Newsletter im Browser anzeigen

Liebe Leserinnen und Leser!

Die DSB wünscht allen viel Freude beim Lesen!

Fünf Jahre DSGVO - Ende der Amtsperiode von Dr.ⁱⁿ Andrea Jelinek als Vorsitzende des Europäischen Datenschutzausschusses

MMag. Elisabeth Wagner und Mag. Katharina Mayrhofer

Am 25. Mai 2023 wurde die Leiterin der finnischen Aufsichtsbehörde Dr.ⁱⁿ Anu Talus in zwei Wahlgängen mit 19 von 25 Stimmen als Nachfolgerin von Dr.ⁱⁿ Andrea Jelinek zur neuen Vorsitzenden des Europäischen Datenschutzausschusses (EDSA) gewählt.[1] Damit ging die 5-jährige Vorsitzführung durch Dr.ⁱⁿ Andrea Jelinek zu Ende. Dr.ⁱⁿ Jelinek wurde im Februar 2018 zunächst die Vorsitzende der Artikel-29-Arbeitsgruppe - der Vorgängerinstitution des EDSA - und mit In-Geltung-Treten der DSGVO am 25. Mai 2018 die erste Vorsitzende des EDSA.
Als neue stellvertretende Vorsitzende setzte sich die Leiterin der zypriotischen Aufsichtsbehörde Irene Loizidou Nikolaidou durch. Sie ist eine von zwei Stellvertretenden; die Amtszeit des zweiten Stellvertreters, dem Leiter der niederländischen Aufsichtsbehörde Aleid Wolfsen dauert bis zum 15. Mai 2024.
Der EDSA ist eine unabhängige Einrichtung der Europäischen Union mit eigener Rechtspersönlichkeit und setzt sich aus den Leiterinnen und Leitern der Datenschutzaufsichtsbehörden aller Mitgliedsstaaten der Union sowie dem Europäischen Datenschutzbeauftragten zusammen.[2] Dieser soll die einheitliche Anwendung des datenschutzrechtlichen Regelungswerks in allen Mitgliedsstaaten der Europäische Union fördern. Die Entscheidungsfindung des EDSA erfolgt im Rahmen von zumindest monatlichen Plenarsitzungen, wobei Experten-Untergruppen oder für spezielle Angelegenheiten eingerichtete Task Forces die inhaltlichen Vorbereitungen treffen.
Während der Vorsitzführung durch Dr.ⁱⁿ Jelinek hat der EDSA 33 Leitlinien erlassen, die der einheitlichen Auslegung der DSGVO dienen. Die Leitlinien befassen sich dabei mit grundlegenden Themenkomplexen, wie etwa den Rechten der betroffenen Personen, und werden hochaktuelle Fragestellungen im Hinblick mit dem Umgang mit neuen Technologien erörtert, wie etwa die Verarbeitung personenbezogener Daten im Zusammenhang mit vernetzten Fahrzeugen und mobilitätsbezogenen Anwendungen.[3]
Der EDSA verfügt weiters über Kompetenzen bei grenzüberschreitenden Verfahren. Seit 2018 wurden von den Datenschutzaufsichtsbehörden über 1.700 solcher „One-Stop-Shop“- Verfahren geführt und über 700 finale Entscheidungen getroffen.[4] Kann bei grenzüberschreitenden Verfahren kein Konsens zwischen den Aufsichtsbehörden hergestellt werden, hat der EDSA im Rahmen des Streitbeilegungsmechanismus einen verbindlichen Beschluss zu erlassen.^{^[5]} Seit dem In-Geltung-Treten der DSGVO am 25. Mai 2018 wurden acht derartige Beschlüsse getroffen, die ebenso zur einheitlichen Auslegung der DSGVO beigetragen haben. So erging der rezenteste Beschluss im Zusammenhang mit einem Entscheidungsentwurf der irischen Aufsichtsbehörde gegen Meta. Der EDSA hat hierbei der irischen Aufsichtsbehörde aufgetragen, eine Geldstrafe aufgrund der rechtswidrigen Datenübermittlung in die USA zu verhängen sowie anzuordnen, dass Meta die Verarbeitungen in Einklang mit Kapitel V der DSGVO („Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen“) bringt.
Eine weitere Aufgabe des EDSA ist die Beratung der Europäischen Kommission in Bezug auf Entscheidungen über die Angemessenheit des Datenschutzniveaus in einem Drittland oder einer internationalen Organisation.^{^[6]} In diesem Zusammenhang hat der EDSA in den letzten fünf Jahren etwa Stellungnahmen zu den Entwürfen von Durchführungsbeschlüssen der Europäischen Kommission über die Angemessenheit des Schutzes personenbezogener Daten in Japan, im Vereinigten Königreich und zuletzt gemäß dem EU-U.S.- Datenschutzrahmen abgegeben.[7]
Im April 2022 fand in Wien unter der Leitung von Dr.ⁱⁿ Jelinek ein hochkarätiges Treffen der Mitglieder des EDSA statt, um mögliche Maßnahmen zur besseren Durchsetzung der DSGVO zu besprechen. Dabei wurde erklärt, die Zusammenarbeit in strategischen Fällen weiter zu forcieren sowie das Spektrum der verwendeten Methoden der Zusammenarbeit zu diversifizieren.^{^[8]} Zudem wurde vereinbart, verfahrensrechtliche Aspekte aufzuzeigen, die einer Harmonisierung durch EU-Recht bedürfen, um eine wirksame Anwendung der DSGVO – insbesondere in grenzüberschreitenden Verfahren – zu gewährleisten (sog. „Wish-List“). Die Europäische Kommission hat dies bereits zum Anlass genommen, einen ersten Verordnungsentwurf für konkrete Verfahrensvorschriften für die Datenschutzaufsichtsbehörden in grenzüberschreitenden Verfahren zu erlassen.[9]
Im Jahre 2022 fand die erste jährliche koordinierte Maßnahme („Coordinated Enforcement Framework - CEF“) der EDSA-Aufsichtsbehörden zur Nutzung von Cloud-basierten Diensten im öffentlichen Sektor statt.^{^[10]}Im Zuge einer solchen koordinierten Maßnahme führen die nationalen Aufsichtsbehörden jedes Jahr gemeinsam eine Schwerpunktprüfung durch.^{^[11]} Die diesjährige Maßnahme befasst sich mit der Rolle des Datenschutzbeauftragten.
Zudem trifft der EDSA diverse Sensibilisierungsmaßnahmen, um das Bewusstsein für die DSGVO in der Bevölkerung zu schärfen. Erwähnenswert erscheint hier der diesjährig herausgegebene Datenschutzleitfaden für kleine und mittlere Unternehmen (KMUs). Dieser soll KMUs praktische Informationen im Datenschutzbereich vermitteln und dadurch zur Einhaltung der DSGVO beitragen.^{^[12]}

[1] Vgl. Pressemitteilung des EDSA https://edpb.europa.eu/news/news/2023/anu-talus-elected-new-chair-european-data-protection-board_en

[2] Vgl. Art. 68 ff DSGVO.

[3] Sämtliche Leitlinien abrufbar unter DSGVO: Leitlinien, Empfehlungen, bewährte Verfahren | European Data Protection Board (europa.eu)

[4] Vgl. Art. 60 DSGVO.

[5] Vgl. Art. 65 DSGVO

[6] Vgl. Art. 70 DSGVO

[7] Stellungnahmen aufrufbar unter Adequacy decision | European Data Protection Board (europa.eu)

[8] Vgl. edpb_statement_20220428_on_enforcement_cooperation_en.pdf (europa.eu)

[9] Vgl. Neue Vorschriften für eine bessere Durchsetzung der DSGVO (europa.eu)

[10] Vgl. Coordinated Enforcement Action, use of cloud-based services by the public sector | European Data Protection Board (europa.eu)

[11] Vgl. edpb_documents_20201020_coordinatedenforcementframework_de.pdf (europa.eu)

[12] Leitfaden abrufbar unter The EDPB data protection guide for small business | European Data Protection Board (europa.eu)

Im Fokus

Zur ChatGPT Taskforce

Dr. Andreas Zavadil

Systeme künstlicher Intelligenz (KI-Systeme) sind der Allgemeinheit spätestens seit der Verfügbarkeit des sprach- und textbasierten Chatbots „ChatGPT“ bekannt und werden unseren Alltag im zunehmenden Ausmaß grundlegend verändern. Diese technologischen Fortschritte sind aber nicht ohne Risiko, da autonome Vorhersagen oder Entscheidungen durch ein KI-System – auch ohne missbräuchliche Absicht – negative Auswirkungen für die Rechte und Freiheiten von Menschen haben können.
Den Aufsichtsbehörden für den Datenschutz kommt bei diesen gesellschaftlichen Veränderungen eine besondere Rolle zu. Je nach Art des KI-Systems sind (sowohl nicht-personenbezogene als auch personenbezogene) Daten eine Voraussetzung, um derartige Systeme zu entwickeln und zu verbessern. Somit können bei der Verarbeitung personenbezogener Daten neben der geplanten Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz („AI Act“) – welche sich aktuell noch im EU-Gesetzgebungsverfahren befindet – auch die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) zur Anwendung kommen.
So hatte die italienische Aufsichtsbehörde (Garante per la protezione dei dati personali) bereits im März 2023 ein Verfahren gegen OpenAI OpCo, LLC – dem in Kalifornien ansässigen Betreiber von ChatGPT – eingeleitet. Aufgrund der Verfügungen der italienischen Aufsichtsbehörde wurde ChatGPT kurzfristig für italienische Nutzer gesperrt. In weiterer Folge haben auch Aufsichtsbehörden der EU amtswegige Datenschutzüberprüfungen eingeleitet, um die Einhaltung datenschutzrechtlicher Bestimmungen beim Einsatz von ChatGPT (konkret: die sprach- und textbasierten Modelle, insbesondere ChatGPT-4) zu überprüfen.
Zwischenzeitig wurde auf Ebene des Europäischen Datenschutzausschusses (EDSA) die sogenannte „ChatGPT Taskforce“ eingerichtet, an welcher die österreichische Datenschutzbehörde in führender Rolle beteiligt ist. Bei dieser Taskforce handelt es sich um eine Arbeitsgruppe innerhalb des EDSA, die bei den Prüfverfahren rund um ChatGPT eine kohärente Auslegung der DSGVO sowie einen einheitlichen Regulierungsansatz innerhalb der EU gewährleisten soll. Zum aktuellen Zeitpunkt gab es bereits zwei Sitzungen der Taskforce, in deren Rahmen u.a. ein Musterfragenkatalog zum Thema KI-Systeme und ChatGPT vorbereitet wurde. Durch diese Prüfverfahren soll jedenfalls die Transparenz in Bezug auf die Verarbeitung personenbezogener Daten mithilfe von KI-Systemen gefördert und der Schutz der Rechte und Freiheiten natürlicher Personen gewährleistet werden.

Ausgewählte Entscheidungen der DSB

D130.703 (2022-0.277.156), Unrechtmäßige Verarbeitung biometrischer personenbezogener Daten durch Clearview AI, Inc.
Die Datenschutzbehörde hat mit Bescheid vom 9. Mai 2023 einer Beschwerde stattgegeben und festgestellt, dass Clearview AI die personenbezogenen Daten des Beschwerdeführers in seiner Datenbank entgegen Art. 5 Abs. 1 DSGVO sowie ohne Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO und Art. 9 DSGVO, und somit unrechtmäßig, verarbeitet. Es wurde der Auftrag erteilt, die personenbezogenen Daten des Beschwerdeführers zu löschen. Des Weiteren wurde Clearview AI angewiesen, einen Vertreter in der Union gemäß Art. 27 DSGVO zu benennen.
Zusammengefasst betreibt Clearview AI eine Gesichtserkennungsplattform, die es ihren Kunden ermöglicht, Fotos von Personen mit online gefundenen Bildern abzugleichen. Die Bilder werden auf Webseiten, auf denen öffentlich zugängliche Fotos von menschlichen Gesichtern vorhanden sind, gesammelt. Die Datenbank umfasst derzeit 30 Milliarden Lichtbilder.
Die Datenschutzbehörde kam in ihrer rechtlichen Beurteilung zu dem Ergebnis, dass Clearview AI als Verantwortliche besondere Kategorien personenbezogener Daten (in Form von biometrischen Daten) aufgrund des Verarbeitungsverbots in Art. 9 Abs. 1 DSGVO unrechtmäßig verarbeitet hat.
Selbst wenn man annehmen wollte, dass Art. 9 DSGVO nicht zur Anwendung gelange oder dessen Voraussetzungen nicht erfüllt seien, so wäre die Verarbeitung auch im Lichte des Art. 6 Abs. 1 DSGVO unrechtmäßig.
Darüber hinaus wurden die Verarbeitungsgrundsätze nach Art. 5 Abs. 1 lit. a, b und c DSGVO verletzt.
Dieser Bescheid ist nicht rechtskräftig.

Bescheid vom 26. April 2023, D124.0543 (2023-0.072.284), Zulässigkeit der Beschwerdeerhebung gemäß § 1 DSG einer in Spanien ansässigen juristischen Person
Der Beschwerdegegenstand dieses Verfahrens war die Frage, ob die Beschwerdeführer von der Beschwerdegegnerin im Recht auf Geheimhaltung verletzt worden waren, indem die Beschwerdegegnerin in ihrer Datenbank (Kundendatenbank/Warenwirtschaftssystem) falsche Informationen sowie strafrechtliche Unterstellungen über die Beschwerdeführer gespeichert hat. Konkret hatte die Beschwerdegegnerin in ihrer Datenbank einen Vermerk erfasst, aus dem hervorgeht, dass aufgrund des Verhaltens des Erstbeschwerdeführers künftig keine Verträge mehr mit den Beschwerdeführern abgeschlossen werden. Bei der Beschwerdegegnerin handelt es sich um eine in Österreich registrierte Gesellschaft mit beschränkter Haftung. Der Unternehmensgegenstand der Beschwerdegegnerin umfasst den EDV-Handel sowie Dienstleistungen. Die Beschwerdegegnerin verfügt über mehrere Filialen in Österreich. Bei der Zweitbeschwerdeführerin handelt es sich um ein in Spanien, Barcelona, ansässiges Unternehmen, das in den Bereichen Kunst, Architektur und Design tätig ist. Der Erstbeschwerdeführer fungiert als Geschäftsführer der Zweitbeschwerdeführerin. Die Zweitbeschwerdeführerin erwarb in den Jahren 2016 und 2021 je einen PC samt Zubehör bei der Beschwerdegegnerin.
Die Aktivlegitimation der Zweitbeschwerdeführerin als juristische Person, sich auf § 1 DSG zu stützen, bejahte die Datenschutzbehörde, da im gegenständlichen Fall auch keine grenzüberschreitende Verarbeitung iSd Art. 4 Z 23 lit a oder lit b DSGVO vorlag, weil die Verarbeitung ausschließlich im Rahmen der Tätigkeit von Niederlassungen der Beschwerdegegnerin in Österreich stattfand und diese auch keine erheblichen Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hatte und vor diesem Hintergrund auch die Voraussetzungen des Art. 3 Abs. 1 DSGVO erfüllt waren. Im Ergebnis waren die Beschwerdeführer also zur Beschwerdeerhebung gemäß § 1 DSG aktiv legitimiert. Die Datenschutzbehörde wies die Beschwerde mit der Begründung ab, dass es der Beschwerdegegnerin – vor dem Hintergrund der Privatautonomie – freistehe, mit wem ein Vertrag abgeschlossen wird und dass ein interner Vermerk auch keine rechtswidrige Datenverarbeitung darstellt. Die Verarbeitung, im konkreten Fall, dass im internen Warenwirtschaftssystem festgehalten wird, dass mit bestimmten (juristischen) Personen, mit denen es bei früheren Geschäftskontakten zu Konflikten gekommen ist, von zukünftigen Vertragsabschlüssen absehen wird, stellt ein berechtigtes Interesse iSd Art. 6 Abs. 1 lit. f DSGVO der Beschwerdegegnerin dar.
Der Bescheid ist rechtskräftig.

D124.0105/22 (2022-0.219.227): Verarbeitung von Gesundheitsdaten zum Zweck der Dienstplanung
Mit Bescheid vom 23. März 2023 hatte die Datenschutzbehörde die Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten durch einen Arbeitgeber in Zusammenhang mit der Covid-19 Pandemie zu prüfen. Konkret ging es um Daten betreffend Immunisierung durch Impfung bzw. Genesung von Arbeitnehmer:innen der Beschwerdegegnerin, die zum Zweck der Dienstplanung verarbeitet wurden. Die Datenschutzbehörde ist in ihrem Bescheid zu dem Schluss gekommen, dass die Verarbeitung von Gesundheitsdaten grundsätzlich gemäß Art. 9 Abs. 2 lit. b DSGVO zulässig sein kann, wenn sie zur Erfüllung der Fürsorgepflicht eines Dienstgebers gemäß § 1157 ABGB erforderlich ist, dem Datenminimierungsgrundsatz nach Art. 5 Abs. 1 lit. c DSGVO folgend jedoch nur in dem dafür unbedingt erforderlichen Ausmaß. Im vorliegenden Fall waren nach Ansicht der Datenschutzbehörde nur Angaben zum Zeitraum einer Immunisierung erforderlich, nicht jedoch darüberhinausgehende Daten, insbesondere ob eine solche Immunisierung auf Grund einer Impfung oder Genesung erfolgt ist. Der Beschwerde wurde daher teilweise stattgegeben, der Bescheid ist nicht rechtskräftig.

D550.788 (2023-0.404.421), Straferkenntnis, unrechtmäßige Verarbeitung personenbezogener Daten zum Versand politischer Werbung
Die Datenschutzbehörde hat mit Straferkenntnis vom 16. Juni 2023 eine Strafe in Höhe von EUR 1000,- ausgesprochen.
Der Beschuldigte hat unrechtmäßig personenbezogene Daten verarbeitet, indem er Kontaktdaten (Name und Telefonnummer), die ihm lediglich aufgrund seiner Eigenschaft als Dienstnehmer eines privaten Unternehmens im Rahmen von Kundenbesuchen bekannt gegeben wurden, auf seinem privaten Mobiltelefon gespeichert hat, um diese in weiterer Folge für den Versand politischer Werbung im Zusammenhang einer Landtagswahl in Evidenz zu halten.
Die Verarbeitung erfolgte entgegen den Verarbeitungsgrundsätzen gemäß Art. 5 Abs. 1 lit. a und b DSGVO und konnte auf keinen der im Art. 6 Abs. 1 DSGVO normierten Erlaubnistatbestände gestützt werden. Auch lag keine zulässige Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO vor.
In subjektiver Hinsicht ging die Datenschutzbehörde aufgrund des bewussten Einspeicherns der Kontaktdaten zur zukünftigen Kontaktaufnahme für politische Wahlen davon aus, dass der Beschuldigte die gegenständliche Verarbeitung vorsätzlich vorgenommen hat.
Das Straferkenntnis ist zum Zeitpunkt des Verfassens des Beitrages nicht rechtskräftig.

Bescheid vom 10. Mai 2023, D124.0035/23 (Übermittlung von Daten an ein Gericht im Rahmen eines Unterhaltsverfahrens, rechtliche Grundlage in § 102 AußStrG)
Mit Bescheid vom 10. Mai 2023 befasste sich die Datenschutzbehörde mit der Rechtmäßigkeit der Vorlage von Dokumenten mit personenbezogenen Daten durch eine, Sozialleistungen gewährende Stelle in einem gerichtlichen Verfahren. Anlass war ein durch die Beschwerdeführerin eingeleitetes Unterhaltsverfahren gegen ihren Vater vor einem Bezirksgericht. Zu dieser Zeit wurde der Beschwerdeführerin eine Hauptleistung nach dem Oberösterreichischen Chancengleichheitsgesetz zuerkannt, konkret die Sachleistung „Wohnen in einer teilbetreuten Wohneinrichtung“, die ihr durch den Beschwerdegegner zur Verfügung gestellt worden war. Im Zuge des Unterhaltsverfahrens forderte das für das Unterhaltsverfahren zuständige Bezirksgericht den Beschwerdegegner auf, bekanntzugeben, ob der Beschwerdeführerin Kosten durch die seitens des Beschwerdegegners erbrachte Leistung entstanden sind und falls ja, in welcher Höhe. Der Beschwerdegegner kam dieser Aufforderung nach und legte dem Bezirksgericht die entsprechenden Informationen vor, woraufhin die Beschwerdeführerin die gegenständliche Beschwerde bei der Datenschutzbehörde einbrachte.
Die Datenschutzbehörde stellte fest, dass der Beschwerdegegner gemäß § 102 AußStrG zur Auskunftserteilung gegenüber dem Bezirksgericht verpflichtet war, da die Beschwerdeführerin eine Sachleistung als Sozialleistung in Anspruch nahm und der Beschwerdegegner als ausbezahlende Stelle zu qualifizieren und die Übermittlung der Daten an das Bezirksgericht daher gemäß Art. 6 Abs. 1 lit. c DSGVO iVm § 102 AußStrG rechtmäßig erfolgte. Auf eine Einwilligung der Beschwerdeführerin kommt es hierbei nicht an.
Der Bescheid ist rechtskräftig.

Ausgewählte Entscheidungen der Gerichte

BVwG Erkenntnis vom 15. März 2023, GZ: W108 2251251-1/6E, unverhältnismäßige Anzahl von Fotoaufnahmen zur Anzeigenerstattung
Mit gegenständlichem Erkenntnis des BVwG wurde die Beschwerde gegen den Bescheid der Datenschutzbehörde vom 11. November 2021, D124.3878 (2021-0.583.929), als unbegründet abgewiesen.
Verfahrensgegenständlich war die Anfertigung von insgesamt 1177 Lichtbildern der Mitbeteiligten zum Zwecke und zur Sicherung von Beweisen betreffend die Verletzungen der Bestimmungen der §§ 302 Abs. 1, 108, 146 StGB (Ausstellung von § 57a KFG-Überprüfungs-Gutachten) im Zeitraum von April bis Oktober 2020.
Das BVwG führte aus, dass die belangte Behörde zu Recht davon ausgegangen ist, dass die Rechtmäßigkeit der hier vorliegenden Bildverarbeitung durch eine Privatperson auf Basis von Art. 6 Abs. 1 lit f DSGVO zu beurteilen ist. Die Ermittlung personenbezogener Daten zum Zweck der Anzeigenerstattung und Untermauerung des schriftlichen Vorbringens an die zuständigen Behörden ist grundsätzlich zulässig. Jedoch müssen bei einer solchen Verarbeitung die Grundsätze des Art. 5 Abs. 1 lit. c DSGVO erfüllt sein.
Der belangten Behörde war beizupflichten, dass hierbei eine überschießende und damit über den Zweck hinausgehende Datenverarbeitung vorliegt. Es sei nicht erkennbar, warum und zu welchem konkreten Zweck die Anfertigung von 1177 Aufnahmen im Minutentakt bzw. im Zeitraum von mehreren Monaten erforderlich war.

Rechtsprechung

VfGH Judikat vom 14. Dezember 2022, GZ: G-287/2022 hinsichtlich § 9 DSG (Medienprivileg) und dazu ergangener Anlassbescheid vom 13. Februar 2023, GZ: D124.1846; 2023-0.077.163

Mag. Vanessa Neudecker

In seiner an die Datenschutzbehörde (DSB) gerichteten Beschwerde gegen ein Medienunternehmen machte der Beschwerdeführer – aufgrund der Veröffentlichung von Bildaufnahmen seiner Visitenkarte im Zusammenhang mit einer Hausdurchsuchung einer dritten Person – eine Verletzung in seinem Recht auf Geheimhaltung geltend (Anlassfall).
Da die Veröffentlichung unter § 9 DSG (Medienprivileg) fiel, wies die Datenschutzbehörde die Beschwerde mangels Zuständigkeit zurück.
Der Beschwerdeführer erhob Bescheidbeschwerde an das Bundesverwaltungsgericht (BVwG), welches im Rahmen des Rechtsmittelverfahrens beim Verfassungsgerichtshof (VfGH) beantragte, § 9 Abs. 1 DSG als verfassungswidrig aufzuheben.
In seinem Erkenntnis hob der VfGH § 9 Abs. 1 DSG wegen Verfassungswidrigkeit auf. Der VfGH begründete seine Entscheidung insbesondere damit, dass der normierte absolute und gänzliche – und damit undifferenzierte – Ausschluss der Anwendung aller (einfachgesetzlichen) Regelungen des Datenschutzgesetzes sowie ausgewählter Kapiteln der DSGVO auf näher definierte Datenverarbeitungen zu journalistischen Zwecken eines Medienunternehmens oder Mediendienstes dem in § 1 Abs. 2 DSG normierten Erfordernis widerspricht, dass der Gesetzgeber das Interesse am Schutz personenbezogener Daten mit dem Interesse der Medien im Rahmen ihrer journalistischen Tätigkeit sachgerecht abzuwägen hat.
Vielmehr hätte der Gesetzgeber einen angemessenen differenzierten Ausgleich zwischen den Interessen einzelner Personen auf Datenschutz auch gegenüber Medien und den durch Art. 10 EMRK geschützten Anforderungen journalistischer Tätigkeit vorzusehen. Zu denken ist in diesem Zusammenhang etwa an Einschränkungen in personeller (wie derzeit in § 9 Abs. 1 DSG vorgesehen, zB hinsichtlich Medienunternehmen und Mediendiensten), zeitlicher (unter Umständen nur bis zur Veröffentlichung eines Berichtes) oder sachlicher (zB hinsichtlich bestimmter Datenverarbeitungen oder Betroffenenrechte) Hinsicht. Ebenso könnte der Gesetzgeber – als Ausgleich für den Ausschluss (bestimmter) datenschutzrechtlicher Bestimmungen – erhöhte Anforderungen an die interne Organisation, Dokumentation und technische Sicherung der verarbeiteten Daten vorsehen.
In der Folge der Entscheidung des VfGH hob das BVwG den Zurückweisungsbescheid der DSB ersatzlos auf und trug die Fortsetzung des Verfahrens unter Abstandnahme vom gebrauchten Zurückweisungsgrund auf.
Die DSB hatte nun den Anlassfall neuerlich zu entscheiden und zwar so, als hätte § 9 Abs. 1 DSG zum Zeitpunkt der Sachverhaltsverwirklichung nicht dem Rechtsbestand angehört. Konkret hatte sich die DSB nun mit der Frage zu befassen, ob die Geheimhaltungsinteressen des Beschwerdeführers den in der Freiheit der Meinungsäußerung liegenden Interessen des Beschwerdegegners überwiegen.
Aufgrund des Gegenstandes der Berichterstattung, welcher inhaltlich auf eine dritte Person abgezielt hat, mangels öffentlichen Interesses an der Person des Beschwerdeführers sowie des Fakts, dass vergleichbare Medien die Daten des Beschwerdeführers schwärzten, überwogen die Interessen des Beschwerdeführers jenen des Beschwerdegegners, weshalb eine Verletzung im Recht auf Geheimhaltung festgestellt wurde.
Der Bescheid ist nicht rechtskräftig.

EuGH C-487/21, Urteil vom 4.5.2023 – Beauskunftung von Kopien gemäß Art. 15 Abs. 3 DSGVO

Mag. Lisa Leitner

Eine betroffene Person stellte einen Antrag auf Auskunft an eine Kreditauskunftei, die diese in Form einer Liste ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung waren, zur Verfügung stellte. Der Beschwerdeführer war der Ansicht, die Kreditauskunftei hätte ihm eine Kopie sämtlicher seine Daten enthaltenden Dokumente – wie beispielsweise E-Mails und Auszüge aus Datenbanken – übermitteln müssen und brachte Beschwerde bei der Datenschutzbehörde ein. Nachdem die Datenschutzbehörde die Beschwerde abgewiesen und der Beschwerdeführer Bescheidbeschwerde beim Bundesverwaltungsgericht eingebracht hatte, legte dieses dem EuGH ua. die Frage zur Vorabentscheidung vor, wie der Begriff „Kopie“ in Art. 15 Abs. 3 DSGVO auszulegen ist.
Der EuGH stellte in seinem Urteil vom 4. Mai 2023 klar, dass das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind.

EuGH C-300/21, Urteil vom 4. Mai 2023 – bloßer Verstoß gegen DSGVO nicht ausreichend, um Schadenersatzanspruch zu begründen

Mag. Lisa Leitner

Dem Anlassverfahren lag ein Verfahren aufgrund einer Klage auf Ersatz des immateriellen Schadens durch eine betroffene Person vor einem Zivilgericht zugrunde. Der Schaden soll dadurch entstanden sein, dass die beklagte Partei Daten über politische Affinitäten von Personen mit Wohnsitz in Österreich, darunter auch der Kläger, ohne dessen Einwilligung verarbeitet haben soll. Der OGH legte dem EuGH die Frage zur Vorabentscheidung vor, ob der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung der Bestimmungen der DSGVO auch erfordert, dass der Kläger einen (immateriellen) Schaden erlitten hat oder, ob bereits eine Verletzung der DSGVO für die Zuerkennung von Schadenersatz ausreichend ist. Darüber hinaus war Gegenstand des Vorabentscheidungsverfahrens auch die Frage, ob Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht.
Der EuGH verneinte die erste Frage und stellte klar, dass das Vorliegen eines Schadens eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ vorliegen müssen. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die DSGVO einen Schadenersatzanspruch begründet. Weiters führte der EuGH aus, dass durch den Begriff „Schaden“ sowohl materieller als auch immaterieller Schaden erfasst sein kann, wobei – insbesondere im Fall eines immateriellen Schadens – kein bestimmter Grad an Erheblichkeit erreicht werden muss.
Letztlich stellte der EuGH auch klar, dass sich die Kriterien für die Bemessung der Höhe des Schadenersatzanspruchs mangels unionsrechtlicher Regelung nach nationalem Recht richten, wobei die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität zu beachten sind.

Gesetzesbegutachtung - Stellungnahmen

Die DSB hat zu folgenden Gesetzesvorhaben eine Stellungnahme abgegeben:

Bundesgesetz, mit dem das Gesetz über das Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung geändert wird (Ermittlungs- und Beschwerdestelle Misshandlungsvorwürfe)
Eltern-Kind-Pass-Gesetz
Novelle des Gesundheitstelematikgesetzes 2012
Entwurf des COVID-19-Impffinanzierungsgesetz
Abgabenänderungsgesetz 2023, CESOP-Umsetzungsgesetz
Entwurf eines Bundesgesetzes, mit dem das Wirtschaftliche Eigentümer Registergesetz geändert wird
Begutachtung ORF-G, ORF-Beitrags-Gesetz 2024 et. al.
Entwurf eines Bundesgesetzes, mit dem das Allgemeine Verwaltungsverfahrensgesetz 1991, das Verwaltungsstrafgesetz 1991 und das Verwaltungsgerichtsverfahrensgesetz geändert werden
Bundesgesetz, mit dem die Zivilprozessordnung, das Außerstreitgesetz, das Unterbringungsgesetz, das Heimaufenthaltsgesetz, die Insolvenzordnung, die Exekutionsordnung und das Gerichtsorganisationsgesetz geändert werden
Bundesgesetz, mit dem ein Bundesgesetz über die Durchführung virtueller Gesellschafterversammlungen (Virtuelle Gesellschafterversammlungen-Gesetz – VirtGesG) erlassen wird
Novellen zum Suchtmittelgesetz (SMG)
Bundesgesetz, mit dem das Bundesgesetz zur Förderung von freiwilligem Engagement (Freiwilligengesetz – FreiwG) geändert wird
Bundesgesetz, mit dem das neue Kontroll- und Digitalisierungs-Durchführungsgesetz erlassen und das Tierseuchengesetz, das Lebensmittelsicherheits- und Verbraucherschutzgesetz geändert wird

News

Folgende neue Mitarbeiterinnen und Mitarbeiter nahmen ihre Tätigkeit in der DSB auf:

Herr Michael Berger studiert derzeit Wirtschaftsrecht an der Wirtschaftsuniversität Wien und unterstützt seit Juni 2023 die juristischen Teams zur Führung der nationalen Verfahren.

Frau Seda Doganay studiert Rechtswissenschaften an der Universität Wien und befindet sich derzeit am Ende des dritten Abschnitts. Sie unterstützt seit April 2023 das Team der Jurist:innen zur Führung der nationalen Verfahren.

Frau Aspasia Maria Georgiadou studiert derzeit Rechtswissenschaften an der Universität Wien und unterstützt seit April 2023 die juristischen Teams zur Führung der nationalen und internationalen Verfahren.

Herr David Hoffberger verstärkt seit Mai 2023 das juristische Team im Bereich Verwaltungsstrafverfahren.

Frau Liane Kadur-Lusk arbeitet seit Juli im Team des Sekretariats und unterstützt die Kanzlei.

Frau Mag. Sandra Rösinger studierte Rechtswissenschaften an der Universität Wien, sammelte neben dem Studium ua Erfahrungen in einer Werbeagentur, in der Rechtsabteilung einer Bank und in der Gastronomie. Außerdem absolvierte sie eine Ausbildung zur systemischen Beraterin und unterstützt nun das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren.

Frau Anika-Cristina Schleifer verstärkt seit Juli tatkräftig das Team der Kanzlei.

Folgende Mitarbeiterinnen und Mitarbeiter beendeten ihre Tätigkeit in der DSB:

Herr Said Neubauer, Frau Mag. Klara Winkler

Überschrift

Überschrift

Überschrift

Impressum

Medieninhaber, Herausgeber und Redaktion:
Österreichische Datenschutzbehörde (DSB), Barichgasse 40-42, 1030 Wien, E-Mail: dsb@dsb.gv.at, Web: http://www.dsb.gv.at
Offenlegung gemäß § 25 Mediengesetz:
Der Newsletter der DSB ist ein wiederkehrendes elektronisches Medium (§ 1 Abs. 1 Z 5a lit. c MedienG); die gesetzlich gebotenen Angaben sind über folgenden Link abrufbar: http://www.dsb.gv.at/ueber-die-website/impressum-copyright.html
Copyright und Haftung:
Der auszugsweise Abdruck dieser Publikation ist nur mit Quellenangabe gestattet. Alle sonstigen Rechte sind ohne schriftliche Zustimmung des Medieninhabers unzulässig. Sämtliche Angaben in dieser Publikation erfolgen trotz sorgfältiger Bearbeitung ohne Gewähr. Eine Haftung der Datenschutzbehörde sowie der Autorinnen und Autoren ist ausgeschlossen. Rechtsausführungen stellen die unverbindliche Meinung der Autorinnen und Autoren dar. Sie können der Rechtsprechung der unabhängigen Gerichte keinesfalls vorgreifen.
Ihre Rückmeldungen übermitteln Sie bitte an dsb@dsb.gv.at.

Liebe Leserinnen und Leser!

Im Fokus

Ausgewählte Entscheidungen der DSB

Ausgewählte Entscheidungen der Gerichte

Rechtsprechung

Gesetzesbegutachtung - Stellungnahmen

News

Überschrift

Überschrift

Überschrift