ARTICLE
18 July 2024

To The Point: Datenschutzmonitor 28/2024

SA
Schoenherr Attorneys at Law

Contributor

Schoenherr Attorneys at Law logo
We are a full-service law firm with a footprint in Central and Eastern Europe providing local and international companies stellar advice. As the go-to legal advisor for complex commercial matters in the region, Schoenherr aims to use its proximity to industry leaders, in developing practical solutions for future challenges. We keep a close eye on trends and developments, which enables us to provide high quality legal advice that is straight to the point.
Explore
Beim Aufruf des "App-Zentrums" von Meta wurden die Nutzer darüber informiert, dass sie durch die Nutzung bestimmter Spieleanwendungen das Sammeln und Veröffentlichen persönlicher Daten gestatten und sie den AGB und der Datenschutzpolitik zustimmen.
Austria Privacy
Photo of János Böszörményi
Photo of Florian Terharen
Photo of Denise Stahleder
Photo of Philipp John
Photo of Christian Kracher
Person photo placeholder
Person photo placeholder
Authors
To print this article, all you need is to be registered or login on Mondaq.com.

To the Point:

Rechtsprechung des EuGH

EuGH 11.07.2024, C-757/22, Meta

  • Beim Aufruf des "App-Zentrums" von Meta wurden die Nutzer darüber informiert, dass sie durch die Nutzung bestimmter Spieleanwendungen das Sammeln und Veröffentlichen persönlicher Daten gestatten und sie den AGB und der Datenschutzpolitik zustimmen. Der Bundesverband der Verbraucherzentralen und Verbraucherverbände hielt diese Hinweise ua mangels wirksamer Einwilligung für unlauter und erhob eine Unterlassungsklage. Der EuGH äußerte sich zur Frage, ob ein Verband eine Verletzung der Rechte einer betroffenen Person "infolge einer Verarbeitung" iSd Art 80 Abs 2 DSGVO geltend macht, wenn die Klage darauf gestützt wird, dass der Verantwortliche seine Informationspflichten verletzt hat.

    Der EuGH hat erwogen: Die Informationspflicht des Verantwortlichen gegenüber der von der Datenverarbeitung betroffenen Person ist logische Folge des Informationsrechts, das dieser Person durch Art 12 und 13 DSGVO zuerkannt wird. Dieses Recht gehört damit zu den Rechten, auf welche die in Art 80 Abs 2 DSGVO vorgesehenen Verbandsklagen gestützt werden sollen.

    Die Erhebung einer auf Art 80 Abs 2 DSGVO gestützten Verbandsklage impliziert, dass es anlässlich der Verarbeitung personenbezogener Daten zu einer Verletzung der Rechte einer betroffenen Person aus den Datenschutzvorschriften der DSGVO kommt. Die Gültigkeit einer datenschutzrechtlichen Einwilligung hängt davon ab, ob die betroffene Person zuvor Informationen über alle Umstände im Zusammenhang mit der Datenverarbeitung hat, auf die sie nach Art 12 und 13 DSGVO Anspruch hat. Diese Informationen ermöglichen es ihr, die Einwilligung in voller Kenntnis der Sachlage zu geben. Eine Verletzung des Informationsrechts könnte der Erteilung einer Einwilligung in informierter Weise entgegenstehen und somit die Datenverarbeitung rechtswidrig machen.

    Eine Verletzung des Informationsrechts verstößt gegen die in Art 5 DSGVO festgelegten Anforderungen und ist daher als Verstoß gegen die Rechte der betroffenen Person "infolge einer Verarbeitung" iSd Art 80 Abs 2 DSGVO anzusehen.

EuGH 11.07.2024, C-461/22, MK

  • Ein Schutzbedürftiger ersuchte seinen ehemaligen Erwachsenenvertreter, einen Anwalt aus seinem persönlichen Umfeld, um Auskunft über jene personenbezogenen Daten, die der Anwalt im Zuge der Wahrnehmung seiner Aufgaben als Erwachsenenvertreter verarbeitet hatte.

    Das vorlegende Gericht fragte den EuGH, ob ein gesetzlich bestellter Erwachsenenvertreter, der diese Tätigkeit berufsmäßig ausübt, Verantwortlicher gemäß Art 4 Z 7 DSGVO ist und demzufolge zur Auskunft verpflichtet ist.

    Der EuGH hat erwogen: Laut ErwGr 18 und Art 2 Abs 2 lit c DSGVO findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten, die durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten ohne Bezug zu beruflichen oder wirtschaftlichen Tätigkeiten vorgenommen werden. Der Umstand, dass der Erwachsenenvertreter aus dem persönlichen Umfeld des Schutzbefohlenen stammte, ändert aber nichts daran, dass der Vertreter seine Aufgaben im Rahmen der Erwachsenenvertretung in Ausübung seiner anwaltlichen Tätigkeiten berufsmäßig wahrgenommen hat. Zwar handelt ein Erwachsenenvertreter nach den Vorschriften des deutschen Betreuungsrechts im Namen und auf Rechnung des Vertretenen, doch handelt es sich bei einem ehemaligen Erwachsenenvertreter um eine dritte Person.

    Daraus folgt, dass ein ehemaliger Erwachsenenvertreter, der seine Aufgaben in Bezug auf eine unter seine Betreuung gestellte Person berufsmäßig wahrgenommen hat, als Verantwortlicher gemäß Art 4 Z 7 DSGVO einzustufen ist und sämtliche Bestimmungen der DSGVO, darunter auch die Auskunftspflicht gemäß Art 15 DSGVO, zu beachten hat.

EuGH Schlussanträge 11.07.2024, C-394/23, Mousse

  • Ein Verband erhob Klage gegen ein Transportunternehmen, weil dieses bei der Online-Buchung von Fahrscheinen die Angabe der Anrededaten "Herr" oder "Frau" von seinen Kunden verlangte. Der Generalanwalt äußerte sich zur Auslegung von Art 5 Abs 1 lit c sowie Art 6 Abs 1 lit b und c DSGVO.

    Der Generalanwalt hat erwogen: Die systematische Verarbeitung von Anrededaten ist für die Vertragserfüllung oder die Durchführung vorvertraglicher Maßnahmen nicht erforderlich, wenn sie der personalisierten geschäftlichen Kommunikation oder geschlechtsspezifischen Anpassung von Beförderungsleistungen dient. Hauptgegenstand des Vertrags ist die Bereitstellung eines Fahrscheins und die Beförderung der Kunden. Die Kommunikation mit dem Kunden ist zwar integraler Bestandteil des Beförderungsvertrags, die Verarbeitung der Anrededaten ist aber nicht erforderlich, weil personalisierte Kommunikation auch ohne Anrededaten möglich ist. Für spezielle Anpassungen der Beförderungsdienstleistung (zB Reservierung eines Nachtzugwagons für Frauen oder Unterstützung von Personen mit eingeschränkter Mobilität) sind nicht Anrede- sondern Geschlechtsdaten erforderlich. Dieses Ziel kann auch erreicht werden, indem diese Daten nur in besonderen Fällen und nicht bei allen Fahrscheinkäufen erhoben werden.

    Das Transportunternehmen hat die betroffenen Personen zum Zeitpunkt der Datenerhebung nicht über die verfolgten berechtigten Interessen informiert. Aus der Nichteinhaltung der Informationspflicht resultiert die Rechtswidrigkeit der Verarbeitung der Anrededaten. Ohne Information über die berechtigten Interessen kann die Verarbeitung der Anrededaten auch nicht als erforderlich angesehen werden. Selbst wenn das berechtigte Interesse der personalisierten Kundenkommunikation mitgeteilt worden wäre, wäre die Verarbeitung der Anrededaten nicht erforderlich, weil die Kommunikation auch ohne diese Daten möglich ist. Kunden können vernünftigerweise nicht absehen, dass ihre Anrededaten zur Kommunikation aufgrund eines Fahrscheinerwerbs verarbeitet werden.

    Die Verarbeitung von Anrededaten könnte die Grundrechte oder -freiheiten betroffener Personen beeinträchtigen, weil sie zu einer Diskriminierung aufgrund des Geschlechts führen könnte. Dies gilt insb bei Transgender-Personen oder Personen mit Staatsangehörigkeit eines Staates, der das neutrale Geschlecht anerkennt. Das berechtigte Interesse an der Kommunikation mit dem Kunden überwiegt daher nicht die Interessen oder die Grundrechte oder -freiheiten der betroffenen Person.

    Das Bestehen eines Widerspruchsrechts ist für die Beurteilung der Erforderlichkeit bei einer Verarbeitung nach Art 6 Abs 1 lit f DSGVO irrelevant, weil es eine rechtmäßige Verarbeitung voraussetzt. Es kann erst ausgeübt werden, wenn die rechtmäßige Verarbeitung bereits erfolgt ist, um diese zu unterbinden. Eine andere Auslegung würde die Rechtmäßigkeitsgründe des Art 6 DSGVO ausweiten. Das Schutzniveau der betroffenen Personen hinge davon ab, dass diese der Datenverarbeitung widersprechen.

Rechtsprechung des VwGH

  • Eine Zurückverweisung an die DSB zur Durchführung notwendiger Ermittlungen gemäß § 28 Abs 3 VwGVG ist nur bei besonders gravierenden Ermittlungslücken gerechtfertigt. Wenn die DSB auf Grundlage ihrer Ermittlungsergebnisse bereits Feststellungen getroffen hat und ergänzende Ermittlungen ohne Schwierigkeiten vom Verwaltungsgericht durchgeführt werden können, ist eine Zurückverweisung nicht erforderlich. Im Interesse der Verfahrensbeschleunigung und der angemessenen Verfahrensdauer haben Verwaltungsgerichte erforderliche ergänzende Ermittlungen selbst vorzunehmen ( VwGH 13.06.2024, Ra 2023/04/0259).

Rechtsprechung des BVwG

BVwG 27.03.2024, W214 2243436-1

  • Ein Unternehmen betrieb ein branchenübergreifendes Kundenbindungsprogramm, für das zur Rechtfertigung der Verarbeitung Einwilligungen physisch über ein Anmeldeformular und über eine Website eingeholt wurden. Um die Rechtmäßigkeit der Vorgehensweise zu prüfen, leitete die DSB ein amtswegiges Prüfverfahren ein. Da die Einwilligungen nicht der DSGVO entsprachen, verhängte die DSB im darauffolgenden Strafverfahren eine Geldstrafe iHv EUR 1,2 Mio (zuzüglich EUR 120.000 Verfahrenskostenbeitrag). Dagegen erhob das Unternehmen Bescheidbeschwerde an das BVwG, welches die Strafe auf EUR 700.000 (zuzüglich EUR 70.000 Verfahrenskostenbeitrag) herabsetzte und den Bescheid teilweise abänderte.

    Das BVwG hat erwogen: Das Selbstbezichtigungsverbot des Art 90 Abs 2 B-VG und Art 6 EMRK gilt in Verwaltungsstrafverfahren nach der DSGVO jedenfalls nicht für juristische Personen. Beweisergebnisse, die in einem vorgelagerten Administrativverfahren unter strafbewehrter Mitwirkungspflicht erlangt wurden, dürfen im nachgelagerten Verwaltungsstrafverfahren verwertet werden.

    Bei der Beurteilung der Gültigkeit einer Einwilligung ist maßgeblich, wie eine durchschnittliche einwilligende Person, die über keine juristischen oder technischen Kenntnisse verfügt und sich der Einwilligung mit durchschnittlicher Aufmerksamkeit widmet, diese versteht. Eine datenschutzrechtliche Erklärung, die zwar fettgedruckt ist, jedoch am Ende eines physischen Anmeldeformulars unter einem Unterschriftsfeld platziert wurde, ist irreführend. Eine bei einem Onlineformular missverständlich beschriftete Schaltfläche ist dabei irreführend und intransparent. Durch die intransparente Vorgehensweise entsprechen die Einwilligungen nicht den Erfordernissen iSd Art 7 DSGVO. Eine darauf gestützte Datenverarbeitung ist rechtswidrig.

    Bei Profiling iSd DSGVO handelt es sich um einen erheblichen Eingriff in die Grundrechte von Betroffenen. Das Interesse Betroffener, keinem Profiling unterworfen zu werden, überwiegt das Interesse eines Unternehmens, ohne Einwilligung Daten zur interessensgerichteten Werbung verarbeiten zu dürfen.

    Geschäftsführer trifft eine Erkundigungspflicht hinsichtlich einschlägiger Bestimmungen vor Beginn einer Datenverarbeitung. Zur Wirksamkeit eines internen Kontrollsystems muss dargelegt werden, wie dieses Kontrollsystem im Einzelfall hätte funktionieren sollen.

    Für die Bemessung der Höhe einer Strafe nach der DSGVO liegt eine Unternehmensgruppe vor, wenn eine Muttergesellschaft einen entscheidenden Einfluss auf ein Tochterunternehmen ausübt.

    Werden personenbezogene Daten (i) schuldhaft unrechtmäßig verarbeitet, (ii) betrifft die Verarbeitung das gesamte Bundesgebiet, (iii) stellt die Verarbeitung eine zentrale Tätigkeit des Verantwortlichen dar und (iv) sind eine große Anzahl natürlicher Personen von der Verarbeitung über einen Zeitraum von zwei Jahren betroffen, liegt bei einem fahrlässigen Verstoß gegen die DSGVO für die Strafbemessung ein mittlerer bis hoher Schweregrad vor. Anm: Das BVwG verwehrt datenschutzrechtlich Verantwortlichen, insb wenn sie juristische Personen sind, den Schutz vor Zwang zur Selbstbezichtigung.

BVwG 07.06.2024, W256 2246230-1

  • Ein Unternehmen hat von Mai 2019 bis Januar 2021 personenbezogene Daten für personalisierte Werbung, basierend auf Einwilligungserklärungen, die mittels Flyer und Webseite eingeholt wurden, erhoben. Die DSB leitete ein amtswegiges Prüfverfahren ein, in dem sie die Einwilligungserklärungen für ungültig erklärte. Im anschließenden Verwaltungsstrafverfahren verhängte die DSB eine Geldstrafe iHv EUR 2 Mio. Das Unternehmen erhob dagegen Bescheidbeschwerde an das BVwG, das die Geldbuße auf EUR 500.000 herabsetzte.

    Das BVwG hat erwogen: Ergebnisse des amtswegigen Prüfverfahrens können in ein Verwaltungsstrafverfahren einbezogen werden. Das Recht, sich selbst nicht einer strafbaren Handlung bezichtigen zu müssen, kommt einer juristischen Person nicht zu. Die Einwilligungserklärungen entsprechen nicht den Anforderungen des Art 7 Abs 2 DSGVO, weil sie nicht klar und verständlich gestaltet, und damit nicht freiwillig waren. Die Einwilligungserklärung muss optisch und sprachlich transparent ausgestaltet sein, insb wenn sie verschiedene Sachverhalte betrifft. Das Unternehmen hat den Gesamteindruck vermittelt, dass es sich eigentlich um eine Unterschrift für die Teilnahme am Kundenbindungsprogramm und nicht um eine Einwilligung zum Profiling handelt.

    Die Verarbeitung kann nicht auf Art 6 Abs 1 lit f oder Art 6 Abs 4 DSGVO gestützt werden, weil die betroffenen Personen nicht mit einer solchen Verarbeitung rechnen mussten. Das Unternehmen hat fahrlässig gehandelt, weil den Geschäftsführern und/oder dem Datenschutzbeauftragten die Rechtswidrigkeit der Einwilligungserklärungen hätte auffallen müssen. Die Geldbuße ist jedoch zu hoch angesetzt, weil die Verhältnismäßigkeit und die wirtschaftliche Leistungsfähigkeit des Unternehmens sowie mildernde Umstände zu berücksichtigen sind.

    Die Revision an den VwGH ist zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage von grundsätzlicher Bedeutung abhängt, insb zu Art 7 DSGVO und zum entschuldbaren Verbotsirrtum im Anwendungsbereich der DSGVO.

Aus der weiteren Rechtsprechung des BVwG:

  • Die mündliche Weitergabe personenbezogener Daten fällt nicht in den sachlichen Anwendungsbereich der DSGVO, ist aber anhand des Maßstabs des § 1 DSG zu prüfen. Eine Information über den stationären Aufenthalt einer Patientin ist ein Gesundheitsdatum iSd Art 4 Z 15 DSGVO. Die allgemeine Verfügbarkeit von Daten schließt die Verletzung eines Geheimhaltungsinteresses iSd § 1 DSG ausdrücklich aus. Daten, die nur einem begrenzten Personenkreis offengelegt werden, sind jedoch nicht allgemein verfügbar ( BVwG 12.06.2024, W211 2281442-1). Beachte: Fällt eine Datenverarbeitung in den Anwendungsbereich der DSGVO, sind auch allgemein verfügbare Daten geschützt.
  • Über die Beschwerde einer Sportlerin gegen eine Entscheidung der Unabhängigen Dopingkontrolleinrichtung (NADA) legte die Unabhängige Schiedskommission (USK) mehrere Fragen hinsichtlich der Vereinbarkeit von Anti-Doping-Regelungen mit der DSGVO dem EuGH vor. Der EuGH wies die Fragen der USK mit Urteil vom 07.05.2024, C‑115/22, NADA, zurück, weil die USK kein Gericht iSd Art 267 AEUV ist. Das BVwG setzte ein bei ihm anhängiges Verfahren bis zur Entscheidung des EuGH aus. Nunmehr hat das BVwG das bei ihm anhängige Verfahren fortgesetzt und als Gericht iSd Art 267 AEUV dem EuGH die Fragen der USK nochmals vorgelegt. Den Fragen der USK stellt das BVwG jedoch eine weitere Frage voran, die die Schlussanträge der Generalanwältin reflektieren. Die Generalanwältin hinterfragte, ob die Durchführung des Anti-Doping-Rechts in den Anwendungsbereich des Unionsrechts und somit in jenen der DSGVO fällt ( BVwG 28.06.2024, W108 2250401-1).
  • Von einem unvertretenen juristischen Laien kann die rechtliche Einordnung und Anführung der korrekten Norm nicht erwartet werden ( BVwG 17.06.2024, W287 2285759-1).
  • Entsteht nach Ansicht des Beschuldigten aufgrund der Zusammenstellung personenbezogener Daten eine inhaltliche Irreführung, kann er Fehlannahmen durch Vorbringen im Einklang mit der Strafprozessordnung richtigstellen. Ein Recht auf Vervollständigung seiner Daten im Ermittlungsakt kommt ihm nicht zu ( BVwG 12.06.2024, W605 2280077-1).
  • Wird das Recht auf Löschung geltend gemacht, kann eine Verantwortliche bis zum Abschluss des Verfahrens vor der DSB die behauptete Rechtsverletzung nachträglich beseitigen, indem sie den Anträgen des Betroffenen entspricht (§ 24 Abs 6 DSG). Diese Bestimmung ist sinngemäß auch im Verfahren beim BVwG anzuwenden (§ 17 VwGVG). Bei materieller Klaglosstellung wegen Wegfalls des Rechtsschutzinteresses ist das Verfahren einzustellen ( BVwG 20.06.2024, W211 2225136-1).
  • Die DSB kann eine Verletzung des Grundrechts auf Geheimhaltung nur ex post betrachtet feststellen, weshalb eine Datenschutzbeschwerde über eine möglicherweise in der Zukunft eintretende Verletzung bereits aus diesem Grund abzuweisen ist ( BVwG 27.05.2024, W137 2288754-1).

EU-Rechtsakte

Vorschau EuGH-Rechtsprechung

  • Am 17.07.2024 wird das Urteil des EuG in der Rs T-1077/23, Bytedance/Kommission, veröffentlicht. Bytedance, das Mutterunternehmen von TikTok, hat beim EuG vorläufigen Rechtsschutz gegen ihre Benennung durch die Europäische Kommission als Torwächter (gatekeeper) iSd Verordnung (EU) 2022/1925 (Gesetz über digitale Märkte) beantragt.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of János Böszörményi
János Böszörményi
Photo of Florian Terharen
Florian Terharen
Photo of Denise Stahleder
Denise Stahleder
Photo of Philipp John
Philipp John
Photo of Christian Kracher
Christian Kracher
Person photo placeholder
Anna Maria Gidwani
Person photo placeholder
Gamze Turan
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More