- Rechtsprechung des EGMR
EGMR 25.06.2024, 23215/21,
Vlaisavljevikj/Nordmazedonien (Energieversorgung,
öffentliche Daten)
- Rechtsprechung des VwGH
VwGH 17.05.2024, Ro 2022/04/0026 (Bewertungsplattform, Hotelbetreiber)
VwGH 28.05.2024, Ro 2021/04/0034 (Kreditauskunftei, Geschäftsführer, Bonität)
VwGH 17.05.2024, Ra 2023/04/0005 (Sinus-Geo-Milieus,
statistische Wahrscheinlichkeitswerte, weltanschauliche
Überzeugung)
- Rechtsprechung des BVwG
BVwG 03.06.2024, W211 2263700-1 (Rollenverteilung, COVID)
BVwG 03.06.2024, W211 2273051-1 (justizielle Tätigkeit)
BVwG 03.06.2024, W211 2262341-1 (COVID, Aussetzung)
BVwG 05.06.2024, W252 2288636-1 (Säumnis)
- Rechtsakte
- Vorschau EuGH-Rechtsprechung
Rechtsprechung des EGMR
EGMR 25.06.2024, 23215/21,
Vlaisavljevikj/Nordmazedonien
- Der Betroffene machte bei der zuständigen nationalen
Behörde (Direktion für den Schutz personenbezogener
Daten) eine Datenschutzbeschwerde geltend und brachte vor, durch
einen Wärmelieferanten in seinem Recht auf Schutz seiner
personenbezogenen Daten verletzt worden zu sein. Dieser soll dem
Betroffenen Rechnungen geschickt haben, obwohl in seiner Wohnung
keine Heizungen installiert waren und er keinen Vertrag mit dem
Wärmelieferanten abgeschlossen hatte. Der Wärmelieferant
stütze sich auf das nationale Energiegesetz und brachte vor,
die Verarbeitung sei rechtmäßig gewesen, weil er die
Daten vom vorherigen Versorger erhalten hatte und berechtigt sei,
die Daten zu verarbeiten, um Zahlungen einzuziehen. Die Direktion
wies die Datenschutzbeschwerde ab und argumentierte dies mit dem
berechtigten Interesse des Wärmelieferanten, die
Wärmemenge in Rechnung zu stellen und erachtete die
Verarbeitung als rechtmäßig iSd Energiegesetzes.
Der Betroffene ging gegen die Entscheidung der Direktion beim Verwaltungsgericht vor und hielt fest, dass die herangezogene Bestimmung auf seinen Fall nicht anzuwenden sei, weil dies bloß für Wärmeverbraucher anzuwenden wäre. Er habe aber nie einen Vertrag geschlossen, daher sei bereits der frühere Versorger unrechtmäßig an seine Daten gelangt. Nachdem das Verwaltungsgericht dem Betroffenen Recht gab, hob das Oberverwaltungsgericht dieses Urteil wieder auf und argumentierte im Wesentlichen wie die Direktion. Der Betroffene machte nunmehr eine Verletzung des Art 8 EMRK vor dem EGMR geltend, weil die inländischen Behörden es versäumt hätten, ihn vor der rechtswidrigen Erhebung und Verwendung seiner personenbezogenen Daten zu schützen. Die nordmazedonische Regierung trug vor, dass der Betroffene die sechsmonatige Frist zur Antragstellung nicht eingehalten und den innerstaatlichen Rechtsweg nicht ausgeschöpft habe.
Der EGMR hat erwogen: Da der Betroffene nicht die zugrundeliegenden Bestimmungen selbst als verfassungsrechtlich bedenklich hielt, sondern vielmehr die Versäumnis der Behörden und somit die Anwendung des Gesetzes auf seinen Fall rügte, war keine Verfassungsbeschwerde durch den Betroffenen erforderlich. Zudem kann die Klage nicht wegen der Nichteinhaltung der sechsmonatigen Frist abgewiesen werden, weil das Abwarten des Betroffenen auf die endgültige Erledigung seiner verwaltungsrechtlichen Beschwerde angemessen war, bevor er eine Beschwerde beim EGMR eingereicht hat. Es steht jedenfalls fest, dass der Wärmelieferant die personenbezogenen Daten des Betroffenen verarbeitet hat. Dass die Daten im Grundbuch eingetragen und somit auf der Website des Grundbuchamts öffentlich zugänglich und abrufbar waren ändert nichts daran, dass die Daten dem Schutz von Art 8 EMRK unterliegen. Der Wärmelieferant war nicht berechtigt, die Daten des Betroffenen zu verarbeiten und hat ihn in seinen Rechten nach Art 8 EMRK verletzt.
Der nordmazedonische Staat hat eine positive Verpflichtung zur Gewährleistung des Rechts des Betroffenen auf Achtung des Privatlebens. Die Wärmeversorger sind durch das Energiegesetz zwar berechtigt, Daten zu verarbeiten, um das ordnungsgemäße Funktionieren des Wärmeversorgungssystems als Angelegenheit des öffentlichen Interesses zu gewährleisten. Der Betroffene machte jedoch geltend, dass er nie einen Vertrag mit einem Wärmelieferanten abgeschlossen hatte, worauf weder die Direktion noch das Oberverwaltungsgericht eingegangen sind. Damit wurde der Kern des vom Betroffenen geltend gemachten Anspruchs nie wirklich geprüft, weil es an einer umfassenden Prüfung der Frage gefehlt hat, ob die Speicherung und Verwendung der Daten in Ermangelung eines vertraglichen Verhältnisses zwischen dem Betroffenen und dem Wärmelieferanten dem legitimen Ziel des Energiegesetzes entsprachen. Vor diesem Hintergrund haben die nationalen Gerichte das Recht des Betroffenen auf Achtung seines Privatlebens nicht wirksam geschützt. Es liegt eine Verletzung des Art 8 EMRK vor. Achtung: Die Beschwerdefrist an den EGMR ist in der Zwischenzeit auf vier Monate herabgesetzt worden!
Rechtsprechung des VwGH
VwGH 17.05.2024, Ro 2022/04/0026
- Die auf einer Bewertungsplattform für Reisen gelisteten
Betreiber eines Hotels forderten die Löschung aller ihrer
personenbezogenen Daten einschließlich der Bewertungen. Die
Bewertungsplattformbetreiberin ist diesem Löschersuchen nicht
nachgekommen, weil die Datenverarbeitung im berechtigten Interesse
der Plattform und ihrer Nutzer liege und durch die
Meinungsäußerungsfreiheit und das Informationsinteresse
der Öffentlichkeit geschützt sei. Die DSB und das BVwG
wiesen die Beschwerden der Hotelbetreiber mangels Rechtswidrigkeit
der Datenverarbeitung ab. Der VwGH wies die ordentliche Revision
ab.
Der VwGH hat erwogen: Die Wahrnehmung des Rechts auf Meinungs- und Informationsfreiheit kann ein berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO sein. Dementsprechend sieht Art 17 Abs 3 lit a DSGVO eine Ausnahme vom Recht auf Löschung vor, soweit die Datenverarbeitung zur Ausübung dieser Rechte erforderlich ist. Die Bewertungsplattform ermöglicht Meinungsäußerungen und strukturierte Suchen, was der Ausübung der Meinungsäußerungsfreiheit dient. Daher ist die damit verbundene Datenverarbeitung zur Wahrung eines berechtigten Interesses erforderlich. Dass die Daten nur für einen kleinen Teil der Öffentlichkeit relevant sind, ändert nichts an dem grundsätzlichen Vorliegen eines berechtigten Interesses, kann aber bei der Interessenabwägung berücksichtigt werden.
Die Bewertungen betreffen die Erbringung von Dienstleistungen gegenüber Dritten und damit ein Verhalten in der Öffentlichkeit. Die verarbeiteten Daten fallen daher in die Sozialsphäre der Hotelbetreiber, die einen geringeren Schutz als der Kernbereich der Privatsphäre (zB Daten zum Sexualleben) genießt. Der bloße Umstand, dass sich die Eingriffsintensität einer Datenverarbeitung durch die Änderung maßgeblicher Umstände (zB Betriebsübergabe) in Zukunft ändern kann, führt für sich genommen nicht dazu, dass eine solche Datenverarbeitung von vornherein nicht der Sozial- bzw Berufssphäre zuzurechnen wäre.
Wer Dienstleistungen öffentlich anbietet, muss mit Beobachtung und Kritik rechnen und die Bewertungsplattform auf unberechtigte Kritik prüfen. Dies ist auch zumutbar, weil die Bewertungsplattform es ermöglicht, per E-Mail über neue Bewertungen informiert zu werden und zu Kommentaren Stellung zu nehmen. Die Bewertungsplattformbetreiberin hat hinreichende Maßnahmen ergriffen, um missbräuchliche Verwendungen durch Nutzer einzuschränken bzw den Betroffenen zu ermöglichen, sich gegen Kommentare zu wehren. Da die Datenverarbeitung rechtmäßig ist, besteht kein Löschungsanspruch der Hotelbetreiber.
VwGH 28.05.2024, Ro 2021/04/0034
- Eine Kreditauskunftei hatte zu einem Geschäftsführer
einer GmbH unter anderem einen Hinweis über dessen Insolvenz
in ihrer Wirtschaftsdatenbank gespeichert. Nach Abschluss des
Insolvenzverfahrens erhob der Geschäftsführer
Datenschutzbeschwerde und begehrte die Löschung des Eintrags.
Die DSB wies die Datenschutzbeschwerde ab, wogegen der
Geschäftsführer Bescheidbeschwerde erhob. Das BVwG gab
der Bescheidbeschwerde statt und trug der Kreditauskunftei die
Löschung des Eintrags auf. Die Kreditauskunftei erhob Revision
beim VwGH, der diese zurückwies.
Der VwGH hat erwogen: Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nach Art 6 Abs 1 lit f DSGVO verlangt eine fallbezogene Interessenabwägung zwischen den Interessen der Kreditauskunftei und den Interessen, Grundrechten und Grundfreiheiten des Geschäftsführers. Das BVwG hat die Interessenabwägung anhand der konkreten Umstände des Einzelfalls und der Rechtsprechung des EuGH vorgenommen. Die Insolvenz des Geschäftsführers der GmbH ist nicht bonitätsrelevant für die Gesellschaft, weil sie weder ein Ausschlussgrund für die Bestellung noch ein zwingender Grund für seine Abberufung ist. Die Haftung des Geschäftsführers gegenüber Dritten ist deliktischer Natur und mit der Haftbarkeit von Dienstnehmern vergleichbar. Die Verarbeitung der Insolvenzdaten des Geschäftsführers durch die Kreditauskunftei ist daher nicht zur Wahrung ihrer berechtigten Interessen oder der ihrer Kunden erforderlich. Auch überwiegt das Interesse des Geschäftsführers an der Löschung des Eintrags, weil dieser die Gefahr einer Missinterpretation seiner Bonität und seiner organschaftlichen Verpflichtungen mit sich bringt. Die Revision zeigt keine grundsätzliche Rechtsfrage auf, die eine Korrektur der Interessenabwägung des BVwG erfordert.
Aus der weiteren Rechtsprechung des VwGH:
- Die in der Marketingbranche als Sinus-Geo-Milieus bekannten anonymen statistischen Wahrscheinlichkeitswerte verwandeln sich in personenbezogene Daten, wenn sie einer natürlichen Person zugeordnet werden. Gleichzeitig gehen aus ihnen die weltanschaulichen Überzeugungen der Person hervor, der sie zugeordnet werden (irrelevant ist, dass diese Person beim Berechnen der Sinus-Geo-Milieus nicht einmal bekannt ist). Das Einhalten genehmigter Verhaltensregeln kann eine rechtswidrige Datenverarbeitung nicht rechtfertigen (VwGH 17.05.2024, Ra 2023/04/0005).
Rechtsprechung des BVwG
BVwG 03.06.2024, W211 2273051-1
- Ein Richter des Landesgerichts für Strafsachen (LG)
übermittelte aufgrund eines Ersuchens gemäß §
360 ASVG Verfahrens- und Gerichtsakten an die GKK (nunmehr
ÖGK), die PVA und das Sozialministerium zur straf- und
regressrechtlichen Verfolgung. Der Beschuldigte fühlte sich
von der Vorgehensweise in seinem Recht auf Geheimhaltung verletzt
und erhob Datenschutzbeschwerde bei der DSB gegen den Richter und
das LG. Die DSB wies die Datenschutzbeschwerde gegen den Richter ab
und gegen das LG zurück. Aufgrund der weit auszulegenden
justiziellen Tätigkeit sei die DSB nicht zuständig.
Dagegen erhob der Beschuldigte (erfolglose) Bescheidbeschwerde an
das BVwG.
Das BVwG hat erwogen: Der Richter ist als Rechtsprechungsorgan dem LG zuzuordnen. Die Eigenschaft eines datenschutzrechtlich Verantwortlichen kommt ihm nicht zu. Im Bereich der Gerichtsbarkeit (justizielle Tätigkeiten) kommt dabei dem jeweils verfahrensführenden Gericht die Eigenschaft als für die Verarbeitung Verantwortlichen in Betracht, wenn Verfahrensbestimmungen die konkrete gerichtliche Zuständigkeit anordnen. Da sich der Richter mit der Datenübermittlung innerhalb der Verfahrensordnung bewegte, kommt die Eigenschaft als Verantwortlicher dem LG zu.
Im Falle der Zurückweisung einer Datenschutzbeschwerde durch die DSB ist Sache des Beschwerdeverfahrens lediglich die Frage deren Rechtmäßigkeit. Hinsichtlich der Datenschutzbeschwerde gegen das LG ist die in Art 55 Abs 3 DSGVO genannte "justizielle Tätigkeit" weit zu verstehen. Diese ist nicht ausschließlich auf die Erlassung von Entscheidungen in konkreten Rechtssachen beschränkt. Auch die Datenübermittlung iS § 360 ASVG fällt unter die justizielle Tätigkeit eines Gerichts. Die DSB war für die Datenschutzbeschwerde daher nicht zuständig.
Für die Rüge einer Datenschutzverletzung durch ein Gericht in Ausübung der justiziellen Tätigkeit steht dem Beschuldigten der Rechtschutzbehelf des § 85 GOG zur Verfügung.
Aus der weiteren Rechtsprechung des BVwG:
- Der Empfänger eines "Impferinnerungsschreibens"
hat seine Datenschutzbeschwerde gegen den falschen Verantwortlichen
gerichtet. Richtet sich eine Datenschutzbeschwerde unzweifelhaft
gegen eine bestimmte Person oder Stelle, welche die
Datenverarbeitung nicht zu verantworten hat, dann ist die
Datenschutzbeschwerde abzuweisen. Überdies konnte das
Versenden des "Impferinnerungsschreibens" auf § 750
Abs 1a und 2 ASVG gestützt werden (BVwG 03.06.2024, W211 2263700-1).
- Die Rechtsfrage der datenschutzrechtlichen Rollenverteilung
beim Zugriff auf den Patientenindex sowie auf das zentrale
Impfregister für den Versand von
COVID-Impferinnerungsschreiben ist beim VwGH anhängig. Zudem
liegen dem BVwG etwa 750 Bescheidbeschwerden zu dieser Rechtsfrage
vor. Aus Gründen der Prozessökonomie gilt es, die gleiche
Rechtsfrage nicht nebeneinander in mehreren Verfahren zu
erörterten. Um das Verfahren zu vereinfachen und die Parteien
vor unnötigen Revisionen beim VwGH zu schützen, wird das
Verfahren ausgesetzt (BVwG 03.06.2024, W211 2262341-1).
- Säumnisbeschwerden sind bei der belangten Behörde einzubringen, sofern das Verwaltungsverfahren noch bei dieser anhängig ist. Wenn die belangte Behörde bereits einen (negativen) Bescheid erlassen hat, liegt faktisch keine Säumnis vor (BVwG 05.06.2024, W252 2288636-1).
Rechtsakte
- Am 28.06.2024 wurde das "Bundesgesetz, mit dem das Datenschutzgesetz geändert wird" kundgemacht (BGBl I 2024/62). Mit dieser Novelle wird das sogenannte Medienprivileg (§ 9 DSG) neugefasst, weil der VfGH den alten § 9 DSG als verfassungswidrig aufgehoben hat. Darüber hinaus enthält die DSG-Novelle redaktionelle Anpassungen.
Vorschau EuGH-Rechtsprechung
- Am 11.07.2024 werden die Schlussanträge
in der Rs C-394/23, Mousse,
veröffentlicht. Gegenstand des Verfahrens ist, ob ein
Websitebetreiber über seinen Warenkorb die
"geschlechtsspezifischen Daten" "Herr" und
"Frau" erheben darf.
- Am 11.07.2024 wird das Urteil des EuGH in der
Rs C-757/22, Meta Platforms Ireland,
veröffentlicht. Geklärt werden weitere Voraussetzungen,
unter welchen Verbraucherschutzverbände wegen der Verletzung
von Informationspflichten klagen können.
- Am 11.07.2024 wird das Urteil des EuGH in der
Rs C-461/22, MK (Curateur
professionnel), veröffentlicht. Geklärt wird, ob
ein Rechtsanwalt, der als Erwachsenenvertreter (= Sachwalter)
bestellt wird, ein Verantwortlicher iSd Art 4 Z 7 DSGVO ist und dem
Vertretenen zur Auskunft gemäß Art 15 DSGVO verpflichtet
ist. Anm: Dem angekündigten Urteil sind keine
Schlussanträge vorangegangen.
- Am 17.07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.