Willkommen zu unserem wöchentlichen Datenschutz-Update.
Mit diesem wöchentlichen Newsletter wollen wir eine kurze und aktuelle Rechtsprechungsübersicht für das Datenschutzrecht schaffen. Erfasst wird die relevante Rechtsprechung in Österreich und auf europäischer Ebene. Neben der kurzen Zusammenfassung der einzelnen Entscheidungen zeigt der Datenschutzmonitor die Entwicklung von Rechtsprechungslinien auf.
>> Registrieren Sie sich, um wöchentliche Updates in Ihr Email-Postfach zu erhalten! <<
In der vergangenen Woche wurden die nachstehenden Entscheidungen und Rechtsakte veröffentlicht:
- Rechtsprechung des EuGH
EuGH 09.01.2025, C-394/23, Mousse (Anrede, Vertragserfüllung, berechtigtes Interesse)
EuGH 09.01.2025, C-416/23, Österreichische Datenschutzbehörde (Exzess, Wahlrecht der Aufsichtsbehörde)
- Rechtsprechung des EuG
EuG 08.01.2025, T-354/22, Bindl/Kommission (IP-Adresse, Datentransfer, Schadenersatz)
- Rechtsprechung des VwGH
VwGH 26.11.2024, Ra 2024/04/0408 (Zurückweisung, Abweichung von bisheriger Rechtsprechung)
- Rechtsprechung des BVwG
BVwG 25.11.2024, W252 2282050-1 (Dark Patterns, Cookie-Banner, Widerru)
BVwG 18.11.2024, W274 2284469-1 (Entschiedene Sache, Exekutionsverfahren)
BVwG 18.11.2024, W137 2297057-1 (Auskunftsrecht, Rechte von Dritten, Öffnungsklausel)
BVwG 25.11.2024, W214 2273462-1 (Bürgermeister, staatliche Behörde)
BVwG 04.12.2024, W603 2303734-1; 03.12.2024, I406 2300562-1 (Zuständigkeit, ORF-Beitrag)
- Rechtsprechung des DSB
DSB 27.06.2024, 2024-0.028.256 (Anzeige, Akteneinsicht, Interessenabwägung)
- EU-Rechtsakte
VO (EU) 2025/12 über die Übermittlung von Fluggastdaten für den Außengrenzschutz
VO (EU) 2025/13 über die Übermittlung von Fluggastdaten zur Bekämpfung von schwerer Kriminalität und Terrorismus
RL (EU) 2025/25 über digitale Werkzeuge im Gesellschaftsrecht
Berichtigung der VO (EU) 2022/1925 (Gesetz über digitale Märkte; DMA)
UN-Regelung Nr. 155 für die Genehmigung von Fahrzeugen hinsichtlich Cybersicherheit
- Vorschau EuGH-Rechtsprechung
To the Point:
Rechtsprechung des EuGH
EuGH 09.01.2025,
C-394/23, Mousse
Anrede, Vertragserfüllung, berechtigtes
Interesse
- Ein Transportunternehmen verlangte bei der Online-Buchung von
Fahrscheinen die Angabe der Anrede "Herr" oder
"Frau". Der Verband "Mousse" erhob Klage, weil
diese Datenverarbeitung weder auf einer Rechtsgrundlage
gemäß Art 6 Abs 1 DSVGO beruhe noch dem
Grundsatz der Datenminimierung entspreche. Zudem seien Transparenz-
und Informationspflichten gemäß Art 13 DSGVO
verletzt. Die Vorlagefrage des vorlegenden Gerichts betraf die in
Art 6 Abs 1 lit b (Vertragserfüllung) und
lit f (berechtigte Interessen) DSGVO genannten
Rechtfertigungsgründe.
Der EuGH hat erwogen: Eine geschlechtsspezifische Personalisierung der geschäftlichen Kommunikation ist weder objektiv unerlässlich noch wesentlich, um die ordnungsgemäße Erfüllung des Vertrags zu ermöglichen. Die Datenverarbeitung kann daher nicht auf Art 6 Abs 1 lit b DSGVO gestützt werden. Weniger einschneidend wären allgemeine und inklusive Höflichkeitsformen, die von der Geschlechtsidentität unabhängig sind.
Die Verarbeitung personenbezogener Daten ist gemäß Art 6 Abs 1 lit f DSGVO rechtmäßig, wenn (i) ein berechtigtes Interesse des Verantwortlichen oder eines Dritten wahrgenommen wird; (ii) die Datenverarbeitung zur Verwirklichung des berechtigten Interesses erforderlich ist und (iii) die Interessen oder Grundrechte und Grundfreiheiten der Betroffenen gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.
Kommerzielle Direktwerbung und deren Personalisierung können ein berechtigtes Interesse sein. Gemäß Art 13 Abs 1 DSGVO ist den Betroffenen zum Zeitpunkt der Datenerhebung das verfolgte berechtigte Interesse aber mitzuteilen. Andernfalls kann die Erhebung nicht auf Art 6 Abs 1 lit f DSGVO gestützt werden.
Die Abfrage einer Anrede und/oder Geschlechtsidentität erscheint im Licht des Grundsatzes der Datenminimierung nicht erforderlich. Für die Personalisierung reichen Name und Vorname der Kunden aus. Art 6 Abs 1 lit f DSGVO sieht bei der Beurteilung der Erforderlichkeit einer Datenverarbeitung keine Berücksichtigung der Gepflogenheiten und gesellschaftlichen Konventionen vor.
Im Fall der Gefahr einer Beeinträchtigung der Grundrechte und Grundfreiheiten der Betroffenen kann das berechtigte Interesse an kommerzieller Direktwerbung nicht überwiegen. Das vorlegende Gericht hat insbesondere zu prüfen, ob die Gefahr einer Diskriminierung aufgrund der Geschlechtsidentität besteht. Dies vor allem im Licht der RL (EU) 2004/113, mit der der Grundsatz der Gleichbehandlung von Männern und Frauen beim Zugang zu und bei der Versorgung mit Gütern und Dienstleistungen verwirklicht wird. Diese Richtlinie gilt auch für Diskriminierungen, die ihre Ursache in der Änderung der Geschlechtsidentität einer Person haben.
EuGH 09.01.2025,
C-416/23, Österreichische
Datenschutzbehörde
Exzess, Wahlrecht der Aufsichtsbehörde
- Innerhalb von etwa 20 Monaten brachte eine Betroffene 77
ähnliche Datenschutzbeschwerden bei der DSB ein. Die DSB
lehnte die Behandlung einer der Datenschutzbeschwerden ab, weil sie
exzessiv sei. Das BVwG behob den Bescheid der DSB, woraufhin diese
Amtsrevision an den VwGH erhob. Der VwGH ersuchte den EuGH um
Vorabentscheidung, ob (i) der Begriff der "Anfrage" iSd
Art 57 Abs 4 DSGVO auch Beschwerden nach Art 77
Abs 1 DSGVO erfasse, (ii) ob ein Exzess allein an der Anzahl
von Beschwerden, die eine Person an eine Aufsichtsbehörde
stellt, festzumachen sei, und (iii) ob eine Aufsichtsbehörde
frei wählen könne, eine angemessene Gebühr zu
verlangen oder die Behandlung der
Beschwerde zu verweigern.
Der EuGH hat erwogen: Für die Verfolgung des Ziels, ein gleichmäßiges und hohes Schutzniveau für natürliche Personen in der Union sicherzustellen, ist das ordnungsgemäße Funktionieren der Aufsichtsbehörden unentbehrlich. Art 57 Abs 4 DSGVO soll der Verfolgung dieses Ziels dienen, indem verhindert wird, dass Aufsichtsbehörden durch offenkundig unbegründete oder exzessive Beschwerden behindert werden.
Eine Auslegung dahingehend, dass der Begriff "Anfrage" nur Anfragen nach Art 57 Abs 1 lit e DSGVO und nicht auch Beschwerden nach Art 77 Abs 1 DSGVO umfasse, würde Art 57 Abs 4 DSGVO eines großen Teils seiner praktischen Wirksamkeit berauben und – im Ergebnis – den wirksamen Schutz der durch diese Verordnung garantierten Rechte untergraben. Der in Art 57 Abs 4 DSGVO enthaltene Begriff der "Anfrage" umfasst daher auch Beschwerden an Aufsichtsbehörden.
Die – alleinige – Häufung von Beschwerden von einer Person kann ein Indiz für exzessive Anfragen sein, wenn sich herausstellt, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleiht. Dies kann etwa dann der Fall sein, wenn eine Person eine große Zahl von Beschwerden bei einer Aufsichtsbehörde einreicht, die eine Vielzahl von Verantwortlichen betreffen, zu denen sie nicht unbedingt einen Bezug hat und diese übermäßige Inanspruchnahme des Beschwerderechts in Verbindung mit anderen Gesichtspunkten, wie dem Inhalt der Beschwerden, die Absicht der Person erkennen lässt, die Behörde lahmzulegen, indem sie sie mit Anfragen überflutet. Eine isolierte Betrachtung der Zahl der Beschwerden könnte zu einer willkürlichen Beeinträchtigung der Rechte der betroffenen Person aus der DSGVO führen. Die Feststellung, dass exzessive Anfragen iSd Art 57 Abs 4 DSGVO vorliegen, setzt aus diesen Überlegungen den Nachweis einer Missbrauchsabsicht der Person voraus, die solche Beschwerden einreicht.
Die beiden in Art 57 Abs 4 DSGVO für den Fall exzessiver Anfragen vorgesehenen Optionen, nämlich (i) eine angemessene Gebühr auf der Grundlage der Verwaltungskosten zu verlangen, oder (ii) sich zu weigern, aufgrund solcher Anfragen tätig zu werden, sind nebeneinander aufgeführt und durch die nebenordnende Konjunktion "oder" getrennt. Dieser Wortinterpretation Rechnung tragend darf die Aufsichtsbehörde bei exzessiven Anfragen durch eine mit Gründen versehene Entscheidung darüber wählen, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden. Die Aufsichtsbehörde hat dabei jedoch alle relevanten Umstände zu berücksichtigen und muss sich vergewissern, dass die gewählte Option geeignet, erforderlich und verhältnismäßig ist.
Rechtsprechung des EuG
EuG 08.01.2025,
T-354/22, Bindl/Kommission
IP-Adresse, Datentransfer, Schadenersatz
- Ein Bürger besuchte eine Website der EU, für die die
Europäische Kommission
("Kommission") datenschutzrechtliche
Verantwortliche war. Er meldete sich für eine Veranstaltung
über "EU Login" mittels
"Sign in with Facebook" an. Der
Bürger ersuchte die Kommission nach der Anmeldung zwei Mal um
Datenauskunft bzgl der dadurch verarbeiteten Daten. Ihm wurde auf
seine erste Anfrage mitgeteilt, dass seine Daten nicht an
Drittländer übermittelt und nur innerhalb Europas
gespeichert und verarbeitet werden. Auf seine (präzisierte)
zweite Anfrage, die konkrete Fragen zur Datenübermittlung an
Meta in den USA aufgrund der Anmeldung enthielt, reagierte die
Kommission nicht innerhalb der vorgesehenen Frist, weshalb der
Bürger eine Klage an das EuG erhob. Das EuG gab der Klage
teilweise statt und sprach dem Bürger auch Schadenersatz
zu.
Das EuG hat erwogen: Die beantragte Nichtigerklärung der Übermittlungen der personenbezogenen Daten an Drittländer ohne angemessenes Schutzniveau ist abzuweisen, weil sich ein solcher Antrag nur auf Rechtsakte beziehen kann. Die Datenübermittlung ist dagegen ein Realakt, der einer Nichtigerklärung nicht zugänglich ist.
Die Datenübermittlung an die USA bei der Anmeldung für die Veranstaltung ist der Kommission zuzurechnen. Diese hat als Verantwortliche der Website mit dem Hyperlink "Sign in with Facebook" die Voraussetzungen für die Übermittlung der IP-Adresse des Bürgers an Facebook (= Meta) geschaffen. Da – zum Zeitpunkt der Datenübermittlung – kein Angemessenheitsbeschluss vorlag und die Kommission auch keine geeigneten Garantien (Standarddatenschutz- oder Vertragsklauseln) nachweisen konnte, galten nur die Nutzungsbedingungen von Facebook. Die Kommission hat somit gegen die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland durch ein Organ der Union verstoßen.
Durch die Datenübermittlung wurde der Bürger in eine Lage gebracht, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden. Daher hat er einen immateriellen Schaden erlitten. Für die unrechtmäßige Datenübermittlung ist eine Entschädigung iHv EUR 400 angemessen. Anm: Gegen diese Entscheidung könnte ein Rechtsmittel an den EuGH erhoben werden.
Rechtsprechung des VwGH
Aus der Rechtsprechung des VwGH
- Das BVwG hat mit Erkenntnis vom 27.06.2024, W176 2248629-1, ausgesprochen, dass die Übermittlung eines MRT-Befundes zur Behandlung im Gesundheitsbereich auf der Grundlage des MTD-Gesetzes zulässig ist. Die gegen dieses Erkenntnis gerichtete außerordentliche Revision wurde vom VwGH aus formalen Gründen zurückgewiesen. Ein Revisionswerber, der eine Abweichung des angefochtenen Erkenntnisses von der Rechtsprechung des Verwaltungsgerichtshofs behauptet, hat konkret darzulegen, dass der der gegenständlich angefochtenen Entscheidung zugrundeliegende Sachverhalt einer der von ihm ins Treffen geführten Entscheidung gleicht, das Verwaltungsgericht im revisionsgegenständlichen Fall jedoch anders entschieden hat und es damit von der ständigen Rechtsprechung des Verwaltungsgerichtshofs abgewichen ist. Eine bloße Wiedergabe von Rechtssätzen, die bloße Zitierung aus Literaturfundstellen oder Geschäftszahlen ohne Eingehen auf die behaupteten inhaltlichen Abweichungen reicht zur Darlegung des Abweichens von der Rechtsprechung des Verwaltungsgerichtshofs nicht aus (VwGH 26.11.2024, Ra 2024/04/0408). Anm: Die Zusammenfassung des Erkenntnisses des BVwG vom 27.06.2024, W176 2248629-1, können Sie im Schönherr Datenschutzmonitor vom 28.08.2024 nachlesen.
Rechtsprechung des BVwG
BVwG 25.11.2024, W252 2282050-1
Dark Patterns, Cookie-Banner, Widerruf
- Ein Websitenutzer brachte wegen behaupteter Mangelhaftigkeit
eines Cookie-Banners einer von ihm besuchten Website
Datenschutzbeschwerde bei der DSB ein. Im Cookie-Banner war die
Option zur Einwilligung farblich kontrastreich und groß
gestaltet, die Möglichkeit zur Ablehnung war mit geringerem
Kontrast und kleinerer Schrift gestaltet. Durch die Gestaltung
wurde der Websitenutzer zu einer Einwilligung und damit zu einer
Handlung gegen sein Interesse verleitet (Dark
Patterns). In der Datenschutzbeschwerde machte der
Websitenutzer die Verletzung in den Rechten auf Geheimhaltung und
Löschung seiner Daten geltend. Die DSB wies die
Datenschutzbeschwerde hinsichtlich des Rechts auf Geheimhaltung ab,
gab ihr betreffend die Verletzung im Recht auf Löschung aber
statt und trug dem Websitebetreiber eine Änderung des
Cookie-Banners auf. Die Websitebetreiberin erhob Bescheidbeschwerde
an das BVwG, insbesondere weil die DSGVO keine Gleichwertigkeit von
Einwilligungs- und Ablehnungsoptionen vorschreibe. Das BVwG wies
die Bescheidbeschwerde ab.
Das BVwG hat erwogen: Durch die Verknüpfung von Zeichenfolgen mit zusätzlichen Daten, zB der IP‑Adresse oder einer anderen Kennung, kann die Identifizierung eines Websitenutzers ermöglicht werden. Es handelt sich dann um ein personenbezogenes Datum im Sinne von Art 4 Z 1 DSGVO. Eine Unique-ID ist auch dann ein personenbezogenes Datum, wenn der Websitebetreiber nicht selbst die Möglichkeit hat, diese mit einer gespeicherten oder unmittelbar von Dritten erhaltenen IP-Adresse zu kombinieren. Die Weiterverarbeitung von in Cookies gespeicherten oder weitergegebenen Daten fällt in den Anwendungsbereich der DSGVO.
Ein Verantwortlicher hat personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich gemäß Art 17 Abs 1 lit d DSGVO zu löschen. Dies trifft auch dann zu, wenn eine Einwilligung widerrufen wurde und eine andere Rechtsgrundlage für die Verarbeitung fehlt.
Eine Einwilligung muss in informierter Weise, unmissverständlich und eindeutig abgegeben werden. Eine versehentliche Einwilligung durch Betroffene soll durch die Bedingungen für die Einwilligung in Art 7 Abs 2 DSGVO und auch dem Transparenzgrundsatz in Art 5 Abs 1 lit a DSGVO verhindert werden.
Ist ein Einwilligungsbutton durch Größe, Kontrast und Platzierung auffällig gestaltet, die Widerspruchsmöglichkeit aber im Vergleich dazu unauffälliger, kann mangels Transparenz nicht von einer eindeutigen Einwilligung ausgegangen werden.
Ein Anspruch auf Ausgestaltung der Widerrufsmöglichkeit in Form eines "schwebenden" Symbols besteht jedoch nicht.
BVwG 18.11.2024, W274 2284469-1
Entschiedene Sache, Exekutionsverfahren
- Der Betroffene stellte ein Auskunftsersuchen an einen
gerichtlich bestellten Gutachter, der im Rahmen eines Verfahrens
vor dem Zivilgericht ein Gutachten mit Bezug zum Betroffenen
erstellte. Dabei verlangte er ausdrücklich auch Auskunft
über die Herkunft der
Daten gemäß Art 15 Abs 1
lit g DSGVO. Der Betroffene behauptete, der Gutachter habe
eine falsche Diagnose gestellt, ohne seine Krankengeschichte zu
kennen. Nachdem der Gutachter dem Auskunftsersuchen nicht nachkam,
brachte der Betroffene eine (erfolgreiche) Datenschutzbeschwerde
bei der DSB wegen Verletzung im Recht auf Auskunft ein. Der
Gutachter kam dem Ersuchen trotz zweimaligem Hinweis durch die DSB
nicht nach, woraufhin die DSB eine Verletzung des Rechts auf
Auskunft feststellte und dem Gutachter auftrug, innerhalb von vier
Wochen dem Antrag des Betroffenen zu entsprechen. Der Gutachter
übermittelte nach ergangenem Bescheid eine Auskunft zur
Diagnose des Betroffenen und verwies auf eine frühere Diagnose
eines anderen Arztes. Der Betroffene hielt die Diagnose für
falsch und verlangte deren Korrektur. Nachdem der Gutachter an
seiner Diagnose festhielt, forderte der Betroffene detailliertere
Auskunft über die Herkunft der Daten. Der Gutachter verwies
hierzu auf den Gerichtsakt. Der Betroffene erachtete diese Auskunft
als unzureichend und reichte erneut eine Datenschutzbeschwerde bei
der DSB ein, welche die DSB abwies, weil der Gutachter dem
Betroffenen bereits Auskunft erteilt habe. Daraufhin erhob der
Betroffene eine (erfolglose) Bescheidbeschwerde an das BVwG.
Das BVwG hat erwogen: Die materielle Rechtskraft eines Bescheids steht einer weiteren Entscheidung in derselben Rechtssache entgegen. Eine Änderung entscheidungsrelevanter Fakten führt dazu, dass die Sache ihre ursprüngliche Identität verliert, womit eine andere Sache vorliegt, über die bescheidmäßig abgesprochen werden kann oder muss. Bei der Beurteilung der Identität der Sache ist festzustellen, ob an den entscheidungsrelevanten Fakten eine wesentliche Änderung eingetreten ist.
Die Behörde hat die Identität der Sache im Vergleich mit dem im Vorbescheid angenommenen Sachverhalt zu beurteilen und zu prüfen, ob sich an diesem Sachverhalt oder an seiner rechtlichen Beurteilung eine wesentliche Änderung ergeben hat. Dem Vorbescheid lag eine Datenschutzbeschwerde zugrunde, der einen Antrag auf Feststellung der Rechtsverletzung durch den Gutachter sowie einen Leistungsauftrag zur Entsprechung des Auskunftsersuchens umfasste. Die zweite Datenschutzbeschwerde des Betroffenen bezog sich erneut auf die Herkunft der Daten. Die beantragte Auskunft über die Herkunft der Daten war bereits Gegenstand des Leistungsauftrags des ersten Bescheids. Die zweite Datenschutzbeschwerde war daher wegen entschiedener Sache zurückzuweisen.
Sollte der Betroffene mit den bisherigen Auskünften nicht zufrieden sein, ist er auf ein allfälliges Exekutionsverfahren zu verweisen. Zudem ist darauf hinzuweisen, dass die Fragen des Betroffenen typischerweise bei der Erörterung von Gutachten im Zivilverfahren zu klären sind.
BVwG 18.11.2024, W137 2297057-1
Auskunftsrecht, Rechte von Dritten,
Öffnungsklausel
- Ein Mann war über acht Jahre mit der Pflege und Erziehung
eines minderjährigen Kindes betraut. Nach einem
behördlich eingeleiteten Überprüfungsverfahren wurde
das Kind aufgrund von Bedenken hinsichtlich des Kindeswohls
anderweitig untergebracht. Die Obsorge ging auf den Kinder- und
Jugendhilfeträger über. Dieser verarbeitete
personenbezogene Daten des ehemaligen Pflegevaters in mehreren
elektronischen Akten. Neben dessen Papierakt lag ein weiterer Akt
über das Kind vor, der auch personenbezogene Daten des
ehemaligen Pflegevaters enthielt. Dieser stellte ein
Auskunftsersuchen gemäß Art 15 DSGVO, um
Informationen über die Verarbeitung seiner personenbezogenen
Daten zu erhalten. Weiters beantragte der ehemalige Pflegevater die
Herausgabe seiner Daten in Papierform und forderte eine
ungekürzte Übermittlung der beantragten Informationen
samt Unterlagen. Die anschließend erteilte Auskunft hielt er
für unvollständig. Die DSB wies die Datenschutzbeschwerde
ab. Daraufhin erhob der Mann (erfolglos) Bescheidbeschwerde an das
BVwG.
Das BVwG hat erwogen: Eine Betroffene soll durch die Auskunft in die Lage versetzt werden, sich der Verarbeitung ihrer personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Art 15 DSGVO gewährt jedoch nur das Recht, die eigenen Daten zu erhalten. Dementsprechend kann sich der ehemalige Pflegevater in Bezug auf die Daten des Kindes nicht auf Art 15 DSGVO stützen.
Weiters könnte er das Kind im Verfahren nur dann vertreten, wenn dies dessen Interesse im Rahmen des Kindeswohls entspräche. Da die Kinder- und Jugendhilfe ein höchst sensibler Bereich ist, können einzelne Informationen gemäß § 12 Abs 4 Wiener Kinder- und Jugendhilfegesetz (WKJHG) unter Berücksichtigung des Kindeswohls unter Umständen nicht erteilt oder Kopien nur eingeschränkt übermittelt werden.
Darüber hinaus darf gemäß Art 15 Abs 4 DSGVO das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Weiters enthalten die nach der Öffnungsklausel des Art 23 DSGVO zulässigen Bestimmungen, ua im WKJHG, Beschränkungen des Auskunftsrechts aufgrund von Kindeswohlerwägungen. Diese ähneln den Regelungen des § 4 Abs 6 DSG, die sich auf Geschäfts- und Betriebsgeheimnisse beziehen.
Da dem ehemaligen Pflegevater die Obsorge entzogen wurde, ist nicht anzunehmen, dass die Einsicht in den Papierakt seines ehemaligen Pflegekindes dem Kindeswohl dient. Dementsprechend ist die Zurverfügungstellung des noch nicht beauskunfteten Papierakts bzw der Aktenteile vor dem Hintergrund des Kindeswohls bzw der sonstigen Einschränkungen des Auskunftsrechts nach dem WKJHG nicht geboten.
Das Auskunftsrecht nach der DSGVO unterscheidet sich von den Rechten einer Verfahrenspartei im Rahmen eines Rechtsstreits. Es ist aber nicht dazu gedacht, allfällige Ausnahmen von einer Akteneinsicht auszuhebeln.
Aus der Rechtsprechung des BVwG:
- Der Bürgermeister einer Stadt
ist eine staatliche Behörde iSd
§ 1 Abs 2 DSG. Denn der Begriff
"Behörde" ist im funktionellen
Sinn zu verstehen, davon sind
auch Selbstverwaltungskörper und
alle Stellen der Hoheitsverwaltung erfasst. Eingriffe staatlicher
Behörden sind nur aufgrund
von Gesetzen zulässig, die
ausreichend präzise, also
für jedermann vorhersehbar, regeln,
unter welchen Voraussetzungen die Verwendung personenbezogener
Daten für die Wahrnehmung konkreter
Verwaltungsaufgaben erlaubt ist (BVwG 25.11.2024,
W214 2273462-1).
- Die Verarbeitung bestimmter personenbezogener Daten zum Zweck der Erhebung des ORF-Beitrags sowie der Ermittlung der Beitragsschuldner und zur Prüfung, ob eine Befreiung vorliegt, ist notwendig. Die Regelungen des mit "Datenübermittlung" titulierten § 13 ORF-Beitrags-Gesetz (OBG) erscheinen sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt. Ein unzulässiger und unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz durch das OBG ist nicht zu erblicken (BVwG 04.12.2024, W603 2303734-1; 03.12.2024, I406 2300562-1).
Rechtsprechung der DSB
DSB 27.06.2024, 2024-0.028.256
Anzeige, Akteneinsicht,
Interessenabwägung
- Der Betroffene machte eine Eingabe bei der Bauabteilung eines
Gemeindeamts, in welcher er darauf hinwies, dass die
Brandschutzsicherungsmaßnahmen sowie der Schallschutz eines
Wohnbaus eines Grundstückseigentümers nicht in Ordnung
seien und überprüft werden müssten. Dabei sei ihm
nicht klar gewesen, dass es sich bei seiner Eingabe um eine Anzeige
handle. Nachdem der Grundstückseigentümer Kenntnis von
der Anzeige erlangte, nahm er Akteneinsicht und kontaktierte den
Betroffenen telefonisch, wobei auch Beschimpfungen und Drohungen
gefallen sein sollen. Das Gemeindeamt legte dem
Grundstückseigentümer den Vor- und Nachnamen des
Betroffenen offen, nicht aber dessen Telefonnummer. Daraufhin
brachte der Betroffene eine (erfolgreiche) Datenschutzbeschwerde
gegen das Gemeindeamt bei der DSB ein, weil er sich durch die
Weitergabe seiner Daten an den Grundstückseigentümer in
seinem Grundrecht auf Geheimhaltung verletzt sah.
Die DSB hat erwogen: Gemäß § 1 Abs 1 DSG hat Jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Es spielt keine Rolle, auf welche Weise Daten verarbeitet werden, auch eine mündliche Mitteilung kann eine Verletzung sein. Der offengelegte Vor- und Nachname des Betroffenen fällt in den sachlichen Schutzbereich des § 1 DSG.
Die Offenlegung durch das Gemeindeamt erfolgte zwar auf Basis einer qualifizierten rechtlichen Grundlage, weil der Grundstückseigentümer sein Recht auf Akteneinsicht nach § 17 AVG wahrnahm. Grundsätzlich erstreckt sich die Akteneinsicht auf alle Unterlagen, die sich auf die Sache beziehen. § 17 Abs 3 AVG nimmt jedoch Aktenbestandteile davon aus, wenn der Einsichtnahme legitime Interessen entgegenstehen. Das Gemeindeamt hätte eine Interessenabwägung zwischen dem Recht auf Akteneinsicht des Grundstückseigentümers und dem Grundrecht auf Geheimhaltung des Betroffenen vornehmen müssen. Das Interesse des Grundstückseigentümers an vollständiger Information wäre dabei geringer zu gewichten als das Interesse an Geheimhaltung seitens des Betroffenen. Die Offenlegung der Identität des Betroffenen war zur Gewährleistung des Rechts auf Akteneinsicht nicht notwendig, weshalb eine Verletzung des Grundsatzes der Datenminimierung verwirklicht wurde.
EU-Rechtsakte
- Am 08.01.2025 ist die "VO
(EU) 2025/12 des Europäischen Parlaments und des Rates vom 19.
Dezember 2024 über die Erhebung und Übermittlung vorab
übermittelter Fluggastdaten zur Verbesserung und Erleichterung
der Kontrollen an den Außengrenzen, zur Änderung der
Verordnungen (EU) 2018/1726 und (EU) 2019/817 sowie zur Aufhebung
der Richtlinie 2004/82/EG des Rates", ABl L 2025/12, 1, kundgemacht
worden. Mit dieser VO wird
den Fluggesellschaften die Pflicht
auferlegt, bei Flügen in die
Union sogenannte API-Daten (vorab
übermittelte Fluggastdaten) zu erheben und diese
verschlüsselt an die
zuständigen Grenzbehörden zu
übermitteln. Die API-Daten umfassen Identifizierungs-,
Flugzeug- und Gepäckdaten.
- Am 08.01.2025 ist die "VO
(EU) 2025/13 des Europäischen Parlaments und des Rates vom 19.
Dezember 2024 über die Erhebung und Übermittlung vorab
übermittelter Fluggastdaten zur Verhütung, Aufdeckung,
Ermittlung und Verfolgung von terroristischen Straftaten und
schwerer Kriminalität und zur Änderung der Verordnung
(EU) 2019/818", ABl L 2025/13, 1, kundgemacht
worden. Mit dieser VO wird
den Fluggesellschaften die Pflicht
auferlegt, zur Bekämpfung der
länderübergreifenden schweren und
organisierten Kriminalität sowie
des Terrorismus an die
sogenannten PNR-Zentralstellen verschlüsselte
API-Daten und sonstige
PNR-Daten (sonstige Fluggastdatensatzdaten) zu
übermitteln.
- Am 10.01.2025 ist die "RL
(EU) 2025/25 des Europäischen Parlaments und des Rates vom 19.
Dezember 2024 zur Änderung der Richtlinien 2009/102/EG und
(EU) 2017/1132 zur Ausweitung und Optimierung des Einsatzes
digitaler Werkzeuge und Verfahren im
Gesellschaftsrecht", ABl L 2025/25, 1, kundgemacht
worden. Ziel dieser RL ist es, durch die Vernetzung
von Unternehmensregistern und die Schaffung
von digitalen Werkzeugen, die
grenzüberschreitende Gründung
von Kapitalgesellschaften, Eintragung
von Zweigniederlassungen und
Einreichung von Dokumenten und
Informationen bei
den Unternehmensregistern zu
erleichtern.
- Am 10.01.2025 ist
eine Berichtigung der "VO (EU)
2022/1925 des Europäischen Parlaments und des Rates vom 14.
September 2022 über bestreitbare und faire Märkte im
digitalen Sektor und zur Änderung der Richtlinien (EU)
2019/1937 und (EU) 2020/1828 (Gesetz über digitale
Märkte;
DMA)", ABl L 2025/90024, 1,
kundgemacht worden. Berichtigt wird ein redaktionelles Versehen und
die Berichtigung betrifft nur einen Verweis auf die Befugnisse der
Europäischen Kommission.
- Am 10.01.2025 ist die "UN-Regelung Nr. 155 — Einheitliche Bedingungen für die Genehmigung von Fahrzeugen hinsichtlich der Cybersicherheit und des Cybersicherheitsmanagementsystems" im Amtsblatt der EU, ABL L 2025/5, 1, kundgemacht worden. Verbindlich ist jedoch die von der UN verabschiedete Originalfassung.
Vorschau EuGH-Rechtsprechung
- Am 29.01.2025 wird
das Urteil des EuG in
den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection
Commission/Europäischer Datenschutzausschuss,
verkündet. Die irische Aufsichtsbehörde erhob Klage an
das EuG gegen Teile eines verbindlichen
Beschlusses des EDSA, weil
der EDSA seine Befugnisse überschritten
habe.
- Am 04.02.2025 wird
die mündliche Verhandlung in der
Rs T-183/23, Ballmann/Europäischer
Datenschutzausschuss, stattfinden. Die Klägerin
beantragt die Aufhebung eines Beschlusses des EDSA, mit dem ihr die
Akteneinsicht zum Akt eines verbindlichen
Beschlusses des EDSA verwehrt wurde. Anm: Es
geht um denselben verbindlichen Beschluss betreffend Meta
(Facebook), zu dem am 29.01.2025 ein Urteil des EuG ergehen
wird.
- Am 06.02.2025 werden
die Schlussanträge in der
Rs C-413/23 P, EDSB/SRB,
veröffentlicht. Gegenstand des Verfahrens ist
der Begriff
des Personenbezugs.
- Am 06.02.2025 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern. Anm: Diese Schlussanträge waren bereits für den 12.12.2024 angekündigt, ihre Verkündung wurde jedoch verschoben.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.