Newsletter im Browser anzeigen

BMAFJ_Logo_srgb

Liebe Leserinnen und Leser!

Die DSB wünscht allen viel Freude beim Lesen!

Vorabentscheidungsersuchen des Bundesverwaltungsgerichts betreffend Auskunftsverfahren

Mag. Mathias Veigl
Das Bundesverwaltungsgericht hat zum ersten Mal seit in Geltung-Treten der Datenschutz-Grundverordnung am 25. Mai 2018 betreffend einen Bescheid der Datenschutzbehörde ein Vorabentscheidungsersuchen zur verbindlichen Auslegung unionsrechtlicher Bestimmungen an den Europäischen Gerichtshof gestellt. Im Kern der Frage steht das Recht auf Auskunft bzw. auf Erhalt einer Kopie an personenbezogenen Daten:
Die Datenschutzbehörde hat in ihrem Bescheid vom 11.9.2019, GZ DSB-D124.059/0005-DSB/2019, unter anderem betreffend ein datenschutzrechtliches Auskunftsbegehren ausgesprochen, dass es dem Erfordernis der datenschutzrechtlichen Auskunft genüge, wenn dem Auskunftswerber auf transparente Art und Weise Auskunft über die Daten und Datensätze, über die Verarbeitungssysteme und Dauer der Verarbeitung sowie die rechtlichen Grundlagen zur Kenntnis gebracht werden. Einem vom Auskunftswerber ebenfalls gestellten Antrag auf Übermittlung einer Kopie der Daten sei auch dann Genüge getan, wenn dem Auskunftswerber zwar kein „Faksimile“ zur Verfügung gestellt aber die Daten, über die Auskunft erteilt wird, nach Maßgabe des Transparenzgebots bereits bekannt sind. Der Beschwerdeführer erhob Beschwerde an das Bundesverwaltungsgericht und führte aus, dass die Begründung inhaltlich unrichtig sei und dass die aus der Literatur abgeleitete Meinung, dass eine vollumfängliche Auskunft, ohne „Faksimile“- Kopie das Recht auf Kopie von Daten gemäß Art. 15 Abs. 3 DSGVO abdecke, zutreffe.
Mit Beschluss W211 2222613-2/12E vom 9. August 2021 legte der erkennende Senat des Bundesverwaltungsgerichts dem Europäischen Gerichtshof folgende Fragen zwecks verbindlicher Auslegung von europäischem Sekundärrecht gemäß Art. 267 AEUV vor:

  1. Ist der Begriff der "Kopie" in Art. 15 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABI L 119/1 vom 4. Mai 2016, S. l; im Folgenden: "DSGVO") dahingehend auszulegen, dass damit eine Fotokopie bzw. ein Faksimile oder eine elektronische Kopie eines (elektronischen) Datums gemeint ist, oder fällt dem Begriffsverständnis deutscher, französischer und englischer Wörterbücher folgend unter den Begriff auch eine "Abschrift", un "double" {"duplicata"} oder ein "transcript"?
  2. Ist Art. 15 Abs. 3 Satz 1 DSGVO, wonach "der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind", zur Verfügung stellt, dahingehend auszulegen, dass darin ein allgemeiner Rechtsanspruch einer betroffenen Person auf Ausfolgung einer Kopie - auch - gesamter Dokumente enthalten ist, in denen personenbezogene Daten der betroffenen Person verarbeitet werden, bzw. auf Ausfolgung einer Kopie eines Datenbankauszuges bei Verarbeitung der personenbezogenen Daten in einer solchen, oder besteht damit - nur – ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DSGVO zu beauskunftenden personenbezogenen Daten?
  3. Für den Fall, dass die Frage 2. dahingehend beantwortet wird, dass nur ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art. 15 Abs. 1 DSGVO zu beauskunftenden personenbezogenen Daten besteht, ist Art. 15 Abs. 3 Satz 1 DSGVO dahingehend auszulegen, dass es bedingt durch die Art der verarbeiteten Daten (zum Beispiel in Bezug auf die im Erwägungsgrund 63 angeführten Diagnosen, Untersuchungsergebnisse, Befunde oder auch Unterlagen im Zusammenhang mit einer Prüfung im Sinne des Urteils des Gerichtshofs der Europäischen Union vom 20. Dezember 2017, C-434/16, ECLI:EU:C:2017:994) und das Transparenzgebot in Art. 12 Abs. 1 DSGVO im Einzelfall dennoch erforderlich sein kann, auch Textpassagen oder ganze Dokumente der betroffenen Person zur Verfügung zu stellen?
  4. Ist der Begriff "Informationen", die nach Art. 15 Abs. 3 Satz 3 DSGVO der betroffenen Person dann, wenn diese den Antrag elektronisch stellt, "in einem gängigen elektronischen Format zur Verfügung zu stellen" sind, "sofern sie nichts Anderes angibt", dahingehend auszulegen, dass damit allein die in Art 15 Abs. 3 Satz 1 genannten "personenbezogenen Daten, die Gegenstand der Verarbeitung sind" gemeint sind?
a. Falls die Frage 4. verneint wird: Ist der Begriff "Informationen", die nach Art. 15 Abs. 3 Satz 3 DSGVO der betroffenen Person dann, wenn diese den Antrag elektronisch stellt, "in einem gängigen elektronischen Format zur Verfügung zu stellen" sind, "sofern sie nichts Anderes angibt", dahingehend auszulegen, dass darüber hinaus auch die Informationen gemäß Art. 15 Abs. 1 lit a) bis h) DSGVO gemeint sind?
b. Falls auch die Frage 4.a. verneint wird: Ist der Begriff "Informationen", die nach Art 15 Abs. 3 Satz 3 DSGVO der betroffenen Person dann, wenn diese den Antrag elektronisch stellt, "in einem gängigen elektronischen Format zur Verfügung zu stellen" sind, "sofern sie nichts anderes angibt", dahingehend auszulegen, dass damit über die "personenbezogenen Daten, die Gegenstand der Verarbeitung sind" sowie über die in Art. 15 Abs. 1 lit a) - h) DSGVO genannten Informationen hinaus beispielsweise dazugehörende Metadaten gemeint sind?
Dieser grundlegenden Frage haben sich die österreichischen Gerichte bereits angenommen:
Der Oberste Gerichtshof (in der Folge "OGH") judiziert (siehe OGH, 17. 12. 2020, ZI. 6 Ob 138/20t) in Referenz auf die deutsche Literatur zu Art. 15 Abs. 3 DSGVO in Paal/Pauly und Kühling/Buchner bspw. die Vorlage eines Patientenbriefs – gleichsam einer verkürzten Ausfertigung einer Krankenakte – nicht ausreichend, um das damit in Verbindung stehende Recht auf Auskunft zu befriedigen.
Das Bundesverwaltungsgericht anerkennt infolge eines Bescheides der Datenschutzbehörde ebenfalls das Recht auf Auskunft über eigene Daten betreffend die Vorlage von Kontoauszügen (W258 2205602-1).
Beide Erkenntnisse beziehen sich allerdings nicht auf den Fall, dass die Daten dem Auskunftswerber bereits zur Verfügung standen. Wenngleich nun die Datenschutzbehörde auch judiziert, dass das Recht auf Kopie von Daten separat und unabhängig besteht, ist insbesondere die in der Literatur einhellige Meinung, die auch in Haidinger in Knyrim (Hrsg.) DatKomm zu Art. 15 Rz 35 ihren Niederschlag gefunden hat, von Relevanz, dass eine Auskunft dann nicht zu beanstanden ist, wenn sie den Kriterien von Art. 12 und Art. 5 Abs. 1 DSGVO entspricht. Ähnlich wird der Fall auch in der deutschen Justiz beurteilt. Der Bundesgerichtshof sprach im Urteil v. 15.06.2021 - Az.: VI ZR 576/19 aus, dass „auch etwaige Zweitschriften und Nachträge zu dem Versicherungsschein, auf die sich das Auskunftsbegehren des Klägers ausweislich des Sitzungsprotokolls mit erstreckt, nicht grundsätzlich vom datenschutzrechtlichen Auskunftsanspruch ausgeschlossen, soweit die darin enthaltenen personenbezogenen Daten bei der Beklagten verarbeitet werden.“
Die Frage, ob die Ansprüche auf Datenkopie und eine vollständige datenschutzrechtliche Auskunft kongruent sind, ist nach der Literatur und Judikatur daher eher zu verneinen, während die Frage, ob die Ansprüche auch parallel und unabhängig voneinander gleichzeitig bestehen mit Verweis auf Art. 12 Abs. 5 DSGVO als offenkundig unbegründeten oder exzessiven Antrag des Auskunftswerbers zu beantworten. Insbesondere im Hinblick auf die Zwecke der datenschutzrechtlichen Auskunft, wie sie aus EwGr. 63 hervorgehen und insbesondere in Rijkebeer, ECLI:EU:C:2009:293 sowie Y. S. ua, C-141/12 und C-372/12, ECLI:EU:C:2014:2081 Niederschlag gefunden haben: Zweck des datenschutzrechtlichen Auskunftsbegehrens ist als prozessuales Begleitrecht Kenntnis von Art, Umfang und Zweck der Datenverarbeitung zu erhalten.


Im Fokus

Verbindlicher Beschluss 1/2021 des EDSA zum Beschlussentwurf der irischen Aufsichtsbehörde betreffend WhatsApp Irland gemäß Art. 65 Abs. 1 lit. c DSGVO

MMag. Elisabeth Wagner


Am 28. Juli 2021 hat der Europäische Datenschutzausschuss (EDSA) einen verbindlichen Beschluss gemäß Artikel 65 DSGVO gegenüber der irischen Datenschutzbehörde und den betroffenen Aufsichtsbehörden erlassen.
Dieser im Rahmen des Streitbeilegungsmechanismus ergangenen Entscheidung war eine amtswegige Untersuchung durch die irische Aufsichtsbehörde zu den Transparenzverpflichtungen der Verbraucherdienste von WhatsApp Irland gegenüber Nutzern und Nicht-Nutzern nach den Artikeln 12, 13 und 14 DSGVO vorangegangen. Die irische Behörde legte den betroffenen Aufsichtsbehörden am 24. Dezember 2020 als federführende Aufsichtsbehörde in diesem grenzüberschreitenden Verfahren ihren Entscheidungsentwurf nach Artikel 60 Abs. 3 DSGVO vor, in welchem sie Transparenzverletzungen der Artikel 12 und 13 Abs. 1 lit. c DSGVO feststellte und verlangte, dass die Zwecke der Datenverarbeitung genauer dargestellt werden müssten. Eine Verletzung des Artikel 13 Abs. 1 lit. d DSGVO wurde hingegen verneint. Weiters wurde festgehalten, dass auf Grund des sogenannten „Lossy Hashing“ Verfahrens, welches auf Telefonnummern von Nicht-Nutzern in den Kontaktlisten von Nutzern angewandt werde, und der dadurch erfolgten Anonymisierung keine personenbezogenen Daten von Nicht-Nutzern verarbeitet würden, was die Feststellung einer Verletzung des Artikel 14 DSGVO durch die Aufsichtsbehörde unberührt ließ, jedoch Auswirkungen auf die Höhe des vorgeschlagenen Strafrahmens hatte (Reduzierung von 75 bis 100 Millionen Euro auf 30 bis 50 Millionen Euro). Als Abhilfemaßnahme sprach die irische Aufsichtsbehörde unter anderem eine Verwarnung aus und verfügte, dass die Datenverarbeitung binnen sechs Monaten ab Erhalt der Entscheidung in Einklang mit der DSGVO zu bringen sei. Gleichzeitig schlug die irische Aufsichtsbehörde eine Strafe von 30 bis 50 Millionen Euro vor, wobei sich die Höhe der Strafe ausschließlich auf die Verletzung des Artikel 14 DSGVO im Zusammenhang mit Nicht-Nutzern gründete, die von der irischen Behörde als schwerwiegendster Verstoß beurteilt wurde.
In der Folge erhoben die betroffenen Aufsichtsbehörden Einsprüche nach Artikel 60 Abs. 4 DSGVO, die sich auf die festgestellten Verstöße gegen die DSGVO, die Frage des Vorliegens personenbezogener Daten im Zusammenhang mit dem „Lossy Hashing“ Verfahren und die Angemessenheit der Abhilfemaßnahmen einschließlich die Höhe der vorgeschlagenen Geldstrafe bezogen. Da die irische Behörde den Einsprüchen nicht folgte, leitete sie ein Streitbeilegungsverfahren vor dem EDSA nach Artikel 63 iVm Artikel 65 Abs. 1 lit. a DSGVO ein.
Ausgehend von den erhobenen Einsprüchen ersuchte der EDSA in seinem verbindlichen Beschluss die irische Aufsichtsbehörde, in ihrem Beschluss auch Verletzungen des Artikel 13 Abs. 1 lit. d und e DSGVO festzustellen. Weiters kam der EDSA zum Schluss, dass das „Lossy Hash Verfahren“ [1] zu keiner Anonymisierung der erhobenen Daten von Nicht-Nutzern aus der Kontaktliste des Nutzers führe und folglich auch diesbezüglich eine Verletzung des Artikel 14 DSGVO anzunehmen sei. Zudem wies der EDSA in Anbetracht der Schwere und der weitreichenden Auswirkungen der Verletzungen die irische Aufsichtsbehörde an, insgesamt einen Verstoß gegen den in Artikel 5 Abs. 1 lit. a DSGVO verankerten Transparenzgrundsatz in ihren Beschluss aufzunehmen. Vor diesem Hintergrund wurde der irischen Aufsichtsbehörde aufgetragen, die Frist für die Umsetzung des Beschlusses von sechs auf drei Monate zu reduzieren. Hinsichtlich der Berechnung der Höhe der Geldbuße hielt der EDSA fest, dass die irische Aufsichtsbehörde den Gesamtumsatz aller Teilgesellschaften des Unternehmens und sohin den konsolidierten Umsatz der Muttergesellschaft (Facebook Inc.) zu berücksichtigen sowie das dem Beschluss der federführenden Aufsichtsbehörde vorangegangene Geschäftsjahr zur Berechnung der Geldbuße heranzuziehen habe. In Bezug auf die Bemessung der Strafhöhe wurde sie angewiesen, im Sinne des Artikel 83 Abs. 1 DSGVO zusätzlich zum schwerwiegendsten Verstoß auch die anderen Verletzungen zu berücksichtigen. Zwar bestätigte der EDSA die durch die irische Aufsichtsbehörde vorgenommene Gewichtung der Elemente des Artikel 83 Abs. 2 DSGVO, entschied jedoch, dass in Anbetracht des weltweiten Jahresumsatzes sowie der festgestellten Verstöße und erschwerenden Faktoren die Geldstrafe nicht das Erfordernis der Wirksamkeit, Verhältnismäßigkeit und Abschreckung gemäß Artikel 83 Absatz 1 DSGVO erfülle. Folglich habe die Aufsichtsbehörde die Geldbuße entsprechend zu erhöhen.
Die irische Aufsichtsbehörde hat ihren nationalen Beschluss gemäß Artikel 65 Abs. 6 DSGVO überarbeitet und darin die Geldstrafe auf 225 Millionen Euro erhöht. Dieser Beschluss wurde WhatsApp Irland gemeinsam mit dem verbindlichen Beschluss des EDSA übermittelt.

[1] Lossy Hashing Verfahren: Laut WhatsApp Irland würden im Rahmen dieses dem Betriebsgeheimnis (siehe hierzu Rz 142 des verbindlichen Beschlusses des EDSA 1/2021) unterliegenden Verfahrens die in der Kontaktliste des Nutzers befindlichen Telefonnummern der Nicht-User "gehashed". Dieser „Hash“-Wert sei dann mehr als nur einer Telefonnummer zuordenbar und könne dann potentiell 16 Telefonnummern darstellen. Da aber durch den Wegfall von Nummern von WhatsApp-Nutzern und aller nicht zuordenbarer Nummern viel weniger "echte" Nummern vorliegen könnten, gäbe es auch Fälle, in denen nur mehr eine „klare“ Telefonnummer vorliegt. In Zusammenschau mit dem Konnex zum WhatsApp-Nutzer wurde daher vom EDSA sehr wohl ein Personenbezug angenommen.


Ausgewählte Entscheidungen der DSB

2021-0.301.680 (D124.3750), Weiter Ermessensspielraum einer Behörde iZm § 5 Abs. 1 EpiG; kein Eingriff in das Recht auf Geheimhaltung
Mit Bescheid vom 5. August 2021 hatte sich die DSB mit der Vorgehensweise einer Bezirksverwaltungsbehörde (Beschwerdegegnerin) iZm mehreren bestätigten SARS-CoV-2 Fällen an einer Schule zu befassen.
Die Infektionsfälle betrafen verschiedene Schulklassen und Stockwerke, weshalb seitens der Beschwerdegegnerin Namen, Adressen, Geburtsdaten und Mobiltelefonnummern der Schüler, Lehrpersonen sowie des Verwaltungspersonals angefordert worden waren. Diese Daten wurden in weiterer Folge in ein Webtool zur organisatorischen Abwicklung der Testungen eingespeist. Der Beschwerdeführer, ein Schüler, der nicht als Kontaktperson zu einer positiv getesteten Person eingestuft worden war, hat infolgedessen eine SMS mit dem Angebot zu einer freiwilligen PCR-Testung erhalten. Dadurch erachtete er sich in seinem Recht auf Geheimhaltung verletzt. Die DSB wies die Beschwerde als unbegründet ab.
Die Beschwerdegegnerin stützte die Datenverarbeitung auf die in § 5 Abs. 1 EpiG enthaltene Verpflichtung und war dieser Ansicht nicht entgegenzutreten:
Der Wortlaut ebendieser Bestimmung stellt unter anderem auf Krankheitsverdächtige oder Ansteckungsverdächtige ab und dient die Vorgehensweise der Ermittlung der Krankheitsquelle. Der zuständigen Behörde wird sohin ein weiter Ermessensspielraum eingeräumt, welchen die Beschwerdegegnerin gegenständlich jedenfalls nicht überschritt.
Der Bescheid ist rechtskräftig.

2021-0.417.356 (DSB-D124.2706), Eintragung und Veröffentlichung im Ergänzungsregister für sonstige Betroffene
Mit Bescheid vom 28. Juni 2021 hatte sich die Datenschutzbehörde erstmals mit der Eintragung und Veröffentlichung natürlicher Personen im Ergänzungsregister für sonstige Betroffene (ERsB) zu befassen.
Das ERsB wird seit 2018 vom Bundesministerium für Digitalisierung und Wirtschaftsstandort (BMDW) als verantwortlicher Stelle geführt. Der Beschwerdeführer vertrat die Ansicht, dass seine Identität bereits aufgrund seiner Eintragung im Melderegister ausreichend feststellbar sei. Die Eintragung im ERsB sei daher nicht erforderlich gewesen und im Ergebnis zu Unrecht erfolgt.
Die Datenschutzbehörde überprüfte, ob eine ausreichend determinierte gesetzliche Grundlage für diesen staatlichen Eingriff vorhanden war. Dabei wurde festgehalten, dass es sich bei dem Beschwerdeführer um einen Betroffenen iSd E-GovG handelte, welchem aufgrund seiner gewerblichen Tätigkeit - abseits seiner Stellung als Privatperson - eine eigene Identität im Wirtschaftsleben zukommt. Aufgrund der gem. § 6 Abs. 1 und Abs. 4 E-GovG geforderten Differenzierung sowie der in § 16 ERegV 2009 ausdrücklich normierten Veröffentlichung erwies sich die Eintragung im Ergebnis als rechtmäßig. Die Beschwerde wegen der Verletzung im Recht auf Geheimhaltung und im Recht auf Löschung wurde abgewiesen.
Der Bescheid ist nicht rechtskräftig.

2021-0.330.691 (D124.3524), Folgen eines Unternehmenskaufs mittels Asset-Deals auf die Rechtmäßigkeit von Direktwerbung gegenüber dem neuen Kundenstock
Mit Bescheid vom 7. Juli 2021 setzte sich die Datenschutzbehörde mit E-Mail-Newslettern auseinander, die nach dem Erwerb eines Unternehmens vom Masseverwalter an die Kund_innen des erworbenen Unternehmens ohne deren Einwilligung übermittelt wurden.
Die Beschwerdegegnerin, ein Handelsunternehmen, erwarb Vermögensgegenstände eines insolventen Unternehmens, darunter auch den Good Will und den Kundenstock, vom Masseverwalter. Daraufhin versandte die Beschwerdegegnerin E-Mail-Newsletter zu Zwecken der Direktwerbung an die Beschwerdeführerin.
Zunächst hielt die Datenschutzbehörde fest, dass durch einen Verstoß gegen das TKG 2003 bzw. die e-Datenschutz-RL gleichzeitig eine Verletzung des Rechts auf Geheimhaltung nach § 1 Abs. 1 DSG und auch eine Verletzung jener Bestimmungen der DSGVO vorliegen kann, die dem Verantwortlichen keine zusätzlichen Pflichten iSv Art. 95 DSGVO auferlegen.
Da gemäß § 107 Abs. 3 Z 1 TKG 2003 die Zusendung elektronischer Post nur dann rechtmäßig ist, wenn der Absender die Kontaktinformation für die Nachricht im Zusammenhang mit einem Verkauf oder einer Dienstleistung an seine Kunden erhalten hat und es sich im vorliegenden Fall mangels Gesamtrechtsnachfolge bei der Beschwerdeführerin nicht um die Kundin der Beschwerdegegnerin in diesem Sinne handelt, war die Erleichterung des § 107 Abs. 3 TKG 2003 nicht einschlägig.
Die Beschwerdegegnerin hätte daher als Erwerberin des Unternehmens im Rahmen eines Asset-Deals bei den übernommenen Kunden vorab die Einwilligung zur Zusendung von Newslettern einholen müssen.
Darüber hinaus bejahte die Datenschutzbehörde ihre Zuständigkeit im gegenständlichen Verfahren trotz eines vorangegangenen UWG-Verfahrens, da weder eine Identität der Verfahrensgegenstände noch der Verfahrensparteien vorlag. Es lag daher keine Bindungswirkung des Beschlusses des OLG Graz auf den im Ergebnis abweichenden Bescheid der Datenschutzbehörde vor.
Der Bescheid ist nicht rechtskräftig.

2021-0.293.288 (D124.3128), Betreibung einer Verkehrsstrafe durch ein Inkassobüro
Mit Bescheid vom 1. Juni 2021 setzte sich die Datenschutzbehörde mit der Rechtmäßigkeit der Betreibung ausländischer Verkehrsstrafen durch Inkassobüros anstatt durch den im EU-VStVG normierten Weg auseinander.
Der Beschwerdeführer war im Jahr 2018 auf einer italienischen Autobahn bei einer Geschwindigkeitsübertretung „geblitzt“ worden. Die Provinz Pisa übermittelte den österreichischen Behörden daraufhin ein „Protokoll“ genanntes Schreiben, das den Beschwerdeführer zur Zahlung einer Verwaltungsstrafe aufforderte. Die österreichische Behörde übermittelte dem Beschwerdeführer das Schreiben nach völkerrechtlichen Bestimmungen, dieser verweigerte die Zahlung jedoch.
Daraufhin beauftragte die Provinz Pisa über eine italienische Gesellschaft und ein deutsches Inkassobüro, ein österreichisches Inkassobüro, die Beschwerdegegnerin. Diese übermittelte mehrere Mahnungen an den Beschwerdeführer. Dabei verarbeitete die Beschwerdegegnerin zwangsläufig die personenbezogenen Daten des Beschwerdeführers.
Dies geschah unrechtmäßig und verletzte den Beschwerdeführer in seinem Recht auf Geheimhaltung, da sich die Beschwerdegegnerin auf keinen Rechtfertigungsgrund des Art. 6 DSGVO stützen konnte: Aufgrund des Umstandes, dass der (Unions-)Gesetzgeber eine bestimmte Vorgehensweise zur Eintreibung ausländischer Verwaltungsstrafen, und zwar im Wege der nationalen Vollstreckungsbehörden, normiert hat, kann die Datenverarbeitung durch die Beschwerdegegnerin als Inkassounternehmen auch durch sonstige Erlaubnistatbestände des Art. 6 DSGVO nicht gerechtfertigt werden, insbesondere kann es deshalb auch nicht zu einem Überwiegen von Interessen der Beschwerdegegnerin bzw. Dritter iSd Art. 6 Abs. 1 lit. f DSGVO kommen.
Da die Beschwerdegegnerin die personenbezogenen Daten des Beschwerdeführers unrechtmäßig verarbeitet hat, hätte sie gemäß Art. 17 Abs. 1 lit. d DSGVO dem Antrag des Beschwerdeführers auf Löschung seiner personenbezogenen Daten entsprechen müssen. Dadurch, dass sie die Löschung verweigert hat, hat sie den Beschwerdeführer auch in seinem Recht auf Löschung verletzt.
Der Bescheid ist rechtskräftig.

2021-0.297.343 (D124.3687), Kopie eines Maskenbefreiungsattests darf im Verdachtsfall an Bezirksverwaltungsbehörde und Ärztekammer zur Überprüfung übermittelt werden
Der Beschwerdeführer war im Frühjahr 2021 am Rande einer Demonstration gegen die Covid-19-Maßnahmen von Beamten der LPD Kärnten angehalten worden, weil er keine, nach § 12 der 3. COVID-19-NotMV verpflichtende, enganliegende mechanische Schutzvorrichtung getragen hatte. Der Beschwerdeführer wies daraufhin ein von einer Wiener Ärztin ausgestelltes Maskenbefreiungsattest vor. Aufgrund der Verdachtslage, dass das Attest unrechtmäßig ausgestellt worden sein könnte, übermittelten die Beamten eine Kopie an die Bezirksverwaltungsbehörde und die Ärztekammer zur Überprüfung.
Es handelte sich dabei um eine Datenverarbeitung im Sinne der §§ 1, 4, 7 und 9 des COVID-19-MG, und somit um eine Datenverarbeitung auf Basis einer gesetzlichen Grundlage im Sinne von § 4 Abs. 3 Z 2 DSG iVm Art. 10 DSGVO. Nach diesen Bestimmungen können die Bezirksverwaltungsbehörden und über deren Ersuchen die Organe des öffentlichen Sicherheitsdienstes im Rahmen ihrer Unterstützungspflicht gemäß § 10 COVID-19-MG die Einhaltung von Betretungsverboten, Voraussetzungen und Auflagen (wie auch das Tragen des MNS) sowie Beschränkungen gemäß § 5 Abs. 4 – auch durch Überprüfung vor Ort – kontrollieren und sind weiters die Organe des öffentlichen Sicherheitsdienstes dazu verpflichtet, an Maßnahmen zur Einleitung und Sicherung eines Verwaltungsstrafverfahrens mitzuwirken. Dies ist im vorliegenden Fall rechtmäßig erfolgt.
Es konnte von Seite der Datenschutzbehörde nicht festgestellt werden, dass die Übermittlung an die Österreichische Ärztekammer von vornherein unzulässig gewesen wäre, diente die Übermittlung doch im Ergebnis dazu, die Echtheit des medizinischen Zertifikats zu überprüfen, was wiederum für die Verhängung einer Verwaltungsstrafe eine unabdingbare Voraussetzung bildete. Dadurch war die Zulässigkeit der Ermittlung aus datenschutzrechtlicher Sicht in Anlehnung an das sog. Übermaßverbot gegeben, da es denkmöglich war, dass die von der sachlich zuständigen LPD ermittelten Daten nach Art und Inhalt für die Feststellung des relevanten Sachverhalts geeignet waren.
Der Bescheid ist nicht rechtskräftig.

2021-0.454.639 (D124.3857), Covid-19-Antigen-Testung im Klassenverband verletzt die Schüler_innen nicht im Recht auf Geheimhaltung
Die Beschwerdeführerinnen waren im Sommersemester 2021 Schülerinnen an einer Volksschule und einer Mittelschule. Als Voraussetzung für die Teilnahme am Präsenzunterricht an beiden Schulen wurde ein Covid-19-Eintritts-Selbsttest oder ein anderer Nachweis einer geringen epidemiologischen Gefahr verlangt. Die Durchführung der Selbsttests erfolgte im Klassenverband unter Kontrolle der anwesenden Lehrkraft. Bei Verweigerung des Selbsttests und der Erbringung eines (alternativen) Nachweises einer geringen epidemiologischen Gefahr wurde die Teilnahme am Präsenzunterricht verweigert. Die Testergebnisse wurden nicht laut vorgelesen und die Nachweise der Beschwerdeführerinnen nicht an Dritte übermittelt.
Soweit sich die Beschwerde gegen den BMBWF, die Stadtgemeinde sowie gegen das Lehrpersonal richtet, war sie schon deshalb abzuweisen, weil diese im gegenständlichen Fall nicht als Verantwortliche der Datenverarbeitung nach Art. 4 Z 7 DSGVO in Betracht kamen. Sie entschieden weder über Mittel noch über Zwecke der Datenverarbeitung. Eine Zusammenschau von § 35 mit der Anlage B der C-SchVO 2020/21 ergibt, dass in die gegenständliche Datenverarbeitung lediglich die Bildungsdirektion Salzburg und die Schulleitungen involviert waren und daher auch nur diese definitionsgemäß als Verantwortliche und damit Beschwerdegegner in Betracht kamen.
Vor dem Hintergrund all dieser Überlegungen kam die Datenschutzbehörde daher zu dem Ergebnis, dass die hier relevante Datenverarbeitung auf die in § 44 SchUG iVm § 35 C-SchVO 2020/21 normierte gesetzliche Verpflichtung der Lehrkräfte, zur Sicherheit der Schüler in der Schule sowie zur Ermöglichung eines ordnungsgemäßen Schulbetriebes, Nachweise über deren geringe epidemiologische Gefahr zu erheben, gestützt werden kann und das gelindeste Mittel darstellte. Es lag somit eine rechtmäßige Datenverarbeitung nach Art. 9 Abs. 2 lit. i DSGVO vor.
Die hier relevante Datenweitergabe erwies sich daher als rechtmäßig und war von keiner Verletzung im Recht auf Geheimhaltung der Beschwerdeführerinnen auszugehen.
Der Bescheid ist nicht rechtskräftig.


Ausgewählte Entscheidungen der Gerichte

VwGH-Erkenntnis vom 9.8.2021, GZ: Ra 2019/04/0106-9
Dem Rechtsstreit zugrunde liegt ein Vorfall aus dem Jahr 2015, als das Landesverwaltungsgericht Salzburg (LVwG) mehrere Monate lang eine Entscheidung, die (in der Geschäftszahl einer belangten Behörde) das Geburtsdatum einer betroffenen Person enthielt, auf seiner Website veröffentlicht hatte. Die Datenschutzbehörde (Teilbescheid vom 6.9.2016, GZ: DSB-D122.454/0010-DSB/2006) und das Bundesverwaltungsgericht (Erkenntnis vom 10.7.2019, GZ: W101 2140606-1/12E) sahen hier einen unzulässigen Eingriff in das Datenschutzgrundrecht der betroffenen Person durch einen Akt der Justizverwaltung.
Der Verwaltungsgerichtshof (VwGH) hat nunmehr der außerordentlichen Amtsrevision des LVwG Folge gegeben und den Spruch der DSB auf Zurückweisung der Beschwerde wegen Unzuständigkeit abgeändert. Der VwGH kommt zu dem Schluss, dass die Pseudonymisierung (der VwGH sprich von „Anonymisierung“) von Entscheidungstexten für Zwecke der Veröffentlichung eine Aufgabe der Richter (Einzelrichter oder Senat) ist, die die jeweilige Entscheidung getroffen haben. Diese Pseudonymisierung ist daher eine Angelegenheit der Gerichtsbarkeit und als solche der Zuständigkeit der DSB entzogen.


Gesetzesbegutachtung - Stellungnahmen

Die DSB hat zu folgenden Gesetzesvorhaben eine Stellungnahme abgegeben:

  • Verordnung des Bundesministers für Bildung, Wissenschaft und Forschung sowie der Bundesministerin für Landwirtschaft, Regionen und Tourismus, mit der die Bildungsdokumentationsverordnung 2021 geändert wird
  • Bundesgesetz, mit dem das Bundesstatistikgesetz 2000 und das Forschungsorganisationsgesetz geändert werden


News

Folgende neue Mitarbeiterin nahm ihre Tätigkeit in der DSB auf:

Frau Mag. Lisa Maria Leitner studierte Rechtswissenschaften an der Karl Franzens Universität in Graz, war neben dem Studium in mehreren Anwaltskanzleien in Graz und Wien tätig und absolvierte ein Praktikum im Bereich Datenschutz- und IT-Recht an einer deutschen Universität. Nun unterstützt sie das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren.