ARTICLE
26 December 2024

To The Point: Datenschutzmonitor 50/2024

SA
Schoenherr Attorneys at Law

Contributor

Schoenherr Attorneys at Law logo
We are a full-service law firm with a footprint in Central and Eastern Europe providing local and international companies stellar advice. As the go-to legal advisor for complex commercial matters in the region, Schoenherr aims to use its proximity to industry leaders, in developing practical solutions for future challenges. We keep a close eye on trends and developments, which enables us to provide high quality legal advice that is straight to the point.
Datenschutzrechtliche Grundsätze müssen bei Untersuchungen durch Disziplinarbehörden gegen Beamte von EU-Organen eingehalten werden.
Austria Privacy

To the Point:

Rechtsprechung des EuGH

Aus der Rechtsprechung des EuGH:

  • Datenschutzrechtliche Grundsätze müssen bei Untersuchungen durch Disziplinarbehörden gegen Beamte von EU-Organen eingehalten werden. Verwaltungsuntersuchungen haben auf einer rechtmäßigen Grundlage zu erfolgen, einem eindeutigen und rechtmäßigen Zweck zu dienen und die Beamten müssen über das Verfahren informiert werden. Der Grundsatz der Datenverarbeitung nach Treu und Glauben verhindert jedoch nicht die Nutzung von Informationen, die in einem Untersuchungsverfahren von dritter Stelle übermittelt werden, auch wenn diese Informationen zu anderen Zwecken erhoben wurden (EuGH 12.12.2024, C-587/21P, DD/FRA; 12.12.2024, C-130/22P, DD/FRA; 12.12.2024, C-680/22P, DD/FRA).

Rechtsprechung des VwGH

Aus der Rechtsprechung des VwGH:

  • Das gegen eine Beschwerdevorentscheidung vorgesehene Rechtsmittel ist der Antrag, dass die Bescheidbeschwerde gegen den Ausgangsbescheid dem Verwaltungsgericht zur Entscheidung vorgelegt wird (Vorlageantrag). Die DSB fasste die Beschwerdevorentscheidung in Form eines Aussetzungsbescheides. Das BVwG entschied dennoch in der Sache. Auch wenn mit der Beschwerdevorentscheidung das Verfahren ausgesetzt wurde, steht dieser Aussetzungsbescheid/"Beschwerdevorentscheidung" nach Wegfall des Aussetzungsgrundes der Entscheidung des Verwaltungsgerichts in der Sache nicht entgegen (VwGH 15.11.2024, Ro 2022/04/0028). Anm: Mit der Beschwerdevorentscheidung wird dem Ausgangsbescheid derogiert, sodass der Ausgangsbescheid vor dem Verwaltungsgericht nicht mehr dem Rechtsbestand angehört.

Rechtsprechung des BVwG

BVwG 22.10.2024, W252 2249249-1

Energieunternehmen, intelligente Stromzähler, EEffG

  • Der Bewohner einer Wohnung erhob Datenschutzbeschwerde, weil ihn das Energieunternehmen, das ihn mit Fernwärme belieferte, durch den Betrieb eines bei ihm eingebauten intelligenten Kleinwärmezählers in seinem Grundrecht auf Geheimhaltung verletzt habe. Die DSB wies die Datenschutzbeschwerde ab, woraufhin der Bewohner Bescheidbeschwerde an das BVwG erhob, die ebenfalls abgewiesen wurde.

    Das BVwG hat erwogen: Das Energieunternehmen hat mit dem Bewohner einen privatrechtlichen Vertrag abgeschlossen. Somit ist das Energieunternehmen nicht als "staatliche Behörde" iSd § 1 Abs 2 DSG bzw "Behörde" iSd ErwGr 47 DSGVO zu qualifizieren.

    Die anwendbare Rechtsgrundlage iSd Art 6 Abs 1 lit c DSGVO für die Installation und den Betrieb des intelligenten Wärmezählers ist § 55 EEffG, der den Zweck der Verarbeitung (Verrechnung, Kundeninformation, Energieeffizienz und Aufrechterhaltung eines sicheren Betriebes von der für die Abrechnung durchführenden Stelle, Aufrechterhaltung der Betriebsfunktion) festlegt. Aus dieser Bestimmung ergeben sich auch die Arten der Daten, die gespeichert werden dürfen, die Dauer der Aufbewahrungspflicht (zur Erfüllung des Zwecks, maximal sieben Jahre) sowie die zu ergreifenden Datensicherheitsmaßnahmen (ua Absicherung der Kommunikation der Geräte, Schutz vor unberechtigtem Zugriff).

    Die Speicherung bestimmter Daten in LOG-Files ist aufgrund berechtigter Interessen des Energieunternehmens an der Aufrechterhaltung der Betriebsfunktion und dem ordnungsgemäßen Betrieb des Geräts rechtmäßig, weil ohne diese Aufzeichnung etwaige Fehler nicht erkannt und behoben werden könnten, wodurch der ordnungsgemäße Betrieb gefährdet wäre.

BVwG 18.11.2024, W252 2279020-1

E-Scooter, Geheimhaltung

  • Ein Passant beschwerte sich über das Abstellen von E-Scootern am Straßenrand bei der Stadt Wien mittels E-Mail, die auch ein Foto der Örtlichkeit der abgestellten Scooter enthielt. Die Stadt Wien leitete die E-Mail – ohne Angabe von Name/E-Mailadresse des Passanten – an die Betreiberfirma des E-Scooters weiter, um deren Wegschaffung zu veranlassen. Der Passant erachtete sich durch die Weiterleitung der E-Mail in seinem Recht auf Geheimhaltung verletzt und begründete dies damit, dass aus der Örtlichkeit der E-Scooter auf seinen Wohnort geschlossen werden könne. Die auf Verletzung im Recht auf Geheimhaltung gestützte Datenschutzbeschwerde wies die DSB ab. Dagegen erhob der Passant erfolglos Bescheidbeschwerde an das BVwG.

    Das BVwG hat erwogen: Ein Personenbezug liegt vor, wenn Daten einer Person so zugeordnet sind, dass die Identität der Person für den jeweiligen Verwender direkt ersichtlich oder mit Hilfe von – vernünftigerweise zur Verfügung stehenden – Zusatzinformationen herstellbar ist. Die – auf keine solche Zusatzinformationen gestützte – bloße Vermutung, dass Daten einer bestimmten Person zugeordnet werden könnten, kann demnach keine Identifizierbarkeit und damit keinen Personenbezug begründen. Aus der bloßen Örtlichkeit der E-Scooter kann nicht auf den Wohnort des Passanten geschlossen werden, was schon aus der Tatsache folgt, dass dem Betreiberunternehmen eben keine Daten wie etwa Name/E-Mailadresse des Passanten übermittelt wurden.

BVwG 25.10.2024, W101 2256689-1

Informationspflicht, Mitteilungspflicht

  • Ein Inkassobüro und ein Rechtsanwalt machten gegenüber einem Betroffenen unberechtigte Forderungen geltend. Ursächlich dafür war eine unzutreffende "Identifizierung" aufgrund einer fälschlicherweise dem Betroffenen zugeordneten Adresse, die bei einer Identitäts- und Bonitätsdatenbank ("Kreditauskunftei") hinterlegt gewesen war. Der Betroffene begehrte die Löschung der "falschen" Adresse bei der Kreditauskunftei. Diese kam dem Löschungsersuchen erst nach, nachdem sie diese "falsche" Adresse der Berechnung eines Bonitätscores über den Betroffenen zugrunde gelegt hatte. Die Kreditauskunftei unterrichtete die jeweiligen Empfänger der – aufgrund der "falschen" Adresse zu gering bewerteten – Bonitätscores nicht über die nachträgliche Löschung der Adresse. Die DSB wies die vom Betroffenen erhobene Datenschutzbeschwerde wegen einer Verletzung des Rechts auf Information, auf Löschung sowie auf Mitteilung ab. Dagegen erhob der Betroffene (teilweise erfolgreich) Bescheidbeschwerde an das BVwG.

    Das BVwG hat erwogen: Die von der Kreditauskunftei erfassten und verarbeiteten Daten sind personenbezogene Daten des Betroffenen, weil diese mit seinem Namen und Geburtsdatum verknüpft sind. Der Betroffene hat erst aufgrund mehrerer gestellter Auskunftsersuchen von den Datenverarbeitungen der Kreditauskunftei erfahren. Anders als bei den Rechten auf Auskunft, Berichtigung oder Löschung besteht beim Recht auf Information keine Möglichkeit seitens des Verantwortlichen, eine bereits erfolgte Verletzung durch einen actus contrarius (hier: Löschung der betreffenden Daten) rückwirkend zu beseitigen. Die nachträgliche Auskunftserteilung änderte nichts an der – in der Unterlassung der Erteilung einer entsprechenden Information begründeten – Informationspflichtverletzung.

    Anders war die vom Betroffenen monierte Verletzung des Rechts auf Löschung zu beurteilen. Die Kreditauskunftei löschte die vom Betroffenen als unrichtig monierte Adresse noch vor dem Entscheidungszeitpunkt der DSB, sodass eine allfällige Beschwer des Betroffenen – im Nachhinein – weggefallen ist.

    Die Mitteilungspflicht gemäß Art 19 Abs 1 DSGVO ist antragslos wahrzunehmen. Die Rechtsverletzung besteht in der Unterlassung der entsprechenden Mitteilung. Die Unterlassung der Mitteilungspflicht kann ebensowenig wie die Verletzung der Informationspflicht saniert werden. Daher war (auch) die Verletzung der Mitteilungspflicht gemäß Art 19 Abs 1 DSGVO festzustellen.

BVwG 17.10.2024, W176 2284816-1

Geldbuße, Videoüberwachung, Verfahrenskosten

  • Die Polizei entdeckte im April 2021 bei einer COVID-19-Kontrolle in einem Lokal den Betrieb einer Videoüberwachungsanlage. Die Kamera zeichnete nicht nur den Innenbereich, sondern auch die Zufahrt und einen Teil der gegenüberliegenden Liegenschaft auf. Zudem fehlte eine Kennzeichnung der Anlage. Die Beamten wiesen den Filialleiter auf die gesetzlichen Vorschriften hin. Bei einer Nachkontrolle im Oktober 2021 war die Situation dennoch unverändert. Daraufhin brachte die Polizei eine Anzeige bei der DSB ein, die ein Verwaltungsstrafverfahren gegen die Betreiberin des Lokals einleitete.

    Die DSB stellte fest, dass die Betreiberin von April 2021 bis März 2022 personenbezogene Daten unrechtmäßig verarbeitet und gegen ihre Informationspflichten gemäß Art 12 und 13 DSGVO verstoßen hatte. Daher verhängte sie eine Geldstrafe iHv EUR 4.100. Dagegen erhob die Betreiberin Bescheidbeschwerde an das BVwG, das den Tatzeitraum einschränkte, im Übrigen die Bescheidbeschwerde aber abwies.

    Das BVwG hat erwogen: Eine juristische Person kann Beschuldigte in einem datenschutzrechtlichen Verwaltungsstrafverfahren sein, ohne dass die Datenschutzverletzung zuvor einer konkreten natürlichen Person aus dem Kreis des Unternehmens zuzurechnen ist.

    Die Betreiberin war Verantwortliche der Bildverarbeitung iSd Art 4 Z 7 DSGVO, weil sie deren Zweck und Mittel kontrollierte. Ihr ist der in ihrem Unternehmen angestellte Filialleiter als "unterstellte Person" zuzurechnen.

    Bei der automatisierten Verarbeitung durch ein kamerabasiertes Videoüberwachungssystem ist bereits die "Fähigkeit", personenbezogene Daten zu erfassen, ausreichend, um von einer Verarbeitung zu sprechen. Entsprechend erfolgte durch den Betrieb der Videoüberwachungsanlage eine Verarbeitung gemäß Art 4 Z 2 DSGVO.

    Es ist kein berechtigtes Interesse der Betreiberin erkennbar, weshalb über den Innenbereich ihres Lokals hinaus auch deren Außenbereich vom Aufnahmebereich der Kameras erfasst sein musste. Die Betreiberin verstieß somit gegen den Grundsatz der Rechtmäßigkeit der Datenverarbeitung. Weiters folgte sie auch nicht dem Grundsatz der Datenminimierung.

    Die Betreiberin hatte bis Ende Dezember 2021 überhaupt keine Kennzeichnung der Kamera vorgenommen. Auch das nachträglich angebrachte Hinweisschild enthielt nicht die in der Leitlinie des Europäischen Datenschutzausschusses 3/2019 angeführten Mindestinformationen. Über diese Kennzeichnung hinaus erhielten die Betroffenen im relevanten Zeitraum bis März 2022 keine weiteren Informationen in Bezug auf den Betrieb der Videoüberwachungsanlage.

    Die DSB hat den Tatzeitraum unzulässigerweise bis März 2022 ausgedehnt. Der Tatzeitraum ist von April 2021 bis Dezember 2021 zu reduzieren, weil die Aufforderung zur Rechtfertigung nur diesen Zeitraum umfasste.

    Ein Verantwortlicher kann für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt. Die Betreiberin traf eine Erkundigungspflicht hinsichtlich der einschlägigen Bestimmungen der DSGVO vor der Verwendung einer Videoüberwachungsanlage. Nach dem eindeutigen Hinweis der Polizei konnte sie über die Rechtswidrigkeit der Datenverarbeitung jedenfalls nicht mehr im Unklaren sein.

    Die Betreiberin hat personenbezogene Daten unrechtmäßig und schuldhaft über einen Zeitraum von knapp neun Monaten verarbeitet. Weiters verstieß sie mehr als elf Monate lang gegen ihre Informationspflichten. Die Verstöße wurden zwar fahrlässig begangen, sind jedoch nicht geringfügig, sondern weisen vielmehr bei Beurteilung nach Art 83 Abs 2 lit a DSGVO einen mittleren bis hohen Schweregrad auf. Auch bei der Verkürzung des Tatzeitraums von elfeinhalb auf neun Monate besteht kein Raum für eine Herabsetzung der Strafhöhe.

    Da der Bescheidbeschwerde hinsichtlich des Tatzeitraums teilweise stattgegeben wurde, hat die Betreiberin die Kosten des verwaltungsgerichtlichen Verfahrens jedoch nicht zu tragen.

BVwG 22.10.2024, W252 2247518-1

Stammzahlenregisterbehörde, ERsB, Informationspflicht

  • Ein Betroffener erhob eine Datenschutzbeschwerde bei der DSB, weil er sich in seinem Recht auf Geheimhaltung verletzt sah. Er behauptete, dass die Stammzahlenregisterbehörde (SRB) seine Daten im Ergänzungsregister für sonstige Betroffene (ERsB) verarbeitet habe, obwohl er zu keinem Zeitpunkt einen Antrag auf Eintragung in das ERsB gestellt habe und immer im Zentralen Melderegister (ZMR) gemeldet gewesen sei. Darüber hinaus sei er zu keinem Zeitpunkt über die Eintragung gemäß Art 14 DSGVO informiert worden, weshalb er auch in seinem Recht auf Information verletzt worden sei. Die DSB wies die Datenschutzbeschwerde ab, weil die Eintragung erforderlich sei, um in einem elektronischen Verfahren unterscheiden zu können, ob eine natürliche Person in Privatangelegenheiten agiere oder unternehmerisch tätig sei. Der Betroffene richtete daraufhin eine (erfolgreiche) Bescheidbeschwerde an das BVwG.

    Das BVwG hat erwogen: Die SRB war Verantwortliche, weil sie gemäß § 7 Abs 1 E-GovG iVm § 1 ERegV das Ergänzungsregister zu führen hatte.

    Nach § 6 Abs 4 E-GovG (idF BGBl I 119/2022 bis zum 27.07.2023) waren Betroffene, die weder im Melderegister eingetragen waren noch im Firmenbuch oder im Vereinsregister eingetragen sein mussten, auf ihren Antrag im ERsB einzutragen. Der Betroffene war zum Zeitpunkt der Eintragung ins ERsB jedoch im ZMR eingetragen. Die Verarbeitung seiner personenbezogenen Daten im ERsB war daher unrechtmäßig.

    Die Informationspflicht nach Art 14 DSGVO besteht unabhängig von einem vorherigen Antrag der betroffenen Person, sie erfordert vielmehr ein aktives Handeln des Verantwortlichen. Die SRB hat durch die Unterlassung der ihr zukommenden Informationspflicht nach Art 14 DSGVO den Betroffenen in seinen Rechten verletzt. Die Informationen hätten spätestens zum Zeitpunkt des Inkrafttretens der DSGVO erteilt werden müssen. Eine nachträgliche Sanierung der Verletzung ist nicht möglich.

Aus der weiteren Rechtsprechung des BVwG:

  • Der Zweck des Ergänzungsregisters für sonstige Betroffene (ERsB) war gemäß § 6 Abs 4 E-GovG (idF BGBl I 119/2022 bis zum 27.07.2023) die eindeutige digitale Identifikation von Betroffenen, die weder im Zentralen Melderegister (ZMR) noch im Firmenbuch (FB) oder im Vereinsregister eingetragen waren, durch ihre Stammzahlen. Die Eintragung der personenbezogenen Daten verstieß gegen das Zweckbindungsprinzip des Art 5 Abs 1 lit b DSGVO, wenn der Betroffene bereits im ZMR, FB oder Vereinsregister eingetragen war (BVwG 19.11.2024, W287 2248018-1).
  • Die Information, dass sich eine Person in einem Therapiezentrum aufhält, das sich auf die Behandlung psychischer und psychiatrischer Erkrankungen spezialisiert, ist ein Gesundheitsdatum. Eine den Verfahrensgesetzen entsprechende Verwendung von (sensiblen) Daten ist aus datenschutzrechtlicher Sicht zulässig. Zusätzlich sind die sich aus den Bestimmungen des Art 5 Abs 1 und Art 6 Abs 1 DSGVO ergebenden Anforderungen einzuhalten und es muss eine der in Art 6 Abs 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt sein. Die strittige Datenverarbeitung muss in der Rechtsgrundlage allerdings nicht bezeichnet werden (BVwG 07.10.2024, W108 2277566-1).
  • Eine Verletzung im Recht auf Geheimhaltung knüpft an der Verarbeitung personenbezogener Daten an. Durch einen Scheinwerfer ist die Verarbeitung personenbezogener Daten schon begrifflich ausgeschlossen. Ein Schlüsseltresor dient der Aufbewahrung von Schlüsseln. Die Datenerhebung des Außentemperatursensors einer Wetterstation beschränkt sich auf die Außentemperatur. Eine Einparkhilfe bemisst den Abstand zu einem zufahrenden Auto. Durch diese Objekte besteht keine Gefahr der Datenverarbeitung und erfolgt daher auch keine Verletzung des Rechts auf Geheimhaltung. Bleibt ein Antrag in der Datenschutzbeschwerde durch die DSB unerledigt, ist die dadurch begründete Rechtswidrigkeit nicht durch die Bescheidbeschwerde, sondern durch die Säumnisbeschwerde aufzugreifen (BVwG 29.10.2024, W274 2299991-1).
  • Das datenschutzrechtliche Auskunftsrecht ist ein höchstpersönliches Recht. In höchstpersönliche Rechte eines Verstorbenen findet keine Rechtsnachfolge statt, weshalb auch die Fortsetzung des Verfahrens über solche Rechte durch die Verlassenschaft oder die Erben nicht in Betracht kommt. Das in § 4 Abs 4 KontRegG normierte Auskunftsrecht ist eine Erweiterung des nach der DSGVO zustehenden Auskunftsrechts, weil auch über etwaige indirekte personenbezogene Daten Auskunft zu erteilen ist und über die Verweigerung dieses Auskunftsrechts mit Bescheid abzusprechen ist. Eine Rechtsnachfolge findet jedoch auch in das Auskunftsrecht nach § 4 Abs 4 KontRegG nicht statt (BVwG 10.10.2024, W177 2257566-2).
  • Nach Ansicht des BVwG könnte die Rechtsprechung des EuGH zur DSGVO in der Rs C-807/21, Deutsche Wohnen, wonach die Strafbarkeit einer juristischen Person "keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt", auf die Geldwäsche-Richtlinie übertragbar sein. Aus diesem Grund hat das BVwG beschlossen, dem EuGH entsprechende Fragen zum FM-GwG vorzulegen (BVwG 30.10.2024, W172 2296169-1). Anm: Dieses Vorabentscheidungsersuchen ist insofern überraschend, weil ein anderer Senat des BVwG dieselben Fragen dem EuGH bereits vorgelegt hat. Wir haben darüber am 08.05.2024 in der 18. Ausgabe des Schönherr Datenschutzmonitors berichtet. Die damals vorgelegten Fragen sind beim EuGH unter der Zahl C-291/24, Steiermärkische Bank und Sparkasse, weiterhin anhängig. In solchen Fällen kann das spätere Verfahren ausgesetzt werden, eine erneute Vorlage an den EuGH ist nicht erforderlich.
  • Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen. In einer erheblichen Anzahl von Verfahren ist ua die Frage anhängig, ob ein Verstoß des Auftragsverarbeiters gegen Art 32 DSGVO dem Verantwortlichen zugerechnet werden kann (BVwG 21.11.2024, W101 2284188-1).

Aus der Rechtsprechung der LVwG

Aus der Rechtsprechung der LVwG:

  • Die Speicherung von DNA-Daten ist ein Eingriff ins Grundrecht auf Datenschutz. Die §§ 65 und 67 SPG regeln die (materiellen) Voraussetzungen für eine entsprechende erkennungsdienstliche Behandlung der Tatverdächtigen. Ist das einzige Verdachtsmaterial, welches den Verdächtigen belastet, das Video über den Eingangsbereich einer observierten Adresse, ist dieses Video auch dann zu sichten, wenn auf dem Observierungsvideo ca 100 verdächtige Personen zu erkennen sind. Da das Observationsvideo nicht gesichtet wurde, ist die Verwechslung des Verdächtigen dem eingeschrittenen Organ vorwerfbar und die Durchführung der erkennungsdienstlichen Behandlung (Ermittlung und Speicherung der DNA) war rechtswidrig. Die rechtswidrig erlangten DNA-Daten mögen zwar von Amts wegen zu löschen sein. Für den Antrag auf Löschung ist jedoch die DSB zuständig, sodass der Löschungsantrag vom LVwG Tirol wegen Unzuständigkeit zurückzuweisen war (LVwG Tirol 03.12.2024, LVwG-2024/12/2131-5).

Neues vom EDSA

EDPB, Guidelines 02/2024 on Article 48 GDPR (2024)

  • Der Europäische Datenschutzausschuss (EDSA) hat am 03.12.2024 Leitlinien zu Art 48 DSGVO veröffentlicht. Gemäß Art 48 DSGVO dürfen Urteile oder Entscheidungen von Gerichten oder Behörden in Drittländern, die einem Verantwortlichen oder Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten auftragen, nur dann anerkannt oder vollstreckt werden, wenn sie auf ein internationales Abkommen gestützt sind. Die Leitlinien konzentrieren sich auf Anfragen, die auf eine direkte Zusammenarbeit zwischen einer Drittlandsbehörde und einer privaten Einrichtung in der Union abzielen und enthalten Empfehlungen, wie mit solchen Anfragen umzugehen ist.

    Die Offenlegung oder Übermittlung von in der EU verarbeiteten Daten auf Anfrage einer Drittlandsbehörde muss den Grundsätzen des Art 5 DSGVO entsprechen und auf einer Rechtsgrundlage nach Art 6 DSGVO beruhen. Zudem muss eine Übermittlungsgrundlage nach Kapitel V vorliegen ("Zweistufentest"). Die Anfrage einer ausländischen Behörde allein ist weder eine Rechtsgrundlage noch ein Übermittlungsgrund.

    Besteht eine rechtliche Verpflichtung aus einem internationalen Abkommen, auf dem die Anfrage beruht, kommt Art 6 Abs 1 lit c DSGVO als Rechtsgrundlage in Betracht. Andernfalls können andere Rechtsgrundlagen gemäß Art 6 Abs 1 DSGVO genutzt werden. Einzig Art 6 Abs 1 lit b DSGVO kann von einer privaten Stelle in der EU nicht als Rechtsgrundlage für die Beantwortung einer Anfrage herangezogen werden. Ein Verantwortlicher kann sich auch nicht auf Art 6 Abs 1 lit f DSGVO stützen, um personenbezogene Daten präventiv zu erheben und zu speichern, wenn dies nicht mit den tatsächlichen (wirtschaftlichen und kommerziellen) Aktivitäten des Unternehmens zusammenhängt.

    Art 48 DSGVO ist keine Übermittlungsgrundlage. Bevor auf eine Anfrage einer Drittlandsbehörde reagiert wird, muss daher eine Übermittlungsgrundlage des Kapitel V identifiziert werden. Regelt ein internationales Abkommen die Zusammenarbeit zwischen dem Verantwortlichen oder Auftragsverarbeiter in der EU/EEA und der anfragenden Drittlandsbehörde, kann dieses Abkommen als Übermittlungsgrundlage dienen, wenn es die entsprechenden Schutzmaßnahmen gemäß Art 46 Abs 2 lit a DSGVO vorsieht. Andernfalls ist ein anderer Übermittlungsgrund des Kapitels V der DSGVO zu wählen. Anm: Zu diesen Leitlinien wurde eine öffentliche Konsultation eingeleitet. Stellungnahmen können bis zum 27.01.2025 abgegeben werden.

Vorschau EuGH-Rechtsprechung

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More