To the Point:
Rechtsprechung des EuGH
Aus der Rechtsprechung des EuGH:
- Datenschutzrechtliche Grundsätze müssen bei Untersuchungen durch Disziplinarbehörden gegen Beamte von EU-Organen eingehalten werden. Verwaltungsuntersuchungen haben auf einer rechtmäßigen Grundlage zu erfolgen, einem eindeutigen und rechtmäßigen Zweck zu dienen und die Beamten müssen über das Verfahren informiert werden. Der Grundsatz der Datenverarbeitung nach Treu und Glauben verhindert jedoch nicht die Nutzung von Informationen, die in einem Untersuchungsverfahren von dritter Stelle übermittelt werden, auch wenn diese Informationen zu anderen Zwecken erhoben wurden (EuGH 12.12.2024, C-587/21P, DD/FRA; 12.12.2024, C-130/22P, DD/FRA; 12.12.2024, C-680/22P, DD/FRA).
Rechtsprechung des VwGH
Aus der Rechtsprechung des VwGH:
- Das gegen eine Beschwerdevorentscheidung vorgesehene Rechtsmittel ist der Antrag, dass die Bescheidbeschwerde gegen den Ausgangsbescheid dem Verwaltungsgericht zur Entscheidung vorgelegt wird (Vorlageantrag). Die DSB fasste die Beschwerdevorentscheidung in Form eines Aussetzungsbescheides. Das BVwG entschied dennoch in der Sache. Auch wenn mit der Beschwerdevorentscheidung das Verfahren ausgesetzt wurde, steht dieser Aussetzungsbescheid/"Beschwerdevorentscheidung" nach Wegfall des Aussetzungsgrundes der Entscheidung des Verwaltungsgerichts in der Sache nicht entgegen (VwGH 15.11.2024, Ro 2022/04/0028). Anm: Mit der Beschwerdevorentscheidung wird dem Ausgangsbescheid derogiert, sodass der Ausgangsbescheid vor dem Verwaltungsgericht nicht mehr dem Rechtsbestand angehört.
Rechtsprechung des BVwG
BVwG 22.10.2024, W252 2249249-1
Energieunternehmen, intelligente Stromzähler,
EEffG
- Der Bewohner einer Wohnung erhob Datenschutzbeschwerde, weil
ihn das Energieunternehmen, das ihn mit
Fernwärme belieferte, durch den Betrieb eines bei ihm
eingebauten intelligenten
Kleinwärmezählers in seinem Grundrecht auf
Geheimhaltung verletzt habe. Die DSB wies die Datenschutzbeschwerde
ab, woraufhin der Bewohner Bescheidbeschwerde an das BVwG erhob,
die ebenfalls abgewiesen wurde.
Das BVwG hat erwogen: Das Energieunternehmen hat mit dem Bewohner einen privatrechtlichen Vertrag abgeschlossen. Somit ist das Energieunternehmen nicht als "staatliche Behörde" iSd § 1 Abs 2 DSG bzw "Behörde" iSd ErwGr 47 DSGVO zu qualifizieren.
Die anwendbare Rechtsgrundlage iSd Art 6 Abs 1 lit c DSGVO für die Installation und den Betrieb des intelligenten Wärmezählers ist § 55 EEffG, der den Zweck der Verarbeitung (Verrechnung, Kundeninformation, Energieeffizienz und Aufrechterhaltung eines sicheren Betriebes von der für die Abrechnung durchführenden Stelle, Aufrechterhaltung der Betriebsfunktion) festlegt. Aus dieser Bestimmung ergeben sich auch die Arten der Daten, die gespeichert werden dürfen, die Dauer der Aufbewahrungspflicht (zur Erfüllung des Zwecks, maximal sieben Jahre) sowie die zu ergreifenden Datensicherheitsmaßnahmen (ua Absicherung der Kommunikation der Geräte, Schutz vor unberechtigtem Zugriff).
Die Speicherung bestimmter Daten in LOG-Files ist aufgrund berechtigter Interessen des Energieunternehmens an der Aufrechterhaltung der Betriebsfunktion und dem ordnungsgemäßen Betrieb des Geräts rechtmäßig, weil ohne diese Aufzeichnung etwaige Fehler nicht erkannt und behoben werden könnten, wodurch der ordnungsgemäße Betrieb gefährdet wäre.
BVwG 18.11.2024, W252 2279020-1
E-Scooter, Geheimhaltung
- Ein Passant beschwerte sich über das Abstellen von
E-Scootern am Straßenrand bei der Stadt Wien mittels E-Mail,
die auch ein Foto der Örtlichkeit der abgestellten Scooter
enthielt. Die Stadt Wien leitete die E-Mail – ohne Angabe von
Name/E-Mailadresse des Passanten – an die Betreiberfirma des
E-Scooters weiter, um deren Wegschaffung zu veranlassen. Der
Passant erachtete sich durch die Weiterleitung der E-Mail in seinem
Recht auf Geheimhaltung verletzt und begründete dies damit,
dass aus der Örtlichkeit der E-Scooter auf seinen Wohnort
geschlossen werden könne. Die auf Verletzung im Recht auf
Geheimhaltung gestützte Datenschutzbeschwerde wies die DSB ab.
Dagegen erhob der Passant erfolglos Bescheidbeschwerde an das
BVwG.
Das BVwG hat erwogen: Ein Personenbezug liegt vor, wenn Daten einer Person so zugeordnet sind, dass die Identität der Person für den jeweiligen Verwender direkt ersichtlich oder mit Hilfe von – vernünftigerweise zur Verfügung stehenden – Zusatzinformationen herstellbar ist. Die – auf keine solche Zusatzinformationen gestützte – bloße Vermutung, dass Daten einer bestimmten Person zugeordnet werden könnten, kann demnach keine Identifizierbarkeit und damit keinen Personenbezug begründen. Aus der bloßen Örtlichkeit der E-Scooter kann nicht auf den Wohnort des Passanten geschlossen werden, was schon aus der Tatsache folgt, dass dem Betreiberunternehmen eben keine Daten wie etwa Name/E-Mailadresse des Passanten übermittelt wurden.
BVwG 25.10.2024, W101 2256689-1
Informationspflicht, Mitteilungspflicht
- Ein Inkassobüro und ein Rechtsanwalt machten
gegenüber einem Betroffenen unberechtigte Forderungen geltend.
Ursächlich dafür war eine unzutreffende
"Identifizierung" aufgrund einer fälschlicherweise
dem Betroffenen zugeordneten Adresse, die bei einer
Identitäts- und Bonitätsdatenbank
("Kreditauskunftei") hinterlegt gewesen war. Der
Betroffene begehrte die Löschung der "falschen"
Adresse bei der Kreditauskunftei. Diese kam dem
Löschungsersuchen erst nach, nachdem sie diese
"falsche" Adresse der Berechnung eines Bonitätscores
über den Betroffenen zugrunde gelegt hatte. Die
Kreditauskunftei unterrichtete die jeweiligen Empfänger der
– aufgrund der "falschen" Adresse zu gering
bewerteten – Bonitätscores nicht über die
nachträgliche Löschung der Adresse. Die DSB wies die vom
Betroffenen erhobene Datenschutzbeschwerde wegen einer Verletzung
des Rechts auf Information, auf Löschung sowie auf Mitteilung
ab. Dagegen erhob der Betroffene (teilweise erfolgreich)
Bescheidbeschwerde an das BVwG.
Das BVwG hat erwogen: Die von der Kreditauskunftei erfassten und verarbeiteten Daten sind personenbezogene Daten des Betroffenen, weil diese mit seinem Namen und Geburtsdatum verknüpft sind. Der Betroffene hat erst aufgrund mehrerer gestellter Auskunftsersuchen von den Datenverarbeitungen der Kreditauskunftei erfahren. Anders als bei den Rechten auf Auskunft, Berichtigung oder Löschung besteht beim Recht auf Information keine Möglichkeit seitens des Verantwortlichen, eine bereits erfolgte Verletzung durch einen actus contrarius (hier: Löschung der betreffenden Daten) rückwirkend zu beseitigen. Die nachträgliche Auskunftserteilung änderte nichts an der – in der Unterlassung der Erteilung einer entsprechenden Information begründeten – Informationspflichtverletzung.
Anders war die vom Betroffenen monierte Verletzung des Rechts auf Löschung zu beurteilen. Die Kreditauskunftei löschte die vom Betroffenen als unrichtig monierte Adresse noch vor dem Entscheidungszeitpunkt der DSB, sodass eine allfällige Beschwer des Betroffenen – im Nachhinein – weggefallen ist.
Die Mitteilungspflicht gemäß Art 19 Abs 1 DSGVO ist antragslos wahrzunehmen. Die Rechtsverletzung besteht in der Unterlassung der entsprechenden Mitteilung. Die Unterlassung der Mitteilungspflicht kann ebensowenig wie die Verletzung der Informationspflicht saniert werden. Daher war (auch) die Verletzung der Mitteilungspflicht gemäß Art 19 Abs 1 DSGVO festzustellen.
BVwG 17.10.2024, W176 2284816-1
Geldbuße, Videoüberwachung,
Verfahrenskosten
- Die Polizei entdeckte im April 2021 bei einer
COVID-19-Kontrolle in einem Lokal den Betrieb einer
Videoüberwachungsanlage. Die Kamera zeichnete nicht nur den
Innenbereich, sondern auch die Zufahrt und einen Teil der
gegenüberliegenden Liegenschaft auf. Zudem fehlte eine
Kennzeichnung der Anlage. Die Beamten wiesen den Filialleiter auf
die gesetzlichen Vorschriften hin. Bei einer Nachkontrolle im
Oktober 2021 war die Situation dennoch unverändert. Daraufhin
brachte die Polizei eine Anzeige bei der DSB ein, die ein
Verwaltungsstrafverfahren gegen die Betreiberin des Lokals
einleitete.
Die DSB stellte fest, dass die Betreiberin von April 2021 bis März 2022 personenbezogene Daten unrechtmäßig verarbeitet und gegen ihre Informationspflichten gemäß Art 12 und 13 DSGVO verstoßen hatte. Daher verhängte sie eine Geldstrafe iHv EUR 4.100. Dagegen erhob die Betreiberin Bescheidbeschwerde an das BVwG, das den Tatzeitraum einschränkte, im Übrigen die Bescheidbeschwerde aber abwies.
Das BVwG hat erwogen: Eine juristische Person kann Beschuldigte in einem datenschutzrechtlichen Verwaltungsstrafverfahren sein, ohne dass die Datenschutzverletzung zuvor einer konkreten natürlichen Person aus dem Kreis des Unternehmens zuzurechnen ist.
Die Betreiberin war Verantwortliche der Bildverarbeitung iSd Art 4 Z 7 DSGVO, weil sie deren Zweck und Mittel kontrollierte. Ihr ist der in ihrem Unternehmen angestellte Filialleiter als "unterstellte Person" zuzurechnen.
Bei der automatisierten Verarbeitung durch ein kamerabasiertes Videoüberwachungssystem ist bereits die "Fähigkeit", personenbezogene Daten zu erfassen, ausreichend, um von einer Verarbeitung zu sprechen. Entsprechend erfolgte durch den Betrieb der Videoüberwachungsanlage eine Verarbeitung gemäß Art 4 Z 2 DSGVO.
Es ist kein berechtigtes Interesse der Betreiberin erkennbar, weshalb über den Innenbereich ihres Lokals hinaus auch deren Außenbereich vom Aufnahmebereich der Kameras erfasst sein musste. Die Betreiberin verstieß somit gegen den Grundsatz der Rechtmäßigkeit der Datenverarbeitung. Weiters folgte sie auch nicht dem Grundsatz der Datenminimierung.
Die Betreiberin hatte bis Ende Dezember 2021 überhaupt keine Kennzeichnung der Kamera vorgenommen. Auch das nachträglich angebrachte Hinweisschild enthielt nicht die in der Leitlinie des Europäischen Datenschutzausschusses 3/2019 angeführten Mindestinformationen. Über diese Kennzeichnung hinaus erhielten die Betroffenen im relevanten Zeitraum bis März 2022 keine weiteren Informationen in Bezug auf den Betrieb der Videoüberwachungsanlage.
Die DSB hat den Tatzeitraum unzulässigerweise bis März 2022 ausgedehnt. Der Tatzeitraum ist von April 2021 bis Dezember 2021 zu reduzieren, weil die Aufforderung zur Rechtfertigung nur diesen Zeitraum umfasste.
Ein Verantwortlicher kann für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt. Die Betreiberin traf eine Erkundigungspflicht hinsichtlich der einschlägigen Bestimmungen der DSGVO vor der Verwendung einer Videoüberwachungsanlage. Nach dem eindeutigen Hinweis der Polizei konnte sie über die Rechtswidrigkeit der Datenverarbeitung jedenfalls nicht mehr im Unklaren sein.
Die Betreiberin hat personenbezogene Daten unrechtmäßig und schuldhaft über einen Zeitraum von knapp neun Monaten verarbeitet. Weiters verstieß sie mehr als elf Monate lang gegen ihre Informationspflichten. Die Verstöße wurden zwar fahrlässig begangen, sind jedoch nicht geringfügig, sondern weisen vielmehr bei Beurteilung nach Art 83 Abs 2 lit a DSGVO einen mittleren bis hohen Schweregrad auf. Auch bei der Verkürzung des Tatzeitraums von elfeinhalb auf neun Monate besteht kein Raum für eine Herabsetzung der Strafhöhe.
Da der Bescheidbeschwerde hinsichtlich des Tatzeitraums teilweise stattgegeben wurde, hat die Betreiberin die Kosten des verwaltungsgerichtlichen Verfahrens jedoch nicht zu tragen.
BVwG 22.10.2024, W252 2247518-1
Stammzahlenregisterbehörde, ERsB,
Informationspflicht
- Ein Betroffener erhob eine Datenschutzbeschwerde bei der DSB,
weil er sich in seinem Recht auf Geheimhaltung verletzt sah. Er
behauptete, dass die Stammzahlenregisterbehörde
(SRB) seine Daten im Ergänzungsregister
für sonstige Betroffene (ERsB) verarbeitet habe,
obwohl er zu keinem Zeitpunkt einen Antrag auf Eintragung in das
ERsB gestellt habe und immer im Zentralen Melderegister
(ZMR) gemeldet gewesen sei. Darüber hinaus sei er zu
keinem Zeitpunkt über die Eintragung gemäß Art 14
DSGVO informiert worden, weshalb er auch in seinem Recht
auf Information verletzt worden sei. Die DSB wies die
Datenschutzbeschwerde ab, weil die Eintragung erforderlich sei, um
in einem elektronischen Verfahren unterscheiden zu können, ob
eine natürliche Person in Privatangelegenheiten agiere oder
unternehmerisch tätig sei. Der Betroffene richtete daraufhin
eine (erfolgreiche) Bescheidbeschwerde an das BVwG.
Das BVwG hat erwogen: Die SRB war Verantwortliche, weil sie gemäß § 7 Abs 1 E-GovG iVm § 1 ERegV das Ergänzungsregister zu führen hatte.
Nach § 6 Abs 4 E-GovG (idF BGBl I 119/2022 bis zum 27.07.2023) waren Betroffene, die weder im Melderegister eingetragen waren noch im Firmenbuch oder im Vereinsregister eingetragen sein mussten, auf ihren Antrag im ERsB einzutragen. Der Betroffene war zum Zeitpunkt der Eintragung ins ERsB jedoch im ZMR eingetragen. Die Verarbeitung seiner personenbezogenen Daten im ERsB war daher unrechtmäßig.
Die Informationspflicht nach Art 14 DSGVO besteht unabhängig von einem vorherigen Antrag der betroffenen Person, sie erfordert vielmehr ein aktives Handeln des Verantwortlichen. Die SRB hat durch die Unterlassung der ihr zukommenden Informationspflicht nach Art 14 DSGVO den Betroffenen in seinen Rechten verletzt. Die Informationen hätten spätestens zum Zeitpunkt des Inkrafttretens der DSGVO erteilt werden müssen. Eine nachträgliche Sanierung der Verletzung ist nicht möglich.
Aus der weiteren Rechtsprechung des BVwG:
- Der Zweck des Ergänzungsregisters für
sonstige Betroffene (ERsB) war gemäß § 6
Abs 4 E-GovG (idF BGBl I 119/2022 bis zum 27.07.2023) die
eindeutige digitale Identifikation von Betroffenen, die weder im
Zentralen Melderegister (ZMR) noch im Firmenbuch (FB) oder im
Vereinsregister eingetragen waren, durch ihre Stammzahlen. Die
Eintragung der personenbezogenen Daten verstieß gegen das
Zweckbindungsprinzip des Art 5 Abs 1 lit b DSGVO,
wenn der Betroffene bereits im ZMR, FB oder Vereinsregister
eingetragen war (BVwG 19.11.2024, W287 2248018-1).
- Die Information, dass sich eine Person in einem Therapiezentrum
aufhält, das sich auf die Behandlung psychischer und
psychiatrischer Erkrankungen spezialisiert, ist ein
Gesundheitsdatum. Eine den
Verfahrensgesetzen entsprechende Verwendung von
(sensiblen) Daten ist aus datenschutzrechtlicher Sicht
zulässig. Zusätzlich sind die sich aus den Bestimmungen
des Art 5 Abs 1 und Art 6 Abs 1
DSGVO ergebenden Anforderungen einzuhalten und es muss
eine der in Art 6 Abs 1 DSGVO genannten
Rechtmäßigkeitsvoraussetzungen
erfüllt sein. Die strittige Datenverarbeitung muss in der
Rechtsgrundlage allerdings nicht bezeichnet werden (BVwG 07.10.2024, W108 2277566-1).
- Eine Verletzung im Recht auf Geheimhaltung
knüpft an der Verarbeitung personenbezogener Daten an. Durch
einen Scheinwerfer ist die Verarbeitung
personenbezogener Daten schon begrifflich ausgeschlossen. Ein
Schlüsseltresor dient der Aufbewahrung von
Schlüsseln. Die Datenerhebung des
Außentemperatursensors einer
Wetterstation beschränkt sich auf die
Außentemperatur. Eine Einparkhilfe bemisst
den Abstand zu einem zufahrenden Auto. Durch diese Objekte besteht
keine Gefahr der Datenverarbeitung und erfolgt daher auch keine
Verletzung des Rechts auf Geheimhaltung. Bleibt ein Antrag in der
Datenschutzbeschwerde durch die DSB unerledigt, ist die dadurch
begründete Rechtswidrigkeit nicht durch die
Bescheidbeschwerde, sondern durch die
Säumnisbeschwerde aufzugreifen (BVwG 29.10.2024, W274 2299991-1).
- Das datenschutzrechtliche Auskunftsrecht ist ein
höchstpersönliches Recht. In höchstpersönliche
Rechte eines Verstorbenen findet keine
Rechtsnachfolge statt, weshalb auch die
Fortsetzung des Verfahrens über solche Rechte durch die
Verlassenschaft oder die Erben nicht in Betracht kommt. Das in
§ 4 Abs 4 KontRegG normierte Auskunftsrecht
ist eine Erweiterung des nach der DSGVO
zustehenden Auskunftsrechts, weil auch über etwaige
indirekte personenbezogene Daten Auskunft zu
erteilen ist und über die Verweigerung dieses Auskunftsrechts
mit Bescheid abzusprechen ist. Eine
Rechtsnachfolge findet jedoch auch in das
Auskunftsrecht nach § 4 Abs 4 KontRegG nicht
statt (BVwG 10.10.2024, W177 2257566-2).
- Nach Ansicht des BVwG könnte die Rechtsprechung des EuGH
zur DSGVO in der Rs C-807/21, Deutsche Wohnen, wonach
die Strafbarkeit einer juristischen Person
"keine Handlung und nicht einmal eine Kenntnis seitens des
Leitungsorgans dieser juristischen Person voraussetzt",
auf die Geldwäsche-Richtlinie
übertragbar sein. Aus diesem Grund hat das BVwG beschlossen,
dem EuGH entsprechende Fragen zum FM-GwG
vorzulegen (BVwG 30.10.2024, W172 2296169-1). Anm: Dieses
Vorabentscheidungsersuchen ist insofern
überraschend, weil ein anderer Senat des BVwG dieselben Fragen
dem EuGH bereits vorgelegt hat. Wir haben darüber am
08.05.2024 in der 18. Ausgabe des Schönherr
Datenschutzmonitors berichtet. Die damals vorgelegten Fragen sind
beim EuGH unter der Zahl C-291/24, Steiermärkische Bank und
Sparkasse, weiterhin anhängig. In solchen Fällen
kann das spätere Verfahren ausgesetzt werden, eine erneute
Vorlage an den EuGH ist nicht erforderlich.
- Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen. In einer erheblichen Anzahl von Verfahren ist ua die Frage anhängig, ob ein Verstoß des Auftragsverarbeiters gegen Art 32 DSGVO dem Verantwortlichen zugerechnet werden kann (BVwG 21.11.2024, W101 2284188-1).
Aus der Rechtsprechung der LVwG
Aus der Rechtsprechung der LVwG:
- Die Speicherung von DNA-Daten ist ein Eingriff ins Grundrecht auf Datenschutz. Die §§ 65 und 67 SPG regeln die (materiellen) Voraussetzungen für eine entsprechende erkennungsdienstliche Behandlung der Tatverdächtigen. Ist das einzige Verdachtsmaterial, welches den Verdächtigen belastet, das Video über den Eingangsbereich einer observierten Adresse, ist dieses Video auch dann zu sichten, wenn auf dem Observierungsvideo ca 100 verdächtige Personen zu erkennen sind. Da das Observationsvideo nicht gesichtet wurde, ist die Verwechslung des Verdächtigen dem eingeschrittenen Organ vorwerfbar und die Durchführung der erkennungsdienstlichen Behandlung (Ermittlung und Speicherung der DNA) war rechtswidrig. Die rechtswidrig erlangten DNA-Daten mögen zwar von Amts wegen zu löschen sein. Für den Antrag auf Löschung ist jedoch die DSB zuständig, sodass der Löschungsantrag vom LVwG Tirol wegen Unzuständigkeit zurückzuweisen war (LVwG Tirol 03.12.2024, LVwG-2024/12/2131-5).
Neues vom EDSA
EDPB, Guidelines 02/2024 on Article 48 GDPR
(2024)
- Der Europäische Datenschutzausschuss
(EDSA) hat am 03.12.2024 Leitlinien zu
Art 48 DSGVO veröffentlicht. Gemäß Art 48 DSGVO
dürfen Urteile oder Entscheidungen von Gerichten oder
Behörden in Drittländern, die einem Verantwortlichen oder
Auftragsverarbeiter die Übermittlung oder Offenlegung
personenbezogener Daten auftragen, nur dann anerkannt oder
vollstreckt werden, wenn sie auf ein internationales Abkommen
gestützt sind. Die Leitlinien konzentrieren sich auf Anfragen,
die auf eine direkte Zusammenarbeit zwischen einer
Drittlandsbehörde und einer privaten
Einrichtung in der Union abzielen und enthalten Empfehlungen, wie
mit solchen Anfragen umzugehen ist.
Die Offenlegung oder Übermittlung von in der EU verarbeiteten Daten auf Anfrage einer Drittlandsbehörde muss den Grundsätzen des Art 5 DSGVO entsprechen und auf einer Rechtsgrundlage nach Art 6 DSGVO beruhen. Zudem muss eine Übermittlungsgrundlage nach Kapitel V vorliegen ("Zweistufentest"). Die Anfrage einer ausländischen Behörde allein ist weder eine Rechtsgrundlage noch ein Übermittlungsgrund.
Besteht eine rechtliche Verpflichtung aus einem internationalen Abkommen, auf dem die Anfrage beruht, kommt Art 6 Abs 1 lit c DSGVO als Rechtsgrundlage in Betracht. Andernfalls können andere Rechtsgrundlagen gemäß Art 6 Abs 1 DSGVO genutzt werden. Einzig Art 6 Abs 1 lit b DSGVO kann von einer privaten Stelle in der EU nicht als Rechtsgrundlage für die Beantwortung einer Anfrage herangezogen werden. Ein Verantwortlicher kann sich auch nicht auf Art 6 Abs 1 lit f DSGVO stützen, um personenbezogene Daten präventiv zu erheben und zu speichern, wenn dies nicht mit den tatsächlichen (wirtschaftlichen und kommerziellen) Aktivitäten des Unternehmens zusammenhängt.
Art 48 DSGVO ist keine Übermittlungsgrundlage. Bevor auf eine Anfrage einer Drittlandsbehörde reagiert wird, muss daher eine Übermittlungsgrundlage des Kapitel V identifiziert werden. Regelt ein internationales Abkommen die Zusammenarbeit zwischen dem Verantwortlichen oder Auftragsverarbeiter in der EU/EEA und der anfragenden Drittlandsbehörde, kann dieses Abkommen als Übermittlungsgrundlage dienen, wenn es die entsprechenden Schutzmaßnahmen gemäß Art 46 Abs 2 lit a DSGVO vorsieht. Andernfalls ist ein anderer Übermittlungsgrund des Kapitels V der DSGVO zu wählen. Anm: Zu diesen Leitlinien wurde eine öffentliche Konsultation eingeleitet. Stellungnahmen können bis zum 27.01.2025 abgegeben werden.
Vorschau EuGH-Rechtsprechung
- Am 19.12.2024 wird das Urteil
in der Rs C-65/23, K GmbH, verkündet. Der
EuGH wird über Fragen zur Verarbeitung personenbezogener Daten
im Arbeitsverhältnis sowie zum
immateriellen Schadenersatz entscheiden.
- Am 09.01.2024 wird das Urteil
in der Rs C-416/23, Österreichische
Datenschutzbehörde (Demandes excessives),
verkündet. Der EuGH wird Fragen des VwGH zur Auslegung der
Wortfolge "exzessive Anfragen" in Art 57
Abs 4 DSGVO beantworten. Anm: Die Zusammenfassung der
Schlussanträge kann in der 36. Ausgabe des Schönherr
Datenschutzmonitors vom 11.09.2024 nachgelesen werden.
- Am 09.01.2024 wird das Urteil in der Rs C-394/23, Mousse, verkündet. Geklärt wird, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf. Anm: Die Zusammenfassung der Schlussanträge kann in der 28. Ausgabe des Schönherr Datenschutzmonitors vom 17.07.2024 nachgelesen werden.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.