Liebe Leserinnen und Leser!

Datenverarbeitung zur Auszahlung des Klimabonus

Dr. Andreas Zavadil

Mit Bescheid vom 12. Dezember 2022, GZ: 2022-0.867.171, setzte sich die Datenschutzbehörde mit der Frage auseinander, ob personenbezogene Daten im Rahmen der Auszahlung des „Klimabonus 2022“ rechtmäßig verarbeitet wurden.
Der Beschwerdeführer richtete seine Beschwerde gegen das Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz (BMSGPK) und behauptete eine Verletzung im Grundrecht auf Geheimhaltung nach § 1 Abs. 1 Datenschutzgesetz (DSG). Es wurde ins Treffen geführt, dass das BMSGPK keine ausdrückliche gesetzliche Grundlage habe, einen Auftragsverarbeiter des privaten Bereichs für die Auszahlung des „Klimabonus 2022“ heranzuziehen und dass die Übermittlung seiner Daten (Name und Bankkonto) an den vermeintlichen Auftragsverarbeiter daher unrechtmäßig erfolgt sei.
Die Datenschutzbehörde sprach zunächst aus, dass sich die Ermächtigung des BMSGPK zur (unmittelbaren) Datenverarbeitung aus § 5 Abs. 1 und Abs. 2 Klimabonusgesetz (KliBG) ergibt. Das Determinierungsgebot ist nicht verletzt, da insbesondere der Zweck und die zu verarbeitenden Datenkategorien klar aus dem Gesetzeswortlaut erkennbar sind.
Darüber hinaus wurde ausgesprochen, dass Art. 4 Z 8 iVm Art. 28 Datenschutz-Grundverordnung (DSGVO) die Rechtsfigur des Auftragsverarbeiters vorsieht. Aus einer Zusammenschau dieser Normen sowie aus ErwGr 81 DSGVO ergibt sich, dass ein Auftragsverarbeiter die Datenverarbeitung im Namen des Verantwortlichen durchführt, dieser also der „verlängerte Arm“ des Verantwortlichen ist. Auch das Bundesverwaltungsgericht hat bereits ausgesprochen, dass die Auftragsverarbeitung als Teil der Verarbeitung durch den Verantwortlichen selbst zu sehen ist (vgl. das Erkenntnis vom 20. Oktober 2021, Zl. W211 2231475-1; vgl. auch die EDSA Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO in der Version 2.0, angenommen am 7. Juli 2021 Rz 80, wonach sich die Rechtmäßigkeit der Datenverarbeitung durch den Auftragsverarbeiter von der Tätigkeit des Verantwortlichen ableitet).
Für die Datenschutzbehörde war nicht maßgeblich, ob das KliBG die Heranziehung eines Auftragsverarbeiters vorsieht, da sich diese Möglichkeit bereits aus dem unmittelbar zur Anwendung kommenden Unionsrecht ergibt. Hierfür spricht auch der Wortlaut von Art. 28 Abs. 3 DSGVO, wonach eine Verarbeitung durch einen Auftragsverarbeiter auf „[…] der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet […]“ zu erfolgen hat. Hierbei differenzieren weder Art. 28 Abs. 3 DSGVO noch § 1 Abs. 2 DSG zwischen Verantwortlichen des privaten und Verantwortlichen des öffentlichen Bereichs.
Der Unionsgesetzgeber lässt es daher ausdrücklich offen, ob ein Verantwortlicher einen Auftragsverarbeiter auf Grundlage eines Vertrags (sog. „Vereinbarung über die Auftragsverarbeitung“) oder auf Grundlage nationaler Gesetze heranzieht. Eine gesonderte Ermächtigung zur Heranziehung eines Auftragsverarbeiters auf nationaler Ebene ist demnach nicht erforderlich.
Voraussetzung für die zulässige Heranziehung eines Auftragsverarbeiters ist jedoch der Abschluss einer Vereinbarung gemäß Art. 28 Abs. 3 DSGVO. Im gegenständlichen Fall überprüfte die Datenschutzbehörde daher die Vereinbarung, die zwischen BMSGPK und dem privaten Unternehmen abgeschlossen wurde und kam zu dem Schluss, dass die (Mindest-)Anforderungen an eine solche Vereinbarung erfüllt wurden. Der Auftragsverarbeiter handelte zudem ausschließlich nach den Weisungen des BMSGPK.
Die genannte Vereinbarung wurde allerdings von der Akteneinsicht ausgenommen, da insbesondere die Weitergabe der Informationen über die getroffenen technischen und organisatorischen Maßnahmen ein Risiko für die gegenständliche Datenverarbeitung darstellt und mehrere Millionen Personen in Österreich von dieser Datenverarbeitung betroffen sind. Nach Ansicht der Datenschutzbehörde überwiegt dieses Risiko das Interesse des Beschwerdeführers auf Zugang zur Vereinbarung.
Im Ergebnis wurde ausgesprochen, dass im Rahmen der Datenverarbeitung nicht gegen das Grundrecht auf Geheimhaltung verstoßen wurde, weshalb die Beschwerde abzuweisen war. Dieser Bescheid ist nicht rechtskräftig.

EuGH C-693/22, Polnisches Vorabentscheidungsersuchen vom 3.11.2022

Mag. Michael Suda


In diesem Verfahren soll das Verhältnis zwischen den in der DSGVO festgelegten Beschränkungen der Verarbeitung personenbezogener Daten und dem Recht auf Veräußerung einer Datenbank nach der Richtlinie 96/9/EG geklärt werden. Da Kunden- bzw. Userdaten in der Digitalwirtschaft einen wichtigen Teil des (stillen) Unternehmenswerts bilden, ist diese Frage von weitreichender Bedeutung.
Ein Gläubiger der polnischen Gesellschaft NMW (Betreiberin der M-Online-Handelsplattform) hat versucht, eine Forderung nach einem erfolglosen Vollstreckungsversuch durch Haftungsklage gegen ein Vorstandsmitglied durchzusetzen. Der Beklagte hat dagegen eingewendet, dass eine Befriedigung im Vollstreckungsverfahren durch den Verkauf der Kundendatenbank der NMW möglich gewesen wäre. Dies sei nur wegen unbegründeter Bedenken des Gerichtsvollziehers hinsichtlich der Veräußerlichkeit der Datenbank unterblieben.
Beim vorlegenden polnischen Zivilgericht bestehen ebenfalls Zweifel, ob die Kundendatenbank der NMW Gegenstand der Zwangsvollstreckung durch Verkauf sein kann, da sie personenbezogene Daten von Hunderttausenden von Nutzern der M-Plattform enthält, die nicht in eine Übermittlung eingewilligt haben. Der Beklagte meint, dass die Übertragbarkeit der Datenbank, eines Vermögensrechts der NMW, durch die einschlägigen Bestimmungen des polnischen Datenbankschutzgesetzes (Umsetzung der Richtlinie 96/9/EG) gewährleistet sei.
Vorlagefrage: Ist Art. 5 Abs. 1 lit. a in Verbindung mit Art. 6 Abs. 1 lit. a, c und e sowie Abs. 3 DSGVO dahingehend auszulegen, dass er nationalen Rechtsvorschriften entgegensteht, die den Verkauf einer aus personenbezogenen Daten bestehenden Datenbank im Sinne von Art. 1 Abs. 2 der Richtlinie 96/9/EG im Rahmen eines Vollstreckungsverfahrens zulassen, wenn die jeweils betroffenen Personen einem solchen Verkauf nicht zugestimmt haben?

Bescheid vom 19.10.2022, D124.2941 (2022-0.360.359), Verarbeitung biometrischer Daten mittels Handvenenscanner; Videoüberwachung am Arbeitsplatz
Der Beschwerdeführer, als ehemaliger Mitarbeiter der Beschwerdegegnerin, erachtete sich im Recht auf Geheimhaltung verletzt, weil die Beschwerdegegnerin seine biometrischen Daten mittels eines Handvenenscanners verarbeitet und ihn mit Videoüberwachungskameras erfasst hat.
Die Beschwerdegegnerin betreibt ein Gastronomielokal in Wien. Sie verwendet dort einen Handvenenscanner, welcher mittels Infrarotlicht das Handvenenmuster der vor den Scanner gehaltenen Hand misst. Der Handvenenscanner wird verwendet, damit die Mitarbeiter der Beschwerdegegnerin in ihre arbeitsvertraglichen Dokumente Einsicht nehmen und ihre monatlichen Arbeitszeitaufzeichnungen kontrollieren und abzeichnen zu können.
Des Weiteren betreibt die Beschwerdegegnerin 29 Videoüberwachungskameras an diesem Standort. Zwei davon nehmen auch Bereiche der Küche auf, in welcher der Beschwerdeführer als Koch hauptsächlich tätig war.
Die Datenschutzbehörde gab der Beschwerde teilweise statt und stellte fest, dass die Beschwerdegegnerin den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt hat, indem sie seine biometrischen personenbezogenen Daten unrechtmäßig verarbeitet hat und ihn mit zwei Kameras in der Küche erfasst hat.
Die Beschwerdegegnerin stützte sich bei Verarbeitung der biometrischen Daten, welche als Daten besonderer Kategorie iSd Art. 9 DSGVO zu qualifizieren sind, auf den Ausnahmetatbestand des Art. 9 Abs. 2 lit. a DSGVO (Einwilligung).
Die Datenschutzbehörde hielt fest, dass die eingeholte Einwilligung jedoch nicht rechtskonform erteilt wurde.
So wurde schon im Arbeitsvertrag festgehalten, dass der Beschwerdeführer für die gesamte Zeit des bestehenden Arbeitsverhältnisses seine „ausdrückliche Zustimmung zur Einführung und Verwendung eines auf biometrischem Handflächenscanning beruhenden Systems für die Unterschriftsleistung für betriebliche Dokumente im Unternehmen“ erteilt hat.
Die Datenschutzbehörde kam zum Ergebnis, dass die später erfolgte Einwilligung am Terminal des Handvenenscanners vom Beschwerdeführer nicht freiwillig erteilt werden konnte und war die damit einhergehende Datenverarbeitung unrechtmäßig.
Der Beschwerde wurde auch hinsichtlich zweier in der Küche angebrachter Videoüberwachungskameras stattgegeben, da nach Ansicht der Datenschutzbehörde die Geheimhaltungsinteressen des Beschwerdeführers gegenüber den Interessen der Beschwerdegegnerin an der Aufklärung und Verhinderung von etwaigen Diebstählen und Einbrüchen und Beschädigungen bei der Anlieferung/Entsorgung überwiegen.
Dabei strich die Datenschutzbehörde heraus, dass es sich bei Bildverarbeitungen im Beschäftigungskontext um besonders intensive Privatrechtseingriffe handelt. Es war nicht erkennbar, weshalb zum Schutz der angegebenen Ziele die Küchenarbeitsbereiche, in welchen sich der Beschwerdeführer hauptsächlich zur Verrichtung seiner Arbeit aufhielt, von Videokameras erfasst werden müssen.
So wäre es etwa möglich, vereinzelt Kameras in jenen Räumen, in welchen sich wertvolle Güter befinden zu installieren und auf Flucht- und Entsorgungswege zu richten, um die von der Beschwerdegegnerin angeführten Zwecke zu verwirklichen.
Der Beschwerdegegnerin wurde der Betrieb der beiden Videoüberwachungskameras untersagt und darüber hinaus aufgetragen, ihre Videoüberwachungsanlage iSd Art. 13 DSGVO geeignet zu kennzeichnen.

Zulässigkeit der Kontrolle von E-Mail-Protokollen
Mit Bescheid vom 7. Dezember 2022, GZ: 2022-0.737.249 hat sich die Datenschutzbehörde mit der Frage auseinandergesetzt, ob die Kontrolle von E-Mail-Protokollen von MitarbeiterInnen aus datenschutzrechtlicher Sicht zulässig ist.
Das Verfahren wurde auf Grund der Beschwerde dreier Angestellter gegen die Beschwerdegegnerin eingeleitet, welche eine Verletzung im Grundrecht auf Geheimhaltung nach § 1 Abs. 1 Datenschutzgesetz (DSG) behaupteten. Zusammengefasst wurde vorgebracht, dass die Beschwerdegegnerin – ohne Einwilligung und Kenntnis der Beschwerdeführer – die technischen Mail-Serverprotokolle aller 6.000 Angestellten auf eine spezifische Emfängerdomain überprüft habe. Anlass für diese Kontrollmaßahme sei der Verdacht einer Verletzung des Geschäftsgeheimnisses gewesen.
Die Datenschutzbehörde sprach im vorliegenden Fall aus, dass die Beschwerdegegnerin eine gesetzliche Grundlage benötigt, um eine solche Kontrollmaßahme durchzuführen. Eine hinreichend determinierte gesetzliche Grundlage für eine derartige Kontrollmaßnahme war im gegenständlichen Fall nicht ersichtlich.
Unter der Annahme, dass die Beschwerdegegnerin sich auf berechtigte Interessen iSd § 1 Abs. 2 DSG bzw. Art. 6 Abs. 1 lit. f DSGVO stützen könnte, würde eine solche Interessenabwägung gegen die Beschwerdegegnerin ausfallen. Die Datenschutzbehörde kam zu dem Ergebnis, dass die Kontrollmaßnahme, die erst sechs Monate nach dem anlassgebenden Vorfall stattgefunden hat, auf Grund des fehlenden zeitlichen Konnexes und der Aktualität nicht verhältnismäßig war. Im Rahmen der Interessenabwägung war auch als Faktor zu berücksichtigen, dass nach Ansicht der Datenschutzbehörde keine gültige Zustimmung des Betriebsrats vorhanden war.
Im Ergebnis wurde ausgesprochen, dass eine Verletzung im Recht auf Geheimhaltung vorliegt. Dieser Bescheid ist nicht rechtskräftig.

Datenverarbeitungen durch eine in Wien ansässige Botschaft eines Drittstaates
Im Bescheid vom 15. Dezember 2022, GZ: D124.1413/22, 2022-0.876.190, hatte sich die Datenschutzbehörde mit der Frage zu befassen, inwiefern vor der österreichischen Datenschutzbehörde eine Rechtsverletzung durch eine in Wien ansässige Botschaft eines Drittstaates geltend gemacht werden kann.
Die Datenschutzbehörde erwog bei ihrer Beurteilung ihre Zuständigkeit im Hoheitsgebiet der Republik Österreich gemäß Art. 55 Abs. 1 DSGVO und berücksichtigte hierbei, dass Botschaften nach dem modernen Völkerrecht nicht Exklaven eines anderen Staates sind, sondern territorial dem Empfangsstaat zugeordnet werden. Allerdings ergibt sich bereits aus der Ausnahme des Art. 55 Abs. 2 DSGVO die mangelnde Zuständigkeit der österreichischen Datenschutzbehörde gegenüber Datenverarbeitungen durch Behörden oder private Stellen anderer Mitgliedstaaten auf der Grundlage von Art. 6 Abs. 1 lit. c oder e DSGVO. Folglich muss dies auch für Behörden oder private Stellen gelten, deren Datenverarbeitungen einem Drittstaat zuzurechnen sind.
Zu beachten war überdies das Wiener Übereinkommen über diplomatische Beziehungen, welches sowohl von der Republik Österreich als auch dem betreffenden Drittstaat ratifiziert wurde. Gemäß dessen Art. 31 Abs. 1 genießen Diplomaten u.a. Immunität von der Verwaltungsgerichtsbarkeit des Empfangsstaates, auch wenn sie gemäß Art. 41 Abs. 1 verpflichtet sind, die Gesetze und andere Rechtsvorschriften des Empfangsstaates – sohin auch die DSGVO, die als unmittelbar anwendbarer Rechtsakt der Europäischen Union innerstaatlichen Gesetzen gleichgestellt ist – zu beachten. Kraft dieser völkerrechtlichen Regelung kann der von dem Drittstaat entsendete Botschafter bzw. die ihm unterstehende Mission daher von der österreichischen Datenschutzbehörde nicht belangt werden.
Im Ergebnis war die Beschwerde somit zurückzuweisen. Der Bescheid ist rechtskräftig.

BVwG-Erkenntnis vom 25.10.2022 (W256 2222862-1/27E)
Der Beschwerde eines KFZ-Halters gegen ein Straferkenntnis der Datenschutzbehörde aus dem Jahr 2019, in welchem eine Geldstrafe in der Höhe von € 500 wegen der rechtswidrigen Nutzung einer Dash-Cam verhängt wurde, wurde vom BVwG Folge gegeben und das Verwaltungsstrafverfahren eingestellt. Die Revision gemäß Art. 133 Abs. 4 B-VG wurde für nicht zulässig erklärt.
Das Gericht begründete seine Entscheidung damit, dass die Bildverarbeitung durch die verfahrensgegenständliche Dash-Cam aufgrund von Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen des Verantwortlichen) gerechtfertigt war, da im vorliegenden Sachverhalt eine Auswertung aufgrund eines Anlassfalles (Verkehrsdelikt) erfolgt ist und das Bildmaterial zur Ausforschung des Verursachers des Verkehrsunfalls herangezogen wurde. Dass bereits drei Minuten vor dem Anlassfall Bildmaterial aufgezeichnet wurde (bzw. dieses im verwendeten Ringspeicher nicht mehr überschrieben wurde), sah das Gericht als nicht unverhältnismäßig an. Dies auch, obwohl der Fahrer durch das Herausziehen der Speicherkarte die Überschreibung der Bilddaten nach eigenem Gutdünken gestoppt hatte.

Erkenntnis des BVwG vom 31.10.2022, GZ: W176 2248006-1/8E
Der Beschwerdeführer monierte im Anlassfall die Übermittlung eines Laborbefundes, somit von Daten iSd. Art. 9 DSGVO, durch ein Ambulatorium für Pilzerkrankungen an seine überweisende Fachärztin. Die Datenschutzbehörde sprach aus, dass die Weitergabe des Befunds aufgrund von Art. 9 Abs. 2 lit. h DSGVO gerechtfertigt war, zumal die Gesundheitsdaten iSv. Art. 9 Abs. 3 leg. cit. von Fachpersonal unter dessen Verantwortung verarbeitet wurden und das Fachpersonal einem Berufsgeheimnis unterliegt. Als Rechtsgrundlage wurde hierfür § 11b Abs. 2 MTD-G herangezogen.
Das Ambulatorium war demnach im Sinne eines Angehörigen von gehobenen medizinisch-technischen Diensten berechtigt, den Befund an die überweisende Fachärztin zu übermitteln, zumal zwischen ihr und dem Beschwerdeführer ein Behandlungsvertrag bestanden hat, welcher die Fachärztin zur medizinischen Behandlung des Beschwerdeführers verpflichtet hat, welche ohne genaue Kenntnis des Ergebnisses der Laboruntersuchung nicht möglich gewesen wäre.
Das BVwG bestätigte im Wesentlichen die Ausführungen der Datenschutzbehörde und führte zusammengefasst aus, dass die Datenweitergabe zum Zweck der medizinischen Diagnostik, Versorgung und Behandlung im Gesundheitsbereich aufgrund des zwischen dem Beschwerdeführer und der überweisenden Fachärztin sowie dem Ambulatorium abgeschlossenen Behandlungsvertrages erfolgt ist und erforderlich war, um die ärztliche Behandlungspflicht erfüllen zu können. Auf eine (im konkreten Fall nicht vorliegende) Einwilligung iSd. Art. 9 Abs. 2 lit. a DSGVO kommt es daher nicht an, da die Datenweitergabe auf Art. 9 Abs. 2 lit. h iVm. Abs. 3 DSGVO gestützt werden kann.

BVwG Erkenntnis vom 9.11.2022, GZ: W292 2256548-1/27E
In dieser Sache hat das BVwG der Bescheidbeschwerde der betroffenen Person (auch Beschwerdeführerin vor der DSB) gegen den Bescheid der DSB vom 14.4.2022, GZ: 2022-0.122.130 (Verfahrenszahl DSB-D124.4344) Folge gegeben und eine Verletzung im Recht auf Geheimhaltung durch eine Staatsanwaltschaft (StA) festgestellt. Anzuwenden war hier das 3. Hauptstück des DSG.
Die StA hatte im Zuge eines Verfahrens zur Verhängung der Untersuchungshaft Teile eines Ermittlungsaktes mit privaten (Kontakt-) Daten der Beschwerdeführerin an das Landesgericht (Haft- und Rechtschutzrichter) übermittelt. Dies teils ohne dass ein zwingender Grund bestanden hatte, diese Daten zum Akt zu nehmen, teils ohne geeignete Vorkehrungen zu treffen, um die Geheimhaltungsinteressen der Beschwerdeführerin, einer Justizwachebeamtin, zu wahren. Der Beschuldigte, der die Beschwerdeführerin während des Dienstes angegriffen und verletzt hatte, nahm bei Gericht Akteneinsicht und sprach anschließend Drohungen gegen sie aus.
Nach Ansicht der DSB war die durch die Akteneinsicht erfolgte Datenübermittlung nicht der StA als Verantwortlicher zuzurechnen.
Das BVwG sah die Verantwortlichenrolle der StA weiter gefasst. Aus § 74 Abs. 1 und 2 StPO iVm § 37 Abs. 1, 3 und 4 (insbesondere aus Z. 4) und § 38 DSG folge eine Verpflichtung der StA, nur notwendige Daten eines Opfers zum Akt zu nehmen und geeignete Vorkehrungen zu treffen, um dessen Geheimhaltungsinteressen auch für den Fall der Datenübermittlung durch Aktenvorlage an weitere Verantwortliche zu wahren. Die StA hatte erstmals bei Einbringung des Strafantrags gegen den Empfänger der Daten (nach der erfolgten Akteneinsicht) das Gericht darauf hingewiesen, dass der Akteninhalt personenbezogene Daten enthält, welche allenfalls von der Akteneinsicht auszunehmen wären. Die Daten wurden damit nicht rechtmäßig verarbeitet und dadurch das Geheimhaltungsrecht der Beschwerdeführerin verletzt.
Die StA hat gegen dieses Erkenntnis gemäß Art. 144 B-VG Beschwerde an den Verfassungsgerichtshof sowie außerordentliche Revision gemäß Art. 133 Abs. 6 Z 1 B-VG an den Verwaltungsgerichtshof erhoben und Unzuständigkeit der DSB und des BVwG geltend gemacht.

Schlussanträge von Generalanwalt Giovanni Pitruzzella in der Rechtssache C-487/21 vom 15.12.2022

Dr. Matthias Schmidl

Das Bundesverwaltungsgericht (BVwG) hat mit Beschluss ein anhängiges Beschwerdeverfahren ausgesetzt und dem Europäischen Gerichtshof (EuGH) insgesamt 4 Fragen zur Vorabentscheidung vorgelegt, die alle die Auslegung von Art. 15 Abs. 3 DSGVO, konkret den Begriff „Kopie“, betreffen.
Die Datenschutzbehörde ist als erstinstanzliche Behörde des Ausgangsverfahrens Verfahrenspartei dieses Vorabentscheidungsersuchens.
Der EuGH hat zunächst beschlossen, die Rechtssache ohne Durchführung einer mündlichen Verhandlung zu entscheiden.
Folglich folgten auf das schriftliche Verfahren, in welchem alle Parteien des Ausgangsverfahrens sowie Mitgliedstaaten und die Europäische Kommission Stellungnahmen abgeben konnten, unmittelbar die bereits erwähnten Schlussanträge.
Generalanwalt Pitruzzella analysiert in seinen Schlussanträgen Art. 15 Abs. 3 DSGVO zunächst ausgehend vom Wortlaut und dann aus systematisch und teleologischer Sicht.
Er kommt abschließend zum Ergebnis, dass der Begriff „Kopie“ in Art. 15 Abs. 3 DSGVO so auszulegen ist, dass
der Begriff „Kopie“ im Sinne dieser Bestimmung als eine getreue Wiedergabe der von der betroffenen Person angeforderten personenbezogenen Daten in verständlicher Form zu verstehen ist, in einem konkreten und dauerhaften Format, das es der betroffenen Person ermöglicht, das Recht auf Auskunft über ihre personenbezogenen Daten effektiv auszuüben, indem sie umfassende Kenntnis von allen ihren personenbezogenen Daten, die Gegenstand der Verarbeitung sind, hat – einschließlich der weiteren Daten, die nach der Verarbeitung möglicherweise erzeugt werden, wenn sie auch Gegenstand der Verarbeitung sind –, damit sie ihre Richtigkeit prüfen und sich vergewissern kann, dass die Verarbeitung ordnungsgemäß und rechtmäßig ist, um gegebenenfalls die ihr nach der DSGVO verliehenen zusätzlichen Rechte ausüben zu können; die genaue Form der Kopie bestimmt sich nach den Umständen des Einzelfalls und insbesondere nach der Art der personenbezogenen Daten, zu denen die Auskunft verlangt wird, und nach den Bedürfnissen der betroffenen Person;
diese Bestimmung der betroffenen Person kein allgemeines Recht verleiht auf teilweise oder vollständige Kopie des Dokuments, das die personenbezogenen Daten der betroffenen Person enthält, oder, wenn die personenbezogenen Daten in einer Datenbank verarbeitet werden, auf einen Auszug aus dieser Datenbank;
diese Bestimmung jedoch nicht ausschließt, dass Teile von Dokumenten oder ganze Dokumente oder Auszüge aus Datenbanken der betroffenen Person zur Verfügung gestellt werden müssen, wenn dies erforderlich ist, um die volle Verständlichkeit der personenbezogenen Daten, die Gegenstand der Verarbeitung sind und zu denen die Auskunft verlangt wird, zu gewährleisten.
Der Begriff „Informationen“ in Art. 15 Abs. 3 Satz 3 der Verordnung 2016/679
ist dahin auszulegen, dass
er sich ausschließlich auf die „Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“ nach Art. 15 Abs. 3 Satz 1 bezieht.
Mit einem Urteil ist üblicherweise 4 bis 6 Monate nach den Schlussanträgen zu rechnen.

Die DSB hat zu folgenden Gesetzesvorhaben eine Stellungnahme abgegeben:

• Verordnungen des BEV, Eichvorschriften für elektrische Tarifgeräte zur Messung von elektrischer Energie an Ladepunkten zum Betrieb von Elektrofahrzeugen
• Bundesgesetz über die Wiener Zeitung GmbH und Einrichtung einer elektronischen Verlautbarungs- und Informationsplattform des Bundes – WZEVI-Gesetz
• Entwurf einer Zweiten Transparenzdatenbank-Abfrageverordnung 2022
• Ausschussbegutachtung (285/AUA) - Wahlrechtsänderungsgesetz 2023
• Begutachtung Energieeffizienz-Reformgesetz 2023 (EEff-RefG 2023)

Folgende neue Mitarbeiterinnen und Mitarbeiter nahmen ihre Tätigkeit in der DSB auf:

Frau Elisabeth Pferschy studiert derzeit Rechtswissenschaften an der Karl Franzens Universität in Graz und unterstützt die juristischen Teams zur Führung der nationalen Verfahren.

Folgende Mitarbeiterinnen und Mitarbeiter beendeten ihre Tätigkeit in der DSB:

Frau Dr. Beatrice Blümel, LL.M., Herr Martin Broer LL.B. (WU), Herr Robert Hartmann, Frau Mag. Maria Loncsar, Herr Mag. Stephan Trenker