Liebe Leserinnen und Leser!

Prüfverfahren wegen Google Fonts

Dr. Andreas Zavadil

Die Datenschutzbehörde hat zahlreiche Anfragen zum Thema „Abmahnungen wegen Google Fonts“ erhalten. Bei Google Fonts handelt es sich um ein Verzeichnis mit Schriftarten, die von Google angeboten werden. Laut den der Datenschutzbehörde vorliegenden Informationen haben österreichische Unternehmen ein anwaltliches Schreiben erhalten, mit dem diese aufgefordert werden, aufgrund der Einbindung des Produkts Google Fonts auf der Unternehmenswebsite einen Schadenersatzanspruch und Vertretungskosten in Höhe von insgesamt EUR 190,00 anzuerkennen und auf ein anwaltliches Konto einzubezahlen. Darüber hinaus wurden zahlreiche Unternehmen aufgefordert, eine Unterlassungserklärung abzugeben. Weiters lag dem anwaltlichen Schreiben auch ein Antrag auf Auskunft gemäß Art. 15 DSGVO bei.

Da die Datenschutzbehörde gemäß § 29 Abs. 2 DSG für Schadenersatzklagen aufgrund eines behaupteten Verstoßes gegen die DSGVO nicht zuständig ist, kann keine Information darüber gegeben werden, ob der geforderte Betrag zu zahlen ist. Eine diesbezügliche Kontaktaufnahme mit der Datenschutzbehörde ist daher nicht zielführend.

Zur Klärung der datenschutzrechtlichen Zulässigkeit von Google Fonts hat die Datenschutzbehörde jedoch ein amtswegiges Prüfverfahren gegen Google LLC eingeleitet. Zum aktuellen Zeitpunkt kann daher keine verbindliche Stellungnahme dazu abgegeben werden, ob im Rahmen der Einbindung von Google Fonts auf einer Website personenbezogene Daten verarbeitet werden und ob hierbei gegen Vorgaben der DSGVO verstoßen wird. Insbesondere ist unklar, ob aufgrund der Implementierung von Google Fonts auf einer Website Informationen eines Website-Besuchers (zB. die besuchten Unterseiten der Website) mit einem allfälligen Google-Konto verknüpft werden können, um damit das Profil des jeweiligen Google-Konto-Inhabers anzureichern.

Unabhängig davon wird darauf hingewiesen, dass die Feststellung von Rechtsverstößen in Datenschutzangelegenheiten in Österreich ausschließlich in die Zuständigkeit der Datenschutzbehörde oder der österreichischen Gerichte fällt. Die verbindliche Feststellung eines Verstoßes gegen die DSGVO kann keinesfalls von privaten Einrichtungen oder Privatpersonen vorgenommen werden, sondern nur nach Durchführung eines gesetzlichen Verfahrens vor der Datenschutzbehörde oder den Gerichten erfolgen. Zwar wird im anwaltlichen Schreiben auf ein Urteil eines deutschen Gerichts hingewiesen, mit dem der Einsatz von Google Fonts für rechtswidrig erklärt wurde. Hierbei handelte es sich allerdings um eine Einzelfallbeurteilung und es ist unklar, ob das Urteil des deutschen Gerichts in Rechtskraft erwachsen ist.

Bis das amtswegige Prüfverfahren wegen Google Fonts abgeschlossen ist und verbindliche Ergebnisse vorliegen, wird empfohlen, folgende Schritte durchzuführen:

1. Ist Google-Fonts auf Ihrer Website überhaupt eingebunden?
2. Wird Google-Fonts benötigt? Oft wird Google-Fonts bei „Website-Baukästen“ standardmäßig eingebunden.
3. Sofern Sie Google-Fonts auf Ihrer Website einbinden und benötigen, überprüfen Sie, ob die Schriftarten von einem Google-Server (nach)geladen werden, oder ob die Schriftarten lokal eingebunden sind. Eine lokale Einbindung ist empfehlenswert. Im Internet finden sich zahlreiche Anleitungen, wie Google Fonts lokal am eigenen Server eingebunden werden kann.
4. Dokumentieren Sie Ihre Ergebnisse.

Im Hinblick auf den Antrag auf Auskunft gemäß Art. 15 DSGVO müssen Sie entscheiden, ob eine inhaltliche Auskunft erteilt wird, oder ob Sie die Auskunftserteilung unter Hinweis auf die in Art. 12 Abs. 5 DSGVO normierte „Missbrauchsklausel“ verweigern. Beachten Sie jedoch, dass Sie aufgrund des Antrags auf Auskunft immer eine Reaktionspflicht zu erfüllen haben. Selbst wenn Sie die Auskunftserteilung verweigern, müssen Sie dies der betroffenen Person mitteilen und den „offenkundig unbegründeten oder exzessiven Charakter“ des Antrags auf Auskunft begründen („Rechenschaftspflicht“).

Weitere Handlungsempfehlungen der Datenschutzbehörde zum Thema Google Fonts sind auf der Website der Datenschutzbehörde unter www.dsb.gv.at zu finden („Information der Datenschutzbehörde zum Thema Abmahnungen wegen Google Fonts“). Die rechtlichen Ergebnisse des Prüfverfahrens wegen Google Fonts werden ebenfalls auf der Website der Datenschutzbehörde veröffentlicht werden.

Projekt „privacy4kids“

Dr. Andreas Zavadil

Das EU-finanzierte Forschungsprojekt „privacy4kids - Rising awareness about privacy of children in the digital age“ wurde in Zusammenarbeit mit der Universität Wien, Institut für Innovation und Digitalisierung im Recht, und der österreichischen Datenschutzbehörde entwickelt. Die vorläufigen Projektergebnisse sind unter www.privacy4kids.at zu finden.

Projektgegenstand war die Erstellung und Veröffentlichung animierter Lehrvideos zum Thema Privatsphäre und Datenschutz. Die Lehrvideos wurden jeweils für die Alterszielgruppe von 6 bis 10 und 10 bis 14 Jahren erstellt und erklären auf unterhaltsame Art und Weise, warum der Schutz personenbezogener Daten wichtig ist, welche Betroffenenrechte es gibt, welche Gefahren für die Privatsphäre im Internet bestehen und wie man sich zB. vor Betrug im Netz und Manipulation in sozialen Medien schützen kann.

Alle Videos wurden im Rahmen einer workshopartigen Lehrveranstaltung durch Studierende verschiedener Studienrichtungen erstellt. Lektor*innen und externe Expert*innen aus verschiedenen relevanten Bereichen begleiteten diesen Prozess kontinuierlich.

Unter allen Videos finden sich weiterführende Informationen zum jeweiligen Thema. Darüber hinaus wurde ein Leitfaden für Lehrer*innen entwickelt, der diese dabei unterstützt, das Thema im Unterricht zu behandeln. Konkret wird empfohlen, ein bis zwei Videos während des Unterrichts abzuspielen und im Anschluss eine kurze Diskussion zu führen. Im Leitfaden sind pro Video mehrere Beispiele angeführt, die im Rahmen der Diskussion angesprochen werden können. Während der „KinderUniWien2022“ haben Mitarbeiter*innen der Universität Wien und der Datenschutzbehörde das Projekt in zwei Schulklassen erfolgreich vorgestellt.

Schließlich ist geplant, das Lernmaterial bis 2023 zu erweitern. Im Zuge einer Lehrveranstaltung im Wintersemester 2022 an der Universität Wien wird ein (physisches) Datenschutz-Kartenspiel erstellt, welches auf den Lehrvideos aufbaut. Auf jeder Spielkarte wird ein QR-Code eingebettet sein, der zu einem – zum Inhalt der Karte passenden – Lehrvideo führt. Auch das Datenschutz-Kartenspiel wird online auf der Projektwebsite www.privacy4kids.at veröffentlicht werden.

D124.5018 (2021-0.848.839), Weitergabe der Telefonnummer eines Schülers durch die Volksschule
Mit Bescheid vom 13. September 2022 hatte die Datenschutzbehörde zu beurteilen, ob die Weitergabe der Telefonnummer der Erziehungsberechtigten eines Schülers durch die Direktorin der Volksschule anlässlich einer Rauferei an die Erziehungsberechtigten des beteiligten Mitschülers rechtmäßig erfolgte.
Die Direktorin hatte die zuständige Klassenlehrerin zur Weitergabe der Telefonnummer angewiesen und sich im Verfahren auf die Wahrung der berechtigten Interessen des Mitschülers berufen, eine allfällige Entschädigung für seine beschädigte Brille zu erhalten.
Die DSB gab der Beschwerde statt und kam zu dem Ergebnis, dass die Weitergabe der Telefonnummer die Beschwerdeführerin in ihrem Recht auf Geheimhaltung § 1 Abs. 1 DSG verletzt hat. Die Direktorin war als datenschutzrechtliche Verantwortliche nach Art. 4 Z 7 DSGVO anzusehen, die Weitergabe der Telefonnummer erfolgte als „hoheitliche“ Datenverarbeitung. Da staatliche Eingriffe gemäß § 1 Abs. 2 DSG nur auf Grund von Gesetzen zulässig sind und aus dem anzuwendenden Schulunterrichtsgesetz (BGBl. Nr. 472/1986) keine entsprechende Verarbeitungsermächtigung abgeleitet werden konnte, erfolgte die Weitergabe der Telefonnummer unrechtmäßig.
Der Bescheid ist nicht rechtskräftig.

D124.5388 (2022-0.191.287), Manuelles Einlegen von Werbematerial in voradressiertes Briefkuvert
Die beschwerdeführende Partei sah sich u.a. in ihrem Recht auf Geheimhaltung verletzt, da sie bei der Beschwerdegegnerin – einem Unternehmen zur Erbringung von Postdienstleistungen – einen Nachsendeauftrag eingerichtet und in weiterer Folge ein postalisches Bestätigungsschreiben erhalten hat, welchem nichtpersonalisierte Werbematerialien beigelegt waren, obwohl sie die Verwendung ihrer personenbezogenen Daten für Marketingzwecke Dritter auf dem Nachsendeauftragsformular untersagt hat. Die Beschwerdegegnerin legte im Ermittlungsverfahren dar, dass die Werbematerialien manuell in den bereits voradressierten Briefumschlag gelegt worden sind.
Im Bescheid vom 21. Juni 2022, GZ: D124.5388 (2022-0.191.287) hielt die Datenschutzbehörde zunächst fest, dass der Geheimhaltungsanspruch nach § 1 Abs. 1 DSG – anders als Betroffenenrechte nach der DSGVO – unabhängig von der Art der Datenverarbeitung (konventionell oder automationsunterstützt) besteht.
Jedoch setzt auch der Anwendungsbereich von § 1 DSG immer eine Verarbeitung personenbezogener Daten der betroffenen Person voraus. Beim verfahrensgegenständlichen Vorgang der manuellen Beilegung von Werbematerialien in einen Briefumschlag wurden jedoch keine personenbezogenen Daten verarbeitet, weshalb kein datenschutzrechtlich relevanter Verarbeitungsvorgang vorliegt. Zur Differenzierung verschiedener „Verarbeitungs“vorgänge verwies die Datenschutzbehörde auf die Schlussanträge der Generalanwältin vom 12. Dezember 2013, verb. Rs. C‑141/12 und C‑372/12 unter der insofern vergleichbaren Rechtslage nach der RL 95/46/EG.
Da sich auch keine Anhaltspunkte ergeben haben, dass personenbezogene Daten der beschwerdeführenden Partei an Dritte für deren Marketingzwecke weitergegeben worden sind, wurde die Beschwerde abgewiesen.
Der Bescheid ist nicht rechtskräftig.

D124.2161 (2022-0.345.404), Rechtmäßigkeit einer Datenverarbeitung durch den Einsatz von Cookies
Mit Bescheid vom 1. Juni 2022 setzte sich die Datenschutzbehörde mit der Rechtmäßigkeit einer Datenverarbeitung durch den Einsatz von Cookies auseinander.
Die Beschwerdegegnerin ist Betreiberin einer Webseite für Sportartikel. Als die Beschwerdeführerin diese Webseite besuchte, interagierte sie nicht mit dem Cookie-Banner bzw. erteilte keine Einwilligung. Nach Aufruf der Webseite wurde der Beschwerdeführerin dennoch Werbung der Beschwerdegegnerin auf anderen Webseiten angezeigt.
Bei Besuch der Webseite wurden Cookies u.a. für die Dienste Criteo, Google Analytics und Google Ads im Browser bzw. Endgerät der Beschwerdeführerin gesetzt. Als Konsequenz wurden zahlreiche Informationen vom Browser an die Server von Werbepartnern verschickt, unter anderem die einzelnen Produktseiten, die die Beschwerdeführerin besucht hatte sowie einzigartige Nutzer-Identifikations-Nummern, die am Endgerät der Beschwerdeführerin gespeichert und ausgelesen wurden.
Die Datenschutzbehörde hielt zunächst fest, dass die gegenständlichen Nutzer-Identifikations-Nummern als personenbezogene Daten gemäß Art. 4 Z 1 DSGVO zu qualifizieren sind. Durch Kombination weiterer Elemente entstand ein „digitaler Fußabdruck“ und war es umso wahrscheinlicher, dass die Beschwerdeführerin letztlich (an irgendeiner Stelle der Verarbeitungskette) identifiziert werden konnte. Dies entspricht auch der Rechtsauffassung des Europäischen Datenschutzbeauftragten. Zudem konnte im Rahmen der Rechenschaftspflicht kein Beweis erbracht werden, dass die Werbepartner die Informationen nicht mit der Beschwerdeführerin in Verbindung bringen können.
Dies hatte zur Folge, dass der Beschwerdeführerin personalisierte Werbung angezeigt wurde. Das Setzen oder Auslesen von Cookies, welche dem Ausspielen von personalisierter Werbung dienen oder welche zu diesen Zwecken das Sammeln des Surfverhaltens ermöglichen, ist aus technischer Sicht nicht notwendig, weshalb jedenfalls eine vorherige Einwilligung erforderlich gewesen wäre.
Demzufolge konnte die dem Setzen oder Auslesen von Cookies folgende Datenverarbeitung – also das Profiling – mangels Einwilligung nicht auf Art. 6 Abs. 1 lit. a DSGVO gestützt werden. Ebenso wenig kam Art. 6 Abs. 1 lit. f DSGVO in Betracht, da eine Interessenabwägung nicht gegen die betroffene Person ausschlagen kann, wenn im Vorfeld gegen sekundärrechtliche Normen bzw. das TKG 2021 verstoßen wurde.
Der Bescheid ist nicht rechtskräftig.

D124.0123/22 (2022-0.204.494); D062.1205 (2022-0.502.311), Aufnahme von Ergebnisprotokollen des ersten Teiles von Mitarbeitergesprächen nach BDG in den Personalakt
Mit Bescheid vom 8. Juni 2022, abgeändert durch Beschwerdevorentscheidung vom 29. Juli 2022, hatte sich die Datenschutzbehörde mit der Frage auseinanderzusetzen, welche Teile des Mitarbeitergespräches eines Beamten nach Beamtendienstgesetz in den Personalakt aufgenommen werden dürfen.
Der Beschwerdeführer, ein in einem öffentlich-rechtlichen Dienstverhältnis zum Bund stehender Beamter, hatte im Rahmen einer Einschau in seinen Personalakt festgestellt, dass seitens seiner Dienststelle die Ergebnisprotokolle der ersten Teile mehrerer Mitarbeitergespräche der letzten Jahre in seinen Personalakt aufgenommen worden waren.
Nach § 45a Abs. 1 BDG hat der unmittelbar mit der Fachaufsicht betraute Vorgesetzte einmal jährlich mit jedem seiner Mitarbeiter ein Mitarbeitergespräch zu führen. Dieses setzt sich gemäß Abs. 2 leg. cit. aus zwei Teilen zusammen. Wenngleich die Ergebnisse beider Teile schriftlich zusammenzufassen sind, und das Ergebnisprotokoll des zweiten Teiles in den Personalakt aufzunehmen ist, hat je eine Ausfertigung des Ergebnisses des ersten Teiles beim Mitarbeiter und seinem Vorgesetzten zu verbleiben und darf dieses nicht weitergegeben werden. Die Aufnahme der Ergebnisprotokolle des ersten Teiles der Gespräche in den Personalakt des Beschwerdeführers stellte sohin eine Verletzung im Recht auf Geheimhaltung dar.
Der Bescheid ist rechtskräftig.

OGH-Urteil vom 29.08.2022, 6 Ob 198/21t
In dieser Entscheidung hat das Höchstgericht der Revision einer Betroffenen (Ärztin) und der Ärztekammer für Wien nicht Folge gegeben. Die Sache betrifft die Datenverarbeitung durch die Betreiberin (Ges.m.b.H.) eines Such- und Bewertungsportals für Ärzte (siehe auch DSB, 23.01.2019, DSB-D123.342/0001-DSB/2019, RIS).
Der OGH hat eine umfassende Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO vorgenommen. Die Verantwortliche nimmt sowohl eigene berechtigte Interessen als auch solche der Nutzer ihres Portals wahr. Sie kann sich dabei sowohl auf Art. 11 EU-Grundrechtecharta – GRC (Informationsfreiheit) als auch auf Art. 16 GRC (Unternehmerfreiheit) stützen. Die Verarbeitung ist notwendig, da es für den angestrebten Zweck auf eine möglichst vollständige Erfassung aller niedergelassenen Ärzte ankommt. Berechtigte Interessen der (Erst-) Klägerin und Betroffenen können sich auf Art. 7 und 8 GRC (Privatleben, Datenschutz) sowie ebenfalls Art. 16 GRC stützen. Diese überwiegen jedoch nicht. Die Verarbeitung betrifft nur die Sozialsphäre, nicht den höchstpersönlichen Lebensbereich der Ärztin. Ausschlaggebend war wohl das laut OGH „ganz erhebliche Interesse, das die Öffentlichkeit an den im Portal angebotenen Informationen und Möglichkeiten hat“, in Verbindung mit der Tatsache, dass die Verantwortliche ein Melde- und Beschwerdesystem zum Schutz gegen Missbrauch des Bewertungssystems eingerichtet hat.

Erkenntnis des Bundesverwaltungsgerichtes vom 22. Juli 2022, W258 2239561-1/10E
Mit gegenständlichem Erkenntnis des BVwG wurde die Beschwerde gegen den Bescheid der DSB vom 4. Jänner 2021, GZ: D124.3152, 2020-0.825.300, als unbegründet abgewiesen.
Das BVwG hielt in seiner Entscheidung insbesondere fest, dass ein Schulleiter als Verantwortlicher iSd. Art. 4 Z 7 DSGVO für den Betrieb der Schulwebseite zu qualifizieren ist, weil er über die Veröffentlichung der Daten auf der Webseite der Berufsschule bestimme.
Überdies wurde die Entscheidung der DSB bestätigt und die Veröffentlichung des Namens und der dienstlichen E-Mail-Adresse des Beschwerdeführers, eines Lehrers einer Berufsschule, auf der Webseite der Berufsschule durch den Beschwerdegegner als Direktor dieser gemäß Art. 6 Abs. 1 lit. e iVm Abs. 3 lit. b DSGVO iVm § 56 Abs. 2 SchUG für gerechtfertigt erachtet. Die Veröffentlichung dieser personenbezogenen Daten ist demnach geeignet, um es Schülern und Erziehungsberechtigten im Anlassfall einfach und rasch zu ermöglichen mit dem jeweiligen Lehrkörper in Kontakt zu treten und verringert zudem den Verwaltungsaufwand für die Schule selbst. Auch eine Verletzung der allgemeinen Verarbeitungsgrundsätze des Art. 5 DSGVO wurde vom BVwG nicht festgestellt.
Das BVwG sprach jedoch aus, dass eine Revision dahingehend zulässig ist, als dass es an Rechtsprechung des VwGH fehle, ob bei der Prüfung des Grundsatzes der Datenminimierung zu prüfen ist, ob eine mögliche Datenminimierung für den Verantwortlichen zumutbar ist, und welchen Anforderungen eine solche Zumutbarkeitsprüfung genügen muss. Überdies fehle es an Rechtsprechung des VwGH, ob § 56 SchUG eine Rechtsgrundlage iSd. Art. 6 Abs. 1 lit. e bzw. Abs. 3 lit. b DSGVO darstelle. Eine Revision wurde in weiterer Folge durch den Beschwerdeführer eingebracht.

Erkenntnis des Verwaltungsgerichtshofes vom 23. Juni 2022,
Ro 2019/04/0221 bis 0222-4
Gegenstand des amtswegigen Prüfverfahrens vor der DSB zur GZ: D213.600 war die Verwahrung von insgesamt 15.444 Patientenkarteien im Zuge des Pensionsantrittes eines Allgemeinmediziners. Dieser schloss seine Ordination und übergab die Patientenkarteien zur Aufbewahrung iSd. § 51 Abs. 4 ÄrtzeG 1998 an eine Allgemeinmedizinerin, die jedoch weder dessen Kassenplanstellennachfolgerin war, noch in dessen Ordinationsräumlichkeiten (wenn auch in unmittelbarer Nähe) ihre Praxis eröffnete.
In seinem Erkenntnis hielt der VwGH nunmehr endgültig fest, und bestätigte dadurch die Rechtsansicht der DSB (GZ: DSB-D213.600/0001-DSB/2018) und des BVwG (GZ: W258 2201288-1/10E), dass § 51 Abs. 4 ÄrzteG 1998 mit dem eng auszulegenden Begriff des „Ordinationsstättennachfolgers“ diejenige Person bezeichnet, die als ärztlicher Nachfolger in derselben Ordinationsstätte des Vorgängers praktiziert. Eine von den Revisionswerbern ins Treffen geführte Ausdehnung dieses Begriffs auf Ärzte, die nicht Kassenplanstellennachfolger sind und in anderen Räumlichkeiten eine (Weiter-)Behandlung der Patienten anbieten, ist demnach aus § 51 Abs. 4 ÄrzteG 1998 nicht abzuleiten.

BVwG-Erkenntnis vom 11.7.2022, GZ: W176 2246272/1/4E
Mit diesem Erkenntnis bestätigte das BVwG die Rechtsansicht der Datenschutzbehörde, wonach es sich bei statistisch ermittelten Wahrscheinlichkeitswerten, die der mitbeteiligten Partei seitens der Verantwortlichen zugeschrieben worden sind, um Daten besonderer Kategorie iSd Art. 9 DSGVO handelt.
Die Datenschutzbehörde hatte sich in zahlreichen Fällen mit der Frage auseinanderzusetzen, ob die Verarbeitung der aus der Sozialforschung stammenden „Sinus-Geo Milieus“ durch die datenschutzrechtlich Verantwortliche unter den Anwendungsbereich des Art. 9 DSGVO fällt. Die gegenständlichen Daten stellen statistisch errechnete Wahrscheinlichkeitswerte dar, die der Betroffenen zugeschrieben wurden, um dieser gezielt Werbung übermitteln zu können. Folgende Begriffe samt Übereinstimmung ausdrückender Prozentpunkte wurden dieser zugeordnet: Konservative, Traditionelle, Etablierte, Performer, Postmaterielle, Digitale Individualisten, Bürgerliche Mitte, Adaptiv Pragmatische, Konsumorientierte Basis, Hedonisten.
Das Bundesverwaltungsgericht bestätigte, dass aus diesen Zuschreibungen vermeintliche weltanschauliche Überzeugungen der Betroffenen hervorgehen und es sich bei den Sinus Geo-Milieus sohin um Daten besonderer Kategorie iSd Art. 9 DSGVO handelt.
Das BVwG führte außerdem aus, dass es unerheblich sei, dass die Verantwortliche die Daten von einer Dritten bezogen hatte, da sie diese in weiterer Folge in ihrer eigenen Datenbank verarbeitete.
Festzuhalten ist, dass bereits mit Erkenntnis vom 30.05.2022, ZI. W108 2246273-1/10E, erstmalig die Rechtsansicht der DSB bestätigt wurde.

Bundesverwaltungsgericht zu Zl. W274 2217713-1/6F vom 20.7.2022 zu Zl. D216.673/0001-DSB/2019; Beschwerde eines Pressesprechers auf Löschung von Google Suchergebnissen bei Eingabe seines Namens (u.a. wg. der medialen Berichterstattung zu einem Freispruch wg. Wiederbetätigung).
Der Beschwerdeführer hatte die Löschung von Google - Sucheinträgen verlangt, und wandte sich nach der Weigerung von Google LLC mit einer Beschwerde wegen einer Verletzung im „Recht auf Vergessenwerden“ (Art. 17 DSGVO) an die Datenschutzbehörde.
Verfahrensgegenständlich waren 67 Sucheinträge, wobei die Datenschutzbehörde mit Bescheid zu Zl. D216.673/0001-DSB/2019 vom 4. März 2019 die Beschwerde betreffend 57 URLs abwies und bei 10 URLs der Beschwerde stattgab. Das Bundesverwaltungsgericht bestätigte in seiner Entscheidung zu Zl. W274 2217713-1/6F vom 20. Juli 2022 - bis auf eine URL (eine zusätzliche Löschung durch das BVwG) - die Entscheidung der Datenschutzbehörde. Im Wesentlichen ging es in den – durch Sucheinträge – gelisteten Links um die Berichterstattung zu einem Verfahren wegen Wiederbetätigung, da der Beschwerdeführer auszugsweise Texte aus Liedern einer nationalsozialistischen Organisation auf seinem Facebook Account unter „Lieblingszitate“ gepostet hatte. Die Datenschutzbehörde nahm in ihrer Entscheidung eine Abwägung zwischen den - durch Art. 7 und 8 EU-GRC gewährleisteten - Grundrechten auf Privatsphäre und Datenschutz auf Seite des Beschwerdeführers mit dem Grundrecht auf freie Meinungsäußerung bzw. auf freie Information auf Seite des Verantwortlichen bzw. Dritter vor, wobei die im Spannungsverhältnis stehenden Grundrechte entsprechend der Judikatur des EGMR als grundsätzlich gleichwertig anzusehen waren (Urteil des EGMR Delfi vs Estonia vom 16. Juni 2015).
In die Interessenabwägung wurden nachstehende Punkte von der Datenschutzbehörde einbezogen:

• Die Rolle der betroffenen Person im öffentlichen Leben und das Informationsinteresse der Öffentlichkeit (Beitrag zur Debatte von allgemeinem Interesse),
• die sachliche Richtigkeit und soziale Adäquanz der veröffentlichten Daten,
• der Zweck und der Kontext der Veröffentlichung,
• Art der betroffenen Information, insbesondere ihre Sensitivität für das Privatleben des Betroffenen, und die Wahrscheinlichkeit oder der tatsächliche Eintritt eines materiellen bzw. immateriellen Schadens durch die Datenverarbeitung,
• die seit der Veröffentlichung der Daten vergangene Zeit,
• etwaig betroffene Rechte und Pflichten Dritter (z.B. durch eine Löschung betroffene Medien).

Die Entscheidung ist rechtskräftig.

Die DSB hat zu folgenden Gesetzesvorhaben eine Stellungnahme abgegeben:

• Novelle der Gewerbeordnung 1994; Neugestaltung der Gewerbelegitimationen
• Pflegeausbildungs-Zweckzuschussgesetz
• Bundespflegegeldgesetz
• HinweisgeberInnenschutzgesetz – HSchG
• Zweites EU-Informationssysteme-Anpassungsgesetz
• Erneuerbare-Wärme–Gesetz – EWG
• Novelle UVP-G
• Novelle des Wiener Krankenanstaltengesetzes 1987 - Wr. KAG und des Wiener Gesundheitsfonds-Gesetzes 2017
• TDBG-Novelle 2022
• Barrierefreiheitsgesetz

Folgende neue Mitarbeiterinnen und Mitarbeiter nahmen ihre Tätigkeit in der DSB auf:

Frau Dr. Beatrice Blümel, LL.M. (IT-Law) war Universitätsassistentin am Institut für Zivilrecht der Universität Wien und absolvierte den postgradualen Universitätslehrgang Informations- und Medienrecht an der Universität Wien. Sie war während der österreichischen Ratspräsidentschaft 2018 im Justizministerium als Vertragsbedienstete im Bereich Urheberrecht tätig und zuletzt als Rechtsanwältin bei der Rechtsanwaltskammer Wien eingetragen. Sie ist bei der Datenschutzbehörde in den Bereichen nationales und internationales Verfahren tätig.
Frau Mag. Olivia Knehs-Vranitzky studierte Rechtswissenschaften an der Universität Wien und sammelte neben dem Studium praktische Erfahrungen in einer Wirtschaftsrechtskanzlei. Im Anschluss war sie Rechtspraktikantin im Gerichtssprengel des OLG Wien und begann ihr Doktoratsstudium an der Universität Wien. Nach ihrer Tätigkeit als verfassungsrechtliche Mitarbeiterin am VfGH unterstützt sie nun das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren.
Herr Florian Kraxner verstärkt seit August tatkräftig das Team der Kanzlei.
Frau Mag.^a Marele Sladek, BA studierte Rechtswissenschaften an der Universität Wien und sammelte neben dem Studium praktische Erfahrungen in Unternehmen. Im Anschluss ihres Rechtspraktikums im Gerichtssprengel des OLG Wien war sie in einer großen Wirtschaftskanzlei als Rechtsanwaltsanwärterin tätig, wo sie sich bereits mit datenschutzrechtlichen Fragestellungen auseinandersetzte und ihr Studium der Betriebswirtschaftslehre beendete. Im Jahr 2020 wechselte sie in den Bundesdienst, unterstützte als Juristin das Team der Rechtsabteilung und war als Datenschutzbeauftragte der Studienbeihilfenbehörde mit datenschutzrechtlichen Aufgabenstellungen betraut. 2021 schloss sie ihre Ausbildung zur diplomierten Mediatorin und Konfliktmanagerin ab. Derzeit befindet sie sich in der Abschlussphase ihres MBA-Studiums „Wirtschafts- und Finanzstrafrecht“ und unterstützt nun das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren
Frau Mag. Klara Winkler studierte Rechtswissenschaften an der Universität Wien, sammelte neben dem Studium in einer Rechtsanwaltskanzlei praktische Erfahrungen und war zuletzt als studentische Mitarbeiterin in der Datenschutzabteilung eines Telekommunikationsunternehmens tätig. Nun unterstützt sie das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren.

Folgende Mitarbeiterinnen und Mitarbeiter beendeten ihre Tätigkeit in der DSB:


Frau Dina Abdel-Aziz, Herr Bernhard Baumgartner, Herr Kevin Breinreich, Frau Kerstin Horvath, Frau Petra Neubauer