Heft 4, November 2018, Band 6

Der Begriff der „öffentlichen Stelle“ findet sich zwar an zahlreichen und zentralen Stellen der Datenschutzgrundverordnung (DS-GVO), jedoch nicht im Definitionenkatalog des Art 4 leg cit DS-GVO. Ihre Bedeutung ist durchaus entscheidend, denn nach Art 37 Abs 1 lit a DS-GVO gilt für öffentliche Stellen eine obligatorische Pflicht zur Bestellung von Datenschutzbeauftragten. Die Qualifizierung von Gemeindeverbänden als öffentliche Stelle spielt auch für die Verhängung von Geldbußen eine wesentliche Rolle. Der österreichische Gesetzgeber hat nämlich in § 30 Abs 5 DSG 2018 von der Öffnungsklausel des Art 83 Abs 7 DS-GVO Gebrauch gemacht und ua die öffentliche Stelle dahingehend privilegiert, dass gegen sie, für Verstöße gegen die Bestimmungen der DS-GVO, keine Geldbußen verhängt werden können. Der vorliegende Beitrag versucht eine praxistaugliche Abgrenzung unter gleichzeitiger Beachtung der dogmatischen Vorgaben darzustellen.

Im Zusammenhang mit einer Auskunftsbeschwerde nach § 26 DSG 2000, die gemäß § 69 Abs 4 DSG 2018 als Beschwerde nach § 24 leg cit weitergeführt wurde, hatte die Österreichische Datenschutzbehörde (DSB) erstmals darüber zu entscheiden, ob und gegebenenfalls wie der Verantwortliche nach Art 15 Abs 3 und 4 DS-GVO eine „Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind,“ zur Verfügung zu stellen hat. Ein Bankkunde begehrte Auskunft über seine Daten, die er selbst nicht mehr über das Elektronische Banksystem (ELBA) einsehen konnte und deswegen die Mitwirkung des Bankinstituts einforderte. Der folgende Kurzbeitrag erläutert die unbekämpft gebliebene Entscheidung und gibt Praxistipps.

Das Fehlen von Angaben zum/zur Verantwortlichen, zur Erhebung und Speicherung von personenbezogener Daten, sowie Art und Zweck der Verwendung bzw einer Erklärung zur Weitergabe von Daten über Cookies, Analysetools, widerspricht der Informationsverpflichtung nach der DSGVO; gleiches gilt für das Fehlen der Belehrung über Betroffenenrechte insb Widerspruchsrecht, Datensicherheit und ein Hinweis zur Möglichkeit sich bei einer Aufsichtsbehörde zu beschweren.

Die Verletzung der Informationspflicht nach der DS-GVO hat UWG-Relevanz.

Redaktionelle Leitsätze

Das datenschutzrechtliche Informationsfreiheitsprivileg des § 9 DSG 2018 (idF BGBl I 24/2018) knüpft an die Öffnungsklausel des Art 85 DS-GVO an und erweitert iSv Art 85 Abs 2 DS-GVO den Geltungsbereich des Privilegs auf jede Verarbeitung personenbezogener Daten, die zu journalistischen bzw wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt.

§ 9 Abs 1 DSG 2018 (idF BGBl I 24/2018) erfasst nicht nur den Betreiber des Online-Forums selbst, sondern auch den Diskurs zwischen den Benutzern in einem Online-Forum, also die Postings der Benutzer untereinander. Denn journalistische Tätigkeiten sind nicht nur Medienunternehmen vorbehalten, sondern erfassen nach unionsrechtlichem Verständnis auch den „Bürgerjournalismus“ (wie zB Internet-Diskussionsforen), der den Zweck der einseitigen oder wechselseitigen Kommunikation von Ideen, Meinungen und Informationen verfolgt.

Das datenschutzrechtliche Informationsfreiheitsprivileg schließt nach Art 85 Abs 2 DS-GVO die in Art 77 DSGVO gewährte Beschwerde an die Datenschutzbehörde ebenso aus wie die Verhängung einer Geldbuße nach Art 83 DS-GVO, da die Anordnungs- und Sanktionsbefugnisse der Datenschutzbehörde (Kapitel VI, insbesondere Art 58 Abs 2 lit c und i DS-GVO) für journalistische Datenverarbeitungen nicht gelten.

Das Privileg nach § 9 Abs 1 DSG 2018 schließt auch die Anwendung der Bestimmungen von Kapitel III DSGVO („Betroffenenrechte“) aus. Das von einem Nutzer des Online-Forums geltend gemachte Recht auf Löschung gegenüber dem Betreiber kommt gemäß Art 17 DS-GVO gar nicht in Betracht.

Redaktionelle Leitsätze

Der Grundsatz der Speicherbegrenzung nach Art 5 Abs 1 lit e DS-GVO erfordert es, Stammdaten iSv § 92 Abs 3 Z 3 TKG 2003 spätestens nach Beendigung der vertraglichen Beziehung mit dem Teilnehmer zu löschen. Ausnahmsweise darf der Betreiber die Stammdaten länger speichern, wenn eine konkrete gesetzliche Verpflichtung zur Aufbewahrung von Daten besteht.

Eine gesetzliche Verpflichtung, Stammdaten aufzubewahren, kann aus § 207 Abs 2 BAO nicht abgeleitet werden. Dabei handelt es sich lediglich um eine absolute Verjährungsfrist für die Hinterziehung von Abgaben.

§ 132 Abs 1 BAO sieht ausdrücklich eine Aufbewahrungspflicht von Büchern und Aufzeichnungen für sieben Jahre vor und entspricht damit den datenschutzrechtlichen Vorgaben von Art 5 Abs 1 lit e DS-GVO. TK-Betreiber sind daher befugt, die Stammdaten nach dieser Bestimmung für die Dauer von sieben Jahren aufzubewahren.

Verkehrsdaten sind gemäß § 99 Abs 2 TKG 2003 von TK-Betreibern nach längstens drei Monaten bzw entsprechend der im TKG 2003 normierten Einspruchsfrist zu löschen. Eine allfällige Verlängerung durch Manipulationszeiten (zB Postlauf oder interne Prozesse) vermag diese gesetzliche Speicherbegrenzung nicht zu verändern.

Die Einhaltung einer pauschalen sechsmonatigen Speicherdauer für Verkehrsdaten durch einen TK-Betreiber stellt eine Verletzung des Grundrechtes auf Datenschutz nach § 1 Abs 1 DSG dar, weil damit die gesetzlichen Vorgaben des Art 5 Abs 1 lit e DS-GVO nicht eingehalten werden.

Die über den Vertragszeitraum hinausgehende Speicherung von personenbezogenen Daten der Teilnehmer, die keine Stamm- oder Verkehrsdaten sind, verletzt ebenfalls die Speicherbegrenzung. Derartige Kundendaten (zB Ausweisnummer oder SIM-Tauschdatum) sind nach Beendigung des Vertragsverhältnisses unverzüglich zu löschen.

Redaktionelle Leitsätze

Für die Verarbeitung von personenbezogenen Daten der Facebook-Mitglieder aber auch bloßer Besucher zeichnet nach Art 2 lit d RL 95/46/EG primär der Betreiber des Sozialen Netzwerks verantwortlich, im Konkreten Facebook Ireland Ltd. für europäische Nutzerkonten.

Zu den „für die Verarbeitung Verantwortlichen“ iSv Art 2 lit d RL 95/46/EG gehören aber auch die jeweiligen Betreiber ihres jeweiligen Facebook-Kontos (hier: die Bildungseinrichtung Wirtschaftsakademie Schleswig-Holstein GmbH für ihren Account unter https://www.facebook.com/wirtschaftsakademie).

Für die Zulässigkeit des von Facebook Inc. und Facebook Ireland Ltd standardmäßig angebotenen Tracking-Service „Facebook Insight“ ist der Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit zur Verarbeitung von Besucherdaten erforderlich, die den Anforderungen des Art 26 DSGVO entsprechen muss.

Die Zuständigkeit der nationalen Datenschutzbehörde (hier: Unabhängiges Landeszentrum für Schleswig Holstein [ULD]) erstreckt sich auch auf jene verbundenen Unternehmen eines Konzerns, die über eine Niederlassung im Mitgliedstaat der Aufsichtsbehörde verfügen, mag dieses Tochterunternehmen auch allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig sein.

Redaktionelle Leitsätze

Die Verkündigungstätigkeit einer Religionsgemeinschaft (hier: der Zeugen Jehovas und ihrer Mitglieder) stellt keine unter die Household Exemption des Art 3 Abs 2 zweite Alternative RL 95/46/EG (Art 2 Abs 2 lit c DS-GVO) fallende Datenverarbeitung dar, wenn die Mitglieder zumindest einen Teil der erhobenen Daten einem potenziell unbegrenzten Personenkreis durch Weitergabe an die Gemeinschaft zugänglich machen.

Die volle Anwendbarkeit des Datenschutzregimes wird weder durch den Grundsatz der organisatorischen Autonomie der Religionsgemeinschaften nach Art 17 AEUV noch durch die Freiheit der Religionsausübung nach Art 10 Abs 1 GRC infrage gestellt.

Eine Sammlung personenbezogener Daten, die im Rahmen einer religiösen Verkündigungstätigkeit von Tür zu Tür erhoben wurden und zu denen Namen und Adressen sowie weitere Informationen über die aufgesuchten Personen gehören, stellt eine Datei iSd Art 2 lit c RL 95/46/EG dar, sofern diese Daten nach bestimmten Kriterien so strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind.

Um unter den Begriff der Datei iSv Art 2 lit c RL 95/46/EG (nunmehr: „Dateisystem“ iSv Art 4 Z 6 DS-GVO) zu fallen, muss eine solche Sammlung nicht aus spezifischen Kartotheken oder Verzeichnissen oder anderen der Recherche dienenden Ordnungssystemen bestehen.

Eine Religionsgemeinschaft ist mit ihren als Verkünder tätigen Mitgliedern gemeinsam für die Verarbeitung Verantwortliche iSv Art 2 lit d RL 95/46/EG (Art 26 DS-GVO), wenn diese in einer religiösen Verkündigungstätigkeit besteht, bei der die Mitglieder von Tür zu Tür gehen, Bewohner ansprechen, sich Notizen machen, und diese „Tür-zu-Tür-Evangelisierung“ von der Gemeinschaft organisiert und koordiniert wird. Es genügt, dass die Mitglieder zur Teilnahme ermuntert werden, ohne dass es hierfür erforderlich wäre, dass die Gemeinschaft Zugriff auf diese Daten hat oder ihren Mitgliedern nachweislich schriftliche Anleitungen oder Anweisungen zu diesen Datenverarbeitungen gegeben hat.

Redaktionelle Leitsätze

Der Bankkunde verletzt dadurch grob fahrlässig seine Sorgfaltspflichten im Umgang mit seinen E-Banking-Daten, dass er seinen TAC-Code telefonisch an einen unbekannten Dritten weitergibt, der sich bloß als Bankmitarbeiter ausgibt.

Dass die telefonische Weitergabe eines TAC-Codes an eine unbekannte Person einen durch Betrug hervorgerufenen Schadenseintritt nicht bloß möglich, sondern geradezu wahrscheinlich macht, muss jeder mit dem Electronic Banking vertrauten Person alleine schon aus der medialen Berichterstattung und den zahlreichen, insbesondere im Bankenbereich üblichen Warnungen bewusst sein.

Redaktionelle Leitsätze

Gemäß Art 20 Abs 2 der UniversaldienstRL müssen die Mitgliedstaaten sicherstellen, dass bei der Bekanntgabe von Änderungen der Vertragsbedingungen, die von den Unternehmen, die elektronische Kommunikationsdienste bereitstellen, den Teilnehmern das Recht einzuräumen ist den Vertrag ohne Zahlung von Vertragsstrafen zu widerrufen.

Die Mitgliedstaaten müssen weiters dafür sorgen, dass den Teilnehmern diese Änderungen mit ausreichender Frist, und zwar mindestens einen Monat zuvor, angezeigt werden und dass sie über ihr Recht unterrichtet werden, den Vertrag ohne Zahlung von Vertragsstrafen zu widerrufen, wenn sie die neuen Bedingungen nicht annehmen.

Art 20 Abs 2 bezieht sich allerdings nur auf ein einseitiges Änderungsrecht der Telekommunikationsanbieter zur Änderung von Vertragsbestimmungen, nicht aber auf Änderungen die vertraglich festgelegt sind.

Eine Änderung der Entgelte für die Bereitstellung elektronischer Netz- oder Kommunikationsdienste gemäß einer Entgeltanpassungsklausel, die in den AGB eines Unternehmens, das diese Dienste anbietet, enthalten ist, ist keine Änderung der Vertragsbedingungen im Sinn des Art 20 Abs 2 UniversaldienstRL, die den Teilnehmer berechtigt, seinen Vertrag ohne Zahlung von Vertragsstrafen zu widerrufen.

Bei der Anwendung der Regelung nach Art 20 Abs 2 UniversaldienstRL ist zwischen dem gesetzlichen Änderungsrecht und vertraglichen (vereinbarten) Änderungsrechten zu unterscheiden.

Beim gesetzlichen Änderungsrecht kommt es für die Frage, ob eine Änderung von AGB und Entgeltbestimmungen zulässig ist und wirksam zustande kommt (Änderungsmodus), nur auf die formellen Vorgaben nach Art 20 Abs 2 UniversaldienstRL (= § 25 Abs 2 und 3 TKG) an. Eine vertragliche Änderungsregel ist dafür nicht vorausgesetzt. Für den Änderungsmodus kommt es insbesondere nicht auf die Vorgaben des § 6 Abs 1 Z 5 KSchG an, zumal diese Regelung nur für vertragliche Entgeltänderungen gilt.

Für das gesetzliche Änderungsrecht ist auch kein Änderungsvorbehalt in den Allgemeinen Geschäftsbedingungen erforderlich.

Amtliche Leitsätze

Der Begriff „öffentliche Wiedergabe“ im Sinne von Art 3 Abs 1 RL 2001/29/EG ist dahin auszulegen, dass er die Einstellung einer Fotografie auf eine Website erfasst, wenn die Fotografie zuvor ohne beschränkende Maßnahme, die ihr Herunterladen verhindert, und mit Zustimmung des Urheberrechtsinhabers auf einer anderen Website veröffentlicht worden ist.

Amtlicher Leitsatz

Der Begriff „öffentliche Wiedergabe“ iSv Art 3 Abs 1 RL 2001/29/EG (InfoSoc-RL) vereint zwei kumulative Tatbestandsmerkmale, nämlich eine „Handlung der Wiedergabe“ eines Werks und dessen „öffentliche“ Wiedergabe. Es ist als „Handlung der Wiedergabe“ einzustufen, wenn auf eine Website eine zuvor auf einer anderen Website veröffentlichte Fotografie eingestellt wird. Denn durch ein solches Einstellen wird den Besuchern der Website, auf der die Einstellung erfolgt ist, der Zugang zu der betreffenden Fotografie auf dieser Website ermöglicht.

Art 3 Abs 3 InfoSoc-RL sieht ausdrücklich vor, dass sich das Recht der öffentlichen Wiedergabe nach Art 3 Abs 1 leg cit nicht mit den in dieser Vorschrift genannten Handlungen der öffentlichen Wiedergabe oder der Zugänglichmachung für die Öffentlichkeit erschöpft.

Das Einstellen eines urheberrechtlich geschützten Werks auf eine andere Website als die, auf der die ursprüngliche Wiedergabe mit der Zustimmung des Urheberrechtsinhabers erfolgt ist, kann als Zugänglichmachung eines solchen Werks für ein neues Publikum einzustufen sein, wenn das Publikum, an das der Urheberrechtsinhaber gedacht hatte, als er der Wiedergabe seines Werks auf der Website zugestimmt hatte, auf der es ursprünglich veröffentlicht wurde ein anderes ist (hier: ursprünglich Reisemagazin-Nutzer und dann Schüler).

Redaktionelle Leitsätze

Die Vermarktung von SIM-Karten, die kostenpflichtige, vorinstallierte und aktivierte Telekommunikationsdienste enthalten, stellte eine aggressive unlautere Geschäftspraxis iSv Z 29 Anh I RL 2005/29/EG (UGP-RL) dar, wenn der Verbraucher zuvor nicht entsprechend aufgeklärt wurde.

Solch ein Verhalten stellt insbesondere eine unlautere Lieferung unbestellter Waren oder Dienstleistungen iSv Z 29 Anh I UGP-RL dar, das von einer anderen nationalen Behörde sanktioniert werden kann als der, die im Unionsrecht auf dem Gebiet der elektronischen Kommunikation vorgesehen ist.

Redaktionelle Leitsätze

Die Berechtigung eines Veröffentlichungsbegehrens hängt davon ab, ob ein schutzwürdiges Interesse des Klägers an der Aufklärung des Publikums im begehrten Ausmaß besteht.

Die Urteilsveröffentlichung nach § 85 UrhG hat nicht den Charakter einer Strafe; es besteht daher an der bloßen Information der Öffentlichkeit über die Widerrechtlichkeit einer Bildnisveröffentlichung kein berechtigtes Interesse.

Ein berechtigtes Interesse im Sinn des § 85 UrhG liegt vor, wenn die Veröffentlichung ein geeignetes Mittel zur Beseitigung jener Nachteile ist, die eine Verletzung der im Urheberrechtsgesetz geregelten Ausschließlichkeits- oder Persönlichkeitsrechte mit sich gebracht hat oder doch noch mit sich bringen könnte; die Urteilsveröffentlichung muss daher geeignet sein, falsche Eindrücke zu beseitigen, die durch die Bildnisveröffentlichung entstanden sind.

An der bloßen Information der Öffentlichkeit über die Widerrechtlichkeit der Veröffentlichung eines Bildnisses besteht kein berechtigtes Interesse. Ein Veröffentlichungsbegehren ist aber dann gerechtfertigt, wenn sich aus der zu veröffentlichenden Unterlassungsverpflichtung (zusätzlich zur widerrechtlichen Veröffentlichung eines Lichtbilds) der konkrete Zusammenhang zu einer Verletzung von Urheber- oder Leistungsschutzrechten oder aber zu einer persönlichkeitsverletzenden Aussage in einem Bildbegleittext ergibt und durch die Veröffentlichung auch über diesen Verletzungszusammenhang aufgeklärt wird.

Amtliche Leitsätze

Wer Nacktfotos von anderen gegen deren Willen verbreitet, handelt rechtswidrig und wird schadenersatzpflichtig. Ein allfälliges Mitverschulden des Sexting-Opfers ist bei Ermittlung des ideellen Schadens zu berücksichtigen.

Eine Geldentschädigung in Höhe von € 500,00 ist dann ausreichend und angemessen, wenn Nacktbilder über WhatsApp weiter verbreitet werden, die Bilder aber ursprünglich von der abgebildeten Frau selbst gefertigt und weitergegeben worden sind.

Redaktionelle Leitsätze