To the Point:
Rechtsprechung des EGMR
Aus der Rechtsprechung des EGMR
- Die Durchsuchung der Räumlichkeiten einer juristischen Person und die anschließende Beschlagnahme einer Vielzahl von Unterlagen auf Papier oder in digitaler Form, darunter einer Liste mit den Namen und den personenbezogenen Daten der Mitglieder eines Vereins, greift in das Recht auf Achtung der Wohnung und der Korrespondenz der juristischen Person gemäß Art 8 EMRK ein. Ein solcher Grundrechtseingriff ist nur zulässig, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist. Bei juristischen Personen haben die Staaten zwar einen weiteren Ermessensspielraum als bei natürlichen Personen. Auch den juristischen Personen müssen jedoch geeignete ausgleichende Garantien gegen Machtmissbrauch und Willkür zur Verfügung stehen (EGMR 19.12.2024, 29550/17, Grande Oriente D'italia/Italien).
Rechtsprechung des EuG und EuGH
EuGH 19.12.2024, C-65/23, K
GmbH
Kollektivvereinbarung, Betriebsvereinbarung,
gerichtliche Kontrolle, Anwendungsvorrang
- Ein deutscher Arbeitgeber verarbeitete personenbezogene
Mitarbeiterdaten in einer SAP-Software. Die US-Muttergesellschaft
führte die cloudbasierte Software "Workday" als
einheitliches Personal-Informationsmanagementsystem ein.
Anschließend übertrug der Arbeitgeber bestimmte
Mitarbeiterdaten an den Standort der Muttergesellschaft in den
USA.
Beim Arbeitgeber war ein Betriebsrat eingerichtet. Über die Einführung der Software "Workday" wurde eine Betriebsvereinbarung abgeschlossen, die näher festlegte, welche Mitarbeiterdaten zum Befüllen der Software verwendet werden durften. Der Vorsitzende des Betriebsrats klagte den Arbeitgeber ua auf Löschung ihn betreffender Daten und auf Schadenersatz, weil an den Server der Muttergesellschaft über die Betriebsvereinbarung hinausgehende Daten übertragen worden seien.
Das vorlegende Gericht stellte dem EuGH Fragen zur Datenverarbeitung auf der Grundlage einer Kollektivvereinbarung und zum Anspruch auf immateriellen Schadenersatz. Die Fragen zum immateriellen Schadenersatz zog das vorlegende Gericht später wieder zurück, weil diese Fragen durch zwischenzeitige Rechtsprechung des EuGH hinreichend beantwortet wurden.
Der EuGH hat erwogen: Die DSGVO soll eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen. Einzelne Bestimmungen der DSGVO ermöglichen jedoch den Mitgliedstaaten, zusätzliche, strengere oder einschränkende nationale Vorschriften vorzusehen, und lassen ihnen ein Ermessen hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen ("Öffnungsklauseln"). Gemäß Art 88 DSGVO dürfen die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen "spezifischere Vorschriften" zur Datenverarbeitung im Beschäftigtenkontext vorsehen. Der Begriff Kollektivvereinbarungen umfasst auch "Betriebsvereinbarungen".
Der Regelungsgehalt der nach Art 88 DSGVO erlassenen spezifischen Vorschriften unterscheidet sich von den allgemeinen Regeln der DSGVO. Diese spezifischen Vorschriften, die durch Rechtsvorschriften oder durch Kollektivvereinbarung in die jeweiligen innerstaatlichen Rechtsordnungen eingeführt werden, haben jedoch die Anforderungen zu erfüllen, die sich aus den anderen Bestimmungen der DSGVO ergeben. Datenverarbeitungstätigkeiten aufgrund einer Kollektivvereinbarung müssen daher dem Kriterium der Erforderlichkeit der Verarbeitung entsprechen und eine der in Art 6 Abs 1 DSGVO vorgesehenen Rechtmäßigkeitsvoraussetzungen erfüllen. Daher müssen Verarbeitungstätigkeiten, die auf "spezifischere Vorschriften" gemäß Art 88 Abs 1 DSGVO beruhen, nicht nur die Voraussetzungen in Art 88 Abs 1 und 2 DSGVO, sondern auch die Voraussetzungen in den Art 5, 6 und 9 DSGVO erfüllen, wobei die Anforderungen aus den Art 5 und 6 DSGVO mit den Anforderungen aus Art 9 DSGVO kumulierbar sind.
Die Parteien einer Kollektivvereinbarung verfügen zwar über einen Spielraum beim Festlegen der Datenverarbeitungstätigkeit. Dieser Spielraum hat jedoch dieselben Grenzen wie das den Mitgliedstaaten zuerkannte Ermessen. Die Kollektivvereinbarungen unterliegen daher einer ebenso umfassenden gerichtlichen Kontrolle wie die Vorschriften des nationalen Rechts. Der Spielraum der Parteien einer Kollektivvereinbarung darf nicht dazu führen, dass diese Parteien aus Gründen der Wirtschaftlichkeit oder Einfachheit Kompromisse schließen, die die Ziele der DSGVO beinträchtigen könnten. Entsprechen einzelne Bestimmungen einer Kollektivvereinbarung den Anforderungen der DSGVO nicht, sind diese Bestimmungen vom nationalen Gericht unangewendet zu lassen.
Nachträge
Aus der Rechtsprechung des EuGH:
- In Art 15 Abs 3 DSGVO ist kein eigenständiges Recht auf Erhalt einer Dokumentenkopie normiert. Das Recht des Betroffenen auf Erhalt einer Kopie der ihn betreffenden personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, bedeutet aber, dass dem Betroffenen eine originalgetreue und verständliche Reproduktion aller seiner Daten überlassen wird. Dieses Recht setzt den Erhalt einer vollständigen Kopie der Dokumente voraus, die ua diese Daten enthalten, wenn die Zurverfügungstellung einer solchen Kopie erforderlich ist, um dem Betroffenen die Überprüfung der Korrektheit und Vollständigkeit der Daten zu ermöglichen und deren Verständlichkeit zu gewährleisten. Diese Verpflichtung trifft den Verantwortlichen selbst dann, wenn der Antrag des Betroffenen einen anderen Zweck verfolgt, als in ErwGr 63 DSGVO vorgesehen ist. Die Tatsache, dass die Verarbeitung personenbezogener Daten einer gesetzlichen Verpflichtung entspricht, hat keinen Einfluss auf den Umfang dieses Rechts (EuGH 27.05.2024, C-312/23, Addiko Bank).
Aus der Rechtsprechung des EuG:
- Ein Betroffener brachte Beschwerde gegen das Europäisches
Amt für Personalauswahl (EPSO) beim
Europäischen Datenschutzbeauftragten (EDSB)
ein, weil er sich durch EPSO in seinem Recht auf
Auskunft verletzt erachtete. Der EDSB wies die Beschwerde
des Betroffenen zunächst mit einer in drei
Spruchpunkte gegliederten Entscheidung ab. Der Betroffene
erhob Rechtsmittel an das EuG gegen Spruchpunkt
iii der Entscheidung und begehrte Schadenersatz vom EDSB,
weil der EDSB ihn in eine unsichere Lage hinsichtlich der
Verarbeitung seiner personenbezogenen Daten versetzt habe.
Nach Einlangen des Rechtsmittels änderte der EDSB Spruchpunkt iii seiner Entscheidung in Hinblick auf das Urteil des EuGH in der Rs Pankki dahingehend ab, dass der Betroffene einen Anspruch auf Auskunft auf die Logfiles in seinem EPSO-Account habe.
Da Spruchpunkt iii der Entscheidung vom EDSB iSd Betroffenen abgeändert wurde, hatte das EuG nur mehr den Schadenersatzanspruch zu beurteilen. Das EuG verneinte den Schadenersatzanspruch des Betroffenen, weil er keinen tatsächlich eingetretenen immateriellen Schaden nachzuweisen vermochte (EuG 17.06.2024, T-546/23, WS/EDSB).
Rechtsprechung des VwGH
Aus der Rechtsprechung des VwGH
- Der VwGH richtete ein Vorabentscheidungsersuchen zur Auslegung der Wortfolge "exzessive Anfragen" iSd Art 57 Abs 4 DSGVO an den EuGH. Dieses Vorabentscheidungsersuchen ist beim EuGH anhängig (C-416/23, Österreichische Datenschutzbehörde). Da dieses Vorabentscheidungsersuchen für das vorliegende Verfahren präjudiziell ist, wird dieses Verfahren bis zur Entscheidung des EuGH ausgesetzt (VwGH 19.11.2024, Ro 2022/04/0016).
Aus der Rechtsprechung des BVwG
BVwG 19.11.2024, W176 2286887-1
Auskunft, Betroffenenrechte, Datenherkunft,
Speicherdauer
- Ein Rechtsanwalt reichte im Auftrag des Bruders einer Erbin
eine Pflichtteilsergänzungsklage ein. Die Erbin beschuldigte
den Rechtsanwalt, im Zuge dessen unbefugt eine Namensabfrage
gemäß §§ 5 und 6a GUG durchgeführt zu
haben, was zu einem Disziplinarverfahren führte. Dieses wurde
jedoch mangels Nachweises einer solchen Abfrage eingestellt.
Später stellte die Erbin ein Auskunftsersuchen
gemäß § 44 DSG an den Rechtswalt. Dieser
kontaktierte den Rechtsvertreter der Erbin und teilte mit, er
könne ihr aus standesrechtlichen Gründen nicht direkt
antworten. Die DSB gab der Datenschutzbeschwerde der Erbin statt
und stellte fest, dass der Rechtsanwalt gegen das Recht auf
Auskunft verstoßen hatte. Sie verpflichtete ihn, die
geforderten Informationen innerhalb von vier Wochen
bereitzustellen. Daraufhin erhob der Rechtsanwalt
Bescheidbeschwerde an das BVwG, das den Bescheid dahingehend
abänderte, dass nur mehr ein Teil der Auskunft zu erteilen
ist.
Das BVwG hat erwogen: Die Erbin hat ihr Auskunftsersuchen durch Verwendung des Musterformulars der DSB auf § 44 DSG gestützt. Dieser regelt jedoch das Auskunftsrecht der betroffenen Person lediglich im Zusammenhang mit der Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei einschließlich des Verfassungsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzugs. Folglich ist er keine taugliche Rechtsgrundlage für das Auskunftsersuchen der Erbin. Wenngleich sie sich in der Rechtsgrundlage geirrt hat, ist unmissverständlich, dass die Erbin ihr Recht auf Auskunft geltend machen wollte, wie es ihr gemäß § 1 Abs 3 DSG und Art 15 DSGVO zusteht. Der Erbin die Erteilung jeglicher Auskunft lediglich wegen Vergreifens in der Rechtsgrundlage zu verwehren, stünde im diametralen Widerspruch zu ErwGr 63 der DSGVO.
Der Rechtsanwalt erteilte bis zum Abschluss des Verwaltungsverfahrens keinerlei Auskunft. Dies holte er in seiner Bescheidbeschwerde teilweise nach. Weiterhin erteilte der Rechtsanwalt der Erbin jedoch keine Auskunft über ihre Betroffenenrechte (Art 15 Abs 1 lit e DSGVO), über die Empfänger bzw Empfängerkategorien der Daten (Art 15 Abs 1 lit c DSGVO), über die Herkunft der Daten (Art 15 Abs 1 lit g DSGVO) sowie über deren Speicherdauer (Art 15 Abs 1 lit d DSGVO).
Betreffend die Datenherkunft können Verschwiegenheitspflichten eines Rechtsanwalts der Beauskunftung entgegenstehen, diese sind jedoch im Rahmen der Auskunftserteilung geltend zu machen.
Hinsichtlich der Speicherdauer ist, falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, sind die Kriterien für die Festlegung dieser Dauer zu beauskunften. Der Rechtsanwalt ist daher verpflichtet, zumindest die Kriterien für die Festlegung der Speicherdauer anzugeben (etwa Abschluss des zivilgerichtlichen Verfahrens oder – im Hinblick auf die Abwehr von Haftungsansprüchen – eine Speicherdauer im Sinne der absoluten Verjährungsfrist im ABGB von 30 Jahren). Anm: Die DSB unterscheidet in ihrer Rechtsprechung zwischen Verfahren wegen Nichterteilung der Auskunft und unvollständiger Auskunft. Dieser Unterscheidung hat sich das BVwG in seiner bisherigen Rechtsprechung angeschlossen. Auch der VwGH überprüfte zuletzt nicht die Vollständigkeit der nachträglich erteilten Auskunft in einem auf Nichterteilung der Auskunft gerichteten Verfahren (VwGH 02.08.2024, Ra 2022/04/0161). Soweit ersichtlich, war "Sache" des Verfahrens vor der DSB nur die Nichterteilung der Auskunft. Das BVwG ging von seiner bisherigen Rechtsprechung daher ab, indem es auch die Vollständigkeit der im laufenden Verfahren erteilten Auskunft prüfte und die Vervollständigung der Auskunft auftrug.
Aus der weiteren Rechtsprechung des BVwG:
- Das Datenschutzrecht ist ein höchstpersönliches Recht, das mit dem Tod der natürlichen Person untergeht und auf einen etwaigen Rechtsnachfolger nicht übergehen kann. Mit dem Tod der natürlichen Person geht deren Parteistellung verloren. Mit dem Verlust der Parteistellung ist die Berechtigung weggefallen, eine Datenschutzbeschwerde zu erheben. Damit fiel auch die Berechtigung der DSB (nachträglich) weg, über die Datenschutzbeschwerde zu entscheiden. Der bekämpfte Bescheid ist daher ersatzlos zu beheben (BVwG 22.11.2024, W211 2272917-1).
Rechtsprechung der LVwG
Aus der Rechtsprechung der LVwG
- Bescheidmäßig verhängte Tierhalteverbote sind keine Umweltinformation iSd § 2 Z 3 UIG. Es kann jedoch dahingestellt bleiben, ob eine Anfrage über ein Tierhalteverbot betreffend eine geschützte Tierart als Umweltinformation iSd § 2 UIG zu werten ist. Denn der Mitteilung der Umweltinformation steht der Ablehnungsgrund des § 6 Abs 2 Z 3 UIG entgegen, wenn sie eine negative Auswirkung auf die Vertraulichkeit personenbezogener Daten hätte, sofern ein schutzwürdiges Interesse an der Geheimhaltung besteht. Eine Liste mit konkret namentlich bezeichneten Personen, über die ein Tierhalteverbot verhängt wurde, beinhaltet mit Blick auf den pönalisierenden Charakter des Tierhalteverbots sensible Daten. Das Interesse an der Geheimhaltung dieser Daten überwiegt das öffentlichen Interesse an der allgemeinen Bekanntgabe von verhängten Tierhalteverboten (LVwG OÖ 28.12.2023, LVwG-552738/2/SB). Anm: Das LVwG OÖ dürfte mit der Wortfolge "sensible Daten" auf die Sensibilität der Informationen hinweisen und keine besondere Kategorie personenbezogener Daten iSd Art 9 Abs 1 DSGVO meinen.
Nationale Rechtsakte
- Am 13.12.2024 wurde das
FM-GwG-Anpassungsgesetz, BGBl I 2024/151, kundgemacht. Aufgrund von
Empfehlungen des internationalen Gremiums Financial Action Task
Force (FATF) sowie zur Umsetzung der VO 2023/1114
(Markets in Crypto-Assets Regulation –
MiCAR) wurde der Geltungsbereich des
Finanzmarkt-Geldwäschegesetzes (FM-GwG) auf
Kryptowertetransfers und sämtliche
gezielte finanzielle Sanktionen ausgeweitet. Zudem
wurde auch das Wirtschaftliche Eigentümer Registergesetz
(WiEReG) novelliert. Zu beachten sind
verlängerte
Verjährungsfristen. Gleichzeitig wurden
ebenso aufgrund von Empfehlungen der FATF auch das
Bilanzbuchhaltungsgesetz, das Wirtschaftstreuhandberufsgesetz und
die Gewerbeordnung novelliert (BGBl I 2024/150).
Vorschau EuGH-Rechtsprechung
- Am 08.01.2024 wird das Urteil
des EuG in der Rs T-354/22, Bindl/Kommission,
veröffentlicht. Gegenstand des Verfahrens ist ua ein
Datentransfer in die USA.
- Am 09.01.2024 wird das Urteil
in der Rs C-416/23, Österreichische
Datenschutzbehörde (Demandes excessives),
verkündet. Der EuGH wird Fragen des VwGH zur Auslegung der
Wortfolge "exzessive Anfragen" in Art 57
Abs 4 DSGVO beantworten. Anm: Die Zusammenfassung der
Schlussanträge kann in der 36. Ausgabe des Schönherr
Datenschutzmonitors vom 11.09.2024 nachgelesen werden.
- Am 09.01.2024 wird das Urteil in der Rs C-394/23, Mousse, verkündet. Geklärt wird, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf. Anm: Die Zusammenfassung der Schlussanträge kann in der 28. Ausgabe des Schönherr Datenschutzmonitors vom 17.07.2024 nachgelesen werden.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.