Heft 1, März 2022, Band 10

Im Oktober 2021 wies die Datenschutzbehörde (DSB) eine Beschwerde wegen einer Auskunftspflichtverletzung betreffend von einem österreichischen Mobilfunkanbieter verarbeitete Verkehrs- und Standortdaten ab. Die DSB hält damit an ihrer Entscheidungspraxis vor Anwendbarkeit der DSGVO fest, der zufolge Standortdaten einer betroffenen Person nicht im Rahmen der Datenkopie gem Art 15 Abs 3 DSGVO zur Verfügung zu stellen und Verkehrsdaten nur im Umfang des Einzelentgeltnachweises gem § 100 TKG 2003 zu beauskunften seien. Die Entscheidung ist nicht rechtkräftig; der betroffene Auskunftswerber hat Bescheidbeschwerde beim Bundesverwaltungsgericht erhoben.

Gerichte sehen sich regelmäßig mit digitalen Beweismitteln konfrontiert, die teilweise nur mit erheblichen Schwierigkeiten in das österreichische Beweismittelsystem eingeordnet werden können. Die Nutzung digitaler Beweismittel ist weitgehend ungeregelt, wodurch die Zuordnung zu einer bestehenden Beweismittelkategorie erschwert wird. Der vorliegende Beitrag fokussiert sich auf die – auch in praxi bedeutsame – Unterscheidung zwischen Urkunden, Auskunftssachen und Augenscheinsgegenständen.

Vor etwas mehr als einem Jahr wurden die berufsrechtlichen Voraussetzungen für die Inanspruchnahme externer Dienstleister zur elektronischen Datenverarbeitung durch Rechtsanwälte neu geregelt. Die Neufassung des § 40 Abs 3 RL-BA 2015 verfolgt vorrangig das Ziel, die Cloud-Nutzung durch den Anwaltsstand rechtlich zu erfassen und zu begünstigen. Der Beitrag analysiert diese Bestimmung und zeigt auf, wo möglicherweise noch Bedarf zur Nachschärfung besteht.

In einem kürzlich veröffentlichten Urteil hat der Europäische Gerichtshof das wohl bisher als allgemein ausreichende Verständnis einer „unerwünschten elektronischen Post“ erheblich verändert. Die Höchstrichter aus Luxemburg haben einer seit Wirksamwerden der ePrivacy-RL bestehenden Regelung aus dem Jahr 2002 einen erheblichen Anwendungsbereich verschafft, der nicht nur die werbliche, elektronische Kommunikation radikal verändern kann, sondern auch dem mehrfachen elektronischen Belästigen eine lauterkeitsrechtliche Dimension hinzufügt, die Unternehmen im Electronic Marketing und der Telekommunikationsbranche zu raschem Handeln zwingt. Der folgende Beitrag versucht ausgehend von einer Darstellung und Einordnung des Urteils erste mögliche Auswirkungen auf betroffene Geschäftsmodelle des E-Commerce zu erörtern.

Die ePrivacy-RL (bzw die jeweils nationale Umsetzungsbestimmung) geht der DSGVO als lex specialis vor.

Das Recht und die Praxis eines Landes kein angemessenes Schutzniveau zu gewährleisten sowie die (Un-)Vereinbarkeit des (Angemessenheits-)Beschlusses mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen können im Rahmen einer Beschwerde nach Art 77 Abs 1 DSGVO als subjektive Rechte geltend gemacht werden.

Der Datenschutzbehörde kommt eine Feststellungskompetenz im Hinblick auf Verletzungen des Rechts auf Geheimhaltung in Beschwerdeverfahren zu.

Die gegenständlichen Cookies „_ga“ bzw „cid“ (Client ID) und „_gid“ (User ID) sind einzigartige Google Analytics Kennnummern und als solche personenbezogene Daten iSd Art 4 Z 1 DSGVO.

Bei der Beurteilung, ob ein Personenbezug aus Daten hergestellt werden kann oder nicht, ist nicht erforderlich, dass jemand (hier: Beschwerdegegner) jeweils alleine einen Personenbezug herstellen können muss, dass also alle für die Identifizierung erforderlichen Informationen bei diesem sind; Vielmehr ist ausreichend, dass irgendjemand – mit rechtlich zulässigen Mitteln und vertretbarem Aufwand – diesen Personenbezug herstellen kann.

Wer die Entscheidung trifft, das Tool „Google Analytics“ auf der Website zu implementieren (hier: die Erstbeschwerdegegnerin als Website-Betreiberin), entscheidet über „Zwecke und Mittel“ der mit dem Tool in Verbindung stehenden Datenverarbeitung und ist daher (jedenfalls) als Verantwortlicher iSd Art 4 Z 7 DSGVO anzusehen.

Wer lediglich das Tool zur Verfügung stellt (hier: Zweitbeschwerdegegner) nimmt keinen Einfluss darauf, ob überhaupt und inwiefern von den Toolfunktionen Gebrauch gemacht wird und welche Einstellungen gewählt werden; soweit der Zweitbeschwerdegegner daher Google Analytics (als Dienstleistung) nur bereitstellt, nimmt dieser keinen Einfluss auf „Zwecke und Mittel“ der Datenverarbeitung und ist daher iSd Art 4 Z 8 DSGVO fallbezogen als Auftragsverarbeiter zu qualifizieren.

Der EU-US Angemessenheitsbeschluss („Privacy Shield“) ist ohne Aufrechterhaltung seiner Wirkung ungültig; eine Datenübermittlung in die USA findet daher keine Deckung in Art 45 DSGVO (Angemessenheitsbeschluss).

Standarddatenschutzklauseln („SDK“) sind als Instrument für den Internationalen Datenverkehr dem Grunde nach nicht zu beanstanden, allerdings hat der EuGH darauf hingewiesen, dass SDK ihrer Natur nach ein Vertrag sind und demnach Behörden aus einem Drittstaat nicht binden können.

Der EU-US Angemessenheitsbeschluss („Privacy Shield“) bietet aufgrund des einschlägigen Rechts der USA und der Durchführung von behördlichen Überwachungsprogrammen – ua gestützt auf Section 702 des FISA und die E.O. 12333 in Verbindung mit der PPD-28 – kein angemessenes Schutzniveau für natürliche Personen.

Ein Datenimporteur (wie der Zweitbeschwerdegegner), der 50 U.S. Code § 1881a („FISA 702”) unterliegt, hat für die importierten Daten, die sich in seinem Besitz oder Gewahrsam oder unter seiner Kontrolle befinden, eine direkte Verpflichtung, den Zugriff darauf zu gewähren oder diese herauszugeben. Diese Verpflichtung kann sich ausdrücklich auch auf die kryptografischen Schlüssel erstrecken, ohne die die Daten nicht lesbar sind. Solange daher der Zweitbeschwerdegegner selbst die Möglichkeit hat, auf Daten im Klartext zuzugreifen, sind die technischen Maßnahmen (hier: Verschlüsselung) nicht als effektive geeignete Garantien im Sinne des Art 46 DSGVO anzusehen.

Für den Fall das weder ein Angemessenheitsbeschluss (Art 45 DSGVO) noch geeignete Garantien (Art 46 DSGVO) vorgebracht werden können, ist eine Datenübermittlung an ein Drittland/internationale Organisation etwa dann möglich, wenn nach Art 49 Abs 1 lit a DSGVO die betroffene Person ausdrücklich eingewilligt hat, nachdem sie über die bestehenden Risken ohne Angemessenheitsbeschluss und geeigneter Garantien unterrichtet wurde (was gegenständlich ausdrücklich nicht der Fall war).

Die Vorgaben von Kapitel V DSGVO (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen) sind vom Datenexporteur (hier: Erstbeschwerdegegner), nicht jedoch vom Datenimporteur (hier: Zweitbeschwerdegegner) einzuhalten.

Redaktionelle Leitsätze

Die datenschutzrechtlichen Bestimmungen der §§ 92 ff TKG 2003 (nunmehr: §§ 160 ff TKG 2021) fußen auf den Vorgaben der RL 2002/58/EG (ePrivacy-RL) und gehen als lex speciales der Datenschutzgrundverordnung gemäß Art 95 DSGVO vor. Art 23 DSGVO ist diesfalls nicht einschlägig.

Standortdaten sind Verkehrsdaten iSd § 92 Abs 3 Z 4 TKG 2003 (nunmehr: § 160 Abs 3 Z 9 TKG 2021) und unterliegen damit der Verwendungsbeschränkung der § 92 Abs 1 iVm § 101 Abs 1, § 99 TKG 2003 (nunmehr: § 160 Abs 1 iVm § 168 Abs 1, § 167 TKG 2021). Diese sieht lediglich ein Recht des Betroffenen auf Erhalt eines Einzelgesprächsnachweises vor, weitere Verkehrsdaten sind nicht zu beauskunften. § 99 Abs 5 TKG 2003 (nunmehr: § 167 Abs 5 TKG 2021) schränkt eine Verarbeitung zu Auskunftszwecken lediglich auf die Erfüllung der dort angeführten Bestimmungen der Strafprozessordnung und des Sicherheitspolizeigesetzes ein. Damit ist eine Beauskunftung an den privaten Endgerätenutzer ausgeschlossen.

Eine Verletzung im Recht auf Auskunft zu den Standortdaten einer Rufnummer des Betroffenen besteht auch dann nicht, wenn eine Feststellung, ob es sich bei den verfahrensgegenständlichen Standortdaten um Daten des Auskunftswerbers handelt, nicht möglich war.

Der Einschränkung der Auskunftserteilung zu den Verkehrsdaten (nunmehr: iSv § 160 Abs 3 Z 6 TKG 2021) einer Rufnummer im Rahmen der spezialgesetzlichen Bestimmung des § 99 Abs 5 TKG 2003 (nunmehr: § 167 Abs 5 TKG 2021) ist der Vorzug gegenüber dem in Art 15 DSGVO festgelegten allgemeinen Recht auf Auskunft des betroffenen Endgerätenutzers zu geben.

Redaktionelle Leitsätze

Durch einen Verstoß gegen das Telekommunikationsgesetz (hier: Spam-Verbot) bzw. die ePrivacy-RL kann gleichzeitig eine Verletzung des Rechts auf Geheimhaltung nach § 1 Abs 1 DSG und auch eine Verletzung jener Bestimmungen der DSGVO vorliegen, die dem Verantwortlichen keine zusätzlichen Pflichten iSv Art 95 DSGVO auferlegen.

Die Zusendung elektronischer Post ist gemäß § 107 Abs 3 Z 1 TKG 2003 (nunmehr gleichlautend: § 174 Abs 3 Z 1 TKG 2021) nur dann rechtmäßig ist, wenn der Absender die Kontaktinformation für die Nachricht im Zusammenhang mit einem Verkauf oder einer Dienstleistung an seine Kunden erhalten hat und es sich um eine Gesamtrechtsnachfolge handelt, sodass die Empfängerin als Kundin des verantwortlichen Absender gilt.

Hat der Erwerber eines Unternehmens den E-Mail-Kundenstock bloß im Rahmen eines Asset Deals übernommen, muss er bei den übernommenen Kunden vorab die Einwilligung zur Zusendung von Werbe-Newslettern einholen.

Zwischen einem (vorgelagerten) Zivilverfahren wegen Verletzung von § 1 UWG iVm § 107 TKG 2003 (nunmehr: § 174 TKG 2021) und einer Datenschutzbeschwerde in derselben Direkt-Mailing-Aktion besteht keine Bindungswirkung des (abweisenden) Gerichtsbeschluss für die Datenschutzbeschwerde, wenn weder eine Identität der Verfahrensgegenstände noch der Verfahrensparteien vorliegt.

Redaktionelle Leitsätze

Die Kosten einer erfolgreichen Rechtsvertretung im verwaltungsrechtlichen Beschwerdeverfahren nach Art 77 Abs 1 DSGVO fallen als Rettungsaufwand unter den allgemeinen Schadensbegriff des § 1293 ABGB iVm Art 82 DSGVO, § 29 DSG und sind nach schadenersatzrechtlichen Voraussetzungen zu ersetzen.

Der tragende Grund des Schadenersatzanspruchs (hier: für den Ersatz des Rettungsaufwands in Form der anwaltlichen Vertretungskosten) besteht im festgestellten Verstoß des Beklagten gegen das Datenschutzrecht durch Veröffentlichung der personenbezogenen Daten des Klägers, dessen Beseitigung er verweigerte.

Die Kosten aus einem Vorverfahren, auch wenn dieses ein Verwaltungsverfahren ist, fallen iSe Rettungsaufwands unten den allgemeinen Schadensbegriff des § 1293 ABGB iVm Art 82 DSGVO und § 29 DSG und sind dem erfolgreichen Beschwerdeführer zu ersetzen.

Redaktionelle Leitsätze

Hängt die Entscheidung von der Lösung einer Frage des Unionsrechts ab, so ist die Anrufung des Obersten Gerichtshofs zur Nachprüfung dessen Anwendung auf der Grundlage der Rsp des EuGH nur zulässig, wenn der zweiten Instanz bei Lösung dieser Frage eine gravierende Fehlbeurteilung unterlief.

Die DSGVO und das DSG dienen dem Schutz personenbezogener Daten und nicht (wie im gegenständlichen Fall) der Erhaltung der Nutzungsmöglichkeit einer Softwarelizenz.

Amtliche Leitsätze

Wird bei einer Versteigerung Eigentum an einer Sache erworben, hängt der Umfang des Eigentumsrechts von der Beschreibung der Sache im Versteigerungsedikt ab.

Wird im Versteigerungsedikt auf die Aktivierungssperre eines Mobiltelefons hingewiesen, wird ein solches Gerät mit Aktivierungssperre Gegenstand des Eigentumserwerbs.

Der Erwerber des Mobiltelefons ist durch die Aktivierungssperre in seinem Eigentum nicht beeinträchtigt. Er hat daher keinen eigentumsrechtlichen Anspruch auf Entfernung der Aktivierungssperre.

Redaktionelle Leitsätze

Ein Plattformbetreiber spielt zwar bei der Zugänglichmachung von durch Nutzer eingestellte Inhalte eine zentrale Rolle, dies alleine reicht jedoch nicht aus, eine öffentliche Wiedergabe anzunehmen.

Wenn der Betreiber, obwohl er vom Rechtsinhaber darauf hingewiesen wurde, dass ein geschützter Inhalt über seine Plattform rechtswidrig öffentlich zugänglich gemacht wurde, nicht unverzüglich die erforderlichen Maßnahmen ergreift, um den Zugang zu diesem Inhalt zu verhindern, dann handelt er „in voller Kenntnis der Folgen seines Verhaltens“, nämlich seinen Kunden Zugang zu einem geschützten Werk zu verschaffen.

Der bloße Umstand, dass der Betreiber allgemein Kenntnis von der rechtsverletzenden Verfügbarkeit geschützter Inhalte auf seiner Plattform hat, genügt hingegen nicht, um anzunehmen, dass er mit dem Ziel handelt, den Internetnutzern Zugang zu diesen Inhalten zu verschaffen.

Das informieren von Nutzern durch den Plattformbetreiber sowohl in den AGB als auch bei jedem Upload über das Verbot, rechtsverletzende Inhalte einzustellen, und das Sperren der Accounts bei wiederholen Verstößen sowie das Einrichten von technischen Maßnahmen (Meldebutton, Benachrichtigungsverfahren) lassen den Schluss zu, dass der Plattformbetreiber Urheberrechtsverletzung „glaubwürdig“ und wirksam bekämpft.

Die Verschärfung der Rechtslage in dieser Hinsicht (Stichwort Upload-Filter nach Art 17 der Richtlinie [EU] 2019/790) kann dahinstehen, weil eine Parallelprüfung stattzufinden hat: Demnach ist ein Unterlassungsanspruch nur dann zu bejahen, wenn das beanstandete Verhalten sowohl gegen das alte als auch gegen das neue Recht verstößt; abgesehen davon ist die RL in Österreich (im Entscheidungszeitpunkt) noch nicht umgesetzt.

Amtliche Leitsätze

Unter dem Begriff „Waren“ iSd Handelsvertreter-RL sind alle Erzeugnisse zu verstehen, die einen Geldwert haben und deshalb Gegenstand von Handelsgeschäften sein können.

„Ware“ in diesem Sinne kann auch ein Computerprogramm sein. Dies ist unabhängig von dem Umstand, ob es auf einem physischen Datenträger oder elektronisch per Download geliefert wird.

Unter „Verkauf“ iSd Handelsvertreter-RL ist eine Vereinbarung zu verstehen, nach der eine Person ihre Eigentumsrechte an einem ihr gehörenden körperlichen oder nicht körperlichen Gegenstand gegen Zahlung eines Entgelts an eine andere Person abtritt.

Die elektronische Lieferung eines Computerprogramms durch Herunterladen einer Kopie gegen Bezahlung eines Entgelts kann unter den Begriff „Verkauf von Waren“ iSd Handelsvertreter-RL fallen, wenn die Lieferung durch die Erteilung einer unbefristeten Lizenz zur Nutzung des Programms ergänzt wird. Dabei kommt es zu einer Übertragung des Eigentums an der Kopie.

Redaktionelle Leitsätze

Urheberrechtsschutz für Filmwerke nach § 4 UrhG und Leistungsschutz nach §§ 73 ff UrhG für Laufbilder schließen einander nicht aus, sondern bestehen für Filmwerke parallel nebeneinander.

Unabhängig davon, ob ein Laufbild auch ein gewerbsmäßig hergestelltes Filmwerk iSv § 38 UrhG ist, hat der Laufbildhersteller nach § 73 Abs 2 iVm § 74 Abs 3 UrhG jedenfalls Anspruch darauf, dass Vervielfältigungsstücke seines Laufbilds mit einem entsprechenden Hinweis auf ihn versehen werden, sofern er selbst eine Herstellerbezeichnung verwendet hat.

Redaktionelle Leitsätze

Das Einblenden von Werbenachrichten, die E-Mails ähneln, in die Nutzer-Inbox eines gratis E-Mail-Postfachs ist als „Verwendung ... elektronischer Post für die Zwecke der Direktwerbung“ iSv Art 13 Abs 1 ePrivacy-RL (RL 2002/58/EG) anzusehen. Es ist irrelevant, dass die Empfänger der Nachrichten nach dem Zufallsprinzip bestimmt werden und nicht über eine Belästigung hinaus belastet werden.

Eine derartige elektronische „Inbox-Werbung“ ist lediglich zulässig, wenn der Nutzer vorher ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage iSd datenschutzrechtlichen Vorgaben des Art 2 lit h ePrivacy-RL (bzw des Art 4 Z 11 DSGVO) eingewilligt hat. Ob die dafür erforderliche Informationserteilung ordnungsgemäß erfolgt ist, muss das nationale Gericht prüfen.

Derartige „Inbox-Werbung“ kann dann als „hartnäckiges und unerwünschtes Ansprechen über E-Mail“ iSd Anh I Z 26 UGP-RL (RL 2005/29/EG) qualifiziert werden, wenn die Werbenachrichten zumindest dreimal, dh wiederholt, eingeblendet werden.

Redaktionelle Leitsätze

Die sogenannte „Stalking“-einstweilige Verfügung nach § 382g EO zum Schutz vor Eingriffen in die Privatsphäre enthält in Abs 1 einen demonstrativen Katalog der Mittel, mit denen der Anspruch auf Unterlassung von Eingriffen in die Privatsphäre gesichert werden kann.

§ 382g Abs 1 Z 7 EO nennt als Sicherungsmittel das „Verbot, insbesondere im Wege der Telekommunikation oder unter Verwendung eines Computersystems, Tatsachen oder Bildaufnahmen des höchstpersönlichen Lebensbereichs oder Verletzungen der Ehre oder Privatsphäre der gefährdeten Partei ohne ihre Zustimmung für eine größere Zahl von Menschen wahrnehmbar zu machen oder zu halten“.

§ 382g Abs 1 Z 7 EO soll – in Ergänzung der Z 4 zum Verbot der Weitergabe und Verbreitung von personenbezogenen Daten und Lichtbildern der gefährdeten Partei – einen wirksamen Behelf auch gegen sogenanntes „Cybermobbing“ bieten, also insb die Verbreitung „im Wege der Telekommunikation oder unter Verwendung eines Computersystems“, zum Beispiel über soziale Medien im Internet, aber auch die „herkömmliche“ Verbreitung, etwa über Plakate.

Neben Ehrverletzungen (vgl § 107c Abs 1 Z 1 StGB) werden sonstige Verletzungen der Privatsphäre (§§ 16 und 1328a ABGB) auch dann erfasst, wenn es sich dabei nicht um Tatsachen oder Bildaufnahmen des höchstpersönlichen Lebensbereichs handelt, wie zum Beispiel obszöne Bemerkungen oder Beschimpfungen. Solche Äußerungen können, wenn sie in sozialen Netzwerken gepostet werden, im Rahmen des § 382g Abs 1 Z 7 EO verboten und entfernt werden.

Neben dem Wahrnehmbarmachen (Verbreiten) soll ausdrücklich auch das Wahrnehmbarhalten verboten werden können. Damit soll der Verletzer (Antragsgegner) etwa auch dazu verhalten werden, bestimmte digitale Inhalte insbesondere aus dem Internet zu entfernen (Löschung).

Dem Verletzer (Antragsgegner) kann ein aktives Tun auferlegt werden, nämlich dafür zu sorgen, dass die Verletzungen wieder beseitigt werden. Das kann etwa durch Löschen von Bildern oder Beiträgen auf einer Seite eines sozialen Mediums geschehen, aber auch durch die Entfernung von Plakaten oder Teilen davon.

Unter „im Wege der Telekommunikation“ in § 382g Abs 1 Z 7 EO ist der technische Vorgang des Aussendens, Übermittelns und Empfangens von Nachrichten aller Art in Form von Zeichen, Sprache, Bildern oder Tönen mittels dazu dienender technischer Einrichtungen zu verstehen.

Computersysteme sind sowohl einzelne als auch verbundene Vorrichtungen, die der automationsunterstützten Datenverarbeitung dienen (vgl § 74 Abs 1 Z 8 StGB). Erfasst sind insbesondere E-Mails, SMS und Anrufe, aber auch MMS, instant messages, Postings, die Platzierung von Nachrichten und Bildern auf Internetseiten oder Internetplattformen aller Art und die Verbreitung über soziale Netzwerke.

Der höchstpersönliche Lebensbereich deckt sich mit dem Privat- und Familienleben nach Art 8 EMRK und erfasst etwa das Sexualleben, den sensiblen Bereich des Familienlebens, Krankheiten, Behinderungen und religiöse Ansichten.

Eine Verletzung an der Ehre ist jede Verminderung des Ansehens und der Achtung einer Person in den Augen der für sie maßgeblichen Umwelt.

Der Begriff der Privatsphäre betrifft den persönlichen Lebensbereich eines Menschen, der üblicherweise nicht einer breiten Öffentlichkeit zugänglich gemacht wird.

Unter einer größeren Zahl von Menschen sind etwa zehn Menschen zu verstehen.

Voraussetzung für die Erlassung einer einstweiligen Verfügung nach § 382g EO ist nur die Bescheinigung des Anspruchs auf Unterlassung weiterer „Stalking“-Handlungen oder anderer unzulässiger Eingriffe in die Privatsphäre.

Redaktionelle Leitsätze