Rechtsprechung des EuGH
EuGH Schlussanträge 05.09.2024,
C-416/23, Österreichische
Datenschutzbehörde (Exzess, Rechtsmissbrauch,
Ermessen)
Rechtsprechung des BVwG
BVwG 31.07.2024, W108 2280724-1 (Dark Patterns, Cookies,
Einwilligung, Widerruf)
BVwG 10.07.2024, W298 2261830-1 (COVID-Test, Gesundheitsdaten,
Dienstverhältnis)
BVwG 19.08.2023, W214 2242818-1 (Hausverwaltung, WEG, E-Mail)
BVwG 19.08.2024, W214 2248588-1 (Videoüberwachung,
Parkplatz)
BVwG 18.06.2024, W214 2222613-2 (Zurückweisungsbescheid)
BVwG 26.07.2024, W292 2265092-1 (Beschwerdevoraussetzungen)
BVwG 21.08.2024, W214 2262974-1 (Beschwerdegegner)
BVwG 31.07.2024, W292 2250709-1 (Zurückziehung der
Bescheidbeschwerde)
EU-Rechtsakte
Nationale Rechtsakte
Vorschau EuGH-Rechtsprechung
To the Point:
Rechtsprechung des EuGH
EuGH Schlussanträge 05.09.2024, C-416/23, Österreichische Datenschutzbehörde
- Ein Betroffener erachtete sich in seinem Auskunftsrecht
verletzt, weil der Verantwortliche nicht innerhalb eines Monats auf
sein Auskunftsersuchen geantwortet hat und erhob
Datenschutzbeschwerde gemäß Art 77 Abs 1 DSGVO
bei der DSB. Da er innerhalb von 20 Monaten bereits
77 ähnliche Datenschutzbeschwerden gegen verschiedene
Verantwortliche eingereicht hat, die ebenfalls nicht fristgerecht
auf seine Auskunfts- oder Löschersuchen reagiert haben sollen,
stufte die DSB seine Datenschutzbeschwerde als exzessiv ein und
verweigerte deren Bearbeitung. Das BVwG behob den Bescheid der DSB,
die daraufhin Revision beim VwGH einlegte. Der VwGH ersuchte den
EuGH um Vorabentscheidung, wann eine Anfrage iSd Art 57
Abs 4 DSGVO als exzessiv gilt.
Der Generalanwalt hat erwogen: Die Begriffe "Anfrage" bzw "Anfragen" iSd Art 57 Abs 4 DSGVO erfassen auch Beschwerden an die Datenschutz-Aufsichtsbehörden.
Um ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten, ist ein ordnungsgemäßes Funktionieren der Aufsichtsbehörden sicherzustellen, indem verhindert wird, dass diese durch das Einreichen offenkundig unbegründeter oder exzessiver Beschwerden behindert werden. Die Bestimmung des Art 57 Abs 4 DSGVO ermöglicht den Aufsichtsbehörden, mit solchen Beschwerden speziell umzugehen und dadurch die Belastung zu verringern, die solche Beschwerden auslösen können.
Ein Schwellenwert, ab dem Beschwerden allein aufgrund ihrer Anzahl als exzessiv eingestuft werden könnten, würde die Betroffenenrechte beeinträchtigen. Da Art 57 Abs 4 DSGVO eng auszulegen ist, reicht die bloße Berücksichtigung der Anzahl der Beschwerden, so groß sie auch sein mag, als Rechtfertigung für die Anwendung dieser Bestimmung durch eine Aufsichtsbehörde nicht aus. Für die Feststellung, dass eine exzessive Anfrage vorliegt, ist eine missbräuchliche Absicht der Person, die die Beschwerden einreicht, nachzuweisen. Die Aufsichtsbehörde hat nachzuweisen, dass die Beschwerden nicht dem Schutz der Rechte aus der DSGVO dienen, sondern einem anderen Zweck, etwa dem Versuch, die Behörde zu überlasten.
Bei exzessiven Anfragen kann die Aufsichtsbehörde wählen, ob sie eine angemessene Gebühr verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden. Diese Wahl darf die Aufsichtsbehörde jedoch nicht nach freiem Ermessen und ohne Begründung treffen. In Hinblick auf den Verhältnismäßigkeitsgrundsatz, auf das Ziel, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten und auf die Verpflichtung der Behörden, sich mit aller gebotenen Sorgfalt mit Beschwerden zu befassen, sollte vorranging eine angemessene Gebühr in Betracht gezogen werden, weil dadurch die Rechte der Betroffenen in geringerem Maße beeinträchtigt werden.
Rechtsprechung des BVwG
BVwG 31.07.2024, W108 2280724-1
- Ein Nutzer brachte wegen behaupteter Mangelhaftigkeit des
Cookie-Banners auf einer von ihm besuchten Website
Datenschutzbeschwerde bei der DSB ein. Der Nutzer monierte ua, dass
auf der ersten Ebene des Cookie-Banners keine
"Ablehnen"-Schaltfläche vorhanden war und die
Einwilligung nicht ebenso einfach widerrufen wie erteilt werden
konnte. Die DSB wies die Datenschutzbeschwerde teilweise ab und
teilweise zurück. Gleichzeitig erteilte die DSB dem
Websitebetreiber von Amts wegen die Aufträge, seinen
Cookie-Banner und die damit verbundenen Datenverarbeitungen auf
näher umschriebene Weise anzupassen. Der Websitebetreiber
erhob Bescheidbeschwerde an das BVwG, entsprach jedoch während
des laufenden Verfahrens vor dem BVwG den Leistungsaufträgen
der DSB. Das BVwG gab der Bescheidbeschwerde daher statt und hob
den angefochtenen Bescheid ersatzlos auf.
Das BVwG hat erwogen: Gemäß Art 7 Abs 3 DSGVO hat der Widerruf der Einwilligung genau so einfach zu sein, wie das Erteilen der Einwilligung. Der Websitebetreiber hat die Website in der Zwischenzeit angepasst. Im Cookie-Banner wird darauf hingewiesen, dass am Seitenende ein Link "Cookie Einstellungen und Widerruf" zu finden ist, über den die Einwilligung widerrufen werden kann. Diese Anpassung entspricht den gesetzlichen und behördlichen Vorgaben, auch wenn auf einen Link geklickt werden muss und der Nutzer erst auf einer "zweiten Ebene" die Einstellungen und den Widerruf findet. Einem durchschnittlich informierten Verbraucher ist das zumutbar.
Der Websitebetreiber hat auch die Datenverarbeitung angepasst und setzt beim Aufruf der Website, bevor eine Einwilligung abgegeben wurde, nur mehr technisch notwendige Cookies. Diese Cookies sind für die Diensterbringung unbedingt erforderlich und können demgemäß ohne Einwilligung gesetzt werden. Da technisch nicht notwendige Cookies erst nach Erteilen der Einwilligung gesetzt werden, hat der Websitebetreiber auch diesem Leistungsauftrag der DSB entsprochen. Anm: Leistungsaufträgen der DSB im laufenden Verfahren vor dem BVwG zu entsprechen, kann eine gute Strategie sein. Denn die Leistungsaufträge der DSB sind Anweisungen iSd Art 83 Abs 6 DSGVO. Wird ein Leistungsauftrag rechtskräftig und ist der Betroffene der Ansicht, dass dem Auftrag nicht (vollständig) entsprochen wurde, kann er Exekution führen oder bei der DSB die Einleitung eines Verwaltungsstrafverfahrens anregen.
BVwG 10.07.2024, W298 2261830-1
- Während der Corona-Pandemie sind die Mitarbeiter einer
Behörde per E-Mail instruiert worden, ihren Arbeitsplatz ohne
FFP2-Maske nur mit einem negativen Antigen-Test zu betreten. Die
Testergebnisse konnten die Mitarbeiter in einer Datenbank einsehen,
in der sie sich zuvor unter Angabe persönlicher Daten, wie
etwa Vor- und Nachname, Sozialversicherungsnummer und Geburtsdatum,
vorregistrieren mussten. In die Testergebnisse konnte (auch) die
Behördenleitung sowie gelegentlich die Belegschaft einsehen.
Die DSB gab der auf eine Verletzung des Geheimhaltungsrechts
gestützten Datenschutzbeschwerde eines Mitarbeiters statt. Die
dagegen erhobene Bescheidbeschwerde der Behörde wies das BVwG
ab.
Das BVwG hat erwogen: Bei Covid-19-Testergebnissen handelt es sich um Gesundheitsdaten. Deren Verarbeitung ist – unter anderem – dann zulässig, wenn die betroffene Person in die Verarbeitung für einen oder mehrere festgelegte Zwecke ausdrücklich und freiwillig eingewilligt hat. Zwar wurde eine Einwilligung des Mitarbeiters mit dessen Unterschrift zur Verarbeitung der Gesundheitsdaten eingeholt. Das Kriterium der Freiwilligkeit war jedoch nicht erfüllt, weil der Mitarbeiter keine echte Wahl hatte. Ohne der "freiwilligen" Teilnahme am Testprogramm hätte der Mitarbeiter während der Dienstzeiten verpflichtend durchgängig eine FFP2-Atemschutzmaske zu tragen gehabt. Davon abgesehen bedingt das einem Dienstverhältnis regelmäßig innewohnende Abhängigkeitsverhältnis des Mitarbeiters von seinem Dienstgeber, dass die Einwilligung nicht freiwillig erteilt wurde.
Ebenso wenig erteilte der Mitarbeiter seine ausdrückliche Einwilligung dazu, dass nicht nur er, sondern auch Dritte (hier: die Behördenleitung) in seine Testergebnisse einsehen konnten. Die Behördenleitung konnte sich auch auf keine gesetzliche Grundlage iSd Art 9 Abs 2 lit b DSGVO stützen. Denn die 3. COVID-19-NotMV betraf die Bereithaltung von Informationen zum Beweis der Einhaltung von Präventionsmaßnahmen gegen die Verbreitung des Covid-19-Virus. Daraus ergab sich jedoch keine Datenverarbeitungsgrundlage, auf deren Basis die Behördenleitung in die Testergebnisse ihrer Mitarbeiter hätte einsehen dürfen.
BVwG 19.08.2023, W214 2242818-1
- Der Miteigentümer einer Liegenschaft schrieb E-Mails an
die Hausverwaltung, in denen er Beschwerden über verschiedene
Missstände äußerte. Diese E-Mails,
einschließlich der E-Mail-Adresse des Miteigentümers,
leitete die Hausverwaltung ohne die Zustimmung des
Miteigentümers an drei andere Miteigentümer der
Liegenschaft, die laut Hausverwaltung als
"Vertrauensleute" bestellt waren, weiter. Die
darüber erhobene Datenschutzbeschwerde des Miteigentümers
wies die DSB ab. Gegen diesen Bescheid der DSB erhob der
Miteigentümer (erfolgreiche) Bescheidbeschwerde an das
BVwG.
Das BVwG hat erwogen: Der Inhalt der E-Mails sowie die E-Mail-Adresse des Miteigentümers sind personenbezogene Daten iSd Art 4 Z 1 DSGVO. Das Datenschutzrecht gilt auch für die teilweise öffentlich zugänglichen Daten des Miteigentümers. Der Eigentümer hat in die Weiterleitung seiner E-Mail-Adresse nicht eingewilligt.
Die Hausverwaltung war auch vertraglich iSd Art 6 Abs 1 lit b DSGVO zur Weiterleitung der Nachrichten an die "Vertrauensleute" nicht verpflichtet. Zwar übte der Miteigentümer in seinen Nachrichten massive Kritik an der Hausverwaltung, dennoch war die Weitergabe seiner personenbezogenen Daten an die "Vertrauensleute" kein geeignetes Mittel, um die Aufgabe der Hausverwaltung zu erfüllen.
Die drei "Vertrauensleute" wurden nicht als Eigentümervertreter iSv § 22 WEG bestellt. Gemäß § 26 Abs 1 WEG könnten alle Wohnungseigentümer eine Vereinbarung über bestimmte Funktionen treffen. Es existiert jedoch keine entsprechende Vereinbarung, und die ehrenamtliche Tätigkeit der "Vertrauensleute" reicht nicht aus.
Zwar hatte die Hausverwaltung ein berechtigtes Interesse, die übrigen Eigentümer über den Konflikt zu informieren, jedoch wäre dies auch ohne Weiterleitung der E-Mails durch alternative Methoden möglich gewesen. Folglich überwog das Recht des Miteigentümers auf Geheimhaltung seiner Daten.
BVwG 19.08.2024, W214 2248588-1
- Der Pächter einer Parzelle eines Siedlervereins brachte
mehrere Überwachungskameras am Parkplatz und an den
Straßen am Areal des Siedlervereins an. Einer seiner
Nachbarn, welcher ebenfalls eine Parzelle gepachtet hat, brachte
daraufhin wegen behaupteter Verletzung im Geheimhaltungsrecht eine
Datenschutzbeschwerde bei der DSB ein. Der Pächter gab an,
dass das Anbringen der Kameras durch den Vorstand des
Siedlervereins genehmigt wurde und sein Nachbar Mitglied des
Vorstands sei. Die Kameras sollten zur Überwachung des
Fahrzeugs des Pächters und zur Feststellung von unberechtigt
parkenden Fahrzeugen dienen, weil es sich um einen Privatgrund
handle. Die Kameras zeichneten kontinuierlich auf und speicherten
die Aufnahmen für 72 Stunden. Die DSB gab der
Datenschutzbeschwerde des Nachbarn statt und stellte eine
Verletzung in seinem Recht auf Geheimhaltung fest, weil die
Parkplätze und Zufahrtsstraßen von allen Pächtern
des Areals genutzt werden konnten und es sich somit um allgemein
nutzbare Flächen handelte. Der Pächter erhob eine
(erfolglose) Bescheidbeschwerde an das BVwG.
Das BVwG hat erwogen: Der Pächter ist Verantwortlicher der Bildverarbeitung iSd Art 4 Z 7 DSGVO. Er hat die Installation der Kameras beauftragt und wurde auf den Hinweisschildern als Verantwortlicher angegeben. Die Videoüberwachung ist eine Verarbeitung personenbezogener Daten iSd Art 4 Z 2 DSGVO, weil die Kameras in der Lage sind, personenbezogene Daten zu erfassen und zu speichern.
Entgegen den Behauptungen des Pächters hat der Vorstand dem Anbringen der Kameras nicht zugestimmt. Dem Protokoll der Jahreshauptversammlung des Vorstands konnte nur entnommen werden, dass über die Anbringung einer Kamera-Attrappe abgestimmt wurde. Der Pächter hat nicht hinreichend über die Details informiert.
Der Pächter hat zwar ein berechtigtes Interesse an der Überwachung seines Eigentums zum Schutz vor Diebstahl und Beschädigungen sowie zur Hintanhaltung der Ablagerung von Müll. Demgegenüber steht jedoch das berechtigte Interesse des Nachbarn, nicht überwacht zu werden. Die Videoüberwachung des gesamten Parkplatzes durch vier Kameras und die Speicherung der Aufnahmen für 72 Stunden über einen Zeitraum von mehreren Jahren war unverhältnismäßig, zumal dem Pächter kein fixer Parkplatz zugewiesen war, sondern alle Parkplätze von allen Pächtern genutzt werden durften. Die Interessen des Nachbarn überwogen die berechtigten Interessen des Pächters.
Auch die Überwachung der Zufahrtsstraße durch die Kameras war unverhältnismäßig, weil es allgemein zugängliche Bereiche waren und den Nachbarn nicht zuzumuten ist, bei jeder Benutzung dieser Straße von der Videoüberwachung erfasst zu werden. Der Eingriff ins Recht auf Geheimhaltung war somit unverhältnis- und unrechtmäßig.
Aus der weiteren Rechtsprechung des BVwG:
- Eine auf § 13 Abs 3 AVG gestützte
Zurückweisung kommt nur bei solchen Datenschutzbeschwerden in
Frage, die mit Mängeln behaftet sind. Fehlen (i) die
Bezeichnung des als verletzt erachteten Rechts, (ii) das Begehren,
die behauptete Rechtsverletzung festzustellen, sowie (iii) die
Angaben, die zur Beurteilung der Rechtzeitigkeit der
Datenschutzbeschwerde erforderlich sind, ist das Erteilen eines
Mängelbehebungsauftrags erforderlich. Kommt der
Beschwerdeführer dem Mängelbehebungsauftrag nicht nach,
ist die DSB berechtigt, die Datenschutzbeschwerde
zurückzuweisen (BVwG 26.07.2024, W292 2265092-1).
- Wird gegen einen Zurückweisungsbescheid eine
Bescheidbeschwerde erhoben, darf das BVwG nur über die
Rechtmäßigkeit der Zurückweisung absprechen. Da die
Zurückweisung rechtswidrig war, ist der angefochtene Bescheid
aufzuheben und der DSB die Fortsetzung des Verfahrens unter
Abstandnahme vom gebrauchten Zurückweisungsgrund aufzutragen
(BVwG 18.06.2024, W214 2222613-2).
- Bestimmt die DSB irrtümlich den falschen Beschwerdegegner
als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 21.08.2024, W214 2262974-1).
- Wird eine Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 31.07.2024, W292 2250709-1).
EU-Rechtsakte
- Das Rahmenübereinkommen
des Europarats
über künstliche
Intelligenz und Menschenrechte, Demokratie und
Rechtsstaatlichkeit, SEV 225, ist
am 05.09.2024 zur Zeichnung aufgelegt
worden. Am 04.09.2024 ist der
"Beschluss (EU) 2024/2218 des Rates vom 28. August 2024
über die Unterzeichnung — im Namen der Europäischen
Union — des Rahmenübereinkommens des Europarats
über künstliche Intelligenz und Menschenrechte,
Demokratie und Rechtsstaatlichkeit" kundgemacht
worden, ABl L 2024/2218, 1. Das
Rahmenübereinkommen wurde von der EU am 05.09.2024
unterzeichnet.
Nationale Rechtsakte
- Am 03.09.2024 hat der Bund die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) kundgemacht, BGBl I 2024/138.
- Am 04.09.2024 hat der Bundesminister für Bildung, Wissenschaft und Forschung die Registerforschungsverordnung-BMK kundgemacht, BGBl II 2024/241. Mit dieser Verordnung wurden zehn Register im Wirkungsbereich des Bundesministeriums für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie als registerforschungstaugliche Register festgelegt.
Vorschau EuGH-Rechtsprechung
- Am 12.09.2024 werden die
Schlussanträge in der Rs C-203/22, Dun & Bradstreet
Austria, veröffentlicht. Das LVwG Wien befragte den
EuGH zur Reichweite der Auskunftspflicht nach Art 15
Abs 1 lit h DSGVO (automatisierte Entscheidung).
- Am 12.09.2024 wird das Urteil in den
verbundenen Rs C-18/22, Ökorenta Neue Energien
Ökostabil IV, und C-17/22, HTB Neunte Immobilien
Portfolio, veröffentlicht. In den
Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen
zum Gesellschaftsrecht. Anm: Dem Urteil sind keine
Schlussanträge vorausgegangen.
- Am 12.09.2024 werden die
Schlussanträge in der Rs C-247/23, Deldits,
veröffentlicht. Geklärt werden soll, ob die
Geschlechtseintragung in einem öffentlichen Register zu
berichtigen ist, wenn das Geschlecht sich ändert.
- Am 12.09.2024 werden die
Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du
RGPD), veröffentlicht. Das vorlegende Gericht fragt
nach der Auslegung des Begriffs "Unternehmen" iSd
Art 83 Abs 5 DSGVO.
- Am 26.09.2024 wird das Urteil in der
Rs C-768/21, Land Hessen (Obligation
d'agir de l'autorité de protection des
données), veröffentlicht. Der EuGH wird
entscheiden, ob eine Aufsichtsbehörde, wenn sie eine
Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse
auszuüben hat. Anm: Die Zusammenfassung der
Schlussanträge kann in der 15. Ausgabe des Schönherr
Datenschutzmonitors nachgelesen werden.
- Am 04.10.2024 wird das Urteil in der
Rs C-200/23, Agentsia po
vpisvaniyata, veröffentlicht. Geklärt wird die
datenschutzrechtliche Verantwortung eines
Handelsregisters. Anm: Die Zusammenfassung der
Schlussanträge kann in der 22. Ausgabe des Schönherr
Datenschutzmonitors nachgelesen werden.
- Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.