ARTICLE
9 December 2024

To The Point: Datenschutzmonitor 48/2024

SA
Schoenherr Attorneys at Law

Contributor

Schoenherr Attorneys at Law logo
We are a full-service law firm with a footprint in Central and Eastern Europe providing local and international companies stellar advice. As the go-to legal advisor for complex commercial matters in the region, Schoenherr aims to use its proximity to industry leaders, in developing practical solutions for future challenges. We keep a close eye on trends and developments, which enables us to provide high quality legal advice that is straight to the point.
Willkommen zu unserem wöchentlichen Datenschutz-Update. Mit diesem wöchentlichen Newsletter wollen wir eine kurze und aktuelle Rechtsprechungsübersicht für das Datenschutzrecht...
Austria Privacy

Willkommen zu unserem wöchentlichen Datenschutz-Update. Mit diesem wöchentlichen Newsletter wollen wir eine kurze und aktuelle Rechtsprechungsübersicht für das Datenschutzrecht schaffen. Erfasst wird die relevante Rechtsprechung in Österreich und auf europäischer Ebene. Neben der kurzen Zusammenfassung der einzelnen Entscheidungen zeigt der Datenschutzmonitor die Entwicklung von Rechtsprechungslinien auf.

>> Registrieren Sie sich, um wöchentliche Updates in Ihr Email-Postfach zu erhalten! <<

In der vergangenen Woche wurden die nachstehenden Entscheidungen und Rechtsakte veröffentlicht:

  • Rechtsprechung des EGMR

    EGMR 28.11.2024, 31091/16, Csikos/Ungarn (Telefonüberwachung, Journalismus)
  • Rechtsprechung des EuGH

    EuGH 28.11.2024, C‑169/23, Masdi (Informationspflicht, Ausnahme, Datenquelle, Datengenerierung)

    EuGH 28.11.2024, C-80/23, Ministerstvo (DSRL-PJ 2016/680, biometrische und genetische Daten)

  • Rechtsprechung des VwGH

    VwGH 31.10.2024, Ra 2022/04/0145 (Mandatsbescheid, Vorstellungsbescheid, Revision)

  • Rechtsprechung des BVwG

    BVwG 13.09.2024, W298 2274626-1 (reCAPTCHA, Cookies, berechtigtes Interesse)

    BVwG 05.09.2024, W211 2291307-1 (Smart Meter, Vertragserfüllung, Koppelungsverbot, Transparenz)

    BVwG 17.09.2024, W298 2295130-1 (Geldbuße, Mitwirkung, Selbstbezichtigung)

    BVwG 30.09.2024, W108 2285483-1 (Geldbuße, Videoüberwachung, Kennzeichnung)

    BVwG 17.10.2024, W274 2291368-1 (Datenschutzbehörde, AuskunftspflichtG, amtswegige Verfahren)

    BVwG 16.10.2024, W287 2258171-1 (Beipackwerbung)

    BVwG 05.11.2024, W292 2247063-1 (Bonitätsdaten, Aufbewahrung)

    BVwG 13.09.2024, W298 2277035-1 (Erforderlichkeit, Datenminimierung)

    BVwG 23.09.2024, W274 2286029-1 (Recht auf Geheimhaltung, Einschreiben, Auftragsverarbeiter)

    BVwG 23.09.2024, W274 2265096-1 (veröffentlichte Daten)

    BVwG 07.10.2024, W271 2294874-1 (Cold Calling)

    BVwG 31.10.2024, W258 2253618-1 (Bundesheer)

    BVwG 24.10.2024, W603 2301338-1 (Zuständigkeit, ORF-Beitrag)

    BVwG 03.10.2024, I415 2296585-1 (Zuständigkeit, ORF-Beitrag)

    BVwG 06.11.2024, W292 2284079-1 (mündliche Verkündung, gekürzte Ausfertigung)

    BVwG 06.11.2024, W214 2261322-1 (COVID-Impferinnerungsschreiben, Aussetzung)

    BVwG 06.11.2024, W252 2259204-2 (Wiederaufnahmewerber, Obsorge)

    BVwG 30.10.2024, W108 2281992-1; 11.11.2024, W101 2281202-1 (Zurückziehung der Bescheidbeschwerde)

  • EU-Rechtsakte

    DurchführungsVO 2024/2916 (Telekommunikation, NIICS)

    DurchführungsVO 2024/2545 (Kryptowerte)

  • Nationale Rechtsakte

    14. Änderung der FinanzOnline-Verordnung

  • Vorschau EuGH-Rechtsprechung

To the Point:

Rechtsprechung des EGMR

EGMR 28.11.2024, 31091/16, Csikos/Ungarn

Telefonüberwachung, Journalismus

  • Im Zuge verdeckter Ermittlungen gegen einen Polizeibeamten sollen Telefongespräche zwischen ihm und einer Journalistin abgehört worden sein. Die Abhörmaßnahmen wurden auf eine Bestimmung des ungarischen Polizeigesetzes gestützt, die in dringenden Ausnahmefällen eine Überwachungsmaßnahme ohne vorherige Genehmigung eines Richters erlaubte. Die Überwachungsmaßnahme sei jedoch nicht, wie gesetzlich vorgesehen, nachträglich von einem Richter genehmigt worden, die Daten der Journalistin seien nicht gelöscht worden und sie sei auch nicht benachrichtigt worden. Nachdem sich die Journalistin, die eine Offenlegung ihrer journalistischen Quellen befürchtete, erfolglos an mehrere Behörden wandte, beschwerte sie sich schließlich beim EGMR über das Abhören ihrer Telefongespräche. Der EGMR stellte eine Verletzung des Art 8 und 10 EMRK fest und sprach der Journalistin eine Entschädigung iHv EUR 6.500 zu.

    Der EGMR hat erwogen: Das Abhören von Telefongesprächen ist ein Eingriff in das Recht auf Achtung des Privat- und Familienlebens. Ein solcher Eingriff ist nur dann zulässig, wenn er gesetzmäßig ist, eines oder mehrere der in Art 8 Abs 2 EMRK genannten Ziele verfolgt und in einer demokratischen Gesellschaft erforderlich ist.

    Das Kriterium der Erforderlichkeit setzt angemessene und wirksame Schutzmaßnahmen gegen Missbrauch voraus. Der Schutz journalistischer Quellen zählt zu den tragenden Säulen der Pressefreiheit und ist ein hohes Gut in einer Demokratie. Die involvierten Behörden befassten sich mit der Beschwerde der Journalistin nur peripher. Auf die Frage, ob das Abhören der Telefongespräche stattfand und wenn ja, ob dieses im Hinblick auf die journalistische Tätigkeit rechtmäßig erfolgte, gingen die Behörden nicht ein.

    Die einschlägige Bestimmung im ungarischen Polizeigesetz differenzierte nicht danach, ob eine Überwachung vertrauliche journalistische Quellen betrifft oder nicht. Auch verlangte die Bestimmung keine Abwägung der mit der Anwendung geheimer Überwachungsmaßnahmen verfolgten Ziele gegen die Folgen des Abhörens des Telefons eines Journalisten. Im Ergebnis waren keine ausreichenden Verfahrensgarantien vorhanden, damit die Journalistin den angeblichen Einsatz geheimer Überwachung zur Ermittlung ihrer journalistischen Quellen wirksam anfechten hätte können.

Rechtsprechung des EuGH

EuGH 28.11.2024, C-169/23, Masdi

Informationspflicht, Ausnahme, Datenquelle, Datengenerierung

  • Eine Betroffene erhielt von einer ungarischen Behörde ein Covid-19-Immunitätszertifikat, ohne über die Datenverarbeitung informiert zu werden. Die Behörde berief sich auf die Ausnahme von der Informationspflicht nach Art 14 Abs 5 lit c DSGVO, weil sie die Daten, basierend auf einer ungarischen Verordnung, von einer anderen Stelle erhalten habe. Das vorlegende Gericht stellte dem EuGH mehrere Fragen zu dieser Ausnahme von der Informationspflicht.

    Der EuGH hat erwogen: Art 14 DSGVO bestimmt, welche Informationen der Verantwortliche der Betroffenen zur Verfügung stellen muss, wenn die personenbezogenen Daten nicht bei dieser erhoben wurden. Art 14 Abs 5 lit c DSGVO sieht eine Ausnahme von der Informationspflicht vor, sofern die Erlangung oder Offenlegung von Informationen durch Rechtsvorschriften der Union oder der Mitgliedstaaten, die geeignete Maßnahmen zum Schutz der berechtigten Interessen der Betroffenen vorsehen, ausdrücklich geregelt sind.

    Die Ausnahmeregelung des Art 14 Abs 5 lit c DSGVO betrifft unterschiedslos alle personenbezogenen Daten, die der Verantwortliche nicht unmittelbar bei der Betroffenen erhoben hat. Dies gilt unabhängig davon, ob der Verantwortliche diese Daten von einer anderen Person als der Betroffenen erlangt hat oder er die Daten selbst im Rahmen der Erfüllung seiner Aufgaben erzeugt hat.

    Eine Beschwerde nach Art 77 Abs 1 DSGVO kann auf eine Verletzung der Informationspflicht durch den Verantwortlichen gestützt werden, die sich aus der Nichtbeachtung der Voraussetzungen für die Anwendung der in Art 14 Abs 5 lit c DSGVO vorgesehenen Ausnahme ergibt. Die Aufsichtsbehörde muss prüfen, ob nationales Recht oder Unionsrecht die Datenverarbeitung erlaubt und ein gleichwertiges Schutzniveau wie Art 14 Abs 1 bis 4 DSGVO gewährleistet. Die Regelungen müssen klar sein und den Betroffenen ermöglichen, ihre Rechte wahrzunehmen. Insb müssen diese Vorschriften die Quelle angeben, aus der die Betroffenen Informationen über die Datenverarbeitung erhalten.

    Im Rahmen eines Beschwerdeverfahrens darf die Aufsichtsbehörde daher prüfen, ob das nationale Recht geeignete Maßnahmen zum Schutz der berechtigten Interessen der Betroffenen vorsieht. Diese Prüfung betrifft jedoch nicht die Geeignetheit der Maßnahmen, zu deren Durchführung der Verantwortliche nach Art 32 DSGVO verpflichtet ist, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Anm: Die Zusammenfassung der Schlussanträge kann in der 23. Ausgabe des Schönherr Datenschutzmonitors vom 12.06.2024 nachgelesen werden.

EuGH 28.11.2024, C-80/23, Ministerstvo

DSRL-PJ 2016/680, biometrische und genetische Daten

  • Zur Beantwortung eines Vorabentscheidungsersuchens entschied der EuGH, dass die Erhebung von biometrischen und/oder genetischen Daten von Beschuldigten im Rahmen eines Strafverfahrens auch zwangsweise zulässig ist, sofern das nationale Recht nachgelagert eine wirksame gerichtliche Kontrolle der Bewilligung zur Erhebung dieser Daten gewährleistet. Das nationale Gericht hat insb zu prüfen, ob die Beurteilung der "unbedingten Erforderlichkeit" der Erhebung sowohl biometrischer als auch genetischer Daten der Betroffenen durch die zuständige Behörde sichergestellt ist (EuGH 26.01.2023, C‑205/21, Ministerstvo na vatreshnite).

    Im Rahmen des nationalen Verfahrens, auf dem dieses Urteil beruhte, legte das zuständige bulgarische Gericht weitere Fragen zur Vorabentscheidung vor.

    Der EuGH hat erwogen: Die zuständige Behörde muss die unbedingte Erforderlichkeit der Erhebung der biometrischen und genetischer Daten überprüfen und nachweisen. Das nationale Gericht kann die Einhaltung dieser Verpflichtung nicht sicherstellen, weil es Sache der zuständigen Behörde ist, die nach Art 10 Richtlinie 2016/680 (DSRL-PJ) erforderliche Beurteilung vorzunehmen. Nationale Rechtsvorschriften, die keine Verpflichtung der zuständigen Behörde vorsehen, die unbedingte Erforderlichkeit der Erhebung biometrischer und genetischer Daten zu überprüfen und nachzuweisen, verstoßen gegen Art 10 der DSRL-PJ. Anm: Die Zusammenfassung der Schlussanträge kann in der 24. Ausgabe des Schönherr Datenschutzmonitors vom 19.06.2024 nachgelesen werden.

Rechtsprechung des VwGH

Aus der Rechtsprechung des VwGH:

  • Bei Gefahr in Verzug darf die DSB eine Datenverarbeitung mit Mandatsbescheid untersagen (§ 22 Abs 4 DSG iVm § 57 Abs 1 AVG). Gegen den Mandatsbescheid kann Vorstellung bei der DSB erhoben werden. Prozessgegenstand des Vorstellungsverfahrens ist der Mandatsbescheid, der durch den Vorstellungsbescheid ersetzt wird. Die Formulierung "wie noch im Detail ausgeführt wird" in der Amtsrevision der DSB genügt dem Erfordernis nicht, die Zulässigkeitsbegründung der Revision gesondert auszuführen (VwGH 31.10.2024, Ra 2022/04/0145).

Rechtsprechung des BVwG

BVwG 13.09.2024, W298 2274626-1

reCAPTCHA, Cookies, berechtigtes Interesse

  • Auf einer Parteiwebsite verwendeten zwei Websitebetreiber den Google-Dienst reCAPTCHA. Verwendet wurde eine "unsichtbare" Version von reCAPTCHA, die auf einer Website nicht gleich erkannt werden kann. Das Cookie blieb für die Unterseiten der Website aktiv, auch wenn es beim Öffnen der Website deaktivierte wurde. Über die weitere Verwendung des Cookies wurde auf der Website nicht informiert und auch keine Einwilligung eingeholt. Ein Websitebesucher fühlte sich durch diese Websiteeinstellungen in seinem Recht auf Geheimhaltung verletzt und brachte eine erfolgreiche Datenschutzbeschwerde bei der DSB ein. Dagegen erhoben die Websitebetreiber Bescheidbeschwerde an das BVwG, welches diese abwies.

    Das BVwG hat erwogen: Der Betrieb einer Website ist ein Dienst der Informationsgesellschaft gemäß § 3 Z 1 ECG und Art 4 Z 25 DSGVO. IP-Adressen sind unabhängig davon, ob sie dynamisch oder statisch sind, personenbezogene Daten. Sobald mit zusätzlichen Daten die Identifizierung eines Nutzers ermöglicht wird, liegt ein Personenbezug gemäß Art 4 Z 1 DSGVO vor. Das von reCAPTCHA gesetzte Cookie ermöglicht die Identifizierbarkeit eines Nutzers und ermöglicht es, Besucher einer Website zu unterscheiden. Durch die übermittelten Informationen kann von Nutzern ein "digitaler Fingerabdruck" generiert werden.

    Der Begriff "Verantwortlicher" in Art 4 Z 7 DSGVO ist weit definiert und erfasst jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Mehrere Akteure können auch gemeinsam für eine Datenverarbeitung verantwortlich sein. Eine Person, die aus Eigeninteresse auf die Zwecke und Mittel der Verarbeitung Einfluss nimmt, kann Verantwortliche sein.

    Die Websitebetreiber betreiben die Website zum Zweck, andere Menschen über die Partei zu informieren und um weitere Parteimitglieder zu rekrutieren. Sie nehmen dabei aus Eigeninteresse auf die Verarbeitungen personenbezogener Daten Einfluss und legen die Mittel der Verarbeitung fest. Zusätzlich sind beide Websitebetreiber im Impressum als Medieninhaber nach § 25 MedienG genannt.

    Eine Einwilligung ist jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt. Die Einwilligung für die Speicherung von Cookies muss mit einem aktiven Verhalten erfolgen und darf nicht vermutet werden. Wenn eine echte Wahlfreiheit fehlt, ist die Einwilligung nicht freiwillig. Wenn Websitebesucher nicht über die Verwendung von reCAPTCHA informiert werden, können sie in die Datenverarbeitung nicht wirksam einwilligen.

    Die Verarbeitung personenbezogener Daten gemäß Art 6 Abs 1 lit f DSGVO ist zulässig, sofern sie zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der Betroffenen, nicht überwiegen.

    Ein berechtigtes Interesse kann nur dann vorliegen, wenn der Verantwortliche den Betroffenen über das verfolgte Interesse informiert hat. Da dies nicht erfolgte, war die Datenverarbeitung rechtswidrig.

    Cookies, die vom Google-Dienst reCAPTCHA gesetzt werden, sind für den Betrieb einer Website technisch nicht erforderlich, weshalb kein berechtigtes Interesse zur Nutzung besteht und eine ausdrückliche Einwilligung des Websitebesuchers einzuholen gewesen wäre.

BVwG 05.09.2024, W211 2291307-1

Smart Meter, Vertragserfüllung, Koppelungsverbot, Transparenz

  • Ein Hausbewohner fühlte sich durch den Einbau eines digitalen Stromzählers (Smart Meter) in seinem Recht auf Geheimhaltung verletzt. Dagegen brachte er Datenschutzbeschwerde bei der DSB ein. Der Hausbewohner brachte vor, der Smart Meter verarbeite permanent bei systemerhaltenden oder systemüberwachenden Tätigkeiten Daten. Dies sei vom – vor längerer Zeit abgeschlossenen – Nutzungsvertrag nicht gedeckt. Der Vertragszweck könne auch durch einen analogen Stromzähler erreicht werden. Der Netzbetreiber stützte sich auf die Vertragserfüllung und konfigurierte den Smart Meter entsprechend dem Wunsch des Hausbewohners in der "Opt-Out"-Konfiguration, bei der nur einmal im Jahr der Stromverbrauch abgelesen wird.

    Die DSB wies die Datenschutzbeschwerde ab und führte aus, dass es sich bei Einbau und Inbetriebnahme eines Smart Meters mit "Opt-Out"-Konfiguration um keine Datenverarbeitung handelt. Dagegen erhob der Hausbewohner (erfolglose) Bescheidbeschwerde an das BVwG.

    Das BVwG hat erwogen: Entsprechend dem Netznutzungsvertrag, der als Grundlage für die Verarbeitung der Daten dient, kann der Netzbetreiber selbst entscheiden, welche Art von Stromzähler er einsetzt. Der Stromverbrauch wird sowohl bei einem Smart Meter in der "Opt-Out"-Konfiguration als auch bei einem analogen Stromzähler einmal im Jahr ausgelesen. Das Auslesen des Verbrauchs erfolgt beim Smart Meter extern und bei einem analogen Gerät vor Ort. Die jährliche Übermittlung des Zählerstands dient zur Erfüllung des Netznutzungsvertrags gemäß Art 6 Abs 1 lit b DSGVO und ist dadurch gerechtfertigt. Der Einbau und auch die Inbetriebnahme eines Smart Meters sind keine Datenverarbeitungen. Eine Verletzung des Koppelungsverbots kann mangels einer eingeholten Einwilligung nicht vorliegen.

    Informationen zu den einzelnen Funktionen des Routers oder zu gesundheitlichen Gefahren durch den Smart Meter sind keine zu erteilenden Informationen nach Art 13 DSGVO. Die Nichtaushändigung der Bedienungsanleitung eines Smart Meters kann nicht nach der DSGVO gerügt werden und ist keine Verletzung des Transparenzgebots.

BVwG 17.09.2024, W298 2295130-1

Geldbuße, Mitwirkung, Selbstbezichtigung

  • Die DSB forderte eine im Bereich der Personalservice tätige Gesellschaft in einem Verwaltungsverfahren zur Mitwirkung auf. Die Gesellschaft beantwortete die behördliche Aufforderung trotz nachweislicher Zustellung nicht. Weiters wirkte sie auch im anschließenden Verwaltungsstrafverfahren an der Aufklärung des Tathergangs nicht mit. Darüber hinaus machte sie keine Angaben zu ihren Einkommens- und Vermögensverhältnissen.

    Die DSB verhängte wegen Verletzung der Mitwirkungspflicht gemäß Art 31 DSGVO eine Geldstrafe iHv EUR 1.500. Aufgrund der Bescheidbeschwerde der Gesellschaft setzte das BVwG diese Geldstrafe auf EUR 500 herab.

    Das BVwG hat erwogen: Eine Verletzung der Mitwirkungspflicht liegt vor, wenn die Aufforderung zur Stellungnahme der DSB nicht rechtzeitig, fristgerecht oder innerhalb einer angemessenen Frist beantwortet wird, ohne dass ein bestimmter Erfolg erforderlich ist. Die Bestimmung des Art 31 DSGVO legt dem Verantwortlichen verwaltungsverfahrensrechtliche Kooperationslasten auf. Die Vorschrift drängt den Amtsermittlungsgrundsatz ein Stück weit zurück. Neben der Pflicht zur Kooperation verlangt sie dem Adressaten ein aktives Tun ab.

    Der Grundsatz der Selbstbelastungsfreiheit ist nicht verletzt, solange mit einer Information kein unmittelbares Schuldeingeständnis verbunden ist. Die Mitwirkungspflicht begründet keinen Verstoß gegen Art 6 EMRK (nemo tenetur Prinzip), weil die initiale Ermittlung des Sachverhalts in einem vorgelagerten datenschutzrechtlichen Verfahren erfolgt. Weiters liegt ein Verstoß gegen Art 6 EMRK nur dann vor, wenn eine Selbstauskunft die Gefahr einer (verwaltungs-)strafrechtlichen Verfolgung birgt und einer Selbstbezichtigung gleichkommt. Das Verweigern jeglicher Kommunikation mit der DSB ist damit vor allem iZm dem Verhältnismäßigkeitsgrundsatz des Art 52 Abs 1 S 2 GRC und der Eignung, Erforderlichkeit und Angemessenheit der konkreten Frage nicht umfasst.

    Gemäß Art 58 Abs 2 lit i DSGVO sind Aufsichtsbehörden befugt, eine Geldbuße gemäß Art 83 DSGVO "zusätzlich zu oder anstelle von" anderen in Art 58 Abs 2 DSGVO genannten Abhilfebefugnissen wie die Befugnis zur Erteilung von Warnungen, Verwarnungen oder Anweisungen zu verhängen. Darüber hinaus ist es Aufsichtsbehörden gestattet, im Fall eines geringfügigeren Verstoßes, oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, von der Verhängung einer Geldbuße abzusehen und stattdessen eine Verwarnung zu erteilen. Jedoch kann das gänzliche Unterlassen jeglicher Mitwirkung an der Aufklärung eines Sachverhalts nicht als geringfügiger Verstoß angesehen werden.

    Die Strafe scheint in Anbetracht dessen, dass die Schuld als gering anzusehen ist und die Gesellschaft den Aufforderungen der Behörde schließlich doch, wenn auch erheblich verspätet, nachgekommen ist, in der vorgesehenen Höhe nicht zweckmäßig. Es handelte sich auch um den ersten einschlägigen Verstoß der Gesellschaft.

BVwG 30.09.2024, W108 2285483-1

Geldbuße, Videoüberwachung, Kennzeichnung

  • Die DSB erhielt eine anonyme Anzeige, dass ein Restaurantbetreiber an der straßenseitigen Fassade Kameras installiert habe, welche den öffentlichen Straßenraum filmten. Die DSB leitete daraufhin ein amtswegiges Prüfverfahren gegen den Restaurantbetreiber ein. Der Restaurantbetreiber gab an, die Kameras wegen wiederholter Fensterschäden angebracht zu haben, und legte Unterlagen iZm Einbrüchen und Sachschäden vor. Die DSB stellte einen Verstoß gegen die DSGVO fest und leitete ein Verwaltungsstrafverfahren ein. Die DSB stellte mit Straferkenntnis fest, dass die Kameras öffentliche Straßen erfassten und damit unrechtmäßig personenbezogene Daten verarbeitet wurden. Weiters stellte die DSB einen Verstoß gegen die Informationspflichten gemäß Art 13 DSGVO fest, weil die Kameras nicht gekennzeichnet waren. Aufgrund dieser Verstöße wurde eine Geldstrafe iHv EUR 4.125 verhängt. Über Bescheidbeschwerde des Restaurantbetreibers setzte das BVwG die Geldstrafe auf EUR 1.000 herab.

    Das BVwG hat erwogen: Der Restaurantbetreiber brachte ein rechtfertigendes Interesse iSd Art 6 Abs 1 lit f DSGVO vor, weil die Überwachung dem Schutz des Eigentums dienen sollte. Allerdings war der Aufnahmebereich der Kameras überschießend groß gewählt, weil der Kamerawinkel so hätte eingestellt werden können, dass ein kleinerer Bereich des öffentlichen Raums erfasst wird. Da die Geheimhaltungsinteressen der Betroffenen – der zufällig am Restaurant vorbeikommenden Verkehrsteilnehmer – überwiegen, kann sich der Restaurantbetreiber nicht auf Art 6 Abs 1 lit f DSGVO stützen. Der Restaurantbetreiber hat, entgegen seiner Annahme, durch die Videoüberwachung personenbezogene Daten erhoben. Ein an der Glastür des Restaurants angebrachter Hinweisaufkleber über die Videoüberwachung ändert nichts an der Unzulässigkeit der Datenverarbeitung und entspricht zudem nicht den Informationspflichten gemäß Art 12 und 13 DSGVO.

    Die Strafbemessung ist eine Einzelfallentscheidung, bei der die Bewertungskriterien des Art 83 Abs 2 DSGVO zu berücksichtigen sind. Da die Videoüberwachung einen erheblichen Teil des öffentlichen Grunds umfasste, handelt es sich jedenfalls um eine erhebliche Anzahl der von der Verarbeitung Betroffenen. Allerdings erstreckte sich der Zeitraum der Überwachung auf weniger als einen Monat und den Betroffenen entstand kein konkreter Schaden. Weiters ist zu berücksichtigen, dass ein (wenn auch unzureichender) Hinweis über die Videoüberwachung vorhanden war. Da der Restaurantbetreiber bisher unbescholten war und Einsicht zeigte, sich nicht ganz rechtskonform verhalten zu haben, ist eine Geldstrafe iHv EUR 1.000 schuld- und tatangemessen.

BVwG 17.10.2024, W274 2291368-1

Datenschutzbehörde, AuskunftspflichtG, amtswegige Verfahren

  • Eine Lehrerin stellte fest, dass ihre personenbezogenen Daten in einer von der Verantwortlichen angebotenen App verarbeitet wurden. Daraufhin erhob die Lehrerin eine Datenschutzbeschwerde bei der DSB und machte eine Verletzung der Informationspflichten gemäß Art 14 DSGVO geltend. Die Verantwortliche berief sich auf den Ausnahmetatbestand des Art 14 Abs 5 lit b DSGVO, weil die unmittelbare Kontaktaufnahme mit sämtlichen Lehrern einen unverhältnismäßigen Aufwand erfordern würde. Zudem habe sie die Datenschutzerklärung in der App und auf ihrer Website öffentlich zugänglich gemacht.

    Die DSB wies die Datenschutzbeschwerde ab, weil alle festgestellten Mängel im Verlauf des Verfahrens behoben worden seien. Der objektive Verstoß gegen Art 14 DSGVO sei in einem amtswegigen Prüfverfahren gemäß Art 58 Abs 1 lit b DSGVO aufzugreifen. Nachdem das BVwG die von der Lehrerin eingebrachte Bescheidbeschwerde abwies, erhob die Lehrerin gegen das Erkenntnis des BVwG eine ordentliche Revision. Nach einer Revisionsbeantwortung der DSB, in welcher erneut auf die amtswegige Prüfung gemäß Art 58 Abs 1 lit b DSGVO hingewiesen wurde, stellte die Lehrerin eine Anfrage an die DSB. Sie wollte wissen, ob wegen des Verstoßes gegen Art 14 DSGVO ein amtswegiges Prüfverfahren oder ein Verwaltungsstrafverfahren eingeleitet wurde und welche Ergebnisse bislang vorlagen.

    Die DSB verweigerte die Auskunft mit der Begründung, dass der Verfasser einer Meldung oder eine dritte Person keine Parteistellung in einem amtswegigen Prüf- oder Verwaltungsstrafverfahren habe und daher nicht über den Ausgang solcher Verfahren unterrichtet werde. Nachdem die Lehrerin die Erlassung eines Bescheids gemäß § 4 Auskunftspflichtgesetz (AuskunftspflichtG) beantragte, entschied die DSB in ihrem Bescheid, dass kein berechtigtes Interesse der Lehrerin an der begehrten Auskunft vorliege und das Geheimhaltungsinteresse der Verantwortlichen überwiege. Daher wurde die Auskunft verweigert. Gegen diesen Bescheid erhob die Lehrerin eine (teilweise erfolgreiche) Bescheidbeschwerde an das BVwG.

    Das BVwG hat erwogen: Behörden des Bundes sind gemäß § 1 AuskunftspflichtG verpflichtet, über Angelegenheiten ihres Wirkungsbereichs Auskunft zu erteilen, sofern dem keine gesetzliche Verschwiegenheitspflicht entgegensteht. Bei Auskunftsersuchen von Personen, die nicht Partei eines Verfahrens sind, ist eine Interessenabwägung mit dem Recht auf Geheimhaltung gemäß § 1 DSG vorzunehmen. Dabei muss das Interesse des Auskunftswerbers an der Auskunftserteilung das Interesse des im Verfahren Beschuldigten an der Geheimhaltung überwiegen. Dem Interesse der Lehrerin, nähere Auskunft über amtswegige Prüf- und/oder Verwaltungsstrafverfahren zu erhalten, steht das Geheimhaltungsinteresse der Verantwortlichen gegenüber.

    Für die Lehrerin sind diese Auskünfte auch im Hinblick auf mögliche weitergehende Ansprüche, wie Unterlassungs- oder Schadenersatzansprüche, relevant. Berücksichtigt man den Umstand, dass die DSB der Lehrerin selbst Hinweise auf mögliche Umstände lieferte, die für die Einleitung eines amtswegigen Prüfverfahrens und eines Verwaltungsstrafverfahrens sprechen könnten, überwiegt das Interesse der Lehrerin an der Beantwortung der Fragen, ob derartige Verfahren eingeleitet wurden, gegenüber dem Interesse der Verantwortlichen. Die Bekanntgabe, ob ein Verfahren eingeleitet wurde, ist keine wesentliche Gefahr für eine öffentliche Diskreditierung.

    Über Ergebnisse der Verfahren dürfen hingegen keine Informationen offengelegt werden, wenn die jeweiligen Verfahren noch nicht abgeschlossen sind. Zudem kämen Informationen über Ergebnisse der Verfahren einer Akteneinsicht gleich, die ausschließlich Verfahrensparteien vorbehalten ist.

Aus der weiteren Rechtsprechung des BVwG:

  • Solange Werbemittel in noch unbefüllte, unetikettierte Kartons oder Kuverts zB auf einer Packstraße eines Versandhändlers beigelegt werden, findet keine Datenverarbeitung statt ("Beipackwerbung"). Dasselbe gilt auch für das Beilegen von Werbemitteln nach dem Befüllen mit der zu versendenden Ware, sofern das Werbemittel allen und nicht nur einer vorselektierten Auswahl von Adressaten beigelegt wird. Eine Datenverarbeitung findet jedoch statt, wenn die Empfänger des beizulegenden Werbematerials aufgrund einer bestimmten Information über diese Empfänger ausgewählt werden (BVwG 16.10.2024, W287 2258171-1).
  • Die Daten des Begünstigten eines Sanierungsverfahrens dürfen von einer Kreditauskunftei so lange aufbewahrt werden, bis sie in der Insolvenzdatei gemäß § 256 IO öffentlich publiziert sind. Danach sind solche Daten des Begünstigten von der Kreditauskunftei zu löschen, weil die weitere Verarbeitung dieser Daten die Verwirklichung des Ziels, dem Begünstigten zu ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, gefährden würde (BVwG 05.11.2024, W292 2247063-1).
  • Die Voraussetzung der Erforderlichkeit der Datenverarbeitung ist gemeinsam mit dem Grundsatz der "Datenminimierung" zu prüfen, der verlangt, dass personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt" sind (BVwG 13.09.2024, W298 2277035-1).
  • Das Recht auf Geheimhaltung iSd § 1 Abs 1 DSG kann auch im Zuge einer nichtautomatisierten Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen (dh außerhalb des Anwendungsbereich der DSGVO), verletzt werden. Die Entgegennahme eines Einschreibens durch einen Auftragsverarbeiter, mit dem eine Vereinbarung zur Auftragsverarbeitung geschlossen wurde, ist jedoch rechtmäßig (BVwG 23.09.2024, W274 2286029-1).
  • Der Datenschutz für bereits veröffentlichte Daten unterscheidet sich grundsätzlich nicht vom Schutzumfang von sonstigen personenbezogenen Daten. Die Veröffentlichung einer Stellungnahme im Rahmen eines örtlichen Raumordnungsprogramms ist nicht zu beanstanden. Unzulässig ist jedoch die Veröffentlichung der Stellungnahme gemeinsam mit dem Namen des Einschreiters, auch wenn der Name des Einschreiters öffentlich verfügbar ist (BVwG 23.09.2024, W274 2265096-1).
  • Anrufe zu Werbezwecken sind ohne vorherige Einwilligung des Nutzers gemäß § 174 Abs 1 TKG 2021 unzulässig (Cold Calling). Eine Ausnahme von der Anwendbarkeit des § 174 Abs 1 TKG 2021 besteht nicht. Bereits der erstmalige Kontakt in Form der telefonischen Einholung der Einwilligung zu einem späteren Werbetelefonat ist als Anruf zu Werbezwecken zu qualifizieren und ist somit unzulässig (BVwG 07.10.2024, W271 2294874-1).
  • Die Prüfung der Frage, ob es bei der Führung eines datenschutzrechtlichen Beschwerdeverfahrens zu einer Datenschutzverletzung gekommen ist, ist keine Tätigkeit, die der Wahrung der nationalen Sicherheit dient. Eine Datenverarbeitung, die der datenschutzrechtlichen Kontrolle einer disziplinarrechtlichen Kontrolle (allenfalls) militärischen Handelns dient, fällt daher nicht in den Bereich der militärischen Landesverteidigung bzw der nationalen Sicherheit. Die DSGVO ist anzuwenden. Die verantwortliche Stelle nach dem Heeresdisziplinargesetz ist die Disziplinarbehörde (BVwG 31.10.2024, W258 2253618-1).
  • Die Regelungen des § 13 ORF Beitrags Gesetzes 2024 erscheinen dem BVwG sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt, weshalb auch die diesbezüglich gerügte Verfassungswidrigkeit nicht naheliegt. Zudem ist zum entsprechenden Beschwerdevorbringen darauf hinzuweisen, dass sich die Zuständigkeit des BVwG im Kontext datenschutzrechtlicher Anbringen gemäß § 27 Abs 1 DSG auf die Entscheidung über Bescheidbeschwerden gegen Bescheide der DSB beschränkt (BVwG 24.10.2024, W603 2301338-1).
  • Die Zuständigkeit des BVwG im Kontext mit datenschutzrechtlichen Anbringen beschränkt sich gemäß § 27 Abs 1 DSG auf die Entscheidung über Bescheidbeschwerden gegen Bescheide der DSB. Aus diesem Grund ist in einem Verfahren gegen einen Bescheid der ORF-Beitrags Service GmbH über datenschutzrechtliche Bedenken nicht abzusprechen (BVwG 03.10.2024, I415 2296585-1).
  • Findet eine Verhandlung in Anwesenheit von Parteien statt, ist das Erkenntnis idR mündlich zu verkünden. Wird von den Parteien auf Rechtsmittel verzichtet, kann das Erkenntnis in gekürzter Form ausgefertigt werden (BVwG 06.11.2024, W292 2284079-1).
  • Ein Verfahren kann nach § 34 VwGVG ausgesetzt werden, wenn bei einem Verwaltungsgericht in einer erheblichen Zahl von anhängigen oder zu erwartenden Verfahren eine Rechtsfrage zu lösen ist, die gleichzeitig in einem anhängigen Verfahren vor dem VwGH behandelt wird. Die Aussetzung dient dazu, die Funktionsfähigkeit des Verwaltungsgerichts bei einer großen Zahl gleichgelagerter Beschwerden zu gewährleisten, indem auf einen beim VwGH anhängigen "leading case" gewartet und so dessen Rechtsansicht eingeholt werden kann. Beim BVwG sind zum Themenkomplex "Impferinnerungsschreiben" über 750 Bescheidbeschwerden anhängig. Damit liegen die Voraussetzungen für die Aussetzung des Verfahrens vor (BVwG 06.11.2024, W214 2261322-1).
  • Wird die Bescheidbeschwerde wegen exzessiver Ausübung des Rechts iSd Art 57 Abs 4 DSGVO abgelehnt, hat der Wiederaufnahmewerber darzutun, dass die Entscheidung des BVwG hinsichtlich dieser Ablehnung der inhaltlichen Behandlung seiner Datenschutzbeschwerde anders gelautet hätte. Kommt dem Wiederaufnahmewerber mangels Obsorge keine Vertretungsbefugnis hinsichtlich seines minderjährigen Sohnes zu, fehlt ihm die Legitimation zum Erheben des Wiederaufnahmeantrags im Namen seines Sohnes (BVwG 06.11.2024, W252 2259204-2).
  • Die Bescheidbeschwerde kann in jeder Lage des Verfahrens vor dem BVwG zurückgezogen werden. Wird die Bescheidbeschwerde zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 30.10.2024, W108 2281992-1; 11.11.2024, W101 2281202-1).

EU-Rechtsakte

  • Am 26.11.2024 ist die "Durchführungsverordnung (EU) 2024/2916 der Kommission vom 25. November 2024 zur Festlegung eines Standardformulars für die Daten, die in dem Bericht über die Verarbeitung personenbezogener Daten enthalten sind, der von Dienstleistern gemäß der Verordnung (EU) 2021/1232 des Europäischen Parlaments und des Rates veröffentlicht und der zuständigen Aufsichtsbehörde und der Kommission vorgelegt wird", ABl L 2024/2916, 1, kundgemacht worden. Für die Anbieter nummernunabhängiger interpersoneller Kommunikationsdienste (NIICS) besteht eine vorübergehende Ausnahme von bestimmten Datenverarbeitungsverboten der ePrivacy RL 2002/58 zur Bekämpfung des sexuellen Missbrauchs von Kindern im Internet (VO 2021/1232). Die NIICS – darunter versteht man zB Anbieter von Internet-Sprachtelefonie, Messaging-Diensten und webgestützten E-Mail-Diensten – trifft eine Jahresberichtspflicht über ihre Datenverarbeitungstätigkeit zur Bekämpfung des sexuellen Missbrauchs von Kindern im Internet. Mit der DurchführungsVO 2024/2916 hat die Kommission ein Standardformular zum Erstellen dieses Jahresberichts festgelegt.
  • Am 26.11.2024 ist die "Durchführungsverordnung (EU) 2024/2545 der Kommission vom 24. September 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates im Hinblick auf Standardformulare, Muster und Verfahren für die Zusammenarbeit und den Informationsaustausch zwischen zuständigen Behörden", ABl L 2024/2545, 1, kundgemacht worden. Festgelegt werden technische Durchführungsstandards für die Behördenkooperation hinsichtlich der Regulierung der Märkte für Kryptowerte.

Nationale Rechtsakte

  • Am 27.11.2024 ist die "Verordnung des Bundesministers für Finanzen zur vierzehnten Änderung der FinanzOnline-Verordnung 2006", BGBl II 2024/325, kundgemacht worden. Neu geregelt wird ua die Teilnahme an FinanzOnline.

Vorschau EuGH-Rechtsprechung

  • Am 12.12.2024 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern.
  • Am 19.12.2024 wird das Urteil in der Rs C-65/23, K GmbH, verkündet. Der EuGH wird über Fragen zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis sowie zum immateriellen Schadenersatz entscheiden.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More