ARTICLE
1 November 2024

To The Point: Datenschutzmonitor 43/2024

SA
Schoenherr Attorneys at Law

Contributor

We are a full-service law firm with a footprint in Central and Eastern Europe providing local and international companies stellar advice. As the go-to legal advisor for complex commercial matters in the region, Schoenherr aims to use its proximity to industry leaders, in developing practical solutions for future challenges. We keep a close eye on trends and developments, which enables us to provide high quality legal advice that is straight to the point.
OGH 20.09.2024, 6Ob221/23b (Google-Bewertungen, Zuständigkeit, Herkunftslandprinzip, Rollenverteilung, Datentransfer in die USA)...
Austria Privacy

Rechtsprechung des OGH

OGH 20.09.2024, 6Ob221/23b (Google-Bewertungen, Zuständigkeit, Herkunftslandprinzip, Rollenverteilung, Datentransfer in die USA)

Rechtsprechung des BVwG

BVwG 01.10.2024, I406 2297556-1 (ORF-Beitrag)

BVwG 30.09.2024, W258 2262547-1; W258 2262750-1 ua (COVID-Impferinnerungsschreiben, Aussetzung)

BVwG 23.09.2024, W274 2293407-1, 30.09.2024, W274 2290131-1 (Exzess, Aussetzung)

BVwG 30.09.2024, W211 2271492-1 (Zurückziehung der Datenschutzbeschwerde)

Rechtsakte

3. Novelle zur AutomatFahrV

Vorschau EuG- und EuGH-Rechtsprechung

To the Point:

Rechtsprechung des OGH

OGH 20.09.2024, 6Ob221/23b

Google-Bewertungen, Zuständigkeit, Herkunftslandprinzip, Rollenverteilung, Datentransfer in die USA

Über den Dienst "Google My Business" werden öffentlich zugängliche Informationen und Nutzerbewertungen über lokale Unternehmen veröffentlicht. Solche Profile können von Unternehmen selbst erstellt oder automatisch auf Grundlage öffentlich verfügbarer Daten generiert werden.

Eine Fachärztin erhob Klage gegen eine nach irischem Recht gegründete Gesellschaft (Google Ireland), die Google-Dienste in Europa anbietet und in Österreich die Domain www.google.at betreibt. Das Profil der Fachärztin auf "Google My Business" enthielt ihre Kontaktdaten, Öffnungszeiten, Lichtbilder der Ordination sowie Sternebewertungen und Rezensionen. In mehreren 1-Stern-Bewertungen wurden insb die langen Wartezeiten kritisiert. Die auf Google veröffentlichten Daten der Fachärztin (abseits der Bewertungen und Rezensionen) wurden von ihr selbst auf ihrer Homepage veröffentlicht und waren auch über eine Seite der zuständigen Landes-Ärztekammer abrufbar.

Die Fachärztin forderte die Löschung der Rezensionen und Bewertungen und eine Unterlassung zukünftiger Rezensionen ohne ihre Zustimmung (Art 17 DSGVO). Zudem verlangte sie Schadenersatz iHv 5.000 EUR.

Nach Ansicht der Fachärztin enthielten einige Rezensionen grob kreditschädigende und unrichtige Aussagen, was ihr allgemeines Persönlichkeitsrecht gemäß § 16 iVm § 1330 ABGB beeinträchtigte. Die Fachärztin sah auch das Schutzniveau ihrer Daten als gefährdet, weil ihre Daten konzernintern an die Muttergesellschaft in den USA übermittelt wurden. Nach ihrer Ansicht boten die eingesetzten Standardvertragsklauseln keinen gleichwertigen Schutz, weil diese als privatrechtliche Verträge die US-Behörden nicht binden konnten und somit ein DSGVO-konformer Schutz nicht gewährleistet war.

Das Erst- und das Berufungsgericht wiesen die Klage ab. Der OGH gab der Revision der Fachärztin Folge, behob die Entscheidungen der Vorinstanzen und verwies die Rechtssache zur neuerlichen Entscheidung an das Erstgericht zurück.

Der OGH hat erwogen: Gemäß § 48 IPRG ist österreichisches Recht anzuwenden, weil sich die Wirkung der Verbreitung der Äußerungen vornehmlich im Inland entfaltet, in dem auch das Zentrum der sozialen Interaktion der Fachärztin liegt. Da Google Ireland ihren Sitz jedoch in einem anderen EWR-Mitgliedstaat hat und im koordinierten Bereich gemäß § 3 Z 8 ECG tätig ist, ist das Herkunftslandprinzip nach § 20 ECG relevant. Die rechtlichen Anforderungen für Diensteanbieter, die in einem Mitgliedstaat niedergelassen sind, sind nach dem Recht des Niederlassungsstaats zu beurteilen. Eine Ausnahme vom Herkunftslandprinzip nach den §§ 21 f ECG ist nicht ersichtlich, zumal die Rezensionen und Bewertungen, deren Unterlassung und Löschung die Fachärztin begehrt, nicht als die Würde eines einzelnen Menschen antastend zu qualifizieren sind. § 20 Abs 1 ECG enthält für Eingriffe in das (allgemeine) Persönlichkeitsrecht eine Sachnormverweisung auf die materiellen Rechtsvorschriften des Niederlassungsstaats. Demnach ist das Recht des Staats maßgeblich, in dem der Dienstleister iSd ECG seinen Sitz hat (daher irisches Sachrecht).

Auf eine fehlende Zustimmung der Fachärztin, sich bewerten zu lassen, kommt es nicht an, weil sich Google Ireland zu Recht auf Art 6 Abs 1 lit f DSGVO stützt. Anlässlich der Verarbeitung wird ein berechtigtes Interesse wahrgenommen. Dieses Interesse besteht in der Information der Öffentlichkeit über ärztliche Leistungen sowie in einem Einblick in persönliche Erfahrungen und subjektive Einschätzungen, die der jeweilige Nutzer bei seiner eigenen Arztwahl berücksichtigen kann.

Google Ireland ist als Verantwortliche  iSd Art 4 Z 7 DSGVOzu qualifizieren. Durch ihren Dienst "Google My Business" erstellt und verwaltet sie Unternehmensprofile. Sie beeinflusst so den Zweck und die Mittel der Verarbeitung, weil sie die Kategorien der Informationen und die Verknüpfung der Rezensionen und Bewertungen mit Unternehmensprofilen vorgibt.

Die zentrale datenschutzrechtliche Problematik liegt in der Frage, was unter "Übermittlung an ein Drittland" zu verstehen ist. Um den durch die DSGVO innerhalb der EU gewährten Schutz des Einzelnen nicht zu untergraben, sind Übermittlungen personenbezogener Daten "an ein Drittland" nur unter bestimmten Voraussetzungen zulässig (Art 44 DSGVO). Dabei geht es im Wesentlichen um die Einhaltung eines angemessenen Schutzniveaus, welches Erfordernis sich nach der Rechtsprechung des EuGH direkt aus der EU-Grundrechte-Charta ergibt. Solange ein mit einem Drittland (hier den USA) geschlossenes Abkommen bestand oder besteht, zu dem ein (aufrechter) Angemessenheitsbeschluss iSd Art 45 Abs 1 DSGVO vorliegt, bedarf es für die Übermittlung keiner besonderen Genehmigung. Ohne einen solchen Angemessenheitsbeschluss (Art 45 Abs 3 DSGVO) dürfen nach Art 46 Abs 1 DSGVO personenbezogene Daten an ein Drittland nur übermittelt werden, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Kernargument der Revision für die Unzulässigkeit der Übermittlung der Daten in die USA als Drittland ist die Aufhebung des Angemessenheitsbeschlusses zum Privacy Shield-Abkommen durch den EuGH. Nachdem der US-Präsident den "Executive Order on Enhancing Safeguards for United States Signals Intelligence Activites" erlassen hat, wurde jedoch mit dem "EU-U.S. Data Privacy Framework" ein neuer Angemessenheitsbeschluss gefasst. Seither ist der Datentransfer (hinsichtlich der zertifizierten Empfänger) wieder "ohne besondere Genehmigung" zulässig.

Nicht zweifelsfrei geklärt ist aber, welche Vorgänge unter "Übermittlung" iSd Art 44 ff DSGVO überhaupt zu verstehen sind.

Auch nicht eindeutig geklärt ist, ob die Aufhebung des Angemessenheitsbeschlusses auf bereits zuvor erfolgte Datenübermittlungen zurückwirkt und somit das (Weiter-)Anzeigen (oder die Speicherung) von Bewertungen, die bereits zuvor "übermittelt" wurden, als unzulässige Übermittlungen nach Art 44 DSGVO anzusehen sind. Ist eine Rückwirkung nicht völlig auszuschließen, scheint auch die Frage einer etwaigen Sanierung durch einen nachfolgenden Angemessenheitsbeschluss offen.

Letztlich kann auch die Kategorie der übermittelten Daten in Betracht zu ziehen sein. Bei den Profildaten handelt es sich um allgemein verfügbare personenbezogene Daten der Fachärztin. Werden die Profildaten nicht bloß reproduziert, sondern mit einem neuen Element verknüpft (der Bewertung), werden damit "neue" personenbezogene Daten (unter Einschluss der Profildaten) erzeugt. Allerdings könnte das Verlangen der Löschung der gesamten Daten als "überschießend" angesehen werden.

Nicht zuletzt ist auch zu hinterfragen, ob – soweit von einer unzulässigen Übermittlung in ein Drittland nach Art 44 DSGVO auszugehen sein sollte – aus einem solchen Verstoß das Recht des Betroffenen auf Löschung seiner Daten nach Art 17 DSGVO resultiert, zumal es einer Verletzung eines dem Betroffenen eingeräumten subjektiven, individuellen Rechts bedarf. Es erscheint fraglich, ob die Fachärztin den Anspruch auf Löschung aller Bewertungen (bzw überhaupt all ihrer Daten) als verhältnismäßige Konsequenz auf Art 17 Abs 1 lit d DSGVO stützen kann.

Rechtsprechung des BVwG

Aus der Rechtsprechung des BVwG

  • Durch das ORF-Beitrags-Gesetz 2024 (OBG) ist kein unzulässiger und unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz zu erblicken. Die Verarbeitung bestimmter personenbezogener Daten zum Zwecke der Erhebung des ORF-Beitrags sowie der Ermittlung der Beitragsschuldner und zur Prüfung, ob eine Befreiung vorliegt, ist notwendig. Die Regelungen des mit "Datenübermittlung" titulierten § 13 OBG erscheinen sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt ( BVwG 01.10.2024, I406 2297556-1).
     
  • Ein Verfahren kann nach § 34 VwGVG ausgesetzt werden, wenn bei einem Verwaltungsgericht in einer erheblichen Zahl von anhängigen oder zu erwartenden Verfahren eine Rechtsfrage zu lösen ist, die gleichzeitig in einem anhängigen Verfahren vor dem VwGH behandelt wird. Die Aussetzung dient dazu, die Funktionsfähigkeit des Verwaltungsgerichts bei einer großen Zahl gleichgelagerter Beschwerden zu gewährleisten, indem auf einen beim VwGH anhängigen "leading case" gewartet und so dessen Rechtsansicht eingeholt werden kann. Beim Bundesverwaltungsgericht sind zum Themenkomplex "Impferinnerungsschreiben" über 750 Bescheidbeschwerden anhängig. Damit liegen die Voraussetzungen für die Aussetzung des Verfahrens vor (BVwG 30.09.2024,  W258 2262547-1 W258 2262750-1  ua).
     
  • Ein Verfahren kann bis zur rechtskräftigen Entscheidung einer Vorfrage, die als Hauptfrage von anderen Verwaltungsbehörden oder Gerichten zu entscheiden wäre, ausgesetzt werden, wenn die Vorfrage schon den Gegenstand eines beim für die Hauptfrage zuständigen Gericht anhängigen Verfahrens bildet. Eine Hauptfrage in diesem Sinn kann auch eine Vorlagefrage eines beim EuGH anhängigen Vorabentscheidungsverfahrens sein. Der VwGH ersuchte den EuGH um Vorabentscheidung zur Auslegung des Begriffs "exzessiv" iSd Art 57 Abs 4 DSGVO. Da diese Frage auch im vorliegenden Verfahren präjudiziell ist, wird das Beschwerdeverfahren bis zur Entscheidung des EuGH ausgesetzt (BVwG  23.09.2024, W274 2293407-1 30.09.2024, W274 2290131-1).
     
  • Die Zurückziehung der Datenschutzbeschwerde bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Erstbescheides und damit (nachträglich) dessen  Rechtswidrigkeit. Der Erstbescheid ist daher durch das BVwG (ersatzlos) aufzuheben. Bei dieser Art der Entscheidung handelt es sich um eine negative Sachentscheidung, womit auch das Beschwerdeverfahren erledigt wird. Eine darüberhinausgehende Einstellung des Beschwerdeverfahrens erübrigt sich daher ( BVwG 30.09.2024, W211 2271492-1).

Rechtsakte

  • Am 23.10.2024 ist die 3. Novelle zur AutomatFahrV BGBl II 2024/287, kundgemacht worden. Die Verordnung enthält Regelungen zum automatisierten Fahrzeug zur Personenbeförderung sowie zum automatisierten Absicherungsfahrzeug.

Vorschau EuG- und EuGH-Rechtsprechung
 

  • Am 13.11.2024 wird das Urteil des EuG in der Rs  T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.
  • Am 21.11.2024 wird das Urteil des EuGH in der Rs  C-336/23, Hrvatska poata, veröffentlicht. Der EuGH wird Fragen zur PSI-RL (Richtlinie (EU) 2019/1024) beantworten.
  • Am 26.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs  C-97/23 P, WhatsApp Ireland, stattfinden. Gegenstand des Verfahrens ist ein Rechtsstreit zwischen WhatsApp und dem Europäischen Datenschutzausschuss.
  • Am 27.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs  C-654/23, Inteligo Media, stattfinden. Gegenstand des Verfahrens ist eine Geldbuße gegen die Herausgeberin eines Onlinemediums.
  • Am 28.11.2024 wird das Urteil in der Rs  C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei  generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
  • Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs  C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahren sind Identifizierungsmaßnahmen durch  Sicherheitsbehörden.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More