Liebe Leserinnen und Leser!

Datenschutzbericht 2020

Dr. Matthias SCHMIDL

Der Datenschutzbericht 2020 liegt vor und wurde der Bundesministerin für Justiz, der Bundesregierung (Behandlung im Ministerrat erfolgt), dem National- und dem Bundesrat, dem Datenschutzrat sowie der Europäischen Kommission und dem Europäischen Datenschutzausschuss übermittelt. Er ist auch auf der Website der Datenschutzbehörde abrufbar.

Das Jahr 2020 war – wie für alle – durch die nach wie vor anhaltende COVID-19-Pandemie und die damit verbundenen Einschränkungen geprägt.

Trotz allem ist es der Datenschutzbehörde gelungen, einen durchgehenden Dienstbetrieb aufrechtzuerhalten und ihren Verpflichtungen gegenüber der rechtssuchenden Bevölkerung nachzukommen.

Die Arbeitsbelastung der Datenschutzbehörde blieb 2020 hoch, auch wenn es bei den inländischen Beschwerden einen Rückgang gab (2019: 2 102; 2020: 1 603). Die grenzüberschreitenden Beschwerden gingen ebenso deutlich zurück (von 698 auf 474). Hingegen gab es bei den amtswegigen Prüfverfahren einen merkbaren Anstieg von 215 auf 337, ebenso bei den Verwaltungsstrafverfahren (von 124 auf 202) und vor allem bei den Verfahren vor dem Bundesverwaltungsgericht (von 164 auf 319), was im Wesentlichen dem Entscheidungskomplex „Post“ (Abarbeiten der 2019 eingeleiteten Beschwerdeverfahren in Bezug auf die Verarbeitung von Daten zur vermeintlichen politischen Affinität) geschuldet ist. Die Rechtsauskünfte gingen von 4 384 auf 3 166 zurück). In Summe hat sich der Arbeitsanfall auf einem nach wie vor sehr hohen Niveau eingependelt.

Erfreulich ist, dass es durch den nachhaltigen Einsatz der Bundesministerin für Justiz gelungen ist, den Personalstand im Jahr 2020 um insgesamt 13 Planstellen zu erhöhen (davon 11 Planstellen für den höheren Dienst und 2 Planstellen für den gehobenen Dienst)! Ein herzliches Dankeschön geht daher an die Frau Bundesministerin.

Inhaltlich war das Jahr 2020 einerseits von einer verstärkten Tätigkeit des Europäischen Datenschutzausschusses geprägt (die Sitzungen fanden online und in kürzeren zeitlichen Abständen statt als im Jahr 2019), vom Urteil des EuGH in der Rechtssache „Schrems 2“ (Aufhebung der Adäquanzentscheidung „Privacy Shield“), von den Vorbereitungen auf den BREXIT sowie vom Erkenntnis des VwGH zur Strafbarkeit einer juristischen Person; gerade Letzteres stellt die Datenschutzbehörde vor große Herausforderungen, weil es nunmehr erforderlich ist, den vertretungsbefugten Personen einer juristischen Person ein Fehlverhalten nachzuweisen.

Zu bemerken war auch eine verstärkte Vorlagetätigkeit europäischer Gerichte an den EuGH zur Auslegung der DSGVO, darunter ein Vorabentscheidungsersuchen des OGH.

Die Pandemie hat gezeigt, dass sich neben gesundheitlichen Fragen von Anfang an auch datenschutzrechtliche Herausforderungen stellten. Die Datenschutzbehörde hat zu diesem Zweck allgemeine Informationen zu COVID-19 auf ihrer Website veröffentlicht und im November 2020 eine richtungsweisende Entscheidung zur Datenerhebung für die Kontaktnachverfolgung getroffen (RIS).

Das Jahr 2021 wird sich ebenso als ereignisreich erweisen: Zu erwähnen wären etwa das geplante „Grüne Zertifikat“ auf europäischer und österreichischer Ebene sowie die Schaffung eines Informationsfreiheitsgesetzes, bei dessen Vollzug die Datenschutzbehörde eine Rolle spielen soll.

Vorabentscheidungsersuchen des OGH

Mag. Mathias VEIGL

Der Oberste Gerichtshof hat als Revisionsgericht gegen das Urteil des Landesgerichts für Zivilrechtssachen Wien (GZ 29 Cg 23/19v-8) wegen der behauptetermaßen unvollständig erteilten Auskunft gemäß Art. 15 DSGVO mittels Beschluss den Europäischen Gerichtshof um verbindliche Auslegung von Bestimmungen des Sekundärrechts ersucht:

Ist Art 15 Abs 1 lit c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‑Grundverordnung, ABl L 119/1 vom 4. Mai 2016, S 1; im Folgenden „DSGVO“) dahingehend auszulegen, dass sich der Anspruch auf die Auskunft über Empfängerkategorien beschränkt, wenn konkrete Empfänger bei geplanten Offenlegungen noch nicht feststehen, der Auskunftsanspruch sich aber zwingend auch auf Empfänger dieser Offenlegungen erstrecken muss, wenn Daten bereits offengelegt worden sind?

Der Oberste Gerichtshof hat zu entscheiden, ob das Ersuchen der klagenden Partei an die beklagte Partei bekanntzugeben, welche personenbezogenen Daten über sie gespeichert seien bzw. welche sie in der Vergangenheit gespeichert habe, sowie um Information, wo die Speicherung dieser Daten erfolge und für den Fall einer Weitergabe von Daten, an wen diese offengelegt bzw. übermittelt worden seien, gerechtfertigt ist. Die beklagte Partei hatte auf diese Frage lediglich geantwortet, Daten im Rahmen der rechtlichen Zulässigkeit offenzulegen und zu übermitteln. Dies geschehe im Zuge der Tätigkeit als Adressverlag, wo Daten Geschäftskunden für Marketingzwecke überlassen würden. Die Verarbeitungszwecke seien auf der Homepage der beklagten Partei allgemein ersichtlich, wo unter Punkt 3.4 der „Datenschutzhinweise“ nachfolgend ausgeführt werde:

3.4 Weitere Empfänger*innen: Im Rahmen der Vertragsbeziehung und insbesondere in Zusammenhang mit unserer Leistungsverpflichtung oder in Zusammenhang mit Rechtsstreitigkeiten, kann es – je nach Einzelfall – zu weiteren Übermittlungen Ihrer personenbezogenen Daten kommen (wie andere Postdienstleister*innen (z.B. UPU, IPC), Frachtunternehmen, Ärzt*innen, Krankenanstalten, Versicherungsunternehmen und -makler*innen, Sachverständige, Gutachter*innen, Rechtsanwält*innen, Interessenvertretungen, Adressverlage und Direktmarketingunternehmen, Banken und Kapitalanlagegesellschaften, Versicherungen, Wirtschaftsprüfer*innen, Berater*innen (insb. Steuerberater*innen), Förderstellen, Aktionär*innen, Investor*innen). Außerdem können im Rahmen unserer Adressverlagstätigkeit Ihre Daten an werbetreibende Unternehmen weitergegeben werden. Das sind zum Beispiel Unternehmen wie Versandhandel und stationärer Handel, Finanzdienstleister*innen und Versicherungen, IT- und Telekommunikationsunternehmen oder Energieversorger*innen. Auch Vereine wie Spendenorganisationen, NGOs und Parteien

Im Gerichtsverfahren habe die Beklagte dann weitergehend mitgeteilt, werbetreibende Unternehmen im Versand- und stationären Handel, IT-Unternehmen, Adressverlage und Vereine, wie Spendenorganisationen, NGOs oder Parteien mit Daten zu beliefern.

Das Klagebegehren, die Beklagte möge ihre Auskunft verbessern und die allgemeinen Ausführungen betreffend die Empfänger von Daten konkretisieren, sei in den Vorinstanzen abgewiesen worden, weil schon die allgemeinen Ausführungen als rechtskonform im Sinne des Art. 15 DSGVO zu betrachten seien – es bestehe ein Wahlrecht des Verantwortlichen betreffend die Frage, ob Empfänger oder lediglich Kategorien von Empfängern zu beauskunften seien.

Zu der Frage, ob ein Wahlrecht des Verantwortlichen in Art. 15 DSGVO normiert werden solle, besteht ein Literaturstreit. Paal in Paal/Pauly und Haidiner in Knyrim befürworten ein solches während Dix in Simitis/Hornung/Spiecker gen. Döhmann annehmen, dass Empfänger, die bekannt sind, offenzulegen sind. Ehmann in Ehmann/Selmayr geht davon aus, dass der Auskunft konkreter Empfänger der Vorrang einzuräumen ist. Schantz in Schantz/Wolff geht indes von einem Wahlrecht der betroffenen Person aus. Schmidt-Wudy in Wolff/Brink stellt darauf ab, dass es sachgerecht ist, eine Pflicht zur Auskunft von Empfängern anzunehmen, wenn eine Mehrfachweitergabe besteht, die Kategorie von Empfängern ausreicht.

Daraus ergebe sich, dass der Oberste Gerichtshof die Rechtslage aus dem Wortlaut des Art. 15 Abs. 1 lit c DSGVO nicht abschließend beurteilen könne:

Die deutsche Sprachfassung (nichts Anderes ergebe sich aus der englischen Fassung) normiere ein Betroffenenrecht und eben keine korrelierende Auskunftspflicht des Verantwortlichen, was eher auf ein Wahlrecht der betroffenen Person hindeute. Anders als die Informationspflichten des Verantwortlichen knüpfe das Auskunftsrecht auch nicht an die Datenermittlung an, sondern sei auch in die Vergangenheit gerichtet (Rs c-533/07, Rijekboer). Auch spreche eine Auslegung im Lichte des Normzwecks klar gegen ein Wahlrecht des Verantwortlichen. Ein anderes Verständnis würde im Ergebnis dazu führen, dass es zu einer erheblichen Beeinträchtigung der Effektivität der der betroffenen Person zur Verfügung stehenden Rechtsbehelfe käme.

GZ: DSB-D124.733, 2020-0.844.057 Verletzung im Recht auf Geheimhaltung: Eine Bonitätsabfrage ohne konkreten Grund für einen Verdacht eines Versicherungsbetruges im Zuge der Bearbeitung eines Schadensfalles

Im Bescheid vom 2. Februar 2021, zur GZ: DSB-D124.733, 2020-0.844.057, hatte sich die Datenschutzbehörde mit einer Beschwerde wegen behaupteter Verletzung im Recht auf Geheimhaltung (§ 1 DSG) und einer Interessensabwägung aufgrund von berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) auseinander zu setzen.

Die Beschwerdeführerin erlitt einen Unfall, welcher an die zuständige Haftpflichtversicherung (Beschwerdegegnerin) gemeldet wurde. Diese prüfte den Schadensfall unter anderem dadurch, indem sie eine Abfrage bei einer Bonitätsdatenbank zur Zahlungsmoral der Beschwerdeführerin tätigte. Dabei wurde auf eine bereitgestellte Ampelfunktion über eine entsprechende Schnittstelle zurückgegriffen. Im konkreten Fall wurde die Ampelfarbe „rot“ angezeigt, was eine negative Zahlungsmoral bedeutete.

Die Beschwerdegegnerin begründete die gegenständliche Verarbeitung damit, dass diese auf der Basis von den berechtigten Interessen der Beschwerdegegnerin und ihrer Gläubiger an der Bekämpfung von Versicherungsbetrug zulässig gewesen sei. Da eine Korrelation zwischen der Zahlungsmoral des Betroffenen und der Anfälligkeit für Versicherungsbetrug bestehe, habe die Beschwerdegegnerin im Verdachtsfall die gegenständliche Bonitätsdatenabfrage zur Zahlungsmoral getätigt.

Im laufenden Verfahren hat die Beschwerdegegnerin es aber unterlassen, einen konkreten Grund für ihren Verdacht, die Beschwerdeführerin könnte ein Risiko für Versicherungsbetrug sein, darzulegen und konnte daher nicht nachvollziehbar vorbringen, warum ihre wirtschaftlichen Interessen in diesem Fall gegenüber den Interessen der Beschwerdegegnerin überwiegen, zumal die Beschwerdegegnerin der Beschwerdeführerin die gegenständliche Versicherungsleistung ausgezahlt hat. Der Beschwerde wurde stattgegeben.

Dieser Bescheid ist rechtskräftig.

Übermittlung eines negativen PCR-Testergebnisses an das Gesundheitsamt

Mit Bescheid vom 15. Februar 2021, GZ: 2021-0.101.211, setzte sich die Datenschutzbehörde mit der datenschutzrechtlichen Zulässigkeit der Übermittlung eines negativen PCR-Testergebnisses an eine Bezirksverwaltungsverwaltungsbehörde (als Gesundheitsamt) auseinander.

Der Beschwerdeführer hat einen freiwilligen PCR-Test (SARS-CoV-2) bei der Beschwerdegegnerin (Betreiberin eines Labors) durchgeführt. Das Testergebnis war negativ. In weiterer Folge hat der Beschwerdeführer in Erfahrung gebracht, dass die Beschwerdegegnerin das negative Testergebnis an das zuständige Gesundheitsamt übermittelt hat, was nach Auffassung des Beschwerdeführers unrechtmäßig erfolgt sei.

Grundlegend war zu überprüfen, ob die Information über ein negatives PCR-Testergebnis einer bestimmten Person in den Schutzbereich von Art. 9 DSGVO fällt. Festzuhalten war, dass die Legaldefinition „Gesundheitsdaten“ des Art. 4 Z 15 DSGVO nicht an eine gewisse (Mindest-) Beeinträchtigung der körperlichen oder geistigen Gesundheit anknüpft. Noch deutlicher wird dies in ErwGr. 35 der Verordnung, wonach zu den personenbezogenen Gesundheitsdaten alle Daten zählen sollten, aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Auch der EuGH legt den Begriff „Gesundheitsdatum“ weit aus (vgl. zur insofern vergleichbaren Rechtslage nach der Richtlinie 95/46 das Urteil des EuGH vom 6. November 2003, C 101/01, Rs Lindqvist, Rz 50 f). Somit war für die Beurteilung der hier relevanten Datenübermittlung (auch) das Schutzregime von Art. 9 Abs. 2 DSGVO zu beachten.

Im Hinblick auf die Rechtmäßigkeit war festzuhalten, dass sich aus Art. 9 Abs. 1 lit. i DSGVO iVm § 3 Abs. 1 Z 1, Z 1a sowie Abs. 2 EpiG keine Verpflichtung zur Abgabe einer behördlichen Meldung über einen negativen PCR-Test ergibt. Allerdings kann die Pflicht zur Abgabe einer behördlichen Meldung gemäß § 1 Abs. 2 EpiG durch den Bundesminister für Gesundheit dann erweitert werden, wenn dies aus epidemiologischen Gründen gerechtfertigt oder auf Grund internationaler Verpflichtungen erforderlich ist. Von dieser Möglichkeit zur Erweiterung der Meldepflichten wurde im Rahmen der aktuellen Pandemie Gebrauch gemacht. So wurde § 1 Abs. 3 der Verordnung des Bundesministers für Gesundheit betreffend elektronische Labormeldungen in das Register anzeigepflichtiger Krankheiten, BGBl. II Nr. 184/2013 idgF dahingehend geändert, dass gemäß dessen § 1 Abs. 3 Einrichtungen dazu verpflichtet sind, im Falle einer Pandemie mit COVID-19 auch alle negativen und ungültigen Ergebnisse an die Bezirksverwaltungsbehörde zu übermitteln.

Die hier relevante Verordnung, mit der die Meldepflicht erweitert wurde, beruht auf der gesetzlichen Grundlage des § 3 Abs. 1 EpiG und bindet die jeweiligen medizinischen Einrichtungen gleichermaßen. Zudem muss nach ErwGr. 41 erster Satz DSGVO eine Rechtsgrundlage, auf die (der hier relevante) Art. 9 Abs. 2 lit. i DSGVO abgestellt, auch nicht notwendigerweise auf einem von einem Parlament angenommenen Gesetzgebungsakt beruhen. Ferner handelt es sich bei einem PCR-Test (also der Erhebung, ob eine Person infiziert ist) um keinen besonderen Datenverarbeitungsvorgang – wie etwa Profiling gemäß Art. 4 Z 4 DSGVO – sodass auch nicht davon auszugehen ist, dass der in Art. 9 Abs. 2 lit. i der Verordnung enthalte Maßstab an nationale Normen, „angemessene und spezifische Schutzmaßnahmen“ zu normieren, verletzt wäre.

Die Erweiterung der Meldepflicht des § 3 Abs. 1 EpiG ist zur Bekämpfung von COVID-19 auch zweckdienlich, da das Datenmaterial (also länder- und bundesspezifische Informationen über negative und ungültige PCR-Tests) relevant für die Ausrichtung der Pandemiestrategie – insbesondere der Teststrategie – ist.

Die Datenschutzbehörde gelangte daher zu dem Ergebnis, dass auch die Übermittlung eines negativen PCR-Testergebnisses an eine Bezirksverwaltungsverwaltungsbehörde (als Gesundheitsamt) zulässig ist.

Dieser Bescheid ist rechtskräftig.

Gesundheitsfragenbogen über eine mögliche Infektion mit dem Coronavirus (SARS-CoV-2)

Mit Bescheid vom 9. März 2021, GZ: 2021-0.157.107, setzte sich die Datenschutzbehörde mit der Frage auseinander, ob es datenschutzrechtlich zulässig ist, einen Gast dazu anzuhalten, einen Fragebogen zur Ermittlung seines gesundheitlichen Zustandes auszufüllen, bevor er sich in einem Hotel aufhalten darf.

Der Beschwerdeführer hat einen Aufenthalt im Hotel der Beschwerdegegnerin gebucht. Der Beschwerdeführer wurde beim Betreten des Hotels aufgefordert, einen physischen Fragebogen auszufüllen. Der Fragebogen wurde laut Angabe der Beschwerdegegnerin „zur Reduzierung des Risikos von Infektionskrankheiten“ im Zusammenhang mit dem Coronavirus eingesetzt. Es wurden Symptome abgefragt, die nach aktueller wissenschaftlicher Evidenz mit dem Coronavirus in Verbindung stehen. Der Beschwerdeführer hat diesen Fragebogen allerdings nicht ausgefüllt, sondern durchgestrichen. Somit wurden auch keine Daten von ihm erhoben.

Ausgehend von diesem Sachverhalt war festzuhalten, dass Voraussetzung für die Erhebung einer Beschwerde an die Datenschutzbehörde eine Datenverarbeitung ist (vgl. Art. 4 Z 1 DSGVO) und durch die erfolgte Datenverarbeitung eine Verletzung in Rechten behauptet wird. Geplante, jedoch letztlich nicht erfolgte Datenverarbeitungen sind einer Beschwerde nach Art. 77 DSGVO iVm § 24 DSG nicht zugänglich. Dies legt bereits der Wortlaut von Art. 77 Abs. 1 DSGVO und § 24 Abs. 1 DSG nahe, wonach eine Beschwerde dann erhoben werden kann, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt (und nicht „verstoßen wird“ oder „verstoßen könnte“).

Eine nachprüfende Kontrolle durch die Datenschutzbehörde und die Gerichte trägt auch dem Umstand Rechnung, dass ein Beschwerdeverfahren der Geltendmachung subjektiver Rechte dient. Somit ist es grundlegende Voraussetzung, dass die Rechtsposition der betroffenen Person durch ein Fehlverhalten des Verantwortlichen unmittelbar beeinträchtigt wird oder wurde. Ein Beschwerdeverfahren dient jedoch nicht dem Zweck, die Einhaltung objektiver Pflichten durch einen Verantwortlichen zu überprüfen, ohne dass sich die Nichteinhaltung in einer Beeinträchtigung subjektiver Rechtspositionen manifestiert (vgl. zu Datensicherheitsmaßnahmen den Bescheid vom 13. September 2018, GZ: DSB-D123.070/0005-DSB/2018). Der Beschwerdeführer brachte auch nicht vor, dass das Nichtausfüllen des Fragebogens mit einem Nachteil für diesen verbunden wäre (wie etwa die Weigerung der Beschwerdegegnerin, einen Beherbergungsvertrag abzuschließen).

Die Beschwerde war im Ergebnis abzuweisen.

Dieser Bescheid ist nicht rechtskräftig.

GZ: DSB-D124.1686, 2020-0.787.882 Recht auf Löschung, Insolvenzverfahren eines Geschäftsführers relevant für Bonitätsbewertung der juristischen Person

Mit Bescheid vom 20. Jänner 2021 hatte sich die DSB mit der Bonitätsbewertung einer juristischen Person auseinanderzusetzen. Der Beschwerdeführer ist alleinvertretungsbefugter Geschäftsführer einer GmbH und hatte ein privates Insolvenzverfahren, wobei der Zahlungsplan noch nicht erfüllt war. Die Beschwerdegegnerin betreibt eine Bonitätsdatenbank iSd § 152 GewO 1994 für Unternehmer iSd §§ 1-3 UGB. In dieser Bonitätsdatenbank findet sich eine Eintragung zur GmbH mit dem Hinweis auf die Insolvenz des Beschwerdeführers. Diesen Hinweis begehrte der Beschwerdeführer zu löschen.

Die DSB hat dabei festgehalten, dass das (private) Insolvenzverfahren des Beschwerdeführers im Zusammenhang mit seiner Tätigkeit als Geschäftsführer einer juristischen Person für ebendiese bonitätsrelevant sein kann, obschon es sich beim Beschwerdeführer und der GmbH um unterschiedliche Rechtssubjekte handelt. Ein Geschäftsführer kann in gewissen Konstellationen nämlich von Gesellschaftsgläubigern direkt zur Haftung herangezogen werden (bspw. § 26 Abs. 2, § 56 Abs. 3 und § 64 Abs. 2 GmbHG).

Nach erfolgter Interessensabwägung wurde die Beschwerde abgewiesen, zumal im Ergebnis der Gläubigerschutz und die Risikominimierung bei Kreditvergabe bzw. bei Anbahnung von Geschäftsbeziehungen mit der GmbH überwog.

Der Bescheid ist nicht rechtskräftig.

BVwG-Erkenntnis vom 25.02.2021, GZ W274 2236016-1/6E

Mit diesem Erkenntnis gab das BVwG der Beschwerde statt und änderte den bekämpften Bescheid dahingehend ab, dass die Datenschutzbeschwerde im Ergebnis abgewiesen wurde.

Ausgangspunkt war ein Bescheid der Datenschutzbehörde vom 21. August 2020, wonach die Veröffentlichung personenbezogener Daten anlässlich von Gemeindevertretungswahlen den Beschwerdeführer in seinem Recht auf Geheimhaltung verletzte. Die Datenschutzbeschwerde richtete sich dabei gegen eine wahlwerbende Partei, die im Zuge von – gesetzlich nicht näher geregelten - Vorwahlen die Wählerkartei der Gemeinde mittels Flugblatt veröffentlichte, welche auch Name, Adresse und Geburtsjahr des Beschwerdeführers beinhaltete. Der Beschwerde wurde von der DSB mangels (berechtigtem) Interesse der Beschwerdegegnerin stattgegeben.

Das BVwG führte hingegen aus, dass es sich bei den verfahrensgegenständlichen Daten um zulässig veröffentlichte Daten handle, da diese auf „Herold“ zu finden seien und folglich von einer diesbezüglichen Einwilligung des Beschwerdeführers auszugehen sei. Dasselbe gelte für die Publikation der Daten auf der Homepage des Beschwerdeführers. Da die Datenverarbeitung in diesem Fall nicht über eine bloße Reproduktion hinausgehe, sei die Ausnahmebestimmung des § 1 Abs. 1 Satz 2 DSG betreffend allgemein verfügbare Daten anwendbar. Eine Interessensabwägung könne folglich ausbleiben.

Die ordentliche Revision wurde für zulässig erklärt.

BVwG-Erkenntnis vom 25.02.2021; GZ W274 2238717-1/4E

Mit diesem Erkenntnis bestätigte das BVwG einen Bescheid der Datenschutzbehörde, wonach bereits die einmalige Kontaktaufnahme seitens einer Immobiliengesellschaft mit einer Person, deren Daten dem Grundbuch entnommen wurden, unzulässig gewesen ist.

Die DSB hatte sich bereits wiederholt mit Beschwerden gegen postalische Zusendungen von Immobilienentwicklern auseinanderzusetzen, wobei die DSB in ständiger Spruchpraxis die Ansicht vertritt, dass die Verarbeitung von im Grundbuch ersichtlichen Daten zur Liegenschaftsakquise und zu Marketingzwecken solange als zulässig zu bewerten ist, als diese verhältnismäßig erfolgt.

Im gegenständlichen Fall kam das BVwG zum Ergebnis, dass auch die bloß einmalige Kontaktaufnahme unzulässig gewesen ist, da es sich bei der betroffenen Person nicht um die Eigentümerin der Liegenschaft handelte und dieser nach Abgabe eines Erbverzichts, wie aus dem Hauptbuch ersichtlich, keinerlei Verfügungsbefugnisse über die Liegenschaft zukamen. Überdies waren die Daten der Betroffenen einem Einantwortungsbeschluss in der nur eingeschränkt zugänglichen Urkundensammlung entnommen worden.

Das BVwG bestätigte unter Abänderung der Begründung des Bescheids der DSB deren Auffassung und führte begründend aus, dass es dem Immobilienentwickler nicht gelungen war, darzulegen, weshalb die Verarbeitung der Daten der Betroffenen zum Zweck der Liegenschaftsakquise erforderlich gewesen ist.

Das Erkenntnis ist nicht rechtskräftig.

Die DSB hat zu folgenden Gesetzesvorhaben eine Stellungnahme abgegeben:

• Terror-Bekämpfungs-Gesetz – TeBG

• Telekommunikationsgesetz; KommAustria-Gesetz, Strafprozeßordnung u.a., Änderung

• Bundesgesetz, mit dem das Gerichtsorganisationsgesetz (GOG) und das Bundesverwaltungsgerichtsgesetz (BVwGG) geändert werden

• Bundesgesetz, mit dem das Arbeitsvertragsrechts-Anpassungsgesetz, das Arbeitsverfassungsgesetz, das Dienstnehmerhaftpflichtgesetz, das Arbeitsinspektionsgesetz 1993, das Allgemeine Sozialversicherungsgesetz, das Beamten-Kranken- und Unfallversicherungsgesetz und das Einkommensteuergesetz 1988 geändert werden (Homeoffice-Paket)

• 2. Kontenregister-Durchführungsverordnung

• Bundesgesetz, mit dem das Epidemiegesetz 1950 und das COVID-19-Maßnahmengesetz geändert werden

• Strafrechtliches EU-Anpassungsgesetz 2021

• Ärztegesetz-Novelle 2021

Folgende neue Mitarbeiterinnen und Mitarbeiter nahmen ihre Tätigkeit in der DSB auf:

Herr Bernhard Baumgartner war mehrere Jahre im Bundesasylamt als Referent für Asylverfahren zuständig, danach absolvierte er an der Bundesfinanzakademie die Ausbildung zum Betriebsprüfer und war im Anschluss für die Steuerfahndung Wien als Prüfer für Finanzstrafverfahren tätig. Nun unterstützt er die DSB im Bereich des Verwaltungsstrafverfahrens.

Herr Bernhard Granadia, LL.M. (WU) studierte Wirtschaftsrecht an der Wirtschaftsuniversität Wien, war neben seinem Studium in verschiedenen Anwaltskanzleien tätig und unterstützt nun nach Absolvierung seiner Gerichtspraxis das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren.

Herr Gregor Hechberger unterstützt das Kanzlei- und Sekretariatsteam und arbeitet bei der internationalen Tätigkeit der DSB mit.

Frau Mag. Julia Ludwig war nach ihrem Studium der Rechtswissenschaften an der Universität Wien und anschließender Tätigkeit in der Rechtsberatung im Asylverfahren zuletzt als juristische Mitarbeiterin im Präsidialbüro des Bundesverwaltungsgerichts tätig. Nun unterstützt sie das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren sowie die Mitarbeiterinnen und Mitarbeiter des Präsidiums in Dienstrechtsangelegenheiten.

Herr Mag. Petar Nenadovic studierte Rechtswissenschaften an der Universität Wien und unterstützt das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren.

Herr Mag. Emmerich Neumann studierte Rechtswissenschaften an der Universität Wien. Derzeit absolviert er den postgradualen Universitätslehrgang für Informations- und Medienrecht an der Universität Wien und unterstützt das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren.

Herr Mag. Andreas Rohner studierte Rechtswissenschaften an der Universität Wien und unterstützt nach vorhergehender Tätigkeit als Rechtsanwaltsanwärter in den Rechtsgebieten Datenschutz und IT-Recht nun das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren.

Frau Katharina Rutner unterstützt tatkräftig das Kanzleiteam.

Frau Mag. Jasmin Weratschnig studierte Rechtswissenschaften an der Johannes Kepler Universität Linz und war bereits während ihres Studiums in mehreren Rechtsanwaltskanzleien in Kärnten und Wien tätig. Nach Absolvierung der Gerichtspraxis im Sprengel des OLG Wien arbeitete sie mehr als zwei Jahre als Juristin bei einem Versicherungsunternehmen. Nun unterstützt sie seit März 2021 das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren.

Folgende Mitarbeiterinnen und Mitarbeiter beendeten ihre Tätigkeit in der DSB:

Frau Haviseguel Kayayurt, Frau Mag. Clarissa Lechner, Frau Mag. Sairah Batul Rizvi.

Wir danken Frau Susanne Frühauf für ihren Arbeitseinsatz und verabschieden sie in den wohlverdienten Ruhestand.