsordnung gebilligte Interesse. Nach Art 9 Abs 2 lit f DSGVO ist selbst die Verarbeitung sensibler Daten für die Geltendmachung von Rechtsansprüchen zulässig. Im Größenschluss folgt daraus, dass diese Interessen die Verarbeitung "normaler" Daten erst recht rechtfertigen können. Die Datenverarbeitung zur Klagsführung diente dem berechtigten Interesse der Durchsetzung eines Rechtsanspruches und ist zur Erreichung dieses Zwecks auch geeignet und erforderlich. Ein überwiegendes Geheimhaltungsinteresse der Versicherungsnehmerin stand dem nicht entgegen.

In der Datenschutzbeschwerde der Versicherungsnehmerin wurde eine Versicherungsangestellte als zweite Beschwerdegegnerin (Verantwortliche) bezeichnet. Der datenschutzrechtlich Verantwortliche ist eine Person oder Einrichtung, die dafür zu sorgen hat, dass die DSGVO eingehalten wird und allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zu Verantwortlichen einer Datenverarbeitung werden Angestellte eines Unternehmens nur, wenn sie Daten für ihre eigenen Zwecke außerhalb des Tätigkeitsbereichs und der möglichen Kontrolle ihrer Organisation verarbeiten. Die Versicherungsangestellte hat keine Daten für ihre eigenen Zwecke verarbeitet, weswegen die Versicherung für die Datenverarbeitung verantwortlich war. Wird die Beschwerdegegnerin eindeutig bezeichnet, ist eine Umdeutung der Beschwerdegegnerin von Amts wegen unzulässig.

BVwG 19.01.2024, W108 2268760-1

Eine Nachbarin erhob eine Datenschutzbeschwerde bei der DSB, in der sie vorbrachte, durch die von den Eigentümern des Nachbargrundstücks installierten Kameras in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Die Überwachungskameras waren auf die Zuwege zu ihrem Haus, den Durchgang zwischen den Häusern sowie auf den Garten und die Parkflächen gerichtet und beeinträchtigten die Nachbarin bei der Ausübung ihres Servitutsrechts (Geh–, Fahrt- und Parkrecht). Nachdem die DSB der Datenschutzbeschwerde stattgab, erhoben die Eigentümer des Nachbargrundstücks eine (erfolglose) Bescheidbeschwerde beim BVwG.

Der BVwG hat erwogen: Soweit die Eigentümer vorbringen, das Beschwerderecht der Nachbarin sei gemäß § 24 Abs 4 DSG erloschen, weil die Videokameras ab dem Jahr 2015 installiert und der Nachbarin auch bekannt waren, ist ihnen entgegenzuhalten, dass der Dauerzustand der Videoüberwachung nicht abgeschlossen war und sowohl die subjektive einjährige als auch die objektive dreijährige Präklusivfrist erst mit Beendigung des Dauerzustands zu laufen beginnen.

Zum Vorbringen der Eigentümer, dass die Videoüberwachung berechtigt sei, weil die Nachbarin ihr Grundstück über die Servitut hinaus beanspruche, ist festzuhalten, dass aus diesem Grund keine andauernde Überwachung gerechtfertigt war, zumal die Eigentümer selbst vorbringen, nur ein Foto an die Nachbarin übergeben zu haben, um sie aufzufordern, das Waschen ihres Autos auf dem Privatgrundstück der Eigentümer einzustellen.

Zum Schutz ihres Eigentums dürfen die Eigentümer die Videokameras nach Einschränkung deren Aufnahmebereichs weiterbetreiben.

Wird bei der Protokollierung der mündlichen Verkündung eines Erkenntnisses eine teilweise falsche Wortfolge in den Spruch aufgenommen, kann diese offenkundige Unrichtigkeit/Fehlbezeichnung von Amts wegen berichtigt werden. Der Berichtigungsbeschluss fällt in die Zuständigkeit des Einzelrichters (BVwG 26.02.2024, W137 2248575-1).

Einer Bescheidbeschwerde gegen einen Aussetzungsbescheid der DSB wird die Grundlage entzogen, wenn die DSB den angefochtenen Bescheid behebt und das Verfahren fortsetzt. Das Verfahren ist mit Beschluss einzustellen (BVwG 23.02.2024, W211 2261563-1).

BDB 08.03.2024, 2023-0.024.209

Ein Polizist führte über Ersuchen eines Freundes eine Suchabfrage im Zentralen Melderegister (ZMR) durch und gab dem Freund das Ergebnis der Abfrage telefonisch weiter. Der Polizist wurde ua wegen dieses Verhaltens von der zuständigen Dienstbehörde bei der Bundesdisziplinarbehörde (BDB) angezeigt. Die BDB verurteilte den Polizisten, weil dieser seinem Freund und somit einem unbefugten Dritten die Adresse aus dem ZMR mitgeteilt hat und damit Informationen weitergab, die ihm ausschließlich aus seiner amtlichen Tätigkeit bekannt wurden und nur einem beschränkten Personenkreis zugänglich waren.

Die BDB hat erwogen: Die Verarbeitung personenbezogener Daten unterliegt im Hinblick auf die Dienstanweisung "Datensicherheitsvorschrift der LPD" dem Auftragsprinzip. Demnach sind Verarbeitungen lediglich zur gesetzlichen Aufgabenerfüllung und aufgrund eines Auftrags erlaubt. Durch die Datenverarbeitung verstieß der Polizist gegen diese Dienstanweisung, worüber er sich als langjähriger Mitarbeiter einer Polizeiinspektion auch im Klaren sein musste.

Am 03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, die unrechtmäßig verarbeiteten Daten des Betroffenen zu löschen.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 03.2024 wird das Urteil des EuGH in der Rs C-61/22, Landeshauptstadt Wiesbaden, verkündet. Der EuGH wird über die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten entscheiden.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 wird das Urteil des EuGH in der Rs C-741/21, juris, verkündet. Der EuGH wird über mehrere Fragen zum immateriellen Schaden entscheiden, darunter zur Erheblichkeit, zum Verschulden und zur Bemessung der Höhe des Schadenersatzes.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 04.2024 werden die Schlussanträge des Generalanwalts in der Rs C-768/21, Land Hessen, veröffentlicht. Gegenstand des Verfahrens ist die Frage, ob die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, stets verpflichtet ist, eine der Maßnahmen des Art 58 Abs 2 DSGVO zu ergreifen.

VwGH 01.02.2024, Ro 2020/04/0031

Über das Vermögen eines Kreditnehmers wurde ein Schuldenregulierungsverfahren eröffnet. Nach Erfüllung des Zahlungsplans durch den Kreditnehmer genehmigte das Insolvenzgericht die Löschung der entsprechenden Eintragungen aus der Insolvenzdatei. Daraufhin stellte der Kreditnehmer ein Löschungsersuchen an eine Kreditauskunftei, die die Löschung der Insolvenzdaten jedoch ablehnte.

Die DSB und das BVwG wiesen die Datenschutz- und Bescheidbeschwerden des Kreditnehmers ab. Das Erkenntnis des BVwG wurde vom VwGH unter Heranziehung eines zwischenzeitlich ergangenen Urteils des EuGH vom 07.12.2023, C-26/22 und C-64/22, SCHUFA Holding (Restschuldbefreiung), aufgehoben.

Der VwGH hat erwogen: Die Verarbeitung personenbezogener Daten aus der Insolvenzdatei durch Kreditauskunfteien ist zur Wahrung berechtigter Interessen gemäß Art 6 Abs 1 lit f DSGVO grundsätzlich rechtmäßig. Kreditauskunfteien und ihre Geschäftspartner haben ein berechtigtes Interesse an der Beurteilung von Kreditrisiken. Zudem besteht ein sozioökonomisches Interesse des Kreditsektors an der Verarbeitung von Bonitätsdaten und insbesondere von Insolvenzdaten.

Die Verarbeitung historischer Zahlungsinformationen stellt jedoch einen schweren Eingriff in die Grundrechte des Kreditnehmers dar. Je länger Insolvenzdaten durch die Kreditauskunftei gespeichert werden, desto größer sind die Folgen für den Kreditnehmer und desto höher sind die Anforderungen an die Speicherung dieser Informationen. Das Ziel des Zahlungsplans – die wirtschaftliche Gesundung des Kreditnehmers sicherzustellen – wäre gefährdet, wenn die Kreditauskunftei Daten über das Insolvenzverfahren des Kreditnehmers speichern und verwenden könnte, nachdem die Einsicht in die Insolvenzdatei nicht mehr möglich ist. Die berechtigten Interessen der Kreditauskunftei und ihrer Geschäftspartner über Informationen hinsichtlich des abgeschlossenen Insolvenzverfahrens zu verfügen, können die Verarbeitung der zuvor öffentlich einsehbaren personenbezogenen Daten nicht mehr rechtfertigen. Die Speicherung der aus der Insolvenzdatei gelöschten Daten wird nach der Rechtskraft des Beschlusses des Insolvenzgerichts rechtswidrig. Die Kreditauskunftei ist daher verpflichtet, die betreffenden Daten unverzüglich zu löschen.

Dieses Ergebnis steht im Einklang mit dem Erkenntnis des VwGH vom 09.05.2023, Ro 2020/04/0037, in dem, gestützt auf die EU-Kapitaladäquanzverordnung, eine Speicherdauer von zumindest fünf Jahren in Bezug auf die Speicherung von Zahlungserfahrungsdaten in der Bankenwarnliste grundsätzlich als rechtmäßig erachtet wurde. Denn die Bankenwarnliste ist eine von den Kreditauskunfteien gemeinsam betriebene Datenbank und die EU-Kapitaladäquanzverordnung gilt für Kreditinstitute, nicht aber für Kreditauskunfteien.

Aus der Rechtsprechung des OGH (Strafrecht):

Die Bestimmungen der StPO zur Sicherstellung von Datenträgern aus Beweisgründen (§ 110 Abs 1 Z1 und Abs 4 sowie § 111 Abs 2 StPO) sind vom VfGH als verfassungswidrig aufgehoben worden. Die Aufhebung tritt jedoch erst mit 31.12.2024 in Kraft. Bis dahin sind diese Bestimmungen anzuwenden. Die Sicherstellung eines Mobiltelefons ist zulässig, wenn sie aus Beweisgründen erforderlich erscheint. Die Aufhebung der Sicherstellung ist nicht möglich, solange die Auswertung der Daten am Mobiltelefon (mangels Zugangsdaten) nicht möglich war. Die Überwachung von Nachrichten ist gegenüber der Sicherstellung des Mobiltelefons kein gelinderes Zwangsmittel (OGH 05.02.2024, 8Bs33/24z).

BVwG 29.01.2024, W605 2253671-1

Ein Viertel der Mitglieder des "ÖVP-Korruptions-Untersuchungsausschusses" ("U-Ausschuss") ersuchte die Wirtschafts- und Korruptionsstaatsanwaltschaft ("WKStA") um Auswertung eines Datenbestandes auf Korrespondenzen mit Bezug zu bestimmten Personen. Eine dieser Personen ("Auskunftsperson"), stellte an die DSB den Antrag, der WKStA die Auswertung und Übermittlung ihrer personenbezogenen Daten mit Mandatsbescheid zu untersagen, in eventu vorübergehend zu beschränken, bis beim U-Ausschuss ein wirksames Kontrollsystem zum Schutz personenbezogener Daten eingerichtet wird. Die DSB wies die Datenschutzbeschwerde ab. Die Auskunftsperson erhob Bescheidbeschwerde an das BVwG. Nachdem der U-Ausschuss beendet wurde, erklärte das BVwG die Bescheidbeschwerde für gegenstandslos und stellte das Verfahren ein.

Das BVwG hat erwogen: Zu den Prozessvoraussetzungen für das verwaltungsgerichtliche Verfahren zählt das Rechtsschutzinteresse. Dieses Interesse ist immer dann zu verneinen, wenn es für die Rechtsstellung des Rechtsmittelwerbers keinen Unterschied macht, ob die angefochtene Entscheidung aufrecht bleibt oder aufgehoben wird. Im Zeitpunkt der Erhebung der Bescheidbeschwerde war diese zwar zulässig, infolge der Beendigung des U-Ausschusses und folglich jedweder Aktenlieferung an diesen, ist aber das Rechtschutzinteresse der Auskunftsperson nachträglich weggefallen. Eine Übermittlung von personenbezogenen Daten an einen nicht mehr bestehenden U-Ausschuss kann unabhängig davon, ob eine solche während dessen Bestehens erfolgt ist oder nicht, nicht mehr untersagt werden. Mit einem Mandatsbescheid iSd § 22 Abs 4 DSG kann zwar die "Weiterführung" einer Datenverarbeitung untersagt werden, nicht aber eine allenfalls bereits erfolgte Datenverarbeitung für unzulässig erklärt werden.

BVwG 01.02.2024, W287 2242238-1

Ein Gemeindebewohner begehrte Auskunft gemäß Art 15 DSGVO bei seiner Heimatgemeinde. Die Gemeinde erteilte ihm eine Auskunft aus den Datenverarbeitungen "Kinderbetreuungsmanagement", "Lokales Melderegister" und "Lokales Melderegister – Wahladministration" samt dazugehörenden Metainformationen (ua Datenkategorien, Verarbeitungszwecke, Empfänger). Der Gemeindebewohner erachtete die Auskunft für unvollständig und erhielt weitere Ergänzungen der Auskunft, einschließlich einer Auflistung des behördlichen Schriftverkehrs, dessen Inhalt sich auf den Gemeindebewohner bezog (nicht aber über den Inhalt). Bezüglich seines Auskunftsersuchens zu Angelegenheiten des Bau- und Raumordnungsrechts wurde der Gemeindebewohner auf die Akteneinsicht gemäß § 17 AVG verwiesen.

Der wegen Verletzung im Recht auf Auskunft eingebrachten Datenschutzbeschwerde des Gemeindebewohners gab die DSB dahingehend teilweise statt, dass der Inhalt des behördlichen Schriftverkehrs, soweit es sich nicht um Schreiben des Gemeindebewohners handelte, zu beauskunften ist. Im Übrigen wurde die Datenschutzbeschwerde abgewiesen, weshalb der Gemeindebewohner Bescheidbeschwerde an das BVwG erhob. Vor dem BVwG war zu klären, ob dem Gemeindebewohner Auskunft über Daten in einem nur in Papierform aufbewahrten Bauakt zu erteilen ist und ob die Gemeinde weitere personenbezogene Daten des Gemeindebewohners verarbeitet. Das BVwG wies die Bescheidbeschwerde ab.

Das BVwG hat erwogen: Die DSGVO gilt für die nichtautomatisierte Verarbeitung personenbezogener Daten nur dann, wenn Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Nach der DSGVO ist ein Dateisystem eine strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind. Der Ordnungsgrad in einem Dateisystems muss dabei so hoch sein, dass eine gezielte Suche nach personenbezogenen Daten möglich ist. Die Sortierung (bloß) nach Ordnungsnummern oder Zeit ist hierfür nicht ausreichend. Bei der Beurteilung, ob die DSGVO auf einen Papierakt anwendbar ist, kommt es auf das Kriterium der leichten Wiederauffindbarkeit an. Papierakten können damit zwar dem datenschutzrechtlichen Auskunftsrecht unterliegen, Akten von Behörden unterliegen jedoch keinem Auskunftsanspruch, auch wenn der entsprechende Text mit Hilfe automationsunterstützter Datenverarbeitung erstellt worden ist. Der Bauakt ist nur in physischen Ordnern abgelegt und eine gezielte Suche nach personenbezogenen Daten ist nicht möglich. Der für die Anwendung der DSGVO erforderliche Ordnungsgrad wird nicht erreicht. Über die Daten im Bauakt war von der Gemeinde daher keine Auskunft zu erteilen.

Soweit der Gemeindebewohner vermutet, die Gemeinde verarbeite weitere Daten über ihn, ist auf das Vorbringen der Gemeinde zu verweisen, dass sie keine weiteren personenbezogenen Daten des Gemeindebewohners verarbeite. Der Gemeindebewohner ist diesem Vorbringen nicht substantiiert entgegengetreten. Ein bloß allgemeines Vorbringen läuft idR auf einen unzulässigen Erkundungsbeweis hinaus. Da sich keine Anhaltspunkte für eine Unvollständigkeit der erteilten Auskunft ergaben, war die Bescheidbeschwerde abzuweisen.

Wird eine zulässige und begründete Säumnisbeschwerde an das BVwG erhoben, darf das BVwG aufgrund seiner sog "kondemnatorischen" Entscheidungsbefugnis die DSB zum Erlass eines Bescheides "verurteilen". Damit wird der DSB eine "dritte Chance" zur Bescheiderlassung eingeräumt (BVwG 13.02.2024, W256 2280818-1).

Im Einklang mit seiner nunmehr ständigen Rechtsprechung behob das BVwG einen Bescheid, mit dem die DSB ihr Verfahren bis zur Bestimmung der federführenden Aufsichtsbehörde aussetzte (BVwG 14.02.2024, W221 2280746-1).

Hat ein Bieter in einem Vergabeverfahren Bedenken hinsichtlich der Notwendigkeit der Vorlage einer Zertifizierung nach dem Qualitätsmanagementsystem gemäß ISO 9001 (oder einer gleichwertigen Zertifizierung) und einer Zertifizierung für Informationssicherheit, Cybersicherheit und Datenschutz gemäß ISO 27001 (oder einer gleichwertigen Zertifizierung), hat der Bieter ein Nachprüfungsverfahren betreffend die Ausschreibung zu beantragen. Sind die Ausschreibungsunterlagen bereits bestandsfest geworden, hat der Bieter ein entsprechendes Zertifikat nachzuweisen (BVwG 08.02.2024, W279 2278493-2).

Eine Bescheidbeschwerde, die nach Ablauf der vierwöchigen Frist zur Erhebung einer Bescheidbeschwerde eingebracht wird, ist zurückzuweisen (BVwG 01.02.2024, W287 2280832-1).

Mit der Anschaffung eines Tablet-PCs, der über einen funktionierenden Akku verfügt, ist den Erfordernissen der Datensicherheit Genüge getan. Ein Stromgenerator (Notstromaggregat) ist für die Datensicherung nicht geeignet und wird als Werbungskosten für Arbeitsmittel im Homeoffice nicht anerkannt (BFG 05.02.02, RV/3100573/2022).

DSB 26.06.2023, 2023-0.227.210

Gegen eine Rechtsanwältin sind mehrere Disziplinarverfahren eingeleitet worden und ihr wurde als einstweilige Maßnahme die Ausübung der Rechtsanwaltschaft vorläufig untersagt. Zu ihrer Vertretung bestellte die zuständige Rechtsanwaltskammer einen Kammerkommissär. Die Rechtsanwältin verweigerte die Zusammenarbeit mit dem Kammerkommissär, woraufhin dieser den elektronischen Rechtsverkehr (ERV) der Rechtsanwältin sperren und zu sich umleiten ließ sowie bei der Post einen Nachsendeauftrag stellte. Da der Kanzleisitz der Rechtsanwältin an ihrer Privatadresse war, wurde vom Nachsendeauftrag auch die private Post der Rechtsanwältin erfasst. Die Rechtsanwältin brachte für sich und eine Mandantin Datenschutzbeschwerde bei der DSB ein, weil ihre Korrespondenz per ERV und Post an den Kammerkommissär umgeleitet wurde. Die DSB wies die Datenschutzbeschwerde der Rechtsanwältin ab und jene der Mandantin zurück.

Die DSB hat erwogen: Ein Kammerkommissär ist zur Vertretung eines Rechtsanwalts zu bestellen, wenn dessen Berechtigung zur Ausübung der Rechtsanwaltschaft ruht. Den Kammerkommissär treffen Belehrungs- und Beratungspflichten gegenüber den Mandanten des zu vertretenden Rechtsanwalts. Die Rechtsanwältin verweigerte die Kooperation mit dem Kammerkommissär, wollte ihre Mandaten trotz vorläufiger Untersagung der Ausübung der Rechtsanwaltschaft weiterhin vertreten und übergab dem Kammerkommissär – entgegen ihrer gesetzlichen Verpflichtung – keine Akten. Die Umleitung der ERV-Zustellungen an den Kammerkommissär war rechtmäßig, weil dieser gesetzlich verpflichtet war, seiner Belehrungs- und Beratungspflicht gegenüber den Mandanten der Rechtsanwältin nachzukommen. Diese Pflicht konnte er mangels Kooperation der Rechtsanwältin anders nicht erfüllen.

Aus demselben Grund war auch der Nachsendeauftrag an die Post rechtmäßig. Die Rechtsanwältin behauptete zwar, dass der Kammerkommissär auch ihre privaten Briefe öffnete. Der Kammerkommissär ist dieser Behauptung jedoch substantiiert entgegengetreten. Ist eine Tatsache nicht feststellbar, ist vom Nichtvorliegen der Tatsache auszugehen. Der Nachweis für eine tatsächliche Öffnung der privaten Post wurde nicht erbracht.

Die Rechtsanwältin trat selbst im Verfahren vor der DSB als rechtsfreundliche Vertretung einer Mandantin auf. Da ihr die Ausübung der Rechtsanwaltschaft zu diesem Zeitpunkt untersagt war, durfte sie die Mandantin jedoch nicht vertreten, weshalb die Datenschutzbeschwerde der Mandantin zurückzuweisen war.

DSB 06.11.2023, 2023-0.722.005

Die Daten einer Staatsanwältin wurden trotz aufrechter Auskunftssperre aus dem Zentralen Melderegister (ZMR) von einer Meldebehörde an ein Detektivunternehmen weitergegeben. Die Staatsanwältin wurde von der Datenweitergabe nicht verständigt. Sie erfuhr durch ihre Mutter von der Datenweitergabe, weil diese Partei eines Verfahrens war, in dem das Detektivprotokoll mit den Meldedaten vorgelegt wurde. Die Meldebehörde gestand zu, dass die Daten der Staatsanwältin durch eine Mitarbeiterin der Meldebehörde – aufgrund einer Fehlinterpretation der Rechtslage – trotz der Auskunftssperre weitergegeben wurden. Die Mitarbeiterin habe sich für ihr Fehlverfahren entschuldigt. Die DSB gab der wegen Verletzung im Recht auf Geheimhaltung erhobenen Datenschutzbeschwerde der Staatsanwältin statt.

Die DSB hat erwogen: Zur Staatsanwältin bestand zum Zeitpunkt der Datenabfrage eine Auskunftssperre im ZMR. Besteht eine Auskunftssperre, dann hat die Auskunft der Meldebehörde grundsätzlich zu lauten, dass zur Meldepflichtigen keine Daten für eine Auskunft vorliegen. Liegen die Voraussetzungen vor, um trotz Auskunftssperre eine Auskunft über die Meldedaten der Meldepflichtigen zu erteilen, hat die Meldebehörde die Meldepflichtige vor Erteilung der Auskunft zu verständigen und hat ihr Gelegenheit zu einer Äußerung einzuräumen. Die Staatsanwältin wurde nicht verständigt und ihr wurde keine Gelegenheit zur Äußerung eingeräumt. Die Datenweitergabe erfolgte somit rechtswidrig.

Am 03.2024 wird das Urteil des EuGH in der Rs C-604/22, IAB Europe, verkündet. Gegenstand des Verfahrens ist das sogenannte Transparency and Consent Framework, eine Cookie-Management-Plattform. Geklärt werden wird insb, ob alphanummerische Codes, wie Cookie-Kennungen, unter bestimmten Voraussetzungen personenbezogene Daten sind.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 03.2024 wird das Urteil des EuGH in der Rs C-740/22, Endemol Shine Finland, verkündet. Entschieden wird über die Frage, ob die mündliche Übermittlung personenbezogener Daten eine Verarbeitung iSd DSGVO ist sowie über das Verhältnis des Zugangs der Öffentlichkeit zu amtlichen Dokumenten mit der DSGVO. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, die unrechtmäßig verarbeiteten Daten des Betroffenen zu löschen. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 03.2024 werden die Schlussanträge des Generalanwalts in der Rs C-61/22, Landeshauptstadt Wiesbaden, veröffentlicht. Gegenstand des Verfahrens ist die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten.

Mit dem "Bundesgesetz, mit dem das Bundes-Verfassungsgesetz geändert und ein Informationsfreiheitsgesetz erlassen wird", wird die verfassungsgesetzliche Amtsverschwiegenheit aufgehoben, eine verfassungsgesetzliche Informationsverpflichtung eingeführt und ein verfassungsgesetzlich gewährleistetes Recht (Grundrecht) auf Zugang zu Informationen geschaffen, das einfachgesetzlich durch das Informationsfreiheitsgesetz (IFG) ausgeführt wird. Das Gesetzespaket tritt im Wesentlichen – nach einer Legisvakanz – mit 01.09.2025 in Kraft (BGBl I 2024/5; ErlRV)

Mit dem "Bundesgesetz, mit dem das KommAustria-Gesetz und das Telekommunikationsgesetz 2021 geändert werden", ist eine Servicestelle für Künstliche Intelligenz bei der RTR-GmbH eingerichtet worden. Dieses Bundesgesetz trat rückwirkend mit 01.01.2024 in Kraft (BGBl I 2024/6; AB 2419). Anm: Die Europäische Kommission hat mit dem European AI Office ebenso eine Stelle für Informationen über künstliche Intelligenz eingerichtet.

EGMR 22.02.2024, 16974/14, Kaczmarek/Polen

Im Rahmen verdeckter Ermittlungen gegen einen ehemaligen polnischen Innenminister wurden auch die Telefongespräche seiner Ehefrau abgehört. Aufzeichnungen und Abschriften davon wurden der Staatsanwaltschaft übermittelt. Bei einer Pressekonferenz, die live im öffentlichen Fernsehen übertragen wurde, wurde ein Gespräch zwischen der Ehefrau und dem ehemaligen Obersten Polizeikommandant abgespielt, in dem die Hausnummer der Ehefrau enthüllt wurde. Dies wurde auf eine Bestimmung der polnischen Strafprozessordnung gestützt, die in Ausnahmefällen mit Genehmigung der Staatsanwaltschaft (die im konkreten Fall vorlag) die Einsichtnahme Dritter in die Ermittlungsakte erlaubte. Die Ehefrau beschwerte sich über die Veröffentlichung ihrer persönlichen Daten und die Aufbewahrung des Überwachungsmaterials beim EGMR. Der EGMR stellte eine Verletzung des Art 8 EMRK fest und sprach der Ehefrau eine Entschädigung iHv EUR 5.000 zu.

Der EGMR hat erwogen: Die Veröffentlichung der Aufzeichnung eines Telefongesprächs stellt einen Eingriff in das Recht auf Privatleben dar. Die Bestimmung der polnischen Strafprozessordnung sieht nicht explizit vor, dass Informationen oder Daten, die während der Untersuchung gesammelt wurden, auf einer Pressekonferenz veröffentlicht werden dürfen. Dies ist für Personen, die von den Ermittlungen selbst nicht betroffen sind, auch nicht vorhersehbar, weil das polnische Recht weder die Ausnahmefälle noch die Art und Weise der Gewährung der Akteneinsicht präzisiert. Aufzeichnungen über eine Person, die von den Ermittlungen selbst nicht betroffen war, deren Gespräche aber dennoch aufgezeichnet wurden, sind daher nicht vom nationalen Gesetz gedeckt, sodass eine Verletzung des Art 8 EMRK vorlag.

Die Speicherung von Informationen über das Privatleben einer Person durch eine Behörde gilt als Eingriff in das Recht auf Privatleben. Im Zusammenhang mit der Speicherung personenbezogener Daten sind klare und detaillierte Vorschriften über Mindestgarantien erforderlich, die ua Dauer der Speicherung, Verwendung, Zugang Dritter, Verfahren zur Wahrung der Integrität und Vertraulichkeit der Daten und Verfahren zu ihrer Vernichtung betreffen. Obwohl die Ehefrau selbst nicht das Ziel der Überwachung war, wurden Aufzeichnungen und Abschriften ihrer Telefongespräche angefertigt, sodass in ihr Recht auf Achtung des Privatlebens eingegriffen wurde. Mangels klar definierter rechtlicher Rahmenbedingungen und Verfahrensgarantien, die sich auf die Vernichtung der Aufzeichnungen beziehen, war dieser Eingriff unrechtmäßig. Die relevanten Rechtsvorschriften sahen keine ausreichenden Garantien zum Schutz von Personen vor, die nicht direkt von Sicherheitsmaßnahmen betroffen sind, deren Gespräche aber dennoch abgehört wurden.

Am 22.02.2024 werden die Schlussanträge des Generalanwalts in der Rs C-693/22, I. (Vente d'une base de données), veröffentlicht. Gegenstand des Verfahrens ist der Verkauf einer aus personenbezogenen Daten bestehenden Datenbank im Rahmen eines Vollstreckungsverfahrens.

Am 29.02.2024 wird in den verbundenen Rs C-17/22 und C-18/22, HTB Neunte Immobilien Portfolio ua, eine mündliche Verhandlung stattfinden. Gegenstand der Verfahren sind "berechtigte Interessen" im Gesellschaftsrecht.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-604/22, IAB Europe, verkündet. Gegenstand des Verfahrens ist das sogenannte Transparency and Consent Framework, eine Cookie-Management-Plattform. Geklärt werden wird insb, ob alphanummerische Codes, wie Cookie-Kennungen, unter bestimmten Voraussetzungen personenbezogene Daten sind.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-740/22, Endemol Shine Finland, verkündet. Entschieden wird über die Frage, ob die mündliche Übermittlung personenbezogener Daten eine Verarbeitung iSd DSGVO ist sowie über das Verhältnis des Zugangs der Öffentlichkeit zu amtlichen Dokumenten mit der DSGVO.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 14.03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, die unrechtmäßig verarbeiteten Daten des Betroffenen zu löschen.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 21.03.2024 werden die Schlussanträge des Generalanwalts in der Rs C-61/22, Landeshauptstadt Wiesbaden, veröffentlicht. Gegenstand des Verfahrens ist die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten

VwGH 21.12.2023, Ro 2021/04/0010

Das Arbeitsmarktservice (AMS) bietet Dienstleistungen an, um Arbeitssuchende wieder in den Arbeitsmarkt einzugliedern. Die Vorgehensweise ist dabei in der "Bundesrichtlinie" des AMS "Kernprozess Arbeitskräfte unterstützen" festgelegt. Berater des AMS haben in Beratungsgesprächen mit Arbeitssuchenden ua deren Arbeitsmarktchancen zu erörtern. Zur Berechnung der Arbeitsmarktchancen wurde das automatisierte Arbeitsmarktchancen-Assistenzsystem (AMAS) entwickelt. Das AMAS teilt die Arbeitssuchenden anhand eines Algorithmus in drei (AMS-)Kundenkategorien hinsichtlich ihrer Arbeitsmarktchancen ein. Diese Einteilung soll als Grundlage der Beratungsstrategie dienen.

Die DSB leitete ein amtswegiges Prüfverfahren ein und untersagte dem AMS die Verwendung des AMAS. Das BVwG gab der Bescheidbeschwerde des AMS Folge. Über die Amtsrevision der DSB behob der VwGH das Erkenntnis des BVwG, weil dieses wegen sekundären Feststellungsmängeln mit Rechtswidrigkeit des Inhalts belastet war.

Der VwGH hat erwogen: Das AMAS dient der Beratung im Rahmen der Arbeitsvermittlung und der Erstellung des Betreuungsplans. Zur Erfüllung dieser Aufgaben ist das AMS in der Privatwirtschaftsverwaltung – dh weder hoheitlich noch schlicht hoheitlich – tätig. Aufgrund des funktionalen Behördenbegriffs des § 1 Abs 2 DSG ist der Maßstab des § 1 Abs 2 DSG, wonach staatliche Behörden, Daten nur auf Grundlage einer qualifizierten gesetzlichen Grundlage verarbeiten dürfen, nicht zu berücksichtigen.

Die für das AMAS erhobenen Daten dürfen gemäß Art 6 Abs 1 lit e DSGVO zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, sowie im Falle von sensiblen Daten aus Gründen eines erheblichen öffentlichen Interesses gemäß Art 9 Abs 2 lit g DSGVO verarbeitet werden. Die bestmögliche Integration Arbeitssuchender am Arbeitsmarkt ist ein erhebliches öffentliches Interesse.

Nach beiden genannten Bestimmungen darf eine Datenverarbeitung nur erfolgen, wenn sie eine Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats hat. Diese Rechtsgrundlage muss zwar eine besondere Qualität aufweisen und es dürfen darin auch spezifischere Regelungen enthalten sein, es ist aber kein spezifisches Gesetz für jede einzelne Verarbeitung erforderlich. Die die Verarbeitung rechtfertigende Rechtsgrundlage muss nicht jede darauf zu stützende Datenverarbeitung bezeichnen.

Die Bestimmung über die Verschwiegenheitspflicht der Organe in § 27 AMSG und die detaillierten Bestimmungen zur Offenlegung und Aufbewahrung der Daten in § 25 AMSG wahren in ausreichendem Maß die Grundrechte und Interessen der Arbeitssuchenden.

Profiling ist eine besondere Verarbeitungsform. Die Art 6 und 9 DSGVO stellen jedoch keine besonderen Anforderungen an die rechtfertigende Rechtsgrundlage für diese Verarbeitungsform. Die Besonderheit des Profiling wird in Art 22 DSGVO berücksichtigt.

Profiling ist laut dem Urteil des EuGH vom 07.12.23, C-634/21, SCHUFA Holding (Scoring), eine automatisierte Entscheidung, wenn das Ergebnis dieser automatisierten Verarbeitung für eine bestimmte – weitere – Entscheidung insofern maßgeblich ist, als das Handeln des Dritten vom betreffenden Profiling "maßgeblich geleitet" wird.

Demnach ist die Ermittlung eines Wahrscheinlichkeitswerts, wie der von der AMAS berechnete Wert, bereits eine automatisierte Entscheidung, sofern dieser Wahrscheinlichkeitswert maßgeblich die Zuordnung zu einer AMS-Kundengruppe bestimmt und so den Arbeitssuchenden gegenüber rechtliche Wirkung entfaltet oder sie auf ähnliche Weise erheblich beeinträchtigt. Auch wenn die Letztentscheidung bei einem Betreuer des AMS liegt, hindert dies nicht die Einordnung als automatisierte Entscheidung. Ist durch Handlungsanleitungen und Schulungen sichergestellt, dass die AMS-Berater das Ergebnis des Algorithmus nicht unhinterfragt übernehmen, kann dies zwar die Annahme rechtfertigen, die Einordnung erfolge nicht ausschließlich aufgrund des errechneten Wahrscheinlichkeitswerts. AMAS kann – als automatisierte Entscheidung – dennoch maßgeblich für die Einordnung in die Kundengruppe sein. Das BVwG traf jedoch insb keine Feststellungen zur Frage, welche anderen Parameter in welchen Ausmaß Berücksichtigung finden, daher kann die Frage nach der Maßgeblichkeit der automatisierten Verarbeitung nicht final beurteilt werden. Ebenso fehlen Feststellungen, um beurteilen zu können, ob eine hinreichend klare rechtliche Grundlage existiert, die iSd Öffnungsklausel gemäß Art 22 Abs 2 lit b DSGVO eine automatisierte Entscheidung durch das AMAS rechtfertigten könnte.

Anm: Ein sekundärer Feststellungsmangel liegt vor, wenn aufgrund einer (verfehlten) Rechtsansicht bestimmte Feststellungen fehlen, weil die Unterinstanzen sie nicht für erforderlich erachteten. Der VwGH ist keine Tatsacheninstanz, dh er ist auf die Tatsachenfeststellungen des BVwG angewiesen. Deshalb behebt der VwGH das Erkenntnis schon dann, wenn nach Vornahme entsprechender Feststellungen eine anders lautende rechtliche Beurteilung möglich ist. Das BVwG muss die fehlenden Feststellungen nachholen und seine neue Entscheidung an die Rechtsansicht des VwGH ausrichten.

Eine Vermieterin beauftragte ein Detektivunternehmen mit der Observierung ihres Mieters zur Dokumentation allfälliger Kündigungsgründe. Das Detektivunternehmen fertigte Fotos über den Mieter in dessen Wohnung sowie an dessen Arbeitsplatz an und übermittelte die Fotos der Vermieterin, die daraufhin eine Räumungsklage gegen den Mieter einbrachte. Der aufgrund dieser Datenverarbeitungen erhobenen Datenschutzbeschwerde des Mieters gab die DSB statt. Das BVwG wies die gegen den Bescheid der DSB erhobene Bescheidbeschwerde des Detektivunternehmens ab.

Das BVwG hat erwogen: Als Rechtfertigungsgrund kommt hier nur die Wahrung berechtigter Interessen gemäß Art 6 Abs 1 lit f DSGVO in Betracht. Daher ist eine Interessenabwägung durchzuführen. Die Aufnahmen zeigen den Mieter in seinem höchstpersönlichen Lebensbereich (in seiner Wohnung) sowie in einem anderen geschützten Bereich (an seinem Arbeitsplatz). Dem Geheimhaltungsinteresse des Mieters sind die Interessen des Detektivunternehmens an der Ausübung seines Gewerbes (geregelt in § 129 f GewO 1994) und das Interesse der Vermieterin an der vertragsgemäßen Nutzung ihrer Wohnung sowie an der Dokumentation potenzieller mietrechtlicher Kündigungsgründe gegenüberzustellen. Berufsdetektive dürfen gemäß § 129 Abs 1 Z 3 GewO 1994 für Zwecke eines gerichtlichen oder verwaltungsbehördlichen Verfahrens Beweismittel wie Fotoaufnahmen anfertigen. Die Aufnahmen am Arbeitsplatz des Mieters hatten jedoch keinen Bezug zu mietrechtlich relevanten Umständen.

Die Aufnahmen in der Wohnung standen im Zusammenhang mit der mietrechtlichen Angelegenheit. Privatwohnungen genießen jedoch einen speziellen Schutz, weil sie dem höchstpersönlichen Lebensbereich zuzuordnen sind. Obwohl Fotoaufnahmen im höchstpersönlichen Lebensbereich ohne Einwilligung nicht per se unzulässig sind, verstieß das Detektivunternehmen gegen den Grundsatz der Datenminimierung, weil die mögliche bestandswidrige Nutzung der Wohnung auch mit gelinderen Mitteln hätte nachgewiesen werden können.

Ein Hotelier beauftragte eine Web-Agentur mit der Erstellung des Internetauftritts seines Hotels. Er erhob Datenschutzbeschwerde bei der DSB, weil die Agentur personenbezogene Daten über den Hotelier sowie den Namen des Hotels auf einem FTP-Server gespeichert haben soll, der auch anderen Geschäftskunden zugänglich war. Die DSB wies die Datenschutzbeschwerde ab. Die dagegen gerichtete Bescheidbeschwerde des Hoteliers wurde vom BVwG ebenso abgewiesen.

Das BVwG hat erwogen: Auf dem FTP-Server waren nur technische Daten gespeichert, die für das Layout, die Schriftarten, das Aussehen und die Funktionalität der Website verarbeitet wurden. Der Name des Hoteliers als Teil des Firmennamens kam weder im Ordnernamen noch in einer Dateibezeichnung vor. Die auf dem Server gespeicherten Daten enthielten keine Identifikationsmerkmale. Ebensowenig handelte es sich um relevante sachliche Informationen über den Hotelier. Eine Schriftart, ein Programmiercode oder eine Vektorgraphik sind keine relevanten – und auch schützenswerten – Aussagen über eine Person. Über den Hotelier wurden keine personenbezogenen Daten verarbeitet.

Ein Patient begehrte von seinem Arzt im Jahr 2019 Auskunft gemäß Art 15 DSGVO sowie den Erhalt der Daten per Einschreiben aber auf einer beigelegten DVD, sohin in einem gängigen, maschinenlesbaren Format gemäß Art 20 DSGVO. Er erhielt die Auskunft per Einschreiben in Papierform und erhob Datenschutzbeschwerde wegen unvollständiger Auskunft, weil die Seiten der einzelnen Befunde nicht nummeriert waren und ein Fax von ihm an den Arzt aus dem Jahr 2009 nicht beigelegt worden war, sowie wegen Verletzung im Recht auf Datenübertragbarkeit. Die DSB wies die Datenschutzbeschwerde ab. Auch das BVwG wies die daraufhin erhobene Bescheidbeschwerde ab.

Das BVwG hat erwogen: Das Auskunftsrecht des Art 15 DSGVO bezieht sich auf aktuelle Datenverarbeitungen. Eine Unvollständigkeit der Auskunft lag nicht vor, weil der Arzt die Inhalte des Faxes in die Patientendokumentation aufgenommen und beauskunftet hat. Die Form der Übermittlung der Auskunft war nicht zu beanstanden, weil der Patient in seinem Begehren selbst die Übermittlung per Einschreiben verlangt hat. Es kann der DSGVO nicht entnommen werden, dass Daten für Betroffene derart aufbereitet werden müssen, dass sie leichter bearbeitet werden können. Ein Recht auf Erhalt von Daten in einem "strukturiert, gängigen und maschinenlesbaren" Format ist in Art 15 DSGVO nicht vorgesehen. Der Anspruch des Art 20 DSGVO bezieht sich nur auf Daten, die dem Verantwortlichen von Betroffenen aktiv und wissentlich bereitgestellt wurden. Abgeleitete oder aus Rückschlüssen erzeugte Daten, die also das Ergebnis einer Verarbeitung sind, gelten nicht als bereitgestellt. Das trifft auch auf Befunde zu. Das Recht auf Datenübertragbarkeit ist nicht dafür da, Betroffene zur Aneignung fremder Leistungen zu ermächtigen.

Ein Mieter ersuchte den Rechtsanwalt seiner ehemaligen Vermieterin um Auskunft über seine personenbezogenen Daten. Nach dem ihm die entsprechende Auskunft erteilt wurde, monierte der ehemalige Mieter, dass Kopien von Dokumenten, wie ein Grundbuchs- und ein Firmenbuchauszug sowie diverser Schriftverkehr fehlen würde. Die DSB und das BVwG teilten die Ansicht des Mieters – wie auch bereits die DSB im erstinstanzlichen Verfahren – nicht.

Das BVwG hat erwogen: Das "Recht auf Kopie" ist kein eigenständiges Recht. Die Herausgabe ganzer Dokumente ist nicht vorgesehen. Nur in Fällen, in denen der Kontext, in dem die Daten stehen für die Verständlichkeit der Auskunft von Bedeutung ist, kann die Übermittlung von Auszügen aus Dokumenten oder von ganzen Dokumenten erforderlich sein. Die erteilte Auskunft war für den Mieter auch ohne Dokumente verständlich.

Das Anwaltsgeheimnis steht dem Auskunftsrecht entgegen. Zwar darf sich der Rechtsanwalt nicht pauschal auf das Anwaltsgeheimnis berufen, die Korrespondenz mit der Mandantin ist aber durch das Anwaltsgeheimnis geschützt. Das Anwaltsgeheimnis und das Recht auf Auskunft sind im Rahmen einer Interessenabwägung gegeneinander abzuwägen. Ein Mandant, der sich an einen Rechtsanwalt wendet, muss darauf vertrauen können, dass er durch die Informationserteilung an den Rechtsanwalt keine Beweismittel gegen sich schafft. Der Rechtsanwalt durfte daher die Herausgabe der Korrespondenz verweigern, auch wenn diese personenbezogene Daten des Mieters enthielt.

Ein mehrstufiger Auskunftsprozess ist grundsätzlich zulässig. Darauf kann sich der Verantwortliche jedoch nicht berufen, wenn bereits mit dem ersten Auskunftsersuchen eine konkrete Information verlangt wird. Ein Recht auf Herausgabe ganzer Dokumente bzw Aktenkopien besteht grundsätzlich nicht. Das Recht auf Auskunft darf mit dem Recht auf Akteneinsicht nicht vermengt werden. Der Verantwortliche ist nicht verpflichtet, Betroffenen physische Datenträger zur Verfügung zu stellen bzw von diesen bereitgestellte Datenträger zu verwenden (BVwG 22.01.2024, W252 2247042-1).

Das Ausdrucken und Übergeben einer E-Mail an einen Sachbearbeiter innerhalb der Firmenstruktur ist zulässig (BVwG 18.01.2024, W137 2243176-1).

Ein zur Wiedereinsetzung in den vorigen Stand führendes Ereignis liegt nur dann vor, wenn das Hindernis für die Versäumung der Frist kausal war. Wartungsarbeiten an Servern, die in der Regel geplantermaßen stattfinden, begründen nach allgemeiner Lebenserfahrung keinen unabwendbaren oder unvorhersehbaren Umstand (BVwG 01.02.2024, W287 2280832-2).

Am 29.02.2024 wird in den verbundenen Rs C-17/22 und C-18/22, HTB Neunte Immobilien Portfolio ua, eine mündliche Verhandlung stattfinden. Gegenstand der Verfahren sind "berechtigte Interessen" im Gesellschaftsrecht.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-604/22, IAB Europe, verkündet. Gegenstand des Verfahrens ist das sogenannte Transparency and Consent Framework, eine Cookie-Management-Plattform. Geklärt werden wird insb, ob alphanummerische Codes, wie Cookie-Kennungen, unter bestimmten Voraussetzungen personenbezogene Daten sind.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 07.03.2024 wird das Urteil des EuGH in der Rs C-740/22, Endemol Shine Finland, verkündet. Entschieden wird über die Frage, ob die mündliche Übermittlung personenbezogener Daten eine Verarbeitung iSd DSGVO ist sowie über das Verhältnis des Zugangs der Öffentlichkeit zu amtlichen Dokumenten mit der DSGVO.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 14.03.2024 wird das Urteil des EuGH in der Rs C-46/23, Újpesti Polgármesteri Hivatal, verkündet. Der EuGH wird darüber entscheiden, ob eine Datenschutzbehörde ohne Antrag des Betroffenen einen Verantwortlichen anweisen darf, die unrechtmäßig verarbeiteten Daten des Betroffenen zu löschen.

Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.

Am 21.03.2024 werden die Schlussanträge des Generalanwalts in der Rs C-61/22, Landeshauptstadt Wiesbaden, veröffentlicht. Gegenstand des Verfahrens ist die Rechtmäßigkeit der Speicherung von Fingerabdrücken in Personalausweisen und Aufenthaltsdokumenten

Nummernunabhängige interpersonelle Kommunikationsdienste (zB Messenger-Dienste) sind in Russland in ein spezielles Register einzutragen. Dienste, die in dieses Register eingetragen sind, haben Metadaten über Internetkommunikationen für ein Jahr und Inhaltsdaten der Internetkommunikationen für sechs Monate aufzubewahren (= Vorratsdatenspeicherung). Auf Anfrage haben solche Dienste den Sicherheits- und Geheimdienstbehörden die gespeicherten Daten herauszugeben und, sofern die Daten verschlüsselt sind, auch die für die Entschlüsselung erforderlichen Daten mitzuliefern (= geheime Überwachung).

Telegram wurde 2017 in dieses Register eingetragen. Die Ende-zu-Ende Verschlüsselung war zwar nicht voreingestellt, konnte von den Nutzern aber ausgewählt werden. Der russische Geheimdienst (Federal Security Service; FSB) verlangte von Telegram die Herausgabe von mit sechs Telefonnummern verbundenen Daten sowie die zur Entschlüsselung der verschlüsselten Daten erforderlichen Informationen wegen Terrorismusverdachts und berief sich auf sechs Gerichtsurteile, die die Herausgabe dieser Daten angeordnet haben sollen. Telegram verweigerte die Herausgabe der für die Datenentschlüsselung erforderlichen Informationen, weil es unmöglich sei, dieser Anordnung Folge zu leisten, ohne eine Hintertür zu bauen, die den Verschlüsselungsmechanismus für alle Nutzer schwächt. Telegram wurde zu einer Strafe verurteilt und es wurde eine Sperranordnung an Telegram gerichtet. Dennoch blieb Telegram in Russland bis zum Urteil des EGMR verfügbar und funktionsfähig.

Die Offenlegungsanordnung des FSB wurde von 35 Telegramnutzern – darunter der spätere Beschwerdeführer vor dem EGMR – angefochten. Sie machten geltend, dass die geforderte Bereitstellung der Verschlüsselungsschlüssel (encryption keys) die Entschlüsselung der Kommunikation aller Nutzer ermöglichen würde und folglich auch ihr Recht auf Privatsphäre verletze. Die russischen Gerichte wiesen die Beschwerde als unzulässig zurück. Die dritte Kammer des EGMR stellte einstimmig eine Verletzung des Rechts auf Privatsphäre gemäß Art 8 EMRK fest.

Der EGMR hat erwogen: Der EGMR ist zuständig, weil sich der Sachverhalt vor dem 16.09.2022 ereignete, als Russland aufhörte, Vertragsstaat der EMRK zu sein.

Die bloße Vorratsdatenspeicherung stellt einen Eingriff in die Rechte nach Art 8 EMRK dar, unabhängig davon, ob die Behörden anschließend Zugriff auf die gespeicherten Daten erhalten. Die Speicherung ist, obgleich es von den privaten Diensteanbietern durchgeführt wird, gesetzlich vorgeschrieben und daher dem Staat zurechenbar. Ebenso ist die bloße Existenz eines Gesetzes, das die geheime Überwachung erlaubt, ein Eingriff in die Rechte gemäß Art 8 EMRK.

Die technischen Möglichkeiten wie auch die damit verbundenen Gefahren haben massiv zugenommen. Zu diesen Gefahren zählen ua der globale Terrorismus, Drogen- und Menschenhandel sowie die sexuelle Ausbeutung von Kindern. Verschlüsselung hilft jedoch Bürgern und Unternehmen, um sich gegen den Missbrauch von Informationstechnologien zur Wehr zu setzen. Um die Entschlüsselung der verschlüsselten Kommunikation zu ermöglichen, müsste die gesamte Verschlüsselungstechnologie von Telegram geschwächt werden. Der Einbau einer dafür erforderlichen Hintertür könnte auch von kriminellen Netzwerken ausgenutzt werden und könnte die Sicherheit aller Telegramnutzer ernsthaft gefährden.

Die russische Verpflichtung zur Vorratsdatenspeicherung umfasst ua die Speicherung der Stimm-, Text-, Bild-, Ton- und Videodaten. Der Eingriff ins Grundrecht ist damit äußerst weit und ernst. Die Diensteanbieter können auch verpflichtet werden, Equipment zu installieren, das den Behörden direkten Zugriff auf die gespeicherten Daten erlaubt. Der Datenzugriff bedarf zwar einer gerichtlichen Genehmigung, die Gerichtsentscheidung muss den Diensteanbietern jedoch nicht gezeigt werden und die entsprechenden Gerichtsentscheidungen wurden Telegram auch nicht gezeigt. Das Genehmigungsverfahren ist nicht geeignet, sicherzustellen, dass geheime Überwachungsmaßnahmen nur in Fällen angeordnet werden, in welchen dies in einer demokratischen Gesellschaft erforderlich ist. Die vorgesehenen Rechtsbehelfe sind nicht effektiv, weil die Betroffenen über die geheime Überwachung nicht informiert werden. Folglich liegt eine Verletzung des Art 8 EMRK vor.

Anm: Vorratsdatenspeicherung und Entschlüsselung sind auch innerhalb der EU ein Anliegen der Sicherheitsbehörden. Der EuGH hat die allgemeine Vorratsdatenspeicherung erstmals mit Urteil vom 08.04.2014, C‑293/12 und C‑594/12, Digital Rights Ireland Ltd, untersagt. Der VfGH lehnte mit Erkenntnis vom 11.12.2019 die Entschlüsselung verschlüsselter Kommunikationen ab (Stichwort: Bundestrojaner; VfSlG 20.356/2019).

Im Rahmen einer im Juli 2020 erhobenen Datenschutzbeschwerde behauptete ein Nachbar, in seinem Grundrecht auf Geheimhaltung verletzt worden zu sein, weil sein Grundstück vom Aufnahmebereich zweier Videokameras erfasst werde, die seine Nachbarin installiert hätte. Die Nachbarin bestritt die Möglichkeit einer unzulässigen Datenverarbeitung, weil es sich bei der einen Kamera um eine Attrappe handle und der Schwenkbereich der anderen Kamera nicht auch das Grundstück des Nachbars erfasse. Allein auf Basis von schriftlichen Stellungnahmen erließ die DSB einen die Datenschutzbeschwerde als unbegründet abweisenden Bescheid. Der dagegen erhobenen Bescheidbeschwerde gab das BVwG Folge, hob den Bescheid gemäß § 28 Abs 3 VwGVG auf und verwies die Angelegenheit zur Verfahrensergänzung und Erlassung eines neuen Bescheids an die DSB zurück. Die dagegen erhobene Amtsrevision der DSB wies der VwGH als unbegründet ab.

Der VwGH hat erwogen: In der Amtsrevision brachte die DSB vor, die AVG verpflichte sie zwar, zur Ermittlung der materiellen Wahrheit den vollen Beweis zu erbringen, Art 57 Abs 1 lit f DSGVO derogiere jedoch partiell den entsprechenden Bestimmungen des AVG, sodass für die Feststellung des maßgeblichen Sachverhalts nicht der "volle Beweis" gefordert werde, sondern die Beschwerdebehandlung – einzelfallbezogen – "in angemessenem Umfang" zu erfolgen habe. Entgegen der Ansicht der DSB besteht jedoch kein Anhaltspunkt für eine "partielle" Derogation der §§ 37 und 39 Abs 2 AVG.

Die DSB hat sich trotz einander widersprechender Behauptungen der Nachbarn zur Frage der Betriebsweise (Schwenkbarkeit) der Kameras bloß mit der Einholung schriftlicher Stellungnahmen begnügt und hat die Nachbarin, obwohl es geboten gewesen wäre, mündlich nicht einvernommen. Das BVwG ist daher vertretbar davon ausgegangen, dass die DSB ihrer Pflicht zur Bearbeitung der Datenschutzbeschwerde nicht mit aller gebotenen Sorgfalt nachgekommen ist.

Ein Offizier des Bundesheeres geriet mit Vorgesetzten und Untergebenen aufgrund unterschiedlicher Vorstellungen der Dienstausübung und des Umgangstons des Offiziers wiederholt aneinander. Die Folge waren zahlreiche Disziplinarbeschwerden bei der Bundesdisziplinarbehörde, Strafanzeigen bei der Staatsanwaltschaft und Datenschutzbeschwerden bei der DSB. Der Offizier wurde mit Disziplinarerkenntnis der Bundesdisziplinarbehörde (BDB) ua wegen unberechtigten Datenzugriffen im Aktensystem des Bundesheeres für schuldig befunden. Das BVwG bestätigte das Disziplinarerkenntnis ua wegen unrechtmäßigen Zugriffen im elektronischen Akt des Bundes (ELAK).

Das BVwG hat erwogen: Die Datenschutzbestimmungen des § 1 Abs 1 DSG iVm Art 6 Abs 1 lit e DSGVO lassen Datenverarbeitungen zur Wahrnehmung konkreter Verwaltungsaufgaben nur zu, wenn sie erforderlich sind. Der Offizier verarbeitete unrechtmäßig personenbezogene Daten, indem er auf die Mehrdienstleistungsanordnung eines Hauptmanns ohne dienstliche Notwendigkeit zugegriffen hat und diese samt der darin enthaltenen personenbezogenen Daten, Name und Personalnummer, mit weiteren Bediensteten teilte. Weiters verarbeitete der Offizier unrechtmäßig die Daten eines Obersts, indem er auf dessen Belohnungsantrag zugegriffen hat.

Dagegen handelte der Offizier rechtmäßig, als er einem Vorgesetzten vorschriftswidriges Verhalten vorwarf, weil ihm dieser die Einsicht in seinen Personalakt verweigerte. Beim Verlangen um Einsicht in den eigenen Personalakt handelt es sich um ein Auskunftsersuchen über die eigenen Daten. Die Einsicht darf nicht deshalb verweigert werden, weil man befürchtet, der Offizier könnte erneut einen Fehler finden und diesen bei der DSB zur Anzeige bringen. Der Offizier durfte einem Vorgesetzten auch einen Verstoß gegen Datenschutzbestimmungen anlasten, weil dieser auf einem Selbstauskunftsbogen des Offiziers bei der Frage nach Vorstrafen zur Angabe des Offiziers ("Nein") händisch "bereits verjährt" vermerkt hatte, obwohl verjährte Vorstrafen für den Zweck des Auskunftsbogens außer Acht bleiben mussten und dies dem Vorgesetzten bekannt war. Ebenfalls rechtmäßig handelte der Offizier, als er hinsichtlich der Empfängernennung in Auskunftsschreiben eine andere Rechtsansicht vertrat als ein Vorgesetzter und deshalb in einem der zahlreichen Verfahren vorbrachte, dass er durch die unvollständige Empfängernennung vom Vorgesetzten in seinen Rechten verletzt worden war. Der EuGH stützte später die Rechtsansicht des Offiziers, dass Empfänger konkret benannt werden müssen, und darüber hinaus dient das Disziplinarrecht nicht dazu, unliebige Meinungsäußerungen zu untersagen, sofern diese im Rahmen der freien Meinungsäußerung vertretbar sind.

Allein die missbräuchliche Beschaffung von dem Datenschutz unterliegenden personenbezogenen Daten, ohne darüberhinausgehenden Vorsatz, ein konkretes Recht des Staates oder einer Person zu schädigen, reicht für die Verwirklichung des Tatbestands von § 302 Abs 1 StGB (Amtsmissbrauch) zwar nicht aus. Eine missbräuchliche Datenbeschaffung indiziert aber in der Regel den Vorsatz, das Geheimhaltungsinteresse der betroffenen Person zu verletzen.

Bis zur Entscheidung des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, wird das Verfahren über die Rechtsfrage, welche aussagekräftigen Informationen über die involvierte Logik einer automatisierten Entscheidungsfindung, die im Spannungsverhältnis zu einem Geschäftsgeheimnis stehen, zu erteilen sind, ausgesetzt (BVwG 26.01.2024, W221 2253358-1).

Ist vom BVwG in einer erheblichen Anzahl von anhängigen oder in naher Zukunft zu erwartenden Verfahren eine Rechtsfrage zu lösen und ist gleichzeitig beim Verwaltungsgerichtshof eine Revision zur selben Rechtsfrage anhängig, kann das BVwG das Verfahren aussetzen (BVwG 29.01.2024, W101 2248576-1).

Bis zur Entscheidung des EuGH in der Rs C-416/23, Österreichische Datenschutzbehörde, wird das Verfahren über die Rechtsfrage, ob über 300 Datenschutzbeschwerden mit gleichbleibendem Kern iSd Art 57 Abs 4 DSGVO exzessiv sind, ausgesetzt (BVwG 22.01.2024, W252 2280887-1).

Bis zur Entscheidung des EuGH in der Rs C-416/23, Österreichische Datenschutzbehörde, wird das Verfahren über die Rechtsfrage, ob die Datenschutzbeschwerde des Beschwerdeführers wegen ihres wiederholenden und rechtsmissbräuchlichen Charakters iSd Art 57 Abs 4 DSGVO exzessiv ist, ausgesetzt (BVwG 22.01.2024, W252 2280766-1).

Die Datenschutzbeschwerde kann in jeder Lage des Verfahrens mit der Wirkung zurückgezogen werden, dass die DSB unzuständig und der erlassene Bescheid nachträglich rechtswidrig wird. In solchen Fällen hat das BVwG den Bescheid ersatzlos zu beheben (BVwG 16.01.2024, W292 2248304-1).

Gemäß § 5 WiEReg haben Rechtsträger bestimmte personenbezogene Daten über ihre wirtschaftlichen Eigentümer an die Bundesanstalt Statistik Österreich als Auftragsverarbeiterin der Registerbehörde (Bundesminister für Finanzen) zu melden. Die Meldung der Daten hat im elektronischen Weg über das Unternehmerserviceportal zu erfolgen. Wird eine Meldung nicht erstattet, kann das Finanzamt Österreich deren Vornahme durch Verhängung einer Zwangsstrafe erzwingen, solange die zu erzwingende Handlung noch nicht vorgenommen wurde (BFG 24.01.2024, RV/2100418/2023).

Ein Nutzer besuchte die US-Website einer in den USA niedergelassenen Websitebetreiberin. Im Zuge des Websitebesuchs willigte der Nutzer in die Verwendung von Cookies ein. Anschließend brachte der Nutzer Datenschutzbeschwerde bei der DSB ein, weil die von ihm erteilte Einwilligung ungültig gewesen sei und beantragte ua, der Websitebetreiberin die Löschung der über ihn erhobenen Cookie-Werte aufzutragen sowie das US-Websitebetreiberin zu verpflichten, allfällige Empfänger der Cookie-Werte über die Löschung iSd Art 19 DSGVO zu informieren. Die DSB gab der Datenschutzbeschwerde teilweise statt und trug der Websitebetreiberin ua auf:

1. Die Datenempfänger über die Löschung zu gemäß Art 19 DSGVO zu informieren.
2. Auf der ersten Ebene des Cookie-Banners neben der Schaltfläche für das Akzeptieren der Cookies eine gleichwertige Option für das Ablehnen der Cookies vorzusehen.
3. Einen ausdrücklichen Hinweis, wo das Recht auf Widerruf der Einwilligung ausgeübt werden kann, in den Cookie-Banner aufzunehmen.

Die DSB hat erwogen: Die US-Website ist zwar an kein europäisches Publikum gerichtet, sie verweist aber auf die Webshops anderer Unternehmen. Die britische Website bietet die Möglichkeit an, ein Printabonnement nach Österreich zu bestellen. Das bloße Zugänglichmachen der Website, einer E-Mail-Adresse oder von Kontaktdaten reichen jedoch nicht aus, um den räumlichen Anwendungsbereich der DSGVO zu eröffnen. Dennoch eröffnet ist der räumliche Anwendungsbereich der DSGVO deshalb, weil auf dem Endgerät des Nutzers Cookies ausgelesen wurden und durch Tracking auf Verhaltensprofilen basierte Personalisierungsfunktionen angeboten werden.

Die erhobenen Cookie-Werte sind personenbezogene Daten, weil die Cookies einzigartige, zufallsgenerierte Werte im Endgerät des Nutzers setzten und diese Werte an die Server der Cookie-Anbieter übermittelten.

Die eingeholte Einwilligung zum Setzen der Cookies war ungültig, weil es auf der ersten Ebene des Cookie-Banners keine Möglichkeit gab, die Einwilligung zu verweigern. Die Daten wurden daher unrechtmäßig verarbeitet und mussten von der Websitebetreiberin gelöscht werden. Dies hat sie auch getan, allerdings hätten gemäß Art 19 DSGVO auch die Empfänger der Informationen der Cookie-Werte über die erfolgte Löschung informiert werden müssen. Die US-Websitebetreiberin wendete zwar ein, dass dies mit einem unverhältnismäßigem Aufwand verbunden wäre, sie war für diese Behauptung jedoch beweispflichtig und hat keinen Nachweis erbracht.

Eine Beamtin bewarb sich für eine Führungsfunktion. Aufgrund eines entsprechenden Erlasses (sog Logfileerlass) wurden im Rahmen des Bewerbungsprozesses ihre Datenbankzugriffe analysiert. Es stellte sich zunächst heraus, dass sie auf die Steuerdaten ihres Gatten und ihrer Arbeitszimmerkollegin mehrfach ohne dienstlichen Grund zugegriffen hat. Die Beamtin verteidigte sich damit, dass sie auf die entsprechenden Daten auch privat hätte zugreifen können, es aber praktischer und schneller gewesen sei, die Daten dienstlich abzufragen. Nach weiteren Untersuchungen stellte sich heraus, dass die Beamtin auch die Daten weiterer Personen, ua in Zusammenhang mit ihrer politischen Tätigkeit, ohne dienstlichen Grund und in vielen Fällen auch ohne Einverständnis der Betroffenen abgefragt hat. Die für die Beamtin zuständige Dienstbehörde erstattete Disziplinaranzeige an die Bundesdisziplinarbehörde (BDB) und auch Strafanzeige an die zuständige Staatsanwaltschaft (StA). Die Beamtin war geständig und es wurde über sie wegen Verletzung von Bestimmungen des Beamten-Dienstrechtsgesetzes (BDG), die solche Datenzugriffe untersagten, die Disziplinarstrafe der Geldbuße iHv EUR 2.800 verhängt. Die StA stellte das Verfahren diversionell ein.

Die BDB hat datenschutzrechtlich relevant erwogen: Die Beamtin stand zu den Personen, deren Daten sie abfragte, entweder in einem Angehörigenverhältnis oder es handelte sich um Bekannte, vorwiegend aus ihrem politischen Umfeld. Deshalb ist die Beamtin als befangenes Organ anzusehen und kann daher eine dienstliche Veranlassung zur Vornahme der dokumentierten Datenzugriffe nicht gegeben sein. Die nur für dienstliche Belange bestehende rechtliche Erlaubnis, das Grundrecht auf Datenschutz (§ 1 DSG) zu durchbrechen, wird von einer Beamtin dann missbräuchlich in Anspruch genommen, wenn eine Ermittlung personenbezogener Daten ohne dienstliche Rechtfertigung erfolgt. Nach dem OGH führt der Befugnismissbrauch bei deliktspezifischem Schädigungsvorsatz zu einer strafrechtlichen Verantwortlichkeit nach § 302 Abs 1 StGB (Amtsmissbrauch), ohne dass an sich ein tatsächlicher Schadenseintritt erforderlich wäre. In der Verletzung des Grundrechts auf Datenschutz nach § 1 DSG durch eine missbräuchliche Datenermittlung ist die konkrete Schädigung der Betroffenen zu erblicken. Der Beamtin war aufgrund der absolvierten internen Trainings und interner Weisungen die Rechtswidrigkeit ihres Verhaltens auch bekannt. Sie handelte zumindest mit bedingtem Vorsatz.

Am 22.02.2024 werden die Schlussanträge des Generalanwalts in der Rs C-693/22, I. (Vente d'une base de données), veröffentlicht. Gegenstand des Verfahrens ist der Verkauf einer aus personenbezogenen Daten bestehenden Datenbank im Rahmen eines Vollstreckungsverfahrens.