ARTICLE
20 January 2025

To The Point: Datenschutzmonitor 02/2025

SA
Schoenherr Attorneys at Law

Contributor

We are a full-service law firm with a footprint in Central and Eastern Europe providing local and international companies stellar advice. As the go-to legal advisor for complex commercial matters in the region, Schoenherr aims to use its proximity to industry leaders, in developing practical solutions for future challenges. We keep a close eye on trends and developments, which enables us to provide high quality legal advice that is straight to the point.
Mit diesem wöchentlichen Newsletter wollen wir eine kurze und aktuelle Rechtsprechungsübersicht für das Datenschutzrecht schaffen.
European Union Privacy

Willkommen zu unserem wöchentlichen Datenschutz-Update.

Mit diesem wöchentlichen Newsletter wollen wir eine kurze und aktuelle Rechtsprechungsübersicht für das Datenschutzrecht schaffen. Erfasst wird die relevante Rechtsprechung in Österreich und auf europäischer Ebene. Neben der kurzen Zusammenfassung der einzelnen Entscheidungen zeigt der Datenschutzmonitor die Entwicklung von Rechtsprechungslinien auf.

>> Registrieren Sie sich, um wöchentliche Updates in Ihr Email-Postfach zu erhalten! <<

In der vergangenen Woche wurden die nachstehenden Entscheidungen und Rechtsakte veröffentlicht:

  • Rechtsprechung des EuGH

    EuGH 09.01.2025, C-394/23, Mousse (Anrede, Vertragserfüllung, berechtigtes Interesse)

    EuGH 09.01.2025, C-416/23, Österreichische Datenschutzbehörde (Exzess, Wahlrecht der Aufsichtsbehörde)

  • Rechtsprechung des EuG

    EuG 08.01.2025, T-354/22, Bindl/Kommission (IP-Adresse, Datentransfer, Schadenersatz)

  • Rechtsprechung des VwGH

    VwGH 26.11.2024, Ra 2024/04/0408 (Zurückweisung, Abweichung von bisheriger Rechtsprechung)

  • Rechtsprechung des BVwG

    BVwG 25.11.2024, W252 2282050-1 (Dark Patterns, Cookie-Banner, Widerru)

    BVwG 18.11.2024, W274 2284469-1 (Entschiedene Sache, Exekutionsverfahren)

    BVwG 18.11.2024, W137 2297057-1 (Auskunftsrecht, Rechte von Dritten, Öffnungsklausel)

    BVwG 25.11.2024, W214 2273462-1 (Bürgermeister, staatliche Behörde)

    BVwG 04.12.2024, W603 2303734-1; 03.12.2024, I406 2300562-1 (Zuständigkeit, ORF-Beitrag)

  • Rechtsprechung des DSB

    DSB 27.06.2024, 2024-0.028.256 (Anzeige, Akteneinsicht, Interessenabwägung)

  • EU-Rechtsakte

    VO (EU) 2025/12 über die Übermittlung von Fluggastdaten für den Außengrenzschutz

    VO (EU) 2025/13 über die Übermittlung von Fluggastdaten zur Bekämpfung von schwerer Kriminalität und Terrorismus

    RL (EU) 2025/25 über digitale Werkzeuge im Gesellschaftsrecht

    Berichtigung der VO (EU) 2022/1925 (Gesetz über digitale Märkte; DMA)

    UN-Regelung Nr. 155 für die Genehmigung von Fahrzeugen hinsichtlich Cybersicherheit

  • Vorschau EuGH-Rechtsprechung

To the Point:

Rechtsprechung des EuGH

EuGH 09.01.2025, C-394/23, Mousse

Anrede, Vertragserfüllung, berechtigtes Interesse

  • Ein Transportunternehmen verlangte bei der Online-Buchung von Fahrscheinen die Angabe der Anrede "Herr" oder "Frau". Der Verband "Mousse" erhob Klage, weil diese Datenverarbeitung weder auf einer Rechtsgrundlage gemäß Art 6 Abs 1 DSVGO beruhe noch dem Grundsatz der Datenminimierung entspreche. Zudem seien Transparenz- und Informationspflichten gemäß Art 13 DSGVO verletzt. Die Vorlagefrage des vorlegenden Gerichts betraf die in Art 6 Abs 1 lit b (Vertragserfüllung) und lit f (berechtigte Interessen) DSGVO genannten Rechtfertigungsgründe.

    Der EuGH hat erwogen: Eine geschlechtsspezifische Personalisierung der geschäftlichen Kommunikation ist weder objektiv unerlässlich noch wesentlich, um die ordnungsgemäße Erfüllung des Vertrags zu ermöglichen. Die Datenverarbeitung kann daher nicht auf Art 6 Abs 1 lit b DSGVO gestützt werden. Weniger einschneidend wären allgemeine und inklusive Höflichkeitsformen, die von der Geschlechtsidentität unabhängig sind.

    Die Verarbeitung personenbezogener Daten ist gemäß Art 6 Abs 1 lit f DSGVO rechtmäßig, wenn (i) ein berechtigtes Interesse des Verantwortlichen oder eines Dritten wahrgenommen wird; (ii) die Datenverarbeitung zur Verwirklichung des berechtigten Interesses erforderlich ist und (iii) die Interessen oder Grundrechte und Grundfreiheiten der Betroffenen gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.

    Kommerzielle Direktwerbung und deren Personalisierung können ein berechtigtes Interesse sein. Gemäß Art 13 Abs 1 DSGVO ist den Betroffenen zum Zeitpunkt der Datenerhebung das verfolgte berechtigte Interesse aber mitzuteilen. Andernfalls kann die Erhebung nicht auf Art 6 Abs 1 lit f DSGVO gestützt werden.

    Die Abfrage einer Anrede und/oder Geschlechtsidentität erscheint im Licht des Grundsatzes der Datenminimierung nicht erforderlich. Für die Personalisierung reichen Name und Vorname der Kunden aus. Art 6 Abs 1 lit f DSGVO sieht bei der Beurteilung der Erforderlichkeit einer Datenverarbeitung keine Berücksichtigung der Gepflogenheiten und gesellschaftlichen Konventionen vor.

    Im Fall der Gefahr einer Beeinträchtigung der Grundrechte und Grundfreiheiten der Betroffenen kann das berechtigte Interesse an kommerzieller Direktwerbung nicht überwiegen. Das vorlegende Gericht hat insbesondere zu prüfen, ob die Gefahr einer Diskriminierung aufgrund der Geschlechtsidentität besteht. Dies vor allem im Licht der RL (EU) 2004/113, mit der der Grundsatz der Gleichbehandlung von Männern und Frauen beim Zugang zu und bei der Versorgung mit Gütern und Dienstleistungen verwirklicht wird. Diese Richtlinie gilt auch für Diskriminierungen, die ihre Ursache in der Änderung der Geschlechtsidentität einer Person haben.
     

EuGH 09.01.2025, C-416/23, Österreichische Datenschutzbehörde

Exzess, Wahlrecht der Aufsichtsbehörde

  • Innerhalb von etwa 20 Monaten brachte eine Betroffene 77 ähnliche Datenschutzbeschwerden bei der DSB ein. Die DSB lehnte die Behandlung einer der Datenschutzbeschwerden ab, weil sie exzessiv sei. Das BVwG behob den Bescheid der DSB, woraufhin diese Amtsrevision an den VwGH erhob. Der VwGH ersuchte den EuGH um Vorabentscheidung, ob (i) der Begriff der "Anfrage" iSd Art 57 Abs 4 DSGVO auch Beschwerden nach Art 77 Abs 1 DSGVO erfasse, (ii) ob ein Exzess allein an der Anzahl von Beschwerden, die eine Person an eine Aufsichtsbehörde stellt, festzumachen sei, und (iii) ob eine Aufsichtsbehörde frei wählen könne, eine angemessene Gebühr zu verlangen oder die Behandlung der Beschwerde zu verweigern.

    Der EuGH hat erwogen: Für die Verfolgung des Ziels, ein gleichmäßiges und hohes Schutzniveau für natürliche Personen in der Union sicherzustellen, ist das ordnungsgemäße Funktionieren der Aufsichtsbehörden unentbehrlich. Art 57 Abs 4 DSGVO soll der Verfolgung dieses Ziels dienen, indem verhindert wird, dass Aufsichtsbehörden durch offenkundig unbegründete oder exzessive Beschwerden behindert werden.

    Eine Auslegung dahingehend, dass der Begriff "Anfrage" nur Anfragen nach Art 57 Abs 1 lit e DSGVO und nicht auch Beschwerden nach Art 77 Abs 1 DSGVO umfasse, würde Art 57 Abs 4 DSGVO eines großen Teils seiner praktischen Wirksamkeit berauben und – im Ergebnis – den wirksamen Schutz der durch diese Verordnung garantierten Rechte untergraben. Der in Art 57 Abs 4 DSGVO enthaltene Begriff der "Anfrage" umfasst daher auch Beschwerden an Aufsichtsbehörden.

    Die – alleinige – Häufung von Beschwerden von einer Person kann ein Indiz für exzessive Anfragen sein, wenn sich herausstellt, dass die Beschwerden nicht objektiv durch Erwägungen gerechtfertigt sind, die sich auf den Schutz der Rechte beziehen, die die DSGVO dieser Person verleiht. Dies kann etwa dann der Fall sein, wenn eine Person eine große Zahl von Beschwerden bei einer Aufsichtsbehörde einreicht, die eine Vielzahl von Verantwortlichen betreffen, zu denen sie nicht unbedingt einen Bezug hat und diese übermäßige Inanspruchnahme des Beschwerderechts in Verbindung mit anderen Gesichtspunkten, wie dem Inhalt der Beschwerden, die Absicht der Person erkennen lässt, die Behörde lahmzulegen, indem sie sie mit Anfragen überflutet. Eine isolierte Betrachtung der Zahl der Beschwerden könnte zu einer willkürlichen Beeinträchtigung der Rechte der betroffenen Person aus der DSGVO führen. Die Feststellung, dass exzessive Anfragen iSd Art 57 Abs 4 DSGVO vorliegen, setzt aus diesen Überlegungen den Nachweis einer Missbrauchsabsicht der Person voraus, die solche Beschwerden einreicht.

    Die beiden in Art 57 Abs 4 DSGVO für den Fall exzessiver Anfragen vorgesehenen Optionen, nämlich (i) eine angemessene Gebühr auf der Grundlage der Verwaltungskosten zu verlangen, oder (ii) sich zu weigern, aufgrund solcher Anfragen tätig zu werden, sind nebeneinander aufgeführt und durch die nebenordnende Konjunktion "oder" getrennt. Dieser Wortinterpretation Rechnung tragend darf die Aufsichtsbehörde bei exzessiven Anfragen durch eine mit Gründen versehene Entscheidung darüber wählen, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden. Die Aufsichtsbehörde hat dabei jedoch alle relevanten Umstände zu berücksichtigen und muss sich vergewissern, dass die gewählte Option geeignet, erforderlich und verhältnismäßig ist.


Rechtsprechung des EuG

EuG 08.01.2025, T-354/22, Bindl/Kommission

IP-Adresse, Datentransfer, Schadenersatz

  • Ein Bürger besuchte eine Website der EU, für die die Europäische Kommission ("Kommission") datenschutzrechtliche Verantwortliche war. Er meldete sich für eine Veranstaltung über "EU Login" mittels "Sign in with Facebook" an. Der Bürger ersuchte die Kommission nach der Anmeldung zwei Mal um Datenauskunft bzgl der dadurch verarbeiteten Daten. Ihm wurde auf seine erste Anfrage mitgeteilt, dass seine Daten nicht an Drittländer übermittelt und nur innerhalb Europas gespeichert und verarbeitet werden. Auf seine (präzisierte) zweite Anfrage, die konkrete Fragen zur Datenübermittlung an Meta in den USA aufgrund der Anmeldung enthielt, reagierte die Kommission nicht innerhalb der vorgesehenen Frist, weshalb der Bürger eine Klage an das EuG erhob. Das EuG gab der Klage teilweise statt und sprach dem Bürger auch Schadenersatz zu.

    Das EuG hat erwogen: Die beantragte Nichtigerklärung der Übermittlungen der personenbezogenen Daten an Drittländer ohne angemessenes Schutzniveau ist abzuweisen, weil sich ein solcher Antrag nur auf Rechtsakte beziehen kann. Die Datenübermittlung ist dagegen ein Realakt, der einer Nichtigerklärung nicht zugänglich ist.

    Die Datenübermittlung an die USA bei der Anmeldung für die Veranstaltung ist der Kommission zuzurechnen. Diese hat als Verantwortliche der Website mit dem Hyperlink "Sign in with Facebook" die Voraussetzungen für die Übermittlung der IP-Adresse des Bürgers an Facebook (= Meta) geschaffen. Da – zum Zeitpunkt der Datenübermittlung – kein Angemessenheitsbeschluss vorlag und die Kommission auch keine geeigneten Garantien (Standarddatenschutz- oder Vertragsklauseln) nachweisen konnte, galten nur die Nutzungsbedingungen von Facebook. Die Kommission hat somit gegen die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland durch ein Organ der Union verstoßen.

    Durch die Datenübermittlung wurde der Bürger in eine Lage gebracht, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden. Daher hat er einen immateriellen Schaden erlitten. Für die unrechtmäßige Datenübermittlung ist eine Entschädigung iHv EUR 400 angemessen. Anm: Gegen diese Entscheidung könnte ein Rechtsmittel an den EuGH erhoben werden.


Rechtsprechung des VwGH

Aus der Rechtsprechung des VwGH

  • Das BVwG hat mit Erkenntnis vom 27.06.2024, W176 2248629-1, ausgesprochen, dass die Übermittlung eines MRT-Befundes zur Behandlung im Gesundheitsbereich auf der Grundlage des MTD-Gesetzes zulässig ist. Die gegen dieses Erkenntnis gerichtete außerordentliche Revision wurde vom VwGH aus formalen Gründen zurückgewiesen. Ein Revisionswerber, der eine Abweichung des angefochtenen Erkenntnisses von der Rechtsprechung des Verwaltungsgerichtshofs behauptet, hat konkret darzulegen, dass der der gegenständlich angefochtenen Entscheidung zugrundeliegende Sachverhalt einer der von ihm ins Treffen geführten Entscheidung gleicht, das Verwaltungsgericht im revisionsgegenständlichen Fall jedoch anders entschieden hat und es damit von der ständigen Rechtsprechung des Verwaltungsgerichtshofs abgewichen ist. Eine bloße Wiedergabe von Rechtssätzen, die bloße Zitierung aus Literaturfundstellen oder Geschäftszahlen  ohne Eingehen auf die behaupteten inhaltlichen Abweichungen reicht zur Darlegung des Abweichens von der Rechtsprechung des Verwaltungsgerichtshofs nicht aus (VwGH 26.11.2024, Ra 2024/04/0408). Anm: Die Zusammenfassung des Erkenntnisses des BVwG vom 27.06.2024, W176 2248629-1, können Sie im Schönherr Datenschutzmonitor vom 28.08.2024 nachlesen.


Rechtsprechung des BVwG

BVwG 25.11.2024, W252 2282050-1

Dark Patterns, Cookie-Banner, Widerruf

  • Ein Websitenutzer brachte wegen behaupteter Mangelhaftigkeit eines Cookie-Banners einer von ihm besuchten Website Datenschutzbeschwerde bei der DSB ein. Im Cookie-Banner war die Option zur Einwilligung farblich kontrastreich und groß gestaltet, die Möglichkeit zur Ablehnung war mit geringerem Kontrast und kleinerer Schrift gestaltet. Durch die Gestaltung wurde der Websitenutzer zu einer Einwilligung und damit zu einer Handlung gegen sein Interesse verleitet (Dark Patterns). In der Datenschutzbeschwerde machte der Websitenutzer die Verletzung in den Rechten auf Geheimhaltung und Löschung seiner Daten geltend. Die DSB wies die Datenschutzbeschwerde hinsichtlich des Rechts auf Geheimhaltung ab, gab ihr betreffend die Verletzung im Recht auf Löschung aber statt und trug dem Websitebetreiber eine Änderung des Cookie-Banners auf. Die Websitebetreiberin erhob Bescheidbeschwerde an das BVwG, insbesondere weil die DSGVO keine Gleichwertigkeit von Einwilligungs- und Ablehnungsoptionen vorschreibe. Das BVwG wies die Bescheidbeschwerde ab.

    Das BVwG hat erwogen: Durch die Verknüpfung von Zeichenfolgen mit zusätzlichen Daten, zB der IP‑Adresse oder einer anderen Kennung, kann die Identifizierung eines Websitenutzers ermöglicht werden. Es handelt sich dann um ein personenbezogenes Datum im Sinne von Art 4 Z 1 DSGVO. Eine Unique-ID ist auch dann ein personenbezogenes Datum, wenn der Websitebetreiber nicht selbst die Möglichkeit hat, diese mit einer gespeicherten oder unmittelbar von Dritten erhaltenen IP-Adresse zu kombinieren. Die Weiterverarbeitung von in Cookies gespeicherten oder weitergegebenen Daten fällt in den Anwendungsbereich der DSGVO.

    Ein Verantwortlicher hat personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich gemäß Art 17 Abs 1 lit d DSGVO zu löschen. Dies trifft auch dann zu, wenn eine Einwilligung widerrufen wurde und eine andere Rechtsgrundlage für die Verarbeitung fehlt.

    Eine Einwilligung  muss in informierter Weiseunmissverständlich und  eindeutig abgegeben werden. Eine versehentliche Einwilligung durch Betroffene soll durch die Bedingungen für die Einwilligung in Art 7 Abs 2 DSGVO und auch dem Transparenzgrundsatz in Art 5 Abs 1 lit a DSGVO verhindert werden.

    Ist ein Einwilligungsbutton durch Größe, Kontrast und Platzierung auffällig gestaltet, die Widerspruchsmöglichkeit aber  im Vergleich dazu unauffälliger, kann mangels Transparenz nicht von einer eindeutigen Einwilligung ausgegangen werden.

    Ein Anspruch auf Ausgestaltung der Widerrufsmöglichkeit in Form eines "schwebenden" Symbols besteht jedoch nicht.

 

BVwG 18.11.2024, W274 2284469-1

Entschiedene Sache, Exekutionsverfahren

  • Der Betroffene stellte ein Auskunftsersuchen an einen gerichtlich bestellten Gutachter, der im Rahmen eines Verfahrens vor dem Zivilgericht ein Gutachten mit Bezug zum Betroffenen erstellte. Dabei verlangte er ausdrücklich auch Auskunft über die Herkunft der Daten gemäß Art 15 Abs 1 lit g DSGVO. Der Betroffene behauptete, der Gutachter habe eine falsche Diagnose gestellt, ohne seine Krankengeschichte zu kennen. Nachdem der Gutachter dem Auskunftsersuchen nicht nachkam, brachte der Betroffene eine (erfolgreiche) Datenschutzbeschwerde bei der DSB wegen Verletzung im Recht auf Auskunft ein. Der Gutachter kam dem Ersuchen trotz zweimaligem Hinweis durch die DSB nicht nach, woraufhin die DSB eine Verletzung des Rechts auf Auskunft feststellte und dem Gutachter auftrug, innerhalb von vier Wochen dem Antrag des Betroffenen zu entsprechen. Der Gutachter übermittelte nach ergangenem Bescheid eine Auskunft zur Diagnose des Betroffenen und verwies auf eine frühere Diagnose eines anderen Arztes. Der Betroffene hielt die Diagnose für falsch und verlangte deren Korrektur. Nachdem der Gutachter an seiner Diagnose festhielt, forderte der Betroffene detailliertere Auskunft über die Herkunft der Daten. Der Gutachter verwies hierzu auf den Gerichtsakt. Der Betroffene erachtete diese Auskunft als unzureichend und reichte erneut eine Datenschutzbeschwerde bei der DSB ein, welche die DSB abwies, weil der Gutachter dem Betroffenen bereits Auskunft erteilt habe. Daraufhin erhob der Betroffene eine (erfolglose) Bescheidbeschwerde an das BVwG.

    Das BVwG hat erwogen: Die materielle Rechtskraft eines Bescheids steht einer weiteren Entscheidung in derselben Rechtssache entgegen. Eine Änderung entscheidungsrelevanter Fakten führt dazu, dass die Sache ihre ursprüngliche Identität verliert, womit eine andere Sache vorliegt, über die bescheidmäßig abgesprochen werden kann oder muss. Bei der Beurteilung der Identität der Sache ist festzustellen, ob an den entscheidungsrelevanten Fakten eine wesentliche Änderung eingetreten ist.

    Die Behörde hat die Identität der Sache im Vergleich mit dem im Vorbescheid angenommenen Sachverhalt zu beurteilen und zu prüfen, ob sich an diesem Sachverhalt oder an seiner rechtlichen Beurteilung eine wesentliche Änderung ergeben hat. Dem Vorbescheid lag eine Datenschutzbeschwerde zugrunde, der einen Antrag auf Feststellung der Rechtsverletzung durch den Gutachter sowie einen Leistungsauftrag zur Entsprechung des Auskunftsersuchens umfasste. Die zweite Datenschutzbeschwerde des Betroffenen bezog sich erneut auf die Herkunft der Daten. Die beantragte Auskunft über die Herkunft der Daten war bereits Gegenstand des Leistungsauftrags des ersten Bescheids. Die zweite Datenschutzbeschwerde war daher wegen entschiedener Sache zurückzuweisen.

    Sollte der Betroffene mit den bisherigen Auskünften nicht zufrieden sein, ist er auf ein allfälliges Exekutionsverfahren zu verweisen. Zudem ist darauf hinzuweisen, dass die Fragen des Betroffenen typischerweise bei der Erörterung von Gutachten im Zivilverfahren zu klären sind.

 

BVwG 18.11.2024, W137 2297057-1

Auskunftsrecht, Rechte von Dritten, Öffnungsklausel

  • Ein Mann war über acht Jahre mit der Pflege und Erziehung eines minderjährigen Kindes betraut. Nach einem behördlich eingeleiteten Überprüfungsverfahren wurde das Kind aufgrund von Bedenken hinsichtlich des Kindeswohls anderweitig untergebracht. Die Obsorge ging auf den Kinder- und Jugendhilfeträger über. Dieser verarbeitete personenbezogene Daten des ehemaligen Pflegevaters in mehreren elektronischen Akten. Neben dessen Papierakt lag ein weiterer Akt über das Kind vor, der auch personenbezogene Daten des ehemaligen Pflegevaters enthielt. Dieser stellte ein Auskunftsersuchen gemäß Art 15 DSGVO, um Informationen über die Verarbeitung seiner personenbezogenen Daten zu erhalten. Weiters beantragte der ehemalige Pflegevater die Herausgabe seiner Daten in Papierform und forderte eine ungekürzte Übermittlung der beantragten Informationen samt Unterlagen. Die anschließend erteilte Auskunft hielt er für unvollständig. Die DSB wies die Datenschutzbeschwerde ab. Daraufhin erhob der Mann (erfolglos) Bescheidbeschwerde an das BVwG.

    Das BVwG hat erwogen: Eine Betroffene soll durch die Auskunft in die Lage versetzt werden, sich der Verarbeitung ihrer personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Art 15 DSGVO gewährt jedoch nur das Recht, die eigenen Daten zu erhalten. Dementsprechend kann sich der ehemalige Pflegevater in Bezug auf die Daten des Kindes nicht auf Art 15 DSGVO stützen.

    Weiters könnte er das Kind im Verfahren nur dann vertreten, wenn dies dessen Interesse im Rahmen des Kindeswohls entspräche. Da die Kinder- und Jugendhilfe ein höchst sensibler Bereich ist, können einzelne Informationen gemäß § 12 Abs 4 Wiener Kinder- und Jugendhilfegesetz  (WKJHG) unter Berücksichtigung des Kindeswohls unter Umständen nicht erteilt oder Kopien nur eingeschränkt übermittelt werden.

    Darüber hinaus darf gemäß Art 15 Abs 4 DSGVO das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Weiters enthalten die nach der Öffnungsklausel des Art 23 DSGVO zulässigen Bestimmungen, ua im WKJHG, Beschränkungen des Auskunftsrechts aufgrund von Kindeswohlerwägungen. Diese ähneln den Regelungen des § 4 Abs 6 DSG, die sich auf Geschäfts- und Betriebsgeheimnisse beziehen.

    Da dem ehemaligen Pflegevater die Obsorge entzogen wurde, ist nicht anzunehmen, dass die Einsicht in den Papierakt  seines ehemaligen Pflegekindes dem Kindeswohl dient. Dementsprechend ist die Zurverfügungstellung des noch nicht beauskunfteten Papierakts bzw der Aktenteile vor dem Hintergrund des Kindeswohls bzw der sonstigen Einschränkungen des Auskunftsrechts nach dem WKJHG nicht geboten.

    Das Auskunftsrecht nach der DSGVO unterscheidet sich von den Rechten einer Verfahrenspartei im Rahmen eines Rechtsstreits. Es ist aber nicht dazu gedacht, allfällige Ausnahmen von einer Akteneinsicht auszuhebeln.
     

Aus der Rechtsprechung des BVwG:

  • Der Bürgermeister einer Stadt ist eine staatliche Behörde iSd § 1 Abs 2 DSG. Denn der Begriff "Behörde" ist im funktionellen Sinn zu verstehen, davon sind auch Selbstverwaltungskörper und alle Stellen der Hoheitsverwaltung erfasst. Eingriffe staatlicher Behörden sind nur aufgrund von Gesetzen zulässig, die ausreichend präzise, also für jedermann vorhersehbar, regeln, unter welchen Voraussetzungen die Verwendung personenbezogener Daten für die Wahrnehmung konkreter Verwaltungsaufgaben erlaubt ist (BVwG 25.11.2024, W214 2273462-1).
     
  • Die Verarbeitung bestimmter personenbezogener Daten zum Zweck der Erhebung des ORF-Beitrags sowie der Ermittlung der Beitragsschuldner und zur Prüfung, ob eine Befreiung vorliegt, ist notwendig. Die Regelungen des mit "Datenübermittlung" titulierten § 13 ORF-Beitrags-Gesetz (OBG) erscheinen sachgerecht und sind auf das notwendige bzw verhältnismäßige Maß beschränkt. Ein unzulässiger und unverhältnismäßiger Eingriff in das Grundrecht auf Datenschutz durch das OBG ist nicht zu erblicken (BVwG 04.12.2024, W603 2303734-103.12.2024, I406 2300562-1).



Rechtsprechung der DSB

DSB 27.06.2024, 2024-0.028.256

Anzeige, Akteneinsicht, Interessenabwägung

  • Der Betroffene machte eine Eingabe bei der Bauabteilung eines Gemeindeamts, in welcher er darauf hinwies, dass die Brandschutzsicherungsmaßnahmen sowie der Schallschutz eines Wohnbaus eines Grundstückseigentümers nicht in Ordnung seien und überprüft werden müssten. Dabei sei ihm nicht klar gewesen, dass es sich bei seiner Eingabe um eine Anzeige handle. Nachdem der Grundstückseigentümer Kenntnis von der Anzeige erlangte, nahm er Akteneinsicht und kontaktierte den Betroffenen telefonisch, wobei auch Beschimpfungen und Drohungen gefallen sein sollen. Das Gemeindeamt legte dem Grundstückseigentümer den Vor- und Nachnamen des Betroffenen offen, nicht aber dessen Telefonnummer. Daraufhin brachte der Betroffene eine (erfolgreiche) Datenschutzbeschwerde gegen das Gemeindeamt bei der DSB ein, weil er sich durch die Weitergabe seiner Daten an den Grundstückseigentümer in seinem Grundrecht auf Geheimhaltung verletzt sah.

    Die DSB hat erwogen: Gemäß § 1 Abs 1 DSG hat Jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Es spielt keine Rolle, auf welche Weise Daten verarbeitet werden, auch eine mündliche Mitteilung kann eine Verletzung sein. Der offengelegte Vor- und Nachname des Betroffenen fällt in den sachlichen Schutzbereich des § 1 DSG.

    Die Offenlegung durch das Gemeindeamt erfolgte zwar auf Basis einer qualifizierten rechtlichen Grundlage, weil der Grundstückseigentümer sein Recht auf Akteneinsicht nach § 17 AVG wahrnahm. Grundsätzlich erstreckt sich die Akteneinsicht auf alle Unterlagen, die sich auf die Sache beziehen. § 17 Abs 3 AVG nimmt jedoch Aktenbestandteile davon aus, wenn der Einsichtnahme legitime Interessen entgegenstehen. Das Gemeindeamt hätte eine Interessenabwägung zwischen dem Recht auf Akteneinsicht des Grundstückseigentümers und dem Grundrecht auf Geheimhaltung des Betroffenen vornehmen müssen. Das Interesse des Grundstückseigentümers an vollständiger Information wäre dabei geringer zu gewichten als das Interesse an Geheimhaltung seitens des Betroffenen. Die Offenlegung der Identität des Betroffenen war zur Gewährleistung des Rechts auf Akteneinsicht nicht notwendig, weshalb eine Verletzung des Grundsatzes der Datenminimierung verwirklicht wurde.

EU-Rechtsakte

  • Am 08.01.2025 ist die "VO (EU) 2025/12 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über die Erhebung und Übermittlung vorab übermittelter Fluggastdaten zur Verbesserung und Erleichterung der Kontrollen an den Außengrenzen, zur Änderung der Verordnungen (EU) 2018/1726 und (EU) 2019/817 sowie zur Aufhebung der Richtlinie 2004/82/EG des Rates", ABl L 2025/12, 1, kundgemacht worden. Mit dieser VO wird den Fluggesellschaften die Pflicht auferlegt, bei Flügen in die Union sogenannte API-Daten (vorab übermittelte Fluggastdaten) zu erheben und diese verschlüsselt an die zuständigen Grenzbehörden zu übermitteln. Die API-Daten umfassen Identifizierungs-, Flugzeug- und Gepäckdaten.
     
  • Am 08.01.2025 ist die "VO (EU) 2025/13 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über die Erhebung und Übermittlung vorab übermittelter Fluggastdaten zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität und zur Änderung der Verordnung (EU) 2019/818", ABl L 2025/13, 1, kundgemacht worden. Mit dieser VO wird den Fluggesellschaften die Pflicht auferlegt, zur Bekämpfung der länderübergreifenden schweren und  organisierten Kriminalität sowie des Terrorismus an die sogenannten PNR-Zentralstellen verschlüsselte  API-Daten und sonstige PNR-Daten (sonstige Fluggastdatensatzdaten) zu übermitteln.
     
  • Am 10.01.2025 ist die "RL (EU) 2025/25 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Richtlinien 2009/102/EG und (EU) 2017/1132 zur Ausweitung und Optimierung des Einsatzes digitaler Werkzeuge und Verfahren im  Gesellschaftsrecht", ABl L 2025/25, 1, kundgemacht worden. Ziel dieser RL ist es, durch die Vernetzung von Unternehmensregistern und die Schaffung von digitalen Werkzeugen, die grenzüberschreitende Gründung  von KapitalgesellschaftenEintragung  von Zweigniederlassungen und  Einreichung von Dokumenten und  Informationen bei den Unternehmensregistern zu erleichtern.
     
  • Am 10.01.2025 ist eine Berichtigung der "VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte;  DMA)", ABl L 2025/90024, 1, kundgemacht worden. Berichtigt wird ein redaktionelles Versehen und die Berichtigung betrifft nur einen Verweis auf die Befugnisse der Europäischen Kommission.
     
  • Am 10.01.2025 ist die "UN-Regelung Nr. 155 — Einheitliche Bedingungen für die  Genehmigung von Fahrzeugen hinsichtlich der  Cybersicherheit und des  Cybersicherheitsmanagementsystems" im Amtsblatt der EU, ABL L 2025/5, 1, kundgemacht worden. Verbindlich ist jedoch die von der UN verabschiedete Originalfassung.

Vorschau EuGH-Rechtsprechung

  • Am 29.01.2025 wird das Urteil des EuG in den verbundenen Rs T-70/23T-111/23T-84/23Data Protection Commission/Europäischer Datenschutzausschuss, verkündet. Die irische Aufsichtsbehörde erhob Klage an das EuG gegen Teile eines verbindlichen Beschlusses des EDSA, weil der EDSA seine Befugnisse überschritten habe.
     
  • Am 04.02.2025 wird die mündliche Verhandlung in der Rs T-183/23, Ballmann/Europäischer Datenschutzausschuss, stattfinden. Die Klägerin beantragt die Aufhebung eines Beschlusses des EDSA, mit dem ihr die Akteneinsicht zum Akt eines verbindlichen Beschlusses des EDSA verwehrt wurde. Anm: Es geht um denselben verbindlichen Beschluss betreffend Meta (Facebook), zu dem am 29.01.2025 ein Urteil des EuG ergehen wird.
     
  • Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.
     
  • Am 06.02.2025 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern. Anm: Diese Schlussanträge waren bereits für den 12.12.2024 angekündigt, ihre Verkündung wurde jedoch verschoben.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More