Entscheidende Behörde

Datenschutzbehörde

Entscheidungsdatum

21.02.2019

Geschäftszahl

DSB-D123.311/0003-DSB/2019

Anfechtung beim BVwG/VwGH/VfGH

Dieser Bescheid ist rechtskräftig.

Text

GZ: DSB-D123.311/0003-DSB/2019 vom 21.2.2019

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde des Mag. Karl A*** (Beschwerdeführer) vom 10. August 2018 gegen das Bundeskanzleramt (Beschwerdegegner) wegen Verletzung im Recht auf Geheimhaltung sowie im Recht auf Information wie folgt:

1.    Der Beschwerde wird teilweise Folge gegeben und es wird festgestellt, dass der Beschwerdegegner den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt hat, indem er seine personenbezogenen Daten im Rahmen des Akkreditierungssystems zur Konferenz „Wachstum im Wandel“ unrechtmäßig verarbeitet hat.

2.    Die Beschwerde wird hinsichtlich einer Verletzung im Recht auf Information abgewiesen.

Rechtsgrundlagen: Paragraphen eins, Absatz eins, und 2, 24 Absatz eins, und 5 des Datenschutzgesetzes (DSG), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF; Artikel 6, Absatz eins, Litera a, und c, Artikel 7,, Artikel 12, Absatz eins, und 2, Artikel 13,, Artikel 57, Absatz eins, Litera f und Artikel 77, Absatz eins, der Datenschutz-Grundverordnung – DSGVO, ABl. Nr. L 119 vom 04.05.2016, S. 1.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

1. Mit Eingabe vom 10. August 2018 brachte der Beschwerdeführer im Wesentlichen vor, das Bundesministerium für Nachhaltigkeit und Tourismus veranstalte im November 2018 eine Konferenz zu einem näher bezeichneten Thema. Um diese Konferenz besuchen zu können, müsse jedoch ein Registrierungsprozess durchlaufen werden. Dieser umfassende Prozess verletze jedoch die DSGVO in mehrfacher Hinsicht: Die Erteilung von Informationen über die Datenverarbeitung durch den Beschwerdegegner erfolge zu spät, weil die Informationen erst am Ende des Registrierungsprozesses erteilt würden. Zu diesem Zeitpunkt müsse der Nutzer bereits zwei Mal personenbezogene Daten angeben, weshalb Artikel 13, DSGVO verletzt sei. Auch sei ein Verstoß gegen Artikel 13, Absatz 2, DSGVO darin zu erkennen, dass die betroffenen Personen nicht darüber informiert würden, welche Folgen die Nichtbereitstellung der abgefragten Daten bzw. der Widerruf der Einwilligung habe. Darüber hinaus sei es nicht möglich an der Konferenz teilzunehmen, ohne in die Datenverarbeitung einzuwilligen, weil keine andere Form der Einwilligung vorgesehen sei. Der Beschwerdegegner verstoße daher gegen Artikel 7, Absatz eins, sowie Artikel 6, DSGVO. Darüber hinaus seien die vom Beschwerdegegner bereitgestellten Informationen über die Datenübermittlungen intransparent und erfolgten offenbar ohne erkennbare Rechtsgrundlage (Artikel 6,, 12 und 13 DSGVO).

2. Mit Schreiben vom 8. Oktober 2018 teilte der Beschwerdeführer mit, dass er sich mit der Vorgehensweise der Datenschutzbehörde einverstanden erkläre, soweit die mangelhafte Information gerügt werde, Artikel 13, DSGVO geltend zu machen und die mangelhafte Rechtmäßigkeit der Verarbeitung (Artikel 6, und 7 DSGVO) als behauptete Rechtsverletzung im Recht auf Geheimhaltung (Paragraph eins, DSG) zu behandeln.

3. Mit Stellungnahme vom 9. November 2018 führte der Beschwerdegegner zum Vorwurf der mangelnden Information im Wesentlichen aus, dass unverzüglich veranlasst worden sei, Informationen zum Datenschutz auf der ersten Seite der Eingabemaske für die Erstellung des Registrierungsaccounts im Zuge des Akkreditierungsprozesses einzufügen. Damit sei sichergestellt, dass bei Erstanmeldung in diesem System noch vor Eingabe der Daten, die Information über Datenverarbeitungsvorgänge erfolge. Aus dem nun aktuellen Text zur Information betreffend Datenschutz gehe nun klar hervor, dass Zweck der Datenverarbeitung die Registrierung im Akkreditierungssystem und dies Voraussetzung für eine Teilnahme an einer Veranstaltung sei. Damit sei dem Artikel 13, Absatz 2, Litera e, DSGVO entsprochen.

Zum Vorwurf, dass personenbezogene Daten nicht aufgrund einer freiwilligen Einwilligung verarbeitet würden, sei auszuführen, dass die Verarbeitung der verlangten personenbezogenen Daten aus organisatorischen, insbesondere aber auch aus sicherheitspolizeilichen Gründen zwingend erforderlich sei. Alternative Datenerhebungen wie z.B. per E-Mail würden den selben Datenschutzauflagen unterliegen und ließen sich angesichts der Vielzahl an Teilnehmern nicht administrieren.

Die zur Verfügung gestellten Informationen über die Datenübermittlung seien nicht intransparent und würden personenbezogene Daten auch nicht ohne erkennbare Rechtsgrundlage übermittelt, da das Akkreditierungssystem Bestandteil des Sicherheitskonzepts jeder Veranstaltung sei und daher in enger Abstimmung mit dem BVT/BMI entwickelt worden sei. Die Rechtsgrundlage für die Weitergabe der Daten an die Sicherheitsbehörden für die Sicherheitsüberprüfung von Veranstaltungsteilnehmern und Konferenzdienstleistern sei in Paragraph 55 a, Absatz eins, Ziffer 2, SPG geregelt. Eine derartige Sicherheitsüberprüfung sei bei hochrangingen politischen Veranstaltungen vorgesehen und fände aufgrund der Vorgaben der Sicherheitsbehörden statt.

4. Mit Schreiben vom 27. Dezember 2018 führte der Beschwerdegegner ergänzend aus, welche personenbezogenen Daten im Zuge des Akkreditierungsprozesses verarbeitet werden müssten. Die verfahrensgegenständliche Konferenz sei nicht als Veranstaltung auf politischer Ebene eingestuft worden, weshalb auch keine Sicherheitsüberprüfung der Teilnehmer durchgeführt worden sei.

5. Mit Stellungnahme vom 15. Februar 2019 führte der Beschwerdeführer im Rahmen des Parteiengehörs aus, der Beschwerdegegner habe es unterlassen, transparent zu machen, welche Datenverarbeitungen mit dem Akkreditierungsprozess verbunden gewesen seien. Nicht nur während des Anmeldeprozesses, sondern auch jetzt sei der Beschwerdegegner nicht bereit, die durchgeführten Datenverarbeitungen offen zu legen. Insbesondere bleibe unbeantwortet, ob personenbezogene Daten an Dritte, insbesondere an Sicherheitsbehörden oder an „conference organisers“ übermittelt worden seien. Er verabsäume es außerdem darzulegen, ob personenbezogene Daten des Beschwerdeführers an das Bundesministerium für Inneres übermittelt worden sind und enthalten die Information des Beschwerdegegners auch keine Angaben über die Dauer der Verarbeitung gemäß Artikel 13, Absatz 2, Litera a, DSGVO. Es sei daher nach wie vor unklar, ob die im Rahmen der Akkreditierung verarbeiteten Daten vom Beschwerdegegner oder einem Empfänger dieser Daten weiterhin verarbeitet würden. Darüber hinaus mangle es der Datenverarbeitung auch an einer tauglichen Rechtsgrundlage. Einerseits vertrete der Beschwerdegegner die Ansicht, dass eine wirksame Einwilligung des Beschwerdeführers bestanden habe, andererseits verweise er auf die Bestimmungen des Paragraph 55 a, SPG. Die verfahrensgegenständliche Veranstaltung sei jedoch keine „Veranstaltung auf politischer Ebene“ gewesen. Selbst wenn jedoch Sicherheitsvorkehrungen zugunsten einer oder mehrerer der in Paragraph 55 a, Absatz eins, Ziffer 2, SPG genannten Personen im Rahmen der Veranstaltung notwendig gewesen wären, so sei dieser Eingriff in das Grundrecht auf Datenschutz unverhältnismäßig gewesen. Der Verweis des Beschwerdegegners auf einen Ministerratsbeschluss sei darüber hinaus unerheblich, da dieser keine taugliche Rechtsgrundlage darstelle. Darüber hinaus mangle es an einer wirksamen Einwilligung, weil diese zwingende Voraussetzung für die Teilnahme an der verfahrensgegenständlichen Konferenz gewesen wäre und sei eine solche auch mangels Transparenz der Datenschutzinformation nicht wirksam.

B. Beschwerdegegenstand

Beschwerdegegenstand ist die Frage, ob der Beschwerdegegner den Beschwerdeführer dadurch in seinem Recht gemäß Artikel 13, DSGVO verletzt hat, indem er seiner Informationspflicht bei Erhebung der personenbezogenen Daten bei dem Beschwerdeführer nicht ausreichend nachgekommen ist und diesen Mangel auch während des Verfahrens vor der Datenschutzbehörde nicht beseitigt hat.

Darüber hinaus ist beschwerdegegenständlich die Frage zu klären, ob der Beschwerdegegner bei Verarbeitung der personenbezogenen Daten des Beschwerdeführers diesen in seinem Recht gemäß Paragraph eins, DSG verletzt hat, da keine Einwilligung des Beschwerdeführers zur Datenverarbeitung sowie auch keine Rechtsgrundlage zu dieser besteht.

C. Sachverhaltsfeststellungen

1. Der Beschwerdeführer meldete sich für die Teilnahme an einer vom Bundesministerium für Nachhaltigkeit und Tourismus im Rahmen der Initiative „Wachstum und Wandel“ veranstalteten Konferenz für die Veranstaltung „Europe’s Transformation: Where People Matter“ auf einer näher bezeichneten Webseite an. Im Zuge des Registrierungsprozesses gab er auf dieser Webseite seinen Vor- und Nachnamen sowie seine E-Mail-Adresse an, um einen „Registrierungslink“ zu erhalten.

2. Daraufhin wurde ihm an die angegebene E-Mail-Adresse eine in englischer Sprache verfasste Nachricht mit – auszugsweise – folgendem Inhalt übermittelt:

„After filling in your name and email address you will receive an email with a registration link. Please click on that link to create an account and use your personal e-mail address and a password of your choice. After confirming your e-mail address, you will be able to enter your information (or that of a third person) into the accreditation system. You will be asked to provide a photo and a scan of your passport (…) Please note that the venue is only accessible to accredited individuals. (…) Since this event is part of the Austrian Presidency of the Council of the European Union Security checks are very high. All personal information provided during the registration will be processed in accordance with the Austrian Data Protection Act and General Data Protection Regulation.“

(Übersetzung durch die Datenschutzbehörde:

„Nach Eingabe Ihres Namens und Ihrer E-Mail-Adresse erhalten Sie eine E-Mail mit einem Registrierungslink. Bitte klicken Sie auf diesen Link, um ein Konto zu erstellen und verwenden Sie Ihre persönliche E-Mail-Adresse und ein beliebiges Passwort. Nach der Bestätigung Ihrer E-Mail-Adresse können Sie Ihre Daten (oder die einer dritten Person) in das Akkreditierungssystem eingeben. Sie werden gebeten, ein Foto und einen Scan Ihres Reisepasses vorzulegen (...). Bitte beachten Sie, dass der Veranstaltungsort nur für akkreditierte Personen zugänglich ist. (...) Da diese Veranstaltung im Rahmen der österreichischen Präsidentschaft des Rates der Europäischen Union durchgeführt wird, sind die Sicherheitskontrollen sehr hoch. Alle bei der Registrierung angegebenen personenbezogenen Daten werden in Übereinstimmung mit dem österreichischen Datenschutzgesetz und der Datenschutz-Grundverordnung verarbeitet. (…)“)

3. Über den Registrierungslink ist ein Konto zu erstellen, indem Vor- und Nachname sowie eine E-Mail-Adresse verpflichtend anzugeben sind. Nach Erstellung des „Accounts“ sind nochmals der Vor- und Nachname, das Geschlecht, die Nationalität, die E-Mail-Adresse sowie eine Berufsbezeichnung (Delegation/Organisation) zu benennen. Darüber hinaus ist unter „ID card“ ein Lichtbild zur Identifizierung (bspw. Pass, Führerschein) sowie unter „Photo“ ein Lichtbild vom Gesicht des Registrierenden hochzuladen.

4. Den Abschluss des Registrierungsprozesses bildet das Klicken auf ein Kästchen „with submitting these changes römisch eins agree that römisch eins have read and accepted the privacy policy“ und dem Klicken des Buttons „Save“.

Die „privacy policy“ (Datenschutzerklärung) enthält in englischer Sprache u.a. folgende Information:

„- My data will be used so that römisch eins may be accredited to attend events organised by the Austrian Precidency of the Coucil of the EU in the second half of 2018. The „controller“ as defined in the DSG 2000 and the GDPR is entiteled to use my data for this purpose. The „controller“ is also entitled to pass my data to the competent austrian security authorities for scrutiny.

- römisch eins agree to my data being forwarded to the federal ministries responsible for individual events, as well as to conference organisers hired by the ministries to organise the events. The federal ministries and conference organisers are obliged to treat my data with the same dilligence as the „controller“ defined in the DSG 2000 and the GDPR.

- By providing and transmitting my data, römisch eins give my consent in accordance with Paragraph 8, para. 1 subpara 2 DSG 2000 and in accordance with Article 6 para 1 (a) GDPR and Paragraph eins, para 2 of the Data Protection Amendment Act 2018, that my data may be used and transferred as described above. römisch eins am entitled to withdraw my consent at any time and without giving a reason. To do so, römisch eins need to inform the Federal Chancellery of Austria of my intention to withdraw my consent.

- römisch eins acknowledge that my personal data that are processed for the purpose described above will be deleted immediately following the end of the Austrian Presidency of the Council of the EU. (…)“

(Übersetzung durch die Datenschutzbehörde:

„- Meine Daten werden verwendet, um mich für Veranstaltungen der österreichischen EU-Ratspräsidentschaft in der zweiten Jahreshälfte 2018 zu akkreditieren. Der "Verantwortliche" im Sinne des DSG 2000 und des DSGVO ist berechtigt, meine Daten für diesen Zweck zu verwenden. Der "Verantwortliche" ist auch berechtigt, meine Daten zur Kontrolle an die zuständigen österreichischen Sicherheitsbehörden weiterzugeben.

- Ich bin damit einverstanden, dass meine Daten an die für einzelne Veranstaltungen zuständigen Bundesministerien sowie an die von den Ministerien mit der Organisation der Veranstaltungen beauftragten Konferenzveranstalter weitergegeben werden. Die Bundesministerien und Konferenzveranstalter sind verpflichtet, meine Daten mit der gleichen Sorgfalt zu behandeln wie der im DSG 2000 und DSGVO definierte "Verantwortliche".

- Mit der Bereitstellung und Übermittlung meiner Daten erteile ich meine Einwilligung gemäß Paragraph 8, Absatz eins, Ziffer 2, DSG 2000 und gemäß Paragraph 6, Absatz eins, Litera a, DSGVO und Paragraph eins, Absatz 2, DSG 2018, dass meine Daten wie oben beschrieben verwendet und weitergegeben werden dürfen. Ich bin berechtigt, meine Einwilligung jederzeit und ohne Angabe von Gründen zu widerrufen. Dazu muss ich das Österreichische Bundeskanzleramt über meine Absicht informieren, meine Zustimmung zu widerrufen.

- Ich erkenne an, dass meine personenbezogenen Daten, die für den oben beschriebenen Zweck verarbeitet werden, unmittelbar nach Ablauf der österreichischen EU-Ratspräsidentschaft gelöscht werden.“)

Darüber hinaus wird in der Datenschutzerklärung noch auf die Rechte betroffener Personen hingewiesen sowie auf das Beschwerderecht bei der Datenschutzbehörde. Die Anschrift der Verantwortlichen sowie des Datenschutzbeauftragten sind ebenfalls angeführt.

5. Die Erteilung der Information über die Datenverarbeitung erfolgte erst am Ende des Registrierungsprozesses, nachdem der Beschwerdeführer zu diesem Zeitpunkt bereits zwei Mal personenbezogenen Daten angeben musste.

6. Der Beschwerdeführer hat sich erfolgreich für die verfahrensgegenständliche Konferenz akkreditiert und ein Bestätigungsmail erhalten.

7. Ohne die Bereitstellung der Daten ist keine Registrierung im Akkreditierungssystem möglich. Eine andere Form der „Akkreditierung“ zur verfahrensgegenständlichen Konferenz war nicht möglich.

8. Die im Akkreditierungssystem zwingend abzufragenden Daten bei Personen, die einer Sicherheitsüberprüfung zu unterziehen sind, umfassen die Daten der Kategorie: Vor- und Nachnamen, Geburtsdatum, Geschlecht, Nationalität, Delegations- bzw. Organisationsnamen, E-Mail-Adresse, Foto für den Badge sowie ein gültiges Ausweisdokument. Bei Personen, die keiner Sicherheitsüberprüfung zu unterziehen sind, reichen die Daten der Kategorie: Vor- und Nachname, E-Mail-Adresse, Foto sowie Scan eines gültigen Ausweisdokuments.

9. Bei der gegenständlichen Konferenz handelte es sich um eine Veranstaltung, bei der keine Sicherheitsüberprüfung der Teilnehmer durchzuführen war.

10. Im Akkreditierungssystem wurden in Bezug auf die verfahrensgegenständliche Konferenz die Daten der Kategorie Vor- und Nachnamen, Geburtsdatum, Geschlecht, Nationalität, Delegations- bzw. Organisationsnamen, E-Mail-Adresse, Foto für den Badge sowie ein gültiges Ausweisdokument abgefragt.

Beweiswürdigung: Die Feststellungen beruhen auf dem übereinstimmenden Vorbringen des Beschwerdeführers und des Beschwerdegegners in ihren Schreiben an die Datenschutzbehörde und den beigelegten Unterlagen. Die Feststellung, wann die Information über die Datenverarbeitung erteilt wurde beruht auf dem unbestritten gebliebenen Vorbringen des Beschwerdeführers. Darüber hinaus wurden diesem vor Bekanntgabe der Datenschutzerklärung bereits eine E-Mail betreffend die Registrierung zugesendet. Die Feststellung hinsichtlich der Form der Anmeldung zur Konferenz ergibt sich aus dem vom Beschwerdeführer beigelegten E-Mail-Verkehr mit dem Verantwortlichen sowie aus der Stellungnahme des Beschwerdegegners vom 9. November 2018. Die Feststellungen dazu, welche Kategorien von Daten im Zuge der verfahrensgegenständlichen Konferenz abgefragt wurden, ergeben sich aus der Stellungnahme des Beschwerdegegners vom 27. Dezember 2018.

D. In rechtlicher Hinsicht folgt daraus:

Zur Informationspflicht nach Artikel 13, DSGVO

Gemäß Artikel 12, Absatz eins, DSGVO hat der Verantwortliche geeignete Maßnahmen zu treffen, um der betroffenen Person alle Informationen gemäß den Artikel 13, und 14 und alle Mitteilungen gemäß den Artikel 15, bis 22 und Artikel 34,, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermittelt. Zwar lässt diese Regelung grundsätzlich offen, ob und inwieweit Informationen in der jeweiligen Landessprache übersetzt werden müssen. Im Hinblick auf das Erfordernis der Verständlichkeit für die betroffene Person, das zusätzlich auch im Erwägungsgrund 58 hervorgehoben wird, sowie des Marktortprinzips des Artikel 3, Absatz eins, DSGVO ist jedoch davon auszugehen, dass die Information grundsätzlich in der jeweiligen Landessprache zu erfolgen hat vergleiche u.a. Ehmann/Selmayr, DS-GVO, Kommentar, Artikel 12,, Rz. 19 sowie Paal/Pauly, Datenschutz-Grundverordnung, Artikel 12,, Rz. 35).

Im gegenständlichen Fall war auf den Umstand, dass die Information an den Beschwerdeführer nur in englischer – und nicht auch in deutscher – Sprache erfolgte aber nicht weiter einzugehen, weil sich die verfahrensgegenständliche Veranstaltung an ein englischsprachiges Publikum richtete und der Beschwerdeführer nicht vorgebracht hat, der englischen Sprache nicht mächtig zu sein.

Artikel 13, DSGVO ist als Basis für die Betroffenenrechte nach Kapitel römisch III (Rechte der betroffenen Person) DSGVO zu verstehen, da die betroffene Person zunächst überhaupt erfährt, dass Daten von einem bestimmten Verantwortlichen über diese verarbeitet werden. Auch der Erwägungsgrund 60 weist auf den Grundsatz einer fairen und transparenten Verarbeitung hin, die es der betroffenen Person ermöglicht, über die Existenz sowie die Zwecke des Verarbeitungsprozesses unterrichtet zu werden.

Die Wichtigkeit einer Information wird auch vom EuGH in seiner Rechtsprechung betont vergleiche noch zur Rechtslage nach der Richtlinie 95/46/EG das Urteil vom 1. Oktober 2015, C-201/14).

Als Zeitpunkt der Informationserteilung wird in Artikel 13, Absatz eins, DSGVO die Erhebung der Daten festgesetzt. Zeitpunkt der Erhebung kann etwa auch sein, wenn der Betroffene selbst wissentlich Daten an den Verantwortlichen gibt, etwa durch Ausfüllen eines Online-Formulars vergleiche Ehmann/Selmayr, aaO, Artikel 13,, Rz. 11).

Zum Inhalt der Information sehen Absatz eins, und 2 der betreffenden Bestimmung jeweils sechs Kategorien von Informationen vor. Auch die Informationen aus Absatz 2, beinhalten für den Verantwortlichen kein Wahlrecht und sind der betroffenen Person somit immer zur Verfügung zu stellen vergleiche Artikel 29 -, D, a, t, e, n, s, c, h, u, t, z, g, r, u, p, p, e,, Guidelines on transparency under Regulation 2016/679, letzter Stand 11. April 2018; siehe darüber hinaus Ehmann/Selmayr, aaO, Artikel 13,, Rz. 29ff).

In der Sache wurden die personenbezogenen Daten des Beschwerdeführers beim Beschwerdegegner beim Ausfüllen des Online-Akkreditierungsverfahrens erhoben. Zu diesem Zeitpunkt hätten dem Beschwerdeführer alle in Artikel 13, Absatz eins und Absatz 2, DSGVO genannten Informationen bereitgestellt werden müssen. Der Beschwerdegegner kam der Informationspflicht insofern verspätet nach, als die Erteilung der Information über die Datenverarbeitung erst am Ende des Registrierungsprozesses erfolgte und der Beschwerdeführer zu diesem Zeitpunkt bereits zwei Mal personenbezogenen Daten angeben musste.

Die Datenschutzerklärung des Beschwerdegegners umfasste, wie den Feststellungen zu entnehmen ist:

-      die Informationen über den Namen und die Kontaktdaten des Verantwortlichen (Artikel 13, Absatz eins, Litera a,)

-      die Kontaktdaten des Datenschutzbeauftragten (Absatz eins, Litera b,),

-      die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Absatz eins, Litera c, :, Akkreditierung und Teilnahme an der verfahrensgegenständlichen Konferenz sowie Einwilligung gemäß Artikel 6, Absatz eins, Litera a,),

-      die Empfänger oder Kategorien von Empfänger der personenbezogenen Daten (Absatz eins, Litera e, :, Österreichische Sicherheitsbehörden, Bundesministerien, Konferenzorganisatoren).

Da die Datenverarbeitung gemäß den Angaben in der Datenschutzerklärung sich nicht auf Artikel 6, Absatz eins, Litera f, DSGVO stützt und ein internationaler Datentransfer, weder behauptet noch im Verfahren hervorgekommen ist, konnten die Informationen gemäß Artikel 13, Absatz eins, Litera d, und f DSGVO zulässigerweise entfallen.

Gemäß Artikel 13, Absatz 2, leg. cit. wurden in der Datenschutzerklärung folgende Informationen über die Datenverarbeitung bereitgestellt:

-      die Dauer, für die die personenbezogenen Daten gespeichert werden (Litera a, :, Ende Vorsitz im Rat der Europäischen Union).

-      Information über die Betroffenenrechte (Litera b, :, am Ende der Datenschutzerklärung unter „your rights“),

-      Information über das Widerrufsrecht (Litera c,),

-      Beschwerderecht bei der Datenschutzbehörde (Litera d, :, am Ende der Datenschutzerklärung unter „your rights“),

Nachdem im Verfahren vor der Datenschutzbehörde weder behauptet, noch hervorgekommen ist, dass eine automatisierte Entscheidungsfindung bzw. Profiling im Rahmen der Datenverarbeitung durchgeführt wird, konnte diesbezügliche Angaben in der Datenschutzerklärung (Absatz 2, Litera f,) unterbleiben.

Insofern kam der Beschwerdegegner in seiner Datenschutzerklärung der Informationspflicht gemäß Artikel 13, Absatz 2, Litera e, DSGVO nicht nach: Dabei handelt es sich jedoch um Informationen, die sich auf die Rechtmäßigkeit der Verarbeitung in Artikel 6, Absatz eins, beziehen. Über die Rechtsgrundlage muss aber bereits nach Artikel 13, Absatz eins, Litera c, aufgeklärt werden, sodass die Aufzählung in Absatz 2, Litera e, leg. cit. als zusätzliche Information lediglich die möglichen Folgen der Nichtbereitstellung der personenbezogenen Daten enthält vergleiche etwa Ehmann/Selmayr, aaO, Artikel 13,, Rz. 62).

Diese Information wurde vom Beschwerdegegner mit Stellungnahme vom 9. November 2018 zur Verfügung gestellt, in welcher diese ausführt, „dass ohne die Bereitstellung der Daten keine Registrierung im Akkreditierungssystem möglich ist, was wiederum die Voraussetzung für die Teilnahme an einer Veranstaltung ist.“

Der österreichische Gesetzgeber hat für Verantwortliche in Paragraph 24, Absatz 6, DSG die Möglichkeit geschaffen, behauptete Rechtsverletzungen bis zum Abschluss des Verfahrens vor der Datenschutzbehörde zu beseitigen.

Im Ergebnis ist damit der Beschwerdegegner seiner aus Artikel 13, DSGVO erwachsenen Informationspflicht daher nachgekommen. Ziel des auf Artikel 13, leg. cit. gestützten Beschwerdeverfahrens ist es, der betroffenen Person die Verfolgung ihrer Rechte nach der DSGVO sowie dem DSG zu ermöglichen. Aus Artikel 77, DSGVO in Verbindung mit Paragraph 24, DSG) ist lediglich das Recht ableitbar, Beschwerde an die Aufsichtsbehörde zu erheben. Ein Recht auf Feststellung, dass die Information zu spät erteilt worden ist, kann dieser Bestimmung jedoch nicht entnommen werden vergleiche dazu zur insoweit vergleichbaren Rechtslage nach dem DSG 2000 das Erkenntnis des Verwaltungsgerichtshofes vom 27. September 2007, Zl. 2006/06/0330, mwN).

Vor diesem Hintergrund war die Beschwerde in Bezug auf Artikel 13, DSGVO nicht berechtigt, weshalb sie gemäß Paragraph 24, Absatz 5, DSG abzuweisen war.

Zur Verletzung im Recht auf Geheimhaltung gemäß Paragraph eins, DSG

Eine betroffene Person kann sich auf jede Bestimmung der DSGVO auch abseits der Betroffenenrechte nach Kapitel römisch III stützen, sofern dies im Ergebnis zu einer denkmöglichen Verletzung des Rechts auf Geheimhaltung nach Paragraph eins, Absatz eins, DSG führen kann vergleiche DSB vom 13. Dezember 2018, DSB-D123.073/0007-DSB/2018). Im vorliegenden Fall bringt der Beschwerdeführer im Wesentlichen vor, die Datenverarbeitung widerspreche Artikel 6, und 7 DSGVO, da keine freiwillige Einwilligung zur Datenverarbeitung vorliege und diese auch auf keiner wirksamen Rechtsgrundlage begründet sei.

Wie der Datenschutzerklärung des Beschwerdegegners zu entnehmen ist, bildet die Einwilligung der betroffenen Person die Rechtsgrundlage für die verfahrensgegenständliche Datenverarbeitung vergleiche Artikel 6, Absatz eins, Litera a, DSGVO). Gemäß Paragraph eins, Absatz 2, DSG ist die Freiwilligkeit bei der Abgabe der Zustimmungserklärung eine Grundvoraussetzung für den rechtsgültigen Eingriff in das Grundrecht auf Datenschutz. Die Vorgaben des Artikel 7, DSGVO sind dabei bei allen einwilligungsbasierten Datenverarbeitungen zu berücksichtigen.

Die rechtliche Wirksamkeit einer datenschutzrechtlichen Einwilligung hängt u.a. davon ab, dass diese vor Beginn der Verarbeitung der personenbezogenen Daten, für die die Einwilligung benötigt wird, durch den Verantwortlichen eingeholt wird vergleiche u.a. Knyrim, DatKomm, Artikel 7,, Rz 16, mwN). Damit der Betroffene die Konsequenzen seines Handelns absehen kann, muss die Einwilligung informiert erfolgen vergleiche Artikel 4, Ziffer 11, leg. cit.). Daraus folgt, dass der Verantwortliche den Einwilligenden vor der Einwilligung umfassend über diese und dessen Auswirkungen aufzuklären hat. Der Inhalt der Information muss sich am Einzelfall orientieren und dem Nutzer alle für ihn diesbezüglich relevanten Informationen offenbaren. Inhaltlich kann sich der Verantwortliche allgemein an den in Artikel 12, ff. genannten Vorgaben der Informationspflichten orientieren. Insbesondere die Informationsvorgaben aus Artikel 13,, 14 DSGVO sind für eine hinreichend transparente Informierung für den Betroffenen bereitzuhalten vergleiche Ehmann/Selmayr, aaO, Artikel 7,, Rz. 40).

Die DSGVO selbst enthält in Bezug auf die Einwilligung keine Legaldefinition zum Terminus der Freiwilligkeit. In den Erwägungsgründen 42 und 43 der DSGVO sowie Artikel 7, Absatz 4, leg. cit. finden sich diesbezüglich nur negative Abgrenzungsmerkmale.

So wird etwa ein klares Machtungleichgewicht vermutet, wenn es sich bei dem Verantwortlichen um eine Behörde handelt. Darüber hinaus ist das Bestehen einer Wahlfreiheit zu prüfen, wobei diese dann zu verneinen ist, wenn in Anbetracht aller Umstände des Einzelfalls nicht anzunehmen ist, dass die Einwilligung freiwillig gegeben wurde. Besaß der Betroffene keine echte Wahl, da er anderenfalls Nachteile zu befürchten hatte, stellt die Einwilligung keine gültige Grundlage für die Datenverarbeitung dar. Eine Wahlfreiheit ist beispielsweise nicht anzunehmen, wenn zu verschiedenen Verarbeitungsvorgängen nur die Möglichkeit einer pauschalen Einwilligungserteilung und nicht die Möglichkeit gesonderter Einwilligungen besteht, obwohl dies im Einzelfall angebracht wäre.

In der Sache kannte der Beschwerdeführer unbestritten nicht alle Umstände im Kontext seiner Einwilligung. Bereits vor ausdrücklicher Einwilligung im Rahmen des Anklickens der Datenschutzerklärung wurden – wie oben im Rahmen der Informationspflicht näher ausgeführt – personenbezogene Daten des Beschwerdeführers verarbeitet. Auch vor Erteilung der Einwilligung war der Beschwerdeführer darüber hinaus nicht vollständig gemäß Artikel 13, DSGVO über die Datenverarbeitung informiert. Insbesondere bei der Ersteingabe der personenbezogenen Daten, die zur Zusendung des Registrierungslinks geführt haben, konnte dem Beschwerdeführer zu diesem Zeitpunkt der Umfang und die Tragweite seiner (allenfalls konkludenten) Einwilligung nicht bewusst sein.

Der Beschwerdeführer war auch deshalb nicht in Kenntnis aller für die Datenverarbeitung erforderlichen Umstände, da erst im laufenden Verfahren in der Stellungnahme des Beschwerdegegners vom 27. Dezember 2018 hervorgekommen ist, dass es sich bei der verfahrensgegenständlichen Konferenz um eine Veranstaltung handelt, bei der die Teilnehmer keiner Sicherheitsüberprüfung zu unterziehen sind. Damit einhergehend wurde dem Beschwerdeführer keine Wahlfreiheit gelassen, nur jene Daten bereit zu stellen, die für die Teilnahme an dieser Veranstaltung unbedingt erforderlich sind, sondern musste dieser alle Daten übermitteln, die auch Personen bereitstellen mussten, die sich einer Sicherheitsüberprüfung zu unterziehen hatten. Darüber hinaus kann die Freiwilligkeit der Einwilligung im vorliegenden Fall auch deshalb angezweifelt werden, weil zwischen dem Einwilligenden und dem Beschwerdegegner ein klares Ungleichgewicht besteht, da es sich beim Beschwerdegegner um das Bundeskanzleramt (und somit um den Hilfsapparat einer Behörde) handelt.

In einer Gesamtschau liegt damit im Einzelfall keine gültige Einwilligung des Beschwerdeführers vor, weshalb der Beschwerdegegner die personenbezogenen Daten des Beschwerdeführers nicht rechtmäßig gemäß Artikel 6, Absatz eins, Litera a, DSGVO verarbeitet hat.

Hilfsweise bringt der Beschwerdegegner in den Stellungnahmen vom 9. November sowie vom 27. Dezember 2018 darüber hinaus vor, dass die Verarbeitung der personenbezogenen Daten der Konferenzteilnehmer aus organisatorischen, insbesondere sicherheitspolizeilichen Gründen zwingend erforderlich gewesen sei. Als Rechtsgrundlage der Datenübermittlung führte er darüber hinaus einen Ministerratsbeschluss sowie Paragraph 55 a, Absatz eins, Ziffer 2, SPG an.

Wenn sich der Beschwerdegegner damit darauf beruft, die Verarbeitung sei rechtmäßig, weil sie für die Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich sei (siehe: Sicherheitspolizei; Artikel 6, Absatz eins, Litera c, DSGVO), so ergibt sich bereits aus den Bedingungen der Erforderlichkeit, dass der Beschwerdegegner sich auf das von ihm durch die rechtliche Verpflichtung geforderte notwendige Maß beschränken muss und die Daten nicht über den geforderten Zweck und Umfang hinaus verarbeiten darf vergleiche Ehmann/Selmayr, aaO, Artikel 6,, Rz. 17). Im gegenständlichen Fall hat der Beschwerdegegner mehr personenbezogene Daten verarbeitet, als für die verfahrensgegenständliche Konferenz notwendig gewesen wären. Im Akkreditierungssystem wurde kein Unterschied gemacht, ob es sich um Veranstaltungen mit oder ohne Sicherheitsüberprüfung handelt. Unabhängig davon, dass der Beschwerdegegner die Rechtmäßigkeit der Datenverarbeitung daher primär auf die Einwilligung des Beschwerdeführers gestützt hat, konnte auch aus einer allfällig gesetzlichen Ermächtigungsgrundlage die Rechtmäßigkeit der Datenverarbeitung nicht abgeleitet werden.

Im Ergebnis wurde der Beschwerdeführer aufgrund der unrechtmäßigen Verarbeitung seiner personenbezogenen Daten in seinem Recht auf Geheimhaltung gemäß Paragraph eins, Absatz 2, DSG verletzt, weshalb spruchgemäß zu entscheiden war.

European Case Law Identifier

ECLI:AT:DSB:2019:DSB.D123.311.0003.DSB.2019