ARTICLE
14 February 2025

To The Point: Datenschutzmonitor 06/2025

SA
Schoenherr Attorneys at Law

Contributor

Schoenherr Attorneys at Law logo
We are a full-service law firm with a footprint in Central and Eastern Europe providing local and international companies stellar advice. As the go-to legal advisor for complex commercial matters in the region, Schoenherr aims to use its proximity to industry leaders, in developing practical solutions for future challenges. We keep a close eye on trends and developments, which enables us to provide high quality legal advice that is straight to the point.
Explore Firm Details
Mit diesem wöchentlichen Newsletter wollen wir eine kurze und aktuelle Rechtsprechungsübersicht für das Datenschutzrecht...
Austria Privacy
János Böszörményi,Florian Terharen,Philipp John
+5 Authors
 Your Author LinkedIn Connections

To the Point:

Rechtsprechung des EGMR

EGMR 04.02.2025, 33421/16 au, Klimova ua/Russland

Vorratsdatenspeicherung, Aktivistin, Meinungsfreiheit

  • Kommunikationsdienste haben in Russland Metadaten über Internetkommunikationen für ein Jahr und Inhaltsdaten der Internetkommunikationen für sechs Monate aufzubewahren (= Vorratsdatenspeicherung). Diese Daten sind auf Anfrage von Polizei oder Sicherheitsdiensten vom Kommunikationsdienstleister herauszugeben. Eine gerichtliche Genehmigung ist dafür nicht zwingend erforderlich.

    Eine Aktivistin administrierte eine öffentliche Community auf dem russischen sozialen Netzwerk VKontakte (VK), die sich für die Rechte von LGBTQI+ Personen einsetzte. Der russische Geheimdienst (Federal Security Service; FSB) erwirkte die Herausgabe von Nutzerdaten der Administratorin einschließlich weitreichender Informationen über den Inhalt und weiterer Teilnehmer der Community. Über die durch diese Herausgabe persönlich identifizierte Aktivistin wurden in der Folge wegen Förderung von Homosexualität bei Minderjährigen zwei Verwaltungsstrafen verhängt. Diese Strafen wurden im Rechtsmittelverfahren aufrechterhalten.

    Der EGMR stellte einstimmig eine Verletzung der durch Art 8 (Recht auf Achtung des Privat- und Familienlebens) und Art 10 EMRK (Freiheit der Meinungsäußerung) gewährleisteten Rechte fest und sprach der Aktivistin EUR 9.800 immateriellen Schadenersatz zu.

    Der EGMR hat erwogen: Der EGMR ist zuständig, weil sich der Sachverhalt vor dem Austritt Russlands aus der EMRK mit 16.09.2022 ereignete.

    Die vom FSB gesammelten Daten (Benutzerdaten, Informationen über die von der Aktivistin errichteten und moderierten Gruppen und deren Inhalt) fallen in den Bereich des durch Art 8 EMRK geschützten Privatlebens.

    Eingriffe in das geschützte Privatleben müssen auf gesetzlichen Bestimmungen basieren, ein legitimes Ziel verfolgen und in einer demokratischen Gesellschaft notwendig sein. Das innerstaatliche Recht muss einen geeigneten Schutz dieser Daten vorsehen, vor allem, wenn Daten für polizeiliche Zwecke verwendet werden.

    Das russische Informationsgesetz sieht zwar eine gesetzliche Grundlage zur Erhebung von Daten vor, enthält jedoch keine geeigneten Schutzgarantien. Der Schutz vor Missbrauch ist bei Plattformen sozialer Netzwerke besonders gering, weil Behörden keine gerichtliche Genehmigung für den Zugriff auf personenbezogene Daten benötigen. Der Aktivistin stand zudem kein wirksamer Rechtsbehelf zur Verfügung, um die Übermittlung personenbezogener Daten an die FSB anzufechten. Denn im Rahmen des möglichen gerichtlichen Überprüfungsverfahrens sind Gerichte nicht verpflichtet, die Notwendigkeit und Angemessenheit des Zugriffs auf personenbezogene Daten im erforderlichen Ausmaß zu überprüfen. Die Erhebung der Nutzerdaten beruhte somit auf gesetzlichen Bestimmungen, die keine ausreichenden Garantien gegen Missbrauch boten.

    Das Verbot der Förderung von Homosexualität dient darüber hinaus nicht dem legitimen Ziel des Schutzes der Sittlichkeit und Gesundheit. Bei der Prüfung, ob der Eingriff in das Recht auf Achtung der Privatsphäre "in einer demokratischen Gesellschaft notwendig war", ist die Art und Schwere der Straftat zu berücksichtigen. Der Straftatbestand der Förderung der Homosexualität ist nach dem innerstaatlichen Recht eine Verwaltungsübertretung, die auch keinen tatsächlichen (in ihrem Sinn) nachteiligen Erfolg verlangt. Die Erhebung großer Mengen personenbezogener Daten kann außerdem eine abschreckende Wirkung im Hinblick auf das Recht auf freie Meinungsäußerung haben. Unter diesen Umständen erscheint die Erhebung ua sensibler Daten zur Identifizierung der Aktivistin in einer demokratischen Gesellschaft nicht notwendig.

 
EGMR 04.02.2025, 8825/22 ua, Bazhenov ua/Russland

Positive Pflicht, sexuelle Orientierung, soziales Netzwerk

  • Die personenbezogenen Daten, darunter die sexuelle Orientierung, von zwei Geschäftsleuten und einem Rechtsanwalt, die jeweils in gleichgeschlechtlichen Ehen in Europa bzw in den USA lebten, wurden 2020 auf dem russischen sozialen Netzwerk VKontakte (VK) mit klar homophober Intention in homophoben Gruppen und auf privaten Kanälen veröffentlicht. Die Geschäftsleute und der Rechtsanwalt riefen die jeweils zuständigen Staatsanwaltschaften an. In Russland waren zwar entsprechende strafgesetzliche Bestimmungen vorhanden, die Staatsanwaltschaften blieben jedoch zunächst untätig. Mit reichlicher Verspätung forderte die Staatsanwaltschaft VK auf, die Identitätsdaten des Nutzers herauszugeben, der sich hinter dem verdächtigen Profil verbarg. Anschließend wurde das Verfahren jedoch ohne Rückmeldung von VK geschlossen. Die Geschäftsleute und der Rechtsanwalt riefen den EGMR an, der einen Verstoß gegen Art 14 EMRK (Verbot der Benachteiligung) iVm Art 8 EMRK (Recht auf Achtung des Privat- und Familienlebens) feststellte.

    Der EGMR hat erwogen: Die vorgeworfene Tat ereignete sich vor dem 16.09.2022, als Russland aus der EMRK austrat. Der EGMR ist daher zuständig.

    Das Offenlegen personenbezogener Daten auf homophoben öffentlichen und individuellen Kanälen hat die Geschäftsleute und den Rechtsanwalt einem erhöhten Risiko von Belästigung ausgesetzt und sie hatten Angst um ihr Leben. Das einwilligungslose Veröffentlichen der personenbezogenen Daten, einschließlich der sexuellen Orientierung, der Information über die gleichgeschlechtliche Ehe sowie von Fotos der Betroffenen, greift in deren Recht auf Privat- und Familienleben ein.

    Der Staat hat eine positive Pflicht, das Recht auf Achtung des Privat- und Familienlebens ohne Diskriminierung zu schützen. Sexuelle Minderheiten sind besonders schutzbedürftig. Das innerstaatliche Recht enthielt zwar einen strafgerichtlichen Rechtsbehelf gegen das rechtswidrige Verbreiten von Informationen über das Privatleben einer Person, der Staat ist seiner positiven Pflicht jedoch nicht nachgekommen, weil er untätig blieb, bis die Verjährungsfristen abliefen.

    Zwar stellte der Ermittler, bevor er das Verfahren betreffend die Geschäftsleute endgültig einstellte, eine Anfrage an VK, doch stellte er das Verfahren ein, ohne eine Antwort von VK erhalten zu haben. Anm: Aus diesem Urteil kann geschlossen werden, dass es nach Ansicht des EGMR Sicherheitsbehörden geboten ist, zur Aufklärung von (bestimmten) Straftaten bei sozialen Netzwerken die Identitätsdaten der Nutzer dieser Netzwerke anzufragen. Allerdings gilt dies jedenfalls nicht, wie im zuvor besprochenen Fall Klimova/Russland gezeigt, wenn dies in einer demokratischen Gesellschaft nicht gerechtfertigt ist.


Rechtsprechung des EuGH

EuGH Schlussanträge 06.02.2025, C-413/23 P, EDPS/SRB (EN)

Personenbezug, Pseudonymisierung, Informationspflicht

  • Im Rahmen des Abwicklungsverfahrens einer Bank veröffentlichte der Einheitliche Abwicklungsausschuss (SRB) – die für die Abwicklung insolvenzbedrohter Finanzinstitute zuständige Behörde der Europäischen Bankenunion – eine vorläufige Entscheidung über die Gewährung einer Entschädigung für betroffene Aktionäre oder Gläubiger. Er leitete ein Anhörungsverfahren ein, bei dem Betroffene eine Stellungnahme zur vorläufigen Entscheidung einreichen konnten. Die Stellungnahmen wurden vom SRB aggregiert, gefiltert und kategorisiert und dann an Deloitte zur Auswertung übermittelt. Die Inhalte der Stellungnahmen waren von den Identifikationsdaten der Betroffenen getrennt und mit einem alphanumerischen Code gekennzeichnet, sodass nur der SRB die Daten verknüpfen konnte.

    Fünf Bankkunden brachten Beschwerden beim EDSB ein, weil der SRB nicht darüber informiert hatte, dass ihre Daten an Deloitte weitergegeben werden. Der EDSB beschloss, dass die an Deloitte übermittelten Daten pseudonymisierte Daten waren und stellte einen Verstoß gegen die Informationspflicht fest.

    Der SRB erhob Klage an das EuG. Dieses hob den Beschluss des EDSB auf, weil dieser Inhalt, Zweck oder Auswirkungen der an Deloitte übermittelten Informationen nicht geprüft habe. Mangels einer solchen Prüfung dürfe der EDSB nicht davon ausgehen, dass sich die an Deloitte übermittelten Informationen auf eine natürliche Person beziehen. Gegen diese Entscheidung richtet sich das Rechtsmittel des EDSB.

    Der Generalanwalt hat erwogen: Eine Information bezieht sich auf eine bestimmte oder bestimmbare Person, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Wirkung mit dieser verknüpft ist. Bei Stellungnahmen ist zu unterscheiden, ob sie sich auf die bewertete Person beziehen, auf die im Text Bezug genommen wird, oder auf den Verfasser. Im zweiten Fall könnte man vermuten, dass sich eine Stellungnahme zwangsläufig auf ihren Verfasser bezieht. Auch mangels einer solchen Vermutung beziehen sich die Stellungnahmen aufgrund ihres Inhalts, Zwecks und ihrer Wirkung auf die Bankkunden, weil sie ihre Logik und Argumentation zeigten und somit ihre subjektive Meinung widerspiegelten. Die Stellungnahmen waren auch geeignet, sich auf die Interessen der Betroffenen in Bezug auf die finanzielle Entschädigung auszuwirken.

    Die Aggregation der Stellungnahmen ändert nichts daran, dass es sich um personenbezogene Daten handelt, weil es andernfalls ausreichen würde, mehrere Standpunkte zusammenzufassen, um das Erfordernis zu umgehen, dass es sich um eine Information "über eine natürliche Person" zu handeln hat. Die fehlende Unterscheidbarkeit der Einzelmeinungen betrifft die Frage der Identifizierbarkeit, nicht jedoch die Verknüpfung mit einer natürlichen Person.

    Pseudonymisierung ist eine Verarbeitung personenbezogener Daten, die die Möglichkeit offenlässt, dass Betroffene nicht identifizierbar sind. Während anonymisierte Daten nicht unter die DSGVO fallen, sind pseudonymisierte Daten nur insoweit ausgeschlossen, als Betroffene nicht identifiziert werden können. Daten können nur dann nicht als personenbezogene Daten eingestuft werden, wenn die Gefahr einer Identifizierung ausgeschlossen oder unbedeutend ist. Es war daher zu prüfen, ob die Pseudonymisierung der Daten so robust war, dass die Bankkunden vernünftigerweise nicht identifizierbar waren. Falls Deloitte in der Lage gewesen wäre, die Bankkunden zu identifizieren, hätte es sich um personenbezogene Daten gehandelt.

    Die Informationspflicht ist Teil des Rechtsverhältnisses zwischen den Betroffenen und dem Verantwortlichen. Sie entsteht zu dem Zeitpunkt, zu dem die Daten vom SRB erhoben werden und in Bezug auf die Informationen über den Empfänger spätestens dann, wenn dieser bekannt ist. Die Daten bleiben personenbezogen, unabhängig davon, ob sie gegenüber dem Empfänger pseudonymisiert wurden. Die Frage, ob die Pseudonymisierung ausreichend war, ist für die Informationspflicht nicht relevant, sodass Deloitte als Empfänger zu beauskunften gewesen wäre.

EuGH Schlussanträge 06.02.2025, C-492/23, Russmedia Digital

Online-Marktplatz, Hosting, Rollenverteilung

  • Auf dem Online-Marktplatz ("Publi24.ro"), die von der Gesellschaft Russmedia betrieben wird, wurde eine Annonce veröffentlicht, aus der hervorging, dass eine Person sexuelle Dienstleistungen anbiete. Diese Annonce enthielt Fotos und eine Telefonnummer, die aus den sozialen Netzwerken der Person stammten und ohne ihre Zustimmung verarbeitet wurden. Russmedia entfernte die Anzeige, doch wurde sie auf andere Websites kopiert. Die Person erhob Klage gegen Russmedia, woraufhin der EuGH angerufen wurde, um die Haftung des Betreibers eines Online-Marktplatzes zu klären.

    Der Generalanwalt hat erwogen: Der Betreiber eines Online-Marktplatzes kann in den Genuss einer Haftungsbefreiung für den Inhalt der auf seinem Marktplatz veröffentlichten Anzeigen kommen, sofern seine Rolle neutral und rein technisch bleibt und er bei Kenntnis eines rechtswidrigen Inhalts diesen unverzüglich entfernt. Das gilt nicht, wenn aktiv in die Verwaltung der Inhalte, deren Änderung oder die Werbung für die Inhalte eingegriffen wird. Die Haftungsbefreiung ist auf Russmedia anwendbar, solange sie ihre Eigenschaft als neutraler Hosting-Provider nicht verliert, auch wenn in den allgemeinen Nutzungsbedingungen angeführt ist, sich das Recht vorzubehalten, die bereitgestellten Inhalte selbst zu nutzen, also auch zu kopieren, zu verbreiten, zu übermitteln etc.

    Betreffend die datenschutzrechtliche Rollenverteilung ist anzunehmen, dass der Betreiber als Auftragsverarbeiter für den Inserierenden agiert. Er ist somit nicht verpflichtet, den Inhalt der veröffentlichten Anzeigen zu überprüfen oder Sicherheitsmaßnahmen zu ergreifen, die geeignet sind, das Kopieren oder die Weiterverbreitung des Inhalts von Anzeigen zu verhindern. Er muss aber geeignete organisatorische und technische Maßnahmen treffen, um die Sicherheit der Verarbeitung gegenüber Dritten zu gewährleisten.

    Hinsichtlich der personenbezogenen Daten der inserierenden Nutzer handelt der Betreiber als Verantwortlicher. In diesem Rahmen ist er verpflichtet, die Identität dieser inserierenden Nutzer zu überprüfen.


Rechtsprechung der Justiz

  • Die Befugnisse des Betriebsrats bleiben durch das Datenschutzrecht unberührt. Das ArbVG wurde als "spezifischere" Vorschrift iSd Öffnungsklausel des Art 88 Abs 3 DSGVO bei der Europäischen Kommission notifiziert. Zwischen dem Betriebsverfassungs- und dem Datenschutzrecht besteht eine "Sphärenharmonie". Im Bereich der Pflichtkompetenzen des Betriebsrats ist keine datenschutzrechtliche Interessenabwägung erforderlich, weil die Datenverarbeitung auf die Erfüllung rechtlicher Verpflichtungen gemäß Art 6 Abs 1 lit c und Art 9 Abs 2 lit b DSGVO gestützt werden kann. Außerhalb der Pflichtbefugnisse des Betriebsrats gelangen die Art 6 Abs 1 lit f und Art 9 Abs 2 lit b DSGVO als Erlaubnistatbestände zur Anwendung. Benötigt der Betriebsrat zur Kontaktaufnahme die E-Mail-Adressen der Arbeitnehmer, hat der Betriebsinhaber diese herauszugeben. Die proaktive Kontaktaufnahme gehört zwar nicht zu den Pflichtbefugnissen des Betriebsrats. Die Herausgabe kann aber auf das berechtigte Interesse des Betriebsrats gestützt werden, als Belegschaftsvertretung mit den Arbeitnehmern zu kommunizieren. Ein Recht des Betriebsrats auf Bekanntgabe privater Telefonnummern der Arbeitnehmer besteht hingegen nicht (OGH 17.01.2025, 6ObA2/23x).
     
  • Ein elektronisches Auskunftsersuchen muss nicht zwingend mit einer qualifizierten elektronischen Signatur versehen sein. Die DSGVO gibt keine konkrete Form des Identitätsnachweises vor. Ergibt sich hinsichtlich des Identitätsnachweises bereits ein hoher Grad an Verlässlichkeit, ist die Anforderung zusätzlicher Informationen unzulässig (OLG Linz 27.01.2025, 11R1/25h).


Rechtsprechung des BVwG

BVwG 27.11.2024, W252 2280461-1

Anwendungsbereich, StVO, Verwaltungsstrafverfahren, Straftat

  • Mitarbeiter der Autobahnpolizeiinspektion fertigten auf einer Autobahn mit ihrer mobilen Dienstkamera ein Lichtbild eines Fahrzeugs an, weil dessen Halter gegen das Rechtsfahrgebot verstieß. Die Mitarbeiter brachten die straßenverkehrsrechtliche Verwaltungsübertretung bei der zuständigen Bezirkshauptmannschaft ("BH") zur Anzeige. Der Fahrzeughalter erachtete sich in seinem Geheimhaltungsrecht verletzt und erhob eine auch gegen die örtlich zuständige Landesregierung gerichtete Datenschutzbeschwerde an die DSB, welche diese abwies. Der Fahrzeughalter erhob (erfolglos) Bescheidbeschwerde an das BVwG.

    Das BVwG hat erwogen: Die DSGVO findet ua keine Anwendung auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten. Ausnahmen vom Anwendungsbereich der DSGVO sind eng auszulegen. Der VwGH hat mit Beschluss vom 03.03.2022, Ra 2020/02/0241, Art 6 Abs 1 lit e iVm Abs 3 DSGVO in einem Verwaltungsstrafverfahren angewendet. Somit fallen nicht jegliche Verwaltungsstrafen unter den unionsrechtlichen Begriff der Straftat. Die DSGVO ist anzuwenden.

    Die Landesregierung ist für die Handhabung der Verkehrspolizei auf Autobahnen zuständig. Sie kann hierfür Organe, die der Landespolizeidirektion angehören oder dieser zugeteilt sind und in Angelegenheiten des Straßenverkehrs besonders geschult sind, zur Handhabung der Verkehrspolizei ua auf Autobahnen einsetzen. Organe der Straßenaufsicht haben die Verkehrspolizei zu handhaben und bei der Vollziehung dieses Bundesgesetzes durch Maßnahmen, die für die Einleitung von Verwaltungsstrafverfahren erforderlich sind, mitzuwirken. Eine derartige Maßnahme, an der die Organe der Bundespolizei (hier jene der Autobahnpolizeiinspektion) mitzuwirken haben, kann ua die Anfertigung von Beweismaterial in Form von Lichtbildern sein. Dabei begründet die Straßenverkehrssicherheit eine Aufgabe im öffentlichen Interesse. Die Verarbeitung der vorliegenden Daten war für die Wahrnehmung der sich aus den Erfordernissen der StVO sowie aus dem Verwaltungsstrafverfahren ergebenden Aufgabe, die im öffentlichen Interesse liegt, erforderlich und daher rechtmäßig.

    Auf den von der DSB angenommenen Erlaubnistatbestand des § 98e Abs 1 StVO konnte die Datenverarbeitung jedoch nicht gestützt werden. Wie sich aus den Gesetzesmaterialien ergibt, hatte der Gesetzgeber bei der Schaffung des § 98e StVO "die Überwachung aus Fahrzeugen (zB Zivilstreifen)" vor Augen. Mangels planwidriger Rechtslücke war der von der DSB angestellte "teleologische Größenschluss" unzulässig.

BVwG 10.01.2025, W108 2290157-1

WEG, mündliche Mitteilung, gesetzliche Pflicht

  • Ein Wohnungseigentümer richtete mehrere E-Mails an seine Hausverwaltung, in denen er ua eine grobe Misswirtschaft und eine unzulässige Begünstigung eines Miteigentümers iZm mit einem geplanten Bauprojekt durch die Verwalterin kritisierte. Die Verwalterin verlas in einer Eigentümerversammlung in Abwesenheit des Wohnungseigentümers Auszüge dieser E-Mails und nahm deren Inhalt in das Sitzungsprotokoll auf. Dieses wurde anschließend an alle Wohnungseigentümer übermittelt. Der Wohnungseigentümer erachtete sich dadurch in seinem Recht auf Geheimhaltung verletzt.

    Die DSB wies die Datenschutzbeschwerde ab und führte aus, dass die Offenlegung der E-Mails durch überwiegende berechtigte Interessen der Hausverwaltung und der Wohnungseigentümer gerechtfertigt war. Daraufhin erhob der Wohnungseigentümer (erfolglose) Bescheidbeschwerde an das BVwG.

    Das BVwG hat erwogen: Im Hinblick auf eine Verletzung des Rechts auf Geheimhaltung  spielt es keine Rolle, auf welche Weise Daten verarbeitet werden. Auch eine mündliche Mitteilung kann eine Verletzung dieser Bestimmung bewirken.

    Die Vorwürfe iZm den Pflichtverletzungen der Verwalterin betrafen die gesamte Eigentümergemeinschaft. Daher bestand jedenfalls ein erhebliches Interesse der Hausverwaltung iSd § 1 Abs 2 DSG, die vom Wohnungseigentümer übermittelten Informationen bzw erhobenen Vorwürfe den übrigen Miteigentümern zur Kenntnis zu bringen. Falls zutreffend, hätten sie zur Kündigung des Verwaltervertrags führen können bzw müssen und einen erheblichen finanziellen Schaden für die Eigentümergemeinschaft bedeutet.

    Das Verschweigen der erhobenen Vorwürfe hätte jedenfalls einen Verstoß gegen gesetzliche Pflichten gemäß § 20 Abs 1 WEG sowie gegen vertragliche Pflichten der Hausverwaltung bedeutet.

    Weiters war auch die Bekanntgabe des Namens des Wohnungseigentümers gerechtfertigt. Die übrigen Miteigentümer hatten ein Interesse, die Vorwürfe zu überprüfen, was nur mit Bekanntgabe des Urhebers möglich war. Nur so konnte eine Rücksprache oder ein Austausch über Beweismittel erfolgen.

    Daher war die Datenverarbeitung jedenfalls auch für den geschilderten Zweck erheblich und notwendig, zumal lediglich der Name des Wohnungseigentümers offengelegt und seine Schreiben auch nur auszugsweise verlesen bzw deren Inhalt paraphrasierend wiedergegeben wurde. Damit ging auch ein informationeller Mehrwert einher.

BVwG 09.01.2015, W256 2244544-1

Auskunftsrecht, Dokumentenkopie, Antragsinhalt

  • Ein Landwirt stellte ein Auskunftsersuchen an die Landwirtschaftskammer. Er forderte darin Auskunft über die zu seiner Person verarbeiteten Daten, die Zwecke der Verarbeitung und deren Empfänger. Zudem verlangte er die Übermittlung aller ihn betreffenden Unterlagen sowie allgemeine Unterlagen zum Bau einer Gasleitung und zur Angelegenheit Fischteiche. Die Landwirtschaftskammer beantwortete das Auskunftsersuchen und übermittelte dem Landwirt 280 Seiten an Ausdrucken und Fotokopien, einschließlich allgemeiner Unterlagen.

    Der Landwirt erachtete die Auskunft für unvollständig und brachte bei der DSB eine Datenschutzbeschwerde ein. Die DSB wies die Datenschutzbeschwerde ab, weil die Landwirtschaftskammer eine vollständige Auskunft erteilt habe. Daraufhin erhob der Landwirt eine (erfolglose) Bescheidbeschwerde an das BVwG.

    Das BVwG hat erwogen: Art 15 Abs 1 DSGVO räumt Betroffenen das Recht auf Auskunft darüber ein, ob sie betreffende personenbezogene Daten verarbeitet werden und bejahendenfalls, um welche Daten es sich dabei konkret handelt. Die Mitteilung nach Art 15 Abs 1 DSGVO hat in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erfolgen. Das Auskunftsrecht beschränkt sich auf personenbezogene Daten iSd Art 4 Abs 1 DSGVO. Im Einzelfall kann es erforderlich oder zweckmäßig sein, dass auch einzelne Textpassagen oder Dokumente zur Verfügung gestellt werden. Ein generelles Recht auf Erhalt von Dokumenten kann aus Art 15 DSGVO jedoch nicht abgeleitet werden. Dieses Recht besteht nur, wenn die Zurverfügungstellung unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen.

    Die DSB und das BVwG können nur darüber absprechen, was überhaupt beantragt wurde, dh sie sind an den Inhalt des Antrags des jeweiligen Antragstellers gebunden. Das BVwG darf nicht jegliche möglichen Rechtsverletzungen prüfen. Die Landwirtschaftskammer hat dem Beschwerdeführer eine umfassende Auskunft erteilt. Sie hat ihm die zu seiner Person verarbeiteten Daten, deren Herkunft und Empfänger mitgeteilt. Zudem hat sie ihm auch die ihn betreffenden Unterlagen zur Verfügung gestellt, weshalb keine Mangelhaftigkeit der Auskunft erkennbar ist. Der Landwirt hat keinen Anspruch auf allgemeine Unterlagen, die nicht seine Person betreffen.

BVwG 09.01.2025, W211 2283857-1

Video, Servitut, Ausdehnung der Datenschutzbeschwerde

  • Ein Ehemann installierte im Eingangsbereich seines Hauses eine Videokamera, die auch einen Teil eines über das Grundstück führenden Weges erfasste. An diesem Weg besteht eine Servitut zugunsten eines Servitutsberechtigten. Der Servitutsberechtigte brachte eine Datenschutzbeschwerde gegen die Ehefrau als Grundeigentümerin ein, die er im weiteren Verfahren auch gegen deren Ehemann ausdehnte. Die DSB bestätigte die Verletzung im Recht auf Geheimhaltung und forderte den Ehemann auf, den Aufnahmebereich der Kamera einzuschränken. Das BVwG gab der Bescheidbeschwerde des Ehemanns statt und änderte den Bescheid der DSB dahingehend ab, dass die Datenschutzbeschwerde abgewiesen wird.

    Das BVwG hat erwogen: Die Ausdehnung der Datenschutzbeschwerde auf den Ehemann war zulässig. Sie änderte nicht das Wesen der Sache dieser Datenschutzbeschwerde, weil sie weder deren Rechtsqualität noch die anzuwendenden Materiengesetze oder die Behördenzuständigkeit veränderte.

    Da die pflegebedürftige Grundeigentümerin und ihr ebenfalls betagter Ehemann alleine und abgeschieden am Dorfrand lebten, besteht an der Nutzung der Videokamera ein objektiv nachvollziehbares Interesse und somit ein Rechtfertigungsgrund iSd Art 6 Abs 1 lit f DSGVO. Die Videokamera war parallel zum Weg ausgerichtet und ihr Erfassungsbereich auf das eigene Grundstück beschränkt. Sie sollte also nicht in erster Linie der Überwachung des Servitutsberechtigten oder unbeteiligter Dritter dienen, sondern dem eigenen, berechtigten Bedürfnis nach effektivem Schutz der Gesundheit und des Eigentums. Dieses rechtfertigt auch eine allfällige Dokumentation von Geschehnissen über den eigentlichen, engen Eingangsbereich des Hauses hinaus. Das Interesse an der Datenverarbeitung überwiegt somit das Geheimhaltungsinteresse des Servitutsberechtigten.

Aus der weiteren Rechtsprechung des BVwG:

  • Die "Sache" des bekämpften Bescheids bildet den äußersten Rahmen für die Prüfbefugnis des BVwG. Hat die DSB jegliche Ermittlungstätigkeit zu wesentlichen Sachverhaltselementen unterlassen, ist die Angelegenheit jedoch zum Erlassen eines erneuten Bescheids an die DSB zurückzuverweisen (BVwG 07.01.2025, W108 2286042-1).
     
  • Die Bestimmung des Art 29 DSGVO richtet sich an Auftragsverarbeiter und an jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person. Bringt eine Person eine Beschwerde ein, muss sie damit rechnen, dass die gesamte Beschwerde – und nicht nur eine sinngemäße Inhaltswiedergabe – den anderen Verfahrensparteien zum Parteiengehör zugestellt wird. Dies ergibt sich aus dem Grundsatz des fairen Verfahrens. Eine Datenverarbeitung kann gleichzeitig die Erlaubnistatbestände des  Art 6 Abs 1 lit c und des Art 6 Abs 1 lit e DSGVO erfüllen (BVwG 07.01.2025, W108 2284293-1).
     
  • Der EuGH hat mit Urteil vom 09.01.2025, C-416/23, Österreichische Datenschutzbehörde (Demandes excessives), über die Frage entschieden, wann eine Datenschutzbeschwerde von der Aufsichtsbehörde als exzessiv abgelehnt werden darf. Die DSB hat die Behandlung der Datenschutzbeschwerde als exzessiv abgelehnt, ohne sich mit dessen Inhalt auseinanderzusetzen. Nach dem EuGH hätte die DSB eine Missbrauchsabsicht des Beschwerdeführers nachzuweisen gehabt. Da dahingehend keine Ermittlungen vorgenommen wurden, wird der Bescheid der DSB behoben und die Angelegenheit zum Erlassen eines neuen Bescheids an die DSB zurückverwiesen (BVwG 14.01.2025, W298 2263736-1).
     
  • Besteht ein Betroffener trotz von der DSB eingeräumten Verbesserungsmöglichkeit auf die Fortsetzung des Verfahrens gegen einen Beschwerdegegner, der für die Verarbeitung nicht verantwortlich ist, ist die Datenschutzbeschwerde mangels Passivlegitimation des Beschwerdegegners abzuweisen (BVwG 14.01.2025, W298 2300879-1).
     
  • Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen (BVwG 14.01.2025, W298 2262670-113.01.2025, W108 2285445-1).


EU-Rechtsakte

  • Am 04.02.2025 veröffentlichte die EU-Kommission den Entwurf der Leitlinie zu verbotenen KI-Nutzungen, in der die in Art 5 KI-VO beschriebenen verbotenen KI-Systeme genauer definiert werden. In der Leitlinie wird versucht, anhand von Beispielen die Grenze zwischen verbotenen und noch erlaubten KI-Praktiken zu ziehen. Nach Art 5 KI-VO sind KI-Praktiken im Bereich (i) der schädlichen Manipulation und Täuschung, (ii) der schädlichen Ausnutzung von Schwachstellen, (iii) der Sozialbewertung, (iv) der Risikobewertung und Vorhersage von Straftaten, (v) des ungezielten automatischen Extrahierens (Scraping) von Gesichtsbildern zur Erweiterung von Datenbanken zur Gesichtserkennung, (vi) der Emotionserkennung, (vii) der biometrischen Kategorisierung und (viii) der Echtzeit-Fernbiometrischen Identifizierung für Strafverfolgungszwecke unter gewissen Umständen verboten. In den Beispielen der Kommission wird ua auf die Zulässigkeit von KI-Praktiken wie Social Scoring und biometrischer Echtzeitidentifizierung eingegangen. Die Leitlinie nimmt dabei auch Bezug auf die SCHUFA Entscheidung des EuGH, wonach es sich bei dem im Sachverhalt durchgeführten Profiling um eine Unterart des Bewertens iSd Art 5 Abs 1 lit c KI-VO handelt und diese Praktik unter gewissen Umständen auch in den Anwendungsbereich  der KI-VO fällt und verboten sein kann. Ebenfalls geht die Leitlinie auf die Abgrenzung zu anderen Rechtsakten der EU, wie die DSGVO, den DSA etc ein und wie diese Bestimmungen im Zusammenspiel mit der KI-VO anzuwenden sind. Derzeit ist der Entwurf der Leitlinie nur auf Englisch verfügbar. Erst wenn alle Sprachfassungen verfügbar werden, wird die Leitlinie anwendbar.
     
  • Am 06.02.2025 wurde der Entwurf der Leitlinien zur Definition von KI-Systemen veröffentlicht. Die Leitlinien verfolgen das Ziel, die sehr umfassende Definition des Begriffs KI-Systeme, welcher in Art 3 Z 1 KI-VO geregelt ist, konkreter zu definieren. In den Leitlinien werden aus der Definition sieben Prüfelemente abgeleitet. Der Begriff maschinengestützt umfasst Hardware und Software. Damit ist eine Vielzahl an Computersystemen gemeint, wie Quantencomputing und auch biologische  oder organische Systeme, falls sie Rechenkapazität bieten. Die Leitlinie enthält darüber hinaus Ausnahmefälle, für die die KI-VO nicht anwendbar ist. Darunter fallen Systeme zur Verbesserung mathematischer Optimierung, einfache Datenverarbeitung, Systeme, die auf klassischer Heuristik basieren (eine Methode, bei der aus begrenztem Wissen und Zeit dennoch eine wahrscheinliche Lösung gefunden wird, bspw durch Zufallsstichproben oder "trial and error") und einfache Vorhersagesysteme. Als konkrete Beispiele für die Ausnahmen  werden physikbasierte Systeme – zB zur WettervorhersageSatellitentelekommunikationssysteme  zur Optimierung der Bandbreitenzuweisung, Datenbankverwaltungssysteme, die Daten nach spezifischen Kriterien sortieren oder filtern (zB finde alle Kunden, die mit "K" anfangen), und Systeme, die Aktienkurse vorhersagen – genannt. Als Beispiel für die Anwendbarkeit der KI-VO werden KI-Systeme in selbstfahrenden Autos erwähnt, die Echtzeitvorhersagen in komplexen und dynamischen Umgebungen treffen.


Vorschau EuGH-Rechtsprechung

  • Am 13.02.2025 wird das Urteil des EuGH in der Rs C-383/23, ILVA (Amende pour violation du RGPD), verkündet. Der EuGH wird Rechtsfragen zum Verhängen von Geldbußen gegen Unternehmen beantworten. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.
     
  • Am 13.02.2025 wird das Urteil des EuGH in der Rs C-612/23, Verbraucherzentrale Berlin, verkündet. Der EuGH wird über die Mindestvertragslaufzeit von  Telekommunikationsverträgen absprechen.
     
  • Am 27.02.2025 wird das Urteil des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, verkündet. Der EuGH wird entscheiden, in welchem Umfang eine Auskunft gemäß  Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung) zu erteilen ist. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.
     
  • Am 27.02.2025 wird das Urteil des EuGH in der Rs C-638/23, Amt der Tiroler Landesregierung, verkündet. Der EuGH wird Fragen des VwGH zur Rolle von öffentlichen Stellen in der Datenverarbeitung beantworten. Anm: Dem Urteil sind keine Schlussanträge vorangegangen.
     
  • Am 27.02.2025 werden die Schlussanträge in der Rs C-57/23, Policejní prezidium, veröffentlicht. Gegenstand des Verfahrens ist die Zulässigkeit der Verarbeitung von genetischen Daten und DNA-Profilen für den Zweck der strafrechtlichen Verfolgung.
     
  • Am 27.02.2025 werden die Schlussanträge in der Rs C-654/23, Inteligo Media, veröffentlicht. Gegenstand des Verfahrens sind der Versand eines elektronischen Newsletters und das Verhängen einer Geldbuße.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of János Böszörményi
János Böszörményi
Photo of Florian Terharen
Florian Terharen
Photo of Denise Stahleder
Denise Stahleder
Photo of Philipp John
Philipp John
Photo of Christian Kracher
Christian Kracher
Person photo placeholder
Anna Maria Gidwani
Person photo placeholder
Gamze Turan
Person photo placeholder
Nora Perchthaler
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More