To the Point:
Rechtsprechung des OGH
- Werden in einem Strafverfahren Kommunikationsdaten des Strafverdächtigten von ausländischen Behörden erhoben und an die inländischen Strafverfolgungsbehörden übermittelt, unterliegen solche Daten keinem Beweisverwertungsverbot (OGH 27.08.2024, 11Os85/24w).
Rechtsprechung des BVwG
BVwG 31.07.2024, W108 2284491-1
- Ein Nutzer besuchte die Website eines Medienunternehmens, die
im Cookie-Banner keine "Ablehnen"-Schaltfläche auf
der ersten Ebene enthielt. Der Nutzer begehrte vom
Medienunternehmen die Löschung aller durch die Cookies
erhobenen personenbezogenen Daten. Das Medienunternehmen
argumentierte, dass die Verarbeitung personenbezogener Daten zu
journalistischen Zwecken erfolgte und daher von den Bestimmungen
der DSGVO ausgenommen war. Der Nutzer erhob Datenschutzbeschwerde
bei der DSB, die dieser teilweise stattgab und das
Medienunternehmen zur Anpassung des Cookie-Banners aufforderte. Das
Medienunternehmen erhob Bescheidbeschwerde beim BVwG, das diese
abwies.
Das BVwG hat erwogen: Die DSGVO verlangt, dass die Einwilligung zur Verarbeitung personenbezogener Daten freiwillig, informiert und unmissverständlich erfolgt. Eine Einwilligung muss genauso einfach zu widerrufen sein, wie sie erteilt wurde. Auch die Nichtabgabe einer Einwilligung muss genauso einfach sein, wie die Abgabe der Einwilligung. Ein Cookie-Banner muss daher eine gleichwertige Option zum Ablehnen der Cookies auf der ersten Ebene enthalten.
Das Medienunternehmen kann sich nicht auf das Medienprivileg berufen, weil das Setzen von Cookies für Analyse-, Marketing- und Werbezwecke keine journalistische Tätigkeit ist. Bei Verarbeitungstätigkeiten für andere Zwecke von Medienunternehmen wie zB für die Personalverwaltung oder Marketing sind die Bestimmungen des DSG und der DSGVO ungeschmälert anwendbar. Auch wenn aufgrund der Wichtigkeit des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft der Begriff der "journalistischen Tätigkeit" weit auszulegen ist, zielt die Verarbeitung personenbezogener Daten zu den oben genannten Zwecken nicht auf die Vermittlung von Informationen und Ideen über Fragen im öffentlichen Interesse ab.
Die DSB hat die Befugnis, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge in Einklang mit der DSGVO zu bringen. Dies umfasst auch die Gestaltung des Cookie-Banners. Die Gestaltung des Cookie-Banners des Medienunternehmens entspricht nicht den Anforderungen der DSGVO, weil die Schaltfläche zum Ablehnen der Cookies nicht auf der ersten Ebene ist und mit der Schaltfläche "Akzeptieren" optisch nicht gleichwertig gestaltet ist.
BVwG 22.04.2024, W214 2253376-1
- Im Rahmen eines Forschungsprojekts veröffentlichte ein
Universitätsprofessor Adressdaten und ZVR-Nummern von Vereinen
und ihren Vertretern. Bei den veröffentlichten Adressdaten
handelte es sich teilweise um die Privatadressen der Vertreter. Die
Vereine und deren Vertreter erachteten sich in ihren Rechten auf
Geheimhaltung und Information verletzt und brachten
Datenschutzbeschwerde bei der DSB gegen die Universität, den
Universitätsprofessor und den Fonds, welcher das
Forschungsprojekt sponserte, ein. Die DSB wies die
Datenschutzbeschwerde ua deshalb ab, weil die veröffentlichten
Adressen und ZVR-Nummern der betroffenen Vereine und ihrer
Vertreter aus öffentlich zugänglichen Quellen
stammten.
Die DSB sprach jedoch auch aus, dass eine gemeinsame Verantwortlichkeit zwischen der Universität und dem Fonds besteht und daher eine Vereinbarung gemäß Art 26 DSGVO abgeschlossen werden muss. Gegen diesen Bescheid erhoben sowohl die Universität als auch die Vereine und ihre Vertreter (teilweise erfolgreiche) Bescheidbeschwerden an das BVwG.
Das BVwG hat erwogen: Die Universität ist allein datenschutzrechtlich Verantwortliche für das Forschungsprojekt. Das Handeln des Universitätsprofessors als Angestellter ist der Universität zuzurechnen. Der Fonds stellt lediglich finanzielle Mittel bereit und nimmt keinen Einfluss auf die Datenverarbeitung.
Die Veröffentlichung von Adressen und ZVR-Nummern von Vereinen und deren Vertretern ist eine Datenverarbeitung. Durch die Verknüpfung der personenbezogenen Daten und die Anreicherung mit weiteren Informationen werden neue Daten und Informationen generiert. Diese neuen Daten stammen nicht aus öffentlichen Quellen.
Die Daten juristischer Personen, somit die Adressen der Vereine, unterliegen dem Schutz des § 1 DSG. Da die Daten nicht 1:1 aus öffentlichen Quellen zusammengeführt, sondern mit anderen Daten kombiniert wurden, sind sie nicht allgemein verfügbar iSd § 1 DSG.
Zwar kann sich die Universität bei der Durchführung und Veröffentlichung von Forschungsarbeiten auf die Wissenschaftsfreiheit gemäß § 17 StGG berufen. Allerdings ist auch bei wissenschaftlichen Vorhaben das Recht auf Geheimhaltung zu beachten. Die Veröffentlichung personenbezogener Daten muss verhältnismäßig sein und dem Grundsatz der Datensparsamkeit entsprechen. Die Veröffentlichung der Adressen der Vereine und deren Vertreter war für die Erreichung des Projektziels nicht erforderlich. Durch die überschießende Datenverarbeitung wurde das Recht auf Geheimhaltung verletzt.
Betroffene natürliche Personen haben ein Recht auf Information zu der Verarbeitung ihrer Daten gemäß Art 14 DSGVO. Eine Ausnahme von der Informationspflicht besteht zwar unter anderem dann, wenn die Informationserteilung unmöglich ist oder einen unverhältnismäßigen Aufwand bedeuten würde. Im Projekt wurden jedoch einzelne Betroffene vorab direkt angeschrieben und informiert. Es ist nicht ersichtlich, warum dies nicht für alle Betroffenen hätte erfolgen können. Eine erst nachträglich bereitgestellte Datenschutzinformation gilt nicht als rechtzeitig erteilt.
BVwG 20.11.2023, W214 2222613-2
- Eine Kreditauskunftei speicherte ua Bonitätsscores sowie
Zwischenergebnisse (Teil-scores) zu den errechneten
Bonitätsscores. Ein Betroffener ersuchte um Auskunft und um
eine Kopie der über ihn gespeicherten personenbezogenen Daten.
Die Kreditauskunftei erteilte eine Auskunft, der Betroffene
erachtete diese jedoch für unzureichend und erhob
Datenschutzbeschwerde wegen Verletzungen der Rechte auf Auskunft,
Information und Geheimhaltung. Die DSB wies die
Datenschutzbeschwerde teilweise zurück und teilweise ab.
Über die Bescheidbeschwerde des Betroffenen erging ein Teilerkenntnis des BVwG, das von beiden Parteien mit ordentlicher Revision beim VwGH bekämpft wird.
Mit Beschluss vom selben Tag ersuchte das BVwG den EuGH um Vorabentscheidung betreffend die Zurverfügungstellung einer Kopie personenbezogener Daten. Mit Urteil vom 04.05.2023, C‑487/21, Österreichische Datenschutzbehörde, beantwortete der EuGH die Vorlagefragen, weshalb das Verfahren fortgesetzt wurde. Das BVwG gab der Bescheidbeschwerde (im noch zu erledigenden Umfang) teilweise statt, und trug der Kreditauskunftei auf, dem Betroffenen die ihn betreffenden Bonitätsreports mit Ausnahme allenfalls vorhandener Daten dritter natürlicher Personen zu übermitteln.
Das BVwG hat erwogen: Gegenstand des Verfahrens ist nurmehr, ob die über den Betroffenen gespeicherten personenbezogenen Daten in Form einer Kopie – allenfalls in kontextualisierter Form – zu beauskunften sind. Auf die darüber hinausgehenden Ausführungen des Betroffenen zu den Verarbeitungszwecken und der Herkunft der Daten ist nicht weiter einzugehen. Ebenso wenig sind aussagekräftige Informationen über Logik, Tragweite und Auswirkungen der eingesetzten Scoreformel Verfahrensgegenstand.
Kreditauskunfteien sind verpflichtet, ihren geschäftlichen Schriftwechsel und die Geschäftsbücher für sieben Jahre aufzubewahren. Dementsprechend werden im Archiv der Kreditauskunftei die an den Kunden der Kreditauskunftei übermittelten Bonitätsscores aufbewahrt. Die Kreditauskunftei hat daher dem Betroffenen die Kopien der entsprechenden Bonitätsreports zur Verfügung zu stellen, wobei eventuell vorhandene personenbezogene Daten Dritter (etwa Namen natürlicher Personen als Mitarbeiter des Unternehmens, welches Empfänger der Bonitätsreporte war) unkenntlich zu machen sind.
Der EuGH hat den Begriff der "Kopie" im gewöhnlichen Sinn ausgelegt, wonach dadurch die originalgetreue Reproduktion oder Abschrift der personenbezogenen Daten bezeichnet wird. Somit handelt es sich beim Begriff der "Kopie" nicht um eine Binärfolge, sondern um eine Darstellung in einem für den Menschen verständlichen/lesbaren Format.
Eine manuell erstellte Aufstellung kann eine originalgetreue Reproduktion der Daten sein, weil es auf die Originaltreue der verarbeiteten Daten und nicht auf jene des Formats ankommt. Die Daten des Betroffenen wurden originalgetreu aus der Datenbank exportiert und stimmen somit mit den in der Datenbank verarbeiteten Daten überein. Die originalgetreue Reproduktion geht nicht dadurch verloren, dass die Daten des Nutzers in ein anderes Format übertragen werden. In welchem Format die Auskunft erteilt wird, liegt im Ermessen des Verantwortlichen.
Zudem darf gemäß Art 15 Abs 4 DSGVO das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Die Datenbankstruktur gilt als Geschäfts- und Betriebsgeheimnis, das durch Screenshots offengelegt werden würde.
Die Teilscores sind zwar personenbezogene Daten, durch ihre Offenlegung könnten jedoch Rückschlüsse auf die Scoreformel möglich werden. Sie sind daher Bestandteil des durch das Geschäftsgeheimnis geschützten Algorithmus und demnach nicht zu beauskunften.
BVwG 22.07.2024, W211 2171666-1
- Eine Kreditauskunftei prognostizierte anhand
mathematisch-statistischer Verfahren das zukünftige Verhalten
von Personen und erstellte darauf basierende Score-Werte. Diese
Score-Werte übermittelte die Kreditauskunftei an ihre
Geschäftskunden, darunter einem Telekomunternehmen. Ein Kunde
dieses Telekomunternehmens richtete ein Auskunftsersuchen an die
Kreditauskunftei. Da er mit der erteilten Auskunft unzufrieden war,
erhob er Datenschutzbeschwerde bei der DSB. Die DSB gab der
Datenschutzbeschwerde teilweise statt, weil die Kreditauskunftei
Negativauskünfte über den Betroffenen gelöscht
hatte. Gegen den abweisenden Teil des Bescheides erhob der Kunde
eine Bescheidbeschwerde.
Das BVwG teilte seine Entscheidung in zwei Spruchpunkte. Mit dem ersten Spruchpunkt setzte das BVwG das Verfahren bis zur Entscheidung des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, aus. Mit dem zweiten Spruchpunkt trug das BVwG der Kreditauskunftei auf, dem Kunden eine Auskunft über die Herkunft des Score-Werts "Brutto-Mindesteinkommen des Haushalts" zu erteilen.
Das BVwG hat erwogen: Die Kreditauskunftei ermittelt automatisiert einen Score-Wert, der auf mathematisch-statistischen Methoden beruht und das Verhalten sowie die Bonität des Kunden analysiert. Dieses Verfahren ist als Profiling zu qualifizieren. Von den übermittelten Score-Werten der Kreditauskunftei hängt maßgeblich ab, ob ihre Geschäftskunden, hier das Telekomunternehmen, ein Vertragsverhältnis mit der abgefragten Person eingehen. Daher können sich in einer Marktwirtschaft schwerwiegende Folgen für die Unabhängigkeit und Handlungsfähigkeit von Betroffenen ergeben. Nach vorläufiger Ansicht des BVwG ist der errechnete Score daher eine automatisierte Entscheidung iSd Art 22 DSGVO. In welchem Umfang die entsprechende Auskunft nach Art 15 Abs 1 lit h DSGVO zu erteilen ist, hängt jedoch vom Urteil des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, ab, weshalb das Verfahren ausgesetzt wird.
Das BVwG hat bereits in einem vorhergehenden Erkenntnis ausgesprochen, dass die Kreditauskunftei dem Kunden die Herkunft des Score-Werts "Brutto-Mindesteinkommen des Haushalts" zu beauskunften hat. Ein entsprechender Leistungsauftrag wurde jedoch nicht erteilt. Über Revision des Kunden behob der VwGH das vorherige Erkenntnis des BVwG. Der Kreditauskunftei war nunmehr ein Leistungsauftrag zur Beauskunftung der Herkunft des Score-Werts "Brutto-Mindesteinkommen des Haushalts" zu erteilen.
Aus der weiteren Rechtsprechung des BVwG:
- Das eigene Grundstück mit Video zu überwachen, ist
grundsätzlich berechtigt. Über das eigene Grundstück
hinaus dürfen Teile eines öffentlichen Weges und Teile
von Nachbargrundstücken jedoch ohne ein entsprechendes
berechtigtes Interesse nicht erfasst werden (BVwG 15.07.2024, W137 2268788-1).
- Das BVwG kann ein Verfahren bis zur Entscheidung des EuGH
über ein Vorabentscheidungsersuchen aussetzen, auch wenn beim
EuGH eine (bloß) ähnliche Rechtsfrage anhängig ist.
Der VwGH ersuchte den EuGH um Vorabentscheidung, wann eine
Datenschutzbeschwerde exzessiv ist. Diese Frage ist
präjudiziell, weshalb das Verfahren auszusetzen ist (BVwG 04.07.2024, W211 2283135-1; BVwG 31.07.2024, W108 2283036-1).
- Wird die Datenschutzbeschwerde zurückgezogen, hat dies zur
Folge, dass die angefochtenen Spruchpunkte des Bescheids der DSB
dadurch (nachträglich) von einer unzuständigen
Behörde erlassen wurden und sich diese Spruchpunkte
(rückwirkend) als rechtswidrig erweisen (BVwG 21.08.2024, W214 2257555-1).
Rechtsakte
- Am 28.08.2024 hat Wien, LGBl 2024/24, die Etablierung einer
gebietskörperschaftenübergreifenden Transparenzdatenbank
(Transparenzportal) verlautbart.
Vorschau EuGH-Rechtsprechung
- Am 05.09.2024 werden die Schlussanträge
in der Rs C-416/23, Österreichische
Datenschutzbehörde (Demandes excessives),
veröffentlicht. Der VwGH fragte den EuGH, wann eine
Datenschutzbeschwerde exzessiv ist.
- Am 12.09.2024 werden die Schlussanträge
in der Rs C-203/22, Dun & Bradstreet
Austria, veröffentlicht. Das LVwG Wien befragte den
EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h
DSGVO (automatisierte Entscheidung).
- Am 12.09.2024 wird das Urteil in den
verbundenen Rs C-18/22, Ökorenta Neue Energien
Ökostabil IV, und C-17/22, HTB Neunte Immobilien
Portfolio, veröffentlicht. In den
Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen
zum Gesellschaftsrecht. Anm: Dem Urteil sind keine
Schlussanträge vorausgegangen.
- Am 12.09.2024 werden die Schlussanträge
in der Rs C-247/23, Deldits,
veröffentlicht. Geklärt werden soll, ob die
Geschlechtseintragung in ein öffentliches Register zu
berichtigen ist, wenn das Geschlecht sich ändert.
- Am 12.09.2024 werden die Schlussanträge
in der Rs C-383/23, ILVA (Amende pour violation du
RGPD), veröffentlicht. Das vorlegende Gericht fragt
nach der Auslegung des Begriffs "Unternehmen" iSd Art 83
Abs 5 DSGVO.
- Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d'agir
de l'autorité de protection des
données), veröffentlicht. Der EuGH wird
entscheiden, ob eine Aufsichtsbehörde, wenn sie eine
Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse
auszuüben hat. Anm: Die Zusammenfassung der
Schlussanträge kann in der 15. Ausgabe des Schönherr
Datenschutzmonitors nachgelesen werden.
- Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata,
veröffentlicht. Geklärt wird die datenschutzrechtliche
Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung
der Schlussanträge kann in der 22. Ausgabe des Schönherr
Datenschutzmonitors nachgelesen werden.
- Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.