ARTICLE
11 October 2024

To The Point: Datenschutzmonitor 40/2024

SA
Schoenherr Attorneys at Law

Contributor

Schoenherr Attorneys at Law logo
We are a full-service law firm with a footprint in Central and Eastern Europe providing local and international companies stellar advice. As the go-to legal advisor for complex commercial matters in the region, Schoenherr aims to use its proximity to industry leaders, in developing practical solutions for future challenges. We keep a close eye on trends and developments, which enables us to provide high quality legal advice that is straight to the point.
Explore Firm Details
EuGH 04.10.2024, C-446/21, Schrems III (Personalisierte Online-Werbung, Datenminimierung, sensible Daten)...
Austria Privacy
János Böszörményi,Florian Terharen,Philipp John
+4 Authors
 Your Author LinkedIn Connections
  • Rechtsprechung des EuGH

    EuGH 04.10.2024, C-446/21, Schrems III (Personalisierte Online-Werbung, Datenminimierung, sensible Daten)

    EuGH 04.10.2024, C-507/23, Patērētāju tiesību aizsardzības centrs (Immaterieller Schaden, Entschuldigung)

    EuGH 04.10.2024, C-21/23, Lindenapotheke (Apotheke, Mitbewerber, Unterlassungsklage, Gesundheitsdaten)

    EuGH 04.10.2024, C-621/22, Koninklijke Nederlandse Lawn Tennisbond (Interessenabwägung, wirtschaftliche Interessen)

    EuGH 04.10.2024, C-200/23, Agentsia po vpisvaniyata (Handelsregister, Rollenverteilung, immaterieller Schaden)

    EuGH 04.10.2024, C-548/21, Bezirkshauptmannschaft Landeck (StPO, Mobiltelefon, Auswertung)
     
  • Rechtsprechung des VwGH

    VwGH 03.09.2024, Ro 2022/04/0031 (Schule, Art 6 Abs 1 lit e DSGVO, Interessenabwägung)

    VwGH 03.09.2024, Ra 2023/04/0042 (AMS, Speicherbegrenzung, Rechtsansprüche)

    VwGH 03.09.2024, Ra 2023/04/0092; Ra 2023/04/0107ua (Beschwerdegegner)

    VwGH 06.09.2024, Ro 2023/04/0006 (Aussetzung, Kohärenzverfahren)
     
  • Rechtsprechung des OGH

    OGH 28.08.2024, 7Ob95/24g (Bank, Transaktionsüberwachungssystem)
     
  • Rechtsprechung des BVwG

    BVwG 06.09.2024, W292 2247490-1; 16.09.2024, W287 2248646-1 (Zurückziehung der Datenschutzbeschwerde)

    BVwG 26.07.2024, W256 2247956-1; W256 2249414-1 (Zurückziehung der Bescheidbeschwerde)
     
  • Rechtsprechung der LVwG

    LVwG Steiermark 12.04.2024, 30.5-736/2024 (Zustelldienst, eGoverment)
     
  • Vorschau EuGH-Rechtsprechung

To the Point:

Rechtsprechung des EuGH

EuGH 04.10.2024, C-446/21, Schrems III

Personalisierte Online-Werbung, Datenminimierung, sensible Daten

  • Meta Platforms Ireland ("Meta") betreibt die Plattform Facebook innerhalb der EU. Ein Facebook-Nutzer klagte Meta, weil seine Daten für personalisierte Werbung ohne rechtsgültige Einwilligung verwendet worden seien. Das Geschäftsmodell von Meta ist es, Einnahmen durch zielgerichtete Werbung und kommerzielle Inhalte zu generieren. Die Werbung wird durch Erstellung detaillierter Profile der Nutzer personalisiert. Dafür werden Daten innerhalb und außerhalb des sozialen Netzwerks erfasst und verarbeitet. Laut Vorlageentscheidung hat der Nutzer Meta nicht erlaubt, seine außerhalb von Facebook erlangten Daten für personalisierte Werbung zu nutzen. Außerdem es hat der Nutzer nicht gestattet, bestimmte Profilinformationen (zB Beziehungsstatus, Arbeitgeber, Beruf, Ausbildung) für personalisierte Werbung zu verwenden. Meta habe jedoch Daten von Webseiten Dritter für die Erstellung von zielgerichteter Werbung verwendet, unter anderem auch Daten zur sexuellen Orientierung des Nutzers. Zwar habe der Nutzer seine sexuelle Orientierung öffentlich gemacht, aber nicht auf seinem Facebook-Profil.

    Nachdem die Klage in den unteren Instanzen abgewiesen wurde, wandte sich der Nutzer mit seiner Revision an den OGH. Der OGH fragte den EuGH, ob personenbezogene Daten uneingeschränkt für personalisierte Werbung genutzt werden dürfen und ob die öffentliche Bekanntmachung sensibler Daten durch den Betroffenen die Verwendung dieser Daten für personalisierte Werbung erlaubt.

    Der EuGH hat erwogen: Ziel der DSGVO ist, ein hohes Schutzniveau der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. Jede Verarbeitung personenbezogener Daten muss im Einklang mit den in Art 5 DSGVO genannten Verarbeitungsgrundsätzen stehen, die in Art 6 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllen und die Betroffenenrechte in Art 12-22 DSGVO beachten.

    Dem Grundsatz der Datenminimierung entspricht eine Datenverarbeitung, wenn sie auf den notwendigen Zeitraum beschränkt ist. Auswirkungen für die Betroffenen sind umso schwerer, je länger Daten gespeichert werden. Umso höher sind auch die Anforderungen an die Rechtmäßigkeit der Datenspeicherung. Nach Erreichung des Verarbeitungszwecks müssen die Daten gelöscht werden. Eine ursprünglich zulässige Datenverarbeitung kann mit der Zeit gegen die DSGVO verstoßen, wenn die Daten nicht mehr für die Zweckerreichung, erforderlich sind. Eine unbegrenzte Speicherung der Nutzerdaten eines sozialen Netzwerks zu Zwecken der zielgerichteten Werbung ist ein unverhältnismäßiger Eingriff in die Rechte der Betroffenen.

    Daten dürfen nicht unterschiedslos erhoben und gespeichert werden. Nicht erforderliche Daten sind nicht zu erheben. Dabei hat der Verantwortliche gemäß Art 25 Abs 2 DSGVO Maßnahmen zu treffen, die sicherstellen, dass nur die für die Zweckerreichung notwendigen Daten verarbeitet werden. Datenverarbeitungen sind besonders umfassend, wenn sie potenziell unbegrenzte Daten betreffen und die Onlineaktivitäten zum großen Teil erfassen. Bei Betroffenen kann dies das Gefühl der dauernden Überwachung auslösen.

    Der Grundsatz der Datenminimierung steht einer Verarbeitung sämtlicher personenbezogener Daten entgegen, die ein Betreiber einer Onlineplattform von der betroffenen Person oder von Dritter Seite erhält, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet.

    Mit der Verarbeitung von besonderen Kategorien personenbezogener Daten (zB politische Meinung, sexuelle Orientierung) ist ein erhebliches Risiko für die Grundfreiheiten und Grundrechte der Betroffenen verbunden. Die Bestimmung des Art 9 Abs 1 DSGVO verbietet grundsätzlich solche Datenverarbeitungen. Ausnahmen sieht Art 9 Abs 2 DSGVO für die Rechtfertigung von der Verarbeitung besonderer Kategorien personenbezogener Daten vor.

    Eine Verarbeitung kann nach Art 9 Abs 2 lit e DSGVO gerechtfertigt sein, wenn Daten durch den Betroffenen durch eine eindeutige bestätigende Handlung einer breiten Öffentlichkeit zugänglich gemacht wurden. Eine Veröffentlichung im Rahmen einer Podiumsdiskussion mit Livestream ist so eine Handlung. Die Veröffentlichung von Daten bedeutet jedoch für den Betreiber einer Onlineplattform keine Zustimmung iSd Art 9 Abs 2 lit a DSGVO, die von dritten Partnern erhaltenen Daten für die Erstellung von personalisierter Werbung zu verwenden.
     

EuGH 04.10.2024, C-507/23, Patērētāju tiesību aizsardzības centrs

Immaterieller Schaden, Entschuldigung

  • Ein Journalist mit Fachkenntnissen im Automobilbereich wurde ohne sein Einverständnis in einer Videosequenz der Kampagne einer Verbraucherschutzbehörde von einer anderen Person imitiert. Der Journalist verlangte die Beendigung der Verbreitung und Schadenersatz wegen Rufschädigung.

    Das Erstgericht sprach dem Journalisten einen Schadenersatz in Form einer (i) Entschuldigung und (ii) Entschädigung iHv EUR 2.000 zu. Das Berufungsgericht bestätigte den Schadenersatz in Form der Entschuldigung, verwarf jedoch die finanzielle Entschädigung. Das vorlegende Höchstgericht stellte dem EuGH mehrere Fragen zum immateriellen Schadenersatz, ua wollte das Höchstgericht wissen, ob ein immaterieller Schaden iSd Art 82 Abs 1 DSGVO durch eine Entschuldigung ausgeglichen werden kann.

    Der EuGH hat erwogen: Der bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch. Der Eintritt eines Schadens ist nur eine potenzielle und keine automatische Folge einer rechtswidrigen Verarbeitung. Ein Verstoß gegen die DSGVO führt nicht zwangsläufig zu einem Schaden.

    Die Voraussetzungen für einen immateriellen Schadenersatzanspruch sind (i) das Vorliegen eines immateriellen "Schadens", (ii) das Vorliegen eines Verstoßes gegen die DSGVO und (iii) ein Kausalzusammenhang zwischen Schaden und Verstoß.

    Da Art 82 DSGVO keine Regeln für die Bemessung des Schadenersatzes festlegt, sind nach dem Grundsatz der Verfahrensautonomie die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden. Der Schadenersatzanspruch nach Art 82 DSGVO hat ausschließlich eine Ausgleichsfunktion.

    Bei fehlender Schwere des entstandenen Schadens kann ein geringfügiger Schadenersatz ausreichen. Auch eine Entschuldigung kann ein angemessener Ersatz für einen immateriellen Schaden sein, sofern diese Form des Schadenersatzes geeignet ist, den dem Betroffenen entstandenen Schaden in vollem Umfang auszugleichen.

    Die Schwere eines Verstoßes gegen die DSGVO sowie die Haltung und die Beweggründe des Verantwortlichen sind beim Festlegen der Höhe der finanziellen Entschädigung – anders als bei der Strafbemessung nach Art 83 DSGVO – nicht zu berücksichtigen. Anm: Der EuGH leitete seine Rechtsprechungslinie zum immateriellen Schadenersatz iSd Art 82 DSGVO mit Urteil vom  04.05.2023, C-300/21, Österreichische Post, ein und sprach dort von einer "finanziellen Entschädigung" zum Ausgleich des erlittenen Schadens. Der EuGH wiederholte seine Wortwahl seitdem in mehreren Urteilen (EuGH  21.12.2023, C-667/21, Krankenversicherung Nordrhein 25.01.2024, C-687/21, MediaMarktSaturn 11.04.2024, C-741/21, juris 20.06.2024, C-182/22 und C-189/22, Scalable Capital 20.06.2024, C-590/22, PS [Fehlerhafte Anschrift]). Diese Wortwahl legte nahe, dass sofern ein Schaden festgestellt wird, eine finanzielle Entschädigung zuzusprechen ist. Aus der nunmehrigen Entscheidung folgt jedoch, dass der eingetretene Schaden nicht zwingend durch eine finanzielle Entschädigung auszugleichen ist, sondern etwa auch eine Entschuldigung ausreichen kann.
     

EuGH 04.10.2024, C-21/23, Lindenapotheke

Apotheke, Mitbewerber, Unterlassungsklage, Gesundheitsdaten

  • Der Betreiber der Lindenapotheke vertrieb apothekenpflichtige Arzneimittel über Amazon-Marketplace (Amazon), wofür Kunden Angaben wie Namen, Lieferadresse und Informationen zur Individualisierung der Arzneimittel eingeben mussten. Ein anderer Apotheker (= Mitbewerber) erhob Unterlassungsklage, weil der Vertrieb wegen des Verstoßes gegen Datenschutzvorschriften unlauter sei und beantragte, der Lindenapotheke den Vertrieb über Amazon zu verbieten, solange die Kunden nicht vorab in die Verarbeitung von Gesundheitsdaten einwilligen. Das vorlegende Gericht fragte, ob Mitbewerber bei Datenschutzverstößen zivilrechtlich gegen den Verletzer vorgehen können und ob die Daten tatsächlich als Gesundheitsdaten einzustufen sind.

    Der EuGH hat erwogen: Die Bestimmungen des Kapitels VIII der DSGVO stehen einer nationalen Regelung nicht entgegen, die Mitbewerbern erlaubt, bei DSGVO-Verstößen unter dem Gesichtspunkt des Verbots unlauterer Geschäftspraktiken zu klagen. Die DSGVO schließt Klagen von Mitbewerbern nicht ausdrücklich aus. Das Recht auf Beschwerde bei einer Aufsichtsbehörde sowie das Recht auf einen wirksamen gerichtlichen Rechtsbehelf bestehen vielmehr unbeschadet jeglicher anderer verwaltungsrechtlicher, gerichtlicher oder außergerichtlicher Rechtsbehelfe.

    Aus dem Wortlaut und dem Kontext der Bestimmungen des Kapitels VIII ergibt sich, dass der Unionsgesetzgeber keine umfassende Harmonisierung der Rechtsbehelfe, die bei einem DSGVO-Verstoß zur Verfügung stehen, vornehmen und insbesondere nicht ausschließen wollte, dass Mitbewerber eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten auf der Grundlage des nationalen Rechts unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken Unterlassungsklage erheben können. Diese Möglichkeit stärkt sogar die praktische Wirksamkeit der DSGVO und verbessert damit das Schutzniveau der Betroffenen. Es ist aber Sache des nationalen Gerichts, zu prüfen, ob der mutmaßliche Verstoß gegen die DSGVO auch ein Verstoß gegen das Verbot der Vornahme unlauterer Geschäftspraktiken gemäß den einschlägigen nationalen Regelungen ist.

    Daten zum Erwerb von Arzneimitteln sind Gesundheitsdaten iSd Art 5 Z 1 DSGVO, wenn daraus Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person gezogen werden können, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf. Es genügt, wenn aus den eingegebenen Daten mittels gedanklicher Kombination oder Ableitung Rückschlüsse auf den Gesundheitszustand der betroffenen Person gezogen werden können, indem eine Verbindung zwischen dem Arzneimittel, seinen therapeutischen Indikationen und Anwendungen und der natürlichen Person hergestellt wird.

    Dies gilt auch, wenn diese Arzneimittel nur mit einer gewissen Wahrscheinlichkeit und nicht mit absoluter Sicherheit für den Kunden bestimmt sind. Werden die Arzneimittel für andere Personen bestellt, kann nicht ausgeschlossen werden, dass auch diese Personen identifiziert und Rückschlüsse auf ihren Gesundheitszustand gezogen werden können.
     

EuGH 04.10.2024, C-621/22, Koninklijke Nederlandse Lawn Tennisbond

Interessenabwägung, wirtschaftliche Interessen

  • Der Tennisbond ist ein Sportverband, der in Form eines Vereins gegründet ist. Die Mitglieder dieses Sportverbands sind die ihm angeschlossenen Tennisvereine sowie deren Mitglieder, die durch Beitritt zum Tennisverein automatisch auch Mitglied des Tennisbonds werden. Der Tennisbond hat personenbezogene Daten seiner Mitglieder an zwei seiner Sponsoren gegen Entgelt offengelegt. Diese Daten umfassten Namen, Anschriften, Wohnorte, Geburtsdaten, Festnetz- und Mobiltelefonnummern, E-Mail-Adressen und die Namen der Tennisclubs, denen die Mitglieder angehörten. Die Sponsoren nutzten die Daten, um Werbebriefe an die Mitglieder zu versenden und Werbeanrufe durchzuführen. Die niederländische Aufsichtsbehörde verhängte eine Geldbuße von EUR 525.000 gegen Tennisbond, wogegen Tennisbond Rechtsmittel erhob. Das vorlegende Gericht fragte den EuGH ua, ob eine Datenverarbeitung, die im reinen wirtschaftlichen Interesse des Verantwortlichen liegt, auf die Wahrung berechtigter Interessen iSd Art 6 Abs 1 lit f DSGVO gestützt werden kann.

    Der EuGH hat erwogen: Ziel der DSGVO ist es, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen zu gewährleisten. Um diesem Ziel gerecht zu werden, muss jede Verarbeitung personenbezogener Daten im Einklang mit den Art 5 und 6 DSGVO stehen. Art 6 Abs 1 DSGVO enthält eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Art 6 Abs 1 lit b bis f DSGVO sind eng auszulegen, weil in diesen Fällen die Verarbeitung ohne Einwilligung der Betroffenen erfolgt.

    Nach Art 6 Abs 1 lit f DSGVO ist eine Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz dieser personenbezogenen Daten erfordern, überwiegen. Ein breites Spektrum von Interessen kann als berechtigt gelten. Der Begriff "berechtigtes Interesse" verlangt nicht, dass das Interesse gesetzlich geregelt sein muss. Ein wirtschaftliches Interesse des Verantwortlichen kann ein berechtigtes Interesse sein, sofern es nicht gesetzwidrig ist.

    Die Verarbeitung personenbezogener Daten muss zur Verwirklichung des berechtigten Interesses erforderlich sein. Das berechtigte Interesse darf nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden können, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen. Dem Tennisbond wäre es möglich gewesen, seine Mitglieder im Voraus zu informieren und nachzufragen, ob sie einer Weitergabe ihrer Daten für Werbe- oder Marketingzwecke möchten.

    Zu beachten ist insbesondere, dass es sich bei einem der Sponsoren um einen Glücksspielanbieter handelt und die Mitglieder daher der Gefahr der Entwicklung einer Spielsucht ausgesetzt werden könnten.
     

EuGH 04.10.2024, C-200/23, Agentsia po vpisvaniyata

Handelsregister, Rollenverteilung, immaterieller Schaden

  • Eine staatliche Agentur veröffentlichte das Gründungsdokument einer Gesellschaft mit beschränkter Haftung, aus dem Vor- und Zuname eines Gesellschafters, seine ID-Nummer samt Ausstellungsort und -datum, seine Adresse sowie seine Unterschrift für die Öffentlichkeit einsehbar waren. Der Gesellschafter wandte sich gegen die Agentur und zog vor Gericht. Das vorlegende Gericht stellte ua Fragen an den EuGH zur Verarbeitung personenbezogener Daten in einem Handelsregister.

    Der EuGH hat erwogen: Die mit der Führung des Handelsregisters betraute Behörde eines Mitgliedsstaates, welche die in diesem Register enthaltenen personenbezogenen Daten veröffentlicht, ist sowohl als Empfängerin dieser Daten als auch als datenschutzrechtliche Verantwortliche anzusehen.

    Die handschriftliche Unterschrift einer natürlichen Person ist ein personenbezogenes Datum.

    Auch eine bloß temporäre Veröffentlichung personenbezogener Daten im Handelsregister eines Mitgliedstaats kann einen immateriellen Schaden auf Seiten der betroffenen Person auslösen, ohne dass der Begriff des "immateriellen Schadens" den Nachweis zusätzlicher konkreter negativer Folgen erfordert.

    Eine auf Art 58 Abs 3 lit b DSGVO gestützte Stellungnahme einer Aufsichtsbehörde eines Mitgliedstaats reicht nicht aus, um die für die Führung des Handelsregisters – und als datenschutzrechtliche Verantwortliche zu qualifizierende – zuständige Behörde von einer allfälligen Haftung nach Art 82 DSGVO zu befreien.
     

EuGH 04.10.2024, C-548/21, Bezirkshauptmannschaft Landeck

StPO, Mobiltelefon, Auswertung

  • Zollbeamte beschlagnahmten im Rahmen einer Suchtmittelkontrolle ein Paket, in dem sich 85 g Cannabiskraut befanden. Die Kriminalpolizei nahm Ermittlungen gegen einen Tatverdächtigen auf. Die Polizeibeamten stellten das Mobiltelefon des Tatverdächtigen sicher und versuchten, es zu entsperren, um dessen Inhalte und Daten auszulesen. Einer Genehmigung der Staatsanwaltschaft oder eines Gerichts bedurfte es nach der StPO hierfür nicht. Über die versuchte Auswertung der Telefondaten wurde der Tatverdächtige erst in Kenntnis gesetzt, nachdem er Beschwerde gegen die Sicherstellung seines Mobiltelefons erhob.

    Das LVwG Tirol fragte den EuGH zum einen, ob (i) der Zugriff öffentlicher Stellen auf sämtliche Daten eines Mobiltelefons einen so schweren Eingriff in das Grundrecht auf Datenschutz bewirke, dass dieser bloß bei der Bekämpfung schwerer Kriminalität erfolgen darf, (ii) ein solcher Zugriff auch ohne vorherige Genehmigung durch ein Gericht oder durch eine unabhängige Verwaltungsstelle erfolgen darf und (iii) die Datenauswertung durchgeführt werden darf, ohne dass der Betroffene hierüber in Kenntnis gesetzt wird.

    Der EuGH hat erwogen: Die Grundrechte auf Schutz personenbezogener Daten und auf Achtung des Privat- und Familienlebens gelten grundsätzlich nicht uneingeschränkt, sondern müssen im Hinblick auf ihre gesellschaftliche Funktion gesehen und gegen andere Grundrechte abgewogen werden. Jegliche Einschränkung ihrer Ausübung muss gemäß Art 52 Abs 1 GRC gesetzlich vorgesehen sein, ihren Wesensgehalt achten sowie den Grundsatz der Verhältnismäßigkeit wahren. Dabei bedarf die Prüfung der Verhältnismäßigkeit eines Grundrechtseingriffs einer Gewichtung aller relevanten Gesichtspunkte des Einzelfalls. Zu diesen Gesichtspunkten zählen ua (i) die Schwere des Grundrechtseingriffs, die von der Natur und der Sensibilität der Daten abhängt, auf die von den zuständigen Sicherheitsbehörden zugegriffen werden kann, (ii) die Bedeutung des damit verfolgten, dem Gemeinwohl dienenden Ziels und (iii) die Verbindung zwischen dem Eigentümer des Mobiltelefons und der in Rede stehenden Straftat.

    Die Gewichtung all dieser Gesichtspunkte hat eine unabhängige Stelle vorzunehmen, die über alle Befugnisse verfügt und alle Garantien bietet, die erforderlich sind, um einen gerechten Ausgleich zwischen den berechtigten Interessen zur Kriminalitätsbekämpfung (des Staates) einerseits und der Achtung des Privatlebens und des Datenschutzes (von potenziell Tatverdächtigen) andererseits herzustellen. Diese unabhängige Kontrolle muss – außer in hinreichend begründeten Einzelfällen – grundsätzlich im Vorfeld jedes Versuchs von staatlicher Seite, Zugang zu Daten auf einem Mobiltelefon zu erlangen, erfolgen.

    Den behördlichen Zugang zu Daten auf einem Mobiltelefon bloß im Rahmen der Bekämpfung schwerer Kriminalität zuzulassen, könnte die Gefahr der Straflosigkeit von Straftaten bewirken und wäre dem der DSGVO immanenten Ziel der Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts in der Union abträglich.

    Bei der Verhältnismäßigkeitsprüfung ist zu beachten, dass jede Einschränkung der Ausübung eines Grundrechts gesetzlich vorgesehen sein muss. Dabei hat die Rechtsgrundlage die Tragweite des Grundrechtseingriffs hinreichend klar und präzise zu definieren. Um diesem Erfordernis zu genügen, muss der nationale Gesetzgeber die zu berücksichtigenden Gesichtspunkte, insb die Art oder die Kategorie der betreffenden Straftaten, konkretisieren.

    Daraus folgt, dass eine nationale Regelung, die Behörden den Zugriff zu sämtlichen auf einem Mobiltelefon gespeicherten Daten ermöglicht, dann unionrechtskonform ist, wenn diese Regelung die Art oder die Kategorie der betreffenden Straftaten hinreichend präzise definiert, die Wahrung des Grundsatzes der Verhältnismäßigkeit gewährleistet und der behördliche Zugriff – außer in hinreichend begründeten Einzelfällen – an eine vorherige Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle geknüpft ist.

    Ein Betroffener ist über den Datenzugriff zu informieren, sobald die Übermittlung dieser Information die Aufklärung einer Straftat nicht (mehr) beeinträchtigen kann.

Rechtsprechung des VwGH

VwGH 03.09.2024, Ro 2022/04/0031

Schule, Art 6 Abs 1 lit e DSGVO, Interessenabwägung

  • Ein Lehrer einer Berufsschule fühlte sich durch die Veröffentlichung seiner personenbezogenen Daten auf der Schulwebsite in seinem Recht auf Geheimhaltung verletzt. Auf der Website sind der Vor- und Nachname, der akademische Grad und die dienstliche E-Mail-Adresse des Lehrers angegeben, um den Kontakt zwischen Lehrpersonal, Schülern und Erziehungsberechtigten zu erleichtern. Der Lehrer sah darin einen Verstoß gegen Art 5 und Art 6 DSGVO.

    Die DSB wies die Datenschutzbeschwerde des Lehrers ab, weil die Veröffentlichung der personenbezogenen Daten des Lehrers auf Art 6 Abs 1 lit e DSGVO gestützt werden konnte. Die Bescheidbeschwerde des Lehrers an das BVwG und seine anschließende Revision an den VwGH wurden jeweils abgewiesen.

    Der VwGH hat erwogen: Nach Art 6 Abs 1 lit e DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist. Der Zweck der Verarbeitung muss dabei nicht ausdrücklich in einer Rechtsgrundlage festgelegt sein. Daher ist es unerheblich, dass § 56 SchUG keine konkrete Datenverarbeitung normiert. Entscheidend ist, ob die in § 56 SchUG beschriebenen Aufgaben im öffentlichen Interesse liegen und ob die gegenständliche Datenverarbeitung einer dieser Aufgaben dient.

    Gemäß § 56 Abs 2 SchUG obliegt dem Schulleiter die Leitung der Schule sowie die Pflege der Verbindung zwischen Schule, Schülern und ihren Erziehungsberechtigten. Diese Aufgaben zielen auf die schulische Qualitätsentwicklung ab und verfolgen letztlich das Ziel, den größtmöglichen Kompetenzerwerb der Schüler zu fördern. Folglich liegen diese Aufgaben im öffentlichen Interesse.

    Weiters ermöglichen alternative Kommunikationswege, etwa über das Schulsekretariat oder geschützte Bereiche auf Online-Plattformen, nicht den gleichen Grad an direkter und rascher Kommunikation, wie die Veröffentlichung der E-Mail-Adressen. Darüber hinaus kann bei der Beurteilung der Rechtmäßigkeit der Datenverarbeitung darauf Bedacht genommen werden, dass die dienstliche E-Mail-Adresse nicht den Kernbereich der geschützten Privatsphäre, sondern die Sozialsphäre betrifft, die sich etwa durch die Interaktion mit Außenstehenden auszeichnet. Des Weiteren ist auch die Sensibilität der Daten und die Schwere des Eingriffs zu berücksichtigen.
     

VwGH 03.09.2024, Ra 2023/04/0042

AMS, Speicherbegrenzung, Rechtsansprüche

  • Ein Kunde des Arbeitsmarktservice (AMS) erhob bei der DSB eine Datenschutzbeschwerde, weil beim Erstellen eines eAMS-Kontos im Jahr 2019 seine Daten aus einem Geschäftsfall von 1992-1994 vorausgefüllt gewesen seien. Die DSB wies die Datenschutzbeschwerde ab und führte aus, dass die Verarbeitung der Daten des Kunden zur Erfüllung der Aufgaben des AMS erforderlich war. Das BVwG gab der daraufhin vom Kunden erhobenen Bescheidbeschwerde teilweise statt. Es stellte fest, dass das AMS den Mitbeteiligten in seinem Recht auf Geheimhaltung verletzt habe, indem es die Daten von 1992-1994 ohne Rechtsgrundlage weiterverarbeitet habe. § 25 Abs 9 Arbeitsmarktservicegesetz (AMSG) sehe nämlich eine eindeutige Frist von sieben Jahren für die Aufbewahrung der in § 25 Abs 1 AMSG genannten Daten vor. Das AMS erhob daraufhin eine (erfolglose) Revision an den VwGH und brachte vor, § 25 Abs 9 AMSG würde Art 6 DSGVO einschränken, weil eine zeitliche Beschränkung vorgesehen wird, welche die DSGVO nicht kenne. Außerdem würde die Bestimmung die Ansprüche der Arbeitssuchenden beeinträchtigen, weil sich Ansprüche nicht bloß auf die letzten sieben Jahre beziehen würden.

    Der VwGH hat erwogen: Gemäß Art 6 Abs 1 lit e DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Die Regelung des § 25 AMSG verfolgt das im öffentlichen Interesse liegende Ziel, dem AMS zur Erfüllung seiner gesetzlichen Aufgaben die Aufbewahrung der Daten zu ermöglichen. Die DSGVO erlaubt den Mitgliedstaaten, spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften zu erlassen. Die DSGVO geht somit davon aus, dass Zweckbegrenzungen oder Speicherfristen durch nationale Bestimmungen vorgesehen werden dürfen. § 25 Abs 9 AMSG legt eine Frist von sieben Jahren für die Aufbewahrung der Daten fest. Diese Frist steht im Einklang mit den Bestimmungen der DSGVO. Zudem normiert der Grundsatz der Speicherbegrenzung gemäß Art 5 Abs 1 lit e DSGVO eine zeitliche Begrenzung für die Verarbeitung personenbezogener Daten.

    In § 25 Abs 9 zweiter Satz AMSG ist ein Ausnahmetatbestand von der siebenjährigen Frist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vorgesehen. Das BVwG geht davon aus, dass das AMS keine ihm zukommenden Rechtsansprüche aufgezeigt habe. Das AMS bringt vor, dadurch wären die Ansprüche der Arbeitssuchenden gefährdet. Unter dem Begriff "Verteidigung von Rechtsansprüchen" sind auch Fälle zu subsumieren, in denen der Verantwortliche Rechtsansprüche eines Dritten abwehrt oder bestreitet. Jedoch handelt es sich bei § 25 Abs 9 zweiter Satz um eine Ausnahme von der im ersten Satz AMSG vorgesehenen Aufbewahrungsfrist. Das AMS wird somit nicht ermächtigt, die Daten generell länger als sieben Jahre aufzubewahren. Das Vorbringen des AMS, dass die jährlichen Zahlen an Fällen zeigen, dass die Ansprüche der Arbeitssuchenden auf Leistungen nicht auf sieben Jahre befristet wären, ist nicht ausreichend. Das AMS hat keine konkrete Erforderlichkeit der längeren Speicherung der Daten des spezifischen Kunden aufgezeigt.


Aus der weiteren Rechtsprechung des VwGH:

  • Die ungenaue oder unrichtige Bezeichnung des Verantwortlichen ist der Unzumutbarkeit seiner Namhaftmachung gleichzuhalten. Ein Mängelbehebungsauftrag ist dem Beschwerdeführer nicht aufzutragen, weil das die Zumutbarkeit der Benennung des Beschwerdegegners voraussetzen würde. Die DSB darf in solchen Fällen den Beschwerdegegner selbst ermitteln und gegen ihn das Verfahren führen. Daraus ergibt sich aber nicht, dass der ermittelte Beschwerdegegner tatsächlich der Verantwortliche ist (VwGH 03.09.2024,  Ra 2023/04/0092 Ra 2023/04/0107 ua).
     
  • Ein Aussetzungsbescheid der DSB, mit dem das Verfahren "bis zur Feststellung der federführenden Aufsichtsbehörde und bis zur Entscheidung der federführenden Aufsichtsbehörde bzw des Europäischen Datenschutzausschusses" ausgesetzt wird, ist mangels einfachgesetzlicher Rechtsgrundlage rechtswidrig ( VwGH 06.09.2024, Ro 2023/04/0006).


Rechtssprechung des OGH

  • Einer Bank kann keine Sorgfaltswidrigkeit zur Last gelegt werden, wenn trotz erfolgter starker Kundenauthentifizierung und erstmaliger Blockierung einer verdächtigen Überweisung durch das Transaktionsüberwachungssystem der Bank, der Kunde aufgrund falscher Vorstellungen die Überweisung dennoch (gestückelt in kleinere Beträge) freigibt ( OGH 28.08.2024, 7Ob95/24g).


Rechtsprechung des BVwG

  • Die Zurückziehung der Datenschutzbeschwerde während des anhängigen Beschwerdeverfahrens bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Bescheids und damit nachträglich die Rechtswidrigkeit des Bescheids. Das BVwG hat in einem solchen Fall den erstinstanzlichen Bescheid ersatzlos zu beheben (BVwG  06.09.2024, W292 2247490-1 16.09.2024, W287 2248646-1).
     
  • Wird eine Bescheidbeschwerde vor Entscheidung des BVwG zurückgezogen, ist das Verfahren mit Beschluss einzustellen (BVwG 26.07.2024,  W256 2247956-1 W256 2249414-1).


Rechtssprechung der LVwG

  • Eine Behörde darf durch den behördlich zugelassenen Zustelldienst "Bundesrechenzentrum GmbH" ("MeinPostkorb") eine Strafverfügung zustellen. Entscheidet sich die Behörde jedoch für eine Zustellung ohne Zustellnachweis durch ein Zustellsystem gemäß § 36 ZustG und wird ein Zustellmangel behauptet, liegt es an der Behörde, einer solchen Behauptung entgegenzutreten. Gelingt der Behörde der Nachweis über den Zustellzeitpunkt nicht, ist von einem Zustellmangel auszugehen, der gemäß § 7 ZustG geheilt werden kann ( LVwG Steiermark 12.04.2024, 30.5-736/2024).


Vorschau EuGH-Rechtsprechung

  • Am 17.10.2024 wird das Urteil in der Rs  C-302/23, Jarocki, verkündet. Der EuGH wird sich mit der eIDAS-Verordnung auseinandersetzen. Anm: Dem Urteil sind keine Schlussanträge vorausgegangen.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of János Böszörményi
János Böszörményi
Photo of Florian Terharen
Florian Terharen
Photo of Denise Stahleder
Denise Stahleder
Photo of Philipp John
Philipp John
Photo of Christian Kracher
Christian Kracher
Person photo placeholder
Anna Maria Gidwani
Person photo placeholder
Gamze Turan
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More