ARTICLE
12 September 2024

To The Point: Datenschutzmonitor 36/2024

SA
Schoenherr Attorneys at Law

Contributor

We are a full-service law firm with a footprint in Central and Eastern Europe providing local and international companies stellar advice. As the go-to legal advisor for complex commercial matters in the region, Schoenherr aims to use its proximity to industry leaders, in developing practical solutions for future challenges. We keep a close eye on trends and developments, which enables us to provide high quality legal advice that is straight to the point.
EuGH Schlussanträge 05.09.2024, C-416/23, Österreichische Datenschutzbehörde (Exzess, Rechtsmissbrauch, Ermessen)...
Austria Privacy

Rechtsprechung des EuGH

EuGH Schlussanträge 05.09.2024, C-416/23, Österreichische Datenschutzbehörde (Exzess, Rechtsmissbrauch, Ermessen)
 

Rechtsprechung des BVwG

BVwG 31.07.2024, W108 2280724-1 (Dark Patterns, Cookies, Einwilligung, Widerruf)

BVwG 10.07.2024, W298 2261830-1 (COVID-Test, Gesundheitsdaten, Dienstverhältnis)

BVwG 19.08.2023, W214 2242818-1 (Hausverwaltung, WEG, E-Mail)

BVwG 19.08.2024, W214 2248588-1 (Videoüberwachung, Parkplatz)

BVwG 18.06.2024, W214 2222613-2 (Zurückweisungsbescheid)

BVwG 26.07.2024, W292 2265092-1 (Beschwerdevoraussetzungen)

BVwG 21.08.2024, W214 2262974-1 (Beschwerdegegner)

BVwG 31.07.2024, W292 2250709-1 (Zurückziehung der Bescheidbeschwerde)
 

EU-Rechtsakte

Nationale Rechtsakte

Vorschau EuGH-Rechtsprechung

To the Point:

Rechtsprechung des EuGH

EuGH Schlussanträge 05.09.2024, C-416/23, Österreichische Datenschutzbehörde

  • Ein Betroffener erachtete sich in seinem Auskunftsrecht verletzt, weil der Verantwortliche nicht innerhalb eines Monats auf sein Auskunftsersuchen geantwortet hat und erhob Datenschutzbeschwerde gemäß Art 77 Abs 1 DSGVO bei der DSB. Da er innerhalb von 20 Monaten bereits 77 ähnliche Datenschutzbeschwerden gegen verschiedene Verantwortliche eingereicht hat, die ebenfalls nicht fristgerecht auf seine Auskunfts- oder Löschersuchen reagiert haben sollen, stufte die DSB seine Datenschutzbeschwerde als exzessiv ein und verweigerte deren Bearbeitung. Das BVwG behob den Bescheid der DSB, die daraufhin Revision beim VwGH einlegte. Der VwGH ersuchte den EuGH um Vorabentscheidung, wann eine Anfrage iSd Art 57 Abs 4 DSGVO als exzessiv gilt.

    Der Generalanwalt hat erwogen:  Die Begriffe "Anfrage" bzw "Anfragen" iSd Art 57 Abs 4 DSGVO erfassen auch Beschwerden an die Datenschutz-Aufsichtsbehörden.

    Um ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten, ist ein ordnungsgemäßes Funktionieren der Aufsichtsbehörden sicherzustellen, indem verhindert wird, dass diese durch das Einreichen offenkundig unbegründeter oder exzessiver Beschwerden behindert werden. Die Bestimmung des Art 57 Abs 4 DSGVO ermöglicht den Aufsichtsbehörden, mit solchen Beschwerden speziell umzugehen und dadurch die Belastung zu verringern, die solche Beschwerden auslösen können.

    Ein Schwellenwert, ab dem Beschwerden allein aufgrund ihrer Anzahl als exzessiv eingestuft werden könnten, würde die Betroffenenrechte beeinträchtigen. Da Art 57 Abs 4 DSGVO eng auszulegen ist, reicht die bloße Berücksichtigung der Anzahl der Beschwerden, so groß sie auch sein mag, als Rechtfertigung für die Anwendung dieser Bestimmung durch eine Aufsichtsbehörde nicht aus. Für die Feststellung, dass eine exzessive Anfrage vorliegt, ist eine missbräuchliche Absicht der Person, die die Beschwerden einreicht, nachzuweisen. Die Aufsichtsbehörde hat nachzuweisen, dass die Beschwerden nicht dem Schutz der Rechte aus der DSGVO dienen, sondern einem anderen Zweck, etwa dem Versuch, die Behörde zu überlasten.

    Bei exzessiven Anfragen kann die Aufsichtsbehörde wählen, ob sie eine angemessene Gebühr verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden. Diese Wahl darf die Aufsichtsbehörde jedoch nicht nach freiem Ermessen und ohne Begründung treffen. In Hinblick auf den Verhältnismäßigkeitsgrundsatz, auf das Ziel, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten und auf die Verpflichtung der Behörden, sich mit aller gebotenen Sorgfalt mit Beschwerden zu befassen, sollte vorranging eine angemessene Gebühr in Betracht gezogen werden, weil dadurch die Rechte der Betroffenen in geringerem Maße beeinträchtigt werden.

Rechtsprechung des BVwG

BVwG 31.07.2024, W108 2280724-1

  • Ein Nutzer brachte wegen behaupteter Mangelhaftigkeit des Cookie-Banners auf einer von ihm besuchten Website Datenschutzbeschwerde bei der DSB ein. Der Nutzer monierte ua, dass auf der ersten Ebene des Cookie-Banners keine "Ablehnen"-Schaltfläche vorhanden war und die Einwilligung nicht ebenso einfach widerrufen wie erteilt werden konnte. Die DSB wies die Datenschutzbeschwerde teilweise ab und teilweise zurück. Gleichzeitig erteilte die DSB dem Websitebetreiber von Amts wegen die Aufträge, seinen Cookie-Banner und die damit verbundenen Datenverarbeitungen auf näher umschriebene Weise anzupassen. Der Websitebetreiber erhob Bescheidbeschwerde an das BVwG, entsprach jedoch während des laufenden Verfahrens vor dem BVwG den Leistungsaufträgen der DSB. Das BVwG gab der Bescheidbeschwerde daher statt und hob den angefochtenen Bescheid ersatzlos auf.

    Das BVwG hat erwogen: Gemäß Art 7 Abs 3 DSGVO hat der Widerruf der Einwilligung genau so einfach zu sein, wie das Erteilen der Einwilligung. Der Websitebetreiber hat die Website in der Zwischenzeit angepasst. Im Cookie-Banner wird darauf hingewiesen, dass am Seitenende ein Link "Cookie Einstellungen und Widerruf" zu finden ist, über den die Einwilligung widerrufen werden kann. Diese Anpassung entspricht den gesetzlichen und behördlichen Vorgaben, auch wenn auf einen Link geklickt werden muss und der Nutzer erst auf einer "zweiten Ebene" die Einstellungen und den Widerruf findet. Einem durchschnittlich informierten Verbraucher ist das zumutbar.

    Der Websitebetreiber hat auch die Datenverarbeitung angepasst und setzt beim Aufruf der Website, bevor eine Einwilligung abgegeben wurde, nur mehr technisch notwendige Cookies. Diese Cookies sind für die Diensterbringung unbedingt erforderlich und können demgemäß ohne Einwilligung gesetzt werden. Da technisch nicht notwendige Cookies erst nach Erteilen der Einwilligung gesetzt werden, hat der Websitebetreiber auch diesem Leistungsauftrag der DSB entsprochen. Anm: Leistungsaufträgen der DSB im laufenden Verfahren vor dem BVwG zu entsprechen, kann eine gute Strategie sein. Denn die Leistungsaufträge der DSB sind Anweisungen iSd Art 83 Abs 6 DSGVO. Wird ein Leistungsauftrag rechtskräftig und ist der Betroffene der Ansicht, dass dem Auftrag nicht (vollständig) entsprochen wurde, kann er Exekution führen oder bei der DSB die Einleitung eines Verwaltungsstrafverfahrens anregen.
     

BVwG 10.07.2024, W298 2261830-1

  • Während der Corona-Pandemie sind die Mitarbeiter einer Behörde per E-Mail instruiert worden, ihren Arbeitsplatz ohne FFP2-Maske nur mit einem negativen Antigen-Test zu betreten. Die Testergebnisse konnten die Mitarbeiter in einer Datenbank einsehen, in der sie sich zuvor unter Angabe persönlicher Daten, wie etwa Vor- und Nachname, Sozialversicherungsnummer und Geburtsdatum, vorregistrieren mussten. In die Testergebnisse konnte (auch) die Behördenleitung sowie gelegentlich die Belegschaft einsehen. Die DSB gab der auf eine Verletzung des Geheimhaltungsrechts gestützten Datenschutzbeschwerde eines Mitarbeiters statt. Die dagegen erhobene Bescheidbeschwerde der Behörde wies das BVwG ab.

    Das BVwG hat erwogen: Bei Covid-19-Testergebnissen handelt es sich um Gesundheitsdaten. Deren Verarbeitung ist – unter anderem – dann zulässig, wenn die betroffene Person in die Verarbeitung für einen oder mehrere festgelegte Zwecke ausdrücklich und freiwillig eingewilligt hat. Zwar wurde eine Einwilligung des Mitarbeiters mit dessen Unterschrift zur Verarbeitung der Gesundheitsdaten eingeholt. Das Kriterium der Freiwilligkeit war jedoch nicht erfüllt, weil der Mitarbeiter keine echte Wahl hatte. Ohne der "freiwilligen" Teilnahme am Testprogramm hätte der Mitarbeiter während der Dienstzeiten verpflichtend durchgängig eine FFP2-Atemschutzmaske zu tragen gehabt. Davon abgesehen bedingt das einem Dienstverhältnis regelmäßig innewohnende Abhängigkeitsverhältnis des Mitarbeiters von seinem Dienstgeber, dass die Einwilligung nicht freiwillig erteilt wurde.

    Ebenso wenig erteilte der Mitarbeiter seine ausdrückliche Einwilligung dazu, dass nicht nur er, sondern auch Dritte (hier: die Behördenleitung) in seine Testergebnisse einsehen konnten. Die Behördenleitung konnte sich auch auf keine gesetzliche Grundlage iSd Art 9 Abs 2 lit b DSGVO stützen. Denn die 3. COVID-19-NotMV betraf die Bereithaltung von Informationen zum Beweis der Einhaltung von Präventionsmaßnahmen gegen die Verbreitung des Covid-19-Virus. Daraus ergab sich jedoch keine Datenverarbeitungsgrundlage, auf deren Basis die Behördenleitung in die Testergebnisse ihrer Mitarbeiter hätte einsehen dürfen.
     

BVwG 19.08.2023, W214 2242818-1

  • Der Miteigentümer einer Liegenschaft schrieb E-Mails an die Hausverwaltung, in denen er Beschwerden über verschiedene Missstände äußerte. Diese E-Mails, einschließlich der E-Mail-Adresse des Miteigentümers, leitete die Hausverwaltung ohne die Zustimmung des Miteigentümers an drei andere Miteigentümer der Liegenschaft, die laut Hausverwaltung als "Vertrauensleute" bestellt waren, weiter. Die darüber erhobene Datenschutzbeschwerde des Miteigentümers wies die DSB ab. Gegen diesen Bescheid der DSB erhob der Miteigentümer (erfolgreiche) Bescheidbeschwerde an das BVwG.

    Das BVwG hat erwogen: Der Inhalt der E-Mails sowie die E-Mail-Adresse des Miteigentümers sind personenbezogene Daten iSd Art 4 Z 1 DSGVO. Das Datenschutzrecht gilt auch für die teilweise öffentlich zugänglichen Daten des Miteigentümers. Der Eigentümer hat in die Weiterleitung seiner E-Mail-Adresse nicht eingewilligt.

    Die Hausverwaltung war auch vertraglich iSd Art 6 Abs 1 lit b DSGVO zur Weiterleitung der Nachrichten an die "Vertrauensleute" nicht verpflichtet. Zwar übte der Miteigentümer in seinen Nachrichten massive Kritik an der Hausverwaltung, dennoch war die Weitergabe seiner personenbezogenen Daten an die "Vertrauensleute" kein geeignetes Mittel, um die Aufgabe der Hausverwaltung zu erfüllen.

    Die drei "Vertrauensleute" wurden nicht als Eigentümervertreter iSv § 22 WEG bestellt. Gemäß § 26 Abs 1 WEG könnten alle Wohnungseigentümer eine Vereinbarung über bestimmte Funktionen treffen. Es existiert jedoch keine entsprechende Vereinbarung, und die ehrenamtliche Tätigkeit der "Vertrauensleute" reicht nicht aus.

    Zwar hatte die Hausverwaltung ein berechtigtes Interesse, die übrigen Eigentümer über den Konflikt zu informieren, jedoch wäre dies auch ohne Weiterleitung der E-Mails durch alternative Methoden möglich gewesen. Folglich überwog das Recht des Miteigentümers auf Geheimhaltung seiner Daten.
     

BVwG 19.08.2024, W214 2248588-1

  • Der Pächter einer Parzelle eines Siedlervereins brachte mehrere Überwachungskameras am Parkplatz und an den Straßen am Areal des Siedlervereins an. Einer seiner Nachbarn, welcher ebenfalls eine Parzelle gepachtet hat, brachte daraufhin wegen behaupteter Verletzung im Geheimhaltungsrecht eine Datenschutzbeschwerde bei der DSB ein. Der Pächter gab an, dass das Anbringen der Kameras durch den Vorstand des Siedlervereins genehmigt wurde und sein Nachbar Mitglied des Vorstands sei. Die Kameras sollten zur Überwachung des Fahrzeugs des Pächters und zur Feststellung von unberechtigt parkenden Fahrzeugen dienen, weil es sich um einen Privatgrund handle. Die Kameras zeichneten kontinuierlich auf und speicherten die Aufnahmen für 72 Stunden. Die DSB gab der Datenschutzbeschwerde des Nachbarn statt und stellte eine Verletzung in seinem Recht auf Geheimhaltung fest, weil die Parkplätze und Zufahrtsstraßen von allen Pächtern des Areals genutzt werden konnten und es sich somit um allgemein nutzbare Flächen handelte. Der Pächter erhob eine (erfolglose) Bescheidbeschwerde an das BVwG.

    Das BVwG hat erwogen: Der Pächter ist Verantwortlicher der Bildverarbeitung iSd Art 4 Z 7 DSGVO. Er hat die Installation der Kameras beauftragt und wurde auf den Hinweisschildern als Verantwortlicher angegeben. Die Videoüberwachung ist eine Verarbeitung personenbezogener Daten iSd Art 4 Z 2 DSGVO, weil die Kameras in der Lage sind, personenbezogene Daten zu erfassen und zu speichern.

    Entgegen den Behauptungen des Pächters hat der Vorstand dem Anbringen der Kameras nicht zugestimmt. Dem Protokoll der Jahreshauptversammlung des Vorstands konnte nur entnommen werden, dass über die Anbringung einer Kamera-Attrappe abgestimmt wurde. Der Pächter hat nicht hinreichend über die Details informiert.

    Der Pächter hat zwar ein berechtigtes Interesse an der Überwachung seines Eigentums zum Schutz vor Diebstahl und Beschädigungen sowie zur Hintanhaltung der Ablagerung von Müll. Demgegenüber steht jedoch das berechtigte Interesse des Nachbarn, nicht überwacht zu werden. Die Videoüberwachung des gesamten Parkplatzes durch vier Kameras und die Speicherung der Aufnahmen für 72 Stunden über einen Zeitraum von mehreren Jahren war unverhältnismäßig, zumal dem Pächter kein fixer Parkplatz zugewiesen war, sondern alle Parkplätze von allen Pächtern genutzt werden durften. Die Interessen des Nachbarn überwogen die berechtigten Interessen des Pächters.

    Auch die Überwachung der Zufahrtsstraße durch die Kameras war unverhältnismäßig, weil es allgemein zugängliche Bereiche waren und den Nachbarn nicht zuzumuten ist, bei jeder Benutzung dieser Straße von der Videoüberwachung erfasst zu werden. Der Eingriff ins Recht auf Geheimhaltung war somit unverhältnis- und unrechtmäßig.
     

Aus der weiteren Rechtsprechung des BVwG:

  • Eine auf § 13 Abs 3 AVG gestützte Zurückweisung kommt nur bei solchen Datenschutzbeschwerden in Frage, die mit Mängeln behaftet sind. Fehlen (i) die Bezeichnung des als verletzt erachteten Rechts, (ii) das Begehren, die behauptete Rechtsverletzung festzustellen, sowie (iii) die Angaben, die zur Beurteilung der Rechtzeitigkeit der Datenschutzbeschwerde erforderlich sind, ist das Erteilen eines Mängelbehebungsauftrags erforderlich. Kommt der Beschwerdeführer dem Mängelbehebungsauftrag nicht nach, ist die DSB berechtigt, die Datenschutzbeschwerde zurückzuweisen (BVwG 26.07.2024, W292 2265092-1).
     
  • Wird gegen einen Zurückweisungsbescheid eine Bescheidbeschwerde erhoben, darf das BVwG nur über die Rechtmäßigkeit der Zurückweisung absprechen. Da die Zurückweisung rechtswidrig war, ist der angefochtene Bescheid aufzuheben und der DSB die Fortsetzung des Verfahrens unter Abstandnahme vom gebrauchten Zurückweisungsgrund aufzutragen (BVwG 18.06.2024, W214 2222613-2).
     
  • Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben (BVwG 21.08.2024, W214 2262974-1).
     
  • Wird eine Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 31.07.2024, W292 2250709-1).

EU-Rechtsakte

  • Das Rahmenübereinkommen des Europarats  über künstliche Intelligenz und Menschenrechte, Demokratie und Rechtsstaatlichkeit, SEV 225, ist am 05.09.2024 zur Zeichnung aufgelegt worden. Am 04.09.2024 ist der "Beschluss (EU) 2024/2218 des Rates vom 28. August 2024 über die Unterzeichnung — im Namen der Europäischen Union — des Rahmenübereinkommens des Europarats über künstliche Intelligenz und Menschenrechte, Demokratie und Rechtsstaatlichkeit" kundgemacht worden, ABl L 2024/2218, 1. Das Rahmenübereinkommen wurde von der EU am 05.09.2024 unterzeichnet.
     

Nationale Rechtsakte

  • Am 03.09.2024 hat der Bund die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) kundgemacht, BGBl I 2024/138.
  • Am 04.09.2024 hat der Bundesminister für Bildung, Wissenschaft und Forschung die Registerforschungsverordnung-BMK kundgemacht, BGBl II 2024/241. Mit dieser Verordnung wurden zehn Register im Wirkungsbereich des Bundesministeriums für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie als registerforschungstaugliche Register festgelegt.

Vorschau EuGH-Rechtsprechung

  • Am 12.09.2024 werden die Schlussanträge in der Rs C-203/22, Dun & Bradstreet Austria, veröffentlicht. Das LVwG Wien befragte den EuGH zur Reichweite der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung).
     
  • Am 12.09.2024 wird das Urteil in den verbundenen Rs C-18/22, Ökorenta Neue Energien Ökostabil IV, und C-17/22, HTB Neunte Immobilien Portfolio, veröffentlicht. In den Vorabentscheidungsersuchen geht es um datenschutzrechtliche Fragen zum Gesellschaftsrecht. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
     
  • Am 12.09.2024 werden die Schlussanträge in der Rs C-247/23, Deldits, veröffentlicht. Geklärt werden soll, ob die Geschlechtseintragung in einem öffentlichen Register zu berichtigen ist, wenn das Geschlecht sich ändert.
     
  • Am 12.09.2024 werden die Schlussanträge in der Rs C-383/23, ILVA (Amende pour violation du RGPD), veröffentlicht. Das vorlegende Gericht fragt nach der Auslegung des Begriffs "Unternehmen" iSd Art 83 Abs 5 DSGVO.
     
  • Am 26.09.2024 wird das Urteil in der Rs C-768/21, Land Hessen (Obligation d'agir de l'autorité de protection des données), veröffentlicht. Der EuGH wird entscheiden, ob eine Aufsichtsbehörde, wenn sie eine Datenschutzverletzung feststellt, ihre Aufsichtsbefugnisse auszuüben hat. Anm: Die Zusammenfassung der Schlussanträge kann in der 15. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.
     
  • Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors nachgelesen werden.
     
  • Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More