ARTICLE
4 October 2024

To The Point: Datenschutzmonitor 39/2024

SA
Schoenherr Attorneys at Law

Contributor

We are a full-service law firm with a footprint in Central and Eastern Europe providing local and international companies stellar advice. As the go-to legal advisor for complex commercial matters in the region, Schoenherr aims to use its proximity to industry leaders, in developing practical solutions for future challenges. We keep a close eye on trends and developments, which enables us to provide high quality legal advice that is straight to the point.
EuGH 26.09.2024, C-768/21, Land Hessen (Aufsichtsbehörde, Aufsichtsbefugnisse, Ermessen, subjektives Recht, Geldbuße)
Austria Privacy
  • Rechtsprechung des EuGH

    EuGH 26.09.2024, C-768/21, Land Hessen (Aufsichtsbehörde, Aufsichtsbefugnisse, Ermessen, subjektives Recht, Geldbuße)

  • Rechtsprechung des OGH

    OGH 27.08.2024, 6Ob233/23t (Erstkopie, Krankengeschichte, Beschränkung von Betroffenenrechten, Verhältnismäßigkeit)

    OGH 27.08.2024, 6Ob37/24w (Unterlassungsanspruch, Aussetzung)

  • Rechtsprechung des BVwG

    BVwG 21.08.2024, W108 2283759-1 (Berichtigung, Divers, Feststellungskompetenz)

  • Rechtsprechung der LVwG

    LVwG Wien 06.08.2024, VGW-101/042/2543/2024 (Zentrales Personenstandsregister, Berichtigung, akademischer Titel eines Elternteils)

  • Rechtsprechung der DSB

    DSB 28.03.2024, 2024-0.215.259 (Zuständigkeit, Mandatsbescheid, Untersuchungsausschuss, COFAG)

  • Vorschau EuGH-Rechtsprechung

To the Point:

Rechtsprechung des EuGHEuGH 26.09.2024, C-768/21, Land Hessen

Aufsichtsbehörde, Aufsichtsbefugnisse, Ermessen, subjektives Recht, Geldbuße

  • Eine Bankmitarbeiterin griff mehrmals unbefugt auf die Daten eines ihrer Kunden zu. Die Bank meldete die Datenschutzverletzung gemäß Art 33 DSGVO der zuständigen Aufsichtsbehörde. Den Bankkunden verständigte die Bank nicht. Nachdem der Bankkunde beiläufig erfuhr, dass die Bankmitarbeiterin mehrfach unrechtmäßig auf seine Daten zugegriffen hatte, beschwerte er sich bei der zuständigen Aufsichtsbehörde, weil er keine Benachrichtigung gemäß Art 34 DSGVO erhielt.

    Die Bankmitarbeiterin gab die Daten des Bankkunden an keinen Dritten weiter und verwendete die Daten nicht zum Nachteil des Bankkunden. Zudem ergriff die Bank Disziplinarmaßnahmen gegen die Bankmitarbeiterin. Die Aufsichtsbehörde verneinte daher eine Verletzung der Benachrichtigungspflicht, weil kein hohes Risiko für den Kunden ersichtlich war. Den Bescheid der Aufsichtsbehörde bekämpfte der Bankkunde vor dem zuständigen Verwaltungsgericht. Das Gericht fragte den EuGH, ob die Aufsichtsbehörde, wenn sie eine Verletzung von Betroffenenrechten feststellt, stets verpflichtet ist, gemäß Art 58 Abs 2 DSGVO einzuschreiten und Abhilfemaßnahmen zu ergreifen.

    Der EuGH hat erwogen: Jede Aufsichtsbehörde ist verpflichtet, sich in ihrem Hoheitsgebiet mit Beschwerden in aller gebotenen Sorgfalt zu befassen. Zur Bearbeitung von Beschwerden verfügen Aufsichtsbehörden gemäß Art 58 Abs 1 DSGVO über weitreichende Untersuchungsbefugnisse. Bei der Feststellung eines Verstoßes gegen die DSGVO ist eine Aufsichtsbehörde verpflichtet, in geeigneter Weise zu reagieren, um die festgestellte Unzulänglichkeit zu beheben. Die gesetzten Maßnahmen sollen dabei geeignet, erforderlich, verhältnismäßig und den Umständen des Einzelfalls angemessen sein.

    Aufsichtsbehörden haben bei der Wahl der Abhilfemaßnahmen ein Ermessen. Dieses Ermessen ist durch das Erfordernis begrenzt, durch einen klar durchsetzbaren Rechtsrahmen ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten. Geldbußen können nach Art 58 Abs 2 lit i DSGVO zusätzlich oder anstelle von Maßnahmen verhängt werden, wobei Art, Schwere und Dauer des Verstoßes gebührend zu berücksichtigen sind.

    Die Aufsichtsbehörde ist zum Einschreiten verpflichtet, wenn das Einschreiten unter Berücksichtigung des konkreten Falls geeignet, erforderlich und verhältnismäßig ist, um einer festgestellten Unzulänglichkeit abzuhelfen.

    Weder nach Art 58 Abs 2 DSGVO noch nach Art 83 DSGVO ist eine Aufsichtsbehörde jedoch verpflichtet, im Fall einer festgestellten Verletzung des Schutzes personenbezogener Daten stets eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen. Die Aufsichtsbehörde hat nur die Verpflichtung, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Der Betroffene hat kein subjektives Recht, dass die Aufsichtsbehörde gegen den für die Verarbeitung Verantwortlichen eine Geldbuße verhängt.

    Dauert eine Datenschutzverletzung nicht mehr an und wurden schon geeignete technische und organisatorische Maßnahmen getroffen, um diese abzustellen, kann ausnahmsweise vom Ergreifen von Abhilfemaßnahmen, insbesondere von der Verhängung einer Geldbuße, abgesehen werden.

    Das Ergreifen einer Abhilfemaßnahme kann ausnahmsweise und unter Berücksichtigung der besonderen Umstände des konkreten Falles nicht geboten sein, wenn (i) der Situation, die einen Verstoß gegen die DSGVO begründete, bereits abgeholfen wurde, (ii) die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO durch den hierfür Verantwortlichen gewährleistet ist und (iii) das Nichteinschreiten der Aufsichtsbehörde nicht geeignet ist, das Erfordernis eines klar durchsetzbaren Rechtsrahmens zum Schutz personenbezogener Daten zu beeinträchtigen.

Rechtsprechung des OGH

OGH 27.08.2024, 6Ob233/23t

Erstkopie, Krankengeschichte, Beschränkung von Betroffenenrechten, Verhältnismäßigkeit

  • Ein Patient wurde infolge eines Arbeitsunfalls in ein Spital der Stadt Wien eingeliefert. Nach Empfang seines Patientenbriefs ersuchte der Anwalt des Patienten beim Spital, gestützt auf die DSGVO, um eine kostenlose Übermittlung einer Kopie der gesamten Krankengeschichte. Nachdem das Spital dem Ersuchen nicht nachkam, erhob der Patient Klage gegen die Stadt Wien und forderte die Herausgabe einer kostenlosen Kopie seines Patientenakts. Die Stadt Wien wendete ein, dass der Patient gemäß § 17 Abs 4 und § 17a Abs 2 lit g Wiener Krankenanstaltengesetz (WrKAG) nur das Recht auf Einsicht, nicht aber auf die kostenlose Herstellung einer Kopie hätte. Dies diene vor allem dazu, unnötige Anfragen zu verhindern und somit die Verwaltungskosten niedrig zu halten. Nachdem das Erstgericht der Klage stattgab, änderte das Berufungsgericht das Urteil im klagsabweisenden Sinn ab. Der OGH gab der Revision des Klägers Folge, hob die Urteile der Vorinstanzen auf und verwies die Rechtssache zur neuerlichen Entscheidung an das Erstgericht zurück. Es müsse beurteilt werden, ob Art 15 Abs 3 DSGVO durch § 17 Abs 2 lit g WrKAG zulässiger Weise eingeschränkt wird oder als der DSGVO entgegenstehendes nationales Recht unangewendet zu bleiben hat. Zudem sei eine Interessenabwägung durchzuführen.

    Nach erneuter Verhandlung gab das Erstgericht der Klage des Patienten statt. Die Berufung durch die Stadt Wien führte erneut zur Klageabweisung durch das Berufungsgericht. Der Patient wandte sich mit einer durch das Berufungsgericht zugelassenen (erfolgreichen) Revision abermals an den OGH.

    Der OGH hat erwogen: Der EuGH hat bereits in seinem Urteil vom 26.10.2023, C-307/22, FT, ausgesprochen, dass Art 15 Abs 3 iVm Art 12 Abs 5 DSGVO das Recht auf eine kostenlose Erstkopie der Krankengeschichte gewährt. Dieses Recht gilt unabhängig vom Zweck des Auskunftsersuchens, auch wenn es zur Geltendmachung von Schadenersatzansprüchen dient. Dieses Recht kann in Fällen des Rechtsmissbrauchs, in denen die Anträge offenkundig unbegründet oder exzessiv sind, eingeschränkt werden. Nach Art 15 Abs 3 DSGVO kann der Verantwortliche ein angemessenes Entgelt verlangen, wenn bereits eine kostenlose Kopie erstellt wurde. Der Patient hat jedoch weder rechtsmissbräuchlich gehandelt noch hat er zuvor eine kostenlose Kopie seiner Krankengeschichte erhalten.

    Art 23 Abs 1 DSGVO erlaubt Beschränkungen der Betroffenenrechte gemäß Art 12 und 15 DSGVO zum Schutz wichtiger Ziele des allgemeinen öffentlichen Interesses, worunter auch der Schutz wichtiger wirtschaftlicher und finanzieller Interessen im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit fällt. § 17a Abs 2 lit g WrKAG zielt darauf ab, die wirtschaftliche Belastung von Krankenanstalten zu verringern und liegt im wirtschaftlichen Interesse der öffentlichen Krankenanstalten. Diese Regelung normiert eine Beschränkung des Rechts auf eine kostenlose Erstkopie. Diese Beschränkung muss jedoch verhältnismäßig sein und es muss eine Interessenabwägung vorgenommen werden.

    Die Leitlinien der EDSA besagen, dass die Kosten der Auskunftserteilung und die finanzielle Belastung öffentlicher Haushalte kein ausreichendes öffentliches Interesse an der Einschränkung der Betroffenenrechte sind. Die Kosten für die Erstellung und Ausfolgung von Kopien der Krankengeschichten sind im Verhältnis zu den gesamten Verwaltungskosten gering. Das Interesse des Patienten, eine kostenlose Erstkopie seiner Krankengeschichte zu erhalten, überwiegt das finanzielle Interesse der Stadt Wien. Patienten haben ein anerkanntes Recht, ihre Behandlungsunterlagen selbst zu besitzen, um beispielsweise weitere fachliche Meinungen einzuholen oder Ansprüche gegen Dritte prüfen zu können. Dem Argument der Stadt Wien, wonach der Kostenbeitrag einer Steigerung der Anfragen und damit einer Erhöhung des Aufwands entgegenwirken soll, kommt kein Wert zu.

    Die Kostenersatzpflicht nach § 17a Abs 2 lit g WrKAG ist somit unverhältnismäßig und unzulässig und hat als der DSGVO entgegenstehendes nationales Recht unangewendet zu bleiben. Der Patient hat ein Recht auf eine kostenlose Erstkopie der Krankengeschichte. Das klagestattgebende Urteil des Erstgerichts wird wiederhergestellt.

Aus der weiteren Rechtsprechung des OGH:

  • Der Kläger begehrt die Unterlassung der erneuten unrechtmäßigen Offenlegung seiner personenbezogenen Daten, nicht aber die Löschung seiner Daten. Beim EuGH sind in der Rs C-655/23, Quirin Privatbank, Vorlagefragen zu Unterlassungsansprüchen nach der DSGVO anhängig, die für die Beantwortung der Frage, ob und wann sich ein Unterlassungsanspruch aus der DSGVO ergibt, präjudiziell sind. Es ist daher zweckmäßig und geboten, mit der Entscheidung über Unterlassungsansprüche bis zur Entscheidung des EuGH über das bereits gestellte Vorabentscheidungsersuchen zuzuwarten und das Revisionsverfahren zu unterbrechen (OGH 27.08.2024, 6Ob37/24w).

Rechtssprechung des BVwG

  • Wird von einem Verantwortlichen das Datum "Geschlecht" in seinen IT-Systemen nicht (mehr) verarbeitet, ist es dem Verantwortlichen faktisch unmöglich, das Geschlecht des Antragstellers auf "divers" zu berichtigen. Ist die Verarbeitung des Datums "Geschlecht" auch nicht vorgesehen, ist auch von keinen unvollständigen personenbezogenen Daten iSd Art 16 letzter Satz DSGVO auszugehen. Die Feststellung einer allfälligen vergangenen Rechtsverletzung gemäß Art 16 DSGVO kommt nicht in Betracht, weil weder das DSG noch die DSGVO in Bezug auf das Recht auf Berichtigung die Feststellung vergangener Rechtsverletzungen vorsehen (BVwG 21.08.2024, W108 2283759-1).

Rechtsprechung der LVwG

  • Das Recht auf Berichtigung einer Eintragung im Zentralen Personenstandsregister (ZPR) ist ein höchstpersönliches Recht des Betroffenen. Nach dem Tod des Berechtigten findet keine Rechtsnachfolge statt, weshalb die Fortsetzung des Verfahrens über dieses Recht durch die Verlassenschaft oder die Erben nicht in Betracht kommt. Parteistellung kommt bei der Aufnahme von Daten ins ZPR nur der Person zu, deren Personenstandsfall im ZPR verdatet (sic) wird. Eine Tochter hat keinen Rechtsanspruch auf die Eintragung und daher auch nicht auf die Berichtigung eines fehlerhaft eingetragenen akademischen Grads ihres Vaters bei der Verdatung (sic) ihres Personenstandsfalls "Geburt". Der Tochter kommt aber ein Recht zu, eine zu Unrecht erfolgte Eintragung eines akademischen Grades eines Elternteils beseitigen zu lassen. Da der akademische Grad des Vaters ohne Rechtsgrundlage und daher zu Unrecht in den Personenstandsfall "Geburt" der Tochter eingetragen wurde, war die Eintragung zu entfernen (LVwG Wien 06.08.2024, VGW-101/042/2543/2024).

Rechtssprechung der DSB

DSB 28.03.2024, 2024-0.215.259

Zuständigkeit, Mandatsbescheid, Untersuchungsausschuss, COFAG

  • Abgeordnete des Nationalrats verlangten vom Bundesminister für Finanzen ("Finanzminister") die Vorlage des Steueraktes und von der Bundesministerin für Justiz ("Justizministerin") die Vorlage des WKStA-Ermittlungsaktes eines Beschuldigten an den COFAG-Untersuchungsausschuss. Der Beschuldigte brachte eine Datenschutzbeschwerde bei der DSB ein und beantragte die Erlassung eines Mandatsbescheids. Konkret begehrte er die Untersagung jeder weiteren Übermittlung bzw Verarbeitung der Daten in seinem Steuer- und Ermittlungsakt durch den Finanzminister, die Justizministerin und den COFAG-Untersuchungssauschuss.

    Der Beschuldigte brachte ua vor, es sei gängige Praxis, dass sämtliche Unterlagen und Daten, die Untersuchungsausschüssen übermittelt werden, veröffentlicht würden, oft durch "Leaks" an Medien. Aufgrund der aktuellen Wahlkämpfe sei damit zu rechnen, dass seine personenbezogenen Daten einer breiten Öffentlichkeit zugänglich gemacht würden.

    Die DSB hat erwogen: Die DSB ist zur Kontrolle parlamentarischer Untersuchungsausschüsse berufen, weshalb der Antrag auf Erlassung eines Mandatsbescheids in Bezug auf den COFAG-Untersuchungsausschuss zulässig ist.

    Die Erlassung eines Mandatsbescheids erfordert eine materielle Rechtswidrigkeit der Datenverarbeitung. Ein begründeter Verdacht reicht aus, wenn tatsächliche Anhaltspunkte vorliegen, dass eine Datenschutzverletzung vorliegt und dies nachvollziehbar dargelegt wird. Zudem ist erforderlich, dass aufgrund dieser Datenverarbeitung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen besteht.

    Auch wenn personenbezogene Daten des Beschuldigten an Medien übermittelt und offengelegt würden, ist nicht erkennbar, wie diese Gefahrensituation unmittelbar aufgrund der Datenverarbeitung durch den Finanzminister oder die Justizministerin gegeben wäre. Die vermeintliche Gefährdung von Interessen des Beschuldigten wird in der Tätigkeit von Mitgliedern des Untersuchungsausschusses gesehen und nicht in der Datenverarbeitung durch den Finanzminister oder die Justizministerin und liegt daher außerhalb deren Sphären.

    Die Weitergabe von Akten an Medien oder Dritte durch Mitglieder des Untersuchungsausschusses ist gesetzlich nicht vorgesehen. Die datenschutzrechtliche Verantwortlichkeit solcher Handlungen trifft somit nicht den COFAG-Untersuchungsausschuss, sondern vielmehr das einzelne Mitglied des Untersuchungsausschusses. Derartige Datenverarbeitungen fallen daher auch nicht in die Sphäre des COFAG-Untersuchungsausschusses. Anm: Ab dem 01.01.2025 übergeht die Kompetenz zur Überprüfung der Datenverarbeitungstätigkeiten parlamentarischer Untersuchungsausschüsse des Bundes auf das neu eingerichtete Parlamentarische Datenschutzkomitee (vgl §§ 35a ff DSG). Die fünf künftigen Mitglieder des Parlamentarischen Datenschutzkomitees wurden am 18.09.2024 benannt und vom Nationalrat gewählt (Hauptausschussbericht 2712 BlgNR 27. GP).

Vorschau EuGH-Rechtsprechung

  • Am 04.10.2024 wird das Urteil in der Rs C-446/21, Schrems (Communication de données au grand public), veröffentlicht. Der EuGH wird Fragen des OGH zu verhaltensorientierter Online-Werbung beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
  • Am 04.10.2024 wird das Urteil in der Rs C-21/23, Lindenapotheke, veröffentlicht. Der EuGH wird Fragen zur Klagebefugnis von Mitbewerbern und zu Gesundheitsdaten beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 17. Ausgabe des Schönherr Datenschutzmonitors vom 03.05.2024 nachgelesen werden.
  • Am 04.10.2024 wird das Urteil in der Rs C-200/23, Agentsia po vpisvaniyata, veröffentlicht. Geklärt wird die datenschutzrechtliche Verantwortung eines Handelsregisters. Anm: Die Zusammenfassung der Schlussanträge kann in der 22. Ausgabe des Schönherr Datenschutzmonitors vom 05.06.2024 nachgelesen werden.
  • Am 04.10.2024 wird das Urteil in der Rs C-621/22, Koninklijke Nederlandse Lawn Tennisbond, veröffentlicht. Der EuGH wird den Begriff "berechtigte Interessen" auslegen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
  • Am 04.10.2024 wird das Urteil in der Rs C-507/23, Patērētāju tiesību aizsardzības centrs, veröffentlicht. Der EuGH wird die Frage beantworten, ob es ausreichend sein kann, sich für einen verursachten immateriellen Schaden zu entschuldigen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.
  • Am 04.10.2024 wird das Urteil in der Rs C-548/21, Bezirkshauptmannschaft Landeck, veröffentlicht. Das LVwG Tirol befragt den EuGH zur Zulässigkeit des Auswertens von auf Mobiltelefonen gespeicherten Daten durch öffentliche Stellen nach § 18 iVm § 99 StPO.
  • Am 17.10.2024 wird das Urteil in der Rs C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More