ARTICLE
27 January 2025

To The Point: Datenschutzmonitor 03/2025

SA
Schoenherr Attorneys at Law

Contributor

Schoenherr Attorneys at Law logo
We are a full-service law firm with a footprint in Central and Eastern Europe providing local and international companies stellar advice. As the go-to legal advisor for complex commercial matters in the region, Schoenherr aims to use its proximity to industry leaders, in developing practical solutions for future challenges. We keep a close eye on trends and developments, which enables us to provide high quality legal advice that is straight to the point.
Explore Firm Details
Ein Abgeordneter zum Nationalrat stellte zur Vorbereitung seiner parlamentarischen Tätigkeit Auskunftsersuchen zu Korruptionsvorwürfen an den Bundesminister für Bildung, Wissenschaft und Forschung (E1379/2024).
Austria Privacy
János Böszörményi,Florian Terharen,Philipp John
+4 Authors
 Your Author LinkedIn Connections

Rechtsprechung des VfGH
VfGH 02.12.2024, E1380/2024; 02.12.2024, E1379/2024
Nationalrat, Auskunftsrecht

  • Ein Abgeordneter zum Nationalrat stellte zur Vorbereitung seiner parlamentarischen Tätigkeit Auskunftsersuchen zu Korruptionsvorwürfen an den Bundesminister für Bildung, Wissenschaft und Forschung (E1379/2024) und an den Bundesminister für Finanzen (E1380/2024), die er auf das AuskunftspflichtG stützte. Nachdem ihm die Auskünfte verweigert wurden, erhob er Bescheidbeschwerden an das BVwG, das diese abwies. Begründet wurde dies damit, dass der Abgeordnete das Auskunftsbegehren als Abgeordneter zum Nationalrat gestellt habe. In dieser Funktion komme ihm gemäß Art 52 B-VG (Interpellationsrecht) ein besonderes Auskunftsrecht zu. Aufgrund dieses spezielleren Auskunftsrechts sei eine Auskunft gemäß § 6 AuskunftspflichtG ausgeschlossen. Dagegen erhob er Erkenntnisbeschwerden gemäß Art 144 B-VG wegen Verletzung in verfassungsgesetzlich gewährleisteten Rechten an den VfGH, der diesen stattgab und feststellte, dass der Abgeordnete im Recht auf Gleichheit aller Staatsbürger vor dem Gesetz gemäß Art 2 StGG und Art 7 B-VG verletzt wurde.
    Der VfGH hat erwogen: Das BVwG begründet seine Entscheidung ausschließlich damit, dass das Auskunftsbegehren in der Funktion eines Abgeordneten zum Nationalrat und damit als Organ der Gesetzgebung gestellt wurde. Das Interpellationsrecht ist in Art 52 B-VG sowie den §§ 90 ff GOG-NR geregelt und unterliegt strengen Formalvoraussetzungen.
    Anfragen von Abgeordneten sind nur dann eine der Gesetzgebung zuzuzählende Tätigkeit eines gesetzgebenden Organs, wenn sie in der vorgesehenen Weise gestellt wurden. Das Verhalten eines Abgeordneten ist nicht schlechthin immer schon dann der Gesetzgebung zuzuzählen, wenn der Abgeordnete als solcher auftritt. Auch ein Verweis auf die Vorbereitung der parlamentarischen Tätigkeit in den Auskunftsersuchen ändert daran nichts. Auch ein Abgeordneter muss wie jedermann das Recht haben, ein Auskunftsbegehren nach dem AuskunftspflichtG zu stellen.


Rechtsprechung des OGH
Zentrales Testamentsregister, Erbe, Notar

  • Der quotenmäßige Erbe eines Verstorbenen hat kein Recht auf Einsicht in das von der Österreichischen Notariatskammer geführte Österreichische Zentrale Testamentsregister ("ÖZTR"). Auf die Datenverarbeitungen zur Führung des ÖZTR sowie die sich aus dem Recht auf Auskunft, Richtigstellung und Löschung nach § 1 DSG ergebenden Rechte und Pflichten sind die Notariatsordnung ("NO") und die nach § 140a Abs 2 Z 8 NO erlassenen Richtlinien ("RL") anzuwenden. § 140c Abs 3 NO sieht eine Übermittlung der registrierten Daten (nur) an die (i) Verlassenschaftsgerichte und (ii) öffentlichen Notare als Gerichtskommissäre in Verlassenschaftssachen sowie (iii) zu Kontrollzwecken an die Gerichte, Notare und Rechtsanwälte vor. Hingegen ist ein Erbe weder in der NO noch in den RL genannt (OGH 11.12.2024, 6Ob147/24x).


Rechtsprechung des BVwG
BVwG 06.11.2024, L532 2300411-1
Gesetzesprüfungsantrag, Handyauswertung

  • Im Verfahren vor dem Bundesamt für Fremdenwesen und Asyl zielen die §§ 35a, 39, 39a BFA-VG darauf ab, die Reiseroute und Identität eines Asylwerbers zu ermitteln. Dazu erlauben sie die Sicherstellung und – aufgrund behördlicher Anordnung – die Auswertung von Datenträgern. Die Auswertung eines Datenträgers setzt lediglich voraus, dass ein Antrag auf internationalen Schutz gestellt wurde, eine Feststellung der Identität nicht möglich ist und eine Auswertung nicht bereits durch die Erstaufnahmestelle erfolgt ist.
    In einem Maßnahmenbeschwerdeverfahren wurde die Verfassungskonformität dieser Bestimmungen in Frage gestellt, weil sie weitreichende Eingriffsbefugnisse ohne angemessenen Rechtsschutz und Garantien für die Betroffenen vorsehen würden. Erst kürzlich habe der VfGH entschieden, dass die Abnahme und Sicherstellung von Mobiltelefonen im strafrechtlichen Ermittlungsverfahren ohne richterliche Bewilligung gegen das Grundrecht auf Datenschutz und das Recht auf Privatleben verstoße und daher verfassungswidrig sei.
    Die Maßnahmen im BFA-VG böten bei gleicher Eingriffsintensität schwächere Garantien zum Schutz der Geheimhaltungsinteressen der Betroffenen als die für verfassungswidrig erklärten Regelungen der StPO. Der Grundrechtseingriff könne im Rahmen einer Maßnahmenbeschwerde nicht vollständig angefochten werden, sodass der gesetzlich vorgesehene Rechtsschutz gegen die Sicherstellung und Auswertung eines Datenträgers unzureichend sei.
    Das BVwG teilt diese Bedenken, setzte das Maßnahmenbeschwerdeverfahren aus und stellte einen Gesetzesprüfungsantrag an den VfGH auf Aufhebung einzelner Bestimmungen des BFA-VG.
    Das BVwG hat erwogen: Es bestehen erhebliche Bedenken an der Verfassungskonformität der §§ 35a, 39, 39a BFA-VG und des § 38 Abs 2 BFA-VG. Zwar wurde die Verfassungsmäßigkeit von § 38 Abs 2 BFA-VG nicht in Zweifel gezogen, doch darf diese Bestimmung bei einer Aufhebung der übrigen Bestimmungen nicht bestehen bleiben.
    Dem Gesetzgeber steht es frei, für verschiedene Regelungsregime wie Strafprozessrecht und fremdenrechtliches Verfahrensrecht unterschiedliche Anordnungen zu treffen. Es ist jedoch nicht nachvollziehbar, warum gravierende unterschiedliche Anforderungen gelten sollten, die zu unsachlichen Schlechterstellungen führen.
    Ein gangbarer gesetzgeberischer Weg wäre, die Anordnungsbefugnis zur Datenträgersicherstellung unverändert im Rechtsbestand zu belassen, die Anordnung zur Datenträgerauswertung jedoch von einer bekämpfbaren Entscheidung des BVwG abhängig zu machen, sodass die Rechtsschutzmöglichkeiten von betroffenen Fremden bei gleichzeitiger Sicherstellung effektiver verwaltungsbehördlicher Verfahrensführung gewahrt blieben.

BVwG 18.10.2024, W256 2248161-1
Verarbeitung, Informationspflicht, Ausnahme

  • Ein Wahlberechtigter abonnierte über die Website einer politischen Partei deren Newsletter unter Angabe seiner E-Mail-Adresse. Diese enthielten Informationen über politische Themen und Aktivitäten in Form von Texten, die von Regierungsmitgliedern verfasst und unterzeichnet wurden. Der Versand erfolgte über das technische Netzwerk der Partei und in deren eigener Verantwortung.
    Der Wahlberechtigte stellte ein Auskunftsersuchen nach Art 15 DSGVO. Die darauf erteilte Auskunft hielt er für unzureichend. Zudem vertrat er die Ansicht, dass eine Offenlegung seiner personenbezogenen Daten an Dritte erfolgt sei. Weiters monierte er eine Verletzung der Informationspflicht gemäß Art 14 DSGVO wegen der Verarbeitung seiner Daten aus der Wählerevidenz. Die DSB stellte zwar fest, dass die Partei sein Recht auf Auskunft verletzt hatte, jedoch sei keine Offenlegung an Dritte erfolgt. Weiters wurde die Datenschutzbeschwerde hinsichtlich der Verletzung der Informationspflicht abgewiesen. Daraufhin erhob der Wahlberechtigte (erfolglose) Bescheidbeschwerde an das BVwG.
    Das BVwG hat erwogen: Der Spruch enthält keine explizite Abweisung in Bezug auf die vom Wahlberechtigten aufgezeigte Unvollständigkeit der Auskunft. Fehlt es dem Spruch an der gebotenen Deutlichkeit, so ist die Bescheidbegründung zu seiner Auslegung heranzuziehen. Unter Berücksichtigung der Bescheidbegründung kann kein Zweifel daran bestehen, dass die Datenschutzbeschwerde in dieser Hinsicht abgewiesen wurde.
    Nach Art 4 Z 2 DSGVO fällt nicht nur die Offenlegung durch Übermittlung, sondern bereits jede "andere Form der Bereitstellung" unter den Begriff einer Verarbeitung. Damit wird der Charakter der Offenlegung als "Zugänglichmachen" verdeutlicht. Jedoch räumte man den jeweiligen Regierungsmitgliedern in keiner Weise eine Einblicksmöglichkeit in die Daten des Wahlberechtigten ein. Es wurden lediglich von diesen bereitgestellte Texte in die Newsletter kopiert und in weiterer Folge unter Verwendung der Daten des Wahlberechtigten an diesen versendet.
    Gemäß Art 14 DSGVO hat der Verantwortliche der Betroffenen bestimmte Informationen zur Verfügung zu stellen. Nach Art 14 Abs 5 lit c DSGVO entfallen die Informationspflichten, wenn und soweit eine Rechtsvorschrift die Erhebung oder (zweckändernde) Offenlegung bestimmter Daten ausdrücklich regelt.
    Die Daten des Wahlberechtigten wurden aufgrund der Bestimmung des § 4 Abs 2 Wählerevidenzgesetz aus der Wählerevidenz der Gemeinde erhoben. Die Ausnahmereglung des Art 14 Abs 5 lit c DSGVO greift hier zwar nicht, weil die Partei nicht verpflichtet war, die Daten zu erheben, sondern die Erhebung freiwillig erfolgte. Die Partei hatte aber bereits im Zeitpunkt der Datenerhebung in ihrer Datenschutzerklärung auf der Website und in den Aussendungen über die Datenverarbeitung informiert. Die zusätzliche Nennung der bereits im Gesetz ausreichend klar und präzise geregelten Informationen gemäß Art 14 DSGVO ist in einem solchen Fall nicht erforderlich. Schon allein der Hinweis auf die tatsächliche Datenverarbeitung versetzt die betroffene Person in die Lage, sich anhand der Rechtsvorschrift einen hinreichenden Überblick über die konkrete Datenverwendung zu verschaffen.
    Da die gegenständliche Datenerhebung zum Zweck der Kommunikation erfolgt ist, bestehen im Hinblick auf die Ausnahmeregelung des Art 14 Abs 3 lit b DSGVO auch keine Bedenken daran, dass die Informationserteilung der Partei rechtzeitig erfolgt ist.

BVwG 30.10.2024, W256 2247276-1
Präklusion

  • In einem Rechtsstreit vor Gericht übermittelte die beklagte Klinik Gesundheitsdaten auf deren Ansuchen an die dem Rechtsstreit beigetretene Nebenintervenientin. Von der Datenübermittlung erfuhr der klagende Patient von der Klinik im Mai 2019 aufgrund eines Auskunftsersuchens. Der Patient fühlte sich durch diese Vorgehensweise in seinem Recht auf Geheimhaltung verletzt, weil die Übermittlung der Gesundheitsdaten zur Verteidigung von Rechtsansprüchen nicht notwendig gewesen sei und brachte im Juni 2020 Datenschutzbeschwerde bei der DSB ein. Die DSB wies die Datenschutzbeschwerde ab. Dagegen erhob der Patient Bescheidbeschwerde an das BVwG. Das BVwG wies die Bescheidbeschwerde wegen bereits eingetretener Präklusion gemäß § 24 Abs 4 DSG zurück.
    Das BVwG hat erwogen: Die Verjährungsregelung des § 24 Abs 4 DSG ist eine Präklusivfrist, die von Amts wegen wahrzunehmen ist und die Lebensdauer eines Rechts nicht verlängerbar begrenzt. Da die DSGVO keine Vorschriften oder Fristen für die Rechtsverfolgung enthält, ist es Sache jedes einzelnen Mitgliedstaats, das Verfahren für die Rechtsverfolgung und auch die Präklusion von Rechten in seiner innerstaatlichen Rechtsordnung unter Wahrung der Grundsätze der Äquivalenz und Effektivität auszugestalten.
    Das Grundrecht auf Datenschutz darf nur unter Einhaltung strenger Bedingungen eingeschränkt werden. Zulässige Einschränkungen müssen dabei gesetzlich vorgesehen sein, den Wesensgehalt des betreffenden Rechts beachten sowie unter Wahrung des Grundsatzes der Verhältnismäßigkeit erforderlich sein und dem von der EU anerkannten Gemeinwohl entsprechen. Die Präklusion und somit die Einschränkung des Grundrechts auf Datenschutz ist in § 24 Abs 4 DSG gesetzlich vorgesehen.
    Die einjährige Präklusivfrist des § 24 Abs 4 DSG beginnt mit Kenntnis der Betroffenen vom "beschwerenden Ereignis" zu laufen. Der Patient war nach der Beantwortung des Auskunftsersuchens im Mai 2019 in der Lage, das zur Begründung seines Anspruchs erforderliche Sachvorbringen in Form einer Datenschutzbeschwerde konkret zu erstatten. Die einjährige subjektive Frist des § 24 Abs 4 DSG begann daher ab diesem Zeitpunkt zu laufen und war bei Beschwerdeerhebung schon verstrichen.

Aus der weiteren Rechtsprechung des BVwG:

  • Die Behörden und Gerichte dürfen nur darüber absprechen, was beantragt wurde. Sie sind an den Inhalt der Datenschutzbeschwerde gebunden. Gegenstand des Verfahrens ist daher ausschließlich die zugrundeliegende Datenschutzbeschwerde und die darin konkret geltend gemachte Rechtsverletzung. Weder die DSB noch das BVwG haben im Falle einer behaupteten Verletzung im Recht auf Auskunft jegliche Rechtsverletzung zu überprüfen. Ein subjektives Recht auf Einleitung eines Strafverfahrens besteht nicht. Darüber hinaus gilt nach § 25 Abs 1 VStG das Prinzip der Amtswegigkeit. Die Behörde hat sowohl bei der Einleitung als auch bei der Durchführung des Verwaltungsstrafverfahrens von Amts wegen vorzugehen. Der Betroffene hat keinen Anspruch auf Einleitung eines Verwaltungsstrafverfahrens (BVwG 27.11.2024, W256 2246546-1).
  • Stirbt der Betroffene, hat das BVwG den angefochtenen Bescheid ersatzlos aufzuheben. Das Datenschutzrecht ist ein höchstpersönliches Recht, das mit dem Tod des Betroffenen untergeht und nicht auf einen etwaigen Rechtsnachfolger übergehen kann. Mit dem Verlust der Parteistellung fällt die Berechtigung weg, eine Datenschutzbeschwerde zu erheben. Damit einhergehend fällt die Berechtigung der DSB weg, über die Datenschutzbeschwerde zu entscheiden (BVwG 10.12.2024, W211 2272735-1).


Leitlinien
Neues vom EDSA
EDSA Leitlinien 01/2025 über Pseudonymisierung (2025)
Pseudonymisierung, Personenbezug, Weiterverarbeitung

  • Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien zur Pseudonymisierung angenommen, in welchen der EDSA insb die Definition und Anwendbarkeit der Pseudonymisierung und deren Vorteile erläutert. Klargestellt wird, dass pseudonymisierte Daten, die einer Person (vom Verantwortlichen oder einer anderen Person) durch zusätzliche Informationen zugeordnet werden könnten, immer noch personenbezogene Daten sind. Die Pseudonymisierung kann Risiken reduzieren und die Nutzung berechtigter Interessen als Erlaubnistatbestand erleichtern, sofern alle anderen Anforderungen der DSGVO erfüllt sind. Die Pseudonymisierung kann dazu beitragen, iSd Art 6 Abs 4 DSGVO die Vereinbarkeit der Weiterverarbeitung mit dem ursprünglichen Zweck zu gewährleisten. Die Pseudonymisierung kann Organisationen auch helfen, ihren Verpflichtungen gemäß Art 5, 25 und 32 DSGVO nachzukommen. Bestimmte technische Maßnahmen und Garantien bei der Verwendung von Pseudonymisierung können zudem die Vertraulichkeit gewährleisten und eine unbefugte Identifizierung von Personen verhindern. Anm: Die Leitlinien werden bis zum 28.02.2025 einer öffentlichen Konsultation unterzogen, um Interessenträgern Gelegenheit zur Stellungnahme zu geben.

Erklärung zum Zusammenspiel von Datenschutz- und Wettbewerbsrecht
Markt- und Wettbewerbsfaktoren, Datenschutzpraktiken, Regulierungsbehörden

  • Der EDSA hat eine Erklärung zum Zusammenspiel von Datenschutz- und Wettbewerbsrecht angenommen, in der Konstellationen erörtert werden, in denen sich diese Rechtsgebiete überschneiden können. Obwohl es separate Rechtsgebiete mit unterschiedlichen Zielen in unterschiedlichen Rahmen sind, können sie in bestimmten Fällen für dieselben Einrichtungen gelten. Unter bestimmten Voraussetzungen sollen Schritte zur Einbeziehung von Markt- und Wettbewerbsfaktoren in die Datenschutzpraktiken und zur Berücksichtigung von Datenschutzvorschriften bei Wettbewerbsbewertungen gemacht werden.
    Die Zusammenarbeit zwischen den Regulierungsbehörden soll verbessert werden, ua indem eine zentrale Anlaufstelle eingerichtet wird, um die Koordinierung zwischen Regulierungsbehörden zu fördern.


EU-Rechtsakte

  • Am 15.01.2025 ist die "VO (EU) 2025/37 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 zur Änderung der Verordnung (EU) 2019/881 im Hinblick auf verwaltete Sicherheitsdienste", ABl L 2025/37, 1, kundgemacht worden. Mit dieser VO werden europäische Schemata für die Cybersicherheitszertifizierung eingeführt. Zudem wird ua ein europäischer Zertifizierungsrahmen für die Cybersicherheit geschaffen.
  • Am 15.01.2025 ist die "VO (EU) 2025/38 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über Maßnahmen zur Stärkung der Solidarität und der Kapazitäten in der Union für die Erkennung von, Vorsorge für und Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen und zur Änderung der Verordnung (EU) 2021/694 (Cybersolidaritätsverordnung)", ABl L 2025/38, 1, kundgemacht worden. Mit dieser VO werden Maßnahmen zur Stärkung der Kapazitäten in der Union für die Erkennung von, Vorsorge für und Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen festgelegt.


Vorschau EuGH-Rechtsprechung

  • Am 29.01.2025 wird das Urteil des EuG in den verbundenen Rs T-70/23, T-111/23, T-84/23, Data Protection Commission/Europäischer Datenschutzausschuss, verkündet. Die irische Aufsichtsbehörde erhob Klage an das EuG gegen Teile eines verbindlichen Beschlusses des EDSA, weil der EDSA seine Befugnisse überschritten habe.
  • Am 04.02.2025 wird die mündliche Verhandlung in der Rs T-183/23, Ballmann/Europäischer Datenschutzausschuss, stattfinden. Die Klägerin beantragt die Aufhebung eines Beschlusses des EDSA, mit dem ihr die Akteneinsicht zum Akt eines verbindlichen Beschlusses des EDSA verwehrt wurde. Anm: Es geht um denselben verbindlichen Beschluss betreffend Meta (Facebook), zu dem am 29.01.2025 ein Urteil des EuG ergehen wird.
  • Am 06.02.2025 werden die Schlussanträge in der Rs C-413/23 P, EDSB/SRB, veröffentlicht. Gegenstand des Verfahrens ist der Begriff des Personenbezugs.
  • Am 06.02.2025 werden die Schlussanträge in der Rs C-492/23, Russmedia Digital und Inform Media Press, veröffentlicht. Gegenstand des Verfahrens sind Pflichten von Hostingprovidern. Anm: Diese Schlussanträge waren bereits für den 12.12.2024 angekündigt, ihre Verkündung wurde jedoch verschoben.
  • Am 13.02.2025 wird das Urteil des EuGH in der Rs C-383/23, ILVA (Amende pour violation du RGPD), verkündet. Der EuGH wird Rechtsfragen zum Verhängen von Geldbußen gegen Unternehmen beantworten. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.
  • Am 13.02.2025 wird das Urteil des EuGH in der Rs C-612/23, Verbraucherzentrale Berlin, verkündet. Der EuGH wird über die Mindestvertragslaufzeit von Telekommunikationsverträgen absprechen.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of János Böszörményi
János Böszörményi
Photo of Florian Terharen
Florian Terharen
Photo of Denise Stahleder
Denise Stahleder
Photo of Philipp John
Philipp John
Photo of Christian Kracher
Christian Kracher
Person photo placeholder
Anna Maria Gidwani
Person photo placeholder
Gamze Turan
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More