ARTICLE
15 November 2024

To The Point: Datenschutzmonitor 45/2024

SA
Schoenherr Attorneys at Law

Contributor

We are a full-service law firm with a footprint in Central and Eastern Europe providing local and international companies stellar advice. As the go-to legal advisor for complex commercial matters in the region, Schoenherr aims to use its proximity to industry leaders, in developing practical solutions for future challenges. We keep a close eye on trends and developments, which enables us to provide high quality legal advice that is straight to the point.
Ist einem Löschungsersuchen durch Löschung der Bewerbungsdaten bereits entsprochen worden, ist eine auf Löschung dieser Daten gerichtete Revision an den VwGH...
Austria Privacy

To the Point:

Rechtsprechung des VwGH

Aus der Rechtsprechung des VwGH:

  • Ist einem Löschungsersuchen durch Löschung der Bewerbungsdaten bereits entsprochen worden, ist eine auf Löschung dieser Daten gerichtete Revision an den VwGH unzulässig (VwGH 16.10.2024, Ra 2022/04/0151).
  • Die Veröffentlichung einer Stellungnahme samt Name und Wohnanschrift durch eine Behörde im Internet kann nicht auf die Wahrnehmung berechtigter Interessen iSd Art 6 Abs 1 lit f DSGVO gestützt werden (VwGH 16.10.2024, Ra 2022/04/0140).
  • In Verwaltungsstrafverfahren ist – trotz des Offizialprinzips – dort, wo es der Behörde nicht möglich ist, den entscheidungswesentlichen Sachverhalt ohne Mitwirkung der Partei festzustellen, von einer Mitwirkungspflicht der Partei auszugehen. In solchen Fällen hat die Partei betriebsbezogene oder personenbezogene Umstände mitzuteilen (VwGH 09.10.2024, Ra 2024/06/0161).

Rechtsprechung des BVwG

BVwG 30.09.2024, W603 2297646-1

  • Eine GmbH führte Telefonate durch, um Kunden zu akquirieren und Termine für einen Vertreterbesuch zum Verkauf von Sicherheitstechniken zu vereinbaren. Einer der Angerufenen zeigte kein Interesse, erteilte keine Einwilligung zu diesem Anruf und zeigte die GmbH beim Fernmeldebüro an. Das Fernmeldebüro verhängte eine Geldstrafe gegen den alleinvertretungsbefugten Geschäftsführer der GmbH, weil dieser gegen das Verbot des Cold Calling verstoßen hat (§ 174 Abs 1 iVm § 188 Abs 6 Z 9 TKG 2021) und sprach die Solidarhaftung des Unternehmens aus. Der Geschäftsführer brachte dagegen eine Bescheidbeschwerde beim BVwG ein und beantragte die Aufhebung des Straferkenntnisses bzw die Herabsetzung der verhängten Strafe. Der Geschäftsführer bestritt, dass es sich um einen Werbeanruf handelte, weil der Angerufene seine Telefonnummer bei der Herold Business Data GmbH hinterlegt habe, was eine konkludente Einwilligung darstelle. Zudem habe der Anruf nur dazu gedient, die Einwilligung zur Werbung zu erlangen.

    Das BVwG hat erwogen: Anrufe zu Werbezwecken ohne vorherige Einwilligung des Nutzers sind gemäß § 174 Abs 1 TKG 2021 unzulässig (Cold Calling). Den Ausführungen des Geschäftsführers, es habe sich um keinen Werbeanruf gehandelt, kann nicht gefolgt werden. Der Begriff der Werbung ist weit auszulegen und bereits der erstmalige Kontakt in Form der telefonischen Einholung der Einwilligung zu einem späteren Werbetelefonat ist als Anruf zu Werbezwecken zu qualifizieren und somit unzulässig. Bei dem Anruf durch die GmbH handelt es sich somit um einen Werbeanruf, welcher für seine Zulässigkeit der vorherigen Einwilligung gemäß § 174 Abs 1 TKG 2021 bedurft hätte.

    Mangels fehlender Definition des Einwilligungsbegriffs im TKG 2021 ist auf Art 4 Z 11 DSGVO zurückzugreifen. Da eine Eintragung von Kontaktinformationen in Telefonbüchern keine konkludente Einwilligung zum Empfang von Werbung ist und der Angerufene auch durch keine ausdrückliche Willenserklärung eine Einwilligung erteilte, ist der GmbH keine Einwilligung iSd § 174 Abs 1 TKG 2021 erteilt worden.

    Zudem wird in den AGB der Herold Business Data GmbH darauf hingewiesen, dass die Bereitstellung der Rufnummern im Teilnehmerverzeichnis nicht auf die Zustimmung zum Erhalt von Werbeanrufen schließen lässt.

    Cold Calling ist ein Ungehorsamsdelikt, sodass bereits fahrlässiges Verhalten für die Strafbarkeit ausreicht. Der Geschäftsführer hat kein wirksames Kontrollsystem eingerichtet und hat Übertretungen des § 174 Abs 1 TKG 2021 im Unternehmen gefördert. Der Geschäftsführer hat sich nicht über die Rechtslage erkundigt, was ebenfalls als Verschulden zuzurechnen ist. Bei der Bemessung der Strafe ist § 19 VStG heranzuziehen, weshalb das geschützte Rechtsgut – hier die Privatsphäre von natürlichen Personen, der Schutz vor Belästigungen und unerbetenen Nachrichten – und die Intensität seiner Beeinträchtigung zu beachten sind. Zudem sind Erschwerungs- und Milderungsgründe sowie die Einkommens- und Vermögensverhältnisse zu berücksichtigen. Die verhängte Geldstrafe ist somit tat- und schuldangemessen.

Aus der weiteren Rechtsprechung des BVwG:

  • Die Bescheidbeschwerde kann in jeder Lage des Verfahrens vor dem BVwG zurückgezogen werden. Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 09.10.2024, W274 2284620-1).

Leitlinien

EDPB Report on the first review of the European Commission Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework (2024)

  • Der Europäische Datenschutzausschuss (EDSA) hat einen Bericht über die erste Überprüfung des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US Data Privacy Framework (DPF) veröffentlicht. Bewertet wurden insbesondere die kommerziellen Aspekte des DPF und der Zugang der US-Behörden zu personenbezogenen Daten, die an DPF-zertifizierte Organisationen übermittelt werden.

    Der EDSA stellte fest, dass das US-Handelsministerium den Zertifizierungsprozess für US-Unternehmen umgesetzt hat. Das implementierte mehrstufige Beschwerdesystem bietet EU-Bürgern leicht zugängliche Beschwerdemöglichkeiten. Aufgrund der wenigen Beschwerden empfiehlt der EDSA jedoch, dass das Handelsministerium und die Federal Trade Commission (FTC) die Einhaltung der DPF-Grundsätze bei zertifizierten Organisationen verstärkt von Amts wegen überwachen. Außerdem soll das Handelsministerium Leitlinien für DPF-zertifizierte Unternehmen zur Datenübermittlung an Drittländer erstellen und den in der EU und den USA unterschiedlich ausgelegten Begriff "Personaldaten" ("HR Data") klären.

    Der EDSA anerkennt die Aktualisierung der Richtlinien und Verfahren der US-Geheimdienste zur Umsetzung der Prinzipien der Notwendigkeit und Verhältnismäßigkeit, fordert die Europäische Kommission aber auf, die Umsetzung dieser Prinzipien weiterhin zu überwachen. Insbesondere begrüßt der EDSA legislative Änderungen, die den Datenschutz verbessern. Allerdings wurden im US Foreign Intelligence Surveillance Act (FISA) bestimmte Empfehlungen nicht kodifiziert und somit keine zusätzlichen Schutzmaßnahmen eingeführt, wie es der EDSA empfohlen hatte. Auch die im FISA enthaltene erweiterte Definition von "elektronischen Kommunikationsdienstanbietern" schafft nach Ansicht des EDSA Unsicherheit über den tatsächlichen Umfang der Überwachung. Die Europäische Kommission soll daher Entwicklungen im Zusammenhang mit dem FISA verfolgen.

    Die nächste Überprüfung des DPF soll in weniger als vier Jahren stattfinden, damit die Europäische Kommission und der EDSA früher als gesetzlich vorgesehen auf Informationen zur praktischen Anwendung des DPF reagieren können.

Rechtsakte

  • Am 06.11.2024 ist die Zugriffsberechtigungsverordnung (ZugriffsV), BGBl II 2024/300, kundgemacht worden. Geregelt werden darin Zugriffsberechtigungen auf die eHealth-Anwendung Elektronischer Impfpass (eImpfpass).

Vorschau EuG- und EuGH-Rechtsprechung

  • Am 13.11.2024 wird das Urteil des EuG in der Rs T-223/20, Orion / Kommission, verkündet. Gegenstand des Verfahrens ist der Datenschutz betreffend Arzneimittel.
  • Am 21.11.2024 wird das Urteil des EuGH in der Rs C-336/23, Hrvatska poata, veröffentlicht. Der EuGH wird Fragen zur PSI-RL (Richtlinie (EU) 2019/1024) beantworten.
  • Am 26.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-97/23 P, WhatsApp Ireland, stattfinden. Gegenstand des Verfahrens ist ein Rechtsstreit zwischen WhatsApp und dem Europäischen Datenschutzausschuss.
  • Am 27.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-654/23, Inteligo Media, stattfinden. Gegenstand des Verfahrens ist eine Geldbuße gegen die Herausgeberin eines Onlinemediums.
  • Am 28.11.2024 wird das Urteil in der Rs C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
  • Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahrens sind Identifizierungsmaßnahmen durch Sicherheitsbehörden.
  • Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More