ARTICLE
29 November 2024

To The Point: Datenschutzmonitor 47/2024

SA
Schoenherr Attorneys at Law

Contributor

Schoenherr Attorneys at Law logo
We are a full-service law firm with a footprint in Central and Eastern Europe providing local and international companies stellar advice. As the go-to legal advisor for complex commercial matters in the region, Schoenherr aims to use its proximity to industry leaders, in developing practical solutions for future challenges. We keep a close eye on trends and developments, which enables us to provide high quality legal advice that is straight to the point.
Explore Firm Details
Willkommen zu unserem wöchentlichen Datenschutz-Update. Mit diesem wöchentlichen Newsletter wollen wir eine kurze und aktuelle Rechtsprechungsübersicht für das Datenschutzrecht schaffen.
Austria Privacy
János Böszörményi,Florian Terharen,Philipp John
+4 Authors
 Your Author LinkedIn Connections

To the Point:

Rechtsprechung des EuGH

EuGH 21.11.2024, C-336/23, Hrvatska poata
PSI 2-RL, Dokumentenzugang

  • Die kroatische Post (HP), ein zu 100% von der Republik Kroatien gehaltenes Unternehmen, das den Universalpostdienst in Kroatien anbietet und auch kommerzielle Tätigkeiten ausübt, lehnte einen Antrag auf Bereitstellung von Bauverträgen, vorläufigen Abrechnungen und Protokollen über die Übergabe einer Immobilie ab, der auf der RL 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (PSI 2-RL) und dem kroatischen Gesetz über das Recht auf Zugang zu Informationen beruhte.

    Dagegen wurde Beschwerde beim Informationsbeauftragten eingelegt, der HP anwies, dem Antrag stattzugeben. HP erhob Klage beim "Hohen Verwaltungsgericht", das die Sache zur erneuten Prüfung an den Informationsbeauftragten zurückverwies. Der Informationsbeauftragte bestätigte seine Anweisung, woraufhin HP erneut beim Hohen Verwaltungsgericht klagte, das den EuGH um Vorabentscheidung ersuchte. Die Vorlagefragen befassten sich insb damit, (i) ob unter "Weiterverwendung von Informationen" iSd PSI 2-RL der Zugang zu allen Informationen eines öffentlichen Unternehmens gemeint ist und ob diese bereitzustellen sind, (ii) auf welche Informationen im Besitz eines öffentlichen Unternehmens die Bereitstellungspflicht anwendbar ist, sowie (iii) unter welchen Voraussetzungen und unter welchen Einschränkungen Informationen offenzulegen sind.

    Der EuGH hat erwogen: "Weiterverwendung" bedeutet die Nutzung von Dokumenten für kommerzielle oder nicht kommerzielle Zwecke, die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags oder dem Zweck der Erbringung von Dienstleistungen von allgemeinem Interesse unterscheiden, für den die Dokumente erstellt wurden. "Weiterverwendung" setzt zwar einen Zugang zu den betreffenden Dokumenten voraus, gleichwohl handelt es sich um zwei offensichtlich unterschiedliche Vorgänge. Die PSI 2-RL regelt die Weiterverwendung vorhandener Dokumente, die im Besitz öffentlicher Stellen und öffentlicher Unternehmen der Mitgliedstaaten sind, ohne jedoch eine Pflicht in Bezug auf den Zugang zu Dokumenten vorzusehen. Die PSI 2-RL gilt nicht für Dokumente, für die nach den Zugangsregelungen der Mitgliedstaaten der Zugang ausgeschlossen oder eingeschränkt ist. Die PSI 2-RL gewährt kein Recht auf Zugang zu Dokumenten des öffentlichen Sektors, sondern setzt ein solches Recht im Recht der Mitgliedstaaten oder im Unionsrecht voraus. Die Voraussetzungen für den Zugang zu diesen Dokumenten fallen nicht in ihren Anwendungsbereich.


Rechtsprechung des OGH

OGH 05.11.2024, 14Os14/24a

ANOM, SKY ECC, Verwertungsverbot

  • Der Verurteilte eines Strafverfahrens wurde wegen mehrerer Verbrechen des Suchtgifthandels und seiner Mitgliedschaft in einer kriminellen Vereinigung für schuldig erkannt. Die kriminelle Vereinigung nutzte verschlüsselte Kommunikationsdienste wie ANOM und SKY ECC, um ihre Aktivitäten zu koordinieren. Der Verurteilte brachte gegen das ihn ergehende Urteil eine (erfolglose) Nichtigkeitsbeschwerde an den OGH ein und behauptete darin, dass die Verwendung des digitalen Datenmaterials betreffend die Krypto-Messenger-Dienste gegen einfach- und verfassungsgesetzliche Vorschriften, den Grundsatz der Verhältnismäßigkeit sowie gegen primäres und sekundäres Unionsrecht verstoßen würde. Die Überwachung verschlüsselter Kommunikationen sei in Österreich gesetzlich nicht vorgesehen.

    Der OGH hat erwogen: Auf die Tätigkeit ausländischer Behörden beziehen sich die inländischen Verfahrensgesetze nicht. Die StPO kennt keine generellen Verwendungsbeschränkungen für Beweismittel, die durch ausländische Behörden erlangt wurden. Sofern in der Beweisverwendung nicht selbst eine Grundrechtsverletzung liegt, ist die Vorlage von Beweisen, die ohne gesetzliche Regelung gewonnen wurden, nicht zwingend unzulässig. Ein Beweisverwendungsverbot besteht, wenn bei der Beweiserhebung ein fundamentaler Verfahrensgrundsatz verletzt wurde, etwa durch eine gravierende Menschenrechtsverletzung. Ein Beweisverwendungsverbot für durch ausländische Behörden erlangte Beweismittel besteht, wenn gegen rechtsstaatliche Mindeststandards oder völkerrechtliche Garantien verstoßen wurde.

    Die Staatsanwaltschaft wertete Daten aus, die sie zuvor vom Federal Bureau of Investigation (FBI) erhielt, und stellte fest, dass der Verurteilte ANOM-Mobiltelefone nutzte, welche in mutmaßliche kriminelle Organisationen eingeschleust wurden und nach Angaben des FBI von 100% der Nutzer für kriminelle Zwecke genutzt wurden. Die Daten mit der Information, dass der Verurteilte SKY ECC-Mobiltelefone verwendete, wurden dem österreichischen Bundeskriminalamt – durch Europol koordiniert – von ausländischen Behörden aufgrund einer Europäischen Ermittlungsanordnung (EEA) übermittelt. Die Sicherstellung und Entschlüsselung dieser Daten erfolgte weder durch noch unter Beteiligung österreichischer Strafverfolgungsorgane. Diesen wurden lediglich die Ergebnisse der Überwachung übermittelt.

    Ein Beweisverwertungsverbot ergibt sich nicht allein daraus, dass die Überwachung verschlüsselter Nachrichten in der österreichischen Rechtsordnung nicht vorgesehen ist. Zudem wurden die ANOM-Telefone gezielt an mutmaßliche Mitglieder von kriminellen Vereinigungen ausgegeben, wobei der Verwendungszweck nicht die Erlangung von Daten aus dem persönlichen Lebensbereich jener Personen war. Der Eingriff in das Recht auf Privatleben tritt sohin hinter das öffentliche Interesse an der Aufklärung derartiger Formen von Schwerkriminalität zurück.

    Die Annahme, dass von ausländischen Behörden gewonnene Beweisergebnisse jedenfalls nicht in inländischen Strafverfahren verwendet werden dürfen, ist nicht zutreffend. Eine Verletzung der Verständigungspflicht nach Art 31 Abs 1 RL-EEA durch die ausländischen Behörden nimmt den österreichischen Behörden zwar die Möglichkeit, Überwachungsmaßnahmen auf österreichischem Hoheitsgebiet zu unterbinden (vgl § 55d Abs 7 EU-JZG). Daraus lässt sich aber nicht unmittelbar ein Verbot der Verwendung dadurch erlangter Beweismittel ableiten.

Aus der weiteren Rechtsprechung des OGH:

  • Eine Europäische Ermittlungsanordnung zur Überwachung verschlüsselter Nachrichten darf von österreichischen Behörden nach § 55a Abs 1 Z 13 EU-JZG nicht vollstreckt werden, wenn sie in einem vergleichbaren innerstaatlichen Fall nicht genehmigt würde. Die österreichische Staatsanwaltschaft muss die ausstellende Behörde informieren, dass die Überwachung nicht durchgeführt werden kann oder zu beenden ist und die Ergebnisse nicht verwendet werden dürfen. Der EuGH hat entschieden, dass die Überwachung verschlüsselter Kommunikation vom Begriff "Überwachung des Telekommunikationsverkehrs" erfasst ist und das Schutzniveau des Mitgliedstaats nicht unterlaufen werden darf. Es ist jedoch Sache des nationalen Gesetzgebers, die Zulässigkeit der Verwendung unionsrechtswidrig erlangter Beweise unter Beachtung grundrechtlicher Anforderungen an die Fairness des Verfahrens zu regeln. Im fortgesetzten Verfahren wird zu klären sein, ob ausländische Strafverfolgungsbehörden die von ihnen zur Verfügung gestellten Kommunikationsdaten auf eine Weise erlangten, die ein Vollstreckungshindernis nach § 55a Abs 1 Z 1 bis 5, 8 oder (insbesondere) 13 EU-JZG begründen würde (OGH 13.11.2024, 11Os129/24s).
  • Ermittlungsmaßnahmen von ausländischen Behörden ohne Veranlassung inländischer Strafverfolgungsbehörden sind keine Ergebnisse einer nach dem fünften Abschnitt des achten Hauptstücks der StPO durchgeführten Ermittlungsmaßnahme. Vor diesem Hintergrund findet das in § 140 Abs 1 StPO normierte Verwertungsverbot keine Anwendung auf die Ergebnisse (OGH 05.11.2024, 14Os100/24y).

Rechtsprechung des BVwG

BVwG 25.10.2024, W108 2285546-1

Geldbuße, sensible Daten, Verschulden, Strafzumessung

  • Die Sekretärin der Bundesorganisation einer politischen Partei versendete eine E-Mail für eine politische Kampagne. Den E-Mail-Verteiler mit ca 400 E-Mail-Adressen, davon zumindest 100 personalisierte E-Mail-Adressen, fügte sie versehentlich statt ins "An-Feld" ins "bcc-Feld" ein. Die E-Mail-Adressen stammten aus öffentlich zugänglichen Quellen.

    Die DSB verhängte eine Geldbuße iHv EUR 50.700 gegen die politische Partei, weil durch den Versand der E-Mail politische Meinungen und weltanschauliche Überzeugungen offengelegt worden seien. Aufgrund der Bescheidbeschwerde der politischen Partei setzte das BVwG die Geldbuße auf EUR 28.000 herab.

    Das BVwG hat erwogen: Sensible Daten können aus einer Information auch mittelbar hervorgehen. Der Inhalt der E-Mail erweckte den Eindruck, dass die E-Mail-Empfänger sich der politischen Partei angeschlossen haben. Dadurch wurde ihnen eine (vermeintliche) politische Überzeugung zugeschrieben. Für die zumindest 100 Personen deren E-Mail-Adressen personalisiert waren, liegt aufgrund der Offenlegung der E-Mail-Adressen das Gefahrenpotenzial der Benachteiligung oder Verfolgung vor.

    Nur Verstöße gegen Bestimmungen der DSGVO, die der Verantwortliche schuldhaft begangen hat, können zur Verhängung einer Geldbuße führen. Verschulden liegt aber bereits dann vor, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt. Die politische Partei konnte sich über die Rechtswidrigkeit der Offenlegung von E-Mail-Adressen nicht im Unklaren sein.

    Im Gegensatz zur Bestimmung der Bußgeldobergrenze ist für die Strafzumessung nicht der Umsatz im letzten abgeschlossenen Geschäftsjahr vor Erlass des Straferkenntnisses, sondern die im Entscheidungszeitpunkt des BVwG aktuelle Einkommens- und Vermögenslage der politischen Partei zu berücksichtigen. Nur so kann die Verhältnismäßigkeit der Geldbuße und die wirtschaftliche Überlebensfähigkeit gewährleistet werden. Anm: Entgegen der klaren Rechtsprechung des EuGH hat das BVwG das Schuldprinzip teilweise abgeschafft. Der Rechtsstaat gerät zunehmend unter die Datenschutzräder.

BVwG 13.09.2024, W252 2277317-1

Tonbandaufnahme, Scheidung, berechtigtes Interesse

  • Im Zuge von ehelichen Auseinandersetzungen fertigte ein Ehemann über einen Zeitraum von neun Monaten punktuell heimlich Tonbandaufnahmen von mit seiner Ehefrau geführten Streitgesprächen an, um diese ggf in einem streitigen Scheidungsverfahren vorlegen zu können (was schließlich auch – zumindest teilweise – geschah). Die Ehefrau erachtete sich in ihrem Recht auf Geheimhaltung verletzt und brachte eine Datenschutzbeschwerde bei der DSB ein, welche von dieser als unbegründet abgewiesen wurde. Hiergegen erhob die Ehefrau erfolgreiche Bescheidbeschwerde an das BVwG.

    Das BVwG hat erwogen: Die DSGVO findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten ("Haushaltsausnahme"). Entscheidend ist, dass der Datenumgang im ausschließlich privaten Aktionskreis stattfindet. Die Aufnahmen – obwohl in einem familiären Umfeld wurzelnd – waren mit dem Zweck angefertigt worden, diese ggf in einem streitigen Scheidungsverfahren als Beweismittel vorzulegen. Insofern fiel diese Datenverarbeitung nicht unter die Haushaltsausnahme.

    Die Verarbeitung personenbezogener Daten ist gemäß § 6 Abs 1 lit f DSGVO unter drei kumulativen Voraussetzungen rechtmäßig. Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein, und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen. Die Durchsetzung von Rechtsansprüchen – wie hier im Rahmen einer Scheidung – kommt jedenfalls als berechtigtes Interesse in Frage. Es war dem Ehemann auch nicht möglich, in zumutbarer Weise seine Scheidungsklage ebenso wirksam mit anderen Mitteln – zB einem "Streittagebuch" – zu untermauern. Dies auch deswegen, weil die Scheidungsklage gerade mit den "provokanten Äußerungen, gehässigen Wortmeldungen und Beschimpfungen" der Ehefrau begründet wurde, welche ohne Tonaufnahmen kaum belegbar gewesen wären.

    Das Verhalten der Ehefrau war dem Begriff "Psychoterror" jedoch (noch) nicht zuzuordnen. Das Interesse der Ehefrau, dass ihre gesprochenen Worte in den eigenen vier Wänden nicht aufgenommen werden, ist sehr hoch. Die Anfertigung der Tonbandaufnahmen war datenschutzrechtlich unzulässig, weil das Geheimhaltungsinteresse der Ehefrau überwog.

Rechtsanwalt, Rechtsdurchsetzung, berechtigtes Interesse

BVwG 30.09.2024, W256 2248861-1

  • Ein Ehemann fertigte mit einer im Garten des Hauses seiner Ehefrau montierten Kamera Fotos an, die sie bei intimen Handlungen mit einem anderen Mann zeigten. Im Rahmen der Korrespondenz zur Vorbereitung auf die Scheidung vermutete die Ehefrau, ihr Mann hätte noch Zugriff auf die Kamera und verlangte über ihren Rechtsvertreter die Herausgabe von angefertigten Fotos. Die Fotos wurden vom Rechtsvertreter des Ehemanns in einer ZIP-Datei per Mail an den Rechtsvertreter der Ehefrau übermittelt. Nach Ansicht der Ehefrau erfolgte die Verarbeitung der Fotos ohne ihre Einwilligung und die Übermittlung durch den Rechtsvertreter ohne geeignete Schutzmaßnahmen. Wegen der Verletzung ihres Rechts auf Geheimhaltung brachte sie Datenschutzbeschwerde bei der DSB ein. Gegen den abweisenden Bescheid brachte sie Bescheidbeschwerde beim BVwG ein, welches diese abwies.

    Das BVwG hat erwogen: Rechtsanwälte sind nach § 9 Abs 1 RAO in der Ausübung ihres Mandats unabhängig und entscheiden über Zwecke und Mittel der diesbezüglichen Datenverarbeitung selbst. Sie sind eigenständige Verantwortliche iSd Art 4 Z 7 DSGVO.

    Der Anspruch auf Geheimhaltung gemäß § 1 Abs 1 DSG kann gemäß § 1 Abs 2 DSG nur durch eine Datenverarbeitung eingeschränkt werden, die rechtmäßig ist und in der gelindesten zum Ziel führenden Art vorgenommen wird. Die in der DSGVO verankerten Grundsätze sind bei der Auslegung des Rechts auf Geheimhaltung zu berücksichtigen. Das Prinzip der Datenminimierung in Art 5 Abs 1 lit c DSGVO sieht eine Beschränkung der Datenverarbeitung auf das notwendige Maß vor. Eine Datenverarbeitung ist dann nicht notwendig, wenn die Verarbeitung der Daten weggedacht, die Zweckerreichung dabei aber nicht erschwert wird.

    Eine Verarbeitung nach Art 6 Abs 1 lit f DSGVO ist zulässig, wenn diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen des Betroffenen nicht überwiegen. Die Interessen des Betroffenen überwiegen insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen der Betroffene nicht mit einer Verarbeitung rechnen muss.

    Die Verfolgung, Durchsetzung und Verteidigung von Rechtsansprüchen gemäß Art 9 Abs 2 lit f DSGVO ist ein von der DSGVO anerkanntes, berechtigtes Interesse. Darunter fallen auch Datenverarbeitungen zur außergerichtlichen Geltendmachung von Ansprüchen. Der Erlaubnistatbestand ist ein Sonderfall des berechtigten Interesses und erlaubt auch die Verarbeitung sensibler Daten. Die effektive Rechtsdurchsetzung des Einzelnen hat Vorrang vor den Interessen betroffener Personen am Schutz ihrer Daten.

    Die Datenverarbeitung erfolgte im Zuge außergerichtlicher Scheidungsverhandlungen über Begehren der Ehefrau. Der Rechtsanwalt des Ehemanns handelte bei der Übermittlung sämtlicher Fotos im Sinne seines Mandanten zum Zweck der Rechtsverteidigung. Durch das Anfordern des gesamten Bildmaterials war es erforderlich alle Daten zu übermitteln. Da von einer Bildverarbeitung im Aufforderungsschreiben ausgegangen wurde, konnte die Datenverarbeitung auch nicht überraschend sein. Die vorzunehmende Interessenabwägung geht daher zu Gunsten des Rechtsanwaltes aus.

Rechtsprechung des BFG

Aus der Rechtsprechung des BFG:

  • Eine den Verfahrensgesetzen entsprechende Verwendung personenbezogener Daten, auch wenn es sich um Gesundheitsdaten handelt, ist grundsätzlich auch aus datenschutzrechtlicher Sicht zulässig (BFG 26.09.2024, RV/5101151/2020).

Rechtsprechung der BDB

Aus der Rechtsprechung der BDB:

  • Die nur für dienstliche Belange bestehende rechtliche Erlaubnis, das Grundrecht auf Datenschutz (§ 1 DSG) zu durchbrechen, wird von einem Beamten dann missbräuchlich in Anspruch genommen, wenn eine Datenbankabfrage ohne dienstliche Rechtfertigung erfolgt. Nach der Rechtsprechung des OGH führt der Befugnismissbrauch bei deliktspezifischem Schädigungsvorsatz zu einer strafrechtlichen Verantwortlichkeit nach § 302 Abs 1 StGB (Amtsmissbrauch), ohne dass an sich ein tatsächlicher Schadenseintritt erforderlich wäre. Durch den OGH wird bereits in der Verletzung des Grundrechts auf Datenschutz durch eine missbräuchliche Datenermittlung die konkrete Schädigung des Betroffenen/der Betroffenen erblickt (BDB 30.09.2024, 2024-0.266.730; 17.10.2024, 2023-0.246.270; 21.10.2024, 2022-0.607.066)


EU-Rechtsakte

  • Am 18.11.2024 ist "Richtlinie (EU) 2024/2853 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über die Haftung für fehlerhafte Produkte und zur Aufhebung der Richtlinie 85/374/EWG des Rates", ABl L 2024/2853, 1, kundgemacht worden. Die Richtlinie legt Vorschriften über die Haftung von Wirtschaftsakteuren für Schäden, die natürlichen Personen durch fehlerhafte Produkte entstanden sind, fest. Unter "Produkte" sind auch "digitale Konstruktionsunterlagen" und in Produkte integrierte digitale Dienste zu verstehen.
  • Am 20.11.2024 ist die "Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung)", ABl L 2024/2847, 1, kundgemacht worden. Die Verordnung beinhaltet Vorschriften zur Gewährleistung der Cybersicherheit von Produkten mit digitalen Elementen.


Nationale Rechtsakte

  • Am 21.11.2024 hat das Bundesland Niederösterreich, LGBl 2024/65, die Etablierung einer gebietskörperschaftenübergreifenden Transparenzdatenbank (Transparenzportal) verlautbart.


Vorschau EuGH-Rechtsprechung

  • Am 28.11.2024 wird das Urteil in der Rs C-169/23, Másdi, veröffentlicht. Der EuGH wird Fragen zur Informationspflicht bei generierten Daten gemäß Art 14 Abs 5 DSGVO beantworten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.
  • Am 28.11.2024 wird eine mündliche Verhandlung vor dem EuGH in der Rs C-57/23, Policejní prezidium, stattfinden. Gegenstand des Verfahrens sind Identifizierungsmaßnahmen durch Sicherheitsbehörden.
  • Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.
  • Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of János Böszörményi
János Böszörményi
Photo of Florian Terharen
Florian Terharen
Photo of Denise Stahleder
Denise Stahleder
Photo of Philipp John
Philipp John
Photo of Christian Kracher
Christian Kracher
Person photo placeholder
Anna Maria Gidwani
Person photo placeholder
Gamze Turan
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More