slide 1
slide 2
slide 3
slide 4
slide 5

Rechtsartikel

Informationen zum Datenschutz in Österreich, Datenschutz-Anpassungsgesetz 2018, EU-Datenschutz-Grundverordnung (DSGVO), Praktische Erfahrungen mit Datenschutzverfahren in Österreich

Der Datenschutz in Österreich und die Änderungen durch die Datenschutz-Grundverordnung (DSGVO)

Jedermann hat, insbesondere im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten. Dieser Satz, der das Grundrecht auf Datenschutz in Form einer Verfassungsbestimmung formuliert, findet sich in § 1 des österreichischen Datenschutzgesetzes (DSG).

Der Datenschutz soll Schutz vor missbräuchlicher Datenverarbeitung und Schutz des Rechts auf informationelle Selbstbestimmung bzw. Schutz des Persönlichkeitsrechts bei der Datenverarbeitung bieten.

Durch die EU-Datenschutz-Grundverordnung (DSGVO) ist bzw. soll ein einheitliches Datenschutzrecht für alle EU-Mitgliedstaaten geschaffen werden. Die EU-Verordnung räumt den Gesetzgebern der einzelnen Mitgliedstaaten einen Regelungsspielraum ein.

Die Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) ist in Österreich durch den Beschluss des "Datenschutz-Anpassungsgesetzes 2018" und des "Datenschutz-Deregulierungs-Gesetzes 2018" erfolgt.

Die Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 und des Datenschutz-Deregulierungs-Gesetzes 2018 gelten seit 25.5.2018.

In Österreich gelten somit die EU-Datenschutz-Grundverordnung (DSGVO – Verordnung (EU) 2016/679) sowie das österreichische Datenschutzgesetz (DSG – in der Fassung des Datenschutz-Anpassungsgesetzes 2018 und des Datenschutz-Deregulierungs-Gesetzes 2018, welche am 25.5.2018 in Kraft getreten sind).

Die Datenschutzbehörde in Österreich

Die Datenschutzbehörde (DSB) ist seit Jänner 2014 die für den Datenschutz in Österreich zuständige Behörde und wird derzeit von Dr. Jelinek geleitet.

Auf Basis der gesetzlichen Bestimmungen und gemäß Eigendarstellung der Datenschutzbehörde soll die Datenschutzbehörde in Österreich den Schutz der Daten sicherstellen. Aus diesem Grund sind auch entsprechende Beschwerden bei der Datenschutzbehörde Prime einzubringen.

Der Europäische Datenschutzausschuss (EDSA)

Der Europäische Datenschutzausschuss (EDSA) ist gemäß EDSA-Webseite eine unabhängige europäische Einrichtung. Der Europäische Datenschutzausschuss (EDSA) soll die einheitliche Anwendung der Datenschutz-Grundverordnung und der EU- Datenschutz-Richtlinie im Bereich von Justiz und Inneres in der Europäischen Union sicherstellen.

Der Europäische Datenschutzausschuss (EDSA) soll auch die Zusammenarbeit zwischen den EU-Datenschutzbehörden fördern. Der EDSA besteht grundsätzlich aus den nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB).

Aufsichtsbeschwerde betreffend Tätigkeiten der Datenschutzbehörde an das Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz

Der Bundesminister für Verfassung, Reformen, Deregulierung und Justiz steht an der Spitze des Bundesministeriums für Verfassung, Reformen, Deregulierung und Justiz und ist dieses Ministerium für die Aufsicht über die Datenschutzbehörde in Österreich zuständig.

Praktische Erfahrungen mit Datenschutzverfahren in Österreich, Beschwerde an die Datenschutzbehörde, Beschwerde an das Bundesverwaltungsgericht

Unsere Kanzlei führt aktuelle Verfahren auf Basis der neuen gesetzlichen Bestimmungen und hat entsprechende Beschwerden bei der Datenschutzbehörde in Österreich und sodann auch Beschwerden gegen Bescheide der Datenschutzbehörde beim Bundesverwaltungsgericht bereits eingebracht. Die aus diesen Verfahren resultierenden praktischen Erfahrungen dürfen in der Folge geteilt werden.

Die auf Basis der von unserer Kanzlei aktuell geführten Verfahren vor der Datenschutzbehörde in Österreich gewonnenen Erfahrungen lassen bedauerlicherweise bezweifeln, dass die Überwachung der Einhaltung des Datenschutzes durch die Datenschutzbehörde in ausreichendem Maße gegeben ist. Speziell für anwaltlich nicht vertretene Personen erscheint die in den aktuellen Verfahren wahrgenommene Vorgehensweise der Datenschutzbehörde wenig hilfreich, um Datenschutzverletzungen effizient und effektiv in Österreich zu verfolgen.

In den im Jahre 2018 von unserer Kanzlei angebrachten Beschwerden wegen Datenschutzverletzungen war es bedauerlicherweise nicht so, dass die Datenschutzbehörde in Österreich selbstständig Datenschutzverletzungen im Verfahren ausreichend wahrgenommen und verfolgt hat. In Bezug auf die eingebrachten Beschwerden erfolgten zahlreiche und wenig nachvollziehbare Mängelbehebungsaufträge und Zurückweisungen.

Es konnte bedauerlicherweise im Verfahren nicht wahrgenommen werden, dass die Datenschutzbehörde tatsächlich ein ausreichendes Interesse daran hat, die nunmehr streng verschärften Bestimmungen gemäß DSGVO etc. ausreichend umzusetzen bzw. zu sanktionieren. Vielmehr wird der rechtlich wohl meistens unbedarfte Beschwerdeführer, der sich hoffnungsvoll an die Datenschutzbehörde wendet, kaum Möglichkeiten haben, mit den in unseren Verfahren erfolgten Mängelbehebungsaufträgen, zum Teil nicht korrekten Rechtsbelehrungen und Zurückweisungen etc. - anstatt amtswegig vorzugehen - umzugehen.

In zwei Verfahren wurden die Zurückweisungen mit Bescheid durch die Datenschutzbehörde in Österreich nun im Jahre 2019 bereits durch das Bundesverwaltungsgericht ersatzlos behoben.

Es dürfen auszugsweise einige Passagen aus dem Verfahren wiedergegeben werden, um einen praktischen Eindruck in ein derartiges Datenschutzverfahren zu gewähren.

Aus der ursprünglichen Beschwerde:

Mit E-Mail vom 7. Juni 2018 richtete der Beschwerdeführer folgende auszugsweise wiedergegebene Beschwerde an die Datenschutzbehärde:

Bezugnehmend auf die angehängten Unterlagen wird aufgrund von Datenschutzverstäßen Beschwerde gemäß u. a. DSG und DSGVO betreffend eingebracht wie folgt:
Der Beschwerdegegner weist beim Aufrufen der Website zu keinem Zeitpunkt auf das Verwenden von Cookies und auf die Verarbeitung sensibler Daten hin. Es wird kein Einverständnis vom Nutzer vorab eingeholt.

Der Beschwerdegegner verfügt über überhaupt keine den geltenden Datenschutzbestimmungen entsprechende Datenschutzerklärung. Es gibt lediglich einen Hinweis auf Google Analytics. Eine information u. a. über die Datenverarbeitung und über die dem Nutzer zustehenden Rechte erfolgt nicht.

Hiermit wird daher Beschwerde gegen den Beschwerdegegner erhoben, weil dieser bei der Verarbeitung der personenbezogenen Daten u.a. Verstöße zu verantworten hat:

Verstoß gegen das Grundrecht auf Datenschutz

Mangels lnformation auch Verstoß gegen die lnformationspflicht

  1. Verstoß gegen die ordnungsgemäße Verarbeitung personenbezogener Daten
  2. Verstoß gegen das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  3. Verstoß gegen Art. 5 DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten)
  4. Verstoß gegen Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung)
  5. Verstoß gegen Art. 7 DSGVO (Einwilligung)
  6. Verstoß gegen Art. 8 DSGVO (Verarbeitung besonderer Kategorien von Daten)
  7. Verstoß gegen Art. 13-14 DSGVO (informationspflicht)

Es wird daher beantragt, dass die Datenschutzbehärde den Sachverhalt, insb. im Sinne des DSG und der DSGVO, vollumfänglich prüft und eine entsprechende Verletzung der Rechte feststellt und entsprechende Strafen gegen den Beschwerdegegner verhängt bzw. diese Verhängung veranlasst.

Durch die Datenschutzbehörde erfolgte dann schlichtweg und rasch eine Zurückweisung auszugsweise wie folgt:

Mit dem angefochtenen Bescheid wurde die Beschwerde des Beschwerdeführers „wegen einer Verletzung in einem nicht näher bezeichneten Recht“ gemäß § 24 Abs. 2 und 3 DSG und § 13 Abs. 3 AVG zurückgewiesen. Begründend führte die belangte Behörde dazu aus, dass in Bezug auf die behauptete Verletzung im Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO der Beschwerdeführer keinen entsprechenden Antrag vorgelegt habe.

In den beim Bundesverwaltungsgericht eingebrachten Beschwerden wurden auszugsweise unter anderem folgende Punkte geltend gemacht:

- Aufhebungsgrund der Rechtswidrigkeit des Inhalts:

Ein Bescheid ist wegen Rechtswidrigkeit seines Inhaltes aufzuheben, wenn die Behörde die dem Bescheidinhalt zugrunde liegenden Rechtsnormen falsch ausgelegt hat (VwGH 17.6.1981, Zl. 3097/80). Die belangte Behörde unterstellt rechtsirrig, dass der Beschwerdeführer eine unzulässige bzw. unvollständige bzw. mangelhafte Beschwerde eingebracht hat.

Auf Eingaben an die Datenschutzbehörde ist das AVG anzuwenden. Demnach unterliegt die Eingabe keinen Formvorschriften (Vgl. dazu Jahnel, Handbuch, Rz 9/30 und Knyrim, Datenschutzrecht³, 330). Eingaben an die Datenschutzbehörden können auch mittels E-mail eingebracht werden.

Der Beschwerdeführer hat die Eingabe (Beschwerde) schriftlich korrekt vorgenommen und ausreichend präzisiert. Seiner Beschwerde kann
• die Bezeichnung des als verletzt erachteten Rechts,
• die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
• den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,
• die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,
• das Begehren, die behauptete Rechtsverletzung festzustellen und
• die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist, entnommen werden.

Insofern ist die von der belangten Behörde vorgenommene Zurückweisung sowie auch die nunmehrige Abweisung unzulässig.

- Zum Aufhebungsgrund der Rechtswidrigkeit infolge Verletzung von Verfahrensvorschriften:

Der Bescheid ist wegen Rechtswidrigkeit infolge der Verletzung von Verfahrensvorschriften aufzuheben, weil er u. a. jeglicher nachvollziehbarer Begründung entbehrt, mit Aktenwidrigkeiten behaftet ist, ein Verstoß gegen das Gebot der Erforschung der materiellen Wahrheit vorliegt, auch das Parteiengehör verletzt worden ist und weil der Bescheid mangelhaft und unrichtig begründet ist. Die Behörde unterließ jegliche Ermittlungsschritte und beschränkt sich darauf, Vermutungen aufzustellen, die in keiner Weise durch den Akteninhalt gedeckt sind.

- Unterlassen der Ermittlung des Sachverhaltes von Amts wegen, Ergänzungsbedürftigkeit des Sachverhaltes:

In der wenig nachvollziehbaren Begründung der belangten Behörde findet sich, entgegen der Verpflichtung der Behörde, auf alle vorgebrachten Tatsachen und rechtlichen Ausführungen einzugehen (VwGH v 19.05.1994, 90/07/0121), keine nachvollziehbare Ermittlung des Sachverhaltes samt Bezugnahmen auf für den gegenständlichen Sachverhalt passende Beweismittel oder Ermittlungsergebnisse, was zum einen als wesentlicher Verfahrensmangel zu werten ist und zum zweiten auch die fortgesetzte Mangelhaftigkeit der rechtlichen Würdigung des vorliegenden Sachverhaltes bewirkt.

Die belangte Behörde hat es unterlassen, den wesentlichen Sachverhalt von Amts wegen zu ermitteln und festzustellen (VwGH 25.06.2008, 2005/12/0056). Gemäß § 37 iVm § 39 Abs. 2 AVG wäre sie hierzu jedoch verpflichtet gewesen.

- Verstoß gegen das Gebot der Forschung der materiellen Wahrheit:

Entsprechend dem Grundsatz der Erforschung der materiellen Wahrheit wäre die belangte Behörde verpflichtet gewesen, objektiv den Sachverhalt zu erheben und in alle Richtungen zu prüfen.
Diesem Grundsatz widersprechend hat die belangte Behörde sämtliche Schritte zur objektiven Ermittlung des Sachverhaltes unterlassen.

Weiters kann dem Gesetz, insbesondere § 24 DSG, in keiner Form entnommen werden, dass mit einer Beschwerde nur eine behauptete Rechtsverletzung geltend gemacht werden kann und mehrere Rechtsverletzungen in mehreren Beschwerden geltend zu machen sind.

Nicht ohne Grund hat sodann in der Folge das Bundesverwaltungsgericht einerseits einen Zurückweisungsbescheid der Datenschutzbehörde vom 04.09.2018 sowie auch einen Bescheid der Datenschutzbehörde vom 05.09.2018 ersatzlos behoben und unter anderem durch das Bundesverwaltungsgericht rechtlich ausgeführt wie folgt:

§ 24 Abs. 1 DSG ordnet an, dass jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde hat, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen 5 l oder Artikel 2 1. Hauptstück verstößt.

Im vorliegenden Fall hat der [...] Beschwerdeführer in seinen als Verstöße gegen das DSG und die DSGVO bezeichneten Punkten 1., 2., 4. und 9. einen Verstoß gegen das Grundrecht auf Datenschutz (§ 1 DSG), gegen die Informationspflicht (Art 13 und 14 DSGVO) und gegen das Recht auf Einschränkung der Verarbeitung (Art 18 DSGVO) ausdrücklich formuliert und abschließend die Feststellung der entsprechenden Rechtsverletzung begehrt. Es bestehen daher im vorliegenden Fall keine Zweifel, dass der Beschwerdeführer eine Verletzung dieser drei ihm in der DSGVO auch eingeräumten Rechte explizit geltend gemacht hat. Auch in seiner verbesserten Beschwerde wiederholt der Beschwerdeführer diese drei „Verstöße“ gegen das DSG bzw. die DSGVO und bezeichnet er überdies ausdrücklich einen Eingriff in das Grundrecht auf Geheimhaltung als verletztes Recht.

Da im vorliegenden Fall aber somit — entgegen der Ansicht der belangten Behörde —— kein Zweifel an der Bezeichnung der Rechtsverletzung besteht, liegt eine Mangelhaftigkeit der Beschwerde in dieser Hinsicht nicht vor

Die belangte Behörde ist daher im vorliegenden Fall zu Unrecht nach 5 13 Abs. 3 AVG vorgegangen, weshalb spruchgemäß zu entscheiden war (siehe dazu das Erkenntnis des Verwaltungsgerichtshofes vom 8. September 2009, 2008/21/0128 u.v.m.).

Da somit der der Entscheidung zugrundeliegende Antrag (wieder) unerledigt ist, wird sich die belangte Behörde nunmehr mit der vom Beschwerdeführer behaupteten Verletzung im Recht auf GeheimhaItung — wie oben beschrieben — auseinanderzusetzen haben.

 

Da die belangte Behörde diese Punkte vollkommen verkannt hat, waren die gegenständlichen Bescheide mit einer Rechtswidrigkeit des Inhaltes und einer Rechtswidrigkeit infolge Verletzung von Verfahrensvorschriften belastet. Die angefochtenen Bescheide sind daher insbesondere in Bezug auf die vorgenommene Zurückweisung unrichtig.

Festzuhalten ist auch, dass die Behauptung der Datenschutzbehörde, dass für jeden einzelnen Beschwerdepunkt eine separate Beschwerde eingebracht werden muss, unrichtig ist. Es ist vielmehr logischerweise wie in allen sonstigen Verfahren in Österreich so, dass mangels gegenteiliger Anordnung auch im Verfahren nach § 24 DSG mehrere Beschwerden in einem gemeinsamen Schriftsatz eingebracht werden können. Auf Basis welcher gesetzlichen Grundlage die Datenschutzbehörde überhaupt zu einer derartigen Behauptung gekommen ist, verbleibt ebenso im Dunkeln.

Auf Basis der praktischen Erfahrungen unserer Rechtsanwaltskanzlei in den angeführten Verfahren kann festgehalten werden, dass es auf Basis dieser konkreten Vorgehensweisen der Datenschutzbehörde kaum nachvollziehbar ist, wie in Fällen von Datenschutzverletzungen der „unbedarfte“ Bürger, der nicht anwaltlich vertreten ist, Rechtsverletzungen bei der Datenschutzbehörde effektiv durchsetzen soll.

Ihr Rechtsanwalt in Österreich, Ihr Rechtsanwalt in Innsbruck.