Liebe Leserinnen und Leser!
Die DSB wünscht allen viel Freude beim Lesen!
| |
---|
|
|
---|
|
|
|
Stellungnahme des Europäischen Datenschutzausschusses zu Bezahlmodellen auf großen Online-Plattformen Mag. Marek Gerhalter, LL.M. Der Europäische Datenschutzausschuss hat im Rahmen seiner Plenartagung im April 2024 auf Antrag der Aufsichtsbehörden der Niederlande, von Norwegen und Hamburg eine Stellungnahme zu sog. „Einwilligungs- oder Bezahlmodellen“ von großen Online-Plattformen angenommen.[1] Die Rechtsgrundlage für die Stellungnahme bildet Art. 64 Abs. 2 DSGVO, wonach jede Aufsichtsbehörde, der Vorsitz des Datenschutzausschusses oder die Europäische Kommission beantragen können, dass der Datenschutzausschuss eine Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat prüft und dazu Stellung nimmt.[2] Im gegenständlichen Fall wurde die mittlerweile weit verbreitete Praxis zahlreicher Online-Plattformen, für ihre Dienstleistungen entweder eine Einwilligung zur Verarbeitung personenbezogener Daten der Nutzer:innen für bestimmte Zwecke oder die Zahlung einer bestimmten Gebühr zu verlangen, zum Anlass für eine Befassung des Europäischen Datenschutzausschusses genommen. Im Fokus der Stellungnahme steht die Gültigkeit der Einwilligung, d.h. eine Frage zur Allgemeingültigkeit eines Schlüsselbegriffs der DSGVO. Das Ziel der Stellungnahme ist es, eine unionsweit einheitliche Auslegung zu erreichen. Die Stellungnahme beschränkt sich auf Einwilligungs- oder Bezahlmodelle, bei denen von einem Verantwortlichen entweder die Zahlung einer Gebühr oder die Erteilung einer Einwilligung zur Verarbeitung personenbezogener Daten für verhaltensbezogene Werbezwecke[3] verlangt wird, um Zugang zu einem Online-Dienst zu erhalten. Ferner ist die Stellungnahme auf „große Online-Plattformen“ beschränkt. Als demonstrative Beispiele werden „sehr große Online-Plattformen“ iSd. Digital Services Acts[4] und „Torwächter“ iSd. Digital Markets Acts[5] genannt, darüber hinaus stellt die Stellungnahme Kriterien für die Qualifikation einer Plattform als „große Online-Plattform“ auf. Indikatoren sind bspw. eine hohe Anzahl an Nutzer:innen, die Marktstellung der Plattform oder die Durchführung umfangreicher Verarbeitungstätigkeiten, was u.a. anhand der Anzahl der betroffenen Personen, der verarbeiteten Datenmengen oder des geografischen Umfangs der Verarbeitungstätigkeiten zu beurteilen ist. Die Qualifikation einer Plattform als „große Online-Plattform“ iSd. Stellungnahme des Europäischen Datenschutzausschusses bleibt eine Einzelfallbeurteilung. Beim Einsatz von Einwilligungs- oder Bezahlmodellen auf großen Online-Plattformen weist der Europäische Datenschutzausschuss ausdrücklich auf die Notwendigkeit der Einhaltung aller Voraussetzungen der DSGVO hin, insb. derjenigen für eine gültige Einwilligung, wobei stets die Besonderheiten jedes Einzelfalls zu betrachten sind. Besonders hervorgehoben wird in diesem Zusammenhang die Rechenschaftspflicht von Verantwortlichen und der Europäische Datenschutzausschuss betont, dass auch die Einholung einer gültigen Einwilligung Verantwortliche nicht von der Pflicht befreit, alle Verarbeitungsgrundsätze der DSGVO, insb. die Grundsätze der Verhältnismäßigkeit, der Erforderlichkeit, der Zweckbindung, der Datenminimierung und der Transparenz, einzuhalten. Obwohl die Stellungnahme den Einsatz von Einwilligungs- oder Bezahlmodellen durch große Online-Plattformen unter Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofes[6] dem Grunde nach nicht verbietet, ist der Europäische Datenschutzausschuss der Auffassung, dass es großen Online-Plattformen in den meisten Fällen nicht möglich sein wird, die Anforderungen an eine gültige Einwilligung zu erfüllen, wenn sie ihren Nutzer:innen lediglich die Wahl zwischen der Erteilung einer Einwilligung in die Verarbeitung ihrer personenbezogenen Daten für verhaltensbezogene Werbezwecke oder der Zahlung einer Gebühr lassen. Daher sollte von rein dualen Auswahlmöglichkeiten, die lediglich eine Wahl zwischen einer kostenpflichtigen Variante ohne verhaltensbasierte Werbung oder einer Variante mit Einwilligung für verhaltensbezogene Werbezwecke bieten, abgesehen und bspw. zusätzlich eine kostenlose Alternative ohne verhaltensbezogene Werbung angeboten werden. Eine solche zusätzliche Alternative kann nach Ansicht des Datenschutzausschusses Werbung unter Verarbeitung weniger oder gar keiner personenbezogenen Daten beinhalten und einen besonders wichtigen Faktor bei der Beurteilung der Frage, ob eine gültige Einwilligung nach der DSGVO vorliegt, darstellen. Weitere Kriterien für die Prüfung, ob eine freiwillige Einwilligung vorliegt, sind unter anderem die Konditionalität und Granularität der Zustimmung, der Grad an Informationen, welche Betroffenen vor Erteilung der Zustimmung erteilt werden, sowie allfällige Nachteile und Leistungsungleichgewichte. Als Negativbeispiel nennt die Stellungnahme etwa Szenarien, in denen sich betroffene Personen aufgrund der ihnen angebotenen Auswahl zur Erteilung einer Einwilligung gezwungen fühlen. Ebenfalls zu berücksichtigen ist, ob die Entscheidung, die Einwilligung zu verweigern, mit negativen Folgen für Betroffene verbunden ist, wie dem Ausschluss von einem bedeutenden Online-Dienst, dem fehlenden Zugang zu beruflichen Netzwerken oder dem Risiko, Inhalte oder soziale Kontakte zu verlieren. In die Abwägung miteinzubeziehen ist auch ein allfälliges Machtungleichgewicht zwischen den einzelnen Nutzer:innen und der großen Online-Plattform. Im Ergebnis ist festzuhalten, dass die Stellungnahme – obwohl auf große Online-Plattformen beschränkt – eine wichtige Richtschnur für die Beurteilung der Zulässigkeit von Einwilligungs- oder Bezahlmodellen im Online-Bereich darstellt. Aufgrund der Wichtigkeit dieser Thematik hat der Europäische Datenschutzausschuss unlängst ein Mandat für die Erarbeitung von Leitlinien zu weiterführenden Fragen beschlossen.[7] Weitere Informationen können der Website der Datenschutzbehörde entnommen werden.[8]
[6] Vgl. EuGH 4. Juli 2023, C‑252/21 ( Bundeskartellamt), Rz. 150.
|
---|
|
|
|
Im Fokus
Zum Verhältnis zwischen Datenschutzrecht und EU-Verordnung über künstliche Intelligenz (KI-VO) Dr. Andreas Zavadil/Mag. Andreas Rohner Als Künstliche Intelligenz („KI“) werden üblicherweise verschiedene grundlegende Technologien bezeichnet, die im gesamten Spektrum von Wirtschaft und Gesellschaft zu zahlreichen Vorteilen beitragen können. Zur Regulierung dieser Technologien wurde die KI-VO am 21. Mai 2024 formal angenommen. Dieses Regelwerk der EU wird in den nächsten Monaten und Jahren schrittweise anwendbar sein. Die Datenschutzbehörde hat dies zum Anlass genommen, erste Informationen zum Verhältnis zwischen den datenschutzrechtlichen Bestimmungen und der nunmehr angenommenen KI-VO auf ihrer Website bereitzustellen (FAQ zum Thema KI und Datenschutz sowie Rundschreiben an Verantwortliche des öffentlichen und privaten Bereichs). Im Folgenden werden die wesentlichen Aspekte dieser Informationen beleuchtet. Nach Art. 2 Abs. 7 KI-VO bleiben die DSGVO, die Arbeit der Datenschutzbehörde und die Pflichten von Anbietern und Betreibern von KI-Systemen in ihrer Rolle als Verantwortliche oder Auftragsverarbeiter durch die KI-VO unberührt. Die DSGVO bleibt daher (parallel) anwendbar, soweit es beim Einsatz von KI zur Verarbeitung personenbezogener Daten kommt. Daraus folgt, dass die datenschutzrechtlichen Vorgaben – insbesondere die Grundsätze gemäß Art. 5 Abs. 1 sowie die Betroffenenrechte – auch beim Einsatz von KI-Systemen beachtet werden müssen. Da KI-Systeme zur Effizienzsteigerung beitragen und Entscheidungen beschleunigen können, ist insbesondere auf die Vorgaben von Art. 22 DSGVO (sogenannte „automatisierte Entscheidungen im Einzelfall einschließlich Profiling“) hinzuweisen. Soweit die Verarbeitung personenbezogener Daten in den Anwendungsbereich von Art. 22 DSGVO fällt – welcher nach Judikatur des EuGH tendenziell weit ausgelegt wird (vgl. EuGH 7.12.2023, C‑634/21 Rz 73) – sind die dort normierten Vorgaben beachtlich. Darüber hinaus wird in der KI-VO an verschiedenen Stellen auf die DSGVO verwiesen, zum Beispiel für die Definition der Begriffe „personenbezogene Daten“, „biometrische Daten“ oder „Profiling“. Die datenschutzrechtlichen Verpflichtungen werden durch die KI-VO teils auch ergänzt. So kann Art. 10 Abs. 5 KI-VO unter den dort normierten Voraussetzungen als Ausnahme vom Verarbeitungsverbot für besondere Kategorien personenbezogener Daten herangezogen werden, soweit dies für die Erkennung und Korrektur von Verzerrungen im Zusammenhang mit Hochrisiko-KI-Systemen unbedingt erforderlich ist. Die Aufsicht und Durchsetzung soll gemäß KI-VO einer (oder mehreren) Marktüberwachungsbehörden übertragen werden. Durch die Marktüberwachung soll u.a. gewährleistet werden, dass Hochrisiko-KI-Systeme den Vorgaben der KI-VO entsprechen. Es ist noch nicht festgelegt, wer dies in Österreich sein wird. Auch für die EU-Kommission sind einige Rechtsdurchsetzungskompetenzen vorgesehen. Vor dem Einsatz von KI in Unternehmen oder im öffentlichen Bereich sollten datenschutzrechtliche Überlegungen jedenfalls eine Rolle spielen, um Probleme zu vermeiden. Hierbei kommt der Einbindung von Datenschutzbeauftragten – zum Beispiel bei der Auswahl eines KI-Tools – eine wichtige Bedeutung zu. Aus Sicht der Datenschutzbehörde bietet die DSGVO ausreichend Möglichkeiten, neue Technologien im Bereich KI in Einklang mit dem Datenschutzrecht zu entwickeln und zu betreiben. Die Datenschutzbehörde arbeitet innerhalb ihres Zuständigkeitsbereichs daran, entsprechende Informationen zum Verhältnis Datenschutzrecht und KI-VO zur Verfügung zu stellen, um zur Rechtssicherheit beizutragen. Weitere Informationen der Datenschutzbehörde sind zu finden unter: https://www.dsb.gv.at/download-links/FAQ-zum-Thema-KI-und-Datenschutz.html Ein breites Informationsangebot zum Thema KI, auch zur KI-VO und regulatorischen Rahmenbedingungen, stellt die in der RTR GmbH eingerichtete KI-Servicestelle zur Verfügung. Dieses ist zu finden unter: https://ki.rtr.at Informationsfreiheitsgesetz Mag. Vanessa Neudecker Das Informationsfreiheitsgesetz - IFG, BGBl. I Nr. 5/2024, tritt überwiegend mit 1. September 2025 in Kraft. Nach § 4 Abs. 1 obliegt ab diesem Zeitpunkt informationspflichtigen Organen die proaktive Informationspflicht. Informationen von allgemeinem Interesse sind hierbei ehestmöglich in einer für jedermann zugänglichen Art und Weise im Internet zu veröffentlichen und bereit zu halten. Zudem obliegt informationspflichtigen Organen und Einrichtungen nach § 7 IFG ab diesem Zeitpunkt die antragsgemäße Behandlung von Informationsbegehren. Nicht zur Veröffentlichung bestimmt und auf Antrag zugänglich zu machen, sind Informationen unter anderem nach § 6 Abs. 1 Z 7 lit. a IFG, soweit und solange dies „im überwiegenden berechtigten Interesse eines anderen, insbesondere […] zur Wahrung des Rechts auf Schutz der personenbezogenen Daten […] erforderlich und verhältnismäßig und gesetzlich nicht anders bestimmt ist. Zu diesem Zweck sind alle in Betracht kommenden Interessen, einerseits an der Erteilung der Information, darunter insbesondere auch an der Ausübung der Meinungsäußerungsfreiheit, und andererseits an der Geheimhaltung der Information, gegeneinander abzuwägen.“ Gemäß § 15 Abs. 1 IFG „berät und unterstützt die [Datenschutzbehörde die] informationspflichtigen Organe bzw. Einrichtungen durch die Bereitstellung von Leitfäden und Angebote zur Fortbildung in datenschutzrechtlichen Belangen der Vollziehung der Informationsfreiheit.“ Entsprechend den Erläuterungen zu § 15 IFG (2238 dB XXVII. GP, 14) soll die Datenschutzbehörde die informationspflichtigen Stellen im Hinblick auf die datenschutzrechtliche Rechtslage und Praxis (Rechtsprechung) beraten und unterstützen, indem sie allgemeine Anwendungshinweise und Anleitungen (Guidelines o.Ä.) zur Verfügung stellt und nach Möglichkeit regelmäßig geeignete Schulungsmaßnahmen anbietet. Um die ihr übertragenen Aufgaben bestmöglich wahrnehmen zu können, hat die Datenschutzbehörde bis zum Inkrafttreten des IFG folgenden Fahrplan entwickelt:
|
---|
|
|
|
Das neue Medienprivileg im Datenschutz Mag. Michael Suda Mit Erkenntnis vom 14.12.2022, G 287/2022 u.a., hat der Verfassungsgerichtshof (VfGH) das alte Medienprivileg in § 9 Abs. 1 DSG idF BGBl. I Nr. 24/2018 mit Ablauf des 30.6.2024 als verfassungswidrig aufgehoben. Eine Neuregelung mit folgendem wesentlichen Inhalt (beim Verfassen dieses Artikels in Beratung durch den Bundesrat) wird voraussichtlich am 1.7.2024 in Kraft treten: Ein nunmehr sehr umfassender § 9 Abs. 1 DSG neu regelt die Datenverarbeitung durch Medienunternehmen (Zeitungen, Zeitschriften, Rundfunk- und Online-Medien) oder Mediendienste (Nachrichtenagenturen) zu journalistischen Zwecken. Privilegiert sind neben dem Unternehmen auch dessen Organe (insbesondere der Herausgeber), Angestellte und sonstige Personen, die auf Grundlage eines Vertrages an der inhaltlichen Gestaltung von Publikationen journalistisch mitwirken (im Folgenden: Privilegierte). § 9 Abs.1 Z 2 DSG neu schafft eine weitreichende Grundlage zur Verarbeitung personenbezogener Daten durch Privilegierte. Diese dürfen jede Art von Daten, eingeschlossen besonders geschützte Daten (Art. 9 DSGVO, insbesondere Gesundheitsdaten) und strafrechtliche Daten (Art. 10 DSGVO), für journalistische Zwecke verarbeiten. Die Rechte betroffener Personen sind gegenüber Privilegierten deutlich eingeschränkt. Die Art. 13 und 14 DSGVO (Informationspflichten) sind nicht anwendbar. In der Phase journalistischer Recherchen vor der Veröffentlichung eines Medienberichts besteht kein Recht auf Auskunft (Art. 15 DSGVO), später kein Recht auf eine Kopie und kein Recht auf Auskunft, soweit es um Informationen geht, die unter das Redaktionsgeheimnis (§ 31 Abs. 1 MedienG) fallen, was insbesondere die Herkunft von Daten betrifft (Quellenschutz). Ein Antrag auf Auskunft muss Bezug auf eine bestimmte Veröffentlichung nehmen. Für die Auskunftserteilung kann ein Privilegierter als Verantwortlicher, um befürchtete Massenanfragen zu begrenzen, eine Gebühr von 9 Euro verlangen. Die Rechte auf Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO) und Einschränkung der Verarbeitung (Art. 18 DSGVO) sind während journalistischer Recherchen, nach Veröffentlichung in einem Medium und soweit eine konkurrierende Anspruchsgrundlage wegen Verletzung der Persönlichkeitsrechte besteht, überhaupt nicht anzuwenden. In allen anderen Fällen darf der Verantwortliche im Falle einer Geltendmachung des Berichtigungs- und Einschränkungsrechts diese Rechte verweigern, soweit dies im Einzelfall zum Schutz der Meinungsäußerungs- und Informationsfreiheit erforderlich und verhältnismäßig ist. Eine Löschung von Medienpublikationen ist generell ausgeschlossen. Privilegierte sind keinen Beschränkungen im internationalen Datenverkehr unterworfen. Es bestehen weiters Einschränkungen ihrer Pflicht zur Meldung von Datenschutzverletzungen (Art. 33 f DSGVO) und beim Zugang eines von ihnen bestellten Datenschutzbeauftragen zu Daten, die für journalistische Zwecke verarbeitet werden (Art. 38 DSGVO). Eine Beschwerde bei der Datenbehörde gegen eine Datenverarbeitung für journalistische Zwecke von Medienunternehmen wird ab 1.7.2024 möglich, jedoch ebenfalls nur mit Einschränkungen. So ist keine Beschwerde in Österreich gegen verantwortliche Medienunternehmen mit Sitz in anderen EWR-Mitgliedstaaten möglich (kein One-Stop-Shop). Der Verantwortliche muss seine Gründe für eine Weigerung, subjektiven Rechten der betroffenen Person nachzukommen, nur glaubhaft machen, nicht unter Beweis stellen. Die Datenschutzbehörde muss für die Wahrung des Redaktionsgeheimnisses Sorge tragen, d.h. es darf wohl nicht zu entsprechenden Ermittlungsergebnissen Parteiengehör gewährt werden, Privilegierte müssen als Zeugen oder Beteiligte nicht dazu aussagen, und die Erlassung von Bescheiden gemäß § 25 Abs. 3 DSG ist nur stark eingeschränkt möglich. Ein neuer § 9 Abs. 1a DSG regelt die Datenverarbeitung durch Nicht-Medienunternehmen (z.B. private Blogger, Hobby- und Bürgerjournalisten, Kommentatoren in Sozialen Medien) zu journalistischen Zwecken. Ihnen sind bedeutend geringere Privilegien eingeräumt. So dürfen sie von den besonders geschützten Daten gemäß Art. 9 Abs. 1 DSGVO nur Daten zu politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, nicht jedoch insbesondere Daten zur Gesundheit von betroffenen Personen verarbeiten. Ein privater Blogger darf zukünftig damit im Umkehrschluss nicht über die Gesundheit einer Person öffentlichen Interesses recherchieren und berichten. Nicht-Medienunternehmen müssen weiterhin auch kostenlos Auskunft gemäß Art. 15 DSGVO erteilen, eine Weigerung, die Rechte gemäß Art. 15 bis 18 DSGVO zu erfüllen, ist nur eingeschränkt möglich. Die Erlassung von Bescheiden gemäß § 25 Abs. 3 DSG (Offenlegungsauftrag) durch die Datenschutzbehörde ist ohne Beschränkungen möglich.
|
---|
|
|
|
Ausgewählte Entscheidungen der DSB
DSB-D124.2447/23 (2024-0.246.518); Verarbeitung sonstiger Zahlungserfahrungsdaten sowie einer daraus resultierenden Bonitätsbewertung Mit Bescheid vom 5. April 2024, GZ: 2024-0.246.518, hatte sich die Datenschutzbehörde mit dem Vorwurf der unerlaubten Speicherung eines bereits seit zwei Jahren getilgten Inkassofalles in Bagatellhöhe sowie einer daraus resultierenden Bonitätsbewertung einer Kreditauskunftei zu befassen. Der EuGH hat sich in seinem rezenten Urteil vom 7. Dezember 2023 in den verbundenen Rs. C‑26/22 und C‑64/22 [SCHUFA Holding AG] mit der Thematik der Verarbeitung von aus öffentlichen Registern (Insolvenzdatei) stammenden bonitätsrelevanten Daten in Datenbanken privater Wirtschaftsauskunfteien beschäftigt. Es stehen sich die Interessen der Kreditauskunftei, von Dritten sowie der berechtigten Person gegenüber. Der nationale Gesetzgeber hat diese gegenläufigen Interessen in Hinsicht auf die Dauer, für die in die staatliche Insolvenzdatei öffentlich Einsicht genommen werden kann, bereits abgewogen und in § 256 IO normiert. Die Datenschutzbehörde hat gegenständlich festgehalten, dass die darin normierten Maximalfristen für aus der Insolvenzdatei stammende Daten – idR ein Bündel an ausständigen, mitunter hohen Forderungen - erst recht für sonstige von Kreditauskunfteien verarbeitete historische Zahlungserfahrungsdaten sowie daraus abgeleiteter Bonitätsbewertungen gelten müssen, da für diese keine eigenständigen gesetzlichen Fristenregelungen vorhanden sind. Im Ergebnis stellte die Datenschutzbehörde daher eine Verletzung im Recht auf Löschung fest. Der Bescheid ist nicht rechtskräftig. DSB-D213.2328 (2024-0.026.783); („anonymisiertes“) Schwangerschaftsabbruchregister, Warnung gemäß Art. 58 Abs. 2 lit. a DSGVO Im September 2023 wurde in unterschiedlichen Medien berichtet, dass zwei Bundesländer ein so genanntes „Schwangerschaftsabbruchregister“ planen würden. Die Datenschutzbehörde leitete daraufhin zwei sogenannte ad hoc Prüfverfahren zur datenschutzrechtlichen Überprüfung gegen das Amt der jeweiligen Landesregierung gemäß Art. 57 Abs. 1 lit. h iVm Art. 58 Abs. 1 lit. b DSGVO iVm § 22 Abs. 1 DSG ein und versandte Fragebögen zur Ermittlung des Sachverhalts. Das Büro des Landesamtsdirektors eines der Bundesländer teilte daraufhin mit, dass kein Schwangerschaftsabbruchregister geplant sei, weswegen das diesbezügliche amtswegige Prüfverfahren eingestellt wurde. Im Fall des Prüfverfahrens gegen das andere Amt der Landesregierung erfolgte die Mitteilung, dass das Land X für dieses lediglich eine Förderung im Rahmen der Wissenschaftsförderung des Landes zur Verfügung stelle und die Projektleitung bzw. Verantwortlichkeit nicht beim Land angesiedelt sei, sondern handle es sich um ein Projekt der Krankhausträgergesellschaft. Die Datenschutzbehörde erweiterte daraufhin die Datenschutzüberprüfung auf die Krankenhausträgergesellschaft. Zusammengefasst ergaben die Ermittlungen, dass das beabsichtigte Schwangerschaftsabbruchregister von der Krankenhausträgergesellschaft – als Auftragsverarbeiter - betrieben werden sollte und vorgesehen sei, dass die in das Register einmeldenden Arztpraxen bzw. Kliniken als Verantwortliche des Schwangerschaftsbbruchregisters fungieren sollten. Die Datenerfassung durch die Einmelder erfolge anonym und diene dem Ziel, Versorgungsengpässe bzw. die Risiken für Schwangerschaftsabbrüche und Teenagerschwangerschaften zu identifizieren. Aufgrund der erfassten Kategorien der Daten (etwa über Komplikationen im Rahmen des Schwangerschaftsabbruches), ergaben sich allerdings erhebliche Zweifel seitens der Datenschutzbehörde, dass die Aggregation der Gesundheitsdaten nach Alterskohorten für eine Anonymisierung – dh eine vollständige Beseitigung eines möglichen Personenbezugs – in allen Fällen zureichend sei. Ebenso erschienen die übergeordneten Zwecke der Verarbeitung eines Schwangerschaftsabbruchregisters (etwa Versorgungsengpässe im X-Land) mit den Aufgaben der „Alleinverantwortlichen“ (einmeldender Arztpraxen bzw. Kliniken) nicht vereinbar. Die Datenschutzbehörde sprach folglich mit Bescheid vom 24. April 2024 zu Zahl D213.2328 die Warnung gemäß Art. 58 Abs. 2 lit. a DSGVO an Verantwortliche und Auftragsverarbeiter aus, dass die beabsichtigte Verarbeitung eines X-Land Schwangerschaftssabbruchregisters mangels geeigneter Rechtsgrundlage und aufgrund der beabsichtigten datenschutzrechtlichen Rollenverteilung voraussichtlich den Bestimmungen der DSGVO widerspricht. Der Bescheid wurde nicht angefochten. DSB-D124.3853 (2023-0.780.386); eine Verarbeitung personenbezogener Daten durch einen gerichtlichen beeideten Sachverständigen als Privatgutachter, die mit Wissen und Willen des Betroffenen im Rahmen eines Erst-Gutachtens verwendet wurden, stellt keine rechtmäßige Weiterverarbeitung iS des Art. 6 Abs. 4 DSGVO dar, wenn sie ohne Wissen und Willen des Betroffenen iR eines Zweit-Gutachtens für die Haftpflichtversicherung des Unfallgegners weiterverarbeitet werden Der Beschwerdeführer hatte in Gefolge eines Verkehrsunfalls Ansprüche an seine private Unfallversicherung geltend gemacht. Zur Abklärung, ob der Tinnitus des Beschwerdeführers unfallkausal bedingt war, beauftragte die private Unfallversicherung einen gerichtlich beeideten Sachverständigen für HNO Erkrankungen mit einem Privatgutachten (in Folge „Erstgutachten“). Der Beschwerdeführer willigte in eine persönliche Untersuchung ein und übergab dem Sachverständigen (in Folge „Beschwerdegegner“) Vorbefunde. Im Jahr 2021 wurde vom selben gerichtlich beeideten Sachverständigen ein „aktenmäßiges“ Privatgutachten (Zweit-Gutachten) über den Tinnitus des Beschwerdeführers im Auftrag der Haftpflichtversicherung der seinerzeitigen Unfallgegnerin erstellt. Dieses „aktenmäßige“ Zweit-Gutachten des Beschwerdegegners basierte auf personenbezogenen Daten, die der Beschwerdegegner im Rahmen des Erst-Gutachtens erhalten hatte. Unter Zugrundelegung der Judikatur des BVwG (W214 2196366-2) kam die Datenschutzbehörde zum Schluss, dass für das Privatgutachten der Auftraggeber des Zweit-Gutachtens und der gerichtlich beeidete Sachverständige gemeinsame Verantwortliche für das (Zweit)Gutachten waren, freilich eingeschränkt auf jene Vorgänge der Verarbeitung, für die der einzelne Verantwortliche tatsächlich über die Zwecke und Mittel entscheidet (vgl. auch EuGH vom 29. Juli 2019, C‑40/17). In einem weiteren Schritt kam die Datenschutzbehörde zum Schluss, dass die Weiterverarbeitung der personenbezogenen Gesundheitsdaten durch den Beschwerdegegner für das Zweitgutachten keine zulässige Weiterverarbeitung im Sinne des Art. 6 Abs. 4 DSGVO war. Insbesondere bestand keine konkrete, kohärente und ausreichend enge Verbindung zwischen dem Zweck der Datenerhebung und der Weiterverarbeitung (vgl. EuGH vom 20. Oktober 2022, C-77/21). Vielmehr war die Weiterverarbeitung der personenbezogenen Gesundheitsdaten für ein (Zweit)Gutachten zugunsten der Haftpflichtversicherung der Unfallgegnerin des Beschwerdeführers – sohin für einen anderen Zweck - außerhalb der Erwartungshaltung eines Betroffenen und bestand weder eine Verbindung der Zwecke noch war ein relevanter Zusammenhang ersichtlich. Der Beschwerde wurde stattgegeben, ein Verfahren vor dem Bundesverwaltungsgericht ist anhängig. DSB-D124.0564/23; die Beschwerdegegnerin hat dem Antrag auf Berichtigung des Geschlechtes der beschwerdeführenden Partei von „männlich“ auf „divers“ nicht entsprochen. Im Bescheid vom 27. November 2023 hatte die Datenschutzbehörde eine Berichtigung des Datensatzes einer beschwerdeführenden Partei zu prüfen, weil sich diese im Recht auf Berichtigung gemäß Art. 16 DSGVO durch die Beschwerdegegnerin als verletzt erachtete, indem diese keine Berichtigung der Identität ihres Geschlechtes vorgenommen hatte. Konkret stellte die beschwerdeführende Partei einen Antrag auf Berichtigung gemäß Art. 16 DSGVO bei der Beschwerdegegnerin, dass diese im Kundenverwaltungssystem den Geschlechtseintrag von < männlich > auf < divers > berichtige. Die beschwerdeführende Partei legte zudem ein Erkenntnis des Landesverwaltungsgerichtes vor, in welchem dieses die Änderung des Geschlechtseintrages von < männlich > auf < divers > im ZPR verfügte. Der Geschlechtseintrag der beschwerdeführenden Partei wurde im Zentralen Personenstandsregister (ZPR) abgeändert. Die Beschwerdegegnerin änderte den Geschlechtseintrag von < männlich > auf < unbekannt > und setzte die beschwerdeführende Partei hiervon per E-Mail in Kenntnis. Weiters vermerkte die Beschwerdegegnerin in ihrer Kundendatenbank, dass die Geschlechtsbezeichnung der beschwerdeführenden Partei mit < divers > gleichzusetzen ist. Im Verfahren vor der Datenschutzbehörde teilte die Beschwerdegegnerin zudem mit, dass aufgrund der (technischen) Komplexität die beantragte Abänderung der Identität des Geschlechtes in dem Kundeverwaltungssystem derzeit nicht möglich sei und die Umstellung bzw. die Implementierung der neuen Systeme zwar bereits begonnen hätte, jedoch noch Zeit in Anspruch nehmen würde. Die Datenschutzbehörde gab der Beschwerde der beschwerdeführenden Partei statt und hielt fest, dass das Recht auf Berichtigung sich im Grundsatz der Datenrichtigkeit manifestiert und die Verantwortliche der jeweiligen Datenverarbeitung dafür Sorge zu tragen hat, dass die Daten sachlich richtig und erforderlichenfalls auf den neuesten Stand zu bringen sind. Die Identität des Geschlechtes wurde im Zentralen Personenstandsregister bereits abgeändert. Die beschwerdeführende Partei verfügt zudem über eine entsprechende Geburtsurkunde und ein stattgebendes Erkenntnis des Landesverwaltungsgerichts. Die Beschwerdegegnerin hat organisatorische und technische Maßnahmen zu treffen, um sicherzustellen, dass die Daten weiterhin der Richtigkeit entsprechen bzw. wenn es geboten erscheint, richtiggestellt werden können. Die beschwerdeführende Partei stellte einen Antrag auf Berichtigung gemäß Art. 16 DSGVO betreffend die Abänderung des Geschlechtes von < männlich > auf < divers > und nicht auf den von der Beschwerdegegnerin gewählten Terminus < unbekannt >. Im Erkenntnis des Verfassungsgerichtshofes, VfSlg. 20.258/2018, wird intersexuellen Menschen das Recht auf eine adäquate Bezeichnung im Personenstandsregister des Personenstandsgesetzes 2013 (PStG 2013) einräumt. Intersexuelle Menschen, deren biologisches Geschlecht nicht eindeutig < männlich > oder < weiblich > ist, sollen das Recht auf eine ihrem Geschlecht entsprechende Eintragung im Personenstandsregister oder in Urkunden haben. Eine taxative Aufzählung in Bezug auf die dritte Geschlechtsidentität ist nicht vorgenommen worden, jedoch hat der VfGH zum Ausdruck gebracht, dass eine Bezeichnung zu wählen ist, aus welcher mit hinreichender Deutlichkeit diese hervorgehen soll. Dem von der Beschwerdegegnerin gewählten Terminus < unbekannt > fehlt es an einer hinreichenden Ersichtlichkeit, dass es sich hierbei um die Eintragungsform eines dritten Geschlechtes handelt. Unter Unbekanntheit ist im allgemeinen Sprachgebrauch zu verstehen, dass ein Mangel an Wissen oder Informationen über bestimmte Tatsachen vorliegt. Somit verarbeitet die Beschwerdegegnerin im Ergebnis ein unrichtiges personenbezogenes Datum und ist dem Antrag nicht nachgekommen. Daher hat die Beschwerdegegnerin die beschwerdeführende Partei im Recht auf Berichtigung gemäß Art. 16 DSGVO verletzt. Der Bescheid ist nicht rechtskräftig. DSB-D124.4549 (2023-0.220.672); Datenerhebung im Rahmen eines Disziplinarverfahrens bei einem Gericht In seiner an die DSB gerichteten Beschwerde wendete sich der Beschwerdeführer (Referent eines Verwaltungsgerichts) gegen „Datenverarbeitungen im Zusammenhang mit der heimlichen Durchsuchung“ seines Büros durch Organe des Präsidenten des Verwaltungsgerichts (Beschwerdegegner). Die Datenschutzbehörde wies die Beschwerde mit Hinweis auf das sogenannte „Übermaßverbot“ ab. Die verarbeiteten Daten waren nach Art und Inhalt für die Feststellung des in Frage stehenden Sachverhalts geeignet (etwa um im Zuge einer erstatteten Disziplinaranzeige die Pflichtverletzung darzulegen bzw. zu belegen), weshalb die Zulässigkeit der Verarbeitung aus datenschutzrechtlicher Sicht gegeben war. Das BVwG bestätigte mit Erkenntnis vom 23. Februar 2024, W137 2277123-1/4E, den Bescheid der Datenschutzbehörde im Wesentlichen und hielt fest, dass die Dienstbehörde im Rahmen der von ihr wahrzunehmenden Aufgabe der Dienstaufsicht gegenüber dem Beschwerdeführer und der von ihr diesbezüglich durchzuführenden Verfahren und Ermittlungen zur Verarbeitung der hierfür erforderlichen personenbezogenen Daten grundsätzlich gemäß § 109 BDG berechtigt ist. Während das BVwG die Überlegungen der Datenschutzbehörde zum Übermaßverbot grundsätzlich bestätigte, wies es darauf hin, dass die Datenschutzbehörde eine Beschwerde, die sich auf die Ausübung des richterlichen Amtes (und einer diese berührende Datenverarbeitung) bezieht, zurückweisen müsste, und keine Prüfung von Datenverarbeitungen, die die Ausübung des richterlichen Amtes betreffen, im Umweg eines Prüfverfahrens betreffend eine an einem Gericht beschäftigte nicht-richterliche Person, durchführen dürfe. Im gleichen Sachverhaltskomplex existiert eine weitere Beschwerde beim BVwG gegen einen Bescheid, in dem die Datenschutzbehörde ebenfalls die Datenschutzbeschwerde (dort nun eines Richters) abgewiesen hat (D124.4528). DSB-D124.0436/24 (2024-0.183.018); Verarbeitung und Offenlegung personenbezogener Daten durch die Verwendung eines „Mahnaufklebers“ einer Kreditauskunftei außen auf einem Brief Mit Bescheid vom 25. April 2024 hatte die Datenschutzbehörde zu beurteilen, ob die Verwendung eines „Mahnaufklebers“ einer Kreditauskunftei durch die Beschwerdegegnerin außen auf einem Brief die beschwerdeführende Partei in ihrem Recht auf Geheimhaltung verletzt hat. Der beschwerdegegenständliche Mahnaufkleber ist mit der weißen Aufschrift „Bei Nichtzahlung erfolgt Inkasso durch [Kreditauskunftei]. Failure to pay this invoice will result in debt collection by [Kreditauskunftei]” auf rotem Hintergrund ausgestaltet. Die Datenschutzbehörde hat gegenständlich ausgesprochen, dass zwar der Sticker selbst keine personenbezogenen Informationen enthalten mag, durch das Aufkleben außen auf dem Kuvert jedoch der „Informationsgehalt“ des „Mahnaufklebers“ mit den personenbezogenen Daten der beschwerdeführenden Partei verknüpft wurde. Verfahrensrelevant war die Frage, ob ein berechtigtes Interesse der Beschwerdegegnerin daran besteht, die Tatsache, dass sie eine Forderung gegen den Beschwerdeführer einmahnt, durch Verwendung des „Mahnaufklebers“ anderen Personen als dem Beschwerdeführer, die auch nicht unmittelbar mit der Forderungseintreibung beschäftigt sind, offenzulegen. Gegenständlich war für die Datenschutzbehörde kein berechtigtes Interesse der Beschwerdegegnerin an dieser Offenlegung erkennbar und hat die Beschwerdegegnerin diesbezüglich auch keine fundierten Argumente gebracht, weshalb der Beschwerde stattzugeben war.
|
---|
|
|
|
Ausgewählte Entscheidungen der Gerichte
BVwG zu Zl. W137 2248575-1/31E vom 18.04.2024 in Bezug auf das Straferkenntnis der Datenschutzbehörde zur GZ: D550.289; Schuldspruch wegen Verstoß gegen das Erleichterungsgebot nach Art. 12 Abs. 2 DSGVO bestätigt, Strafhöhe reduziert Die Datenschutzbehörde stellte mit Straferkenntnis vom 28.09.2021 fest, dass eine Verantwortliche ihre Pflicht nach Art. 12 Abs. 2 DSGVO verletzte, indem sie ein (obligatorisches) Kontaktformular auf ihrer Webseite für die Geltendmachung von Betroffenenrechten implementierte (siehe im Detail Datenschutzbericht 2021, S. 51 f). Die Verantwortliche erhob dagegen eine Beschwerde beim Bundesverwaltungsgericht. Das Bundesverwaltungsgericht stellte zunächst grundlegend fest, dass im Lichte der rezenten Judikatur des EuGH (Urteil vom 05.12.2023 zu C-807/21) die Strafbarkeit einer juristischen Person ausschließlich in Art. 83 DSGVO geregelt sei. Für die nationalen Bestimmungen des § 30 Abs. 1 und 2 DSG bleibe kein Raum (vgl. VwGH vom 01.02.2024, Ra 2020/04/0187). In Bezug auf das Erleichterungsgebot hielt das Bundesverwaltungsgericht fest, dass diese Verpflichtung als Strafbestimmung nach Art. 83 Abs. 5 lit. b DSGVO ausreichend bestimmt sei. Die Verantwortliche habe durch die im Straferkenntnis festgestellten Maßnahmen gegen Art. 12 Abs. 2 DSGVO verstoßen und den Betroffenen die Ausübung ihrer Rechte nach Art. 15 bis 22 DSGVO erschwert. Der Schuldspruch wurde im Ergebnis bestätigt. Im Zuge der Strafbemessung kam das Bundesverwaltungsgericht jedoch unter Anwendung der „Fines-Leitlinien“ (EDSA Leitlinien 04/2022) zum Ergebnis, dass die Strafhöhe auf insgesamt EUR 500.000 reduziert werden musste. Als Strafbemessungsgrundlange wurde im Lichte der EuGH-Judikatur der gesamte weltweite Konzernumsatz (ca. 2,19 Milliarden Euro) und nicht der Umsatz der einzelnen Gesellschaft herangezogen. Strafmildernd wurde insbesondere berücksichtigt, dass alle Anfragen letztendlich zum Zeitpunkt der Entscheidung des Bundesverwaltungsgerichts abgearbeitet wurden und nur eine „leichte Fahrlässigkeit“ festgestellt werden konnte. Die Verantwortliche habe sich kooperativ gezeigt und bereits während des Verwaltungsstrafverfahrens „Nachbesserungen“ vorgenommen. Außerdem gab es keine einschlägigen Vorstrafen. Ungeachtet dessen sei aufgrund generalpräventiver Erwägungen und der wirtschaftlichen Größe der Verantwortlichen sowie unter Berücksichtigung ihrer mangelhaften Vorbereitung in einem datenschutzrechtlich besonders sensiblen Geschäftsfeld (Adressverlag) eine Geldstrafe notwendig gewesen. Die Entscheidung ist rechtskräftig. BVwG zu Zl. W214 2243436-1/39E vom 27.03.2024 in Bezug auf das Straferkenntnis der Datenschutzbehörde zur GZ: D550.360; Schuldspruch wegen unzulässiger Einwilligungen und in Folge unrechtmäßiger Verarbeitung personenbezogener Daten bestätigt, Strafhöhe reduziert Die Datenschutzbehörde hat im Jahr 2021 insgesamt drei Geldbußen gegen juristische Personen, die in Österreich Kundenbindungsprogramme betreiben und für die Verarbeitung von personenbezogenen Daten zum Zwecke des Profiling von den Betroffenen eine Einwilligung erhoben, verhängt (siehe im Detail Datenschutzbericht 2021, S. 50 f). Das Bundesverwaltungsgericht hat nun einen der drei Strafbescheide näher beleuchtet und im Wesentlichen wie folgt entschieden: Die von der Verantwortlichen für ihr Kundenbindungsprogramm eingesetzten Einwilligungsersuchen im Tatzeitraum hätten den Anforderungen gemäß Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 DSGVO nicht entsprochen. Die im Rahmen der Anmeldeformulare zum Kundenbindungsprogramm enthaltenen Einwilligungsersuchen seien im Ergebnis irreführend gestaltet gewesen und hätten die Betroffenen dazu veranlasst, in die Verarbeitung ihrer Daten einzuwilligen, ohne dass die Voraussetzungen für eine Einwilligung vorlagen. In weiterer Folge sei daher die auf Grundlage dieser Einwilligungen erfolgte Verarbeitung personenbezogener Daten zum Zwecke der personalisierten Ansprache von Kunden unrechtmäßig erfolgt. Das Bundesverwaltungsgericht nahm jedoch unter Anwendung der Fines-Leitlinien eine Reduktion der Strafhöhe vor und erachtete eine Geldstrafe in Höhe von EUR 700.000 als wirksam, abschreckend und verhältnismäßig. Als Strafbemessungsgrundlage wurde nicht der Umsatz der einzelnen Gesellschaft, sondern jener der gesamten „wirtschaftlichen Einheit“ (Unternehmen im Sinne von Art. 101 und 102 AEUV) herangezogen (ca. 304 Millionen Euro). Die Entscheidung ist rechtskräftig.
|
---|
|
|
|
Rechtsprechung
EuGH zu Zl. C-61/22 vom 21.3.2024; biometrische Daten in Ausweisen Mag. Michael Suda Mit dem bezeichneten Urteil hat der EuGH die Verordnung (EU) 2019/1157 für ungültig erklärt (mit zweijähriger Übergangsfrist ab 1.1.2025). Diese regelt die zwingende Speicherung biometrischer Daten (ein Gesichtsbild des Inhabers und zwei Fingerabdrücke in interoperablen digitalen Formaten) auf einem Datenträger in Personalausweisen nach nationalem Recht und ähnlichen Identitätsdokumenten, die EU-Bürgern mit unbeschränktem Aufenthaltsrecht ausgestellt werden. Ein Betroffener hatte vor dem Verwaltungsgericht im deutschen Wiesbaden gegen einen Bescheid geklagt, mit dem sein Antrag auf einen Ausweis ohne Speicherung seiner Fingerabdrücke abgewiesen wurde. Das Gericht legte mehrere Fragen u.a. zur Vereinbarkeit dieser Datenverarbeitung mit den Art. 7 und 8 GRC und zum Fehlen einer gemäß Art. 35 DSGVO gebotenen Datenschutz-Folgenabschätzung dem EuGH vor. Der EuGH stützte sein Urteil ausschließlich darauf, dass die Gesetzgeber der Union die Verordnung auf die falsche Rechtsgrundlage (Art. 21 Abs. 2 statt Art. 77 Abs. 3 AEUV) gestützt hatten, und damit ein anderes Normerzeugungsverfahren zur Anwendung hätte kommen müssen. Inhaltlich ist der ausführlichen Begründung jedoch klar zu entnehmen, dass die Einschränkung der Ausübung der in den Art. 7 und 8 GRC garantierten Rechte im Verhältnis zu den verfolgten Zielen hier nicht so schwer erscheint, dass sie unverhältnismäßig wäre. Der Gesetzgeber, der eine solche Verarbeitung anordnet, verarbeitet die Daten nicht selbst und ist daher gemäß Art. 35 DSGVO, insbesondere gemäß Abs. 10 leg.cit., nicht zwingend verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen. In der Sache ist daher davon auszugehen, dass eine Verarbeitung biometrischer Daten im gegenständlichen Umfang unionsrechtlich zulässig ist. EuGH zu Zl. C-46/23[1] vom 14. März 2024; zur Abhilfebefugnis der Löschung durch die Aufsichtsbehörden Mag. Christiane Lackner Der EuGH hat am 14. März 2024 im Rahmen eines Vorabentscheidungsverfahrens (eingereicht vom Fővárosi Törvényszék (Hauptstädtisches Stuhlgericht, Ungarn)) entschieden, dass Art. 58 Abs. 2 lit. d und lit. g DSGVO dahingehend auszulegen sei, dass Aufsichtsbehörden eine Löschung unrechtmäßig verarbeiteter personenbezogener Daten selbst dann anweisen dürfen, wenn die betroffene Person keinen entsprechenden Antrag auf Ausübung ihrer Rechte nach Art. 17 Abs. 1 DSGVO gestellt hat. Hintergrund dieses Verfahrens Im Zuge der Corona Pandemie beschloss die Verwaltung Újpest, den Einwohnern einer von der Covid‑19-Pandemie gefährdeten Gruppe eine finanzielle Unterstützung zu gewähren. Zu diesem Zweck übermittelten die Ungarische Staatskasse und die Regierungsbehörde des IV. Bezirks der Hauptstadt Budapest der Verwaltung Újpest u. a. die grundlegenden Identifizierungsdaten und die Sozialversicherungsnummern natürlicher Personen. Aufgrund eines Hinweises leitete die ungarische Datenschutzbehörde ein amtswegiges Verfahren gegen die Verwaltung Újpest ein, und stellte in Folge bescheidmäßig eine Reihe von Datenschutzverletzungen fest. Unter anderem wurde die Verwaltung Újpest gemäß Art. 58 Abs. 2 Buchst. d DSGVO angewiesen, die personenbezogenen Daten derjenigen betroffenen Personen zu löschen, die keinen Antrag auf Unterstützung gestellt hatten. Dagegen erhob die Verwaltung Újpest Beschwerde beim vorlegenden Gericht, dem Fővárosi Törvényszék (Hauptstädtisches Stuhlgericht, Ungarn), und macht geltend, dass die Aufsichtsbehörde - wenn betroffene Personen keinen Antrag nach Art. 17 DSGVO gestellt haben - nicht die Löschung der personenbezogenen Daten nach Art. 58 Abs. 2 lit. d DSGVO anordnen dürfe. Der EuGH hielt fest, dass von den in Frage kommenden Bestimmungen lediglich Art. 58 Abs. 2 lit. c DSGVO einen Antrag der betroffenen Person auf Löschung voraussetzt. Unter Berufung auf den Wortlaut von Art. 17 Abs.1, 1. Satz DSGVO, hält der EuGH fest, dass es zwei Fallgestaltungen für die Löschungen (unrechtmäßig) verarbeiteter Daten gäbe, nämlich auf Antrag des Betroffenen und als Verpflichtung des Verantwortlichen, wenn die in Folge von Art. 17 Abs. 1 aufgezählten Gründe vorliegen. Ausdrücklich bestätigt der EuGH damit die Stellungnahme Nr. 39/2021 des EDSA, wenn zu lesen ist, „Wie nämlich der Europäische Datenschutzausschuss in seiner Stellungnahme Nr. 39/2021 ausgeführt hat, ist eine solche Unterscheidung erforderlich, da manche der in Art. 17 Abs. 1 genannten Fallgestaltungen Situationen erfassen, in denen die betroffene Person nicht notwendigerweise über die Verarbeitung von sie betreffenden personenbezogenen Daten informiert wurde, so dass allein der Verantwortliche feststellen kann, ob eine solche Verarbeitung stattfand. Dies ist insbesondere dann der Fall, wenn diese Daten im Sinne dieses Art. 17 Abs. 1 Buchst. d unrechtmäßig verarbeitet wurden.“ Daher – so der EuGH – sei anzunehmen, dass die Aufsichtsbehörde eines Mitgliedstaats die Abhilfebefugnisse nach Art. 58 Abs. 2 DSGVO, insbesondere die dort in lit. d und lit. g genannten Befugnisse, auch von Amts wegen ausüben dürfe, wobei es dabei keine Rolle spielt, ob die Daten bei der betroffenen Person erhoben wurden oder nicht.
[1] https://curia.europa.eu/juris/document/document.jsf;jsessionid=0B0A58C512E5426BECB3BC14F866B9CA?text=&docid=283833&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=8132758 VwGH zu Zl. Ro 2021/04/0030-4 bis 0031-5, Erkenntnis vom 06. März 2024 ; Feststellung der Informationspflicht ist kein antragsbedürftiges Betroffenenrecht Mag. Jessica Einzinger, LL.M. Das Verfahren vor dem Verwaltungsgerichtshof (VwGH) ging auf eine Beschwerde gegen eine Kreditauskunftei wegen Verletzung des Auskunfts-/Geheimhaltungs-/Informationsrechts zurück. Mit Bescheid wies die DSB die Datenschutzbeschwerde des Beschwerdeführers „wegen Verstoßes gegen das Auskunftsrecht“ sowie „wegen Verstoßes gegen die Informationspflichten gemäß Art. 14 DSGVO“ ab und „wegen Verletzung im Recht auf Geheimhaltung aufgrund eines Verstoßes gegen die Datenminimierungspflicht sowie aufgrund eines Verstoßes gegen die Datensicherungspflichten“ zurück. Gegen diesen Bescheid erhob der Beschwerdeführer fristgerecht Beschwerde beim Bundesverwaltungsgericht (BVwG). Der Beschwerdeführer hatte mit seiner Beschwerde vor dem BVwG insofern Erfolg, als das BVwG der Kreditauskunftei die Auskunft über die Speicherdauer gemäß Art. 15 DSGVO auftrug und feststellte, dass die Kreditauskunftei ihrer Informationspflicht gemäß Art. 14 Abs. 1 lit. e DSGVO nicht nachgekommen ist. Der maßgebliche Entscheidungspunkt des VwGH betrifft die in Art. 14 DSGVO normierte Informationspflicht des Verantwortlichen gegenüber der betroffenen Person. Diese Informationspflicht ist zwar in Kapitel III der DSGVO („Rechte der betroffenen Person“) geregelt. Diese Regelung unterscheidet sich jedoch von den in Art. 15 ff. DSGVO geregelten Rechten auf Auskunft, Berichtigung, Löschung (etc.) dadurch, dass das Recht auf Information nach Art. 14 DSGVO - anders als die Rechte nach Art. 15 ff. DSGVO - nicht von einem Antrag der betroffenen Person abhängig ist. Auch die allgemeine Regelung in Art. 12 DSGVO spricht nur hinsichtlich der Rechte nach Art. 15 bis 22 DSGVO von einem Antrag der betroffenen Person zur Ausübung ihrer Rechte. Die Informationspflicht des Verantwortlichen besteht unabhängig von einem vorherigen Antrag der betroffenen Person. Dementsprechend liegt insoweit auch kein Leistungsbegehren des Betroffenen vor, das erst geltend zu machen und damit zu erfüllen wäre. Damit liegt aber auch keine in der Nichterfüllung eines solchen Leistungsbegehrens liegende Rechtsverletzung vor, die (nachträglich) geheilt werden könnte. Der Umstand, dass die Information erst nach Erfüllung der eigentlichen Informationspflicht gem. Art. 13 und 14 DSGVO erteilt wurde, steht der Feststellung einer diesbezüglichen Rechtsverletzung durch die Datenschutzbehörde jedoch nicht entgegen. Vielmehr liegt die Rechtsverletzung in der Unterlassung der Information, die durch eine nachträgliche Information auf Verlangen der betroffenen Person im Sinne des Art. 15 DSGVO nicht gleichsam rückwirkend geheilt werden kann. Der Datenschutzbehörde kommt daher eine Feststellungskompetenz hinsichtlich der Verletzung des Rechts auf Information zu, über die mit Bescheid abzusprechen ist. OGH zu Zl. 6 Ob 143/23g, Beschluss vom 17. Jänner 2024; Klage gegen die Datenschutzbehörde bei einem Zivilgericht Mag. Andreas Rohner Dem Rechtsstreit vorangegangen war ein Antrag auf Auskunft des späteren Klägers an die Datenschutzbehörde, insbesondere unter Verweis auf Art. 15 Abs. 3 DSGVO, hinsichtlich näher benannter Dokumente (im Wesentlichen Schreiben einer Stadtgemeinde, Niederschriften aus Sitzungen des Stadtrats und Gemeinderats) aus einem amtswegigen Prüfverfahren. Nachdem die Datenschutzbehörde mitteilte, diese Dokumente nicht im Sinne einer Herausgabe ganzer Schriftstücke zu übermitteln, brachte der Auskunftswerber eine Klage gegen die Datenschutzbehörde bei dem Landesgericht Innsbruck als Erstgericht ein. Die Datenschutzbehörde wendete im Rahmen dieses Verfahrens ihre mangelnde Parteifähigkeit sowie die Unzulässigkeit des Rechtswegs ein. Das Erstgericht verwarf mit Beschluss vom 21. März 2023 die Einrede der Unzulässigkeit des Rechtswegs. Der Kläger könne sein Begehren unmittelbar auf Art. 79 DSGVO stützen, zu dem es im nationalen österreichischen DSG keine Ausführungsbestimmung gebe. Die Datenschutzbehörde brachte dagegen wiederum einen Rekus ein und argumentierte, dass Art. 79 DSGVO nicht zwingend einen Rechtsbehelf vor Zivilgerichten verlange und auch nicht festlege, welches konkrete Gericht für einen bestimmten Rechtsstreit sachlich und örtlich zuständig ist. Der Grundsatz, nach dem die Zuständigkeit der Zivilgerichte einen zivilrechtlichen Anspruch voraussetzen, bleibe daher maßgeblich und § 1 JN sei einschlägig. Das Rekursgericht berichtigte mit Beschluss vom 22. Juni 2023 die Bezeichnung der beklagten Partei auf „Republik Österreich (Bund)“ und änderte den erstgerichtlichen Beschluss dahin ab, dass es den ordentlichen Rechtsweg für unzulässig erklärte und die Klage unter Nichtigerklärung des Verfahrens zurückwies. Begründend führte das Rekursgericht u.a. an, dass der Rechtsweg vor den streitigen Zivilgerichten nicht dazu bestimmt sei, in ein Verwaltungsverfahren einzugreifen. Den ordentlichen Revisionsrekurs ließ das Rekursgericht zu. Mit Revisionsrekurs strebte der Kläger in der Folge die Wiederherstellung des Beschlusses des Erstgerichts an. Der OGH gab dem Revisionsrekurs des Klägers nicht Folge. Die bisherige Rechtsprechung zur Doppelgleisigkeit des Rechtsschutzes im Datenschutzrecht ist nach Ansicht des OGH nicht auf den gegenständlichen Fall übertragbar, da es hier um einen Herausgabeanspruch eines Privaten gegen eine hoheitlich agierende Aufsichtsbehörde und nicht um Streitigkeiten zwischen Privaten geht. Vielmehr ist es mit der Rsp des EuGH (Urteil vom 12. Jänner 2023, Rs C‑132/21) vereinbar, dass der Rechtsschutz in Zusammenhang mit Handlungen oder Unterlassungen der Datenschutzbehörde nicht den ordentlichen Gerichten, sondern den Verwaltungsgerichten überantwortet ist. Hinsichtlich der Ausgestaltung der „Modalitäten des Zusammenspiels“ der Rechtsbehelfe nach der DSGVO sind die Mitgliedsstaaten nämlich grundsätzlich frei. VwGH zu Zl. Ra 2021/04/0088-6, Erkenntnis vom 1. Februar 2024; datenschutzrechtliche Stellung des Gerichtsvollziehers Mag. Marele Sladek, BA MBA Mit Erkenntnis des VwGH vom 1. Februar 2024 zur GZ Ra 2021/04/0088-6 wurde eine höchstgerichtliche Klärung der Tätigkeit der Gerichtsvollzieher*innen in datenschutzrechtlicher Hinsicht herbeigeführt. Das Verfahren vor dem VwGH war Folge einer Beschwerde an die DSB wegen behaupteter Verletzung im Recht auf Geheimhaltung gegen einen Gerichtsvollzieher, da dieser seine Visitenkarte an der Wohnungstür der beschwerdeführenden Partei hinterlassen hatte. Die DSB bejahte in diesem Verfahren ihre Zuständigkeit, wies die Beschwerde mit Bescheid vom 18. März 2020 ab und führte begründend aus, dass das Hinterlassen der amtlichen Visitenkarte des Gerichtsvollziehers an der Eingangstür der beschwerdeführenden Partei vordergründig eine Übermittlung der Daten des Gerichtsvollziehers an die beschwerdeführende Partei darstelle, welche durch die Bestimmung des § 25c EO festgelegt bzw. gedeckt sei. Gegen diesen Bescheid erhob die beschwerdegegnerische Partei mit Schriftsatz vom 27. Mai 2020, Beschwerde an das BVwG und führte hierzu im Wesentlichen aus, dass der Gerichtsvollzieher im Sinne des Art. 20 Abs. 1 B-VG ein weisungsgebundenes Organ der Rechtsprechung und seine Tätigkeit im Rahmen des Exekutionsverfahrens der Gerichtsbarkeit zuzurechnen sei (§ 25 Abs. 1 EO). Da im gegenständlichen Verfahren daher eine justiziellen Tätigkeit vorgelegen habe, sei die Datenschutzbehörde gemäß Art. 55 Abs. 3 DSGVO iVm § 85 GOG zur Entscheidung nicht zuständig gewesen und wäre die Beschwerde der beschwerdeführenden Partei wegen Unzuständigkeit zurückzuweisen gewesen. Das BVwG schloss sich dieser Rechtsansicht an und führte in seinem Erkenntnis vom 28. Jänner 2021 zur GZ W245 2232133-1/9E aus, dass Gerichtsvollzieher als „ richterliche Hilfsorgane“ und ihre Handlungen als „ abgeleitete richterliche Akte“ zu qualifizieren sind. Die DSB hat gegen dieses Erkenntnis Amtsrevision erhoben. Der VwGH bestätigte nunmehr die Rechtsansicht des BVwG, dass die Tätigkeit des Gerichtsvollziehers im Rahmen des Vollzugsauftrages unter den Begriff der „ justiziellen Tätigkeit“ gem. Art. 55 Abs. 3 DSGVO zu subsumieren ist und daher keine Zuständigkeit der DSB vorliegt.
|
---|
|
|
|
Gesetzesbegutachtung - Stellungnahmen
Die DSB hat zu folgenden Gesetzesvorhaben eine Stellungnahme abgegeben: Bundesgesetz, mit dem das Druckgerätegesetz geändert und das Gesetz in Bezug auf die Emissionsgrenzwerte für gasförmige Schadstoffe und luftverunreinigende Partikel und die Typgenehmigung für Verbrennungsmotoren für nicht für den Straßenverkehr bestimmte mobile Maschinen und Geräte erlassen wird - Bundesgesetz, mit dem die Notariatsordnung, die Rechtsanwaltsordnung und das Disziplinarstatut für Rechtsanwälte und Rechtsanwaltsanwärter geändert werden (Berufsrechts-Änderungsgesetz 2024) - Novelle der Quotenregelungsverordnung - Novelle der Gewerbeordnung 1994 - Recyclinggips-Verordnung - Transparenzdatenbank - Förderungsschienenverordnung - Novelle des Arbeitslosenversicherungsgesetzes 1977 - Bundesgesetz, mit dem das Netz- und Informationssystemsicherheitsgesetz 2024 erlassen wird und das Telekommunikationsgesetz 2021 sowie das Gesundheitstelematikgesetz 2012 geändert werden - Novelle des Zivildienstgesetzes 1986 - Cybersicherheitszertifizierungs-Gesetz - Gesetz, mit dem das Gesetz über Leistungen und Einrichtungen für altersbedingte Pflege und Betreuung (Steiermärkisches Pflege- und Betreuungsgesetz) erlassen und das Steiermärkische Sozial- und Pflegeleistungsfinanzierungsgesetz, das Steiermärkische Behindertengesetz, das Steiermärkische Sozialunterstützungsgesetz und das Steiermärkische Nächtigungsabgabegesetz geändert werden - Novelle der Patentamtsverordnung 2019 - Bundesgesetzes, mit dem ein Qualifizierte Einrichtungen Gesetz erlassen wird und die Zivilprozessordnung, das Konsumentenschutzgesetz, das Gerichtsgebührengesetz und das Rechtsanwaltstarifgesetz geändert werden (Verbandsklagen-Richtlinie-Umsetzungs-Novelle) - Bundesgesetz, mit dem das Arbeitsvertragsrechts-Anpassungsgesetz, das Arbeitsverfassungsgesetz, das Arbeitsinspektionsgesetzes 1993, das Dienstnehmerhaftpflichtgesetz, das Allgemeine Sozialversicherungsgesetz, das Beamten-Kranken- und Unfallversicherungsgesetz, das Notarversorgungsgesetz, das Einkommensteuergesetz 1988, das Heimarbeitsgesetz und das Landarbeitsgesetz 2021 geändert werden (Telearbeitsgesetz) - Novelle des Sozialbetrugsbekämpfungsgesetzes (Betrugsbekämpfungsgesetz 2024 Teil II) - Novelle des Datenschutzgesetzes - Novelle des Sicherheitspolizeigesetzes - Novelle des Geschäftsordnungsgesetzes sowie Bundes-Verfassungsgesetzes u.a. (427/AUA) - Transparenzdatenbank-Abfrageverordnung 2024 - Novelle des Bundeshaushaltsgesetzes 2013 - Bundesgesetz, mit dem das Schulorganisationsgesetz, das Schulunterrichtsgesetz, das Schulunterrichtsgesetz für Berufstätige, Kollegs und Vorbereitungslehrgänge, das Bildungsdokumentationsgesetz 2020 und das Schulpflichtgesetz 1985 geändert werden - Bundesgesetz, mit dem das Gesundheits- und Krankenpflegegegesetz und das Rezeptpflichtgesetz geändert werden (GuKG-Novelle 2024) - Strafprozessrechtsänderungsgesetz 2024 - EAG-Investitionszuschüsseverordnung-Wasserstoff
|
---|
|
|
|
News
Folgende neue Mitarbeiterinnen und Mitarbeiter nahmen ihre Tätigkeit in der DSB auf: Frau Mag. Jessica Einzinger, LL.M. studierte Rechtswissenschaften an der Universität Wien und der Johannes Kepler Universität Linz. Im Jahr 2021 absolvierte sie erfolgreich den Masterlehrgang Informations- und Medienrecht an der Universität Wien. Nach mehrjähriger Tätigkeit im Datenschutzrecht in der Rechtsabteilung der Medizinischen Universität Wien verstärkt sie nun das Team der Jurist:innen der Abteilung III (Internationales) in den Bereichen nationale und internationale Verfahren. Herr Mag. Daniel Engelbrecht studierte Rechtswissenschaften an der Universität Wien (u.a. Teilnahme am Franz-von-Zeiller-Moot Court 2020). Neben dem Studium sammelte er erste praktische Erfahrungen im Arbeitsrecht, ehe er nach dem Studienabschluss sowie seiner Gerichtspraxis als Rechtsanwaltsanwärter im Immobilienrecht tätig wurde. Nun verstärkt er als Verwaltungspraktikant das Team der Datenschutzbehörde und ist hauptsächlich in den Bereichen nationales und internationales Verfahren eingesetzt. Frau Raphaela Hagenhofer studiert derzeit im Bachelor Wirtschaftsrecht an der WU Wien, sie befindet sich dabei im letzten Studienabschnitt und möchte im Anschluss auch das Masterstudium in dem Studiengang absolvieren. Sie sammelte bereits in einer Rechtsanwaltskanzlei und in einer Steuerberatung Erfahrung und wird als Verwaltungspraktikantin ab nun unsere Juristen unterstützen. Frau Amine Karaüzüm macht zurzeit das Bachelorstudium Wirtschaftsrecht an der Wirtschaftsuniversität in Wien und durfte bis vor einigen Monaten bei einer großen Rechtsanwaltskanzlei Erfahrung in der Buchhaltung und auch ein wenig im Rechtsgebiet Wirtschaftsrecht sammeln. Seit Juni 2024 unterstützt sie als Verwaltungspraktikantin das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren. Herr Pascal Schnitzer studiert derzeit Wirtschaftsrecht (Master) an der Wirtschaftsuniversität Wien. Nach seiner vorherigen Tätigkeit in der Steuerberatung bei PwC Österreich unterstützt er nun als Verwaltungspraktikant das Team der Datenschutzbehörde. Frau Shpresa Shala studiert Wirtschaftsrecht an der Wirtschaftsuniversität in Wien. Während des Studiums sammelte sie unter anderem wertvolle Erfahrungen im Verwaltungsbereich des Familienunternehmens. Nun unterstützt sie als Verwaltungspraktikantin das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren. Frau Julia Simmeth, LL.B. (WU) studiert derzeit Wirtschaftsrecht im Masterstudium an der Wirtschaftsuniversität Wien. Nun unterstützt sie als Verwaltungspraktikantin das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren. Herr Paul Sonnberger studiert zurzeit Rechtswissenschaften an der Universität Wien. Nach seiner Matura absolvierte er den Gedenkdienst an der Fondation pour la mémoire de la déportation in Paris und arbeitete neben dem Studium als freier Journalist für den FALTER. Seit Mai unterstützt er als Verwaltungspraktikant die Juristinnen und Juristen der Datenschutzbehörde. Frau Susanne Übertsroider, LL.M. (WU) studierte Wirtschaftsrecht an der Wirtschaftsuniversität Wien. Neben Praktika in diversen Anwaltskanzleien und am Außenwirtschaftscenter der WKO in Zürich sammelte sie Erfahrungen im Datenschutzrecht und öffentlichen Recht während ihrer Tätigkeit als wissenschaftliche Mitarbeiterin am Legal Tech Center, Institut für Österreichisches und Europäisches Öffentliches Recht der WU Wien. Seit April 2024 unterstützt sie als Verwaltungspraktikantin das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren. Folgende Mitarbeiterinnen und Mitarbeiter beendeten ihre Tätigkeit in der DSB (unter Berücksichtigung der Verwaltungspraktikantinnen und Verwaltungspraktikanten aufgrund Zeitablauf): Mag. Christoph Hecht, Mag. Lisa Leitner, Mag. Sandra Rösinger, Mag. Levin Wotke, BA
|
---|
|
|
|
|