- Rechtsprechung des VwGH
VwGH 06.06.2024, Ra 2022/04/0008 (Ermittlungspflicht, Zurückverweisung)
VwGH 06.06.2024, Ra 2023/04/0280 (voller Beweis, Zurückverweisung)
VwGH 06.06.2024, Ra 2023/04/0004; Ra 2023/04/0006
(Zurückziehung der Datenschutzbeschwerde im Verfahren vor dem
VwGH nicht möglich)
- Rechtsprechung des BVwG
BVwG 23.04.2024, W292 2248672-1 (automatisierte Entscheidungsfindung, Auskunft über Berechnung des Bonitätsscores)
BVwG 28.05.2024, W176 2249328-1 (Kundenbindung, Verantwortlichkeit, Geldbuße iHv EUR 8 Mio behoben)
BVwG 28.06.2023, W214 2245388-1 (ERsB)
BVwG 03.06.2024, W292 2282284-1 (Geldbuße, Fachärztin)
BVwG 06.06.2024, W108 2280859-1 (Medienprivileg, Redaktionsgeheimnis, juristische Personen)
BVwG 18.04.2024, W137 2248575-1 (Erleichterungsgebot, Geldbuße iHv EUR 9,5 Mio auf EUR 0,5 Mio herabgesetzt)
BVwG 13.05.2024, W101 2249293-1 (Datenschutzbehörde, Mitwirkungspflicht)
BVwG 06.05.2024, W108 2281246-1 (Einspruch, Geldbuße)
BVwG 11.07.2023, W214 2257639-1 (COVID, Gesundheitsdaten)
BVwG 12.06.2024, W211 2267466-2; W211 2280883-2 (Obsorge, Wiederaufnahme)
BVwG 06.06.2024, W287 2268623-1 (Zurückziehung)
- Rechtsakte
- Vorschau EuGH-Rechtsprechung
To the Point:
Rechtsprechung des VwGH
VwGH 06.06.2024, Ra 2022/04/0008
- Die Teilnehmerin einer Gruppe zur Stressbewältigung
erachtete sich in ihrem Recht auf Geheimhaltung verletzt, weil die
Betreiberin der Gruppe Chatverläufe an den Ex-Freund der
Teilnehmerin weitergeleitet haben soll. Die DSB gab der
Datenschutzbeschwerde der Teilnehmerin statt. Der von der
Betreiberin der Gruppe erhobenen Bescheidbeschwerde gab das BVwG
insofern statt, als es den Bescheid behob und die Angelegenheit zur
Verfahrensergänzung und Erlassung eines neuen Bescheids an die
DSB zurückverwies. Aufgrund der dagegen erhobenen
außerordentlichen Amtsrevision der DSB behob der VwGH den
Zurückverweisungsbeschluss des BVwG wegen Rechtswidrigkeit des
Inhalts.
Der VwGH hat erwogen: Die nach § 28 Abs 3 Satz 2 VwGVG bestehende Zurückverweisungsmöglichkeit stellt eine Ausnahme von der grundsätzlichen meritorischen Entscheidungszuständigkeit der Verwaltungsgerichte dar. Das BVwG wich insofern von der stRsp des VwGH ab, als die Voraussetzungen für eine Aufhebung und Zurückverweisung der Angelegenheit an die DSB mangels gravierender Ermittlungslücken nicht vorlagen. Eine Zurückverweisung ist regelmäßig nur dann zulässig, wenn die Verwaltungsbehörde jegliche erforderliche Ermittlungstätigkeit unterlassen hat, die zur Ermittlung des maßgebenden Sachverhalts gesetzten Ermittlungsschritte völlig ungeeignet waren oder von der Verwaltungsbehörde bloß ansatzweise ermittelt wurde. Solche – einen Zurückweisungsbeschluss rechtfertigende – Mängel haften dem Ermittlungsverfahren nicht an. Das BVwG hätte die von ihm als notwendig angesehenen ergänzenden Ermittlungsschritte – etwa im Rahmen einer mündlichen Verhandlung – nachholen können.
Die DSB hat den Ex-Freund der Teilnehmerin als Zeugen einvernommen. Auf Grundlage dieser Ermittlungsergebnisse hat die DSB – nach Einräumung des Parteiengehörs – Sachverhaltsfeststellungen getroffen und diese ihrer Entscheidung zugrunde gelegt. Zu beurteilen, ob die Beweiswürdigung der DSB im Zusammenhang mit der Weiterleitung der Chats ggf verfehlt war, gehört zu den zentralen Aufgaben des BVwG.
Ebenso wenig kann die Frage, ob die Haushaltsausnahme nach Art 2 Abs 2 lit c DSGVO anzuwenden gewesen wäre, eine Zurückverweisung rechtfertigen. Diese Rechtsfrage hat das BVwG selbst zu beantworten.
Aus der weiteren Rechtsprechung des VwGH:
- Die DSB hat von sich aus den vollständigen und wahren
entscheidungsrelevanten Sachverhalt durch Aufnahme aller
nötigen Beweise festzustellen. Wenn die DSB jegliche
erforderliche Ermittlungstätigkeit unterlässt, nur
völlig ungeeignete Ermittlungsschritte setzt oder bloß
ansatzweise ermittelt, darf das BVwG das Verfahren an die DSB
zurückverweisen (VwGH 06.06.2024, Ra 2023/04/0280).
- Die Zurückziehung einer Datenschutzbeschwerde nach Entscheidung durch das BVwG und somit nach Eintritt der Rechtskraft ist nicht mehr möglich (VwGH 06.06.2024, Ra 2023/04/0004; Ra 2023/04/0006).
Rechtsprechung des BVwG
BVwG 23.04.2024, W292 2248672-1
- Eine Kreditauskunftei übermittelte Informationen zur
Bonität eines Betroffenen in Form eines Scoring-Wertes an
einen Energieversorger, wobei sie dem Betroffenen eine
"mittlere" Bonität zuschrieb, obwohl keine sachlich
begründenden Informationen hierfür vorlagen. Aufgrund
dieses Bonitätsscores verweigerte der Energieversorger einen
Vertragsabschluss mit dem Betroffenen. Daraufhin erhob der
Betroffene eine Datenschutzbeschwerde bei der DSB und machte
mehrere Verletzungen seiner Rechte durch die Kreditauskunftei
geltend, insbesondere das Recht auf Auskunft, das Recht auf
Datenrichtigkeit, das Prinzip der Verarbeitung nach Treu und
Glauben und das Recht, keiner automatisierten Entscheidung
unterworfen zu werden.
Die DSB stellte fest, dass die Kreditauskunftei gegen die Grundsätze der Rechtsmäßigkeit und der Verarbeitung nach Treu und Glauben verstoßen hatte, weil die Berechnung ohne Vorhandensein von konkreten Zahlungserfahrungsdaten zur Person des Betroffenen durchgeführt wurde. Zudem sah die DSB einen Verstoß gegen den Grundsatz der Transparenz vorliegen, weil die Kreditauskunftei es unterlassen hatte, verständlich darzustellen, ob sie die personenbezogenen Daten auch zu anderen Zwecken als zur Ausübung des Gewerbes der Kreditauskunftei verarbeite. Der Betroffene wurde nach Ansicht der DSB auch in seinem Recht auf Geheimhaltung und Auskunft verletzt, weil seine personenbezogenen Daten unrechtmäßig verarbeitet wurden und die Kreditauskunftei ihm keine Auskunft gemäß Art 15 Abs 1 lit h DSGVO erteilt hatte. Die gegen diesen Bescheid erhobene Bescheidbeschwerde der Kreditauskunftei war zum Teil erfolgreich.
Das BVwG hat erwogen: Die Kreditauskunftei hat bei der Berechnung des Bonitätsscores eine automatisierte Entscheidungsfindung iSd Art 22 DSGVO durchgeführt, weil sie einen auf personenbezogene Daten gestützten Wahrscheinlichkeitswert in Bezug auf die Fähigkeit der Betroffenen, künftige Zahlungsverpflichtungen zu erfüllen, automatisiert erstellt hat und der Energieversorger aufgrund dessen den Vertragsabschluss verweigert hat. Damit hat die automatisierte Entscheidungsfindung den Energieversorger maßgeblich geleitet und rechtliche Wirkung für den Betroffenen entfaltet bzw ihn in ähnlicher Weise erheblich beeinträchtigt.
Es waren keine Ausnahmetatbestände iSd Art 22 Abs 2 DSGVO erfüllt. Auch den weitergehenden Informationspflichten nach Art 13 Abs 2 lit f und Art 14 Abs 2 lit g DSGVO ist die Kreditauskunftei nicht nachgekommen, weil sie dem Betroffenen keine Informationen über die involvierte Logik sowie Tragweite und die angestrebten Auswirkungen der Verarbeitung zur Verfügung gestellt hat. Es war aus den Bonitätsauszügen auch nicht ersichtlich, dass der darin enthaltene Bonitätsscore ohne Zahlungserfahrungsdaten berechnet wurde. Die Kreditauskunftei verstieß somit gegen die Grundsätze der Rechtsmäßigkeit und der Verarbeitung nach Treu und Glauben.
Der Ausspruch der DSB, wonach die Kreditauskunftei gegen den Grundsatz der Transparenz verstoßen hat, war aufzuheben, weil dieser Verstoß von der Datenschutzbeschwerde nicht umfasst war und die Kreditauskunftei in ihrer zuvor ergangenen Stellungnahme klar angegeben hatte, zu welchen Zwecken sie die Daten verarbeitet. Auch eine Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG wurde in der Datenschutzbeschwerde nicht geltend gemacht, weshalb auch der hierzu ergangene Spruchpunkt des Bescheides der DSB ersatzlos zu beheben war.
Die Kreditauskunftei vertrat die Ansicht, dass sie keine automatisierte Entscheidungsfindung durchführe, weshalb kein Anspruch des Betroffenen auf Auskunft bestehe. Damit ist sie dem Auskunftsersuchen des Betroffenen bis zum Abschluss des Verfahrens nicht vollständig nachgekommen und hat ihn in seinem Recht auf Auskunft gemäß Art 15 DSGVO verletzt. Das Argument der Kreditauskunftei, dass die verlangten Informationen zum Bonitätsscore Geschäftsgeheimnisse sind, schließt den Auskunftsanspruch nicht absolut aus. Dennoch müssen Informationen über die Berechnung des Bonitätsscores zumindest grundlegend bereitgestellt werden, ohne dass hierbei Geschäftsgeheimnisse preisgegeben werden müssen.
BVwG 28.05.2024, W176 2249328-1
- Eine Muttergesellschaft ist Alleingesellschafterin einer
Tochtergesellschaft, die ein Kundenbindungsprogramm betreibt. In
der Konzeptionsphase legte der Vorstand der Muttergesellschaft die
Strategie für ein Multipartner-System fest, das die
Tochtergesellschaft durch das Kundenbindungsprogramm ohne
Involvierung der Muttergesellschaft umsetzte. In Folge eines
amtswegigen Prüfverfahrens leitete die DSB ein
Verwaltungsstrafverfahren gegen die beiden Gesellschaften als
gemeinsame Verantwortliche ein. Die gemeinsame Verantwortlichkeit
wurde damit begründet, dass die Muttergesellschaft die
strategische Entscheidung traf, ein
Multipartner-Kundenbindungsprogramm einzurichten, die
Tochtergesellschaft zu gründen und diese finanziell und
personell zu unterstützten. Den Gesellschaften wurde
vorgeworfen, dass die Einwilligungsformulare für die
Datenverarbeitung zu Zwecken des Profiling nicht den
datenschutzrechtlichen Anforderungen an eine wirksame Einwilligung
entsprechen würden und die Datenverarbeitung daher auf keinen
Erlaubnistatbestand des Art 6 Abs 1 DSGVO gestützt werden
könne. Der Muttergesellschaft wurde eine Geldbuße iHv
EUR 8 Mio und ein Verfahrenskostenbeitrag von EUR 800.000
auferlegt. Das BVwG hat das Straferkenntnis behoben und das
Verwaltungsstrafverfahren eingestellt.
Das BVwG hat erwogen: Die gemeinsame Verantwortlichkeit erfordert ein kooperatives Zusammenwirken zweier Akteure. Ein solches ist nicht erkennbar, weil die Muttergesellschaft seit Abschluss der Konzeptionsphase nicht mehr in die maßgeblichen Vorgänge involviert war und sie keinen Einfluss auf konkrete Datenverarbeitungszwecke und -mittel nehmen konnte.
Die Muttergesellschaft ist nicht Verantwortliche für die Datenverarbeitung, weil sich ihre Tätigkeit auf die strategische Festlegung eines Multipartner-Kundenbindungsprogramms und der Gründung der Tochtergesellschaft in der Konzeptionsphase beschränkte. Ab der Aufnahme des operativen Geschäftsbetriebs hat sie keine Leitungs- und Kontrolltätigkeiten in Bezug auf die Tochtergesellschaft vorgenommen oder veranlasst. Es fehlt eine gewollte und bewusste Zusammenarbeit der Beteiligten, die wesentlichen Entscheidungen über Zwecke und Mittel der Datenverarbeitung zu treffen, sodass keine gemeinsame Verantwortlichkeit vorliegt.
BVwG 28.06.2023, W214 2245388-1
- Eine Bürgerin fühlte sich von dem Bundesminister
für Digitalisierung und Wirtschaftsstandort als
Stammzahlenregisterbehörde (Stammzahlenregisterbehörde)
in ihrem Recht auf Geheimhaltung und Löschung verletzt, weil
personenbezogene Daten zu ihrer Person im Ergänzungsregister
für sonstige Betroffene (ERsB) eingetragen wurden und ihrem
Löschersuchen nicht nachgekommen wurde. Die Eintragung war
ihrer Ansicht nach nicht notwendig, weil ihre Daten schon im
Zentralen Melderegister (ZMR) erfasst waren und sie keine
unternehmerische Tätigkeit ausübt. Die
Datenschutzbeschwerde blieb erfolglos. Die gegen den Bescheid der
DSB erhobene Bescheidbeschwerde der Bürgerin hatte
Erfolg.
Das BVwG hat erwogen: Die Stammzahlenregisterbehörde führt neben dem Ergänzungsregister für natürliche Personen (ERnP) auch das ERsB für alle anderen Betroffenen.
Die Bürgerin wurde als Einzelunternehmerin ins ERsB eingetragen, weil die Stammzahlenbehörde von einem weiten Unternehmensbegriff ausgeht, der natürliche Personen, Personengesellschaften, Personengemeinschaften und Personenvereinigungen, die unternehmerisch tätig sind, umfasst.
Die Bürgerin bezog zwar für eine Tätigkeit Funktionsgebühren, die gemäß § 29 Z 4 EStG als sonstige Einkunft zu den außerbetrieblichen Einkunftsarten aus nicht selbständiger Arbeit zählen. Eine unternehmerische Tätigkeit entfaltete sie jedoch nicht. Die Eintragung der Bürgerin ins ERsB erfolgte daher zu Unrecht.
BVwG 03.06.2024, W292 2282284-1
- Die Ordinationsassistentin einer Fachärztin für
Psychiatrie und psychotherapeutische Medizin versendete eine
Terminerinnerung versehentlich mittels Gruppentextnachricht an 27
Patienten. Dadurch legte sie personenbezogene Daten,
einschließlich Gesundheitsdaten der Patienten, für alle
Empfänger offen. Die DSB verhängte eine Geldbuße
iHv EUR 6.000 und einen Verfahrenskostenbeitrag von EUR 600. Das
BVwG gab der Bescheidbeschwerde der Fachärztin teilweise statt
und senkte die Geldbuße auf EUR 4.000 und den
Verfahrenskostenbeitrag auf EUR 400 herab.
Das BVwG hat erwogen: Die Telefonnummern der Patienten sind personenbezogene Daten iSd Art 4 Z 1 DSGVO. Die Information über die Inanspruchnahme des Dienstleistungsangebots der Fachärztin durch die Patienten ist als Gesundheitsdatum iSd Art 4 Z 15 DSGVO zu qualifizieren. Diese Daten lassen zumindest indirekt auf eine psychische Erkrankung der Empfänger schließen. Die Fachärztin hat die unbefugte Offenlegung der Daten nicht unverzüglich und innerhalb von 72 Stunden der DSB gemeldet (Art 33 Abs 1 DSGVO).
Die Informationen aus der Gruppen-Textnachricht können zu physischen, materiellen oder immateriellen Schäden für die Patienten führen. Darüber hinaus erfordern Gesundheitsdaten ein besonderes Maß an Sorgfalt. Diese Informationen unterliegen einem besonderen Geheimhaltungsinteresse. Es ist die Pflicht der Fachärztin, ihre Mitarbeiter ausreichend zu schulen und für die Einhaltung der datenschutzrechtlichen Vorgaben zu sorgen. Die Fachärztin ergriff keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz der Vertraulichkeit. Weiters führte die Fachärztin auch kein Verzeichnis über ihre Verarbeitungstätigkeiten (Art 30 DSGVO).
Nach Art 83 Abs 1 DSGVO müssen Aufsichtsbehörden sicherstellen, dass Geldbußen wirksam, verhältnismäßig und abschreckend sind. Bei der Bemessung sind Art, Schwere und Dauer des Verstoßes, die Zahl der betroffenen Personen, das Ausmaß des Schadens und die Kategorie der betroffenen Daten zu berücksichtigen. Die Verknüpfung der offengelegten Telefonnummern mit namentlich identifizierbaren Personen ist mit einem gewissen Aufwand verbunden, was eine geringfügige Minderung der Schwere des Eingriffs und eine Reduktion der Geldbuße rechtfertigt. Für Terminerinnerungen per SMS muss eine ausdrückliche Einwilligung der Patienten gemäß Art 9 Abs 2 lit a DSGVO vorliegen. Die Fachärztin war sich dieser Vorgaben nicht bewusst und setzte keine sichere technische Lösung ein. Diese Handlungen und Unterlassungen sind als grob fahrlässiges Verhalten zu qualifizieren. Mildernd wirken die fahrlässige Begehung, die Unbescholtenheit, die Mitwirkung im Ermittlungsverfahren, die Anpassung der technischen Einstellungen und die nachträgliche Erstellung eines Verarbeitungsverzeichnisses.
BVwG 06.06.2024, W108 2280859-1
- Nachdem das E-Mail-Postfach eines Arztes und des von ihm
geführten Labors kompromittiert wurde, gelangte eine
Excel-Liste mit tausenden PCR-Test-Ergebnissen und
personenbezogenen Daten an zwei Medienunternehmen. Nachdem die
Medienunternehmen über die geleakten Ergebnisse berichteten,
beantragte das Labor die Löschung der E-Mail und nach
Ablehnung durch die Medienunternehmen stellten der Arzt und das
Labor einen Antrag auf Auskunft, dem die Medienunternehmen nicht
vollständig nachkamen. Vor diesem Hintergrund brachten der
Arzt und das Labor Datenschutzbeschwerden bei der DSB ein. Der Arzt
behauptete eine Verletzung in seinem Recht auf Auskunft und das
Labor in seinem Recht auf Löschung, Geheimhaltung und
Auskunft. Die Medienunternehmen beriefen sich darauf, dass sie
gemäß § 9 DSG dem Medienprivileg unterliegen
würden und den Arzt und das Labor nicht in ihren Rechten
verletzt hätten. Die DSB wies die Datenschutzbeschwerden
zunächst mangels Zuständigkeit aufgrund der Anwendbarkeit
des Medienprivilegs nach § 9 Abs 1 DSG zurück, woraufhin
der Arzt und das Labor Bescheidbeschwerden an das BVwG richteten.
Das BVwG leitete ein Normprüfungsverfahren beim VfGH ein,
welches zur Aufhebung des § 9 Abs 1 DSG wegen
Verfassungswidrigkeit führte. In weiterer Folge entschied die
DSB, dass keine Verletzung des Rechts auf Löschung vorlag und
stellte fest, dass die Medienunternehmen gewisse Informationen
aufgrund des § 31 Abs 1 MedienG nicht zu beauskunften hatten,
hinsichtlich anderer Informationen jedoch den Arzt und das Labor in
ihren Rechten auf Auskunft verletzt haben. Daraufhin erhoben sowohl
die Medienunternehmen als auch der Arzt und das Labor
Bescheidbeschwerden an das BVwG. Das BVwG wies sämtliche
Bescheidbeschwerden ab.
Das BVwG hat erwogen: Der Begriff "personenbezogene Daten" ist weit zu verstehen. Auch wenn die Excel-Liste personenbezogene Daten Dritter enthielt, war die Medienberichterstattung mit dem Arzt und dem Labor verknüpft. Daher wurden auch personenbezogene Daten des Arztes und des Labors verarbeitet. Das Labor ist, entgegen der Annahme der Medienunternehmen, als juristische Person beschwerdelegitimiert, weil § 1 DSG widrigenfalls eine gleichheits- und damit verfassungswidrige Norm wäre.
Das Interesse des Arztes und des Labors auf Auskunft überwog dem Geheimhaltungsinteresse der Medienunternehmen jedoch nicht, weil eine Berufung auf das Redaktionsgeheimnis auch außerhalb des § 31 Abs 1 MedienG möglich ist. Dies gilt vor allem mit Blick auf Art 10 EMRK, weil Informanten die Medien nicht unterstützen könnten, wenn kein Schutz journalistischer Quellen im Rahmen der Pressefreiheit garantiert wäre. Da den Medien in ihrer Rolle als "public watchdog" eine wichtige Kontroll- und Aufklärungsfunktion zukommt, muss ein dringendes Erfordernis des öffentlichen Interesses vorliegen, um in den Schutz journalistischer Quellen einzugreifen. Ein solches Interesse besteht hier nicht.
Unter "Stammdaten", die von den Medienunternehmen zu beauskunften sind, fallen persönliche Angaben wie Namen, Adresse, Geburtsdatum, Sozialversicherungsnummer und Kontaktdaten, nicht jedoch das gesamte journalistische Recherchematerial. Das Redaktionsgeheimnis wird durch das Offenlegen dieser Daten nicht verletzt.
Da dem Grundrecht auf Datenschutz unmittelbare Horizontal- bzw Drittwirkung zukommt, können auch Private verpflichtet sein. Das Untätigbleiben der Medienunternehmen mit der Begründung, dass juristischen Personen kein Auskunftsrecht zukommt, war rechtswidrig, weil die Betroffenenrechte gemäß Art 12 f DSGVO analog auf juristische Personen anzuwenden sind.
Aus der weiteren Rechtsprechung des BVwG:
- Das Erleichterungsgebot gemäß Art 12 Abs 2 DSGVO ist
eine Strafnorm. Ein Verstoß dagegen kann gemäß Art
83 Abs 5 lit b DSGVO mit einer Geldbuße geahndet werden. Der
Verantwortliche hat jedoch nur leicht fahrlässig gehandelt,
weshalb die Strafe von EUR 9,5 Mio auf EUR 500.000 herabzusetzen
war (BVwG 18.04.2024, W137 2248575-1).
- Die DSB ist berechtigt, die Herausgabe personenbezogener Daten
eines Beschwerdeführers vom Verantwortlichen zu verlangen,
wenn die angeforderten Daten für das Erheben des
maßgeblichen Sachverhalts erforderlich sein können. Der
Verantwortliche hat dem Auftrag der DSB auf Herausgabe der Daten im
Rahmen seiner Mitwirkungspflicht gemäß Art 31 DSGVO zu
entsprechen (BVwG 13.05.2024, W101 2249293-1).
- Wird in einem Einspruch gegen eine Strafverfügung nur die
Herabsetzung der Strafe beantragt, tritt Teilrechtskraft
hinsichtlich des Schuldspruchs ein (BVwG 06.05.2024, W108 2281246-1).
- Krankheitsrisiken sind Gesundheitsdaten. Daher ist das Datum
"Impfstatus" als Gesundheitsdatum iSd Art 9 Abs 1 DSGVO
zu qualifizieren (BVwG 11.07.2023, W214 2257639-1).
- Kommt dem Wiederaufnahmewerber mangels Obsorge keine
Vertretungsbefugnis für seinen minderjährigen Sohn zu,
fehlt ihm die Legitimation zur Erhebung eines Antrags auf
Wiederaufnahme (BVwG 12.06.2024, W211 2267466-2; W211 2280883-2).
- Die Zurückziehung der Datenschutzbeschwerde bewirkt den Wegfall der Zuständigkeit der DSB zur Erlassung des Bescheides und damit (nachträglich) dessen Rechtswidrigkeit. Das BVwG hat daher den bekämpften Bescheid (ersatzlos) zu beheben (BVwG 06.06.2024, W287 2268623-1).
Rechtsakte
- Der EuGH hat mit Urteil vom 16.01.2024, C-33/22,
Österreichische Datenschutzbehörde, die
Zuständigkeit der DSB für
Datenverarbeitungstätigkeiten der Gesetzgebungsorgane bejaht,
weil keine andere Aufsichtsbehörde für die
Überwachung der entsprechenden
Datenverarbeitungstätigkeiten eingerichtet war.
Der Gesetzgeber hat am 04.07.2024 mit einem Gesetzgebungspaket reagiert (BGBl I 2024/68; BGBl I 2024/70; BGBl I 2024/71). Es sind ua das Bundes-Verfassungsgesetz (B-VG), das DSG, das Informationsordnungsgesetz, das Rechnungshofgesetz und das Volksanwaltschaftsgesetz novelliert worden.
Mit dem Gesetzgebungspaket wird insb ein "Parlamentarisches Datenschutzkomitee" eingerichtet, das neben der DSB als nationale Aufsichtsbehörde fungieren wird. Das Parlamentarische Datenschutzkomitee wird für Datenschutzbeschwerden gegen den Nationalrat, den Bundesrat, den Rechnungshof, die Volksanwaltschaft sowie die obersten Organe des Nationalrats, des Bundesrats, des Rechnungshofs sowie der Volksanwaltschaft zuständig sein.
Durch Landesverfassungsgesetz kann die Zuständigkeit des Parlamentarischen Datenschutzkomitees auf die Datenverarbeitungstätigkeiten der Landtage ausgeweitet werden.
- Am 05.07.2024 wurde das Bundesgesetz zur Einrichtung einer nationalen Behörde für die Cybersicherheitszertifizierung (Cybersicherheitszertifizierungs-Gesetz, CSZG, BGBl I 2024/78), mit dem eine nationale Behörde für die Cybersicherheitszertifizierung eingerichtet wurde, kundgemacht.
Vorschau EuGH-Rechtsprechung
- Am 11.07.2024 werden die Schlussanträge
in der Rs C-394/23, Mousse,
veröffentlicht. Gegenstand des Verfahrens ist, ob ein
Websitebetreiber über seinen Warenkorb die
"geschlechtsspezifischen Daten" "Herr" und
"Frau" erheben darf.
- Am 11.07.2024 wird das Urteil des EuGH in der
Rs C-757/22, Meta Platforms Ireland,
veröffentlicht. Geklärt werden weitere Voraussetzungen,
unter welchen Verbraucherschutzverbände wegen der Verletzung
von Informationspflichten klagen können.
- Am 11.07.2024 wird das Urteil des EuGH in der
Rs C-461/22, MK (Curateur
professionnel), veröffentlicht. Geklärt wird, ob
ein Rechtsanwalt, der als Erwachsenenvertreter (= Sachwalter)
bestellt wird, ein Verantwortlicher iSd Art 4 Z 7 DSGVO ist und dem
Vertretenen zur Auskunft gemäß Art 15 DSGVO verpflichtet
ist. Anm: Dem angekündigten Urteil sind keine
Schlussanträge vorangegangen.
- Am 17.07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.