To The Point: Datenschutzmonitor 26/2024

Rechtsprechung des EGMR

EGMR 25.06.2024, 23215/21, Vlaisavljevikj/Nordmazedonien

• Der Betroffene machte bei der zuständigen nationalen Behörde (Direktion für den Schutz personenbezogener Daten) eine Datenschutzbeschwerde geltend und brachte vor, durch einen Wärmelieferanten in seinem Recht auf Schutz seiner personenbezogenen Daten verletzt worden zu sein. Dieser soll dem Betroffenen Rechnungen geschickt haben, obwohl in seiner Wohnung keine Heizungen installiert waren und er keinen Vertrag mit dem Wärmelieferanten abgeschlossen hatte. Der Wärmelieferant stütze sich auf das nationale Energiegesetz und brachte vor, die Verarbeitung sei rechtmäßig gewesen, weil er die Daten vom vorherigen Versorger erhalten hatte und berechtigt sei, die Daten zu verarbeiten, um Zahlungen einzuziehen. Die Direktion wies die Datenschutzbeschwerde ab und argumentierte dies mit dem berechtigten Interesse des Wärmelieferanten, die Wärmemenge in Rechnung zu stellen und erachtete die Verarbeitung als rechtmäßig iSd Energiegesetzes.
  
  Der Betroffene ging gegen die Entscheidung der Direktion beim Verwaltungsgericht vor und hielt fest, dass die herangezogene Bestimmung auf seinen Fall nicht anzuwenden sei, weil dies bloß für Wärmeverbraucher anzuwenden wäre. Er habe aber nie einen Vertrag geschlossen, daher sei bereits der frühere Versorger unrechtmäßig an seine Daten gelangt. Nachdem das Verwaltungsgericht dem Betroffenen Recht gab, hob das Oberverwaltungsgericht dieses Urteil wieder auf und argumentierte im Wesentlichen wie die Direktion. Der Betroffene machte nunmehr eine Verletzung des Art 8 EMRK vor dem EGMR geltend, weil die inländischen Behörden es versäumt hätten, ihn vor der rechtswidrigen Erhebung und Verwendung seiner personenbezogenen Daten zu schützen. Die nordmazedonische Regierung trug vor, dass der Betroffene die sechsmonatige Frist zur Antragstellung nicht eingehalten und den innerstaatlichen Rechtsweg nicht ausgeschöpft habe.
  
  Der EGMR hat erwogen: Da der Betroffene nicht die zugrundeliegenden Bestimmungen selbst als verfassungsrechtlich bedenklich hielt, sondern vielmehr die Versäumnis der Behörden und somit die Anwendung des Gesetzes auf seinen Fall rügte, war keine Verfassungsbeschwerde durch den Betroffenen erforderlich. Zudem kann die Klage nicht wegen der Nichteinhaltung der sechsmonatigen Frist abgewiesen werden, weil das Abwarten des Betroffenen auf die endgültige Erledigung seiner verwaltungsrechtlichen Beschwerde angemessen war, bevor er eine Beschwerde beim EGMR eingereicht hat. Es steht jedenfalls fest, dass der Wärmelieferant die personenbezogenen Daten des Betroffenen verarbeitet hat. Dass die Daten im Grundbuch eingetragen und somit auf der Website des Grundbuchamts öffentlich zugänglich und abrufbar waren ändert nichts daran, dass die Daten dem Schutz von Art 8 EMRK unterliegen. Der Wärmelieferant war nicht berechtigt, die Daten des Betroffenen zu verarbeiten und hat ihn in seinen Rechten nach Art 8 EMRK verletzt.
  
  Der nordmazedonische Staat hat eine positive Verpflichtung zur Gewährleistung des Rechts des Betroffenen auf Achtung des Privatlebens. Die Wärmeversorger sind durch das Energiegesetz zwar berechtigt, Daten zu verarbeiten, um das ordnungsgemäße Funktionieren des Wärmeversorgungssystems als Angelegenheit des öffentlichen Interesses zu gewährleisten. Der Betroffene machte jedoch geltend, dass er nie einen Vertrag mit einem Wärmelieferanten abgeschlossen hatte, worauf weder die Direktion noch das Oberverwaltungsgericht eingegangen sind. Damit wurde der Kern des vom Betroffenen geltend gemachten Anspruchs nie wirklich geprüft, weil es an einer umfassenden Prüfung der Frage gefehlt hat, ob die Speicherung und Verwendung der Daten in Ermangelung eines vertraglichen Verhältnisses zwischen dem Betroffenen und dem Wärmelieferanten dem legitimen Ziel des Energiegesetzes entsprachen. Vor diesem Hintergrund haben die nationalen Gerichte das Recht des Betroffenen auf Achtung seines Privatlebens nicht wirksam geschützt. Es liegt eine Verletzung des Art 8 EMRK vor. Achtung: Die Beschwerdefrist an den EGMR ist in der Zwischenzeit auf vier Monate herabgesetzt worden!

Rechtsprechung des VwGH

VwGH 17.05.2024, Ro 2022/04/0026

• Die auf einer Bewertungsplattform für Reisen gelisteten Betreiber eines Hotels forderten die Löschung aller ihrer personenbezogenen Daten einschließlich der Bewertungen. Die Bewertungsplattformbetreiberin ist diesem Löschersuchen nicht nachgekommen, weil die Datenverarbeitung im berechtigten Interesse der Plattform und ihrer Nutzer liege und durch die Meinungsäußerungsfreiheit und das Informationsinteresse der Öffentlichkeit geschützt sei. Die DSB und das BVwG wiesen die Beschwerden der Hotelbetreiber mangels Rechtswidrigkeit der Datenverarbeitung ab. Der VwGH wies die ordentliche Revision ab.
  
  Der VwGH hat erwogen: Die Wahrnehmung des Rechts auf Meinungs- und Informationsfreiheit kann ein berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO sein. Dementsprechend sieht Art 17 Abs 3 lit a DSGVO eine Ausnahme vom Recht auf Löschung vor, soweit die Datenverarbeitung zur Ausübung dieser Rechte erforderlich ist. Die Bewertungsplattform ermöglicht Meinungsäußerungen und strukturierte Suchen, was der Ausübung der Meinungsäußerungsfreiheit dient. Daher ist die damit verbundene Datenverarbeitung zur Wahrung eines berechtigten Interesses erforderlich. Dass die Daten nur für einen kleinen Teil der Öffentlichkeit relevant sind, ändert nichts an dem grundsätzlichen Vorliegen eines berechtigten Interesses, kann aber bei der Interessenabwägung berücksichtigt werden.
  
  Die Bewertungen betreffen die Erbringung von Dienstleistungen gegenüber Dritten und damit ein Verhalten in der Öffentlichkeit. Die verarbeiteten Daten fallen daher in die Sozialsphäre der Hotelbetreiber, die einen geringeren Schutz als der Kernbereich der Privatsphäre (zB Daten zum Sexualleben) genießt. Der bloße Umstand, dass sich die Eingriffsintensität einer Datenverarbeitung durch die Änderung maßgeblicher Umstände (zB Betriebsübergabe) in Zukunft ändern kann, führt für sich genommen nicht dazu, dass eine solche Datenverarbeitung von vornherein nicht der Sozial- bzw Berufssphäre zuzurechnen wäre.
  
  Wer Dienstleistungen öffentlich anbietet, muss mit Beobachtung und Kritik rechnen und die Bewertungsplattform auf unberechtigte Kritik prüfen. Dies ist auch zumutbar, weil die Bewertungsplattform es ermöglicht, per E-Mail über neue Bewertungen informiert zu werden und zu Kommentaren Stellung zu nehmen. Die Bewertungsplattformbetreiberin hat hinreichende Maßnahmen ergriffen, um missbräuchliche Verwendungen durch Nutzer einzuschränken bzw den Betroffenen zu ermöglichen, sich gegen Kommentare zu wehren. Da die Datenverarbeitung rechtmäßig ist, besteht kein Löschungsanspruch der Hotelbetreiber.

VwGH 28.05.2024, Ro 2021/04/0034

• Eine Kreditauskunftei hatte zu einem Geschäftsführer einer GmbH unter anderem einen Hinweis über dessen Insolvenz in ihrer Wirtschaftsdatenbank gespeichert. Nach Abschluss des Insolvenzverfahrens erhob der Geschäftsführer Datenschutzbeschwerde und begehrte die Löschung des Eintrags. Die DSB wies die Datenschutzbeschwerde ab, wogegen der Geschäftsführer Bescheidbeschwerde erhob. Das BVwG gab der Bescheidbeschwerde statt und trug der Kreditauskunftei die Löschung des Eintrags auf. Die Kreditauskunftei erhob Revision beim VwGH, der diese zurückwies.
  
  Der VwGH hat erwogen: Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nach Art 6 Abs 1 lit f DSGVO verlangt eine fallbezogene Interessenabwägung zwischen den Interessen der Kreditauskunftei und den Interessen, Grundrechten und Grundfreiheiten des Geschäftsführers. Das BVwG hat die Interessenabwägung anhand der konkreten Umstände des Einzelfalls und der Rechtsprechung des EuGH vorgenommen. Die Insolvenz des Geschäftsführers der GmbH ist nicht bonitätsrelevant für die Gesellschaft, weil sie weder ein Ausschlussgrund für die Bestellung noch ein zwingender Grund für seine Abberufung ist. Die Haftung des Geschäftsführers gegenüber Dritten ist deliktischer Natur und mit der Haftbarkeit von Dienstnehmern vergleichbar. Die Verarbeitung der Insolvenzdaten des Geschäftsführers durch die Kreditauskunftei ist daher nicht zur Wahrung ihrer berechtigten Interessen oder der ihrer Kunden erforderlich. Auch überwiegt das Interesse des Geschäftsführers an der Löschung des Eintrags, weil dieser die Gefahr einer Missinterpretation seiner Bonität und seiner organschaftlichen Verpflichtungen mit sich bringt. Die Revision zeigt keine grundsätzliche Rechtsfrage auf, die eine Korrektur der Interessenabwägung des BVwG erfordert.

Aus der weiteren Rechtsprechung des VwGH:

• Die in der Marketingbranche als Sinus-Geo-Milieus bekannten anonymen statistischen Wahrscheinlichkeitswerte verwandeln sich in personenbezogene Daten, wenn sie einer natürlichen Person zugeordnet werden. Gleichzeitig gehen aus ihnen die weltanschaulichen Überzeugungen der Person hervor, der sie zugeordnet werden (irrelevant ist, dass diese Person beim Berechnen der Sinus-Geo-Milieus nicht einmal bekannt ist). Das Einhalten genehmigter Verhaltensregeln kann eine rechtswidrige Datenverarbeitung nicht rechtfertigen (VwGH 17.05.2024, Ra 2023/04/0005).

Rechtsprechung des BVwG

BVwG 03.06.2024, W211 2273051-1

• Ein Richter des Landesgerichts für Strafsachen (LG) übermittelte aufgrund eines Ersuchens gemäß § 360 ASVG Verfahrens- und Gerichtsakten an die GKK (nunmehr ÖGK), die PVA und das Sozialministerium zur straf- und regressrechtlichen Verfolgung. Der Beschuldigte fühlte sich von der Vorgehensweise in seinem Recht auf Geheimhaltung verletzt und erhob Datenschutzbeschwerde bei der DSB gegen den Richter und das LG. Die DSB wies die Datenschutzbeschwerde gegen den Richter ab und gegen das LG zurück. Aufgrund der weit auszulegenden justiziellen Tätigkeit sei die DSB nicht zuständig. Dagegen erhob der Beschuldigte (erfolglose) Bescheidbeschwerde an das BVwG.
  
  Das BVwG hat erwogen: Der Richter ist als Rechtsprechungsorgan dem LG zuzuordnen. Die Eigenschaft eines datenschutzrechtlich Verantwortlichen kommt ihm nicht zu. Im Bereich der Gerichtsbarkeit (justizielle Tätigkeiten) kommt dabei dem jeweils verfahrensführenden Gericht die Eigenschaft als für die Verarbeitung Verantwortlichen in Betracht, wenn Verfahrensbestimmungen die konkrete gerichtliche Zuständigkeit anordnen. Da sich der Richter mit der Datenübermittlung innerhalb der Verfahrensordnung bewegte, kommt die Eigenschaft als Verantwortlicher dem LG zu.
  
  Im Falle der Zurückweisung einer Datenschutzbeschwerde durch die DSB ist Sache des Beschwerdeverfahrens lediglich die Frage deren Rechtmäßigkeit. Hinsichtlich der Datenschutzbeschwerde gegen das LG ist die in Art 55 Abs 3 DSGVO genannte "justizielle Tätigkeit" weit zu verstehen. Diese ist nicht ausschließlich auf die Erlassung von Entscheidungen in konkreten Rechtssachen beschränkt. Auch die Datenübermittlung iS § 360 ASVG fällt unter die justizielle Tätigkeit eines Gerichts. Die DSB war für die Datenschutzbeschwerde daher nicht zuständig.
  
  Für die Rüge einer Datenschutzverletzung durch ein Gericht in Ausübung der justiziellen Tätigkeit steht dem Beschuldigten der Rechtschutzbehelf des § 85 GOG zur Verfügung.

Aus der weiteren Rechtsprechung des BVwG:

• Der Empfänger eines "Impferinnerungsschreibens" hat seine Datenschutzbeschwerde gegen den falschen Verantwortlichen gerichtet. Richtet sich eine Datenschutzbeschwerde unzweifelhaft gegen eine bestimmte Person oder Stelle, welche die Datenverarbeitung nicht zu verantworten hat, dann ist die Datenschutzbeschwerde abzuweisen. Überdies konnte das Versenden des "Impferinnerungsschreibens" auf § 750 Abs 1a und 2 ASVG gestützt werden (BVwG 03.06.2024, W211 2263700-1).
  
• Die Rechtsfrage der datenschutzrechtlichen Rollenverteilung beim Zugriff auf den Patientenindex sowie auf das zentrale Impfregister für den Versand von COVID-Impferinnerungsschreiben ist beim VwGH anhängig. Zudem liegen dem BVwG etwa 750 Bescheidbeschwerden zu dieser Rechtsfrage vor. Aus Gründen der Prozessökonomie gilt es, die gleiche Rechtsfrage nicht nebeneinander in mehreren Verfahren zu erörterten. Um das Verfahren zu vereinfachen und die Parteien vor unnötigen Revisionen beim VwGH zu schützen, wird das Verfahren ausgesetzt (BVwG 03.06.2024, W211 2262341-1).
  
• Säumnisbeschwerden sind bei der belangten Behörde einzubringen, sofern das Verwaltungsverfahren noch bei dieser anhängig ist. Wenn die belangte Behörde bereits einen (negativen) Bescheid erlassen hat, liegt faktisch keine Säumnis vor (BVwG 05.06.2024, W252 2288636-1).

Rechtsakte

• Am 28.06.2024 wurde das "Bundesgesetz, mit dem das Datenschutzgesetz geändert wird" kundgemacht (BGBl I 2024/62). Mit dieser Novelle wird das sogenannte Medienprivileg (§ 9 DSG) neugefasst, weil der VfGH den alten § 9 DSG als verfassungswidrig aufgehoben hat. Darüber hinaus enthält die DSG-Novelle redaktionelle Anpassungen.

Vorschau EuGH-Rechtsprechung

• Am 11.07.2024 werden die Schlussanträge in der Rs C-394/23, Mousse, veröffentlicht. Gegenstand des Verfahrens ist, ob ein Websitebetreiber über seinen Warenkorb die "geschlechtsspezifischen Daten" "Herr" und "Frau" erheben darf.
  
• Am 11.07.2024 wird das Urteil des EuGH in der Rs C-757/22, Meta Platforms Ireland, veröffentlicht. Geklärt werden weitere Voraussetzungen, unter welchen Verbraucherschutzverbände wegen der Verletzung von Informationspflichten klagen können.
  
• Am 11.07.2024 wird das Urteil des EuGH in der Rs C-461/22, MK (Curateur professionnel), veröffentlicht. Geklärt wird, ob ein Rechtsanwalt, der als Erwachsenenvertreter (= Sachwalter) bestellt wird, ein Verantwortlicher iSd Art 4 Z 7 DSGVO ist und dem Vertretenen zur Auskunft gemäß Art 15 DSGVO verpflichtet ist. Anm: Dem angekündigten Urteil sind keine Schlussanträge vorangegangen.
  
• Am 17.07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.