Datenschutzbehörde

Rechtssätze

Hinweis: Es wurden keine Rechtssätze für das Dokument 'DSBT_20190822_DSB_D130_206_0006_DSB_2019_00' im RIS-Datenbestand gefunden.

Entscheidungstext DSB-D130.206/0006-DSB/201...

Entscheidende Behörde

Datenschutzbehörde

Dokumenttyp

Entscheidungstext

Entscheidungsart

Bescheid Beschwerde

Geschäftszahl

DSB-D130.206/0006-DSB/2019

Entscheidungsdatum

22.08.2019

Anfechtung beim BVwG/VwGH/VfGH

Dieser Bescheid ist rechtskräftig.

Norm

DSG §24 Abs1
DSG §24 Abs5
DSG §24 Abs6
DSGVO Art3 Abs2 lita
DSGVO Art3 Abs3
DSGVO Art4 Z7
DSGVO Art5 Abs1 lita
DSGVO Art12 Abs1
DSGVO Art12 Abs2
DSGVO Art12 Abs3
DSGVO Art13 Abs1
DSGVO Art5 Abs2
DSGVO Art13 Abs1 lita
DSGVO Art13 Abs2 lita
DSGVO Art13 Abs3
DSGVO Art15 Abs2 lite
DSGVO Art15 Abs2 litf
DSGVO Art15 Abs3
DSGVO Art27 Abs1
DSGVO Art27 Abs5
DSGVO Art57 Abs1 litf
DSGVO Art58 Abs1 litb
DSGVO Art58 Abs2 litc
DSGVO Art58 Abs2 litd
DSGVO Art77 Abs1
DSGVO Erwägungsgrund23
DSGVO Erwägungsgrund58
DSGVO Art13 Abs4
DSGVO Art13 Abs2 litb
DSGVO Art13 Abs2 litd
DSGVO Erwägungsgrund131
DSGVO ErwGr23
DSGVO ErwGr58
DSGVO ErwGr131

Text

GZ: DSB-D130.206/0006-DSB/2019 vom 22.8.2019

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Dr. Ludwig A*** (Beschwerdeführer), vertreten durch die A*** E*** & Partner Rechtsanwälte OG, vom 28. Jänner 2019 gegen die N***Group AG, niedergelassen in ****, Schweiz (Beschwerdegegnerin), diese im gegenständlichen Beschwerdeverfahren vertreten durch B*** und C***Rechtsanwälte und im Unionsgebiet vertreten durch die R*** Hotels GmbH, wegen Verletzung des Informationsrechts gemäß Art. 13 DSGVO wie folgt:

1.    Der Beschwerde wird teilweise stattgegeben und es wird festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer dadurch im Informationsrecht verletzt hat, indem diese zwar personenbezogene Daten des Beschwerdeführers erhoben, allerdings entgegen den Bestimmungen von Art. 13 DSGVO zum Zeitpunkt der Erhebung dieser Daten und auch bis zum Abschluss des Verfahrens vor der Datenschutzbehörde keine vollständigen Informationen bereitgestellt hat.

2.    Der Beschwerdegegnerin wird aufgetragen, dem Beschwerdeführer innerhalb einer Frist von vier Wochen bei sonstiger Exekution folgende Informationen mitzuteilen:

a) hinreichend verständliche und präzise Informationen im Hinblick auf den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters, wobei insbesondere zu erläutern ist, was unter dem Begriff „Datenschutzverantwortliche“ zu verstehen ist;

b) die konkreten Empfänger der personenbezogenen Daten und falls dies nicht möglich oder einen unverhältnismäßig hohen Aufwand darstellt, die entsprechenden Gründe dafür, jedenfalls aber präzisere Informationen im Hinblick auf die Empfängerkategorie „Geschäftspartner“;

c) hinreichend verständliche und präzise Informationen im Hinblick auf die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

d) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person (der Beschwerdeführer) verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte;

e) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person (den Beschwerdeführer) und

f) ob beabsichtigt wird, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden und bejahendenfalls Informationen über diesen anderen Zweck.

3.    Die Beschwerde wird im Übrigen abgewiesen.

4.    Der Beschwerdegegnerin wird aufgetragen, innerhalb einer Frist von vier Wochen ihre gemäß Art. 13 DSGVO mitzuteilenden Informationen („Datenschutzerklärung“) gemäß den unter Spruchpunkt 2 lit. a bis lit. f des gegenständlichen Bescheids genannten Voraussetzungen - unter Berücksichtigung der Vorgaben von Art. 12 Abs. 1 und Abs. 2 DSGVO - zu ergänzen und der Datenschutzbehörde innerhalb der genannten Frist eine Kopie der neu formulierten Informationen („Datenschutzerklärung“) zu übermitteln.

Rechtsgrundlagen: Art. 3 Abs. 2 lit. a, Art. 5 Abs. 1 lit. a, Art. 12 Abs. 1, Abs. 2 und Abs. 3, Art. 13, Art. 27, Art. 57 Abs. 1 lit. f, Art. 58 Abs. 1 lit. b und Abs. 2 lit. c und lit. d sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), ABl. Nr. L 119 vom 4.5.2016, S. 1; §§ 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes – DSG, BGBl. I Nr. 165/1999 idgF.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

1. Mit Eingabe vom 28. Jänner 2019 behauptete der Beschwerdeführer eine Verletzung im Informationsrecht gemäß Art. 13 DSGVO und im Recht auf Geheimhaltung. Zusammengefasst handle es sich bei der Beschwerdegegnerin um ein Unternehmen in der Schweiz, welches im Internet unter der Domain http://www.alpen***.at auftrete und auch Dienstleistungen in Österreich anbiete bzw. auch Hotels betreibe. Der Beschwerdeführer sei in Österreich wohnhaft. Die Beschwerdegegnerin habe auf Anfrage des Beschwerdeführers am 22. Jänner 2019 ein Angebot über eine Urlaubsreise per E-Mail gelegt. Der Beschwerdeführer habe am selben Tag eine Absage per E-Mail erteilt. Am 23. Jänner 2019 sei durch die Beschwerdegegnerin eine Kontaktaufnahme mit einer Werbung für den unternehmenseigenen Newsletter samt Link zur Anmeldung erfolgt.

Dem Beschwerdeführer seien keine Informationen zur Datenverarbeitung bekanntgegeben worden, insbesondere sei ihm folgendes nicht mitgeteilt worden: 1) der Name und die Kontaktdaten des Verantwortlichen, 2) die Kontaktdaten des Datenschutzbeauftragten, 3) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, 4) die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, 5) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, 6) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit, 7) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, 8) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte sowie 8) Informationen über die beabsichtigte Weiterverarbeitung der personenbezogenen Daten für einen anderen Zweck als den, für den die personenbezogenen Daten erhoben wurden.

2. Mit Erledigung vom 11. Februar 2019 wurde die Beschwerdegegnerin seitens der Datenschutzbehörde ersucht, ihren Vertreter gemäß Art. 27 DSGVO bekanntzugeben. Mit Stellungname vom 8. Mai 2019 gab die Beschwerdegegnerin schließlich die R*** Hotels GmbH als Vertreter im Unionsgebiet bekannt.

3. Mit Stellungnahme vom 9. April 2019 brachte die anwaltlich vertretene Beschwerdegegnerin zusammengefasst vor, dass dem Beschwerdeführer mit Schreiben vom 9. April 2019 die gegenständlichen Informationen gemäß § 24 Abs. 6 DSG nachträglich zur Verfügung gestellt worden seien.

4. Der Beschwerdeführer replizierte darauf – nach Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens – in seinen Stellungnahmen vom 16. April 2019 und vom 24. April 2019 zusammengefasst, dass § 24 Abs. 6 DSG auf die Situation, in der ein Verantwortlicher der Informationspflicht nicht nachkomme, nicht anzuwenden sei. Sinn und Zweck von Art. 13 DSGVO sei es, der betroffenen Person bei der Datenerhebung die Möglichkeit zu geben, sich zu entscheiden, eine gewisse Leistung in Anspruch zu nehmen und für einen bestimmten Zweck dem Verantwortlichen zur Verfügung zu stellen. Dieser Zweck könne durch ein „Nachholen“ der Information nicht erfüllt werden.

Weiters seien die erteilten Informationen nicht vollständig und/oder fehlerhaft. Der Beschwerdegegner verweise auf eine „Datenschutzverantwortliche“, diese sei jedoch nicht als Vertreter iSd Art. 27 DSGVO bezeichnet. Unter dem Punkt „Erhebung von Daten“ seien Kreditauskunfteien im Rahmen der Zweckbestimmung genannt, im Weiteren seien diese Kreditauskunfteien aber nicht als Empfänger von Daten(-kategorien) genannt, sondern werde lediglich generisch davon gesprochen, dass „die Daten innerhalb der Unternehmensgruppe“ verarbeitet und an „Geschäftspartner“ weitergegeben werden. Dies sei nicht ausreichend präzise. Die Beschwerdegegnerin erfülle auch die Verpflichtung zur Angabe der Speicherdauer nicht in der notwendigen Art und Weise, da keinerlei Fristen für die Aufbewahrung, etwa unter Bezugnahme auf Bestimmungen steuerrechtlicher Art, angegeben seien. Die Beschwerdegegnerin schränke auch die Rechte der betroffenen Person (gemeint offenbar: die Ausübung der Rechte) auf schriftliche Anträge und Anträge per Email ein („ausschließlich“), eine Einschränkung auf „bestimmte Kanäle“ sei nicht zulässig. Weiters seien keine Informationen nach Art. 13 Abs. 2 lit. e und lit. f DSGVO erteilt worden.

5. Die Datenschutzbehörde nahm am 26. April 2019 telefonisch mit dem Beschwerdeführer Kontakt auf. Im Rahmen dieses Telefonats gab der Beschwerdeführer bekannt, dass sich die in Rede stehende Beschwerde nicht auf das Recht auf Geheimhaltung nach § 1 Abs. 1 DSG beziehe. Ein entsprechender Aktenvermerk ist zur GZ DSB-D130.206/0004-DSB/2019 vorhanden.

B. Beschwerdegegenstand

Ausgehend vom Vorbringen des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin den Beschwerdeführer dadurch im Informationsrecht verletzt hat, indem die Beschwerdegegnerin zwar personenbezogene Daten des Beschwerdeführers erhoben, allerdings entgegen den Bestimmungen von Art. 13 DSGVO zum Zeitpunkt der Erhebung dieser Daten und auch bis zum Abschluss des Verfahrens vor der Datenschutzbehörde keine entsprechenden Informationen bereitgestellt hat.

Eine Verletzung im Recht auf Geheimhaltung war vor dem Hintergrund der Einschränkung der Beschwerde auf eine Verletzung im Informationsrecht gemäß Art. 13 DSGVO nicht zu überprüfen.

C. Sachverhaltsfeststellungen

1. Bei der Beschwerdegegnerin handelt es sich um ein in der Schweiz niedergelassenes Unternehmen, der Beschwerdeführer ist eine natürliche Person und in Österreich wohnhaft. Der Beschwerdeführer ist eingetragener Rechtsanwalt.

2. Die Beschwerdegegnerin betreibt unter der Webpage https://www.alpen***.at/ u.a. eine Hotelbuchungsplattform. Der Inhalt der Webpage ist in deutscher Sprache verfasst.

3. Die Beschwerdegegnerin legte auf Anfrage des Beschwerdeführers am 22. Jänner 2019 ein Angebot über eine Urlaubsreise per E-Mail. Der Beschwerdeführer erteilte am selben Tag eine Absage per E-Mail.

4. Die Beschwerdegegnerin hat anlässlich dieser Anfrage zumindest Vor- und Nachname sowie die E-Mail-Adresse des Beschwerdeführers in ihrem System gespeichert.

5. Am 23. Jänner 2019 hat die Beschwerdegegnerin folgende E-Mail an den Beschwerdeführer verschickt (Formatierung nicht 1:1 wiedergegeben):

[Anmerkung Bearbeiter: Die hier im Original als Faksimile/grafische Reproduktion in den Bescheidtext eingefügte E-Mail kann mit vertretbarem Aufwand nicht pseudonymsiert werden. Es handelt sich um das von einem Mitarbeiter der Beschwedegegnerin versendete Angebot, einen Newsletter der Beschwerdegegnerin zu bestellen (mit Link zur entsprechenden Registrierungswebsite).]

6. Im Rahmen des gegenständlichen Beschwerdeverfahrens hat die Beschwerdegegnerin dem Beschwerdeführer vor Abschluss des Verfahrens folgende Informationen mitgeteilt (Formatierung nicht 1:1 wiedergegeben):

Datenschutzerklärung

Wir verarbeiten Ihre personenbezogenen Daten im Rahmen der Bestimmungen der Datenschutzgrundverordnung (DSGVO) sowie des nationalen Datenschutzgesetzes. Nachfolgend unterrichten wir Sie über uns sowie Art, Umfang und Zweck der Datenerhebung und Verwendung:

Wer wir sind

Verantwortlicher für die Datenverarbeitung ist die N***Group AG, G***straße 3*, ****, Schweiz. Datenschutzverantwortliche unseres Unternehmens ist Emilie O***, die Sie per Mail unter emilie.o***@n***group.com oder telefonisch unter +41 *3* 7*4*3* erreichen können. Ihre datenschutzrechtlichen Anfragen übermitteln Sie bitte schriftlich oder per e-mail direkt an unsere Datenschutzverantwortliche.

Erhebung und Verarbeitung von Daten

Wir verarbeiten jene personenbezogenen Daten, die Sie uns als Nutzer der Website und/oder als Kunde unserer Produkte oder Interessent an unseren Produkten zur Verfügung stellen. Die Verarbeitung Ihrer personenbezogenen Daten erfolgt im Rahmen der Vertragsanbahnung, sowie zum Zwecke der Erfüllung unserer vertraglichen Verpflichtungen mit Ihnen, zur Einholung von Bonitätsauskünften bei Kreditauskunfteien, zur Beantwortung Ihrer Anfragen, oder für Werbemaßnahmen. Rechtsgrundlage der Datenverarbeitung ist

• Art. 6 Abs. 1 lit. b DS-GVO, soweit die Verarbeitung Ihrer personenbezogenen Daten zur Vertragsanbahnung oder –erfüllung erforderlich ist;

• Art. 6 Abs. 1 lit. c DS-GVO, sofern die Verarbeitung Ihrer personenbezogenen Daten auf Grund einer rechtlichen Verpflichtung unsererseits erforderlich ist (etwa auf Grund einzuhaltender Aufbewahrungsfristen gegenüber der Abgabenbehörde)

• Art. 6 Abs. 1 lit. a DS-GVO, sofern Sie in die Verarbeitung Ihrer Daten durch uns eingewilligt haben (etwa im Rahmen einer Registrierung, oder der Teilnahme an einem von uns organisierten Gewinnspiel);

• Art. 6 Abs. 1 lit. f DS-GVO, sofern wir ein berechtigtes Interesse an der Verarbeitung Ihrer Daten haben, das Ihr Interesse am Schutz Ihrer personenbezogenen Daten überwiegt (etwa die Einholung von Bonitätsinformationen bei Kreditauskunfteien durch uns vor Abschluss eines Rechtsgeschäfts oder zu Werbezwecken, wenn Sie bereits als Kunde oder Interessent an unseren Leistungen in Erscheinung getreten sind [ErwGr 47 DS-GVO]).

Nutzung und Weitergabe personenbezogenen Daten

Soweit Sie uns als Nutzer unserer Website und/oder Kunde oder Interessent unserer Produktwelt personenbezogene Daten zur Verfügung gestellt haben, verarbeiten wir diese nur zu den vorerwähnten Datenverarbeitungszwecken.

Personenbezogene Daten werden von uns dazu innerhalb der Unternehmensgruppe verarbeitet und an unsere Geschäftspartner übermittelt.

Die Löschung der gespeicherten personenbezogenen Daten erfolgt, wenn Sie als Nutzer der Website und/oder Kunde die Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten widerrufen, oder wenn Ihre Daten zur Erfüllung des mit der Verarbeitung verfolgten Zwecks nicht mehr erforderlich sind, oder wenn die Verarbeitung aus sonstigen gesetzlichen Gründen unzulässig ist bzw. wird. Daten, die für Abrechnungs- und buchhalterische Zwecke oder zur Erfüllung rechtlicher Verpflichtungen benötigt werden, bleiben von einem Löschungs-verlangen unberührt.

Auskunft, Berichtigung, Löschung

Wir weisen Sie darauf hin, dass Ihnen nach der Datenschutzgrundverordnung ein Recht auf Auskunft (Art. 15 DS-GVO), ein Recht auf Berichtigung (Art. 16 DS-GVO), ein Recht auf Löschung (Art. 17 DS-GVO), ein Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO), ein Recht auf Datenübertragbarkeit (Art 20 DS-GVO) und ein Widerspruchsrecht (Art. 21 DS-GVO) zukommt.

Ihre datenschutzrechtlichen Anfragen richten Sie bitte ausschließlich schriftlich oder via e-mail an folgende Adresse:

N***Group AG

G***straße 3*

****

Schweiz

e-mail: info@n***group.com

Wir werden Ihrem datenschutzrechtlichen Anliegen – gegebenenfalls nach Identitätsprüfung - umgehend nachkommen und Sie davon informieren. Sollten rechtliche Gründe einem Entsprechen Ihres Anliegens entgegenstehen, werden wir Sie davon ebenfalls unter Angabe der genauen Gründe informieren. In diesem Zusammenhang weisen wir Sie auch auf Ihr Beschwerderecht bei der Datenschutzbehörde hin.“

Beweiswürdigung: Die getroffenen Feststellungen beruhen auf dem Vorbringen des Beschwerdeführers im Rahmen der Eingabe vom 28. Jänner 2019, welches zu keinem Zeitpunkt seitens der Beschwerdegegnerin bestritten wurde. Darüber hinaus beruhen die getroffenen Feststellungen auf einer amtswegigen Recherche der Webpage https://www.alpen***.at/ (abgerufen am 21. August 2019). Die Feststellung, dass es sich beim Beschwerdeführer um einen eingetragenen Rechtsanwalt handelt, beruht auf amtsbekanntem Wissen.

D. In rechtlicher Hinsicht folgt daraus:

1. Zur Beschwerdegegnerin und ihrem Vertreter in der Union

Einleitend ist darauf hinzuweisen, dass der „One-Stop-Shop“ Mechanismus nach Art. 60 DSGVO im vorliegenden Fall keine Anwendung findet, da die Beschwerdegegnerin, wie sich aus ihrer Stellungnahme vom 9. April 2019 ergibt, als Verantwortlicher iSv Art. 4 Z 7 DSGVO anzusehen ist und ihren Sitz nur in der Schweiz hat (vgl. den Bescheid der Datenschutzbehörde vom 7. März 2019, GZ DSB-D130.033/0003-DSB/2019).

Die Beschwerdegegnerin nennt mit Stellungnahme vom 8. Mai 2019 die R*** Hotels GmbH als ihren Vertreter im Unionsgebiet gemäß Art. 3 Abs. 3 iVm Art. 27 Abs. 1 DSGVO. Da die Benennung eines Vertreters nach dem ausdrücklichen Verordnungstext gemäß Art. 27 Abs. 5 DSGVO keine Überwälzung der Verantwortlichkeit mit sich bringt – und die Beschwerdegegnerin auch zu keinem Zeitpunkt ins Treffen geführt hat, dass die R*** Hotels GmbH als (gemeinsam) Verantwortlicher für die gegenständliche Verarbeitung iZm der Buchungsplattform https://www.alpen***.at/ und insbesondere der Verarbeitung der personenbezogenen Daten des Beschwerdeführers anzusehen ist – richtet sich die vorliegende Entscheidung der Datenschutzbehörde gegen die Beschwerdegegnerin.

2. Zum räumlichen Anwendungsbereich der DSGVO

Die Beschwerdegegnerin ist zwar nicht in der Union niedergelassen, jedoch steht die Verarbeitung der personenbezogenen Daten des Beschwerdeführers (zumindest Vor- und Nachname sowie dessen E-Mail-Adresse), welcher in Österreich wohnhaft ist, in Zusammenhang mit dem Anbieten von Waren bzw. Dienstleistungen (gegenständlich: Betrieb einer deutschen Buchungsplattform unter der Domain - https://www.alpen***.at/ sohin einer österreichischen Toplevel-Domain – sowie das Angebot zur Teilnahme an einem Newsletter mit aktuellen Reiseangeboten).

Vor diesem Hintergrund findet die DSGVO gemäß Art. 3 Abs. 2 lit. a DSGVO in räumlicher Hinsicht Anwendung findet (vgl. ErwGr 23 DSGVO, wonach die Verwendung der Sprache einer betroffenen Person in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser Sprache zu bestellen, darauf hindeutet, dass der Verantwortliche beabsichtigt, Personen in der Union Waren oder Dienstleistungen anzubieten sowie den Bescheid der Datenschutzbehörde vom 7. März 2019 a.a.O).

3. Zu Art. 13 DSGVO als subjektives Betroffenenrecht

Die Datenschutzbehörde hat sich bereits mit der Frage, ob die „Informationspflichten“ gemäß Art. 13 und Art. 14 DSGVO umgekehrt auch als subjektive Betroffenenrechte geltend gemacht werden können, auseinandergesetzt und geht nach stRsp davon aus, dass sich eine betroffene Person antragsunabhängig auf Art. 13 und Art. 14 DSGVO stützen kann (vgl. den Bescheid der Datenschutzbehörde vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018).

4. Zum Begriff „Erhebung“, zur Informationserteilung

Die Datenschutzbehörde geht im vorliegenden Fall davon aus, dass die Beschwerdegegnerin die Daten des Beschwerdeführers (zumindest Vor- und Nachname sowie dessen E-Mail-Adresse) iSv Art. 13 Abs. 1 DSGVO dadurch „erhoben“, hat, indem diese eine Kontaktmöglichkeit zwecks Buchungsanfragen und Angebotslegung bereitgestellt hat, welche der Beschwerdeführer auch genutzt hat. Mit anderen Worten: Wird eine öffentliche E-Mail-Adresse oder ein Kontaktformular bereitgestellt, muss ein Verantwortlicher davon ausgehen, dass eine betroffene Person diese Möglichkeit auch nutzt, um im Zusammenhang mit dem Angebot des Verantwortlichen Kontakt aufzunehmen.

Wie aus ErwGr 58 zweiter Satz DSGVO erhellt, kann der von Art. 12 Abs. 1 DSGVO geforderte Maßstab im Hinblick auf eine „leichte Zugänglichkeit“ der Informationen nach Art. 13 DSGVO aber dadurch erreicht werden, indem die Informationen in elektronischer Form bereitgestellt werden, „beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist“.

Eine Reaktion in der Form, dass die Informationen nach Art. 13 DSGVO bei Erhebung proaktiv per E-Mail an eine betroffene Person zu übermitteln sind, ist daher (jedenfalls im Online-Kontext) nicht gefordert, sofern die Voraussetzung der „leichten Zugänglichkeit“ erfüllt ist (vgl. vgl. Art. 29-Datenschutzgruppe, Leitlinien für Transparenz gemäß der Verordnung 2016/679, WP 260 rev.01, 17/DE, S 22, wonach die Informationspflicht auch dadurch erfüllt werden kann, indem eine betroffene Person „aktiv zu der Stelle geleitet wird, wo die Angaben zur Verfügung stehen“, etwa über einen direkten Link).

Im vorliegenden Fall hat die Beschwerdegegnerin allerdings zu keinem Zeitpunkt ins Treffen geführt, dass die Informationen nach Art. 13 DSGVO iSd Überlegungen auf einer öffentlich zugänglichen Website für den Beschwerdeführer „leicht zugänglich“ waren. Auch im E-Mail der Beschwerdegegnerin vom 23. Jänner 2019 sind keine Anhaltspunkte ersichtlich, dass die Beschwerdegegnerin ihrer Informationspflicht nachkommt (etwa ein sinngemäßer Hinweis: „Informationen zu unserem Umgang mit Ihren personenbezogenen Daten finden Sie unter [Link]).

In diesem Zusammenhang ist darauf hinzuweisen, dass es gemäß Art. 5 Abs. 2 iVm Art. 24 Abs. 1 DSGVO dem Verantwortlichen obliegt, den Nachweis dafür zu erbringen, dass die Verarbeitung (gegenständlich: die Bereitstellung der Informationen gemäß Art. 13 zum Zeitpunkt der Erhebung) in Einklang mit der DSGVO erfolgt

Vor diesem Hintergrund ist davon auszugehen, dass die Beschwerdegegnerin ihre Informationspflicht im Zeitpunkt der Erhebung der personenbezogenen Daten des Beschwerdeführers nicht erfüllt hat.

Zu klären ist in Folge, ob sie ihre Informationspflicht bis zum Abschluss des Verfahrens vor der Datenschutzbehörde erfüllt hat:

4. Zu Spruchpunkt 2.

a) Zu Spruchpunkt 2. a)

Die Beschwerdegegnerin hat iZm mit ihrer Informationspflicht nach Art. 13 Abs. 1 lit. a DSGVO einen „Datenschutzverantwortlichen“ samt Kontaktdaten genannt.

Dazu ist festzuhalten, dass der DSGVO der Begriff „Datenschutzverantwortlicher“ fremd ist bzw. damit allenfalls der „Verantwortliche“ (vgl. Art. 4 Z 7 DSGVO) gemeint sein kann.

Davon ausgehend ist unklar, ob es sich bei dem seitens der Beschwerdegegnerin ins Treffen geführten „Datenschutzverantwortlichen“ um eine Art interne Ansprechstelle bei der Beschwerdegegnerin handelt, oder um einen Datenschutzbeauftragten iSd Art. 37 ff DSGVO. Aus Sicht des Beschwerdeführers (der zu diesem Zeitpunkt keine Kenntnis darüber hatte) hätte es sich auch um den Vertreter gemäß Art. 27 DSGVO handeln können.

Unter Berücksichtigung des in Art. 12 Abs. 1 verankerten Präzisions- und Verständlichkeitsgebots ist die Beschwerdegegnerin daher angehalten, hinreichend verständliche und präzise Informationen im Hinblick auf den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters mitzuteilen, wobei insbesondere zu erläutern ist, was unter dem Begriff „Datenschutzverantwortliche“ zu verstehen ist.

b) Zu Spruchpunkt 2. b)

Die Beschwerdegegnerin hat sich iZm mit ihrer Informationspflicht nach Art. 13 Abs. 1 lit. e DSGVO allgemein darauf beschränkt, Kategorien von Empfängern der personenbezogenen Daten zu nennen.

Die Datenschutzbehörde geht, wenngleich die DSGVO die Formulierung „oder“ verwendet, vor dem Hintergrund des ausdrücklich in Art. 5 Abs. 1 lit. a DSGVO verankerten Transparenzgrundsatzes davon aus, dass die Nennung von konkreten Empfängern zumindest der Vorrang einzuräumen ist.

Wenn es einen unverhältnismäßig hohen Aufwand verursachen würde oder die konkreten Empfänger noch nicht bekannt sind, kann sich der Verantwortliche auf die Nennung von Kategorien von Empfängern beschränken (vgl. zur Rechtslage nach der Richtlinie 95/46/EG das Erkenntnis des VfGH vom 2. Oktober 2007, B 227/05, wonach zur Frage, ob beim Auskunftsrecht [in der damaligen Terminologie] Empfänger oder Empfängerkreise zu nennen sind, eine Abwägung im Einzelfall durchzuführen ist).

Im Hinblick auf die Nennung von „Geschäftspartner“ und „Kreditauskunfteien“ ist mangels näherer Angaben seitens der Beschwerdegegnerin jedenfalls nicht nachvollziehbar, weshalb nicht die konkreten „Geschäftspartner“ und „Kreditauskunfteien“ genannt werden. Jedenfalls aber ist die Empfängerkategorie „Geschäftspartner“ zu allgemein gehalten und ist diesbezüglich näher zu differenzieren.

Die Beschwerdegegnerin ist daher angehalten, die konkreten Empfänger der personenbezogenen Daten, und falls dies nicht möglich ist oder einen unverhältnismäßig hohen Aufwand darstellt, die entsprechenden Gründe dafür, jedenfalls aber präzisere Informationen im Hinblick auf die Empfängerkategorie „Geschäftspartner“ mitzuteilen.

c) Zu Spruchpunkt 2. c)

Die Beschwerdegegnerin hat iZm mit ihrer Informationspflicht nach Art. 13 Abs. 2 lit. a DSGVO ausgeführt, dass Daten, die für Abrechnungs- und buchhalterische Zwecke oder zur Erfüllung rechtlicher Verpflichtungen benötigt werden, von einem Löschungsverlangen unberührt bleiben würden.

Festzuhalten ist, dass die Informationspflicht nach Art. 12 Abs. 2 DSGVO nach dem ausdrücklichen Verordnungstext nur dann besteht, wenn dies notwendig ist, um eine um eine faire und transparente Verarbeitung zu gewährleisten. Die Beschwerdegegnerin sieht diese Voraussetzung von Art. 12 Abs. 2 DSGVO offenbar als erfüllt an, indem sie, ohne auf diese Voraussetzung einzugehen, die Informationen nach Abs. 2 leg. cit. zumindest teilweise zur Verfügung stellt.

Im Hinblick auf die Angaben zur Speicherdauer ist festzuhalten, dass der allgemeine Hinweis auf „Abrechnungs- und buchhalterische Zwecke“ oder die „Erfüllung rechtlicher Verpflichtungen“ nicht ausreichend ist:

Einerseits handelt es sich dabei im Wesentlichen um eine Wiederholung des in Art. 5 Abs. 1 lit. e DSGVO verankerten Grundsatzes der Speicherbegrenzung, der ebenso allgemein daran anknüpft, dass personenbezogene Daten nur solange gespeichert werden dürfen, wie es für die Zwecke erforderlich ist. Andererseits entspricht diese Information nicht dem in Art. 12 Abs. 1 DSGVO verankerten Präzisions- und Verständlichkeitsgebots, da es nicht einer betroffenen Person aufgebürdet werden kann, Fristen (etwa im Hinblick auf Buchhaltung oder im Hinblick auf anderweitige Verpflichtungen eines Unternehmers in der Schweiz) recherchieren zu müssen.

Die Beschwerdegegnerin ist daher angehalten, hinreichend verständliche und präzise Informationen im Hinblick auf die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer mitzuteilen.

d) Zu Spruchpunkt 2. d)

Ausgehend von den nachträglich am 23. Jänner 2019 erteilten Informationen ist ersichtlich, dass die Beschwerdegegnerin ihrer Informationspflicht nach Art. 15 Abs. 2 lit. e DSGVO bis zum Abschluss des Verfahrens vor der Datenschutzbehörde offensichtlich nicht nachgekommen ist.

Die Beschwerdegegnerin ist daher angehalten, mitzuteilen, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.

e) Zu Spruchpunkt 2. e)

Ausgehend von den nachträglich am 23. Jänner 2019 erteilten Informationen ist ersichtlich, dass die Beschwerdegegnerin ihrer Informationspflicht nach Art. 15 Abs. 2 lit. f DSGVO bis zum Abschluss des Verfahrens vor der Datenschutzbehörde offensichtlich nicht nachgekommen ist.

Die Beschwerdegegnerin ist daher angehalten, Informationen über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person (den Beschwerdeführer) mitzuteilen.

f) Zu Spruchpunkt 2. f)

Die Beschwerdegegnerin hat die personenbezogenen Daten des Beschwerdeführers – neben dem ursprünglichen Zweck, nämlich der Beantwortung einer Kundenanfrage – wie festgestellt dazu verwendet, diesen per E-Mail zu kontaktieren, um dem Beschwerdeführer ein Angebot zur Teilnahme an einem Newsletter mit aktuellen Reiseangeboten zu unterbreiten.

Ungeachtet der Zulässigkeit dieser Anfrage, die nicht Verfahrensgegenstand ist, ist festzuhalten, dass dadurch eine Informationspflicht nach Art. 13 Abs. 3 DSGVO entstanden ist.

Ausgehend von den nachträglich am 23. Jänner 2019 erteilten Informationen ist ersichtlich, dass die Beschwerdegegnerin ihrer Informationspflicht nach Art. 15 Abs. 3 DSGVO bis zum Abschluss des Verfahrens vor der Datenschutzbehörde offensichtlich nicht nachgekommen ist.

Die Beschwerdegegnerin ist daher angehalten, mitzuteilen, ob beabsichtigt wird, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden und bejahendenfalls ebenso Informationen über diesen anderen Zweck mitzuzeilen.

g) Zum Leistungsauftrag

Festzuhalten ist, dass bei einer erfolgreichen Beschwerde gemäß § 24 Abs. 5 DSG nur dann ein Leistungsauftrag zu erteilen ist, wenn eine Beschwerde iZm dem Recht auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung geltend gemacht wird.

Nach stRsp des VwGH ist eine Analogie auch im öffentlichen Recht zulässig, Voraussetzung ist jedoch das Bestehen einer echten Rechtslücke (vgl. VwGH 10.10.2018, Ra 2018/08/0189 Rs 4 mwN).

Es ist darauf hinzuweisen, dass der österreichische Gesetzgeber im Zuge der Anpassung des DSG an die DSGVO in § 24 Abs. 5 und Abs. 6 DSG offenbar nicht davon ausgegangen ist, dass die Informationspflichten nach Art. 13 und Art. 24 DSGVO aus Sicht einer betroffenen Person umgekehrt auch als antragsunabhängige Informationsrechte geltend gemacht werden können.

Davon ausgehend ist festzuhalten, dass § 24 Abs. 5 und Abs. 6 DSG auch auf Beschwerden iZm dem Informationsrecht nach Art. 13 und Art. 14 DSGVO analog Anwendung finden.

Darüber hinaus ist darauf hinzuweisen, dass die unmittelbar in der DSGVO normierte Befugnis der Datenschutzbehörde zur Erteilung eines Leistungsauftrags nach Art. 58 Abs. 2 lit. c DSGVO ebenso Anwendung findet:

Wenngleich leg. cit. nämlich davon ausgeht, dass eine Aufsichtsbehörde einen Verantwortlichen anweisen kann, „den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen“, muss sich leg. cit. im Sinne einer an den Rechtsschutzinteressen orientierten Interpretation umgekehrt umso mehr auch auf die antragsunabhängigen Informationsrechte nach Art. 13 und Art. 14 DSGVO beziehen.

Eine Frist von vier Wochen ist angemessen, um die entsprechenden Informationen mitzuteilen.

Zur Vollständigkeit ist darauf hinzuweisen, dass dies in Bezug auf § 24 Abs. 6 DSG bedeutet, dass die Informationen nach Art. 13 und Art. 14 DSGVO auch nachträglich bis zum Abschluss des Verfahrens zur Verfügung gestellt werden können (wobei § 24 Abs. 6 DSG im Ergebnis gegenständlich nicht einschlägig ist):

Diese Überlegung findet nämlich in Art. 57 Abs. 1 lit. f DSGVO Deckung, wonach die Datenschutzbehörde Beschwerden „in angemessenem Umfang“ zu untersuchen hat.

Weitere Deckung findet diese Überlegung in ErwGr 131 erster Satz DSGVO, wonach die Verordnung eine solche „gütliche Einigung“ zwischen Verantwortlichem und betroffener Person sowie der Aufsichtsbehörde als Vermittler der DSGVO durchaus kennt. Mit anderen Worten: Sofern die Beschwer einer betroffenen Person beseitigt ist, ist das Rechtsschutzziel der Bestimmung nach Art. 77 Abs. 1 DSGVO (die daran anknüpft, dass eine Verarbeitung gegen die Verordnung „verstößt“ und nicht: „verstößt oder verstoßen hat“) erreicht.

5. Zu Spruchpunkt 3.

Nach Art. 13 Abs. 4 finden Abs. 1, Abs. 2 und Abs. 3 leg. cit. keine Anwendung – und sind die Informationen somit auch nicht an die betroffene Person mitzuteilen –, soweit die betroffene Person bereits über die Informationen verfügt.

Wie festgestellt handelt es sich beim Beschwerdeführer um einen eingetragenen Rechtsanwalt. Vor diesem Hintergrund ist davon auszugehen, dass der Beschwerdeführer als rechtskundige Person über das Bestehen seiner datenschutzrechtlichen Betroffenenrechte (Art. 13 Abs. 2 lit. b DSGVO) und des Beschwerderechts bei einer Aufsichtsbehörde (lit. d leg. cit.) bereits im Zeitpunkt der Erhebung (bzw. ganz allgemein) verfügt.

Die Datenschutzbehörde verkennt nicht, dass die Informationen nach Art. 13 DSGVO einem generellen Adressatenkreis zur Verfügung zu stellen sind und dass es sich bei mangelhafter Informationserteilung um einen objektiven Verstoß gegen die Verordnung handelt; dieser ist jedoch in einem amtswegigen Prüfverfahren („Datenschutzüberprüfung“) gemäß Art. 58 Abs. 1 lit. b DSGVO aufzugreifen.

Der Erfolg einer Beschwerde nach Art. 77 Abs. 1 iVm § 24 Abs. 1 DSG ist jedenfalls an die Voraussetzung geknüpft, dass auch eine konkrete Beschwer vorliegt, die im Hinblick auf Art. 13 Abs. 2 lit. b und lit. d DSGVO gegenständlich nicht erkennbar ist (vgl. zum Mangel einer subjektiven Rechtsverletzung etwa VwSlg 11.568 A/1984 mwN).

Im Hinblick auf das Vorbringen des Beschwerdeführers, wonach die Beschwerdegegnerin die Rechte der betroffenen Person (gemeint offenbar: die Ausübung dieser Rechte) auf schriftliche Anträge und Anträge per Email („ausschließlich“) einschränke, eine Einschränkung auf „bestimmte Kanäle“ aber nicht zulässig und insofern ein Verstoß gegen Art. 12 Abs. 2 DSGVO gegeben sei, gelten die eben getroffenen Überlegungen sinngemäß.

Wenngleich dem Beschwerdeführer inhaltlich Recht zugeben ist, ist in Bezug auf das konkrete Beschwerdeverfahren festzuhalten, dass eine Beschwer dennoch nicht erkennbar ist, da der Beschwerdeführer zu keinem Zeitpunkt behauptet hat, dass er etwa postalisch einen Antrag nach Art. 12 Abs. 3 DSGVO an die Beschwerdegegnerin gestellt hätte, welcher in Folge unbeantwortet geblieben wäre.

6. Zu Spruchpunkt 4.

Da es sich nach Art. 13 DSGVO (aus Sicht des Verantwortlichen) um eine Informationspflicht handelt, und die Informationen nicht bloß dem Beschwerdeführer, sondern einem allgemeinen Adressatenkreis zur Verfügung zu stellen sind, macht die Datenschutzbehörde im gegenständlichen Fall amtswegig von ihrer Befugnis nach Art. 58 Abs. 2 lit. d DSGVO Gebrauch.

Die Beschwerdegegnerin ist daher angehalten, ihre Informationen (ihre „Datenschutzerklärung“), welche sie mit der Datenschutzbehörde mit Stellungnahme vom 24. Jänner 2019 geteilt hat, gemäß den unter Spruchpunkt 2 lit. a bis lit. f genannten Voraussetzungen - unter Berücksichtigung der Vorgaben von Art. 12 Abs. 1 und Abs. 2 DSGVO - zu ergänzen.

Eine Frist von vier Wochen ist angemessen, um die Anweisung entsprechend umzusetzen.

Es war daher spruchgemäß zu entscheiden.

Schlagworte

Information, Informationspflicht, subjektives Recht, Hotelbuchungsplattform, Verantwortlicher, Niederlassung in der Schweiz, Verständlichkeit, Präzision, Vollständigkeit, gütliche Einigung, amtswegige Anweisung

European Case Law Identifier (ECLI)

ECLI:AT:DSB:2019:DSB.D130.206.0006.DSB.2019

Zuletzt aktualisiert am

02.12.2019

Dokumentnummer

DSBT_20190822_DSB_D130_206_0006_DSB_2019_00