Datenschutzbehörde

Rechtssätze

Hinweis: Es wurden keine Rechtssätze für das Dokument 'DSBT_20190307_DSB_D130_033_0003_DSB_2019_00' im RIS-Datenbestand gefunden.

Entscheidungstext DSB-D130.033/0003-DSB/201...

Entscheidende Behörde

Datenschutzbehörde

Dokumenttyp

Entscheidungstext

Entscheidungsart

Bescheid Beschwerde

Geschäftszahl

DSB-D130.033/0003-DSB/2019

Entscheidungsdatum

07.03.2019

Anfechtung beim BVwG/VwGH/VfGH

Dieser Bescheid ist rechtskräftig.

Norm

DSG §1 Abs1
DSG §24 Abs1
DSG §24 Abs5
TKG 2003 §107 Abs1
GRC Art8 Abs1
DSGVO Art3 Abs2 lita
DSGVO Art3 Z3
DSGVO Art4 Z7
DSGVO Art4 Z11
DSGVO Art5 Abs1 lita
DSGVO Art5 Abs1 litc
DSGVO Art5 Abs1 lite
DSGVO Art6 Abs1 litf
DSGVO Art7 Abs1
DSGVO Art27 Abs1
DSGVO Art27 Abs4
DSGVO Art27 Abs5
DSGVO Art58 Abs2 litc
DSGVO Art77 Abs1
DSGVO Art94 Abs2
DSGVO Art95
DSGVO Erwägungsgrund1
DSGVO Erwägungsgrund23
RL 2002/58/EG Art13 Abs1
RL 95/46/EG Art2 litf

Text

GZ: DSB-D130.033/0003-DSB/2019 vom 7.3.2019

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Dr. Ulrich A*** (Beschwerdeführer) vom 23. Juli 2018 gegen die N***, Inc (Beschwerdegegnerin), niedergelassen in CA 9*3*2 T***, USA, in der Union vertreten durch die N*** Nederland B.V., niedergelassen in **** Amsterdam, Niederlande, wegen Verletzung im Grundrecht auf Datenschutz wie folgt:

-             Der Beschwerde wird stattgegeben und es wird festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer dadurch im Grundrecht auf Datenschutz verletzt hat, indem sie an diesen am 19. Juli 2018 eine E-Mail zu Werbezwecken verschickt hat, obwohl keine Einwilligung hierzu vorlag.

Rechtsgrundlagen: Art. 5 Abs. 1 lit. a, c und e, Art. 27, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Datenschutz-Grundverordnung (DSGVO), ABl. Nr. L 119 vom 4.5.2016, S. 1; §§ 1 Abs. 1, 24 Abs. 1 und 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (EU-GRC), ABl. C 326 vom 26.10.2012, S. 391.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

1. Mit Eingabe vom 23. Juli 2018 behauptete der Beschwerdeführer eine Verletzung des Rechts auf Auskunft und die Rechtswidrigkeit der Verarbeitung seiner Daten. Zusammengefasst habe er am 26. Mai 2018 an die in der Datenschutzerklärung der Beschwerdegegnerin angegebene E-Mail-Adresse einen Antrag auf Auskunft gestellt. Die Beschwerdegegnerin habe auf diesen Antrag allerdings nicht reagiert. Anlass des Antrags sei eine E-Mail der Beschwerdegegnerin vom 18. Mai 2018. Im Rahmen dieser E-Mail habe die Beschwerdegegnerin den Beschwerdeführer mitgeteilt, dass seine Einwilligung benötigt werde, um mit diesem weiterhin in Kontakt zu bleiben. Allerdings habe der Beschwerdeführer zudem am 19. Juli 2018 eine E-Mail zu Werbezwecken erhalten, obwohl er keine Einwilligung erteilt habe. Die Beschwerdegegnerin verarbeite seine Daten daher rechtswidrig. Der Eingabe ist der Antrag auf Auskunft vom 26. Mai 2018 sowie ein Screenshot der E-Mail vom 18. Mai 2018 und vom 19. Juli 2018 beigefügt.

2. Mit Schreiben vom 28. November 2018 führte die Beschwerdegegnerin zusammengefasst aus, dass sie am 6. November 2018 eine nachträgliche Auskunft an den Beschwerdeführer erteilt habe. Dem Schreiben ist eine Kopie der E-Mail vom 6. November 2018 beigefügt.

3. Die Datenschutzbehörde gewährte den Beschwerdeführer mit Schreiben vom 3. Dezember 2018 Parteiengehör gemäß § 24 Abs. 6 DSG. Der Beschwerdeführer beanstandete die nachträglich erteilte Auskunft vom 6. November 2018 nicht mehr, weshalb die Datenschutzbehörde das Verfahren im Hinblick auf die geltend gemachte Verletzung im Recht auf Auskunft mit Schreiben vom 24. Jänner 2019 formlos einstellte. Gleichzeitig ersuchte die Datenschutzbehörde den Beschwerdeführer darum, seine Beschwerde im Hinblick auf die behauptete Rechtswidrigkeit der Verarbeitung seiner Daten zu präzisieren und ein Betroffenenrecht geltend zu machen.

4. In seiner Stellungnahme vom 27. Jänner 2019 brachte der Beschwerdeführer zusammengefasst vor, die Beschwerdegegnerin habe bei der Verarbeitung seiner personenbezogenen Daten gegen das Grundrecht auf Geheimhaltung verstoßen, indem sie die Grundsätze für die Verarbeitung gemäß Art. 5 DSGVO sowie gegen die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 DSGVO verletzt habe.

5. Mit Stellungnahme vom 13. Februar 2019 brachte die Beschwerdegegnerin zusammengefasst vor, dass sich der Beschwerdeführer Ende 2014 bei der Beschwerdegegnerin zur Teilnahme einer Marketingveranstaltung angemeldet und seine Kontaktdaten übermittelt habe. Vor Geltung der DSGVO habe der Beschwerdeführer eine E-Mail mit der Bitte erhalten, eine Bestätigung abzugeben, sofern der Erhalt von weiteren E-Mails seitens der Beschwerdegegnerin weiterhin gewünscht sei. Der Beschwerdeführer habe der weiteren Kommunikation nicht zugestimmt, allerdings dennoch weiterhin E-Mails der Beschwerdegegnerin erhalten, was jedoch nicht passieren hätte dürfen. In Anbetracht dessen werde bestätigt, dass der Beschwerdeführer „in allen zukünftigen Marketing-Mitteilungen von N*** vollständig entfernt ist“.

B. Beschwerdegegenstand

Ausgehend vom Vorbringen des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin den Beschwerdeführer dadurch im Grundrecht auf Datenschutz verletzt hat, indem sie an diesen am 19. Juli 2018 eine E-Mail zu Werbezwecken verschickte, obwohl keine entsprechende Einwilligung eingeholt wurde.

C. Sachverhaltsfeststellungen

1. Die Beschwerdegegnerin hat ihre Niederlassung in CA 9*3*2 T***, USA und wird in der Union durch die N*** Nederland B.V., niedergelassen in **** Amsterdam, Niederlande, vertreten.

2. Die Beschwerdegegnerin ersuchte den Beschwerdeführer, welcher in Österreich wohnhaft ist, mit E-Mail vom 18. Mai 2018 darum, eine Einwilligung abzugeben, um weiterhin mit diesem in Kontakt bleiben zu dürfen.

3. Obwohl der Beschwerdeführer keine entsprechende Einwilligung zur weiteren Kontaktaufnahme abgegeben hat, hat die Beschwerdegegnerin am 19. Juli 2018 eine E-Mail zu Werbezwecken (Angebot zur Teilnahme an einer Eventveranstaltung in Deutschland) an den Beschwerdeführer (ulrich@a***.at) verschickt.

4. Mit Stellungnahme vom 13. Februar 2019 brachte die Beschwerdegegnerin vor, dass die E-Mail-Adresse des Beschwerdeführers „in allen zukünftigen Marketing-Mitteilungen von N*** vollständig entfernt ist“.

Beweiswürdigung: Die getroffenen Feststellungen beruhen auf dem unbestrittenen Vorbringen des Beschwerdeführers vom 23. Juli 2018, auf der Stellungnahme der Beschwerdegegnerin vom 13. Februar 2019 sowie auf einer amtswegigen Recherche der Datenschutzerklärung der Beschwerdegegnerin (https://www.n***.com/privacy-statement.html, abgerufen am 6. März 2019), welche den Sachverhaltsfeststellungen zugrunde gelegt wird.

D. In rechtlicher Hinsicht folgt daraus:

1. Zur Beschwerdegegnerin und ihrem Vertreter in der Union

Einleitend ist darauf hinzuweisen, dass der „One-Stop-Shop“ Mechanismus nach Art. 60 DSGVO im vorliegenden Fall keine Anwendung findet, da die Beschwerdegegnerin als Verantwortlicher iSv Art. 4 Z 7 DSGVO über Zwecke und Mittel der Verarbeitung entscheidet und ihren Sitz nur in den USA hat.

Die Beschwerdegegnerin nennt in ihrer Datenschutzerklärung die N*** Nederland B.V. als ihren Vertreter im Unionsgebiet gemäß Art. 3 Abs. 3 iVm Art. 27 Abs. 1 DSGVO, welchem nach der Datenschutzerklärung der Beschwerdegegnerin jedoch keine Entscheidungskompetenz im Hinblick auf die Verarbeitungstätigkeit der Beschwerdegegnerin zukommt.

Vor diesem Hintergrund war die gegenständliche Beschwerde gemäß Art. 27 Abs. 4 DSGVO an die N*** Nederland B.V. zu übermitteln. Da die Benennung eines Vertreters nach dem ausdrücklichen Verordnungstext gemäß Art. 27 Abs. 5 DSGVO keine Überwälzung der Verantwortlichkeit mit sich bringt, richtet sich die vorliegende Entscheidung der Datenschutzbehörde gegen die Beschwerdegegnerin.

2. Zur Richtlinie 2002/58/EG als lex specialis

Im vorliegenden Fall verschickte die Beschwerdegegnerin eine E-Mail zu Werbezwecken an den Beschwerdeführer, obwohl hierzu keine entsprechende Einwilligung eingeholt wurde.

Dazu ist festzuhalten, dass die Zusendung von elektronischer Post zu Werbezwecken ohne vorherige Einwilligung des Teilnehmers („Unerbetene Nachrichten“) nach der Bestimmung von § 107 Abs. 1 TKG 2003 (die Art. 13 Abs. 1 der Richtlinie 2002/58/EG, die „e-Datenschutz-RL“, umsetzt) zu beurteilen ist. Diesbezüglich hat sich die Rechtslage auch mit Geltung der DSGVO seit 25. Mai 2018 nicht verändert (vgl. Art. 95 DSGVO, wonach die Verordnung natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auferlegt, soweit sie besonderen in der e-Datenschutz-RL festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen).

Dies bedeutet jedoch nicht, dass dem Beschwerdeführer keine Datenschutzbeschwerde gemäß Art. 77 Abs. 1 DSGVO zusteht. Zwar richtet sich die Zulässigkeit einer Kontaktaufnahme zu Werbezwecken - wie dargelegt - nach den Bestimmungen des TKG 2003 bzw. der e-Datenschutz-RL und nicht nach Art. 6 DSGVO. Jedoch kann durch einen Verstoß gegen das TKG 2003 bzw. die e-Datenschutz-RL gleichzeitig eine Verletzung des Rechts auf Geheimhaltung nach § 1 Abs. 1 DSG und auch eine Verletzung jener Bestimmungen der DSGVO vorliegen, die dem Verantwortlichen keine zusätzlichen Pflichten iSv Art. 95 DSGVO auferlegen (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018).

3. Zum verletzt erachteten Recht

Zunächst ist festzuhalten, dass sich der Beschwerdeführer in seinem Vorbringen zwar auf eine Verletzung der Art. 5 und Art. 6 DSGVO (sohin eine fehlende Einwilligung) stützte, die Betroffenenrechte jedoch in Kapitel III DSGVO (Art. 12 bis 23) taxativ aufgezählt werden.

Nach Rechtsprechung der Datenschutzbehörde kann sich eine betroffene Person dem Grunde nach trotzdem auf jede Bestimmung abseits von Kapitel III der DSGVO stützen, sofern dies im Ergebnis zu einer denkmöglichen Verletzung des Rechts auf Geheimhaltung nach § 1 Abs. 1 DSG führen kann (vgl. den Bescheid der DSB vom 13. September 2018, DSB-D123.070/0005-DSB/2018, wonach ein Verstoß des Verantwortlichen gegen Art. 32 DSGVO zu einer Verletzung von § 1 Abs. 1 DSG führen kann).

Dementsprechend war eine Verletzung des Rechts auf Geheimhaltung zu überprüfen, das – wie dargelegt – nicht von Art. 95 DSGVO umfasst ist

4. Zum Recht auf Geheimhaltung bei internationalen Sachverhalten

a) Zum räumlichen Anwendungsbereich der DSGVO

Die verfahrensgegenständliche E-Mail-Adresse besteht aus dem Vor- und Nachnamen des Beschwerdeführers, weshalb ein Personenbezug gegeben ist.

Darüber hinaus ist die Beschwerdegegnerin zwar nicht in der Union niedergelassen, jedoch steht die Verarbeitung der Daten des Beschwerdeführers, welcher in Österreich wohnhaft ist, in Zusammenhang mit dem Anbieten von Waren bzw. Dienstleistungen (gegenständlich: Angebot zur Teilnahme an einer Eventveranstaltung in Deutschland), weshalb die DSGVO gemäß Art. 3 Abs. 2 lit. a DSGVO in räumlicher Hinsicht Anwendung findet (vgl. ErwGr 23 DSGVO, wonach die Verwendung der Sprache einer betroffenen Person in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser Sprache zu bestellen, darauf hindeutet, dass der Verantwortliche beabsichtigt, Personen in der Union Waren oder Dienstleistungen anzubieten).

b) Zum Grundrecht auf Datenschutz und zur Horizontalwirkung von Art. 8 Abs. 1 EU-GRC

Nach Ansicht der Datenschutzbehörde ist der DSGVO allgemein ein Grundrecht auf Datenschutz inhärent und steht die DSGVO – als wichtigste europäische Sekundärrechtsquelle für den Umgang mit personenbezogenen Daten – in einem engen Verhältnis zu Art. 8 Abs. 1 der EU-GRC und dient dessen näherer Ausgestaltung. Dies erhellt bereits aus ErwGr 1 DSGVO, wonach „Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten […] ein Grundrecht [ist]. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union […] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“

Vor diesem Hintergrund geht die Datenschutzbehörde davon aus, dass das Beschwerderecht nach Art. 77 Abs. 1 DSGVO – neben der Geltendmachung der Verletzung von Betroffenenrechten nach Kapitel III der Verordnung – auch bei internationalen Sachverhalten eine Beschwerdemöglichkeit gestützt auf § 1 Abs. 1 DSG iVm Art. 8 Abs. 1 EU-GRC eröffnet.

Ausgehend von diesen Überlegungen und aufgrund des Umstands, dass die DSGVO auch Verantwortliche des privaten (also des nicht-hoheitlichen) Bereichs direkt verpflichtet, vertritt die Datenschutzbehörde die Ansicht, dass dem Grundrecht auf Datenschutz nach Art. 8 Abs. 1 der EU-GRC ebenso wie § 1 DSG Horizontalwirkung zukommt.

Mit anderen Worten: Da der DSGVO ein allgemeines Grundrecht auf Datenschutz inhärent ist, welches ausdrücklich in Art. 8 Abs. 1 EU-GRC verankert ist, kann eine betroffene Person im Ergebnis auch gegen Rechtsträgern, die in Formen des Privatrechts eingerichtet sind, eine Beschwerde nach Art. 77 Abs. 1 DSGVO einbringen und diese Beschwerde auf eine Verletzung von Art. 8 Abs. 1 EU-GRC stützen (vgl. das Urteil des EuGH vom 29. November 2017, C-214/16, Rn 31 ff, wonach der EuGH eine solche Horizontalwirkung von Rechten nach der EU-GRC nicht ausdrücklich verneint; deutlicher wird dies in den Schlussanträgen des Generalsanwaltes in dieser Rechtssache zum Ausdruck gebracht, welcher eine Horizontalwirkung von Bestimmungen der EU-GRC ausdrücklich bejaht).

Eine behauptete Verletzung der Grundsätze nach Art. 5 und 6 DSGVO kann daher als behauptete Verletzung von Art. 8 EU-GRC geltend gemacht werden.

5. Zur Rechtmäßigkeit der Verarbeitung

Wie bereits oben ausgeführt, richtet sich die Rechtmäßigkeit der Verarbeitung ausschließlich nach der e-Datenschutz-RL als lex specialis.

Nach Art. 13 Abs. 1 der e-Datenschutz-RL ist vor dem Versand von elektronischer Post eine Einwilligung der betroffenen Person einzuholen. Zu bemerken ist jedoch, dass die e-Datenschutz-RL keine näheren Bedingungen bzw. keine Definition für die Einwilligung vorsieht.

Allerdings verweist die e-Datenschutz-RL hinsichtlich des Begriffes der „Einwilligung“ auf die Einwilligung im Sinne der Richtlinie 95/46/EG (Datenschutz-Richtlinie; vgl. dazu Art. 2 lit. f e-Datenschutz-RL). Der Begriff der Einwilligung nach der e-Datenschutz-RL entspricht daher in systematischer Auslegung dem Begriff der Einwilligung nach Art. 4 Z 11 bzw. Art. 7 DSGVO, wie sich aus Art. 94 Abs. 2 DSGVO ergibt.

Die Verarbeitung kann daher nicht auf einen alternativen Erlaubnistatbestand nach Art. 6 DSGVO (etwa berechtigte Interessen nach Abs. 1 lit. f leg. cit.) gestützt werden, was die Beschwerdegegnerin auch nicht behauptet hat.

Da jedoch, wie festgestellt, keine Einwilligung für den Erhalt von E-Mails zu Werbezwecken vorlag, wurden die personenbezogenen Daten des Beschwerdeführers (seine E-Mail-Adresse mit Klarnamen) unrechtmäßig (d.h. ohne Erlaubnistatbestand) verarbeitet, weshalb eine Verletzung von § 1 Abs. 1 DSG iVm Art. 8 Abs. 1 EU-GRC vorliegt.

Da der Beschwerdeführer - trotz Ersuchens der Beschwerdegegnerin mit E-Mail vom 18. Mai 2018 - keine entsprechende Einwilligung mehr abgegeben hat, wäre die Beschwerdegegnerin dazu verpflichtet gewesen, die E-Mail-Adresse des Beschwerdeführers zu löschen; allerdings ist darauf hinzuweisen, dass sich diese Verpflichtung nicht erst aus der DSGVO ergibt, sondern bereits nach alter Rechtslage gemäß der Datenschutz-Richtlinie bestanden hat.

Da die Beschwerdegegnerin bereits mit Stellungnahme vom 13. Februar 2019 angab, dass die E-Mail-Adresse des Beschwerdeführers von „allen zukünftigen Marketing-Mitteilungen von N*** vollständig entfernt“ worden sei, war kein Leistungsauftrag gemäß § 24 Abs. 5 DSG bzw. Art. 58 Abs. 2 lit. c DSGVO zu erteilen.

Es war daher spruchgemäß zu entscheiden.

Schlagworte

Geheimhaltung, Rechtmäßigkeit der Verarbeitung, grenzüberschreitende Beschwerde, Verantwortlicher in Drittland, Vertreter in der Union, Horizontalwirkung des Grundrechts, E-Mails zu Werbezwecken

European Case Law Identifier (ECLI)

ECLI:AT:DSB:2019:DSB.D130.033.0003.DSB.2019

Zuletzt aktualisiert am

17.05.2019

Dokumentnummer

DSBT_20190307_DSB_D130_033_0003_DSB_2019_00