Newsletter im Browser anzeigen

Liebe Leserinnen und Leser!

Die DSB wünscht allen viel Freude beim Lesen!

Neue Leitung der Datenschutzbehörde

Mit Wirkung vom 1. Jänner 2024 wurden Dr. Matthias Schmidl zum Leiter und MMag. Elisabeth Wagner zur stellvertretenden Leiterin der Datenschutzbehörde (DSB) für eine Funktionsperiode von 5 Jahren bestellt.
Sowohl der neue Leiter als auch die stellvertretende Leiterin können auf eine langjährige Berufserfahrung in der DSB zurückblicken.
Bei der Eröffnungsrede des Jahresempfanges der DSB am 19.02.2024 hat der neue Leiter folgende Schwerpunkte der künftigen Arbeit der DSB skizziert:

1. Verstärkte Kooperation im Inland

Die fortschreitende Digitalisierung und deren Regulierung (DSGVO, DSA, DMA, NIS 2, KI-Gesetz etc.) macht es notwendig, dass die DSB mit anderen Aufsichts- und Regulierungsbehörden im Inland (BWB, KommAustria, e-control, RTR, FMA) enger zusammenarbeitet, um eine möglichst einheitliche Vorgangsweise zu gewährleisten. Diese Kooperation wurde bereits angestoßen und wird intensiviert werden. Wesentlich dabei ist, dass jede Behörde im Rahmen ihrer Zuständigkeiten tätig wird und kein „Fischen in fremden Teichen“ stattfindet.

2. Verstärkte grenzüberschreitende Kooperation

Die DSB wird verstärkt den Kontakt zu anderen Datenschutz-Aufsichtsbehörden, v.a. in den Nachbarstaaten, suchen und möchte die bilaterale Kooperation verstärken. Es zeigt sich, dass alle Aufsichtsbehörden mit ähnlichen Herausforderungen konfrontiert sind, sodass eine engere bilaterale Kooperation Vorteile bringt.
Abgesehen davon wird die DSB jedenfalls in einem Projekt die Datenschutzbehörde des Kosovo unterstützen, ein zweites Projekt – gemeinsam mit der kroatischen Aufsichtsbehörde – ist in Ausarbeitung. Ziel ist es, die Datenschutzbehörde des Kosovo bei der Umsetzung europäischer Datenschutzstandards zu unterstützen.

3. Verstärkung der Außenwirkung

Die DSB wird ihre Webseite rundumerneuern, damit Informationen – auch für Verantwortliche und Auftragsverarbeiter – leichter zu finden sind.
Gleichzeitig wird die DSB den Kontakt zu gesetzlichen und privaten Interessensvertretungen suchen und von ihrer Aufgabe der Sensibilisierung vermehrt Gebrauch machen.
Ziel ist es aber nicht, alle Fragen im Vorfeld zu beantworten, umfassend zu beraten oder die Anwendung von Abhilfebefugnissen zu verhindern. Ziel ist vielmehr, das Verständnis für die Notwendigkeit des Datenschutzes zu erhöhen und zu unterstreichen, dass Datenschutz kein lästiges Beiwerk ist, das den digitalen Fortschritt verhindert, sondern die fortschreitende Digitalisierung vielmehr flankierend absichert, damit die Digitalisierung ein „menschliches Antlitz“ bewahrt.

4. Informationsfreiheit

Das Informationsfreiheitsgesetz (IFG) und die korrespondierende Novelle des B-VG wurden bereits im Bundesgesetzblatt kundgemacht. Das Gesetzespaket wird am 1.09.2025 in Kraft treten. § 15 IFG sieht eine beratende Rolle der DSB vor.
Die DSB wird bis zum Inkrafttreten des IFG, insbesondere aber im Jahr 2025 den Fokus ihrer Tätigkeit auf die Umsetzung des IFG legen, Leitfäden erstellen und die erforderlichen Schulungen anbieten und durchführen.
Neben diesen Vorhaben wird die DSB weiterhin die ihr durch die DSGVO zugewiesenen Aufgaben, vor allem die Führung von Verfahren und damit die Gewährleistung des Rechtsschutzes, wahrnehmen und im Europäischen Datenschutzausschuss (EDSA) mitwirken.
Ende März 2024 wird der Datenschutzbericht für das Jahr 2023 vorgestellt werden, dem weitere Informationen zur Tätigkeit der DSB zu entnehmen sind.
Es ist der neuen Leitung der DSB ein Anliegen, die Qualität der bisherigen Arbeit der DSB fortzusetzen und wo nötig zu optimieren. Für konstruktive Rückmeldungen ist die DSB dankbar.

Im Fokus

Treffen der Datenschutzbehörde mit deutschen Aufsichtsbehörden

Mag. Marek Gerhalter, LL.M.

Im Rahmen des diesjährigen Jahresempfangs der Datenschutzbehörde fand am 19. und 20. Februar 2024 ein Treffen und ein Austausch mit dem deutschen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, sowie dem Bayerischen Landesbeauftragten für den Datenschutz (BayLfD), Prof. Thomas Petri, samt deren Delegationen statt.
Diesen beiden Aufsichtsbehörden kommt im innerdeutschen Gefüge aus nachfolgenden Gründen eine besondere Bedeutung zu:
Die datenschutzrechtliche Aufsicht in Deutschland ist föderal strukturiert und es bestehen – im Unterschied zu Österreich und anderen Mitgliedstaaten – in jedem Bundesland eigene Landesdatenschutzbehörden, welchen die Aufsicht und der Vollzug im Datenschutz obliegen. In Bayern sind zwei verschiedene Aufsichtsbehörden eingerichtet. Für die Aufsicht über Datenverarbeitungen im öffentlichen Bereich ist der Bayerische Landesbeauftragte für den Datenschutz, und für die Aufsicht über Datenverarbeitungen im nichtöffentlichen Bereich ist das Bayerische Landesamt für Datenschutzaufsicht zuständig.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist in Deutschland als oberste Bundesbehörde eingerichtet und für die Aufsicht über Datenverarbeitungen aller öffentlichen Stellen des Bundes zuständig. Ferner fungiert er als Berater des Deutschen Bundestages in datenschutzrechtlichen Fragen.
Die nationale Abstimmung erfolgt in Deutschland u.a. im Rahmen der Datenschutzkonferenz (DSK), welche aus den unabhängigen Datenschutzbehörden des Bundes und der Länder besteht. Dort erfolgt im Wesentlichen eine Verständigung auf gemeinsame Positionen mittels Entschließungen, Beschlüssen, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.
Im Europäischen Datenschutzausschuss, welchem Aufsichtsbehörden aller EU-Mitgliedstaaten sowie der Länder Island, Liechtenstein und Norwegen sowie der Europäische Datenschutzbeauftragte angehören, hat jedes Mitglied nur eine Stimme. Da in Deutschland mehrere Aufsichtsbehörden eingerichtet sind, ist gemäß § 17 dBDSG ein gemeinsamer Vertreter und eine zentrale Anlaufstelle eingerichtet. Diese Funktion kommt ex lege dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu.
Die Stellvertretung obliegt dem sog. Ländervertreter, dessen Hauptaufgabe insbesondere aus der Ermittlung und Abstimmung des innerdeutschen Standpunktes im Vorfeld der Plenarsitzungen des Europäischen Datenschutzausschusses besteht. Dem Ländervertreter obliegt die Abstimmung für Deutschland im Europäischen Datenschutzausschuss nicht nur im Verhinderungsfall des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Ihm sind in bestimmten wichtigen Angelegenheiten, welche die deutschen Bundesländer betreffen, auf Verlangen die Verhandlungsführung und das Stimmrecht im Europäischen Datenschutzausschuss zu übertragen. Der Ländervertreter wird vom deutschen Bundesrat auf fünf Jahre gewählt, die Funktion des Ländervertreters wird derzeit vom Bayerischen Landesbeauftragten für den Datenschutz ausgeübt.
Die Datenschutzbehörde hat den gegenseitigen Austausch genutzt, um zahlreiche Themen, welche aktuell den Europäischen Datenschutzausschuss beschäftigen, zu erörtern und die bi- und multilaterale Kooperation mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bayerischen Landesbeauftragten für den Datenschutz zu fördern. Darüber hinaus wurden verschiedene organisatorische Aspekte der grenzüberschreitenden Verfahrensführung und Zusammenarbeit mit deutschen Aufsichtsbehörden besprochen.
Im Ergebnis kann von einem sehr gelungenen Treffen, getragen von gegenseitiger Wertschätzung und Kooperationsbereitschaft, gesprochen werden. Die Datenschutzbehörde ist bemüht, den Schwung für den weiteren Ausbau ihrer Vernetzung mit Deutschland zu nutzen und bedankt sich an dieser Stelle nochmals bei den deutschen Delegationen für ihr Kommen und den gegenseitigen Austausch.

Ausgewählte Entscheidungen der DSB

DSB-D124.0530 (2023-0.842.190), Verletzung im Recht auf Geheimhaltung: Die Weitergabe von Wohnsitzdaten an Berufsdetektive ohne Prüfung eines berechtigten Interesses durch Gemeinde (Bürgermeister) ist unrechtmäßig.
Die Beschwerdeführerin hat in einem mietrechtlichen Verfahren erfahren, dass ihre Daten zu ihrem Nebenwohnsitz im Rahmen einer ZMR- Meldedatenauskunft durch eine Gemeinde
(Beschwerdegegnerin) an ein Detektivunternehmen weitergegeben wurden. Darüber hinaus wurden auch die Wohnsitzdaten ihrer Tochter, trotz ZMR- Sperre, weitergegeben, was von der Datenschutzbehörde in einem anderen Verfahren geführt und mit stattgebendem Bescheid beendet wurde. Die Beschwerdeführerin hatte hingegen keine ZMR-Sperre bezüglich ihrer Meldedaten.
Die Beschwerdeführerin stellte daraufhin einen Antrag auf Auskunft an ihre Hauptwohnsitzgemeinde und später an ihre Nebenwohnsitzgemeinde, welche beide ergebnislos verliefen.
Nachdem die Datenschutzbehörde das BMI, welches für die Meldebehörden die Protokolldaten für Auskünfte verarbeitete, zur Stellungnahme aufforderte, kam heraus, dass u.a. aufgrund einer Einschränkung die Empfänger der Wohnsitzdaten bzw. die Abfrage der Beschwerdegegnerin nicht beauskunftet worden waren. Der oben angeführte Fehler aus dem Jahr 2022 sei bereits behoben worden.
§ 18 Abs. 1b MeldeG sieht vor, dass bei Nachweis eines berechtigten Interesses die Meldebehörden auf Verlangen, soweit keine Auskunftssperre besteht, auch andere gemeldete Wohnsitze aus dem zentralen oder lokalen Melderegister zu beauskunften haben. Die Erläuterungen zur Regierungsvorlage § 18 Abs. 1b MeldeG konkretisieren, dass „nur bei einem berechtigten Interesse“ Daten beauskunftet werden dürfen.
Im Laufe des Verfahrens stellte sich heraus, dass die Beschwerdegegnerin jahrelang mit dem Detektivunternehmen zusammengearbeitet hatte, aufgrund einer Nahebeziehung zu einer Mitarbeiterin des Detektivunternehmens. Die Beschwerdegegnerin hat im gegenständlichen Fall kein berechtigtes Interesse des Detektivunternehmens bzw. dessen Auftraggebers geprüft oder zumindest angefragt. Es wurde auch keine Begründung für die Meldeauskunft im ZMR angegeben. Von dem späteren mietrechtlichen Verfahren zwischen der Beschwerdeführerin und dem Auftraggeber des Detektivunternehmens, welches eventuell ein berechtigtes Interesse darstellen hätte können, hat die Beschwerdegegnerin erst im laufenden Verfahren vor der Datenschutzbehörde erfahren. Sie berief sich lediglich auf ein Rundschreiben des BMI aus dem Jahr 2015, welches die Beschwerdegegnerin dahingehend interpretiert hatte, dass Berufsdetektiven grundsätzlich ohne Nachweis eine Meldeauskunft zu erteilen sei, was jedoch nicht der Fall war.
Daher kam die Datenschutzbehörde im Bescheid vom 22. Jänner 2024, zur GZ: D124.0530/23 (2023-0.842.190), zu dem Ergebnis, dass die Beschwerdegegnerin mangels Nachweis eines berechtigten Interesses die Beschwerdeführerin im Recht auf Geheimhaltung verletzt hatte. Daher wurde der Beschwerdegegnerin amtswegig iSd. Art 58 Abs. 2 lit. d DSGVO aufgetragen, geeignete technische und/ oder organisatorische Maßnahmen zu erlassen, um sicherzustellen, dass in Zukunft ein geeigneter Nachweis des berechtigten Interesses iSd. § 18 Abs. 1b MeldeG bei Datenauskünften an Dritte erbracht wird sowie geeignete Sicherheits-/Kontrollmaßnahmen hinsichtlich ZMR –Sperren umzusetzen.
Dieser Bescheid ist rechtskräftig.

DSB-D124.0809 (2023-0.594.826), Unzuständigkeit der Datenschutzbehörde gegenüber einer internationalen Organisation
Die Datenschutzbehörde wies mit diesem Bescheid eine gegen die Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE), d.h. eine internationale Organisation iSd. Art. 4 Z 26 DSGVO, gerichtete Beschwerde wegen behaupteter Verletzung in den Rechten auf Geheimhaltung, Auskunft und Löschung zurück.
Dieser Entscheidung lag die Frage zugrunde, ob eine Zuständigkeit der Datenschutzbehörde für die Prüfung von Datenverarbeitungsvorgängen einer internationalen Organisation gegeben ist. Gegenständlich war das zwischen der Republik Österreich und der OSZE geschlossene Amtssitzabkommen, welches die Rechtsstellung und die Immunitäten der OSZE regelt, zu beachten.
Internationale Organisationen genießen nach gefestigter Rechtsprechung europäischer Höchstgerichte zwar keine vollständige Immunität vor Handlungen von Organen des Sitzstaates, jedoch kommt nur dann eine grundsätzliche Zuständigkeit der Gerichte und Behörden des Sitzstaates für Handlungen innerhalb des Amtssitzbereiches in Frage, wenn dies das jeweilige Amtssitzabkommen vorsieht oder nicht ausdrücklich verneint.
Das Amtssitzabkommen zwischen der Republik Österreich und der OSZE sieht dahingehend vor, dass im Amtssitzbereich grundsätzlich die Gesetze Österreichs zur Anwendung gelangen, wobei die DSGVO als unmittelbar anwendbarer Unionsrechtsakt als integraler Bestandteil der Rechtsordnung Österreichs betrachtet werden kann. Des Weiteren ist vorgesehen, dass die innerhalb des Amtssitzes der OSZE gesetzten Handlungen und vorgenommenen Rechtsgeschäfte der Jurisdiktion der Gerichte und anderer zuständiger Behörden der Republik Österreich aufgrund der geltenden gesetzlichen Bestimmungen unterworfen sind. Die OSZE ist jedoch befugt, für ihren Amtssitz geltende Vorschriften zu erlassen, die alle für die vollständige Wahrnehmung ihrer Rollen und Mandate in jeder Beziehung notwendigen Voraussetzungen schaffen. Gesetze oder Verordnungen der Republik Österreich, welche mit einer der von der OSZE in diesem Rahmen erlassenen Vorschrift unvereinbar sind, sind im Ausmaß ihrer Unvereinbarkeit für den Amtssitz der OSZE nicht anwendbar.
Ob die Befreiung einer internationalen Organisation von der staatlichen Gerichtsbarkeit im Sinne der Europäischen Menschenrechtskonvention verhältnismäßig ist, hängt nach Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte davon ab, ob ein angemessener alternativer Rechtsweg besteht, d.h. die Möglichkeit der Anrufung gerichtsähnlicher organisationsinterner Einrichtungen vorliegt.
Gegenständlich verfügt die OSZE über einschlägige interne Regelungen zum Schutz personenbezogener Daten, welche einen Rechtsweg an die innerhalb der OSZE eingerichtete Datenschutzstelle vorsehen. Die DSGVO und das DSG finden folglich materiell keine Anwendung und ist daher auch keine Zuständigkeit der Datenschutzbehörde gegeben, da sich diese aus der DSGVO und dem DSG ableitet.
Der Bescheid ist rechtskräftig.

Erlassene Bescheide in Umsetzung rezenter Rechtsprechungen des EuGHs:

DSB-D124.889 (2023-0.915.031), Verarbeitung bonitätsrelevanter Informationen über Schuldenregulierungsverfahren durch eine Wirtschafts- und Kreditauskunftei über den Zeitraum ihrer Veröffentlichung in der Insolvenzdatei
Den Kern dieses mit Bescheid vom 4. Jänner 2024 erledigten Verfahrens bildete die Frage, ob und wie lange Gewerbetreibende iSd. § 152 GewO 1994 („Auskunfteien über Kreditverhältnisse“) bonitätsrelevante Informationen über Schuldenregulierungsverfahren, welche sie aus öffentlichen Registern erhoben haben, in ihren privaten Bonitätsdatenbanken zwecks Erteilung von Auskünften über die Kreditwürdigkeit der betroffenen Personen verarbeiten dürfen.
Der Europäische Gerichtshof hat in diesem Zusammenhang mit Urteil vom 7. Dezember 2023 in den verbundenen Rs. C‑26/22 und C‑64/22 entschieden, dass eine Speicherung von aus öffentlichen Registern stammenden Informationen über Insolvenzen natürlicher Personen durch private Wirtschaftsauskunfteien für einen Zeitraum, der über die Speicherdauer dieser Daten in den öffentlichen Registern hinausgeht, nicht mit den in der DSGVO verankerten Grundsätzen der Verarbeitung und Rechtmäßigkeit im Einklang steht.
Im von der Datenschutzbehörde zu prüfenden Sachverhalt wurden aus der Insolvenzdatei erhobene Informationen über ein im Jahr 2016 abgeschlossenes Sanierungsverfahren von einer Wirtschafts- und Kreditauskunftei bis ins Jahr 2023 verarbeitet. Gestützt auf die zuvor zitierte Rechtsprechung des Europäischen Gerichtshofes stellte die Datenschutzbehörde eine Rechtsverletzung fest, da die verfahrensgegenständlichen Informationen über den Zeitraum ihrer öffentlichen Abrufbarkeit iSd. § 256 IO verarbeitet worden sind. Dieser Bescheid ist rechtskräftig.

DSB-D124.0587 (2024-0.006.426), Verarbeitung bonitätsrelevanter Informationen aus einem Insolvenzverfahren, welche nicht aus einem öffentlichen Register entstammen, durch eine Wirtschafts- und Kreditauskunftei über den Zeitraum ihrer Veröffentlichung in der Insolvenzdatei
In einem weiteren von der Datenschutzbehörde zu prüfenden Sachverhalt, wurden bonitätsrelevante Informationen, welche im Gegensatz zum eben beschriebenem Sachverhalt, nicht aus einem öffentlichen Register erhoben, sondern bei der Wirtschafts- und Kreditauskunftei eingemeldet wurden, über ein im Jahr 2021 durch Zahlungsplan abgeschlossenes Insolvenzverfahren von dieser bis ins Jahr 2023 verarbeitet.
Der Kern dieses mit (Teil-)bescheid vom 2. Februar 2024 zum Teil erledigten Verfahrens lag also darin, dass es um die Frage ging, ob und wie lange Gewerbetreibende iSd. § 152 GewO 1994 („Auskunfteien über Kreditverhältnisse“) bonitätsrelevante Informationen aus Insolvenzverfahren, welche nicht aus öffentlichen Registern stammen, in ihren privaten Bonitätsdatenbanken verarbeiten dürfen.
Die Datenschutzbehörde erachtete als unbeachtlich, ob die eingetragenen Informationen aus der öffentlichen einsehbaren Ediktsdatei oder aus einer anderen Quelle stammen. Die fortlebende Speicherung einer durch Erfüllung eines Zahlungsplanes im Rahmen eines Insolvenzverfahrens erledigten Zahlungsforderung in der Bonitätsdatenbank, auch, wenn die Information darüber nicht der Ediktsdatei selbst entnommen wurde, würde nämlich die nicht mehr vorhandene öffentliche Einsehbarkeit in der Ediktsdatei und die damit verbundene, vom EuGH hervorgehobene Intention, dass eine betroffene Person wieder ohne Hindernisse am Wirtschaftsleben teilnehmen kann, konterkarieren. Insofern überwiegen aus Sicht der Datenschutzbehörde hier die berechtigten Interessen der betroffenen Person und konnte sich die Wirtschafts- und Kreditauskunftei nicht auf überwiegende Interessen gem. Art. 6 Abs.1 lit. f DSGVO stützen, weshalb sie den verfahrensgegenständlichen Eintrag somit gem. Art. 5 Abs. 1 lit. a iVm Art. 17 Abs. 1 lit. d DSGVO hätte löschen müssen. Des Weiteren hat der EuGH mit Urteil vom 7. Dezember 2023, C-26/22 und C-64/22, ausgesprochen, dass Art. 17 Abs. 1 Buchst. c DSGVO dahin auszulegen ist , dass die betroffene
Person das Recht hat, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden
personenbezogenen Daten zu verlangen, wenn sie gemäß Art. 21 Abs. 1 dieser Verordnung
Widerspruch gegen die Verarbeitung einlegt und keine zwingenden schutzwürdigen Gründe vorliegen, die ausnahmsweise die betreffende Verarbeitung rechtfertigen. Dies war auch hier der Fall. Im Ergebnis stellte die Datenschutzbehörde aufgrund der Verarbeitung dieser bonitätsrelevanten Informationen daher eine Verletzung im Recht auf Löschung und Widerspruch der beschwerdeführenden Partei fest. Der Bescheid ist nicht rechtskräftig.

DSB-D550.688 (2023-0.615.432), Straferkenntnis: unrechtmäßige Verarbeitung sensibler Daten durch eine politische Partei
Es handelte sich dabei erstmals um ein Straferkenntnis gegen eine politische Partei gemäß § 1 Abs. 2 PartG. Der Beschuldigten wurde zur Last gelegt, durch den Versand von zwei E-Mail-Nachrichten mit einem offenen Verteiler unrechtmäßig sensible Daten von betroffenen Personen verarbeitet zu haben, indem die politische Meinung und weltanschauliche Überzeugung dieser Personen gegenüber Dritten offengelegt wurde.
In der Verteilerliste befanden sich personalisierte E-Mail-Adressen (sowohl private als auch berufliche). Daraus konnte unter anderem der Arbeitsplatz dieser Personen abgeleitet werden. Durch den Inhalt der Nachrichten erfolgte eine Verknüpfung mit weiteren Informationen: Die E-Mails hatten zwei offene Briefe im Anhang, die sich insbesondere an die Bundesregierung richteten. Im Rahmen dieser Briefe setzte sich die Beschuldigte mit der Impfpflicht für Mitarbeiter des Gesundheits- und Pflegewesen, die während der COVID-19-Pandemie beschlossen wurde, auseinander und forderte von der Regierung, von einer Impfpflicht abzusehen.
Durch den Wortlaut dieser Nachrichten wurde der Eindruck suggeriert, dass die im Rahmen der Verteilerliste genannten Personen sich ebenfalls gegen diese politische Entscheidung aussprechen („Wir haben unzählige Gleichgesinnte in unserer Berufssparte gefunden, deutlicher gesagt, wir haben uns vernetzt“; „WIR SIND VIELE“; „Alle unter uns sind dazu bereit, ihren Dienst niederzulegen und in den Streik zu treten...“; „Abschließend weisen wir Sie darauf hin, von zahlreichen Personen aus den Gesundheitsberufen die Mitteilung erhalten zu haben, dass sie im Fall einer Impfpflicht ihre Arbeit mit sofortiger Wirkung niederlegen werden“).
Die Datenschutzbehörde sprach eine Geldbuße in Höhe von EUR 50.700 (zuzüglich Verfahrenskosten in der Höhe von EUR 5.070) aus. Bei der Strafbemessung wurden die Einnahmen durch Mitgliedsbeiträge und Spenden sowie die (gesetzliche) Parteienförderung herangezogen.
Das Straferkenntnis ist nicht rechtskräftig.

Ausgewählte Entscheidungen der Gerichte

BVwG, Erkenntnis vom 29.11.2023, W214 2276491-1/7E, Datenverarbeitung zwecks Wahlwerbung im Rahmen einer Landtagswahl
Mit Erkenntnis vom 29.11.2023, GZ: W214 2276491-1/7E, setzte sich das BVwG mit der Frage der Rechtmäßigkeit der Verarbeitung von Meldedaten zwecks Wahlwerbung auseinander.
Dem Verfahren vor dem BVwG ging eine Beschwerde bei der Datenschutzbehörde voraus. Darin wurde eine Verletzung im Recht auf Geheimhaltung behauptet, da die Meldedaten des Beschwerdeführers im Rahmen der niederösterreichischen Landtagswahl unrechtmäßigerweise erhoben und zum Zweck von postalischer Wahlwerbung verwendet worden seien. Die Datenschutzbehörde wies die Beschwerde als unbegründet ab, wogegen der Beschwerdeführer eine Bescheidbeschwerde an das BVwG erhob.
Das BVwG behandelte zunächst die Frage der Verantwortlichkeit und hielt fest, dass für die mit dem Versand von Wahlwerbung im Zusammenhang stehende Datenverarbeitung der Parteiapparat verantwortlich ist. Wenngleich aufgrund der Gestaltung des Schreibens der Eindruck bestehen könnte, dass der Spitzenkandidat das Schreiben verfasst hat, hat der Parteiapparat – ohne Anweisung des Spitzenkandidaten – Daten aus dem Zentralen Wählerregister erhoben und zwecks Wahlwerbung verarbeitet.
Für diese Datenverarbeitung besteht darüber hinaus eine konkrete Rechtsgrundlage gemäß § 1 Abs. 2 PartG iVm § 5 Abs. 2 WEviG iVm § 6 Abs. 2 NÖ LandesbürgerEviG. Zusammengefasst ist es politischen Parteien gestattet, Daten aus der Wählerevidenz zu verarbeiten, um potenzielle Wähler und Wählerinnen zwecks Wahlwerbung anzusprechen. Es waren auch keine Anhaltspunkte vorhanden, dass die Meldedaten zu anderen Zwecken als für Wahlwerbung verarbeitet worden wären.
Vor diesem Hintergrund wies das BVwG die Bescheidbeschwerde als unbegründet ab. Dieses Erkenntnis ist rechtskräftig.

BVwG, Erkenntnis vom 14.09.2023, W245 2247087-1,
BVwG, Erkenntnis vom 22.07.2022, W258 2247097-1,
BVwG, Erkenntnis vom 24.05.2022, W274 2247084-1,
BVwG, Erkenntnis vom 22.12.2021, W274 2247098-1;

Vertretungsumfang von Wirtschaftstreuhändern
Das Bundesverwaltungsgericht hatte sich in diesen Fällen mit der Vertretungsberechtigung und dem Vertretungsumfang von Angehörigen der Wirtschaftstreuhandberufe iSd. § 1 WTBG 2017 (Wirtschaftsprüfer und Steuerberater) im Rahmen von datenschutzrechtlichen Verfahren zu beschäftigen.
In den Ausgangsverfahren vor der Datenschutzbehörde wurde die beschwerdeführende Partei, welche die Verarbeitung ihrer personenbezogenen Daten durch unterschiedliche Kreditauskunfteien rügte, jeweils von einem Wirtschaftstreuhänder vertreten, welcher sich zunächst auf die erteilte Vollmacht berief und im Laufe des Verfahrens ergänzend eine schriftliche Vollmacht vorlegte. Die Datenschutzbehörde wies die Beschwerden in weiterer Folge wegen mangelnder Vertretungsbefugnis zurück und sprach aus, dass sich berufsmäßige Parteienvertreter nur insoweit auf eine erteilte Vollmacht berufen können, als sie nach dem jeweiligen Berufsrecht zur Vornahme der entsprechenden Verfahrenshandlungen befugt seien. Begründend wurde ausgeführt, dass der im WTBG 2017 aufgelistete Berechtigungsumfang verschiedenste Angelegenheiten im Zusammenhang mit der Ausübung der Wirtschaftstreuhandberufe, jedoch nicht die Vertretung in datenschutzrechtlichen Angelegenheiten vor der Datenschutzbehörde umfasse. Auch der vorgelegten Vollmacht sei zu entnehmen gewesen, dass sich diese nur auf steuerliche, wirtschaftliche, arbeits- und sozialrechtliche und sonstige finanzrechtliche Angelegenheiten bezogen habe.
Das Bundesverwaltungsgericht ist der Ansicht der Datenschutzbehörde nicht gefolgt und hat ausgesprochen, dass die Vertretungsbefugnis von Wirtschaftstreuhändern einen unmittelbaren Zusammenhang mit wirtschaftstreuhänderischen Arbeiten voraussetzt. Zur selbstständigen Ausübung des Wirtschaftstreuhandberufes berechtigte Personen sind gemäß § 3 Abs. 3 WTBG zur Beratung und Vertretung in allen Verwaltungsverfahren befugt, soweit sie mit den für den gleichen Auftraggeber durchzuführenden wirtschaftstreuhänderischen Arbeiten unmittelbar zusammenhängen. Dazu gehört u.a. die Sanierungsberatung, die nicht nur die Beratung iZm. konkreten Sanierungsverfahren, sondern sämtliche Beratungsleistungen, die auf die Wiederherstellung der wirtschaftlichen Leistungsfähigkeit abzielen, umfasst. Die wirtschaftstreuhänderische Tätigkeit zur Wiederherstellung der Bonität durch Bereinigung von Einträgen bei Kreditauskunfteien und die Vertretung in diesbezüglichen Verfahren stehen somit in unmittelbarem Zusammenhang mit der wirtschaftstreuhänderischen Tätigkeit, weshalb eine Vertretungsberechtigung gegeben ist.
In einem Fall wurde gegen das Erkenntnis des Bundesverwaltungsgerichts Revision an den Verwaltungsgerichtshof erhoben, das höchstgerichtliche Verfahren ist derzeit anhängig.

Rechtsprechung

EuGH, Urteile vom 07.12.2023, C-634/21 sowie der verbundenen Rechtssachen C-26/22 und C-64/22 ("SCHUFA-Urteile")

Der EuGH hat in zwei maßgeblichen Urteilen über die Rahmenbedingungen für bestimmte Datenverarbeitungen durch Kreditauskunfteien entschieden. Die Entscheidungen des EuGH vom 7. Dezember 2023 (die verbundenen Verfahren C-26/22 und C-64/22 sowie C-634/21) wirken sich vordergründig auf die Speicherdauer von Daten über Insolvenzverfahren mit Restschuldbefreiungen sowie auf das sogenannte „Bonitäts-Scoring“ aus.
Aufgrund der bisherigen Judikatur konnten Kreditauskunfteien Daten über Insolvenzverfahren mit Restschuldbefreiung grundsätzlich bis zu fünf Jahre nach Löschung aus der Insolvenzdatei speichern.
In den verbundenen Rechtssachen C‑26/22 und C‑64/22 (SCHUFA I) hat der EuGH nunmehr festgehalten, dass private Kreditauskunfteien aus einem öffentlichen Register stammende Daten über Insolvenzen, bei denen es zu einer Restschuldbefreiung gekommen ist, nicht länger speichern dürfen, als sie auch in diesen Registern abrufbar sind.
Auf nationaler Ebene ist § 256 Abs. 2 und Abs. 3 IO maßgeblich. Demnach sind Daten über eine Restschuldbefreiung im Regelfall innerhalb eines Jahres ab Abschluss des Insolvenzverfahrens zu löschen (vgl. hierzu auch das Erkenntnis des VwGH vom 1. Februar 2024, Ro 2020/04/0031-9).
In der Rechtssache C-634/21 (SCHUFA II) setzte sich der EuGH mit dem Anwendungsbereich von Art. 22 DSGVO und „Bonitäts-Scoring“ auseinander.
Laut EuGH fällt die automatisierte Errechnung eines „Bonitäts-Scorewerts“ unter Art. 22 DSGVO, sofern hiervon maßgeblich abhängt, ob ein Dritter mit dem Betroffenen einen Vertrag abschließt. Diesfalls muss immer eine Ausnahmebestimmung nach Art. 22 Abs. 2 DSGVO erfüllt sein. Das bedeutet, dass Kreditauskunfteien – im Rahmen ihrer Rechenschaftspflicht – im Einzelfall nachweisen müssen, ob diese Art der „automatisierten Entscheidung im Einzelfall“ gemäß Art. 22 DSGVO gerechtfertigt ist.
Nähere Informationen hierzu finden sich auch auf der Website der DSB.

VwGH, Erkenntnis vom 01.02.2024, Ra 2020/04/0187
Mit Straferkenntnis vom 23. Oktober 2019 verhängte die Datenschutzbehörde aufgrund mehrerer Verstöße gegen die DSGVO eine Geldbuße in Höhe von EUR 18.000.000,- gegen die Österreichische Post AG. Der dagegen erhobenen Beschwerde gab das BVwG mit Erkenntnis vom 26.11.2020 Folge, hob das Straferkenntnis unter Hinweis auf VwGH 12.05.2020, Ro 2019/04/0229, auf und stellte das Verfahren ein, weil im Spruch des Strafbescheides keine identifizierte natürliche Person, deren Verstoß gegen die DSGVO der juristischen Person zugerechnet werden solle, benannt worden sei.
Die Datenschutzbehörde erhob Amtsrevision gegen das Erkenntnis des BVwG und verwies im Laufe des Revisionsverfahrens auf das beim EuGH anhängige Vorabentscheidungsverfahren in der Sache „Deutsche Wohnen SE“ zu C-807/21. Der VwGH setzte in Folge das Revisionsverfahren bis zur Entscheidung des EuGH aus.
Nachdem der EuGH am 05. Dezember 2023 sein Urteil verkündet hatte, setzte der VwGH das Verfahren fort, gab der Amtsrevision mit dem o.a. Erkenntnis Folge und hielt fest, dass er aufgrund des zwischenzeitlich ergangenen Urteils des EuGH seine bisherige Rechtsprechung ändere, um der Rechtsansicht des EuGH Rechnung zu tragen. Durch den Anwendungsvorrang der DSGVO hätte das BVwG die nationalen Regelungen nicht zur Anwendung bringen dürfen. Im Spruch des Strafbescheides hätte daher keine natürliche Person benannt werden müssen, die den Verstoß durch die juristische Person als Verantwortliche zu verantworten hatte. Die ursprüngliche Beschwerde muss vom BVwG nun im Lichte dieser Entscheidung einer erneuten Behandlung zugeführt werden.

VfGH, Erkenntnis vom 13.12.2023, G 212/2023 ua
Die Verfahren vor dem VfGH war die Folge mehrerer Beschwerden an die DSB gegen verschiedene österreichische Staatsanwaltschaften. Die DSB hatte in diesen Verfahren jeweils inhaltlich entschieden und ihre Zuständigkeit bejaht. Die Grundlage für die angenommene Zuständigkeit bilden im Wesentlichen mehrere Bestimmungen des DSG, insbesondere des 3. Hauptstücks (das wiederum auf der Richtlinie (EU) 2016/680 fußt, welche parallel zur DSGVO gilt), in welchen die DSB als zuständige Behörde für die Datenverarbeitung von Strafverfolgungsbehörden benannt wird. Der VwGH erblickte eine mögliche Verfassungswidrigkeit dieser Bestimmungen und begründete dies hauptsächlich damit, dass die derzeitige Rechtslage eine grundsätzliche Möglichkeit vorsehe, dass Gerichte und Verwaltungsbehörden teilweise über dieselben abstrakten Rechtsfragen entscheiden würden und diese Parallelzuständigkeit gegen Art. 83 Abs. 2 B-VG bzw. Art. 94 B-VG verstoße.
Sowohl die DSGVO als auch die Richtlinie (EU) 2016/680 sehen nämlich ein „doppelgleisiges“ Rechtsschutzregime vor. Betroffenen Personen stehen einerseits das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 Abs. 1 DSGVO bzw. Art. 52 Abs. 1 Richtlinie (EU) 2016/680) und andererseits ein wirksamer gerichtlicher Rechtsbehelf (Art. 79 Abs. 1 DSGVO bzw. Art 54 Abs 1 Richtlinie (EU) 2016/680) zur Verfügung.
Weiters widerspreche die Zuständigkeit der DSB als Teil der Verwaltung für die Aufsicht über die Staatsanwaltschaften als Teil der Justiz – ohne verfassungsrechtliche Grundlage – dem Grundsatz der Trennung von Justiz und Verwaltung nach Art. 94 Abs. 1 B-VG.
Der VfGH stellte in seiner Entscheidung zunächst fest, dass die Richtlinie (EU) 2016/680 die Zuständigkeit einer als Verwaltungsbehörde einzurichtenden Aufsichtsbehörde grundsätzlich verlangt. Die Aufsichtsbehörde darf nur nicht für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig gemacht werden. Eine Ausnahme der Zuständigkeit wäre zudem für andere unabhängige Justizbehörden möglich, was jedoch durch die letztliche Weisungsgebundenheit der österreichischen Staatsanwaltschaften nicht in Frage kam.
Gemäß dem Grundsatz der doppelten Bindung prüfte der VfGH anschließend, ob der Gesetzgeber hinsichtlich der unionsrechtlichen Vorgaben einen Umsetzungsspielraum hat. Dies wurde seitens des VfGH jedoch verneint. Hinsichtlich der Frage, ob der Verfassungsgesetzgeber in der Folge tätig werden müsste, setzte der VfGH seine Rsp fort, nach der bei vollständiger Determinierung der Umsetzungsbestimmung durch die zugrundeliegende Richtlinie eine Prüfung des Umsetzungsgesetzes dem Verfassungsgerichtshof so lange verwehrt ist, als nicht die einschlägige Richtlinienbestimmung vom Gerichtshof der Europäischen Union für ungültig erklärt wird.
Da die Richtlinie (EU) 2016/680 – analog zur DSGVO – eine Doppelgleisigkeit des Rechtsschutzes bei einer Verwaltungsbehörde und bei den ordentlichen Gerichten zwingend verlangt, kam somit für den VfGH – aufgrund fehlendem Umsetzungsspielraum für den Gesetzgeber – eine verfassungsrechtliche Prüfung und gegebenenfalls Aufhebung der angefochtenen Bestimmungen über die Einrichtung der DSB als Aufsichtsbehörde über Datenverarbeitungen durch Staatsanwaltschaften nicht in Frage.
Der VfGH wies die Anträge des VwGH und des BVwG daher als unbegründet ab.

VwGH, Erkenntnis vom 21.12.2023, Ro 2021/04/0010-11
Bereits im Jahr 2020 untersagte die DSB (Bescheid vom 16. August 2020, GZ: DSB-D213.1020, 2020-0.513.605) aufgrund fehlender Rechtsgrundlage die Datenverarbeitung im Zusammenhang mit dem sogenannten AMS-Algorithmus – eigentlich Arbeitsmarktchancen Assistenz-Systems (in der Folge „AMAS“).
Das AMS erhob dagegen Bescheidbeschwerde und das BVwG hob im Anschluss den Bescheid auf. Begründend führte das BVwG zusammengefasst aus, dass das AMS nach § 25 Abs. 1 AMSG grundsätzlich berechtigt sei, eine Bewertung von Arbeitsmarktchancen der Arbeitssuchenden anhand (bestimmter) personenbezogener Daten vorzunehmen. Eine unterschiedliche Beurteilung der Rechtmäßigkeit allein wegen der Form ihrer Verarbeitung (automatisiert oder nicht automatisiert) sei im Gesetz grundsätzlich nicht vorgesehen. Der in Art. 22 DSGVO geregelte Fall einer automatisierten Entscheidung sei nicht gegeben, da die Entscheidung lediglich unter Zuhilfenahme des AMAS, letztlich jedoch durch die einzelnen Berater erfolge. Dass die Berater das Ergebnis des AMAS im Einzelfall routinemäßig übernehmen könnten, sei für die Beurteilung der Rechtmäßigkeit der Datenverarbeitung an sich nicht von Relevanz. Die DSB erhob dagegen Amtsrevision.

Der VwGH setzte sich zunächst eingehend mit der Frage der Hoheitsverwaltung auseinander und hielt abschließend fest, dass es sich bei der Arbeitsvermittlung und Vergabe von Beihilfen etc. um Privatwirtschaftsverwaltung und keine hoheitliche Tätigkeit handelt. Die Vorgabe des § 1 Abs. 2 DSG hinsichtlich staatlicher Behörden kommt daher nicht zur Anwendung.
Im Hinblick auf die Rechtsgrundlage nach Art. 6 Abs. 1 lit. e DSGVO sah der VwGH grundsätzlich keine Probleme und die diesbezüglichen Voraussetzungen (insb. Art 6 Abs. 3 DSGVO) in § 25 AMSG ausreichend erfüllt.
Die Rechtmäßigkeit war jedoch zusätzlich auch nach Art. 22 DSGVO zu prüfen. Der VwGH verweist dazu auf das Urteil des EuGH vom 7. Dezember 2023, C-634/21 [SCHUFA Scoring]. Da es sich bei der Verarbeitung durch das AMS zweifelsfrei um „Profiling“ iSd Art. 4 Z. 4 DSGVO handelt, musste geprüft werden ob es sich schon bei der Errechnung eines Wertes im Rahmen des AMAS (der sogenannte „IC Wert“) um eine „automatisierte Entscheidung“ im Sinne des Art. 22 Abs. 1 DGSVO handelt. Entscheidendes Kriterium ist nach der Rsp des EuGH, dass der errechnete Wert einen „maßgeblichen“ Einfluss auf die Entscheidung (hier Vergabe von Mitteln/Fortbildungen etc.) hat. Die Feststellung des BVwG, dass durch Handlungsanleitungen und Schulungen sichergestellt worden sei, dass das Ergebnis des Algorithmus nicht unhinterfragt übernommen wird, schließt diese Maßgeblichkeit nicht aus. Wäre Art. 22 DSGVO anwendbar, so hielt der VwGH zusätzlich fest, so liegt jedenfalls kein Rechtfertigungstatbestand des Art. 22 Abs. 2 lit. b DSGVO vor.
Der Revision der DSB wurde daher im Ergebnis Folge gegeben und das Erkenntnis des BVwG aufgehoben. Das BVwG hätte nun im fortgesetzten Verfahren die Maßgeblichkeit des errechneten Wertes und die Anwendbarkeit des Art. 22 DSGVO zu prüfen.

EuGH, Urteil vom 05.12.2023, C-807/21 in der Sache „Deutsche Wohnen SE“,
Das Kammergericht Berlin legte dem EuGH folgende Fragen vor: (1) Stehen die Bestimmungen der DSGVO einer nationalen Regelung entgegen, wonach für die Strafbarkeit einer juristischen Person in ihrer Rolle als Verantwortliche der Verstoß zuvor von einer natürlichen identifizierten (Führungs-)Person innerhalb der Organisation zugerechnet werden muss? (2) Ist für die Anwendung von Art. 83 DSGVO bzw. für die Verhängung einer Geldbuße ein schuldhaftes Verhalten erforderlich oder sieht die DSGVO ein verschuldensunabhängiges Sanktionsregime vor?
Der EuGH stellte zur ersten Vorlagefrage im Wesentlichen fest, dass juristische Personen nach der DSGVO sowohl für Verstöße haften, die von ihren Führungspersonen selbst begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Dabei ist es nicht erforderlich, dass eine Führungsperson Kenntnis über den jeweiligen Verstoß hatte.
Für die Verhängung einer Geldbuße ist es auch nicht erforderlich, dass eine Aufsichtsbehörde zuvor feststellen muss, dass der Verstoß von einer identifizierten natürlichen Person innerhalb der jeweiligen Organisation begangen wurde, um dieses Verhalten in Folge dann der juristischen Person zuzurechnen. Nationale Regelungen, die solch eine Zurechnung für die Verhängung einer Geldbuße nach Art. 83 DSGVO voraussetzen, stehen nicht im Einklang mit der DSGVO.
Zur zweiten Frage stellte der EuGH klar, dass auch das Verschulden abschließend und genau in Art. 83 DSGVO geregelt ist und den Mitgliedstaaten daher kein Ermessen zusteht. Für die Verhängung einer Geldbuße ist nach Art. 83 DSGVO ein schuldhafter Verstoß (vorsätzlich oder fahrlässig) erforderlich. Ein Verschulden liegt jedoch bereits vor, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, unabhängig davon, ob ihm dabei bewusst war, dass er gegen Bestimmungen der DSGVO verstößt.
Abschließend stellte der EuGH fest, dass bei der Strafbemessung der wettbewerbsrechtliche Unternehmensbegriff im Sinne von Art. 101 und 102 AEUV anzuwenden ist. Wenn der Adressat einer Geldbuße nach Art. 83 DSGVO daher zu einem Konzern gehört, bemisst sich die Geldbuße nach dem Jahresumsatz des Konzerns und nicht der einzelnen Gesellschaft.

EuGH, Urteil vom 14.12.2023, C-340/21
Dieses Urteil erging im Rahmen eines Rechtsstreits (Amtshaftungsverfahren) zwischen einem Betroffenen und der bulgarischen Steuerbehörde über den Ersatz des immateriellen Schadens, der dadurch entstanden sein soll, dass diese Behörde ihren gesetzlichen Verpflichtungen zur Datensicherheit nicht nachgekommen ist (erfolgreicher Hackerangriff, Veröffentlichung der Daten von Abgabepflichtigen).
Der EuGH hat in seinem Urteil zum Schadenersatzanspruch nach Art. 82 DSGVO und dessen prozessualer Durchsetzung Folgendes klargestellt:

Eine unbefugte Offenlegung bzw. ein unbefugter Zugang reicht allein nicht aus, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 DSGVO waren. Es obliegt den nationalen Gerichten, dies im Streitfall zu beurteilen.
Gemäß Art. 5 Abs. 2 DSGVO trägt im Rahmen einer Schadenersatzklage der Verantwortliche die Beweislast dafür, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren. Beweismittel muss nicht zwingend „ein gerichtliches Sachverständigengutachten“ sein.
Der Verantwortliche kann sich nicht mit dem Argument, dass ein Hacker den Schaden verursacht hat, aus der Haftung befreien. Er muss nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.
Gemäß Art. 82 Abs. 1 DSGVO kann allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen.

EuGH, Urteil vom 14.12.2023, C-456/22
Diese Entscheidung betrifft einen weiteren Fall der Auslegung von Art. 82 DSGVO (Schadenersatzbestimmung). Der Kläger im Ausgangsverfahren begehrte Schadenersatz wegen eines behaupteten immateriellen Schadens von einer Gemeinde, weil die seinen Namen enthaltende Tagesordnung einer Gemeinderatssitzung sowie ein Gerichtsurteil, das ebenfalls seinen Namen und seine Anschrift enthielt, für 3 Tage auf der Homepage der Beklagten abrufbar waren. Das vorlegende deutsche Berufungsgericht wollte im Hinblick auf das Vorbringen der Beklagten wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen sei, dass er einer nationalen Rechtsvorschrift oder -praxis entgegenstehe, die für einen durch einen Verstoß gegen die DSGVO verursachten immateriellen Schaden eine „Bagatellgrenze“ vorsehe. Der EuGH sprach in seinem Urteil aus, dass Art. 82 Abs. 1 DSGVO keine „Bagatellgrenze“ vorsieht. Der Anspruch auf Schadenersatz für immaterielle Schäden ist nicht auf „Schäden mit einer gewissen Erheblichkeit“ eingeschränkt. Die betroffene Person muss jedoch den Nachweis erbringen, dass die Folgen dieses Verstoßes, die sie erlitten zu haben behauptet, ursächlich für einen Schaden waren, der sich von der bloßen Verletzung der Bestimmungen dieser Verordnung unterscheidet.

EuGH, Urteil vom 16.01.2024, C-33/22
In dieser Sache hat der EuGH (auf Vorabentscheidungsersuchen des VwGH hin) entschieden, dass sich die Zuständigkeit der DSB auch auf Untersuchungsausschüsse des Nationalrats als Organe der Gesetzgebung erstreckt. Anders als für Gerichte im Bereich ihrer Rechtsprechung (Art. 55 Abs. 3) sieht die DSGVO keine entsprechende ausdrückliche Ausnahme vor. Die DSB kann und muss hier als Verwaltungsorgan ihre vollen Befugnisse als Aufsichtsbehörde zukünftig auch gegenüber dem Parlament ausüben. Anlassfall war die Beschwerde einer im BVT-Untersuchungsausschuss befragten Aufsichtsperson, deren Name entgegen ihrem Wunsch zeitweilig im Sitzungsprotokoll veröffentlicht worden war. Die DSB hatte im Jahr 2019 die sinngemäß gegen den Nationalratspräsidenten (als Vorsitzender des BVT-Untersuchungsausschuss) gerichtete Beschwerde zurückgewiesen. Dies unter Berufung auf den als Baugesetz der Bundesverfassung geltenden Gewaltentrennungsgrundsatz (sinngemäß: keine Verwaltungsbehörde darf über die Rechtmäßigkeit von Handlungen des Parlaments entscheiden oder das Parlament zu etwas verpflichten). Dieser Verfassungsgrundsatz ist hier nun nicht mehr anwendbar. Der EuGH erachtet entsprechende Einschränkungen nur im Bereich der Nationalen Sicherheit als zulässig, für eine Anwendbarkeit dieser Ausnahme (Art. 2 Abs.2 lit. b DSGVO) gab es aber im Streitfall keine Hinweise.
Der VwGH hat in weiterer Folge mit Erkenntnis vom 1.2.2024, Ro 2021/04/0006, die anhängige Amtsrevision der DSB abgewiesen und damit das Erkenntnis des BVwG vom 23.11.2020, W211 2227144-1, bestätigt, das erstmals die Zuständigkeit der DSB in dieser Sache festgestellt hat.

Gesetzesbegutachtung - Stellungnahmen

Die DSB hat zu folgenden Gesetzesvorhaben eine Stellungnahme abgegeben:

Zweite Transparenzdatenbank-Abfrageverordnung 2023
Bundesgesetz, mit dem das Denkmalschutzgesetz geändert wird
VersSt-Informationspflichtenverordnung 2023
Gesetz, mit dem das Wiener Tanzschulgesetzes 1996 geändert wird
Berufsrechts-Änderungsgesetz 2024
Schulordnung 2024
Tierschutzgesetz
Bundesgesetz, mit dem das Einkommensteuergesetz 1988 und das Gebührengesetz 1957 geändert werden
Bundesgesetz, mit dem das KommAustria-Gesetz und das Telekommunikationsgesetz 2021 geändert werden
35. StVO-Novelle
Elektrizitätswirtschaftsgesetz, Energiearmuts-Definitions-Gesetz sowie Änderung Energie-Control-Gesetz
Bundesgesetz, mit dem das Psychotherapiegesetz 2024 – PthG 2024 erlassen sowie das Musiktherapiegesetz, das Psychologengesetz 2013 und das Universitätsgesetz 2002 geändert werden
Gesetz, mit dem das Wiener Mindestsicherungsgesetz (WMG) geändert wird

News

Folgende neue Mitarbeiterinnen und Mitarbeiter nahmen ihre Tätigkeit in der DSB auf:

Frau Zoj Berisha studiert derzeit Lehramt Primarstufe an der Pädagogischen Hochschule in Wien. Davor sammelte sie neben dem Studium Erfahrungen als Referentin bei der Stadt Wien. Nun unterstützt sie als Verwaltungspraktikantin das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren.

Frau Mag. Doris Helene Cerny war langjährig im Sprengel des Oberlandesgerichtes Wien als Diplomrechtspflegerin in Außerstreitsachen und Referatsleiterin tätig und studierte Rechtswissenschaften an der Johannes-Kepler-Universität in Linz. Sie hat ihre Gerichtspraxis im Sprengel des OLG Wien absolviert und ist zudem in die Liste der ZivilrechtsmediatorInnen des BMJ eingetragen.
Sie unterstützt nun das Team der Jurist:innen in den Bereichen nationales und internationales Verfahren.

Herr Adis Korajkic, LL.B. (WU) studiert derzeit Wirtschaftsrecht (Master) an der Wirtschaftsuniversität Wien. Erste praktische Erfahrungen konnte er in einer Rechtsanwaltskanzlei erlangen. Nun unterstützt er als Verwaltungspraktikant das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren.

Frau Mag. Laura Lenz studierte Rechtswissenschaften an der Leopold Franzens Universität Innsbruck. Neben Praktika bei der Staatsanwaltschaft und an der Außenstelle der WKO in Athen, sammelte sie Erfahrungen in europäischem Datenschutzrecht während ihres Auslandssemesters in Finnland und forschte für ihre Abschlussarbeit an der UNSW Sydney. Seit Februar unterstützt sie als Verwaltungspraktikantin das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren.

Herr MMag. Christian Pertl studierte Handelswissenschaften an der WU Wien und Rechtswissenschaften an der Universität Wien. Nach einigen beruflichen Stationen in der Privatwirtschaft war er seit 2018 als stellvertretender Datenschutzbeauftragter im Bundesministerium für Finanzen (BMF) tätig. Seit 2. Jänner 2024 verstärkt er das Team der Jurist:innen der Abteilung IV im Bereich nationale und internationale Schwerpunktverfahren, Zertifizierungen und Akkreditierungen.

Frau Aleyna Topkan LL.B (WU) absolvierte ihr Bachelorstudium in Wirtschaftsrecht an der Wirtschaftsuniversität Wien und setzt nun ihr Masterstudium im gleichen Studiengang fort. Während des Studiums sammelte sie unter anderem Erfahrung in der Rechtsabteilung einer Steuerberatungskanzlei. Nun unterstützt sie als Verwaltungspraktikantin das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren.

Folgende Mitarbeiterinnen und Mitarbeiter beendeten ihre Tätigkeit in der DSB:

Frau Seda Doganay, Frau Mag. Melanie Hofer, Frau Astrid Koschitz, Frau Lisa Nautscher, Frau Mag. Jana Raus

Impressum

Medieninhaber, Herausgeber und Redaktion:
Österreichische Datenschutzbehörde (DSB), Barichgasse 40-42, 1030 Wien, E-Mail: dsb@dsb.gv.at, Web: http://www.dsb.gv.at
Offenlegung gemäß § 25 Mediengesetz:
Der Newsletter der DSB ist ein wiederkehrendes elektronisches Medium (§ 1 Abs. 1 Z 5a lit. c MedienG); die gesetzlich gebotenen Angaben sind über folgenden Link abrufbar: http://www.dsb.gv.at/ueber-die-website/impressum-copyright.html
Copyright und Haftung:
Der auszugsweise Abdruck dieser Publikation ist nur mit Quellenangabe gestattet. Alle sonstigen Rechte sind ohne schriftliche Zustimmung des Medieninhabers unzulässig. Sämtliche Angaben in dieser Publikation erfolgen trotz sorgfältiger Bearbeitung ohne Gewähr. Eine Haftung der Datenschutzbehörde sowie der Autorinnen und Autoren ist ausgeschlossen. Rechtsausführungen stellen die unverbindliche Meinung der Autorinnen und Autoren dar. Sie können der Rechtsprechung der unabhängigen Gerichte keinesfalls vorgreifen.
Ihre Rückmeldungen übermitteln Sie bitte an dsb@dsb.gv.at.