Im Rahmen unserer Website werden ausschließlich zwei technisch notwendige Cookies gesetzt, um die grundlegende Funktionalität der Website - in technischer Hinsicht - zu gewährleisten. Datenschutzerklärung

Fragen und Antworten

Inhaltsverzeichnis

Übersicht: Betroffenenrechte

Art. 13 und 14 DSGVO – Recht auf Information

Aus den „Informationspflichten“ gemäß Art. 13 und 14 DSGVO, die den Verantwortlichen treffen, ist nach ständiger Spruchpraxis der Datenschutzbehörde ein individuelles Recht auf Information einer betroffenen Person ableitbar.

Hierbei handelt es sich – im Gegensatz etwa zum Recht auf Auskunft – um eine „Bringschuld“ des Verantwortlichen und sind diese Informationen schon vor einer Datenverarbeitung bereitzustellen.

Es handelt es sich beim Recht auf Information dementsprechend um kein antragsbedürftiges Recht.

Welche Information ein Verantwortlicher einer betroffenen Person zur Verfügung zu stellen hat, hängt davon ab, ob die personenbezogenen Daten bei der betroffenen Person selbst (Art. 13 DSGVO) oder nicht direkt bei der betroffenen Person (Art. 14 DSGVO) erhoben wurden.

Sollte Ihnen ein Verantwortlicher entgegen seiner Verpflichtung die Informationen entsprechend Art. 13 oder 14 DSGVO nicht oder unzureichend zur Verfügung stellen, so können Sie eine Beschwerde wegen Verletzung Ihres Rechts auf Information bei der Datenschutzbehörde einbringen.

Art. 15 DSGVO – Recht auf Auskunft

Mit dem Recht auf Auskunft können Sie sich ein Bild darüber machen, ob ein Verantwortlicher Ihre personenbezogenen Daten verarbeitet.

Der Verantwortliche hat die über eine betroffene Person gespeicherten personenbezogenen Daten sowie alle in Art. 15 Abs. 1 lit. a bis h gelisteten Informationen (wie etwa Verarbeitungszwecke, Datenempfänger, Speicherdauer) zur Verfügung zu stellen.

Werden keine personenbezogenen Daten verarbeitet, so ist vom Verantwortlichen eine sogenannte Negativauskunft zu erteilen.

Beim Recht auf Auskunft handelt es sich um ein antragsbedürftiges Recht. Um dieses Recht auszuüben, müssen Sie als betroffene Person einen Antrag an den Verantwortlichen richten. Der Antrag muss nicht begründet werden. Die Datenschutzbehörde bietet dazu ein unverbindliches Formular an. Der Verantwortliche muss auf diesen Antrag innerhalb eines Monats reagieren. In Ausnahmefällen kann diese Frist auf höchstens drei Monate verlängert werden.

Wenn ein Verantwortlicher begründete Zweifel an der Identität der Person, die den Antrag stellt, hat, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Die Pflicht zur Auskunftserteilung trifft den Verantwortlichen, also die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Zur Beauskunftung von Kopien gemäß Art. 15 Abs. 3 DSGVO stellte der EuGH in seinem Urteil vom 4. Mai 2023 (C-487/21) klar, dass das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind.

Art. 16 DSGVO – Recht auf Berichtigung

Betroffene Personen haben das Recht, von dem Verantwortlichen die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Mit diesem Recht kann zudem eine Vervollständigung eines unvollständigen Datensatzes verlangt werden.

Beim Recht auf Berichtigung handelt es sich um ein antragsbedürftiges Recht. Um dieses Recht auszuüben, müssen Sie als betroffene Person einen Antrag an den Verantwortlichen richten. Die Datenschutzbehörde bietet dazu ein unverbindliches Formular. Der Verantwortliche muss auf diesen Antrag innerhalb eines Monats reagieren. In Ausnahmefällen kann diese Frist verlängert werden.

Wenn ein Verantwortlicher begründete Zweifel an der Identität der Person, die den Antrag stellt, hat, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Tipp:

Bitte verlangen Sie nicht Auskunft und Berichtigung gleichzeitig! Der Verantwortliche könnte eine unzureichende Auskunft erteilen und dann die Daten korrigieren. Eine nachfolgende Kontrolle der Auskunft durch die Datenschutzbehörde ist dann nur noch schwer möglich.

Art. 17 DSGVO - Recht auf Löschung

Dieses in der DSGVO auch als „Recht auf Vergessenwerden“ bezeichnete Recht verleiht einer betroffenen Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten gelöscht werden, sofern einer der in Art. 17 Abs. 1 lit. a bis f DSGVO statuierten Gründe vorliegt, etwa weil die personenbezogenen Daten unrechtmäßig verarbeitet werden.

Allerdings finden sich Einschränkungen des Rechts auf Löschung in Art. 17 Abs. 3 DSGVO. Das Recht auf Löschung besteht etwa nicht, wenn die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Beim Recht auf Löschung handelt es sich um ein antragsbedürftiges Recht. Um dieses Recht auszuüben, müssen Sie als betroffene Person einen Antrag an den Verantwortlichen richten. Die Datenschutzbehörde bietet dazu ein unverbindliches Formular. Der Verantwortliche muss auf diesen Antrag innerhalb eines Monats reagieren. In Ausnahmefällen kann diese Frist verlängert werden.

Wenn ein Verantwortlicher begründete Zweifel an der Identität der Person, die den Antrag stellt, hat, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Tipp:

Bitte verlangen Sie nicht Auskunft und Löschung gleichzeitig! Der Verantwortliche könnte eine unzureichende Auskunft erteilen und dann die Daten löschen. Eine nachfolgende Kontrolle der Auskunft durch die Datenschutzbehörde ist dann nur noch schwer möglich.

Art. 18 DSGVO – Recht auf Einschränkung der Verarbeitung

Dieses Recht dient dazu, den Gebrauch von Daten einzuschränken, ohne sie zu löschen. Die Einschränkung der Verarbeitung kann parallel zum Recht auf Berichtigung und zum Recht auf Widerspruch verlangt werden.

Wenn Sie eine Verarbeitung für unrechtmäßig halten, aber die Löschung ablehnen, können Sie Einschränkung der Verarbeitung beantragen (Art. 18 Abs. 1 lit. b DSGVO).

Beim Recht auf Einschränkung der Verarbeitung handelt es sich um ein antragsbedürftiges Recht. Um dieses Recht auszuüben, müssen Sie als betroffene Person einen Antrag an den Verantwortlichen richten. Die unverbindlichen Formulare der Datenschutzbehörde für das Recht auf Berichtigung und auf Widerspruch enthalten eine Option dazu. Weiters gibt es ein unverbindliches Formular nur für das Recht auf Einschränkung der Verarbeitung. Der Verantwortliche muss auf den Antrag innerhalb eines Monats reagieren. In Ausnahmefällen kann diese Frist verlängert werden.

Wenn ein Verantwortlicher begründete Zweifel an der Identität der Person, die den Antrag stellt, hat, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Wenn ein Verantwortlicher begründete Zweifel an der Identität der Person, die den Antrag stellt, hat, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Art. 20 DSGVO - Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit gewährt das Recht, Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen zur Verarbeitung zu übermitteln. Das Recht auf Datenübertragbarkeit unterscheidet sich vom Recht auf Auskunft dadurch, dass die Betonung auf der Übertragbarkeit liegt.

Dieses Recht besteht nur, wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und die Verarbeitung mittels automatisierter Verfahren erfolgt. Es kann somit etwa nicht gegenüber einer Behörde geltend gemacht werden.

Beim Recht auf Datenübertragbarkeit handelt es sich um ein antragsbedürftiges Recht. Um dieses Recht auszuüben, müssen Sie als betroffene Person einen Antrag an den Verantwortlichen richten. Die Datenschutzbehörde bietet dazu ein unverbindliches Formular. Der Verantwortliche muss auf diesen Antrag innerhalb eines Monats reagieren. In Ausnahmefällen kann diese Frist verlängert werden.

Art. 21 DSGVO - Recht auf Widerspruch

Betroffene Personen haben gemäß Art. 21 Abs. 1 DSGVO das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen, sofern die personenbezogenen Daten zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt verarbeitet werden (Art. 6 Absatz 1 Buchstabe e DSGVO) oder die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist (Art. 6 Abs. 1 lit. f DSGVO).

Hervorzuheben ist, dass die betroffene Person besondere persönliche Gründe nachweisen muss, warum die Verarbeitung unzulässig ist.

Weiters gibt es ein absolutes Recht auf Widerspruch nach Art. 21 Abs. 2 DSGVO. Mit diesem kann eine betroffene Person Datenverarbeitungen zum Zwecke der Direktwerbung untersagen. Hierfür sind keine weiteren Voraussetzungen erforderlich und muss einem solchen Antrag vom Verantwortlichen jedenfalls nachgekommen werden (siehe auch Direktwerbung).

Beim Recht auf Widerspruch handelt es sich um ein antragsbedürftiges Recht. Um dieses Recht auszuüben, müssen Sie als betroffene Person einen Antrag an den Verantwortlichen richten. Die Datenschutzbehörde bietet dazu ein unverbindliches Formular. Der Verantwortliche muss auf diesen Antrag innerhalb eines Monats reagieren. In Ausnahmefällen kann diese Frist verlängert werden.

Wenn ein Verantwortlicher begründete Zweifel an der Identität der Person, die den Antrag stellt, hat, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Art. 22 DSGVO – Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu sein

Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt in bestimmten Fällen allerdings nicht, etwa wenn die Entscheidung für einen Vertragsabschluss erforderlich ist, auf einer gesetzlichen Grundlage basiert oder bei Zustimmung der betroffenen Person.

Systematisch ist Art. 22 DSGVO als Betroffenenrecht eingeordnet. Es handelt sich jedoch vielmehr um eine Pflicht des Verantwortlichen, die ihm in bestimmten Datenverarbeitungskonstellationen ein Verarbeitungsverbot auferlegt.

§ 1 DSG - Recht auf Geheimhaltung

In § 1 Abs. 1 DSG ist das verfassungsmäßig gewährleistete Recht auf Geheimhaltung verankert.

Dieses besagt, dass jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, soweit ein schutzwürdiges Interesse daran besteht. Das bedeutet, dass Ihre personenbezogenen Daten grundsätzlich vertraulich zu behandeln sind, und etwa anderen nicht zugänglich gemacht werden dürfen.

Das Grundrecht auf Datenschutz besteht auch bei Geltung der DSGVO. Zur Auslegung des Rechts auf Geheimhaltung sind die Regelungen der DSGVO und die darin verankerten Grundsätze heranzuziehen.

Damit die Verarbeitung personenbezogener Daten zulässig ist, muss zum einen zumindest eine der in Art. 6 Abs. 1 DSGVO angeführten Bedingungen bzw. Erlaubnistatbestände erfüllt sein (wie beispielsweise ein berechtigtes Interesse oder eine Einwilligung vorliegen), und müssen zum anderen die in Art. 5 Abs. 1 DSGVO aufgestellten Grundsätze für die Verarbeitung eingehalten werden (vgl. zur insofern vergleichbaren Rechtslage nach der Richtlinie 95/46/EG das Urteil des EuGH vom 13. Mai 2014, [Google Spain] C‑131/12 Rz 71 mwN).

Verstöße gegen § 1 Abs. 1 DSG können sehr verschieden gelagert sein (siehe etwa „Einzelfälle“).

Vom Schutzbereich des Rechts auf Geheimhaltung sind alle Verarbeitungsformen umfasst.

Wenn Sie sich durch eine Datenverarbeitung im Recht auf Geheimhaltung als verletzt erachten, können Sie eine Beschwerde bei der Datenschutzbehörde einbringen. Bitte beachten Sie, dass Sie immer von der Datenverarbeitung persönlich betroffen sein müssen.

Sollten Sie der Ansicht sein, dass ein Verantwortlicher durch eine Datenverarbeitung gegen die DSGVO verstößt, ohne persönlich davon betroffen zu sein, so können sie ein amtswegiges Prüfverfahren anregen bzw. eine Strafanzeige erstatten.

Verfahren vor der Datenschutzbehörde

Beschwerdeverfahren

Gemäß § 24 DSG hat jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 DSG oder Artikel 2 1. Hauptstück des DSG verstößt.

Der Anspruch auf Behandlung einer Beschwerde erlischt gemäß § 24 Abs. 4 DSG, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt.

Bei einem Beschwerdeverfahren vor der Datenschutzbehörde handelt es sich um Zwei- oder Mehrparteienverfahren, bei welchem sich Beschwerdeführer und Beschwerdegegner ähnlich wie bei einem streitigen Gerichtsverfahren gegenüberstehen (sog. kontradiktorisches Verfahren). Das Verfahren ist - anders als vor Gericht - unentgeltlich (keine Gebühren, keine Kostenersatzpflicht).

Eine Beschwerde einzubringen bedeutet, dass Sie einen Rechtsstreit mit dem bezeichneten Beschwerdegegner beginnen, den die Datenschutzbehörde zu entscheiden hat. Sie müssen den Beschwerdegegner so bezeichnen, dass die Datenschutzbehörde ihn identifizieren kann.

Die Datenschutzbehörde stellt unverbindliche Beschwerdeformulare zur Verfügung.

Sobald die (mängelfreie) Beschwerde bei der Datenschutzbehörde eingelangt ist, wird zunächst ein Ermittlungsverfahren geführt. Dabei stellt die Datenschutzbehörde dem Beschwerdegegner die Beschwerde zu und fordert diesen zur Stellungnahme auf.

Der Beschwerdegegner ist im Verfahren vor der Datenschutzbehörde zur Mitwirkung verpflichtet. Bei Missachtung dieser Mitwirkungspflicht kann ein Verwaltungsstrafverfahren eingeleitet werden.

In weiter Folge erteilt die Datenschutzbehörde dem Beschwerdeführer Parteiengehör zum Ergebnis des Ermittlungsverfahrens.

Die Datenschutzbehörde kann bei Bedarf weitere Ermittlungsschritte (bspw. mündliche Verhandlung, Zeugeneinvernahme, Einschau) setzen.

Folgen einer Beschwerde

Bescheid

Sofern ein Beschwerdeverfahren nicht formlos eingestellt wird, wird über die Beschwerde mit Bescheid abgesprochen.

Erweist sich die Beschwerde als berechtigt, gibt die Datenschutzbehörde der Beschwerde statt. Zielt eine Beschwerde auf die Geltendmachung von Betroffenenrechten nach der DSGVO ab (bspw. Auskunft), kann dem Beschwerdegegner aufgetragen werden, dem Antrag des Beschwerdeführers zu entsprechen.

Bitte beachten Sie, dass im Falle einer Verletzung im Recht auf Geheimhaltung die Datenschutzbehörde die entsprechende Rechtsverletzung lediglich feststellen kann. Gegebenenfalls kann dem Beschwerdegegner auftragen werden, gewisse Verarbeitungsvorgänge in Einklang mit dem Datenschutzrecht zu bringen (siehe auch Schadenersatz? und Geldbuße?).

Formlose Einstellung des Verfahrens

Ein Verantwortlicher hat die Möglichkeit, während eines Verfahrens vor der Datenschutzbehörde die Rechtsverletzung nachträglich zu beseitigen, indem er die Informationen gemäß Art. 13 oder 14 DSGVO bereitstellt oder den entsprechenden Anträgen des Beschwerdeführers (etwa auf Auskunft oder Löschung) nachkommt.

Das Verfahren wird in einem solchen Fall formlos eingestellt. Der Beschwerdeführer erhält jedoch zuvor im Rahmen des Parteiengehörs die Gelegenheit, sich gegen eine solche Einstellung auszusprechen, sofern er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet.

Diese formlose Einstellung stünde jedoch etwa der Einleitung eines Verwaltungsstrafverfahrens aufgrund der verspäteten Beantwortung eines Antrages nicht entgegen.

Die nachträgliche Beseitigung der Verletzung des Rechts auf Geheimhaltung gemäß § 1 Abs. 1 DSG kommt nicht in Betracht.

Des Weiteren wird ein Verfahren eingestellt, wenn der Beschwerdeführer seine Beschwerde während des Verfahrens vor der Datenschutzbehörde zurückzieht. Eine Zurückziehung der Beschwerde ist jederzeit kostenlos möglich.

Geldbuße?

Die Datenschutzbehörde kann im Rahmen eines Beschwerdeverfahrens keine Geldbuße verhängen. Eine Geldbuße kann ausschließlich im Rahmen eines Verwaltungsstrafverfahrens verhängt werden.

Ein subjektives Recht auf Einleitung eines Verwaltungsstrafverfahrens gibt es nicht. Ein Antrag auf Verhängung einer Geldbuße oder auf Einleitung eines Verwaltungsstrafverfahrens im Rahmen eines Beschwerdeverfahrens wird daher zurückgewiesen.

Schadenersatz?

Die Datenschutzbehörde verfügt nicht über die Kompetenz, einer betroffenen Person Schadenersatz zuzusprechen. Hierfür sind die ordentlichen Gerichte zuständig. Ein Antrag auf Schadenersatz an die Datenschutzbehörde wird zurückgewiesen.

Amtswegige Datenschutzüberprüfung

Die Datenschutzbehörde hat bei begründeten Fällen die Möglichkeit, amtswegig tätig zu werden.

Eine solches amtswegiges Prüfverfahren kann beispielweise aufgrund von (anonymen) Hinweisen oder Medienberichten eingeleitet werden. Bei einem amtswegigen Prüfverfahren handelt es sich um kein kontradiktorisches Verfahren. Folglich hat der Verfasser einer Meldung keine Parteienstellung und wird nicht über den Ausgang eines solchen Verfahrens unterrichtet.

Verwaltungsstrafverfahren

Übertretungen der DSGVO und des DSG werden, so es sich um Verwaltungsübertretungen handelt (siehe dazu Art. 83 DSGVO und § 62 DSG), im Rahmen eines Verwaltungsstrafverfahrens geahndet. Ob ein solches eingeleitet wird, liegt im Ermessen der Datenschutzbehörde.

Ein subjektiver Anspruch auf die Einleitung eines Verwaltungsstrafverfahrens besteht nicht. Der Verfasser einer Anzeige hat keine Parteistellung im Verfahren und kein Recht auf Informationen über das weitere Vorgehen der Datenschutzbehörde. Es gibt kein Recht einer betroffenen Person auf Verhängung einer Strafe.

Die Datenschutzbehörde verhängt gemäß § 22 Abs. 5 DSG Geldbußen gegenüber natürlichen und juristischen Personen. Gegen Behörden und öffentliche Stellen, wie insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen, die im gesetzlichen Auftrag handeln, und gegen Körperschaften des öffentlichen Rechts können keine Geldbußen verhängt werden (§ 30 Abs. 5 DSG). Diese Einschränkung hat keine Auswirkung auf andere Abhilfemaßnahmen.

Für die Verfolgung des gerichtlich strafbaren Vergehens der Datenverarbeitung in Gewinn- oder Schädigungsabsicht (§ 63 DSG) sind die Polizei und die Staatsanwaltschaften zuständig.

Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde („Data-Breach-Verfahren“)

Art. 33 Abs. 1 DSGVO verpflichtet Verantwortliche, eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Wird eine solche Data-Breach-Meldung bei der Datenschutzbehörde eingebracht, so wird im Verfahren von der Datenschutzbehörde geprüft, ob der Verantwortliche geeignete Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen gesetzt hat.

Hat der Verantwortliche betroffene Personen trotz Vorliegens der Voraussetzungen nicht über den Vorfall benachrichtigt, so wird mittels Bescheid ein entsprechender Leistungsauftrag erteilt.

Rechtsauskünfte

Die Datenschutzbehörde erteilt den Parteien Auskünfte zu Ihren anhängigen Verfahren bzw. Auskünfte zum Verfahrensstand.

Die Datenschutzbehörde erteilt generelle Auskünfte über das Datenschutzrecht und die Möglichkeiten zur Durchsetzung von Betroffenenrechten. Diese müssen jedoch in den gesetzlichen Zuständigkeitsbereich der Datenschutzbehörde fallen. Die Datenschutzbehörde wäre etwa bei technischen Problemen im Internet die falsche Ansprechpartnerin (zum Beispiel: "Wie kann ich lästige Spam-E-Mails verhindern?").

Zur Erfüllung der Auskunftspflicht ist die Datenschutzbehörde nicht verpflichtet, umfangreiche Recherchen durchzuführen, Informationen bei anderen Behörden zu beschaffen oder Rechtsgutachten zu verfassen. Eine Anfrage bei der Datenschutzbehörde ersetzt nicht die Beratung durch einen Rechtsanwalt oder eine andere (spezialisierte) Beratungsstelle.

Die Datenschutzbehörde darf keine Fragen beantworten, die eine Entscheidung in einem späteren Beschwerdeverfahren vorwegnehmen könnte (zum Beispiel: "Mein Nachbar hat eine Videokamera auf unser Grundstück gerichtet; darf er das?").

Es wird daher um Verständnis ersucht, dass im Rahmen einer schriftlichen Anfrage keine rechtlichen Beurteilungen zur Anwendung und Auslegung rechtlicher Bestimmungen oder inhaltliche Beratungsleistungen vorgenommen werden können. Verbindliche Entscheidungen kann es immer nur am Ende eines konkreten Verfahrens geben.

Konsultieren Sie das Informationsangebot auf unserer Website bevor Sie eine Anfrage formulieren.

Besondere Datenkategorien

Art. 9 DSGVO regelt die Verarbeitung besonderer Kategorien personenbezogener Daten (früher sogenannte sensible Daten).

Dabei handelt es sich um Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Die Verarbeitung dieser besonders schutzwürdigen Daten ist grundsätzlich verboten, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Rechte und Freiheiten von Personen bestehen können.

Ausnahmen dieses Verarbeitungsverbotes finden sich in Art. 9 Abs. 2 DSGVO.

So gilt dieses Verarbeitungsverbot etwa nicht, wenn die betroffene Person in die Verarbeitung solcher Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat oder die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Einzelfälle

Foto & Video

Stationäre Videoüberwachung durch Private

Zulässigkeit:

Die DSGVO gestattet den Einsatz von Videoüberwachungen im privaten Bereich innerhalb bestimmter Grenzen. Die Rechtmäßigkeit ist dabei in jedem Einzelfall anhand folgender Faktoren zu prüfen:

1. Berechtigtes Interesse oder Einwilligung der Betroffenen
Ein berechtigtes Interesse ergibt sich bspw. aus
  • Schutz des Lebens von Personen
  • Schutz der Gesundheit und der körperlichen Unversehrtheit von Personen
  • Schutz des Eigentums (zB Eigenheim)
2. zeitliche und örtliche Beschränkung
Die Videoüberwachung erfolgt zeitlich und örtlich nur im unbedingt erforderlichen Ausmaß. Ein Einbeziehen öffentlicher Verkehrsflächen (bspw. Gehsteig oder Straße) ist nur dann zulässig, wenn der Schutzzweck der Videoüberwachung sonst nicht erfüllt werden könnte (z.B. Überwachung einer an einen Gehsteig grenzenden Fassade zum Schutz vor Sachbeschädigung im Ausmaß von maximal 50 Zentimeter). Nachbargrundstücke dürfen ohne Einwilligung jedenfalls nicht gefilmt werden.
Tipp: Viele Kameras bieten die Möglichkeit, bestimmte Aufnahmebereiche zu schwärzen.
3. geeignete Kennzeichnung
Die Videoüberwachung ist durch geeignete Kennzeichnung (z.B. Schilder, Aufkleber) klar ersichtlich.
4. regelmäßige Löschung/Überspeicherung
Die Aufnahmen werden in regelmäßigen Abständen überschrieben/gelöscht. Als grundsätzlichen Richtwert für eine zulässige Speicherdauer können 72 Stunden herangezogen werden.
5. Auswertung nur im Einzelfall
Eine Auswertung der Aufnahmen erfolgt nur im Anlassfall (z.B. um festzustellen, wer eine Beschädigung durchgeführt hat).
6. keine gelinderen Mittel
Andere, gelindere Mittel würden sich als unzureichend erweisen (z.B. Sperrsysteme, Sicherungssysteme, Bewegungsmelder).

Die Beurteilung, ob die Videoüberwachung im Einzelfall als zulässig angesehen werden kann, obliegt dem Verantwortlichen. Diese Prüfung muss vom Verantwortlichen vor der Inbetriebnahme der Anlage erfolgen. Gleiches gilt für die Frage, ob in einem konkreten Fall eine Datenschutz-Folgenabschätzung durchzuführen ist oder nicht. Die Datenschutzbehörde nimmt jedenfalls keine diesbezüglichen Vorabbeurteilungen vor. Eine Meldepflicht einer Anlage bei der Datenschutzbehörde besteht nicht.

Möglichkeiten:

Sollte die Zulässigkeit einer Videoüberwachung entsprechend der genannten Voraussetzungen nicht gegeben sein, so ist eine Anregung zur Einleitung eines amtswegigen Prüfverfahrens bei der Datenschutzbehörde möglich. Wurde eine Person tatsächlich durch eine unrechtmäßige Kamera aufgezeichnet, so kann diese Beschwerde wegen Verletzung im Recht auf Geheimhaltung bei der Datenschutzbehörde einbringen.

Weitergabe & Veröffentlichung:

Ist eine Videoüberwachung an sich zulässig, berechtigt dies noch nicht zur Weitergabe oder zum Veröffentlichen der Videoaufnahmen (z.B. im Internet).

Rechtsgrundlage:

Für Videoüberwachungen im privaten Bereich kommt im Regelfall Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen des Verantwortlichen), entsprechend der Rechtsprechung des EuGH – siehe dazu das Urteil C-708/18 – in Betracht. In bestimmten Fällen kann eine Videoüberwachung auch auf Art. 6 Abs. 1 lit. a DSGVO (Einwilligung der betroffenen Personen) gestützt werden.

Anlassbezogene Foto- und Videoaufnahmen zu Beweiszwecken

Zulässigkeit:

Das Anfertigen von Beweisfotos oder -videos im Einzelfall kann zulässig sein. Wesentliche Voraussetzung ist, dass der Aufnehmende ein höher zu gewichtendes „berechtigtes Interesse“ an der Aufnahme hat, als der Aufgenommene (z.B. ein öffentliches Interesse an der Verfolgung einer mutmaßlichen Rechtsverletzung durch die zuständige Behörde).

Möglichkeiten:

Sollte der Aufnehmende kein überwiegendes „berechtigtes Interesse“ haben, so kann der Aufgenommene eine Beschwerde wegen Verletzung im Recht auf Geheimhaltung einbringen.

Weitergabe & Veröffentlichung:

Ist eine anlassbezogene Foto- oder Videoaufnahme an sich zulässig, berechtigt dies noch nicht zur Weitergabe oder zum Veröffentlichen der Aufnahmen (z.B. im Internet).

Urlaubsfotos

Urlaubsfotos oder -filme, die nicht auf die identifizierende Erfassung unbeteiligter Personen hinauslaufen, sind grundsätzlich zulässig (bspw. Aufnahmen von Skiabfahrten mit einer Helmkamera).

Kameraattrappen

Da bei Kameraattrappen keine Datenverarbeitung stattfindet, kann eine Datenschutzverletzung nicht vorliegen. Der bloße Eindruck beobachtet zu werden („Überwachungsdruck“) mag zwar eine Beeinträchtigung der Privatsphäre oder Verletzung der Persönlichkeitsrechte darstellen, ist aber datenschutzrechtlich unbeachtlich. Die Datenschutzbehörde kann keiner Beschwerde wegen Beeinträchtigung der Privatsphäre beziehungsweise "Belästigung" durch die Aufstellung von Kameraattrappen nachgehen.

Zivilrechtlich dürfen Attrappen nach Rechtsprechung des OGH zur Abschreckung von Einbrechern oder Vandalen nur das eigene Grundstück bzw. das eigene Eigentum schützen (vgl. das Urteil des OGH vom 28.03.2007, 6 Ob 6/06k mwN). Für eine diesbezügliche Klage sind ausschließlich die Zivilgerichte zuständig.

Im Fall einer Beschwerde vor der Datenschutzbehörde ist vom Inhaber der Geräte ein Nachweis zu erbringen, dass es sich tatsächlich um Attrappen handelt. Die Datenschutzbehörde empfiehlt daher, ein Dokument aufzubewahren, aus dem hervorgeht, dass es sich um eine Attrappe handelt (z.B. die Rechnung). Dadurch wäre im Fall eines Beschwerdeverfahrens vor der Datenschutzbehörde wegen Videoüberwachung eine schnelle Widerlegung des Vorwurfs möglich.

Dashcams

Eine „Dashcam“ (eine Abkürzung für „Dashboard Camera“, also „Armaturenbrett-Kamera“) ist eine Videokamera, die im Auto installiert ist und durch die Windschutzscheibe Bilder von der Straße vor dem Auto aufnimmt und aufzeichnet. Zusätzlich können Autokameras an der Heckscheibe und an Seitenfenstern befestigt sein, um das gesamte Geschehen rund um ein Auto aufzuzeichnen. Eingesetzt werden solche Kameras zumeist zu Beweiszwecken, um im Falle eines Unfalls den Hergang nachvollziehen zu können.

Zulässigkeit:

Im Regelfall sind Dashcams unzulässig, weil die meisten gängigen Produkte aufgrund ihrer Konfigurationen (Aufnahmebereich, Speicherdauer) andere Verkehrsteilnehmer in unzulässiger Weise in deren Grundrecht auf Datenschutz beeinträchtigen. Dashcams sind jedoch nicht gänzlich unzulässig – die Rechtmäßigkeit ist in jedem Einzelfall anhand folgender Faktoren zu prüfen:

1. Zweck
Die Datenverarbeitung (Aufzeichnung) erfolgt zum Zweck der Dokumentation eines Unfallherganges. Auch zum Zweck der Anzeigenerstattung bei einer zuständigen Behörde kann die Datenverarbeitung zulässig sein. Wesentlich ist dabei stets, dass die Aufnahmen ausschließlich anlassbezogen erfolgen.
2. örtliche Beschränkung
Die Aufnahme des öffentlichen Raumes (insb. Straße) wird auf das erforderliche Maß beschränkt: Der Aufnahmebereich rund um das Kfz wird auf das Nötigste beschränkt; es erfolgt keine großflächige Überwachung; der Kamerawinkel ist "nach unten" geneigt; die Kameraauflösung wird so gering wie möglich gewählt, sodass nur ein kleiner Bereich um das Fahrzeug herum deutlich zu sehen ist; weiter entfernte Personen oder Fahrzeuge können nicht mehr identifiziert werden.
3. zeitliche Beschränkung
Im Falle einer Speicherung werden Daten nur im unbedingt erforderlichen zeitlichen Ausmaß gespeichert. Selbst Unfalldaten dürfen nicht endlos gespeichert werden, sondern nur bis zur Zweckerreichung. Als im Einzelfall zulässig beurteilt wurde bisher bspw. eine anlassbezogene Videosequenz von drei (BVwG) oder fünf Minuten (Datenschutzbehörde).
Wenn die dauerhafte Speicherung von Bilddaten (z.B. Ausschalten eines Überschreibungsprozesses) von einer willentlichen Handlung des Verantwortlichen abhängig ist (etwa durch das manuelle Betätigen eines Speicherknopfes oder durch Entfernen einer SD-Karte), wird im Zweifelsfall von einer Unzulässigkeit der Dashcam auszugehen sein. Ein „Missbrauch“ der Dashcam für andere Zwecke als zur Dokumentation eines Unfallherganges ist in solchen Fällen nämlich nicht mehr kontrollierbar. Zulässig ist die ausschließlich automatische Speicherung von Bilddaten (also Stopp des Überschreibungsprozesses) durch vordefinierte Impulse (Aufprallsensoren, abrupte Lenk-/Fahr-/Brems-/Beschleunigungsmanöver), wobei im Einzelfall etwa die manuelle Speicherung anlassbezogener Videos durch herausziehen einer Speicherkarte als zulässig erachtet wurde.
4. regelmäßige Löschung/Überspeicherung
Die Daten werden kontinuierlich überschrieben, soweit es zu keinem Unfall gekommen ist (Überschreibungsprozess).
5. Zugriffsbeschränkungen
Gewährleistung von Integrität und Vertraulichkeit durch Einsatz von Verschlüsselungstechniken und Zugriffsbeschränkungen.

Möglichkeiten:

Sollte die Zulässigkeit einer Dashcam entsprechend der genannten Voraussetzungen nicht gegeben sein, so ist eine Anregung zur Einleitung eines amtswegigen Prüfverfahrens bei der Datenschutzbehörde möglich. Wurde eine Person tatsächlich durch eine unrechtmäßige Dashcam aufgezeichnet, so kann diese Beschwerde wegen Verletzung im Recht auf Geheimhaltung bei der Datenschutzbehörde einbringen.

Weitergabe & Veröffentlichung:

Ist eine Dashcamaufnahme an sich zulässig, berechtigt dies noch nicht zur Weitergabe oder zum Veröffentlichen der Aufnahmen (z.B. im Internet).

Rechtsgrundlage:

Die Rechtsmeinung der Datenschutzbehörde basiert im Wesentlichen auf österreichischen und europäischen höchstgerichtlichen Entscheidungen, nämlich dem Erkenntnis des Verwaltungsgerichtshofes vom 12. September 2016, Ro 2015/04/0011, sowie dem Urteil des Europäischen Gerichtshofes vom 11. Dezember 2014, C-212/13.

Die Datenschutzbehörde hat bereits ausgesprochen, dass eine anlassbezogene Videoaufzeichnung durch eine Dashcam im Einzelfall und zum Zweck der Anzeigenerstattung bei einer zuständigen Behörde von Art. 6 Abs. 1 lit. f DSGVO gedeckt sein kann (Bescheid vom 5. Oktober 2020, GZ 2020-0.535.661). Mit Bescheid vom 10. November 2022 gewährte die Datenschutzbehörde eine anlassbezogene Speicherung von 5 Minuten (Bescheid vom 10. November 2022, GZ 2022-0.609.733).

Mit Entscheidung vom 25. Oktober 2022 entschied das BVwG, dass "sich Personen im Straßenverkehr bewusst einer Öffentlichkeit und einer Wahrnehmung durch Dritte" aussetzen, und daher "spätestens im Falle eines Unfallgeschehens mit einer Dokumentation ihres Unfallgeschehens" zu rechnen haben. Im Zuge dieser Entscheidung wurden Videoaufzeichnungen von 3 Minuten zugelassen, wobei im konkreten Fall die Überschreibung des Videomaterials durch Herausziehen der Speicherkarte jederzeit verhindert werden konnte (vgl. BVwG, 25. Oktober 2022, GZ W256 2222862-1/27E).

Drohnen

Eine "Drohne" ist ein unbemanntes Luftfahrzeug.

Zulässigkeit:

Drohnen sind nur dann datenschutzrechtlich relevant, wenn sie personenbezogene Daten ermitteln. Ein Spielzeug oder Modellflugzeug ohne Kameras oder andere Sensoren fällt nicht unter das Datenschutzrecht. Die üblichste Form der datenschutzrechtlich relevanten Drohne ist ein Fluggerät mit einer eingebauten Kamera, die Bilder aufzeichnet und per Funk an den Piloten übermittelt.

Drohnen können sowohl unter das Datenschutzrecht als auch unter das Luftfahrtrecht fallen. Beide Rechtsgebiete sind voneinander vollkommen unabhängig: Ist ein Drohnenflug luftfahrtrechtlich zulässig, so sind Video- oder Fotoaufnahmen alleine deshalb noch nicht zulässig.

Datenschutzrechtlich gelten für Kameradrohnen dieselben Regeln wie für Videokameras. Demnach ist eine Videoüberwachung von öffentlichem Grund oder Privatgrund anderer Personen nicht zulässig.

Beachten Sie bitte, dass die Datenschutzbehörde bei Vorliegen der erforderlichen Voraussetzungen eine Geldbuße verhängen kann.

Das Luftfahrtrecht enthält besondere Bestimmungen über Drohnen, die Sie auf der Website der Austro Control einsehen können. Bitte beachten Sie, dass die luftfahrtrechtliche Verwendung von Drohnen mittlerweile europaweit einheitlich geregelt wurde. Entsprechende (englischsprachige) Informationen finden Sie auf der Drohnen-Website der Europäischen Agentur für Flugsicherheit (EASA).

Weitergabe & Veröffentlichung:

Ist eine Drohnenaufnahme an sich zulässig, berechtigt dies noch nicht zur Weitergabe oder zum Veröffentlichen der Aufnahmen (z.B. im Internet).

Internet

Löschung aus dem Internet

Wenn Sie über Suchmaschinen personenbezogene Daten über sich selbst finden, wurden diese Daten nicht von der Suchmaschine erzeugt, sondern auf vorhandenen Webseiten gefunden und für Suchabfragen aufbereitet.

Veraltete Daten in Suchmaschinen:

Die Ergebnisse einer Suchmaschine können veraltet sein. Suchmaschinen übernehmen Änderungen auf Webseiten oft mit einer gewissen zeitlichen Verzögerung. Prüfen Sie daher nach, ob die Information noch auf der verlinkten Seite steht.

Suchmaschinen katalogisieren den Inhalt des World Wide Web und legen aus technischen Gründen oft Kopien von öffentlich zugänglichen Inhalten an (z.B. der sogenannte „Google-Cache“). Diese Zwischenspeicherungen werden in regelmäßigen Abständen überprüft und aktualisiert. Es kann daher sein, dass ein auf der Website bereits gelöschter Inhalt noch über eine solche Kopie „gefunden“ werden kann.

Wurde die Information bereits aus dem Netz entfernt, ist es oft eine Frage der Zeit, bis alle Suchmaschinen die veränderte Seite neu indexieren. In einem solchen Fall kann es ratsam sein, zunächst abzuwarten, bis die Suchmaschine sich selbst korrigiert, anstatt unverzüglich Löschung zu begehren.

Beweissicherung:

Webseiten können rasch verändert werden oder sich automatisch ändern. Sie sollten daher Ihre Daten auf der Seite und den Zustand der Seite immer dokumentieren, wenn Sie rechtliche Schritte erwägen. Drucken Sie die Seite aus oder erstellen Sie Bildschirmfotos ("Screenshots"), bevor Sie sich an eine Behörde wenden.

Auch Internetarchive wie die Wayback Machine können bei der Beweissicherung hilfreich sein.

Ausländische Webseiten:

Die österreichische Datenschutzbehörde kann derzeit bei ausländischen Seiten nur begrenzt helfen.

Grundsätzlich muss eine Website ein Impressum tragen, mit dessen Hilfe Sie feststellen können, in welchem Land der Inhaber der Seite zu finden ist.

Möglichkeiten:

Entfernung aus den Suchergebnissen:

Das Recht auf Löschung ist grundsätzlich auf Websites anwendbar.

Wenn Ihre personenbezogenen Daten in einer Suchmaschine ersichtlich sind, besuchen Sie die Originalseite und versuchen Sie zuerst, gegenüber dem Inhaber der Seite (der im Regelfall aus dem Impressum hervorgeht) Ihr Recht auf Löschung geltend zu machen. Eine Beschwerde gegen einen Suchmaschinenbetreiber ist möglich, aber die Löschung aus dem Index einer Suchmaschine hat keine Auswirkungen auf die Seite, auf der die Daten ersichtlich sind.

Auf vielen Seiten gibt es eigene Verfahren zur Löschung oder die Möglichkeit einer Beschwerde gegen Missbrauch:

  • Google LLC bietet einen Antrag auf Entfernung aus den Suchergebnissen gemäß Europäischem Datenschutzrecht.
  • Microsoft Corporation bietet einen Antrag zur Sperrung von Bing-Suchergebnissen gemäß der Rechtsprechung der Europäischen Union.
  • Facebook (gehört zu Meta Platforms, Inc.) unterhält eine Seite, auf der Sie Missbräuche aller Art melden können.
  • Youtube.com (gehört zu Google LLC) bietet eine Seite für Datenschutzbeschwerden.

Rechtsgrundlage:

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 13.Mai 2014, C‑131/12 entschieden, dass Google LLC der europäischen Datenschutzrichtlinie 95/46/EG unterliegt. Diese Richtlinie wurde von der DSGVO abgelöst und gilt diese Einschätzung ebenso für die DSGVO.

Weiters hat der Gerichtshof festgestellt, dass eine Verarbeitung von personenbezogenen Daten in einem Land der EU vorliegt, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen der Suchmaschine und diesen Verkauf selbst eine Zweigniederlassung oder Tochtergesellschaft betreibt, auch wenn diese Tochtergesellschaft selbst nicht den Suchindex betreut.

Entsprechend diesem Urteil können Suchmaschinenbetreiber unter bestimmten Voraussetzungen dazu verpflichtet sein, von der Ergebnisliste, die im Anschluss an eine anhand des Namens einer Person durchgeführte Suche angezeigt wird, Links zu von Dritten veröffentlichten Internetseiten mit Informationen zu dieser Person zu entfernen, auch wenn der Name oder die Informationen auf diesen Internetseiten nicht vorher oder gleichzeitig gelöscht werden und gegebenenfalls auch dann, wenn ihre Veröffentlichung auf den Internetseiten als solche rechtmäßig ist. Dabei wäre allerdings das Interesse der breiten Öffentlichkeit am Zugang zu der Information zu berücksichtigen.

Bitte beachten Sie, dass trotz dieses Urteils eine allgemeine Aussage über ein Löschungsrecht gegen Suchmaschinenbetreiber nicht möglich ist. Bedenken Sie auch, dass jeder Suchmaschinenbetreiber einzeln belangt werden müsste, um eine Seite aus seinem Suchindex zu entfernen. Angesichts der Marktanteile der Suchmaschinen müsste man immer zwei bis vier Suchmaschinenbetreiber auf Löschung belangen, damit eine Seite nicht oder nur noch schwer auffindbar ist. Eine Beschwerde gegen den Inhaber der Originalseite erscheint daher zielführend.

Anschließende Beschwerde bei der Datenschutzbehörde:

Bevor Sie sich an die Datenschutzbehörde wenden, müssen Sie den Betreiber der Seite selbst um Löschung ersuchen (wie auch bei Löschung aus anderen Datenbanken). Setzen Sie sich mit dem Betreiber in Verbindung, schildern Sie Ihr Anliegen und verlangen Sie Löschung gemäß Art. 17 DSGVO.

Bewertungsplattformen

Auf Bewertungsplattformen haben Nutzer in der Regel die Möglichkeit auf Unternehmensprofile zuzugreifen und so Ärzte, Hotels oder andere Unternehmen zu bewerten und Bewertungen anderer Nutzer einzusehen.

Zulässigkeit:

Sind keine personenbezogenen Daten betroffen, so sind Bewertungen und Erfahrungsberichte datenschutzrechtlich grundsätzlich zulässig.

Nimmt eine Bewertung bzw. ein Erfahrungsbericht jedoch unmittelbar auf eine Person Bezug, so liegt jedenfalls bei namentlicher Nennung ein personenbezogenes Datum vor. Aber auch ohne Namensnennung kann bei Rückführbarkeit auf die betroffene Person ein Personenbezug vorliegen.

Sind personenbezogene Daten betroffen, so ist eine Interessensabwägung durchzuführen. Es besteht in der Regel ein erhebliches Interesse der Öffentlichkeit bzw. von Nutzern der Bewertungsplattform an Informationen über das jeweilige Unternehmen. Demgegenüber können im Einzelfall auch Interessen des Bewerteten vorliegen, die dieser in einem Verfahren vor der Datenschutzbehörde vorzubringen hat. Wiegt das Interesse des Bewerteten zumindest gleich hoch wie das Interesse der Öffentlichkeit bzw. Plattformnutzer, so ist die Datenverarbeitung im Regelfall unzulässig.

Antrag auf Löschung:

Ist eine Datenverarbeitung im Einzelfall unzulässig, so kann der Betroffene beim Plattformbetreiber einen Antrag auf Löschung stellen.

Möglichkeiten:

Ist eine Bewertung datenschutzrechtlich unzulässig und wurde gegenüber dem Plattformbetreiber ein Antrag auf Löschung gestellt, dem nicht nachgekommen wurde, so besteht die Möglichkeit einer Beschwerde wegen Verletzung im Recht auf Löschung.

Gegebenenfalls kann auch – gegen den Plattformbetreiber oder den Bewertenden – eine Beschwerde wegen Verletzung im Recht auf Geheimhaltung bei der Datenschutzbehörde eingebracht werden.

Bei „falschen“ oder „übertriebenen“ Bewertungen (bspw. auch Rufschädigung) steht insb. der Zivil- oder Strafrechtsweg offen.

Rechtsgrundlage:

Bei dem Plattformbetreiber handelt es sich im Regelfall um kein Medienunternehmen bzw. keinen Mediendienst gemäß § 9 Abs. 1 DSG, da dies in der Regel keine journalistische Tätigkeit ausübt. Im Regelfall mangelt es am geforderten Mindestmaß an journalistischer, wissenschaftlicher, künstlerischer oder literarischer Bearbeitung. Die rechtliche Grundlage basiert in der Regel auf berechtigtem Interesse iSd Art. 6 Abs. 1 lit. f DSGVO.

Google Maps „Street View“ und Apple Maps „Look Around“

Im Rahmen der Dienste „Street View“ (seit 2018 in Österreich verfügbar) und „Look Around“ (seit 27. September 2023 in Österreich verfügbar) werden durch Google LLC bzw. Apple Inc. mittels Fahrzeugen oder Rucksäcken Fotoaufnahmen (insb. von Straßen und Wegen) getätigt und anschließend in das Internet zur freien Verfügung gestellt.

Möglichkeiten:

Entfernung aus den Fotos:

Google anonymisiert dabei die Bilder vollautomatisch, wobei es auch zu Fehlern kommen kann. Auf jedem Bild befindet sich ein Hyperlink „Problem melden“. Damit kann eine unzureichende Anonymisierung eines Gesichts oder Autokennzeichens gerügt werden. Es ist auch möglich, ein komplettes Haus unkenntlich machen zu lassen. Dabei handelt es sich um einen Antrag auf Löschung. Weitere Informationen finden Sie auch bei Google unter: https://support.google.com/maps/answer/7011973

Auch in Apple Maps „Look Around“ werden Gesichter und Kennzeichen vollautomatisch unkenntlich gemacht (verpixelt). Ebenfalls gibt es die Möglichkeit, die Verpixelung eines Gesichtes, eines Kennzeichens oder des eigenen Hauses bei Apple zu beantragen. Die Aufnahmezeitpunkte und -orte werden durch Apple im Internet veröffentlicht. Bei Fragen und Kommentaren sowie für die Stellung von Löschungsanträgen ist Apple per E-Mail unter MapsImageCollection@apple.com erreichbar. Weitere Informationen finden Sie auch bei Apple unter: https://maps.apple.com/imagecollection/

Anschließende Beschwerde bei der Datenschutzbehörde:

Eine Beschwerde wegen Verletzung des Rechts auf Löschung ist möglich, wenn dem Antrag nicht nachgekommen wird. Bitte sichern Sie Ihren Antrag, indem Sie ihn ausdrucken oder ein Bildschirmfoto („Screenshot“) anfertigen.

Gläubigerschutz und Kreditauskunfteien (Bonitätsdatenbanken)

Es gibt mehrere Datenbanken, in denen Daten über das Zahlungsverhalten und die Bonität der Kunden gesammelt werden. Diese Datenbanken waren mitunter vor dem 25. Mai 2018 als „Kleinkreditevidenz (Konsumentenkreditevidenz)“ und „Warnliste der Banken“ beim Datenverarbeitungsregister gemeldet.

Zulässigkeit:

Kreditauskunfteien und Datenverarbeitungen für den Gläubigerschutz sind grundsätzlich zulässig.

Wurde der Betroffene jedoch nicht ausreichend auf die potentielle Negativeintragung hingewiesen (bspw. in der letzten Mahnung), so kann dies ein Verstoß gegen den Grundsatz von „Treu und Glauben“ nach Art. 5 Abs. 1 lit. a DSGVO darstellen.

Möglichkeiten:

Berichtigung bzw. Löschung der Eintragung:

Es ist grundsätzlich möglich, Eintragungen bei Kreditauskunfteien und Banken berichtigen und/oder löschen zu lassen. Bei der Anwendung des Rechts auf Berichtigung oder des Rechts auf Löschung ist folgendes besonders zu beachten:

Es empfiehlt sich, zuerst eine Auskunft zu beschaffen, damit genaue Angaben gemacht werden können, was entfernt werden soll. Dazu bietet sich das Recht auf Auskunft an. Manche Kreditauskunfteien bieten einen eigenen, schnelleren Auskunftsservice.

Unternehmen, die bei einer Kreditauskunftei die Bonität einer bestimmten Person anfragen, erwarten, dass zumindest ein Basis-Datensatz verfügbar ist. Wenn nach einem Antrag auf Löschung alle Daten zu einer Person gelöscht wurden, kann dies leicht dazu führen, dass das Unternehmen nicht einmal diese minimale Auskunft erhalten und daher den Kunden mangels Informationen ablehnen könnten.

Es kann daher sinnvoll sein, das Recht auf Löschung auf konkrete Eintragungen (bspw. ein konkretes Zahlungserfahrungsdatum) einzuschränken oder das Recht auf Berichtigung geltend zu machen.

Anschließende Beschwerde bei der Datenschutzbehörde:

Eine Beschwerde wegen Verletzung des Rechts auf Berichtigung bzw. des Rechts auf Löschung ist möglich, wenn dem Antrag nicht gefolgt wird. Bitte sichern Sie Ihren Antrag, indem Sie ihn ausdrucken oder ein Bildschirmfoto („Screenshot“) anfertigen.

Rechtsgrundlage:

Die Gewerbeordnung regelt die Auskunfteien über Kreditverhältnisse in § 152 Gewerbeordnung 1994, BGBl. Nr. 194/1994 idgF.

Es ist den Banken überdies gestattet, allgemein gehaltene bankübliche Auskünfte über die wirtschaftliche Lage eines Unternehmens zu geben, wenn dieses der Auskunftserteilung nicht ausdrücklich widerspricht (§ 38 Abs. 2 Z 6 Bankwesengesetz – BWG, BGBl. Nr. 532/1993 idgF).

Vorläufige neue Rechtsansicht der Datenschutzbehörde bezüglich Auskunfteien über Kreditverhältnisse gemäß § 152 GewO aufgrund der Urteile des EuGH vom 07.12.2023, C-634/21 sowie der verbundenen Rechtssachen C-26/22 und C-64/22 ("SCHUFA-Urteile")

EuGH schränkt Speicherzeitraum für bestimmte Daten ein

In zwei maßgeblichen Urteilen hat der Europäische Gerichtshof (EuGH) über die Rahmenbedingungen für bestimmte Datenverarbeitungen durch Kreditauskunfteien entschieden. Die beiden Entscheidungen des EuGH (C-634/21 sowie die verbundenen Verfahren C-26/22 und C-64/22), die Anfang Dezember 2023 ergingen, wirken sich vordergründig auf die Speicherdauer von Daten über Insolvenzen und Zahlungsausfällen sowie auf das sogenannte „Scoring“ aus. Keine längere Speicherdauer als in öffentlichen Registern

Kreditauskunfteien erteilen grundsätzlich kostenpflichtig Auskunft über die Bonität, also Zahlungsfähigkeit, von Unternehmen aber auch Privatpersonen. Für diese Einschätzung der Bonität ist ein möglichst großer Datensatz über die wirtschaftliche Vergangenheit einer Person selbstverständlich nützlich. Das Interesse daran ist aber mit dem datenschutzrechtlichen Interesse der Betroffenen auszubalancieren.

Bis zuletzt war es für Kreditauskunfteien in Österreich möglich, Insolvenzdaten in der Regel fünf Jahre nach Löschung aus der Ediktsdatei, zu speichern. Aufgrund der genannten Urteile steht nunmehr fest, dass private Kreditauskunfteien aus einem öffentlichen Register stammende Daten über Insolvenzen, bei denen es zu einer Restschuldbefreiung gekommen ist, nicht länger speichern dürfen, als sie auch in diesen abrufbar sind.

Mit anderen Worten: Private Kreditauskunfteien haben derartige Daten sofort zu löschen, wenn diese nicht mehr in der Ediktsdatei öffentlich einsehbar sind.

EuGH erlaubt „Scoring“ nur mehr im Einzelfall

Auch in Bezug auf das sogenannte „Scoring“ sind die jüngsten EuGH-Urteile wesentlich. Unter Scoring versteht man die Berechnung eines bestimmten Wahrscheinlichkeitswertes („Score“), der Aufschluss über die (vermutete) Zahlungsfähigkeit einer Person geben soll. Dazu wird ein Bündel an personenbezogenen Daten wie etwa Alter, Geschlecht, Beruf oder Zahlungserfahrungsdaten verwendet und durch mathematische Berechnungen ein Wert ermittelt, der darüber Auskunft geben soll, wie hoch die Wahrscheinlichkeit eines Zahlungsausfalls dieser Person ist Dieser Wert wird anderen Unternehmen über Anfrage zur Verfügung gestellt, die dann die Entscheidung treffen, ob sie mit dieser Person ein Geschäft (vor allem ein Fernabsatzgeschäft) abschließen.

Der Gerichtshof hat nun entschieden, dass die Datenverarbeitung zwecks „Scoring“ unter Art. 22 DSGVO (Automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling) fällt, sofern von diesem Wert maßgeblich abhängt, ob ein Dritter mit dem Betroffenen einen Vertrag abschließt. Demnach können sich Kreditauskunfteien nicht mehr pauschal auf ihr „berechtigtes Interesse“ (Art. 6 Abs. 1 lit. f DSGVO) stützen, sondern nur auf eine Ausnahmebestimmung nach Art. 22 Abs. 2 DSGVO.

Dies bedeutet, dass Kreditauskunfteien zukünftig bei jedem Einzelfall im Streitfall nachweisen müssen, ob diese Art der „automatisierten Entscheidung im Einzelfall“ gemäß Art. 22 DSGVO gerechtfertigt ist.

2023-0.891.733-2-A - Erledigung_20.12.2023 (PDF, 330 KB)

Gesundheitsdaten

Elektronische Gesundheitsakte („ELGA“)

Die Elektronische Gesundheitsakte ("ELGA") soll elektronische Befunde ("e‑Befunde") und die Medikationsdaten ("e‑Medikation") für Gesundheitsdiensteanbieter bereithalten.

Möglichkeiten:

Abmelden von der ELGA:

Sie können gegen die Aufnahme Ihrer Daten in ELGA Widerspruch erheben. Widerspruchsstelle ist der Hauptverband der österreichischen Sozialversicherungsträger.

Anschließende Beschwerde bei der Datenschutzbehörde:

Sollte die zuständige Stelle dem Widerspruch nicht folgen, so kann der Betroffene bei der Datenschutzbehörde eine Beschwerde wegen Verletzung im Recht auf Widerspruch geltend machen.

Rechtsgrundlage:

Rechtsgrundlage ist das Elektronische Gesundheitsakte-Gesetz und die ELGA-Verordnung. Gemäß § 3 ELGA-Verordnung 2015 (ELGA‑VO 2015), BGBl. II Nr. 106/2015, ist der Hauptverband der österreichischen Sozialversicherungsträger die Stelle, bei der Widerspruch gegen den ELGA erhoben werden kann (die Widerspruchstelle).

E-Impfpass

Die Impfdaten werden in einem zentralen österreichischen Impfregister gespeichert. Dies ermöglicht eine vollständige und standardisierte Impfdokumentation.

Möglichkeiten:

Abmelden von dem E-Impfpass:

Ein Recht auf Abmeldung, wie bei der Elektronischen Gesundheitsakte, ist beim E-Impfpass rechtlich nicht vorgesehen.

Rechtsgrundlage:

Rechtsgrundlage für die Datenverarbeitung ist das Gesundheitstelematikgesetz (GTelG).

Brief & Post

Direktwerbung

Es gibt zwei Fälle direkt adressierter Werbesendungen: Eigenwerbung mit Hilfe der Kundendatei und Werbung durch ein Direktmarketingunternehmen.

Direktmarketingunternehmen bieten regelmäßig nicht nur Leistungen bei der Gestaltung, beim Druck und beim Versand von Werbebriefen ("Mailings") an, sondern führen auch eigene Datenanwendungen, in denen die Daten möglicher Werbeadressaten verarbeitet werden, und vermitteln den Austausch von Kundendaten für Werbezwecke zwischen Unternehmen ("Listbroking").

Direktmarketingunternehmen können Daten dabei manuell und durch automatische Systeme mit "Marketingklassifikationen" versehen. Entsprechende Programme können aus statistischen Erfahrungswerten gewisse Wahrscheinlichkeiten errechnen, etwa aus dem Vornamen die Wahrscheinlichkeit, zu einer bestimmten Altersklasse zu gehören, oder aus der Adresse die Wahrscheinlichkeit, zu einer bestimmten Einkommensklasse zu gehören. Aus der Altersklasse lässt sich wiederum die Wahrscheinlichkeit errechnen, zur Zielgruppe für gewisse Gesundheitsprodukte oder medizinische Dienstleistungen zu gehören.

Oft stammen präzise Daten, wie z.B. das Geburtsdatum, auch einfach aus der Kundendatei eines Unternehmens, mit dem Sie in ständiger Geschäftsverbindung stehen.

Bei Listbroking kann es auch sein, dass der Werbende gezielt die Kundendateien von bestimmten Luxus- und Markenartikelhändlern nutzen lässt und seine Marketingbotschaft so an eine bestimmte Käuferschicht richtet.

„Spams“ sind unerbetene Werbe-E-Mails.

Zulässigkeit:

Spamming ist in den meisten Ländern, wie auch in Österreich, grundsätzlich verboten. Direktwerbung per E-Mail bedarf – ebenso wie Anrufe oder die Zusendung von SMS – der vorherigen Einwilligung des Empfängers.

Eine vorherige Einwilligung für die Zusendung von E-Mails zur Direktwerbung ist allerdings nicht notwendig, wenn

  1. der Absender die Kontaktinformation für die Nachricht im Zusammenhang mit dem Verkauf oder einer Dienstleistung an seine Kunden erhalten hat und
  2. diese Nachricht zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen erfolgt und
  3. der Empfänger klar und deutlich die Möglichkeit erhalten hat, eine solche Nutzung der elektronischen Kontaktinformation bei deren Erhebung und zusätzlich bei jeder Übertragung kostenfrei und problemlos abzulehnen und
  4. der Empfänger die Zusendung nicht von vornherein, insbesondere nicht durch Eintragung in die ECG-Liste, abgelehnt hat.

Direktmarketingunternehmen betreiben ein Gewerbe ("Adressverlage und Direktmarketingunternehmen" gemäß § 151 der Gewerbeordnung 1994 – GewO 1994, BGBl. Nr. 194/1994 idgF).

Möglichkeiten:

Robinson-Liste (bei persönlich adressierter Werbung):

Gegen persönlich adressierte Werbung von österreichischen Direktmarketingunternehmen kann man sich auf eine Sperrliste („Robinson-Liste“) setzen lassen. Sie wird von der Österreichischen Wirtschaftskammer geführt. Sie wirkt nicht gegen

  • E-Mails
  • Fax
  • Postwurfsendungen
  • Werbezettel an der Haustüre
  • Mailings ausländischer Direktmarketingunternehmen,
  • Eigenwerbung von Unternehmen, die sie als Kunden führen,
  • amtliche Informationen und
  • politische Werbung.

ECG-Liste (bei Werbe-E-Mails):

Gegen Werbe-E-Mails kann man sich auf eine Sperrliste („ECG-Liste“) setzen lassen. Sie wird von der RTR geführt.

Flugblattverzichter:

Gegen Postwurfsendungen oder Werbezettel an der Haustüre helfen nur an der Haus- oder Wohnungstür bzw. am Briefkasten angebrachte Aufkleber („Flugblattverzichter“), der über schriftliche Bestellung und auf postalischem Weg erhältlich ist. Senden Sie dazu ein ausreichend frankiertes Rückantwortkuvert mit Ihrem Namen und Ihrer Wohnadresse an:

"Die Werbemittelverteiler"
Postfach 500
5760 Saalfelden am Steinernen Meer
Kennwort "Bitte keine unadressierte Werbung"

Bei Fragen hierzu können Sie sich an die eigens dafür eingerichtete Stelle unter Tel.-Nr. 01/908 308 wenden. Weiterführende Information finden Sie auch auf der Webseite der Österreichischen Wirtschaftskammer.

Widerspruch bei Direktmarketingunternehmen:

Eine vollständige Löschung aus den Datenanwendungen eines Direktmarketingunternehmens (bzw. ein Widerspruch gegen die Datenverwendung) ist ebenfalls möglich. Allerdings kann nicht ausgeschlossen werden, dass das Unternehmen ihre Daten später neuerlich (aus legalen Quellen) ermittelt und verwendet. Einen dauerhaften Ausschluss gewährleistet nur die Aufnahmen in die Sperrlisten.

Auskunft von Direktmarketingunternehmen:

Direktmarketingunternehmen sind zur datenschutzrechtlichen Auskunftserteilung verpflichtet.

Innerhalb von drei Monaten nach einem Mailing muss ein Direktmarketingunternehmen, auch wenn es die Daten nicht (mehr) selbst verarbeitet (z.B. bei Listbroking), Auskunft über die Herkunft der Daten geben.

Vor der Übermittlung ("Verkauf") an oder der Freigabe einer Kundendatei zum Listbroking durch ein Direktmarketingunternehmen muss ein Unternehmen die Zustimmung der Betroffenen einholen. Meist erfolgt dies schon anlässlich der erstmaligen Erfassung Ihrer Kundendaten. Sie haben dann die Möglichkeit, die Zustimmung zu verweigern oder diese später zu widerrufen.

Beschwerde bei der Datenschutzbehörde:

Es ist theoretisch möglich, sich bei der Datenschutzbehörde wegen Spam-Nachrichten zu beschweren. Dazu ist allerdings anzumerken, dass die Chance auf Erfolg einer Beschwerde bei unbekanntem Absender eher gering ist. Für eine Beschwerde muss nämlich der Beschwerdegegner bekannt sein. Weiters verfügen Spammer oft über keine weiteren Daten außer der E-Mail-Adresse und können daher nicht sagen, woher die Daten stammen. Es muss zudem davon ausgegangen werden, dass Spammer unseriös sind, schwer zu identifizieren und unkooperativ. Beschwerden wegen Verletzung im Recht auf Löschung wegen unerbetener Werbe-E-Mails sind daher nur bei seriösen Organisationen sinnvoll, wenn bspw. die Abmeldung von einem Newsletter nicht funktioniert.

Wahlwerbung durch politische Parteien

Zulässigkeit:

Verschiedene Vorschriften auf allen Ebenen des demokratischen Wahlrechts räumen Parteien das Recht ein, in Verzeichnisse der Wahlberechtigten einzusehen, daraus Daten zu kopieren und diese für Zwecke der politischen Werbung zu verarbeiten.

Dabei kann es sich sowohl um auf Dauer angelegte Dateisysteme (insbesondere das als gemeinsame Verarbeitung des Bundesministeriums für Inneres und der Gemeinden geführte Zentrale Wählerregister – ZeWaeR) handeln, als auch um Verarbeitungen, die aus Anlass und für Zwecke einer bestimmten Wahl oder Abstimmung vorgenommen werden (zum Beispiel die vor einer Nationalratswahl pro Wahlsprengel, Gemeinde oder Bundesland erstellten Wählerverzeichnisse).

Die Europa-Wählerevidenz, die als Grundlage der Wahlen zum Europäischen Parlament dient und daher alle Unionsbürgerinnen und -bürger mit Hauptwohnsitz in Österreich erfasst, wird ebenfalls mit Hilfe des ZeWaeR geführt.

Grundlage für die Erfassung der Wählerdaten sind die Melderegister.

Die im Nationalrat vertretenen Parteien erhalten demnach zweimal jährlich die aktuellen Daten (Familiennamen, Vornamen, akademische Grade, Geschlecht, Geburtsdatum, bei Wahlberechtigten mit Hauptwohnsitz im Inland außerdem die Wohnadresse, bei Auslandsösterreicher eventuell die E-Mail-Adresse) aller im ZeWaeR eingetragenen Wählerinnen und Wähler.

Die in allgemeinen Vertretungskörpern (Nationalrat, Landtage, Gemeinderäte) vertretenen politischen Parteien können überdies gemäß § 5 Abs. 2 Wählerevidenzgesetz 2018 jederzeit auf Gemeindeebene die Übermittlung eines Ausdrucks der Wählerevidenz (oder eine Kopie im Format PDF) verlangen.

Andere wahlwerbende Parteien oder Kandidaten haben im zeitlichen Vorfeld bundesweiter Wahlen Anspruch auf Datenübermittlung durch die Gemeinden in Form von Kopien beziehungsweise Ausdrucken der für die entsprechende Wahl erstellten Wählerverzeichnisse.

Es handelt sich jeweils um einen gesetzlich ausdrücklich geregelten Zugang zu Wählerdaten (rechtliche Verpflichtung des Verantwortlichen zur Übermittlung). Die entsprechende Datenverarbeitung bedarf daher keiner Einwilligung der betroffenen Personen.

Die Empfänger der Daten dürfen diese für politische Werbung (zum Beispiel Werbebriefe, Einladungen zu Veranstaltungen) und statistische Zwecke verarbeiten. Als politische Werbung gilt, was dem Zweck einer politischen Partei ("umfassende Beeinflussung der staatlichen Willensbildung, insbesondere durch die Teilnahme an Wahlen zu allgemeinen Vertretungskörpern und dem Europäischen Parlament", § 1 Abs. 2 Parteiengesetz 2012) förderlich ist.

Jede auf Daten des ZeWaeR aufbauende Datenverarbeitung bedarf einer ausdrücklichen gesetzlichen Grundlage. Ein Verstoß gegen diese Bestimmung ist strafbar.

Die Empfänger der Daten sind verpflichtet, die betroffenen Personenkreise über die Verarbeitung ihrer Daten zu informieren. Bei politischer Werbung gelten grundsätzlich dieselben Regeln der DSGVO wie für jeden anderen Verantwortlichen.

Die Daten der auf Gemeindeebene geführten Wählerevidenzen (ebenso die der Europa-Wählerevidenzen) sind insoweit öffentlich zugänglich, als jedermann darin zwecks Kontrolle der Vollständigkeit und Richtigkeit der Daten Einsicht nehmen kann.

In keinem Fall ist es dabei erlaubt, Daten zur politischen Überzeugung der betroffenen Personen (Wählerinnen und Wähler) zu verarbeiten.

Möglichkeiten:

Ein Widerspruch gegen die Verarbeitung von Daten für Zwecke der Wählerevidenz oder die Geltendmachung des Rechts auf Einschränkung der Verarbeitung ist gesetzlich ausgeschlossen.

Rechtsgrundlage:

Bei den Wahlen zu den allgemeinen Vertretungskörpern (Nationalrat, Landtage, Gemeinderäte) dient das Wählerevidenzgesetz sowie die Notariatswahlordnung als Rechtsgrundlage.

Bei den Wahlen zum Bundespräsidenten dient das Bundespräsidentenwahlgesetz als Rechtsgrundlage.

Bei den Wahlen zum Europäischen Parlament dient das Europa-Wählerevidenzgesetz als Rechtsgrundlage.

Die Wahlordnungen für Länder, Gemeinden, Kammern und Hochschülerschaften enthalten jeweils ähnliche Bestimmungen.

Für politische Parteien ist darüber hinaus ebenso das Parteiengesetz gegenständlich relevant.

Geburtsdatum in Behördenschreiben

Zulässigkeit:

Die Datenschutzbehörde geht in ständiger Rechtsprechung davon aus, dass das Geburtsdatum – das nicht zu besonderen Kategorien von Daten (früher: „sensible Daten“) zählt – dann der Adressierung eines behördlichen Schreibens beigefügt werden darf, wenn es der Sicherung gegen Verwechslungen des Adressaten oder der Adressatin im Zustellverfahren dient (z.B. wegen möglicher Namensgleichheit eines Elternteils und eines an derselben Adresse wohnhaften Kindes, die die Behörde nicht von vornherein ausschließen kann), und das dadurch gesicherte schutzwürdige Interesse an der Geheimhaltung des Inhalts vor Kenntnisnahme durch Dritte schwerer wiegt, als die Offenlegung des nicht-sensiblen Geburtsdatums.

Dies ist etwa dann der Fall, wenn es um die Zustellung eines Schreibens geht, das unmittelbar an die Adressatin oder den Adressaten gerichtete (verwaltungs-) strafrechtliche Vorwürfe enthält (z.B. bei einer Verwaltungsstrafverfügung oder einer Ladung zur Einvernahme als Beschuldigter im kriminalpolizeilichen Ermittlungsverfahren).

Kein derartiges überwiegendes berechtigtes Interesse liegt z.B. dann vor, wenn mit der Briefsendung bloß eine Informationsbroschüre zugestellt worden ist.

Nach Rechtsprechung der Datenschutzbehörde ist auch der Aufdruck des Geburtsdatums auf einer Anonymverfügung (§ 49a VStG) unzulässig.

Nachverfolgung

Analytics & Cookies

Vereinfacht gesagt versteht man unter Cookies kleine Textdateien, die am Endgerät – also etwa am Computer oder Smartphone – bzw. im Browser abgespeichert werden, wenn eine Website im Internetbrowser aufgerufen wird. Diese Textdateien können u.a. vom Webserver einer solchen Website ausgelesen werden.

Es gibt verschiedene Arten von Cookies. Eine Eingruppierung kann anhand ihrer Lebensdauer vorgenommen werden (etwa Sitzungscookies und persistente Cookies) oder anhand der Domain, zu der sie gehören (etwa Erstanbieter- und Drittanbieter-Cookies). Wenn der Webserver, der die Internetseite speist, Cookies auf dem Computer oder dem mobilen Endgerät des Nutzers speichert, spricht man von „HTTP-Header-Cookies“. Ferner können Cookies mittels JavaScript-Code gespeichert werden, der sich auf der Seite befindet oder dort referenziert wird (siehe die Schlussanträge des Generalanwalts in der Rechtssache C‑673/17 Rz 40 mwN).

Beispiel: Eine Website wird in fünf verschiedenen Sprachversionen angeboten. Beim erstmaligen Aufruf der Website wählen Sie die Sprachversion „Deutsch“ aus. Auf Ihrem Endgerät wird nun eine Textdatei (ein „persistentes Cookie“) samt der Information hinterlegt, dass Sie die Website in der deutschen Sprache verwenden wollen. Wenn Sie die Cookies nicht löschen und mit demselben Browser die Website erneut aufrufen, so weiß die Website aufgrund des hinterlegten Cookies, dass die Website in deutscher Sprache angezeigt werden soll.

Ein Cookie-Banner ist ein Fenster, welches beim Aufruf einer gewissen Website (mit leerem Browserprofil) auftaucht. Dieses Fenster wird üblicherweise dazu verwendet, die Einwilligung des Website-Besuchers für das Setzen und Auslesen von Cookies einzuholen.

Zulässigkeit:

Zur Vollständigkeit ist festzuhalten, dass folgende Regelung nicht nur für das Setzen oder Auslesen von Cookies auf Websites gilt, sondern allgemein für die technische Speicherung oder dem Zugang von Daten auf Endgeräten.

Verarbeitung personenbezogene Daten:

Cookies (oder besser gesagt: die in Cookies enthaltenen Informationen) sind nicht per se als personenbezogene oder nicht-personenbezogene Daten nach Art. 4 Z 1 DSGVO zu qualifizieren.

Es kommt immer auf die Umstände des Einzelfalls an, insbesondere, welche Informationen in den Cookies enthalten sind und auf welche Weise diese Informationen miteinander kombiniert werden können.

Beispiel: Eine Website wird in fünf verschiedenen Sprachversionen angeboten. Beim erstmaligen Aufruf der Website wählen Sie die Sprachversion „Deutsch“ aus. Auf Ihrem Endgerät wird nun eine Textdatei (ein „Cookie“) samt der Information hinterlegt, dass Sie die Website in der deutschen Sprache verwenden wollen. Sofern diese Information (also Ihre Auswahl zur Spracheinstellung Deutsch) nicht mit Ihnen in Verbindung gebracht werden kann, handelt es sich um ein nicht-personenbezogenes Datum. Sofern der Website-Betreiber Ihre Spracheinstellung mit Ihnen in Verbindung bringen kann, zum Beispiel, weil Sie sich im Online-Shop der Website registrieren, handelt es sich um ein personenbezogenes Datum.

Es kann sein, dass Cookies auch sogenannte Universally Unique Identifier (UUID) beinhalten. Dabei handelt es sich vereinfacht gesagt um nutzerspezifische Identifikatoren, mit denen Endgeräte von Benutzern markiert werden. Die DSGVO spricht gemäß Erwägungsgrund 30 auch von Online-Kennungen.

Zwar handelt es sich bei einer solchen Online-Kennung grundsätzlich nur um eine Markierung eines Endgeräts. Es gibt jedoch viele Mittel und Wege, ein Endgerät mit einer konkreten Person in Verbindung zu bringen, zum Beispiel, wenn sich eine Person auf der jeweiligen Website registriert oder ein Kontaktformular ausfüllt.

In manchen Fällen kann eine derartige Online-Kennung samt dazugehörigen Nutzerinformationen auch mit einem Profil auf einer Social Media Plattform in Verbindung gebracht werden (siehe dazu den Bescheid der DSB vom 22. Dezember 2021, GZ D155.027, 2021-0.586.257, nicht rechtsrkäftig).

Nur Cookies, die personenbezogene Daten verarbeiten, sind datenschutzrechtlich relevant.

Technisch notwendige Cookies:

Zusammengefasst kann gesagt werden, dass Cookies beim Aufruf einer Website nur dann ohne Einwilligung gesetzt oder ausgelesen werden dürfen, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Nutzer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann („technisch notwendige Cookies“).

Für den Einsatz von „technisch notwendigen Cookies“ muss keine Einwilligung der Website-Besucher eingeholt werden (in so einem Fall ist ein Cookie-Banner daher nicht notwendig).

Weder die Richtlinie 2002/58/EG noch das TKG 2021 enthalten eine Aufzählung, was unter „technisch notwendigen Cookies“ konkret zu verstehen ist. Allerdings enthält die Opinion 04/2012 on Cookie Consent Exemption, WP 194, 00879/12/EN der ehemaligen Art. 29 Gruppe Kriterien zur Beurteilung, ob Cookies iSd Art. 5 Abs. 3 der Richtlinie 2002/58/EG idgF aus technischer Sicht notwendig sind. Die Datenschutzbehörde empfiehlt, die Empfehlungen der ehemaligen Art. 29 WP im Zweifelsfall heranzuziehen.

Aus Sicht der Datenschutzbehörde sind folgende Dienste aus technischer Sicht notwendig (und können daher entsprechende Cookies ohne Einwilligung gesetzt werden):

  1. notwendige Sitzungsverwaltung (etwa Cookies zum Speichern des Warenkorbs im Rahmen eines Onlinekaufs oder Cookies zum Speichern des Login Status),
  2. Eingaben bei einem Online-Formular, wenn zum Abschicken des Formulars eine Eingabe über mehrere Unterseiten einer Website notwendig ist oder
  3. die Information über den Einwilligungsstatus, sofern hierfür keine eindeutige Online-Kennung vergeben wird.

Aus technischer Sicht nicht notwendig (und daher einwilligungsbedürftig) sind insbesondere jene Dienste, die das Nutzerverhalten von Personen auf der jeweiligen Website oder über mehrere Websites oder Endgeräte aufzeichnen und auswerten. Hierzu zählen aus Sicht der Datenschutzbehörde insbesondere Plugins von Social Media Diensten oder Werbenetzwerken, deren Implementierung zur Folge hat, dass personenbezogene Daten der Website-Besucher an Dritte übermittelt werden.

Nach Judikatur der DSB und des BVwG ist Art. 5 Abs. 3 der Richtlinie 2002/58/EG idgF auch nicht im Sinne einer „wirtschaftlichen Notwendigkeit“ zu interpretieren“. Dies bedeutet, dass Werbe-Cookies zum Ausspielen von personalisierter Werbung nicht „technisch notwendig“ werden, bloß weil das Ausspielen von personalisierter Werbung zur Finanzierung des Betriebs der Website notwendig ist (siehe das Erkenntnis des BVwG vom 12. März 2019, GZ W214 2223400-1).

Einwilligung & Cookie-Banner:

Für alle „technisch nicht notwendigen Cookies“ muss eine Einwilligung eingeholt werden. Beim Bau einer Website ist dringend darauf zu achten, dass keine „technisch nicht notwendigen Cookies“ vor dem Einholen einer Einwilligung gesetzt werden.

Die Bedingungen für eine solche Einwilligung bei technisch nicht notwendigen Cookies richten sich nach Art. 4 Z 11 und Art. 7 DSGVO (siehe den Bescheid der DSB vom 30. November 2018, GZ DSB-D122.931/0003-DSB/2018).

Grundsätzlich steht es dem Website-Betreiber offen, den Cookie-Banner nach seinen Vorstellungen zu gestalten. Zu beachten gilt jedoch, dass sich die Bedingungen für die Einwilligung nach Art. 4 Z 11 und Art. 7 DSGVO richten.

Eine Einwilligung für das Setzen und Auslesen von „technisch nicht notwendigen“ Cookies sowie für die darauffolgende Datenverarbeitung ist daher nur wirksam, wenn die entsprechenden Vorgaben der DSGVO vollständig eingehalten werden.

Nach Ansicht der Datenschutzbehörde ist bei der Gestaltung eines Cookie-Banners daher jedenfalls Folgendes zu beachten:

1. Erst Einwilligung, dann Cookies
Die Einwilligung ist vorab einzuholen. Beim Bau einer Website ist dringend darauf zu achten, dass keine „technisch nicht notwendigen Cookies“ vor dem Einholen einer Einwilligung gesetzt werden.
2. Bewusstsein der betroffenen Person
Der betroffenen Person muss klar sein, dass sie eine Einwilligung abgibt. Ein Weitersurfen ohne Interaktion mit dem Cookie-Banner oder ein „versteckter Einwilligungsbutton“, der irrtümlich ausgewählt wird, kann nicht als unmissverständliche Einwilligung gewertet werden. Ebenso wenig kann von einer Einwilligung ausgegangen werden, bloß, weil eine betroffene Person das Setzen oder Auslesen von Cookies in den Browsereinstellungen grundsätzlich zulässt.
3. Privacy by Default
Die betroffene Person muss sich proaktiv für die Einwilligung entscheiden. Voreinstellungen oder vorangekreuzte Boxen im Cookie-Banner sind unzulässig.
4. Freiwilligkeit
Die Einwilligung muss freiwillig erfolgen. Der betroffenen Person dürfen keine Nachteile angedroht werden und sie darf keine Nachteile erleiden, wenn sie keine Einwilligung abgibt. Grundsätzlich ist es unzulässig, der betroffenen Person den Zugang zur Website im Falle der Nichtabgabe der Einwilligung zu verweigern.
5. Widerrufsmöglichkeit
Im Cookie-Banner muss klar und deutlich beschrieben werden, wo bzw. wie die Einwilligung widerrufen werden kann. Der Widerruf muss so einfach sein wie die Erteilung der Einwilligung.
6. Erfüllung der Informationspflicht
Der betroffenen Person, muss klar sein, wofür die Einwilligung abgegeben wird. Dies setzt voraus, dass die Informationspflichten vollständig erfüllt werden.
7. Nichtabgabe einer Einwilligung ist so einfach wie die Abgabe der Einwilligung
Die Nichtabgabe einer Einwilligung (bzw. das Weitersurfen ohne Einwilligung) muss genauso einfach sein wie die Abgabe der Einwilligung. Mit anderen Worten: Für die Nichtabgabe einer Einwilligung dürfen nicht mehr Interaktionen mit dem Cookie-Banner notwendig sein, als für die Abgabe der Einwilligung. Von der betroffenen Person kann nicht verlangt werden, dass sie auf einer Schaltfläche erst auf einer zweiten oder dritten Ebene die Entscheidung treffen kann, keine Einwilligung abzugeben.
8. keine unfairen Praktiken
Die betroffene Person darf weder unmittelbar noch subtil zur Abgabe einer Einwilligung gedrängt werden (kein „nudging“). Es ist unzulässig, den Button zur Nichtabgabe einer Einwilligung (bzw. zum Weitersurfen ohne Einwilligung) derart zu gestalten oder zu positionieren, dass dieser Button weniger prominent ist als der Button zur Abgabe einer Einwilligung.

Es kann keine allgemeingültige Aussage darüber getroffen werden, welche Farben ein Button innerhalb eines Cookie-Banners haben muss. Maßstab für die Gültigkeit einer Einwilligung ist u.a., dass keine unfairen Praktiken verwendet werden. Es kommt daher auf eine Einzelfallbeurteilung an.

Wenn die Farbauswahl dazu führt, dass der Button zur Nichtabgabe einer Einwilligung (bzw. zum Weitersurfen ohne Einwilligung) weniger gut sichtbar ist als der Button zur Abgabe einer Einwilligung, könnte dies zur Ungültigkeit der Einwilligungserklärung führen.

Beispiel: Ein Cookie-Banner hat einen weißen Hintergrund. Der Button zur Abgabe einer Einwilligung ist rot, der Button zur Nichtabgabe einer Einwilligung (bzw. zum Weitersurfen ohne Einwilligung) ist weiß. Da der erste Button (rot) auf dem weißen Hintergrund gut sichtbar ist, der zweite Button (ebenso weiß) jedoch kaum wahrgenommen werden kann, kann von keiner gültigen Einwilligungserklärung ausgegangen werden. Die betroffene Person hatte nämlich keine zwei gleichwertigen Optionen bei ihrer Entscheidung.

Grundsätzlich können Standards der Werbebranche oder „Cookie Consent Tools“ verwendet werden, sofern hierbei die datenschutzrechtlichen Bestimmungen (insbesondere der DSGVO) vollständig eingehalten werden. Die Datenschutzbehörde rät jedoch dringend davon ab, derartige Standards oder Tools unhinterfragt zu verwenden. Nur weil diese im Internet angeboten werden, bedeutet dies nicht automatisch, dass eine Konformität mit den datenschutzrechtlichen Bestimmungen gegeben ist. Konsultieren Sie im Zweifel einen Rechtsberater Ihres Vertrauens.

„Pay or Okay“ & Paywall:

Grundsätzlich ist zwischen „Paywall“ und „Cookiewall“ zu unterscheiden.

Bei einer „Paywall“ wird ein Nutzer beim Besuch der Website aufgefordert, für den Zutritt zur Website Geld zu bezahlen. Dies hat grundsätzlich nichts mit Cookies zutun und ist zulässig, da ein jeder Website-Betreiber darüber entscheiden kann, ob der Zugang zum Inhalt seiner Website entgeltlich ist.

Davon zu unterscheiden ist wiederum die „Cookiewall“. Bei einer „Cookiewall“ kann man für den Zutritt zur Website entweder Geld bezahlen, alternativ kann die Einwilligung für den Einsatz von Cookies (üblicherweise Werbe-Cookies zum Ausspielen von personalisierter Werbung) abgegeben werden. Umgangssprachlich bezeichnet man dies auch als „pay or okay“.

Die Datenschutzbehörde hat bereits ausgesprochen, dass „pay or okay“ dem Grunde nach zulässig ist und ein Bezahlen für den Zugang zu einer Website eine Alternative zur Einwilligung darstellen kann (siehe den Bescheid der DSB vom 20. August 2019, GZ DSB-D122.974/0001-DSB/2019).

Für diese Entscheidung der Datenschutzbehörde spricht, dass offenbar auch der europäische Gesetzgeber davon ausgeht, dass personenbezogene Daten – zumindest im gewissen Ausmaß – für den Erhalt einer Leistung bereitgestellt werden können (siehe die Richtlinie (EU) 2019/770 idgF). Es ist jedoch ausdrücklich festzuhalten, dass dies die aktuelle Ansicht der Datenschutzbehörde darstellt und zu dieser Frage keine Judikatur des Europäischen Gerichtshofs vorhanden ist.

Nach Ansicht der Datenschutzbehörde müssen beim Einsatz von „pay or okay“ jedoch zumindest folgende Punkte beachtet werden:

  1. die vollständige Einhaltung aller datenschutzrechtlichen Bestimmungen (insbesondere der DSGVO) für jene Datenverarbeitung, die aufgrund der Einwilligung („okay“) erfolgt,
  2. es handelt sich um keine Behörden oder sonstige öffentliche Stellen,
  3. keine Exklusivität in Bezug auf die angebotenen Inhalte oder Dienstleistungen, d.h. Unternehmen mit einem ausdrücklich öffentlichen (Versorgungs-) Auftrag oder Universaldienstleister können „pay or okay“ nicht zulässigerweise verwenden,
  4. keine Monopol- oder Quasi-Monopolstellung des Unternehmens am Markt,
  5. ein angemessener und fairer Preis für die Bezahlalternative („pay“), d.h. die Bezahlalternative darf nicht pro forma zu einem völlig unrealistisch hohen Preis angeboten werden und
  6. wenn sich ein Nutzer mithilfe der Bezahlalternative Zugang zur Website verschafft, so dürfen diesfalls keine personenbezogenen Daten zum Zwecke der personalisierten Werbung verarbeitet werden.

Informations- & Aufklärungspflichten:

Hinsichtlich der Informationspflicht für das Setzen und Auslesen von „technisch nicht notwendigen“ Cookies gilt zu beachten, dass diese Informationspflicht jedenfalls für „technisch nicht notwendige“ Cookies nach Judikatur des Europäischen Gerichtshofs stets gilt und es nicht darauf ankommt, ob es sich bei den Cookies um personenbezogene oder nicht-personenbezogene Daten handelt (siehe das Urteil des EuGH vom 1. Oktober 2019, C‑673/17 Rz 69 ff).

Sofern als Folge des Setzens oder Auslesens von Cookies jedoch personenbezogene Daten verarbeitet werden, besteht zusätzlich auch die Informationspflicht gemäß Art. 13 f DSGVO.

Besteht eine solche Informationspflicht gilt Folgendes:

Oft muss eine große Menge an Informationen zur Verfügung gestellt werden. Im digitalen Bereich, also zum Beispiel auf einer Website, kann daher der sogenannte „Mehrebenen-Ansatz“ verfolgt werden (siehe dazu die Leitlinien für Transparenz gemäß der Verordnung 2016/679 der ehemaligen Art. 29 WP, 17/DE, WP 260 rev.01 S. 23 ff).

Vereinfach gesagt können auf der ersten Ebene, also im Cookie-Banner, die grundlegenden Informationen zur Verfügung gestellt werden. Im Cookie-Banner ist ein Link zur Datenschutzerklärung einzufügen. In dieser Datenschutzerklärung werden auf zweiter Ebene dann die Informationen vollständig zur Verfügung gestellt.

Auf der ersten Ebene sollten nach Ansicht der Datenschutzbehörde jedenfalls folgende grundlegende Informationen zur Verfügung gestellt werden:

  1. die Identität des Verantwortlichen,
  2. eine genaue Beschreibung der Verarbeitungszwecke,
  3. die Rechtsgrundlage der Datenverarbeitung (d.h. die Einwilligung),
  4. der Hinweis darauf, dass die Einwilligung jederzeit und ohne Angabe eines Grunds widerrufen werden kann, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird und
  5. wie bzw. wo die Einwilligung widerrufen werden kann.

Verantwortlichkeit:

Wenn Sie als Website-Betreiber die Entscheidung treffen, dass Cookies oder sonstige Dienste auf Ihrer Website zum Einsatz kommen, so sind Sie aus datenschutzrechtlicher Sicht für diese Datenverarbeitung (zumindest im gewissen Ausmaß) gemäß Art. 4 Z 7 DSGVO als Verantwortlicher oder gemeinsam Verantwortlicher nach Art. 26 DSGVO zu qualifizieren. Voraussetzung ist nur, dass personenbezogene Daten verarbeitet werden.

Hierbei spielt es keine Rolle, ob die Cookies auf Ihrer Website vom Webserver an den Browser des Website-Besuchers gesendet werden oder ob sie bloß Java-Script Code auf Ihrer Website einbauen, die im Browser des Website-Besuchers Cookies erzeugen.

Ebenso spielt es keine Rolle, ob Sie Zugang zu den personenbezogenen Daten haben, also zum Beispiel zu dem seitens des Werbenetzwerks erstellten Interessenprofils des Website-Besuchers (siehe das Urteil des EuGH vom 10. Juli 2018, C‑25/17 Rz 69).

Wenn Sie aus Eigeninteresse Cookies oder sonstige Dienste auf Ihrer Website einbauen (zum Beispiel um durch Ausspielen personalisierter Werbung Geld zu verdienen) und hierbei personenbezogene Daten verarbeitet werden, sind Sie nach Ansicht der Datenschutzbehörde (zumindest im gewissen Ausmaß) datenschutzrechtlicher Verantwortlicher.

Möglichkeiten:

Auf nationaler Ebene obliegt der Vollzug eines Verstoßes den Fernmeldebehörden.

Eine Zuständigkeit der Datenschutzbehörde kann aber dennoch gegeben sein, wenn als Folge des Einsatzes von Cookies personenbezogene Daten verarbeitet werden.

Beispiel: Eine Website setzt Tracking-Cookies zum Zweck der personalisierten Werbung ohne Einwilligung und Information der Website-Besucher ein. Da Tracking-Cookies keine „technisch notwendigen Cookies“ sind, liegt für den Einsatz der Tracking-Cookies ein Verstoß gegen § 165 Abs. 3 TKG 2021 vor. Sofern als Folge des unzulässigen Einsatzes der Tracking-Cookies auch personenbezogene Daten in Form von Online-Kennungen verarbeitet und insbesondere ein Profil zum Ausspielen von personalisierter Werbung erstellt wird, kann für diese Folgeverarbeitung eine Beschwerde bei der Datenschutzbehörde eingebracht werden.

Es wird empfohlen, im Rahmen einer derartigen Beschwerde folgende Informationen an die Datenschutzbehörde zu übermitteln:

  • Um welche Website handelt es sich (Angabe der Website-Adresse)?
  • Wann konkret (Datum, Uhrzeit) haben Sie die beschwerdegegenständliche Website besucht?
  • Haben Sie eine Einwilligung abgegeben (zB. auf den Button „Cookies akzeptieren“ geklickt)?
  • Haben Sie die beschwerdegegenständliche Website zwischenzeitig öfter besucht?

Sofern Sie technische Expertise besitzen, können Sie zusätzlich zur Beschwerde auch eine Liste oder einen Screenshot mit jenen Cookies übermitteln, die am Endgerät gesetzt wurden. Zur Erstellung einer solchen Liste können Sie zum Beispiel den WebsiteEvidenceCollector des Europäischen Datenschutzbeauftragten verwenden. Die Übermittlung einer solchen Liste oder eines Screenshots ist zur Beschwerdeeingabe aber nicht erforderlich.

Rechtliche Grundlage:

Die Zulässigkeit für das Setzen oder Auslesen von Cookies ist grundsätzlich in Art. 5 Abs. 3 der Richtlinie 2002/58/EG idgF geregelt, welcher auf nationaler Ebene in § 165 Abs. 3 TKG 2021 umgesetzt wurde.

GPS-Tracker

Definition:

Mit GPS-Tracker ist es möglich Personen oder Dinge zu lokalisieren und deren Bewegungen zu verfolgen. Sie werden in der Praxis häufig zur Führung eines elektronischen Fahrtenbuchs verwendet.

Zulässigkeit:

Da der Trackende in der Regel die Zusatzinformation besitzen wird, wen oder was das GPS-Ortungssystem trackt, handelt es sich im Regelfall um personenbezogene Daten.

Zur Prüfung der Zulässigkeit wird im Regelfall eine Interessensabwägung durchzuführen sein.

Elektronisches Fahrtenbuch:

Im Rahmen eines elektronischen Fahrtenbuchs hat der Trackende regelmäßig das berechtigte Interesse, den Nachweis der Erfüllung seiner steuerrechtlichen Verpflichtungen automatisiert zu erfüllen. Zwar könnte dieser Nachweis auch in Form eines manuellen (also handgeschriebenen) Fahrtenbuchs erbracht werden. Dies stellt regelmäßig aber kein gelinderes Mittel dar, da das Interesse des Trackenden gerade in der Automatisierung seiner betrieblichen Prozesse liegt, was im Endergebnis Ressourcen für anderweitige Tätigkeiten schafft.

Demgegenüber stehen die Interessen des Betroffenen. Diese Interessen sind miteinander abzuwiegen. Insbesondere die Kenntnis der Ortung, die arbeitsrechtliche Einwilligung des Betriebsrats oder – wenn es keinen Betriebsrat gibt – des Betroffenen, werden dabei wesentlich zu berücksichtigen sein. Ebenso wird bei der Interessensabwägung einzubeziehen sein, ob der Datenzugriff auf das unbedingt erforderliche Maß beschränkt ist.

Möglichkeiten:

Ist die Nutzung eines GPS-Trackers unzulässig, so ist eine Beschwerde bei der Datenschutzbehörde wegen einer Verletzung im Recht auf Geheimhaltung denkbar.

Justiz

Gem. Art. 55 Abs. 3 DSGVO sind die Aufsichtsbehörden nicht für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig.

Nach der Rechtsprechung der Datenschutzbehörde liegt eine Tätigkeit eines Gerichts im Rahmen der justiziellen Tätigkeit vor, wenn sich ein Richter in Ausübung des richterlichen Amtes befindet (z.B. im Rahmen von Hauptverhandlungen und Tagsatzungen) oder ein Richter oder ein Staatsanwalt sonst in Besorgung der übertragenen Amtsgeschäfte weisungsfrei gestellt ist (siehe auch das Urteil des EuGH vom 24. März 2022, C-245/20).  

Nicht unter die justiziellen Tätigkeiten fallen bspw. die Führung des Grundbuchs oder Firmenbuchs, für welche daher die Datenschutzbehörde zuständig ist.

Die Datenschutzbehörde ist dafür zuständig, die Datenverarbeitung durch die Staatsanwaltschaften zu kontrollieren.

Sonstige Einzelfälle

ORF-Beitrag (vormals: GIS-Rundfunkgebühren)

Allgemeines:

Die GIS Gebühren Info Service GmbH (GIS) wurde gemäß § 21 Abs. 1 ORF-Beitrags-Gesetz 2024 in ORF-Beitrags Service GmbH (OBS) umbenannt.

Der OBS obliegt gemäß § 10 ORF-Beitrags-Gesetz 2024 die Aufgabe, den ORF-Beitrag zu erheben sowie die Beitragsschuldner zu ermitteln. Beim ORF-Beitrag handelt es sich vereinfacht gesagt um ein Bündel gesetzlich geregelter Zahlungsverpflichtungen. Anders als nach der alten Rechtslage kommt es nicht mehr darauf an, ob ein Rundfunkempfangsgerät bereitgehalten wird.

Der ORF-Beitrag ist kein vertragliches Abo-Entgelt für den Empfang der Programme des öffentlich-rechtlichen Österreichischen Rundfunks (ORF). Man kann den ORF-Empfang oder den ORF-Beitrag daher auch nicht „kündigen“.

Zulässigkeit:

Der OBS ist nach Maßgabe des § 13 ORF-Beitrags-Gesetz 2024 ein privilegierter Zugang zu den Daten der Meldebehörden eingeräumt. Sie erhält dazu Daten aus den Melderegistern. Die OBS ist darüber hinaus berechtigt, jedenfalls die in § 9 Abs. 2 ORF-Beitrags-Gesetzes 2024 angeführten Datenkategorien sowie die entsprechenden Meldedaten zu verarbeiten.

Bitte beachten Sie, dass eine Beschwerde bei der Datenschutzbehörde nicht zur Befreiung vom ORF-Beitrag führen kann. Die Datenschutzbehörde kann im Rahmen einer Datenschutzbeschwerde nur über eine behauptete Verletzung datenschutzrechtlicher Bestimmungen absprechen. Eine Befreiung von der ORF-Beitragspflicht ist nur nach Maßgabe des § 4a ORF-Beitrags-Gesetzes 2024 möglich.

Sonstige Verpflichtungen für Unternehmer

Pflicht zur Benennung eines Datenschutzbeauftragten

Unter bestimmten Umständen müssen Verantwortliche und Auftragsverarbeite einen Datenschutzbeauftragten bestellen, dessen Aufgabe darin besteht, den Verantwortlichen bzw. den Auftragsverarbeiter zu beraten, die Einhaltung der Datenschutzvorschriften zu überwachen und mit der Aufsichtsbehörde zusammenzuarbeiten (Art. 37-39 DSGVO).

Der Verantwortliche und der Auftragsverarbeiter müssen einen Datenschutzbeauftragten benennen, wenn

  1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder
  3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht.

Die Artikel-29-Datenschutzgruppe hat dazu eine Leitlinie verfasst: Leitlinien in Bezug auf Datenschutzbeauftragte. Die Leitlinie ist nicht verbindlich, aber als Hilfsmittel geeignet.

Meldung an die Datenschutzbehörde
Datenschutzbeauftragte können der österreichischen Datenschutzbehörde formlos mittels E-Mail an das elektronische Postfach dsb@dsb.gv.at oder postalisch an die Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, gemeldet werden.

Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung

Wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, so hat der Verantwortliche vorab eine Datenschutz-Folgenabschätzung durchzuführen.

Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:

  1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen,
  2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrischen Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten oder
  3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Die Datenschutz-Folgenabschätzung enthält zumindest Folgendes:

  1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen,
  2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
  3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
  4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

Wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte ist die Datenschutzbehörde zu konsultieren, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. Die Datenschutzbehörde kann schriftliche Empfehlungen aussprechen.

Wenn die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, können die Verantwortlichen mit österreichischem Recht verpflichtet werden, die Datenschutzbehörde zu konsultieren und deren vorherige Genehmigung einzuholen.

Für bereits existierende Verarbeitungsvorgänge (Datenanwendungen) ist grundsätzlich keine Datenschutz-Folgenabschätzung durchzuführen, wenn diese Verarbeitungsvorgänge durch die Datenschutzbehörde bereits zu einem früheren Zeitpunkt im Zuge einer DVR-Registrierung im Rahmen eines Vorabkontrollverfahrens gemäß § 18 Datenschutzgesetz 2000 (DSG 2000) genehmigt wurden. Bei der automatischen Registrierung über DVR-Online oder in Fällen, in denen die Datenschutzbehörde eine Datenanwendung registriert hat, jedoch kein Fall der Vorabkontrolle vorgelegen ist - das betrifft nichtvorabkontrollpflichtige Meldungen vor dem 1. September 2012 - kommt dies hingegen nicht in Betracht. Die Details dazu finden Sie in der Datenschutz-Folgenabschätzung-Ausnahmenverordnung (DSFA-AV),

Kommt es jedoch zu einer Änderung bestehender Verarbeitungsvorgänge, ist sehr wohl eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Voraussetzungen des Art. 35 Abs. 1 DSGVO zutreffen.

Die Datenschutz-Folgenabschätzung-Ausnahmenverordnung enthält auch noch andere Bereiche, für die keine Datenschutz-Folgenabschätzung erforderlich ist.

Die Artikel-29-Datenschutzgruppe hat dazu eine Leitlinie verfasst: Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 "wahrscheinlich ein hohes Risiko mit sich bringt". Die Leitlinie ist nicht verbindlich, aber als Hilfsmittel geeignet.

Datenübermittlung & Standardvertragsklauseln

Wenn personenbezogene Daten von einem im EWR-ansässigen Verantwortlichen oder Auftragsverarbeiter an einen Empfänger in einem Drittland oder an eine internationale Organisation (Art. 4 Z 26 DSGVO) weitergegeben werden sollen, muss eine der Bedingungen des Kapitels V der DSGVO erfüllt sein.

Wenn Sie sich eines Auftragsverarbeiters in einem Drittstaat bedienen, müssen Sie grundsätzlich eine Vereinbarung gemäß Art. 28 Abs. 3 DSGVO abschließen und darüber hinaus im Einklang mit Kapitel V DSGVO ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten garantieren. Dies gilt auch bei allfälligen Weiterübermittlungsketten durch Ihren Auftragsverarbeiter.

Der praktisch wichtigste Fall sind – neben den von der Europäischen Kommission erlassenen Angemessenheitsbeschlüssen – die „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates“.

Auf Basis dieser modularen Standardvertragsklauseln können Sie die Übermittlung von personenbezogenen Daten in einen Drittstaat gemäß Art. 46 Abs. 2 lit. c DSGVO vornehmen. Es kann jedoch erforderlich sein, dass neben der Verwendung von Standardvertragsklauseln zusätzliche Maßnahmen (EuGH 16. Juli 2020, C‑311/18) getroffen werden müssen (bspw. auf technischer oder organisatorischer Ebene), um ein der Sache nach gleichwertiges Schutzniveau sicherzustellen (siehe dazu Europäischer Datenschutzausschuss, Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, abrufbar auf der Webseite des Europäischen Datenschutzausschusses). Die Sicherstellung eines der Sache nach gleichwertigen Schutzniveaus ist im Rahmen der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nachzuweisen.

Eine Liste der aktuell geltenden Angemessenheitsbeschlüsse ist abrufbar auf der Webseite der Europäischen Kommission.