Liebe Leserinnen und Leser!

Stellungnahme des Europäischen Datenschutzausschusses zum Entwurf eines Durchführungsbeschlusses der Europäischen Kommission über die Angemessenheit des Schutzes personenbezogener Daten gemäß dem EU-U.S.- Datenschutzrahmen (Opinion 5/2023)

Mag. Stephanie Mezler-Andelberg, Mag. Isabella Feibel, MMag. Elisabeth Wagner

Gemäß Art. 70 Abs. 1 lit. s DSGVO gehört zu den Aufgaben des Europäischen Datenschutzausschusses (EDSA) auch die Beratung der Europäischen Kommission in Bezug auf Entscheidungen über die Angemessenheit des Datenschutzniveaus in einem Drittland oder einer internationalen Organisation. Infolge eines solchen Angemessenheitsbeschlusses der Europäischen Kommission dürfen gemäß Art. 45 Abs. 1 DSGVO personenbezogene Daten an ein Drittland oder eine internationale Organisation übermittelt werden, ohne, dass es hierfür weiterer Instrumente oder einer besonderen Genehmigung bedarf. Datenübermittlungen an zertifizierte Verantwortliche in das Drittland können sodann genauso gehandhabt werden wie Datenübermittlungen innerhalb der EU.
Am 13. Dezember 2022 veröffentlichte die Europäische Kommission den Entwurf des Angemessenheitsbeschlusses für den „EU-U.S.- Datenschutzrahmen“ („EU-U.S. Data Privacy Framework“). Dieser Beschluss soll die Adäquanzentscheidung zum „EU-U.S. Privacy Shield“ ersetzen, welche vom Europäischen Gerichtshof (EuGH) mit dem Urteil in der Rechtssache C 311/18 - „Schrems II“ für ungültig erklärt wurde.
In seiner Stellungnahme vom 28. Februar 2023 begrüßte der EDSA die Verbesserungen des neuen EU-U.S.- Datenschutzrahmens, äußerte jedoch Bedenken betreffend einzelner Aspekte und ersuchte die Europäische Kommission diesbezüglich um Klarstellungen.
Bewertet wurden vom EDSA sowohl die Anwendung allgemeiner Datenschutzgrundsätze, die Rechtsschutzmechanismen sowie die Grundrechtsgarantien im Fall des Zugriffs nationaler Sicherheitsbehörden auf personenbezogene Daten, die aus der EU in die USA übermittelt werden.
Hinsichtlich der allgemeine Datenschutzgrundsätze lobte der EDSA die Aktualisierung der Prinzipien des EU-U.S.- Datenschutzrahmens, wie etwa die Klarstellung, dass auch verschlüsselte Daten personenbezogene Daten seien. Er hielt aber auch fest, dass sich diese Prinzipien sowie die den betroffenen Personen zur Verfügung stehenden Rechtsbehelfe seit dem „EU-U.S. Privacy Shield“ nicht wesentlich geändert hätten. Die Bedenken des EDSA, wie etwa in Bezug auf einige zu weitgefasste Ausnahmen zum Auskunftsrecht, das Fehlen von Schlüsseldefinitionen und die mangelnde Klarheit über die Anwendung der Grundsätze für die Auftragsverarbeiter blieben somit bestehen. Der EDSA begrüßte weiters spezifische Schutzmaßnahmen des EU-U.S.- Datenschutzrahmens, die das U.S.- Recht nunmehr in den Bereichen der automatisierten Entscheidungsfindung und des Profiling - zunehmend mit Hilfe von KI-Technologien - vorsähe. Jedoch unterstrich der EDSA die Notwendigkeit von spezifischen Vorschriften, beispielsweise im Hinblick auf die Kenntnis der zugrundeliegenden Logik durch die betroffene Person, die Anfechtung der automatisierten Entscheidung und das Erwirken einer menschlichen Prüfung der Datenverarbeitung. Der EDSA versprach eine genaue Beobachtung dieser Aspekte sowie der Wirksamkeit der Rechtsbehelfe für betroffene EU-Bürger.
In Bezug auf den Zugriff von U.S.-Behörden auf die aus der EU übermittelten personenbezogenen Daten für Zwecke der nationalen Sicherheit bestätigte der EDSA die erheblichen Verbesserungen in Folge der von Präsident Biden am 7. Oktober 2022 unterzeichneten Durchführungsverordnung („Executive Order [EO] 14086).
Mit der EO 14086 würden im Bereich der nachrichtendienstlichen Datenerfassung die Konzepte der Notwendigkeit und Verhältnismäßigkeit aufgenommen und ein neuer Rechtschutzmechanismus für EU-Bürger geschaffen. Im Gegensatz zum bisherigen Rechtsrahmen, gewähre die neue EO 14086 betroffenen Personen gewisse Ansprüche, biete mehr Garantien für die Unabhängigkeit des neu errichteten „Data Protection Review Courts“ (DPRC) sowie wirksamere Befugnissen zur Behebung von Datenschutzverstößen. Weiters sähe die EO 14086 eine Beschwerdemöglichkeit von betroffenen EU-Bürgern an den neu eingerichteten „Civil Liberties Protection Officer“ (CLPO) sowie Rechtsbehelfe gegen die von ihm erlassenen Entscheidungen an den übergeordneten DPRC vor. Dieses neue System unterliege der Überprüfung durch das „Privacy and Civil Liberties Oversight Board“ (PCLOB).
Bedenken äußerte der EDSA allerdings in Bezug auf die allgemeine Standardantwort des DPRC, da nach Überprüfung des Antrags dem Beschwerdeführer nur mitgeteilt werde, dass kein Verstoß festgestellt worden sei oder, dass angemessene Abhilfemaßnahmen getroffen worden seien. Ob der Beschwerdeführer Gegenstand einer nachrichtendienstlichen Aktivität gewesen sei oder nicht, werde hingegen nicht gesagt. Die Europäische Kommission wurde in der Stellungnahme des EDSA aufgefordert, die praktische Umsetzung dieses Rechtschutzmechanismus genau zu beobachten.
Positiv hervorzuheben sei laut EDSA, dass die EO 14086 eine Liste spezifischer Zwecke enthalte, für die eine Datensammlung durch Nachrichtendienste erfolgen dürfe bzw. nicht erfolgen dürfe. Allerdings könnte diese Liste durch zusätzliche - nicht unbedingt öffentliche - Zwecke aktualisiert werden.
Als Defizit des EU-US.- Datenschutzrahmens identifizierte der EDSA insbesondere das Fehlen sowohl einer vorherigen Genehmigung einer „bulk collection“ personenbezogener Daten durch eine unabhängige Behörde, als auch einer systematischen unabhängigen nachträglichen Überprüfung dieser „bulk collection“ durch ein Gericht oder eine gleichwertige unabhängige Stelle, wie es in der jüngsten Rechtsprechung des EGMR gefordert werde. Es bestehe hier auch Klärungsbedarf in Bezug auf temporäre „bulk collection“ von personenbezogenen Daten, die weitere Aufbewahrung sowie Weitergabe dieser Daten. In diesem Zusammenhang bedauert der EDSA, dass das „FISA“-Gericht (FISC) bei der Genehmigung von solchen Überwachungsprogrammen betreffend Nicht-U.S.-Bürgern, den diesbezüglichen Antrag nicht auf Einhaltung der EO 14086 durch die Nachrichtendienste überprüfe, obwohl die Nachrichtendienste, die das Programm durchführten, an diese gebunden seien.
Abschließend empfahl der EDSA der Europäischen Kommission, nach der ersten Überprüfung der Angemessenheitsentscheidung, weitere Überprüfungen mindestens alle drei Jahre durchzuführen und bot seine Beteiligung an.

Bericht über die Gerichtsverhandlung zu C-33/22

Dr. Matthias Schmidl

Der Verwaltungsgerichtshof hat dem EuGH insgesamt drei Fragen zur Vorabentscheidung vorgelegt, welche in der Rechtssache C-33/22, Österreichische Datenschutzbehörde, behandelt werden.
Im Kern geht es um die Fragen, ob Datenverarbeitungen durch einen parlamentarischen Untersuchungsausschuss in den Anwendungsbereich der DSGVO fallen, ob dies auch dann gilt, wenn der Untersuchungsgegenstand die nationale Sicherheit betrifft und ob die Datenschutzbehörde als einzige Aufsichtsbehörde in Österreich auch für die Behandlung von Beschwerden zuständig ist, die sich gegen einen Untersuchungsausschuss (und damit ein parlamentarisches Organ richten).
Die Datenschutzbehörde vertritt in dieser Rechtssache die Ansicht, dass die Datenverarbeitung durch einen Untersuchungsausschuss, und zwar unabhängig vom konkreten Untersuchungsgegenstand, in den Anwendungsbereich der DSGVO fällt. Allerdings ist die Datenschutzbehörde der Meinung, dass sie als Verwaltungsbehörde nicht für Beschwerden, die sich gegen Organe des Parlaments richten, zuständig ist; dies vor allem aus Gründen der Trennung der Staatsgewalten.
Nach dem schriftlichen Verfahren, an denen sich die Parteien des Ausgangsverfahrens (also die Datenschutzbehörde, W.K. und der Präsident des Nationalrates), die Republik Österreich, die Tschechische Republik und die Europäische Kommission beteiligt hatten, fand am 6. März 2023 eine mündliche Verhandlung mit Beteiligung derselben Verfahrensparteien bzw. Mitgliedstaaten und der Europäischen Kommission statt, wobei die jeweiligen Redezeiten mit 15 bzw. 20 Minuten begrenzt waren.
Die Verhandlung wurde vor der Großen Kammer geführt, was die Bedeutung, die der EuGH der Rechtssache beimisst, unterstreicht.
Die jeweiligen Vertreter/innen wiederholten in ihren Plädoyers im Wesentlichen die Standpunkte, die bereits im schriftlichen Verfahren vertreten worden waren. Zusätzlich hatte der EuGH im Vorfeld fünf Fragen gestellt, auf die in der mündlichen Verhandlung eingegangen werden sollten.
Im Wesentlichen drehten sich diese Fragen darum, welche Gründe dafürsprechen, dass die Datenverarbeitung eines Untersuchungsausschusses im Lichte des Urteils in der Rechtssache C-272/19 nicht in den Anwendungsbereich der DSGVO fallen.
Im Anschluss an die Plädoyers stellten die Berichterstatterin (Lucia Serena Rossi), der Präsident (Koen Lenaerts) und der Generalanwalt (Maciej Szpunar) noch Fragen an einzelne Verfahrensbeteiligte.
Zum Schluss wurde den Verfahrensbeteiligten die Möglichkeit einer mündlichen Replik eingeräumt, um auf die Wortmeldungen anderer Verfahrensbeteiligter einzugehen.
Der Generalanwalt kündigte an, am 11. Mai 2023 seine Schlussanträge präsentieren zu wollen.

Bescheid vom 21. Februar 2023, GZ: 2023-0.137.735 (Verfahrenszahl D124.1473), Ablehnung der Beschwerde wegen offensichtlicher Unbegründetheit
Der Beschwerdegegenstand dieses Verfahrens war die Frage, ob der Beschwerdeführer vom Erstbeschwerdegegner im Recht auf Geheimhaltung, im Recht auf Information sowie im Recht auf Auskunft und von der Zweitbeschwerdegegnerin im Recht auf Geheimhaltung sowie im Recht auf Auskunft verletzt worden war.
Im Zuge des Ermittlungsverfahrens brachten die Beschwerdegegner vor, dass der Beschwerdeführer ihnen angeboten hatte, gegen eine Zahlung von € 2.900,-- von der Erhebung einer Beschwerde bei der Datenschutzbehörde abzusehen und legten ein entsprechendes Schreiben des Beschwerdeführers vor.
Die Datenschutzbehörde gelangte zum Ergebnis, dass vor diesem Hintergrund auf Seiten des Beschwerdeführers von keinem tatsächlichen Rechtschutzbedürfnis ausgegangen werden kann, weshalb die verfahrensgegenständliche Beschwerdeerhebung als unredlich und die Inanspruchnahme der Tätigkeit der Datenschutzbehörde durch den Beschwerdeführer als rechtsmissbräuchlich zu qualifizieren war. Die Beschwerde wurde daher, gestützt auf Art. 57 Abs. 4 DSGVO, wegen offensichtlicher Unbegründetheit abgelehnt.
Der Bescheid ist rechtskräftig.

DSB- D124.0867/22 (2022-0.565.965), Verletzung im Recht auf Geheimhaltung: Die Weitergabe der neuen Wohnadresse an den Kindesvater trotz (ZMR) Auskunftssperre durch Gebietskörperschaft ist mangels gesetzlicher Grundlage unrechtmäßig
Die Beschwerdeführerin hat gegen den Kindesvater ihres gemeinsamen Kindes eine einstweilige Verfügung erwirkt und hat nach ihrem Umzug in ein anderes Bundesland eine Auskunftssperre im Zentralen Melderegister (ZMR) eingerichtet. Daraufhin versendete die Beschwerdegegnerin, bei welcher es sich um eine Gebietskörperschaft handelte, ein Informationsschreiben an den Kindesvater. Auf diesem Informationsschreiben befand sich die neue Adresse der Beschwerdeführerin, welche sie im ZMR sperren hat lassen.
Die Beschwerdegegnerin begründete die gegenständliche Verarbeitung damit, dass in ihrem Programm zur Datenspeicherung „CRM“, eine Melde- bzw. Auskunftssperre manuell eingetragen werden muss. Eine Melde- bzw. Auskunftssperre im ZMR sei nicht ausreichend, damit im System eine Auskunftssperre erscheine. Daher würden die Kindeseltern die Beschwerdegegnerin aktiv über eine Auskunftssperre verständigen müssen. Darüber hinaus berief sich die Beschwerdegegnerin auf § 10 des Landeskinder- und Jugendhilfegesetz (LandesKJHG).
Die Datenschutzbehörde stellte insbesondere fest, dass keine gesetzliche Grundlage für die Weiterleitung an den Kindesvater vorlag, da gemäß § 10 Abs. 7 des LandesKJHG bei Zuständigkeitswechsel die Dokumentationen nur an die zuständige Bezirksverwaltungsbehörde oder den örtlich zuständigen Kinder- und Jugendhilfeträger zu übermitteln sind.
Darüber hinaus wäre es an der Beschwerdegegnerin gelegen, geeignete technische und organisatorische Maßnahmen zu treffen, um dem berechtigten Interesse der Beschwerdeführerin auf Geheimhaltung ihrer (neuen) Adresse nachzukommen, etwa in dem vor Versendung von Schriftstücken automatisiert oder manuell der ZMR-Auszug auf eine Sperre kontrolliert wird, insbesondere in Fällen in denen eine einstweilige Verfügung oder Hinweise auf strafrechtliches Verhalten durch den Kindesvater vorliegt.
Daher kam die Datenschutzbehörde im Bescheid vom 16. September 2022, zur GZ: DSB-D124.0867/22 2022-0.565.965 zu dem Ergebnis, dass die gegenständliche Übermittlung durch die Beschwerdegegnerin an den Kindesvater durch das Fehlen einer qualifizierten rechtlichen Grundlage nicht rechtmäßig war, weshalb eine Verletzung im Recht auf Geheimhaltung vorliegt.
Dieser Bescheid ist rechtskräftig.

D124.5167 (2022-0.777.583), ELGA Protokolldaten, trotz Vermerk keine Einsichtnahme in eMedikationsdaten und eImpfpassdaten erfolgt
Mit Bescheid vom 15. November 2022 hatte die Datenschutzbehörde die Rechtmäßigkeit einer Abfrage von eMedikationsdaten und eImpfassdaten durch einen Arzt (Beschwerdegegner) zu beurteilen. Im gegenständlichen Fall war nicht der Beschwerdeführer, sondern dessen minderjähriger Sohn Patient des Beschwerdegegners. Der Sohn war sowohl bei seiner Mutter als auch beim Beschwerdeführer mitversichert. Nachdem der Beschwerdeführer festgestellt hatte, dass laut ELGA-Abfrageprotokoll sowohl seine eMedikationsdaten als auch seine eImpfpassdaten vom Beschwerdegegner abgerufen worden waren, obwohl er bei diesem zu keinem Zeitpunkt in Behandlung war, sah er sich in seinem Recht auf Geheimhaltung § 1 DSG verletzt. Im Rahmen eines umfangreichen Ermittlungsverfahrens konnte die Datenschutzbehörde feststellen, dass beim Stecken der eCard eines mitversicherten Minderjährigen nicht nur dessen eigene Daten, sondern auch die Namen der Hauptversicherten angezeigt werden. Zur Abrechnung mit dem jeweiligen Sozialversicherungsträger ist eine der hauptversicherten Personen auszuwählen, in diesem Fall wird deren Kartei automatisch von der Software geöffnet und (je nach Einstellung) entweder das Behandlungs- oder Stammdatenblatt angezeigt. Ein entsprechender Vermerk wird im ELGA-Abfrageprotokoll bereits dann gesetzt, sobald das Behandlungs-bzw. Stammdatenblatt angeklickt wird, eine Einsicht erfordert jedoch ein weiteres Anklicken und Öffnen der jeweiligen Daten. Gegenständlich wurde irrtümlich der Beschwerdeführer anstatt der Mutter, die den Sohn begleitet hatte, angeklickt, wodurch es zu den beschwerdegegenständlichen Vermerken gekommen ist, ohne dass tatsächlich Einsicht in die eMedikationsdaten und eImpfassdaten genommen wurde. Die Beschwerde wurde daher als unbegründet abgewiesen, der Bescheid ist rechtskräftig.

D124.5017 (2022-0.792.182), Veröffentlichung von frei im Internet verfügbaren Stelleninseraten auf der Jobplattform des Arbeitsmarkservice
Die Datenschutzbehörde hat mit Bescheid vom 21. November 2022 über die Rechtmäßigkeit der Veröffentlichung von frei im Internet verfügbaren Stelleninseraten durch das Arbeitsmarktservice abgesprochen. Bei der Beschwerdeführerin handelte es sich um eine juristische Person, diese sah sich durch die Veröffentlichung von Daten aus einer Stellenausschreibung im Recht auf Geheimhaltung gemäß § 1 DSG verletzt. Ursprünglich hatte die Beschwerdeführerin Stellenausschreibungen auf der eigenen Homepage veröffentlicht, diese wurden vom Arbeitsmarktservice aufgefunden und in weiterer Folge auf der Stellenplattform des Arbeitsmarktservice veröffentlicht. Nachdem es sich bei der Beschwerdeführerin um eine juristische Person handelte, war der Anwendungsbereich der DSGVO nicht eröffnet und die Ausnahme allgemein verfügbarer Daten nach § 1 Abs. 1 DSG zu beachten. Die Datenschutzbehörde hat die gegenständliche Veröffentlichung als rechtmäßig erkannt, und zwar aus folgenden Überlegungen: einerseits kam gegenständlich die Ausnahme für allgemein verfügbare Daten zum Tragen, da die Beschwerdeführerin die Stellenausschreibung selber auf ihrer Homepage veröffentlicht hat, vom Arbeitsmarktservice im Rahmen der Veröffentlichung kein informationeller Mehrwehrt geschaffen wurde und die auf dessen Webseite veröffentlichten Jobausschreibungen regelmäßig aktualisiert werden. Darüber hinaus erfolgte die Veröffentlichung auch auf Grundlage der dem Arbeitsmarktservice gesetzlich übertragenen Aufgaben gemäß §§ 29 und 32 Abs. 2 AMSG und unter Berücksichtigung des Grundsatzes der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO. Der Bescheid ist rechtskräftig.

2023-0.088.055 (D124.1078), Verarbeitung biometrischer Daten bei Führerschein Validierung (Abgleich Selfie mit Führerschein)
Mit Bescheid vom 20. Februar 2022 setzte sich die Datenschutzbehörde mit der Verarbeitung biometrischer Daten zum Zweck der Führerscheinvalidierung mittels App durch einen Autovermieter auseinander.
Der Beschwerdegegner vermietet gewerblich Kraftfahrzeuge ohne Beistellung eines Fahrers. In Erfüllung seiner Pflicht nach § 103 Abs. 1 Z 3 KFG sicherzustellen, dass seine Kunden über einen aufrechten Führerschein (Lenkerberechtigung) verfügen, werden diese bei erstmaligem Vertragsabschluss sowie danach in regelmäßigen Abständen zur Vorlage eines Führerscheins aufgefordert. Der Beschwerdegegner ermöglicht seinen Kunden diese Überprüfung mittels App durch Hochladen eines Fotos des Führerscheins sowie eines Selbstportraits (Selfie) durchzuführen. Die hochgeladenen Aufnahmen werden dabei mittels speziellen technischen Verfahren abgeglichen, um die Kunden eindeutig zu identifizieren. Der Beschwerdegegner holt dazu im Vorfeld per App eine Einwilligung der Kunden ein. Beim Upload der Aufnahmen kam es beim Beschwerdeführer zu einem technischen Fehler der App, wodurch dieser keine Möglichkeit hatte in die Verarbeitung seiner biometrischen Daten einzuwilligen oder dieser zu widersprechen. In Ermangelung einer gültig erteilten Einwilligung stellte die Datenschutzbehörde eine Verletzung des Beschwerdeführers im Recht auf Geheimhaltung fest. Die darüber hinaus behauptete Verletzung im Recht auf Information konnte die Datenschutzbehörde nicht erkennen. Der Bescheid ist rechtskräftig.

D130.217 (2022-0.479.809), Löschung eines Beitrags von einer Online-Enzyklopädie
Mit dem Bescheid vom 9. Jänner 2023 hatte die Datenschutzbehörde zu beurteilen, ob ein Informationsdienstleister, welcher eine Online-Enzyklopädie betreibt, den Eintrag über die beschwerdeführende Partei zu löschen hat.
Der Beschwerdeführer, bei dem es sich um einen der breiten Öffentlichkeit im deutschsprachigen Raum bekannten Künstler handelt, welcher unter anderem in diversen Funktionen in Filmproduktionen mitgewirkt hat, denen allesamt ein starker Bezug zu Österreich gemein ist und auch dessen andere Werke primär auf den deutschsprachigen Raum gerichtet sind, hat einen Eintrag auf der Online-Enzyklopädie der Beschwerdegegnerin verfasst, welcher regelmäßig von ihm aktualisiert worden ist. Andere Nutzer bzw. Administratoren haben die Ergänzungen des Beschwerdeführers abgeändert bzw. gelöscht. Daraufhin stellte der Beschwerdeführer einen Antrag auf Löschung seines gesamten Eintrages. Diesem ist die Beschwerdegegnerin aber nicht nachgekommen.
Die Datenschutzbehörde hat die Beschwerde abgewiesen, weil sie zu dem Ergebnis gelangt ist, dass die beschwerdeführende Partei nicht im Recht auf Löschung verletzt worden ist.
Bei der Beschwerdegegnerin handelt es sich um eine nicht gewinnorientierte Stiftung mit Sitz in den USA, die eine Online-Enzyklopädie betreibt, welche die personenbezogenen Daten des Beschwerdeführers automatisiert verarbeitet. Die Beschwerdegegnerin verfügt zudem in Summe über 38 nationale Vereine, welche zum Teil ihren Sitz in der Europäischen Union (unter anderem Österreich und Deutschland) haben und die einzelnen nationalen Webseiten leiten entweder direkt oder über einen Zwischenschritt auf die Plattform der Beschwerdegegnerin weiter. Diese bietet Informationsdienstleistungen über Beschwerdeführer an, welche nur in zwei Sprachen verfügbar und offenkundig primär auf den deutschsprachigen Raum ausgerichtet sind. Hierbei ist insbesondere der Umstand hervorzuheben, dass die Seite des Beschwerdeführers in englischer Sprache nicht abrufbar ist. Nachdem in der Gesamtschau die Beschwerdegegnerin ihre Dienstleistungen offenkundig auf den europäischen Raum ausgerichtet hat - unter anderem auf die österreichischen Nutzer – ist der sachliche und räumliche Anwendungsbereich für die DSGVO gegeben (vgl. Art. 3 Abs. 2 lit. a DSGVO).
Aufgrund des strukturellen Aufbaus sowie aus den durch die Online-Gemeinschaft entstandenen Richtlinien handelt es sich bei der Beschwerdegegnerin zumindest um eine gemeinsame Verantwortliche gemäß Art. 4 Z 7 DSGVO in Bezug auf die von ihr betriebene Plattform, weil diese für die Finanzierung sowie Herstellung der Infrastruktur zuständig ist und die letzte Entscheidungsbefugnis innehat. Das Medienprivileg gemäß § 9 DSG hat im gegenständlichen Fall ebenfalls keine Anwendung gefunden, zumal das Mindestmaß an unternehmerischer Struktur, deren Unternehmenszweck die inhaltliche Gestaltung der Webseite ist, die von einer Redaktion und einer Vielzahl Angestellter oder freier Medienmitarbeiter wahrgenommen wird (vgl. RIS-Justiz RS01298), nicht vorhanden ist. Die Beschwerdegegnerin verfügt weder über einen Chefredakteur oder einen Redaktionsausschuss noch über ähnliche Einrichtungen. Eine Prüfung des Inhaltes der Einträge auf der Plattform erfolgt durch die Nutzer und nicht durch die Beschwerdegegnerin selbst.
Da der Beitrag der sachlichen Richtigkeit entsprochen hat, der Beschwerdeführer eine Person des öffentlichen Lebens ist sowie die Öffentlichkeit ein Informationsinteresse hat und ebenfalls dieselben Informationen auf anderen Webseiten öffentlich im Internet verfügbar sind bzw. darüber hinausgehende Informationen über den Beschwerdeführer, ist die Datenschutzbehörde im konkreten Fall zu dem Ergebnis gelangt, dass die Beschwerdegegnerin zu Recht dem Antrag auf Löschung nicht entsprochen hat, zumal die Intensität des Eingriffes als gering einzustufen ist und zudem das berechtigte Interesse der Allgemeinheit gemäß Art. 11 EU-GRC am Informationszugang gegenüber dem Interesse des Beschwerdeführers überwiegt.
Der Bescheid ist in Rechtskraft erwachsen.

BVwG-Erkenntnis, GZ: W245 2263552-1/20E, Erkenntnis vom 7. Februar 2023
Dem Erkenntnis des Bundesverwaltungsgerichts liegt einer von rund 800 gleichlautenden Bescheiden der Datenschutzbehörde betreffend die vom Amt der Tiroler Landeregierung verschickten Impfschreiben zu Grunde.
Die Datenschutzbehörde hat mit Bescheid vom 28. August 2022, GZ: 2022-0.577.930 (D771.831), ausgesprochen, dass der Beschwerdegegner den Beschwerdeführer dadurch in seinem Recht auf Geheimhaltung verletzt hat, indem der Beschwerdegegner unrechtmäßig auf die Daten des Beschwerdeführers im zentralen Impfregister und im zentralen Patientenindex zugegriffen und diese Daten zum Zweck des Versands eines Schreibens mit Informationen betreffend einen Termin für eine Corona-Schutzimpfung verarbeitet hat.
Das Bundesverwaltungsgericht wies die Bescheidbeschwerde des Beschwerdegegners ab und hielt zusammengefasst fest, dass sich der Beschwerdegegner auf keine gesetzliche Grundlage, insbesondere unter Zugrundelegung der höchstgerichtlichen Rechtsprechung, wonach eine Eingriffsnorm in das Grundrecht auf Datenschutz ausreichend präzise, also für jedermann vorhersehbar sein muss, stützen konnte. Weder das Gesundheitstelematikgesetz, noch die vom Beschwerdegegner zitierten Bestimmungen im Datenschutzgesetz, im Reichssanitätsgesetz von 1870 und im Übergangsgesetz 1920 enthalten nach Ansicht des Bundesverwaltungsgerichts tragfähige Bestimmungen.
Das Erkenntnis ist nicht rechtskräftig.

EuGH C-132/21, Urteil vom 12.1.2023 - Dualität des Rechtsschutzweges

Mag. Michael Suda

Der Betroffene hatte in Ungarn von einer AG gestützt auf Art. 15 DSGVO verlangt, ihm eine Kopie der vollständigen Tonaufzeichnung der Hauptversammlung, auf der er gesprochen hatte, zu übermitteln. Gegen die nur teilweise Erfüllung dieses Antrags hatte er sowohl Beschwerde (Art. 77 DSGVO) bei der Ungarischen Aufsichtsbehörde für Datenschutz (NAIH) als auch Klage vor dem zuständigen Zivilgericht (Art. 79 DSGVO) erhoben.
Die NAIH wies die Beschwerde ab, worauf die Sache vor das für Verwaltungssachen zuständige Rechtsmittelgericht (Hauptstädtisches Stuhlgericht Budapest) gebracht wurde. Inzwischen war im parallelen Zivilgerichtsverfahren bereits ein rechtskräftiges Urteil ergangen, wonach der Betroffene in seinen Rechten verletzt worden war.
Das Rechtsmittelgericht legte dem EuGH die Frage vor, ob es bei Überprüfung der Rechtmäßigkeit der Entscheidung der NAIH an das Urteil des Zivilgerichts gebunden sei. Da eine parallele Verfahrensführung zu einander widersprechenden Entscheidungen führen könne, wollte es außerdem wissen, ob einer der Rechtsbehelfe gegenüber dem anderen Vorrang habe.
Der EuGH kam zu dem Schluss, dass die DSGVO weder eine vorrangige oder ausschließliche Zuständigkeit noch einen Vorrang der Beurteilung der Aufsichtsbehörde oder eines Gerichts vorsieht. Die Rechtsschutzverfahren nach Art. 77 f und 79 DSGVO können nebeneinander und unabhängig voneinander angestrengt werden.
Es obliegt den Mitgliedstaaten, durch hierfür erforderliche Verfahrensvorschriften und in Ausübung ihrer Verfahrensautonomie sicherzustellen, dass diese Rechtsbehelfe weder die praktische Wirksamkeit und den effektiven Schutz der durch die DSGVO garantierten Rechte noch die gleichmäßige und einheitliche Anwendung ihrer Bestimmungen in Frage stellen.

EuGH, C-154/21, Urteil vom 12.1.2023 - Beauskunftung von Empfänger(-Kategorien)

Mag. Andreas Rohner

Eine betroffene Person beantragte bei einem Post-, Logistik- und Direktmarketingunternehmen, ihr gemäß Art. 15 DSGVO Abs. 1 lit. c DSGVO mitzuteilen, gegenüber welchen Empfängern es seine personenbezogenen Daten offengelegt habe. Bei der Beantwortung beschränkte sich das Post-, Logistik- und Direktmarketingunternehmen auf die Mitteilung, es verwende personenbezogene Daten im Rahmen seiner Tätigkeit als Herausgeber von Telefonbüchern und biete diese Daten Geschäftskunden für Marketingzwecke an. Im Laufe des darauffolgenden gerichtlichen Verfahrens wurde dem Betroffenen weiter mitgeteilt, seine Daten seien an Handelsunternehmen, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, NGOs oder politische Parteien weitergegeben worden. Der OGH legte dem EuGH die Frage vor, ob es dem Verantwortlichen freisteht, ob er der betroffenen Person die Identität der Empfänger oder nur die Kategorien von Empfängern mitteilt.
Der EuGH stellte in seinem Urteil fest, dass ein Verantwortlicher, soweit personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität dieser Empfänger mitzuteilen. Eine Ausnahme besteht nur dann, wenn (noch) nicht möglich ist, die konkreten Empfänger zu identifizieren oder der Antrag auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO ist. In diesen Fällen kann der Verantwortliche der betroffenen Person lediglich die Kategorien der Empfänger mitteilen.
Der EuGH begründet seine Entscheidung insbesondere damit, dass diese spezifischen Empfängerinformationen für die betroffene Person erforderlich sind, um es ihr zu ermöglichen, andere, in der DSGVO enthaltenen, Rechte auszuüben (etwa Recht auf Berichtigung, Löschung oder Widerspruch).

Die DSB hat zu folgenden Gesetzesvorhaben eine Stellungnahme abgegeben:

• Bundeskrisensicherheitsgesetz
• Medizinproduktemeldeverordnung 2023
• Bundesgesetz zur Errichtung der Stiftung Forum Verfassung
• Entwurf einer Finanz-Video-Identifikationsverordnung – FVIV sowie einer dreizehnten Änderung der FinanzOnline-Verordnung 2006

Folgende neue Mitarbeiterinnen und Mitarbeiter nahmen ihre Tätigkeit in der DSB auf:

Frau Mag. ^a Melanie Hofer studierte Rechtswissenschaften an der Karl-Franzens-Universität Graz. Im Anschluss absolvierte sie ihre Gerichtspraxis im Gerichtssprengel des OLG Graz und unterstützt seit Februar 2023 das Team der Juristinnen und Juristen in nationalen Verfahren.

Frau Magdalena Hutya studiert derzeit Rechtswissenschaften an der Universität Wien und unterstützt seit März 2023 die juristischen Teams zur Führung der nationalen Verfahren.

Frau Mag.^a Jana Raus studierte Rechtswissenschaften an der Universität Wien. Derzeit absolviert sie den postgradualen Universitätslehrgang für Information- und Medienrecht an der Universität Wien und unterstützt seit Februar 2023 das Team der Jurist*innen in nationalen Verfahren.

Folgende Mitarbeiterinnen und Mitarbeiter beendeten ihre Tätigkeit in der DSB:

Frau Mag. Olivia Knehs-Vranitzky, Herr Florian Kraxner, Frau Elisabeth Pferschy