Liebe Leserinnen und Leser!

Verabschiedung Dr. Andrea Jelinek

Dr. Matthias Schmidl

Dr. Jelinek wurde mit Wirkung vom 1. Jänner 2014 zur (ersten) Leiterin der Datenschutzbehörde (DSB) ernannt und trat am 1. Oktober 2023 in den Ruhestand.
Vor ihrer Funktion als Leiterin der DSB war Dr. Jelinek in verschiedenen Funktionen im Ressortbereich des Bundesministeriums für Inneres tätig. Hervorzuheben sind ihre langjährige Tätigkeit als Leiterin des Polizeikommissariats für den 3. Bezirk sowie ihre einjährige interimistische Leitung des fremdenpolizeilichen Büros in Wien.
Die erste Funktionsperiode als Leiterin der DSB von 2014 bis 2018 war von zwei wesentlichen Faktoren geprägt: Einerseits von der Umwandlung der ehemaligen Datenschutzkommission als Kollegialbehörde mit richterlichem Einschlag in die monokratisch strukturierte, aber völlig unabhängige DSB. Andererseits von der DSGVO, die neben einer inhaltlichen Umstellung auch eine Neuorganisation der DSB erforderte, da zusätzliche Aufgaben zu übernehmen waren (inbes. die Führung von Verwaltungsstrafverfahren oder die Genehmigung von Verhaltensregeln).
Nebenbei erwähnt sei, dass aufgrund der Regierungsbildung 2017/2018 die DSB dem Bundesministerium für Justiz zugeordnet wurde, was zunächst einen Umzug von den Räumlichkeiten in der Hohenstaufengasse in die Wickenburggasse (ehemaliges ASG Wien) und später von dort in die derzeitigen Räumlichkeiten in der Barichgasse erforderte.
Die zweite Funktionsperiode von 2019 bis Ende September 2023 war – neben der Corona-Pandemie – von einem wesentlichen Faktor geprägt, nämlich von ihrer zusätzlichen Funktion als Vorsitzende des Europäischen Datenschutzausschusses (EDSA). Dr. Jelinek wurde im Februar 2018 zur Vorsitzenden der damaligen Artikel-29-Gruppe gewählt und am 25. Mai 2018, dem Tag an dem DSGVO in Geltung trat, per acclamationem als Vorsitzende des neu geschaffenen EDSA bestätigt. Hervorzuheben ist, dass diese Tätigkeit zusätzlich zu jener als Leiterin der DSB auszuführen und mit keiner gesonderten Vergütung oder zusätzlichem Personal verbunden war.
In dieser Zeit war Dr. Jelinek das „Gesicht“ des europäischen Datenschutzes und repräsentierte den EDSA weltweit. Die Wichtigkeit dieser Funktion zeigte sich unmittelbar nach Aufhebung des zweiten Angemessenheitsbeschlusses zu den USA („Privacy Shield“) durch den EuGH, als der damalige US-Handelsminister persönlich das Gespräch mit ihr suchte, um eine tragfähige Lösung für den transatlantischen Datenfluss zu finden.
Am 25. Mai 2023 endete die Funktionsperiode als Vorsitzende des EDSA. Dr. Jelinek verzichtete auf eine erneute Kandidatur, als ihre Nachfolgerin wurde die Leiterin der finnischen Aufsichtsbehörde, Anu Talus, gewählt.
Dr. Jelinek war in den fast zehn Jahren, in denen sie der DSB vorstand, stets bestrebt, die DSB als unabhängige und anerkannte Rechtsschutzeinrichtung zu etablieren und zu bewahren. Ebenso ist es ihr gelungen, den Personalstand der DSB nachhaltig zu heben, was angesichts der steigenden Verfahrenszahlen dringend notwendig war. Als krönender Abschluss ihrer Bemühungen ist sicherlich zu werten, dass die DSB, welche zwischenzeitig auf insgesamt 60 Bedienstete (einschließlich Verwaltungspraktikanten und –innen) angewachsen ist, Abteilungen mit Abteilungsleiterinnen und –leitern an der Spitze einrichten und somit eine Zwischenführungsebene etablieren konnte.
Die DSB wünscht ihrer ersten Leiterin alles Gute im Ruhestand und hofft, dass sie nun für all jene Dinge Zeit finden möge, die in den letzten zehn Jahren zu kurz gekommen sind.

Bestätigung des Prüfverfahrens zum jö Bonus Club

Dr. Andreas Zavadil, Mag. Andreas Rohner

Die Datenschutzbehörde leitete Ende 2019 ein Prüfverfahren im Zusammenhang mit dem Kundenbindungsprogramm „jö Bonus Club“ ein. Mit Beschwerdevorentscheidung vom 11. Dezember 2019, GZ: DSB-D062.297/0001-DSB/2019, wurde u.a. ausgesprochen, dass die Einwilligungserklärungen für Profiling nicht den Anforderungen der DSGVO entsprechen.
Die Unser Ö-Bonus Club GmbH hat einen Vorlageantrag an das Bundesverwaltungsgericht gestellt, welches die Entscheidung der Datenschutzbehörde zunächst behoben hatte. Begründend wurde ausgeführt, dass die Datenschutzbehörde den Prüfgegenstand zu eng gefasst habe; es seien nur die Einwilligung, nicht jedoch die anderen Erlaubnistatbestände überprüft worden. Die dagegen erhobene Amtsrevision der Datenschutzbehörde an den Verwaltungsgerichtshof war hinsichtlich der Leistungsaufträge erfolgreich und wurde das Verfahren mit Erkenntnis vom 8. Februar 2022, Ro 2021/04/0033, zurück an das Bundesverwaltungsgericht verwiesen.
Das Bundesverwaltungsgericht hat nunmehr mit Erkenntnis vom 28. September 2023, GZ: W256 2227693-1/44E, in der Sache entschieden und die Entscheidung der Datenschutzbehörde inhaltlich bestätigt.
Zusammengefasst geht das Bundesverwaltungsgericht davon aus, dass an die Anforderungen einer Einwilligung ein hoher Maßstab anzulegen und ein Ersuchen um Einwilligung hinreichend von anderen Elementen einer Anmeldestrecke hervorzuheben ist. Ebenso ist es in derartigen Fällen nicht möglich, im Falle der Ungültigkeit einer Einwilligung zum Zwecke des Profiling nachträglich auf berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO zu wechseln, zumal sich die Unser Ö-Bonus Club GmbH diesbezüglich in sämtlichen vorgelegten Dokumenten und auch gegenüber den betroffenen Personen nur auf die Einwilligung gestützt hat.
In diesem Zusammenhang ist auf das Urteil des EuGH vom 4. Juli 2023, C‑252/21 (Rz 95), zu verweisen, wonach der Verantwortliche für die Einhaltung der DSGVO – inklusive Rechtmäßigkeit – die ausdrückliche Beweislast trägt. Demnach ist es nicht Sache der Aufsichtsbehörden oder der Gerichte, sämtliche Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO im Detail zu überprüfen, sondern müssen die hierfür maßgeblichen Nachweise vom Verantwortlichen vorgelegt werden.
Das vorliegende Erkenntnis des Bundesverwaltungsgerichts steht damit auch im Einklang mit dem rechtskräftigen Erkenntnis vom 13. Dezember 2022, GZ: W214 2234934-1/24E, wonach auch das zweite Prüfverfahren im Zusammenhang mit dem Kundenbindungsprogramm „PAYBACK“ inhaltlich bestätigt wurde.

Gemeinsame Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und des Europäischen Datenschutzbeauftragten (EDSB) zum Vorschlag der Europäischen Kommission für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679

MMag. Elisabeth Wagner

Am 4. Juli 2023 veröffentlichte die Europäische Kommission den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO (Vorschlag). Gleichzeitig wurden der EDSA und der EDSB förmlich konsultiert.
Ziel des Vorschlages ist es, durch ergänzende Regelungen zur DSGVO eine Straffung der Verfahren für die Zusammenarbeit zwischen den Datenschutzaufsichtsbehörden und die Streitbeilegung sowie eine Harmonisierung der Verfahrensrechte der Verfahrensparteien in grenzüberschreitenden Fällen zu erreichen. Der Vorschlag enthält etwa Regelungen zur Vereinheitlichung der Anforderungen bei der Erhebung einer Beschwerde, eine Stärkung des frühzeitigen Konsensfindungsprozesses im Hinblick auf den Umfang und die Ergebnisse der Untersuchung der federführenden Aufsichtsbehörde, Klarstellungen zum Umfang, Inhalt und zeitlichen Ablauf des Informationsaustausches im Rahmen des Kooperationsverfahrens, eine Harmonisierung des Parteiengehörs und Akteneinsichtsrechts der Verfahrensparteien und Klarstellungen hinsichtlich des Streitbeilegungs- und Dringlichkeitsverfahrens vor dem EDSA.
In ihrer gemeinsamen Stellungnahme 01/2023 vom 19. September 2023 begrüßen der EDSA und der EDSB es sehr, dass der Vorschlag viele der Anregungen in der EDSA-Wunschliste vom 10. Oktober 2022 umsetzen soll. Allerdings enthält die Stellungnahme auch einige Kritikpunkte und Änderungs- bzw. Ergänzungsvorschläge.
Näheres entnehmen Sie bitte der gemeinsamen Stellungnahme 01/2023, dabei insbesondere der Zusammenfassung am Anfang des Dokuments.

Prüfverfahren zu Google Fonts
Dr. Andreas Zavadil
Die Datenschutzbehörde hat bereits im Newsletter 4/2022 über die Einleitung eines amtswegigen Prüfverfahrens wegen Google Fonts und der damit im Zusammenhang stehenden Verarbeitung personenbezogener Daten berichtet. Anlass der Einleitung waren Schreiben eines österreichischen Anwalts, der zahlreiche Unternehmen aufgefordert hat, aufgrund der Einbindung von Google Fonts auf der jeweiligen Unternehmenswebsite einen Schadenersatzanspruch anzuerkennen sowie eine Unterlassungserklärung abzugeben.
Das gegen Google LLC gerichtete Prüfverfahren wurde nunmehr abgeschlossen. Es wurden Fragen zu rechtlichen und technischen Aspekten des Produkts Google Fonts gestellt. Darüber hinaus wurde eine mündliche Verhandlung durchgeführt. An der Verhandlung nahmen Vertreterinnen und Vertreter von Google LLC teil.
Ausgehend von den Ermittlungsergebnissen ist festzuhalten, dass es nur zu einer Datenübermittlung an die Server von Google kommt, wenn Google Fonts über einen Google-Server (nach)geladen werden. Bei einer lokalen Einbindung der Schriftarten am eigenen Server kommt es zu keiner solchen Datenübermittlung. Es kommt auch nicht in allen Fällen der nicht-lokalen Einbindung zu einer Datenübermittlung an die Server von Google LLC in den USA. Vielmehr ist dies insbesondere davon abhängig, an welchem geografischen Standort sich der Nutzer (bzw. der Server seines Internetproviders) befindet, welcher eine Anwendung aufruft, die Google Fonts eingebunden hat. Im Streitfall hat eine einzelfallbezogene Prüfung des Datenflusses zu erfolgen.
Aus Sicht der Datenschutzbehörde wurde hinreichend nachgewiesen, dass es unter keinen Voraussetzungen zu einer Verknüpfung zwischen „Google Fonts Daten“ (wie IP-Adresse, HTTP-Header einschließlich „Referrer“ sowie „User-Agent“ des Internetbrowsers) und einem Google-Account kommt. Darüber hinaus werden „Google Fonts Daten“ nicht zu Werbezwecken verwendet. Sofern diese Daten im Einzelfall als personenbezogene Daten zu qualifizieren sind und zu dem Zweck verarbeitet werden, Angriffe zu erkennen und zu bekämpfen, kann dies durch den Erlaubnistatbestand der berechtigten Interessen gedeckt sein. Eine unrechtmäßige Datenverarbeitung konnte im Rahmen des Prüfverfahrens somit nicht festgestellt werden. Allerdings wurden nach Auffassung der Datenschutzbehörde die Vorgaben für die Informationspflicht nicht gänzlich eingehalten. Dieser Umstand wurde an Google LLC herangetragen.
Diese Schlussfolgerungen beziehen sich nur auf das Produkt Google Fonts und sind vorbehaltlich allfälliger Änderungen des Produkts Google Fonts nach Abschluss des Prüfverfahrens zu verstehen.
Abschließend ist klarzustellen, dass die formale Feststellung von Rechtsverstößen in Datenschutzangelegenheiten in Österreich ausschließlich in die Zuständigkeit der Datenschutzbehörde oder der österreichischen Gerichte fällt, jedoch keinesfalls von privaten Einrichtungen oder Privatpersonen vorzunehmen ist.

D124.0179/22 (2022-0.658.484), Übermittlung von Kontoauszügen im Rahmen einer Geldwäscheverdachtsmeldung
Mit dem Bescheid vom 4. Juli 2023 hat die Datenschutzbehörde zu beurteilen gehabt, ob ein konzessioniertes Kreditinstitut die beschwerdeführende Partei im Recht auf Geheimhaltung und die Grundsätze der DSGVO verletzt hat, indem dieses im Rahmen einer Geldwäscheverdachtsmeldung Teilauszüge von Kontoinformationen an die Geldwäschemeldestelle übermittelt hatte.

Der Beschwerdeführer, welcher seit dem Jahr 2020 Notstandshilfe bezieht, verfügt bei der Beschwerdegegnerin, die ein konzessioniertes Kreditinstitut betreibt, sowie bei weiteren Bankinstituten über Girokonten. Das Arbeitsmarktservice überweist die Geldleistungen an den Beschwerdeführer auf das vor dem Jahr 2010 eröffnete Konto bei der Beschwerdegegnerin.

Aufgrund von Einzahlungen und Überweisungen in ungewöhnlicher Höhe, welche in einer Diskrepanz zur den Bezügen vom Arbeitsmarktservice standen, und eines Vorjahres-Habenumsatzes, welcher die Summe von 100.000,00 Euro überstieg, hat die Beschwerdegegnerin eine umfassende Analyse eingeleitet und hierbei ebenfalls den Beschwerdeführer nach der Mittelherkunft befragt. Die Beschwerdegegnerin hat daraufhin in Ermangelung der für sie eindeutigen Nachvollziehbarkeit eine Geldwäscheverdachtsmeldung samt der Auflistung der verdächtig wirkenden Transaktionen eingebracht.
Die Datenschutzbehörde hat die Beschwerde abgewiesen, weil sie zu dem Ergebnis gelangt ist, dass die beschwerdeführende Partei nicht im Recht auf Geheimhaltung verletzt worden ist.
Die Beschwerdegegnerin unterliegt als ein konzessioniertes Kreditinstitut gemäß § 1 BWG dem Anwendungsbereich des FM-GwG. Das FM-GwG verfolgt das Ziel, Geldwäsche und Terrorismusfinanzierung zu verhindern. Aus diesem Grund sind Bankinstituten - wie der Beschwerdegegnerin - besondere Sorgfaltspflichten vom Gesetzgeber auferlegt worden, insbesondere bei Vorliegen von verdächtigten Transaktionen zur Vorbeugung von Geldwäsche. Aufgrund der verdächtigen Kontobewegungen des Beschwerdeführers, dessen nicht schlüssiger Mittelherkunftserklärung und Auffälligkeiten, auf welche auch die FMA im Rundschreiben Meldepflichten zur Prävention von Geldwäscherei und Terrorismusfinanzierung (Stand Februar 2022) hingewiesen hat, hat die Beschwerdegegnerin eine Verdachtsmeldung an die Geldwäschemeldestelle (vgl. § 16 FM-GwG) samt den notwendigen Informationen übermittelt, um zu untermauern, dass der Verdacht begründet ist. Die gegenständliche Datenverarbeitung der Beschwerdegegnerin hat im Rahmen einer gesetzlichen Grundlage stattgefunden und auch die monierte Unverhältnismäßigkeit konnte nicht festgestellt werden.
Der Bescheid ist nicht rechtskräftig.

D124.0820/22 (2022-0.563.061), Weiterverarbeitung von Gesundheitsdaten zum Zwecke der Übermittlung eines postalischen Spendenaufrufs
Mit Bescheid vom 05.07.2023 hatte die Datenschutzbehörde die Rechtmäßigkeit der Weiterverarbeitung von Gesundheitsdaten durch eine gemeinnützige Rettungsorganisation zu prüfen, wodurch sich der Beschwerdeführer in seinem Recht auf Geheimhaltung als verletzt erachtete. Konkret ging es um personenbezogene Daten des Beschwerdeführers, welche die Beschwerdegegnerin im Rahmen eines Rettungseinsatzes erhoben hatte und in der Folge für den Versand eines postalischen Spendenaufrufs weiterverarbeitete, wobei auf den durchgeführten Einsatz hingewiesen und der Beschwerdeführer erstmals in dem Schreiben über den Umstand der Weiterverarbeitung seiner personenbezogenen Daten informiert worden war.
Die Beschwerdegegnerin stützte sich anlässlich der Weiterverarbeitung der personenbezogenen Daten, welche sie als Daten iSd Art. 4 Z 1 DSGVO qualifizierte, auf den Rechtfertigungstatbestand des Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) sowie Art. 6 Abs. 4 DSGVO.
Die Datenschutzbehörde gab der Beschwerde statt und stellte fest, dass eine Rechtmäßigkeit der Weiterverarbeitung der personenbezogenen Daten des Beschwerdeführers nicht gegeben ist.
Gemäß dem sehr weiten Begriffsverständnis des EuGH in seinem Urteil zu C-184/20 erblickte die Datenschutzbehörde in den verfahrensgegenständlich weiterverarbeiteten Daten Gesundheitsdaten iSd Art. 9 Abs. 1 DSGVO, da diese in einem Kontext verarbeitet worden waren, welche einen ausschließlich gesundheitsbezogenen Zusammenhang aufwiesen. Eine Weiterverarbeitung auf Basis berechtigter Interessen schied sohin aus, da Art. 9 Abs. 2 DSGVO diesen Tatbestand nicht nennt, womit sich die Weiterverarbeitung als unzulässig herausstellte.
Selbst unter der Annahme, dass es sich bei den verfahrensgegenständlich weiterverarbeiteten Daten um keine Gesundheitsdaten handelt, stellte die Datenschutzbehörde die Unzulässigkeit der Weiterverarbeitung fest. Dies vor dem Hintergrund, da die zweckgeänderte Datenverarbeitung auf ihre Vereinbarkeit und Rechtmäßigkeit zu prüfen war. Vor dem Hintergrund, dass Art. 6 Abs. 4 DSGVO nur die Vereinbarkeit regelt, allerdings keinen eigenen Erlaubnistatbestand normiert, war die Zulässigkeit der Weiterverarbeitung darüber hinaus von der Erfüllung eines Erlaubnistatbestandes nach Art. 6 Abs. 1 DSGVO auch für den anderen Zweck abhängig.
Im Rahmen des durchgeführten Kompatibilitätstests kam die Datenschutzbehörde zu dem Schluss, dass die Kriterien des Art. 6 Abs. 4 DSGVO als nicht erfüllt anzusehen sind. Insbesondere mit Blick auf Art. 6 Abs. 4 lit. b DSGVO (Konnex der Datenerhebung und vernünftige Erwartungen der betroffenen Person) war nicht davon auszugehen, dass der Beschwerdeführer in einer Notfallsituation damit rechnen musste, dass seine personenbezogenen Daten – welche zur Abwicklung des Rettungseinsatzes erhoben worden waren – in der Folge für den Spendenaufruf weiterverarbeitet werden.
Im Hinblick auf die Rechtmäßigkeit führte die Datenschutzbehörde aus, dass es nach der ständigen Rechtsprechung des EuGH nicht ausreicht, dass ein Rechtmäßigkeitsgrund vorliegt; es müssen vielmehr alle Grundsätze nach Art. 5 DSGVO eingehalten werden. Diesbezüglich widersprach die Verarbeitung dem Grundsatz nach Treu und Glauben, da abermals die vernünftigen Erwartungen des Beschwerdeführers, die auf seiner Beziehung zu der Beschwerdegegnerin beruhen, nicht im Einklang mit der Weiterverarbeitung standen. Darüber hinaus stand die Datenverarbeitung insofern im Widerspruch zum Grundsatz der Transparenz, als dieser voraussetzt, dass die betroffene Person bereits zum Zeitpunkt der Datenerhebung – sohin anlässlich des Rettungseinsatzes – über Zwecke der Datenverarbeitung und Rechtsgrundlage informiert wird; Art. 13 DSGVO verlangt diesbezüglich ausdrücklich, dass das berechtigte Interesse darzulegen ist.
Der Bescheid ist nicht rechtskräftig.

D550.747 (2023-0.420.407), Straferkenntnis, unrechtmäßige Veröffentlichung von Gesundheitsdaten in Beantwortung auf Google-Rezension
Die Datenschutzbehörde hat mit Straferkenntnis vom 29. Juni 2023 eine Strafe in Höhe von EUR 10.000,- ausgesprochen.
Der Beschuldigte ist Facharzt für Gynäkologie und Geburtshilfe und betreibt eine Kassenordination. Die Betroffene hat aufgrund einer akuten gesundheitlichen Beschwerde die Ordination des Beschwerdegegners aufgesucht und verfasste nach dem Besuch unter ihrem Klarnamen eine Google-Rezension. Der Beschuldigte reagierte mit öffentlicher Antwort darauf und erwähnte darin die Diagnose der Betroffenen.
Die Veröffentlichung der personenbezogenen Daten der Betroffenen erfolgte entgegen den Verarbeitungsgrundsätzen gemäß Art. 5 Abs. 1 lit. a, b und c DSGVO und verstieß der Beschuldigte durch die Veröffentlichung der Gesundheitsdaten der Betroffenen gegen Art. 9 DSGVO, da im vorliegenden Fall keine Ausnahme des Verarbeitungsverbotes besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 2 DSGVO einschlägig war.
In subjektiver Hinsicht ging die Datenschutzbehörde aufgrund der bewussten Veröffentlichung der Diagnose der Betroffenen davon aus, dass der Beschuldigte die gegenständliche Verarbeitung vorsätzlich vorgenommen hat.
Die Art und die Schwere des Verstoßes wurden von der Datenschutzbehörde als hoch eingestuft. Die Betroffene konnte darauf vertrauen, dass ihre Gesundheitsdaten in Form einer medizinischen Diagnose vom Beschuldigten nicht in weiterer Folge im Internet veröffentlicht werden.
Die Verhängung einer Geldbuße iHv EUR 10.000,- war im vorliegenden Fall v.a. aus spezialpräventiven Gründen notwendig. Es ergab sich während des Verfahrens vor der Datenschutzbehörde das Bild, dass der Beschuldigte regelmäßig Details der von ihm durchgeführten Untersuchungen in Reaktion auf schlechte Rezensionen erwähnt hat.
Das Straferkenntnis ist dem Grunde nach rechtskräftig, die Höhe der Strafe wurde angefochten.

2022-0.858.901 (D213.1508), der Betrieb von Kameras in den Gängen einer Mittelschule während des Schulbetriebes erfolgte ohne entsprechende Rechtsgrundlage iS des Art. 6 DSGVO
Der Datenschutzbehörde wurde mittels anonymer Eingabe zur Kenntnis gebracht, dass in einer niederösterreichischen Mittelschule mehrere Kameras betrieben werden. Nach Befassung durch die Datenschutzbehörde wurde seitens der Direktion begründet, dass die vier Kameras in den Gängen der Schule den Schutz von Personen, Schutz vor Diebstählen oder Überfällen bezweckten und die Aufzeichnungen 48 Stunden aufbewahrt würden.
Mit Bescheid vom 5. September 2023, GZ: DSB-D213.1508, entschied die Datenschutzbehörde – gestützt auf die Judikatur der Datenschutzkommission[1] - dass sich eine öffentliche Stelle, im Rahmen der Hoheitsverwaltung – diesfalls dem Schulbetrieb - nicht auf berechtigte Interessen stützen kann, sondern es einer ausdrücklichen und hinreichend determinierten gesetzlichen Ermächtigung bedarf (vgl. § 1 Abs. 2 DSG). Darüber hinaus wäre eine durchgehende Überwachung der Minderjährigen auf den Gängen einer Pflichtschule (in der Regel handelt es sich um 10 – bis 14-jährige) auch nicht das gelindeste Mittel iS des § 1 Abs. 2 DSG, letzter Satz. Anders verhält sich eine allfällige Überwachung außerhalb des Schulbetriebes. Hier können Videoüberwachungen öffentlicher Stellen – etwa im Rahmen privatwirtschaftlicher Tätigkeiten - für Zwecke des Eigentumsschutzes und bei Vorliegen der Voraussetzungen des Art. 6 Abs. 1 lit f DSGVO zulässig sein.
Der Bescheid ist rechtskräftig.

Bundesverwaltungsgericht zu Zl. W211 2260980-1/18E vom 27.9.2023 zu Zl. D124.0846/22, 2022-0.601.207; keine Verpflichtung der Datenschutzbehörde, sämtliche Ermittlungsbefugnisse auszuschöpfen (Videoüberwachung)
Der Beschwerdeführer hatte sich über eine Kamera auf dem vis-à-vis gelegenen Grundstück beschwert, die auf seine Liegenschaft, insbesondere auf seinen Garten und die davor gelegene öffentliche Straße, gerichtet sei. Die Datenschutzbehörde wies die Beschwerde mit Bescheid vom 31. August 2022 zu Zl. D124.0846 ab, da bei der Kamera in der entsprechenden Position eine Privatzonenmaskierung eingerichtet war.
In der rechtzeitig eingelangten Bescheid-Beschwerde machte der Betroffene geltend, dass die Datenschutzbehörde ihrer Ermittlungspflicht nicht ausreichend nachgekommen sei, keine örtliche Überprüfung der Videoüberwachungsanlage vorgenommen habe, insbesondere keine Einschau in Datenverarbeitung und Unterlagen bzw. nicht von ihrem Recht auf Zutritt zu den Räumlichkeiten des Verantwortlichen Gebrauch gemacht habe.
Das BVwG wies die Bescheid-Beschwerde mit Erkenntnis vom 27. September 2023 zu Zl. W211 2260980-1/18E ab und führte betreffend den Aufnahmebereich der Kamera aus, dass diese sich aus den – im Verfahren vor der Datenschutzbehörde - vorgelegten Screenshots und der Sichtung der Aufnahmebereiche des Echtzeitbildes im Laufe der mündlichen Verhandlung vor dem BVwG (Anm: am Handy des Verantwortlichen) ergeben habe.
Zu den behauptet unzureichenden Ermittlungsmassnahmen durch die Datenschutzbehörde führte das BVwG aus: „(…) Allgemein hat die Behörde gemäß dem Grundsatz der arbiträren Ordnung zu bestimmen, welche Tatsachen zu beweisen sind (= Beweisthema bzw. Beweisgegenstand), worin also der maßgebende Sachverhalt besteht. Darüber hinaus hat sie die aufzunehmenden Beweise und deren Reihenfolge festzulegen (VwGH 19. 12. 2000, 94/12/0159; 17. 4. 2002, 98/09/0174), die zur einwandfreien Feststellung dieser Tatsachen zweckdienlich und notwendig sind (vgl VwSlg 9721 A/1978; § 46 AVG) (Hengstschläger/Leeb, AVG § 39 Rz 20 (Stand 1.4.2021, rdb.at)). Entsprechende Befugnisse sind daher nicht verpflichtend auszuschöpfen. Die Datenschutzbehörde ist in der Art und Weise der Verfahrensführung frei. Bei den zu setzenden Ermittlungen hat sie außerdem Rücksicht auf den Grundsatz der Verfahrensökonomie zu nehmen (§ 39 Abs. 2 AVG). Aus § 39 Abs. 2 letzter Satz AVG lässt sich ableiten, dass die Behörde dann, wenn sie den Sachverhalt als hinreichend geklärt erachtet, nicht nur berechtigt, sondern verpflichtet ist, von weiteren Erhebungen Abstand zu nehmen (Hengstschläger/Leeb, AVG § 39 Rz 40 (Stand 1.4.2021, rdb.at)). Der verfahrensgegenständliche Sachverhalt wurde bereits durch die Datenschutzbehörde ausreichend ermittelt. Ihr ist insbesondere dahingehend zuzustimmen, dass ein Lokalaugenschein nur erhellende Momente dahingehend hätte bringen können, wie sich die Kameraausrichtung und ihre technische Einstellung just in diesem Moment darstellen; darüberhinausgehende Aussagen hätten sich daraus nicht ergeben. Ein Mehrwert kann daher dieser Maßnahme nicht entnommen werden. (…)“

BVwG Erkenntnis vom 23.6.2023, GZ: W274 2251055-1/5E
Im Ausgangsverfahren (Datenschutzbeschwerde) hatte der ursprüngliche Beschwerdeführer eine Verletzung seines Geheimhaltungsrechts (Recht auf gesetzmäßige Verarbeitung gemäß Art. 6 Abs. 1 DSGVO) durch eine Bank geltend gemacht. Die Bank hatte ein Telefongespräch, das er als Kunde mit einer Filiale geführt hatte, um sich nach Überweisungsmodalitäten (Betragslimit für Online-Zahlungsaufträge) zu erkundigen, ohne seine Einwilligung aufgezeichnet. Die DSB hatte dieser Beschwerde Folge gegeben (Bescheid vom 19.11.2021, GZ: 2020-0.591.897 [Verfahrenszahl: DSB-D124.422]).
Die dagegen erhobene Bescheidbeschwerde der Bank war hingegen nicht erfolgreich. Die Bank hatte sich laut BVwG unbegründet auf bestimmte für Banken geltende gesetzliche Dokumentationspflichten (nach dem Zahlungsdienstegesetz – ZaDiG und dem Wertpapieraufsichtsgesetz – WAG 2018) berufen, die aber nicht auf den konkreten Sachverhalt anzuwenden waren. Weder hatte der Betroffene eine Zahlung in Auftrag gegeben, noch wurde ein Wertpapiergeschäft in Auftrag gegeben oder angebahnt (§ 33 Abs. 1 und 2 WAG 2018). Die abstrakte Möglichkeit, dass sich ein Kundentelefonat in eine dieser Richtungen entwickeln könnte, reicht als Grundlage für eine Aufzeichnung aller Gespräche unter einer allgemeinen (d.h. nicht für solche dokumentationspflichtigen Aufträge bestimmten) Rufnummer nicht aus. Überdies bestätigte das BVwG die von der Bank ausdrücklich bestrittene Berechtigung der DSB, gemäß § 24 Abs. 5 DSG Verletzungen des Geheimhaltungsrechts auch ohne über den Einzelfall hinausgehende rechtliche Interessen des Verletzten im Datenschutzbeschwerdeverfahren bescheidmäßig festzustellen.
Die ordentliche Revision an den VwGH wurde nicht zugelassen. Der DSB ist keine ao Revision der Bank zur Kenntnis gelangt.

BVwG-Erkenntnis, GZ: W298 2261568-1/16E, Erkenntnis vom 19. September 2023
Dem Erkenntnis des Bundesverwaltungsgerichts liegt der Bescheid vom 3. August 2022 zur GZ D124.5271, 2022-0.135.887, der Datenschutzbehörde zugrunde, in welchem diese ausgesprochen hat, dass die Beschwerdegegnerin die Beschwerdeführerin (eine juristische Person) dadurch im Recht auf Löschung verletzt hat, indem diese sich geweigert hat, dem Antrag der Beschwerdeführerin auf Löschung der Investorenwarnung vom 1. Oktober 2021 nachzukommen. Zudem hat die Beschwerdegegnerin die Beschwerdeführerin im Recht auf Auskunft verletzt, weil diese keine hinreichende Auskunft über die geplante Speicherdauer bzw. die genauen Kriterien für die Festlegung dieser Dauer erteilt hat.
Das Bundesverwaltungsgericht gab der Beschwerde (gegen den Bescheid der Datenschutzbehörde) statt und änderte den Spruch dahingehend ab, dass die Datenschutzbeschwerde der Beschwerdeführerin zurückgewiesen wird und die übrigen Spruchpunkte des Bescheides ersatzlos behoben werden. Aus der rechtlichen Begründung des Bundesverwaltungsgerichtes geht hervor, dass - entgegen der Ansicht der Datenschutzbehörde - die Beschwerdeführerin als juristische Person ihre Beschwerde nicht auf § 1 Abs. 1 und Abs. 3 DSG stützen kann und dieser hierdurch die Beschwerdelegitimation fehle. Begründend wurde weiters ausgeführt, dass eine verfassungskonforme Interpretation von § 24 DSG im Sinne einer Erweiterung entgegen dem Normeninhalt und dem expliziten Wortlaut von § 4 Abs. 1 DSG, dass der einfachgesetzliche Teil des DSG auch eine juristische Person aktiv zur Beschwerdeführung legitimiere, schon deswegen nicht in Frage kommt, weil der Wortlaut der Bestimmung unzweideutig ist. Dem Gesetzgeber ist im Hinblick auf die Ausgestaltung des § 24 DSG auch keine planwidrige Lücke unterlaufen, weil § 4 Abs. 1 DSG explizit die Bestimmungen über den Anwendungsbereich der DSGVO als Durchführungsbestimmungen übernommen hat. Hierdurch ist in der Zusammenschau auf Grundlage von § 1 DSG iVm. § 24 DSG einer juristischen Person keine Beschwerdemöglichkeit eingeräumt.
Die Datenschutzbehörde hat gegen das Erkenntnis eine ordentliche Amtsrevision eingebracht.

EuGH Vorabentscheidungsersuchen C-247/23
Mag. Michael Suda

Dem Vorlagebeschluss des Fővárosi Törvényszék (Hauptstädtisches Stuhlgericht, Ungarn) vom 29.3.2023 liegt folgender Sachverhalt zu Grunde: Die klagende Partei ist iranischer Staatsangehörigkeit und wurde 2014 in Ungarn als Flüchtling anerkannt. Sie gibt geschlechtliche Transidentität (Transsexualität) als einen Fluchtgrund an und beantragte bei der für die Führung des Flüchtlingsregisters zuständigen ungarischen Behörde (Nationale Generaldirektion der Fremdenpolizei) unter Berufung auf Art. 16 DSGVO die Berichtigung der Eintragung ihres Geschlechts von „weiblich“ auf „männlich“. Die Behörde wies diesen Antrag mit Bescheid ab. Dagegen richtet sich das beim vorlegenden Gericht erhobene Rechtsmittel (ein Verfahren vor der ungarischen Datenschutzbehörde fand in diesem Fall nicht statt), zu dem folgende Vorlagefragen gestellt worden sind:

1. Ist Art. 16 DSGVO dahin auszulegen, dass die Behörde, die nach dem mitgliedstaatlichen Recht die Register führt, im Hinblick auf die Ausübung der Rechte der betroffenen Person verpflichtet ist, von ihr registrierte personenbezogene Daten betreffend das Geschlecht dieser Person zu berichtigen, wenn sich diese Daten seit ihrer Eintragung in das Register geändert haben und daher nicht dem in Art. 5 Abs. 1 Buchst. d DSGVO niedergelegten Grundsatz der Richtigkeit entsprechen?
2. Falls Frage 1 bejaht wird: Ist Art. 16 DSGVO dahin auszulegen, dass die Person, die die Berichtigung von Daten betreffend ihr Geschlecht beantragt, verpflichtet ist, Nachweise zur Begründung ihres Berichtigungsantrags vorzulegen?
3. Falls Frage 2 bejaht wird: Ist Art. 16 DSGVO dahin auszulegen, dass die antragstellende Person nachweisen muss, dass sie sich einer geschlechtsangleichenden Operation unterzogen hat?

EuGH Vorabentscheidungsersuchen C-394/23
Mag. Michael Suda

Dem Vorlagebeschluss des Conseil d’Etat (Oberstes Verwaltungsgericht von Frankreich) vom 21.6.2023 liegt folgender Sachverhalt zu Grunde: Beschwerdeführer ist ein Verband, der gemäß Art. 80 Abs. 2 DSGVO vor der CNIL (französische Datenschutzbehörde) im Interesse seiner Mitglieder Beschwerde gegen eine Vertriebsorganisation der Staatsbahn SNCF geführt hatte, weil diese auf ihrer Website verlangt, beim Kauf von Fahrausweisen die Bezeichnung „Herr“ oder „Frau“ einzugeben, ohne eine Variante wie „divers“ vorzusehen. Dies verstoße u.a. gegen die Grundsätze der Datenrichtigkeit und -minimierung. Die CNIL wies die Beschwerde zurück, worauf der Verband ein Rechtsmittel einlegte, zu dem folgende Vorlagefragen gestellt worden sind:

1. Kann bei der Beurteilung der Angemessenheit, Erheblichkeit und Beschränkung auf das für die Zwecke der Verarbeitung der Daten notwendige Maß der Datenerhebung im Sinne der Bestimmungen von Art. 5 Abs. 1 Buchst. c DSGVO und der Erforderlichkeit ihrer Verarbeitung iSv Art. 6 Abs. 1 Buchst. b und f DSGVO die allgemeine Verkehrssitte in der Kommunikation auf Zivil-, Handels- und Verwaltungsebene berücksichtigt werden, so dass die auf die Angaben „Herr“ oder „Frau“ beschränkte Erhebung von Daten hinsichtlich der Anrede der Kunden als erforderlich angesehen werden könnte, ohne dass der Grundsatz der Datenminimierung dem entgegenstünde?
2. Ist bei der Beurteilung, ob die verpflichtende Erhebung und Verarbeitung von Daten hinsichtlich der Anrede der Kunden erforderlich ist, in Anbetracht der Tatsache, dass einige Kunden der Ansicht sind, dass auf sie keine der beiden Anreden zutreffe und dass die Erhebung dieser Daten in Bezug auf sie nicht erheblich sei, zu berücksichtigen, dass die Kunden, nachdem sie dem Verantwortlichen diese Daten zur Verfügung gestellt haben, um die angebotene Dienstleistung in Anspruch zu nehmen, nach Art. 21 DSGVO ihr Recht, der Verwendung und Speicherung dieser Daten zu widersprechen, unter Berufung auf ihre besondere Situation geltend machen könnten?

VwGH, Ro 2020/04/0015, Erkenntnis vom 3.8.2023
Mag. Andreas Rohner

Die DSB gab einer gegen eine Kreditauskunftei gerichtete Beschwerde wegen einer Verletzung im Recht auf Auskunft teilweise statt und stellte fest, dass die Kreditauskunftei den Beschwerdeführer durch eine nicht vollständig erteilte Auskunft im Recht auf Auskunft verletzt hat. Die DSB trug der Beschwerdegegnerin auf, weitere näher umschriebene Auskünfte zu erteilen. In Hinblick auf „eine unvollständige Auskunft über die Empfänger oder Kategorien von Empfängern und über damit im Zusammenhang stehende Übermittlungen“ wurde die Datenschutzbeschwerde abgewiesen, da Empfänger genannt wurden.
Dagegen erhob der Beschwerdeführer vor der DSB Bescheidbeschwerde und hatte dabei vor dem BVwG insofern Erfolg, als dieses der Kreditauskunftei zusätzlich auftrug, den Inhalt der an die Empfänger übermittelten Daten zu beauskunften. Die Revision wurde für zulässig erklärt und wurde von der Kreditauskunftei eine ordentliche Revision erhoben.
Der VwGH wies die Revision ab und verwies insbesondere auf die mittlerweile ergangene Rsp des EuGH, konkret auf die Rs C-154/21 sowie C-487/21. Die Ausübung des in Art. 15 DSGVO vorgesehenen Auskunftsrechts muss es der betroffenen Person demnach nicht nur ermöglichen, zu überprüfen, ob sie betreffende Daten richtig sind, sondern auch, ob diese in zulässiger Weise verarbeitet werden. Das Auskunftsrecht ist insbesondere dafür erforderlich, es der betroffenen Person zu ermöglichen, gegebenenfalls ihr Recht auf Berichtigung, ihr Recht auf Löschung und ihr Recht auf Einschränkung der Verarbeitung sowie ihr Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten oder im Schadensfall ihr Recht auf Einlegung eines gerichtlichen Rechtsbehelfs auszuüben.


Erkenntnis des Verwaltungsgerichtshofes vom 28. September 2023, Ra 2023/04/0076-8
Mag. Anna Michelitsch

Mit Beschluss vom 27. April 2023 hob das BVwG einen Bescheid der DSB, in welchem eine Verletzung im Recht auf Geheimhaltung auf Grund von Videoüberwachungen festgestellt wurde, auf und verwies ihn zur Erlassung eines neuen Bescheides an die DSB zurück. Begründend führte das BVwG aus, die DSB habe nicht in geeigneter Form ermittelt, der Sachverhalt sei somit in einem wesentlichen Punkt umfassend ergänzungsbedürftig geblieben, weshalb im Hinblick auf diese besonders gravierende Ermittlungslücke eine Zurückverweisung erforderlich und auch gerechtfertigt sei. Die DSB erhob Amtsrevision.
Der VwGH führte im Erkenntnis vom 28. September 2023 aus, dass nach den einander widersprechenden Stellungnahmen und Standpunkten der Erst- und des Zweitmitbeteiligten einerseits und des Drittmitbeteiligten andererseits im Verfahren vor der DSB, als auch im verwaltungsgerichtlichen Beschwerdeverfahren die strittige Tatsachenfrage zu klären war, ob die beiden Kameras vor Änderung deren Ausrichtung während des Verfahrens vor der DSB auf das Nachbargrundstück der Mitbeteiligten gerichtet gewesen seien. Die DSB hat dazu ihre Feststellungen zur Ausrichtung der beiden Videokameras nicht nur auf die schriftlichen Stellungnahmen der Verfahrensparteien gegründet, sondern auch im Wesentlichen auf die von den Mitbeteiligten jeweils vorgelegten Lichtbilder.
Allein der Hinweis des Verwaltungsgerichts im angefochtenen Beschluss, es hätte zur notwendigen Klärung der wesentlichen Tatfrage nicht bloß schriftlicher Stellungnahmen der Mitbeteiligten, sondern deren Einvernahme bedurft, verbunden mit der Bemängelung der Beweiswürdigung der DSB begründet vorliegend nicht eine die Zurückverweisung nach § 28 Abs. 3 zweiter Satz VwGVG rechtfertigende Unterlassung notwendiger Sachverhaltsermittlungen durch die DSB.
Der VwGH ging gegenständlich von seiner strengen Rechtsprechung ab (vgl. Beschlüsse vom 10. März 2023, Ra 2020/04/0085 sowie vom 2. August 2023, Ra 2023/04/0091). In den, diesen Beschlüssen zugrundeliegenden Verfahren, war jeweils grundsätzlich der Betrieb einer funktionstüchtigen Kamera bzw. die Speicherung von Bilddaten einer Kamera samt technischer Details dazu strittig und nicht - wie vorliegend - bloß die in der Vergangenheit gelegene Ausrichtung funktionstüchtiger Videokameras.

Die DSB hat zu folgenden Gesetzesvorhaben eine Stellungnahme abgegeben:

• Bundes-Ehrenzeichengesetz
• Verordnung des Bundesministers für Bildung, Wissenschaft und Forschung betreffend Informationen über den Personalaufwand und das Controlling im Bereich der administrativen Assistenzen an öffentlichen allgemeinbildenden Pflichtschulen (AdminAss-Controllingverordnung); Begutachtungs- und Konsultationsverfahren
• Entwurf eines Gesetzes, mit dem die Bauordnung für Wien, das Wiener Kleingartengesetz 1996 und das Wiener Garagengesetz 2008 geändert werden
• Entwurf eines Bundesgesetzes, mit dem das Arbeitslosenversicherungsgesetz 1977, das Arbeitsmarktservicegesetz und das Ausbildungspflichtgesetz geändert werden
• Begutachtung des Entwurfes einer Änderung der Verordnung des Bundesministers für Finanzen zur Festlegung der Nutzungsentgelte für die Nutzung des Registers der wirtschaftlichen Eigentümer (WiEReG-NutzungsentgelteV)
• Bundesgesetz, mit dem das Tierarzneimittelgesetz (TAMG) erlassen und das Arzneimittelgesetz, das Gesundheits- und Ernährungssicherheitsgesetz (GESG), das Lebensmittelsicherheits- und Verbraucherschutzgesetz (LMSVG), das Tierärztegesetz, das Arzneiwareneinfuhrgesetz 2005, das Biozidproduktegesetz, das Chemikaliengesetz 1996 (ChemG 1996), das Patentgesetz 1970, das Apothekengesetz, das Tierschutzgesetz (TSchG) das Tierärztekammergesetz (TÄKamG), das Rezeptpflichtgesetz und das Arzneibuchgesetz 2012 geändert werden
• Gesellschaftsrechtliches Digitalisierungsgesetz 2023
• Bundesgesetz über die höhere berufliche Bildung (HBB-Gesetz)
• Bundesgesetz, mit dem das Grundbuchsumstellungsgesetz, das Rechtspflegergesetz, das Außerstreitgesetz und das Gerichtsgebührengesetz geändert werden
• Veterinärrechtsnovelle 2023
• NÖ Gemeinde-Dienstrechtsreformgesetz 2023
• Bundesgesetz mit dem das Transparenzdatenbankgesetz 2012 geändert wird (Zweite TDBG-Novelle 2023)
• Entwurf der Verordnung über die von Betreiber*innen öffentlich zugänglicher Ladepunkte verpflichtend einzumeldenden statischen und dynamischen Daten (Ladepunkt-Daten-VO)
• Gemeinnützigkeitsreformgesetz 2023
• DSA-Begleitgesetz

Folgende neue Mitarbeiterinnen und Mitarbeiter nahmen ihre Tätigkeit in der DSB auf:

Frau Mag. Christina Pircher studierte Rechtswissenschaften an der Johannes-Kepler-Universität, sammelte neben dem Studium ua Erfahrungen in einer Rechtsanwaltskanzlei, in einem Notariat, in einer Steuerberatungskanzlei sowie bei einem Versicherungsunternehmen. Nun unterstützt sie als Verwaltungspraktikantin das Team der Juristinnen und Juristen in den Bereichen nationales und internationales Verfahren.

Herr Mag. Levin Wotke studierte Journalismus & PR an der Fachhochschule Joanneum in Graz und Rechtswissenschaften an der Universität Wien. Nach Praktika in mehreren juristischen und journalistischen Bereichen arbeitete er nach seinem Studium ein halbes Jahr als Sprachassistent in Russland, absolvierte dann seine Gerichtspraxis und war zuletzt Redakteur im Newsteam von Der Standard/derstandard.at. Er unterstützt nun als Verwaltungspraktikant das Team der Jurist:innen in den Bereichen nationales und internationales Verfahren.

Folgende Mitarbeiterinnen und Mitarbeiter beendeten ihre Tätigkeit in der DSB:

Herr Michael Berger, Frau Mag. Julia Ludwig, Frau Anika-Cristina Schleifer, Herr MMag. LL.M Matthias Wildpanner-Gugatschka