Veröffentlicht am

DSB veröffent­licht Leit­faden zum Infor­mations­frei­heits­gesetz

Am 13. Jänner 2025 legte die Datenschutzbehörde den Entwurf eines Leitfadens zum Informationsfreiheitsgesetz (IFG) vor. Das IFG räumt der Datenschutzbehörde eine zentrale Rolle bei der Umsetzung des Gesetzes ein, indem sie „Leitfäden und Angebote zur Fortbildung in datenschutzrechtlichen Belangen der Vollziehung der Informationsfreiheit“ bereitstellt.

Das IFG tritt am 1. September 2025 in Kraft. Es soll die Transparenz im öffentlichen Bereich sorgen und den Zugang zu Informationen von allgemeinem Interesse erleichtern. Das Gesetz ist ein wichtiger Schritt in Richtung größerer Transparenz und Bürgerbeteiligung in Österreich. Es bringt aber auch neue Herausforderungen für die Adressaten, insbesondere im Hinblick auf Informations­manage­ment, Sicherheit und Datenschutz.

Das IFG normiert eine Verpflichtung zur proaktiven Veröffentlichung, der u.a. Legislative, Verwaltungsbehörden und Gerichte unterliegen. Private Stellen wie Stiftungen, Fonds und Unternehmen, die der Kontrolle des Rechnungshofes oder eines Landesrechnungshofes unterliegen, sind von dieser Verpflichtung ausgenommen. Sie müssen jedoch Zugang zu Informationen gewähren, wenn ein entsprechender Antrag gestellt wird.

Das Gesetz sieht einige Ausnahmen vor, bei denen der Zugang zu Informationen verweigert werden kann. Besonders für private Stellen ist es unbedingt notwendig, diese Fragen im Vorfeld zu klären und Unsicherheiten auszuräumen. Antragsteller können sich zur Berufung an das zuständige Bundes- oder Landesverwaltungsgericht wenden, wenn sie mit der Beantwortung nicht einverstanden sind. Für die Verweigerung einer Information muss die betroffene Stelle daher eine stichhaltige und nachvoll­zieh­bare Begründung liefern. Ein klar definierter interner Arbeitsablauf ist besonders wichtig, da zur Bearbeitung nur vier Wochen zur Verfügung stehen.

Veröffentlicht am

EuGH: Abfrage der Geschlechtsidentität bei Bahntickets unzulässig

Der Europäische Gerichtshof (EuGH) hat entschieden (Urteil vom 9.1.2025 – C-394/23), dass Eisenbahnunternehmen ihre Kunden nicht verpflichten dürfen, beim Ticketkauf über die Wahl einer Anrede ihr Geschlecht offenzulegen. Diese Praxis verstößt gegen die Datenschutz­grundverordnung (DSGVO), da eine geeignete Rechtsgrundlage für die Verarbeitung fehlt und sie zudem nicht mit dem Grundsatz der Datenminimierung vereinbar ist.

Hintergrund des Verfahrens

Anlass des Vorabentscheidungsverfahrens war eine Beschwerde des Verbands Mousse, der sich gegen sexuelle Diskriminierung einsetzt. Mousse beanstandete vor der französischen Datenschutzbehörde CNIL die Praxis des Unternehmens SNCF Connect. Dieses verlangte von seinen Kunden, beim Online-Kauf von Fahrscheinen zwischen den Anreden „Herr“ und „Frau“ zu wählen. Nach Ansicht von Mousse handelt es sich hierbei um eine unverhältnismäßige Datenerhebung, die gegen die Grundsätze der DSGVO verstößt, insbesondere die der Rechtmäßigkeit und der Datenminimierung. Die CNIL wies die Beschwerde jedoch 2021 zurück, woraufhin Mousse den französischen Staatsrat anrief. Dieser legte die Frage dem EuGH vor.

EuGH: Anrede ist nicht erforderlich

Der EuGH stellte klar, dass für die Verarbeitung der gegenständlichen Daten als Rechtsgrundlage nur die Erfüllung des jeweiligen Vertrags (Art. 6 Abs. 1 lit. b DSGVO) oder die Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) in Frage kommen. Im vorliegenden Fall sei die Angabe der Anrede bzw. des Geschlechts für die Erfüllung eines Schienen­transport­vertrags aber nicht erforderlich. Die ordnungsgemäße Durchführung hänge nicht davon ab, wie ein Kunde angesprochen wird.

Kein berechtigtes Interesse der Unternehmen

Der EuGH verwarf auch die Anwendung der Rechtsgrundlage eines berechtigten Interesses des Unternehmens. Die Datenverarbeitung müsse dafür objektiv notwendig sein und dürfe die Rechte und Freiheiten der betroffenen Personen nicht überwiegen. Die Verpflichtung zur Angabe der Anrede könne jedoch zu einer Diskriminierung aufgrund der Geschlechts­identität führen und sei daher nicht verhältnismäßig. Zudem sei den Kunden das berechtigte Interesse nicht kommuniziert worden, zu dessen Umsetzung diese Daten erhoben wurden.

Bedeutung des Urteils

Das Urteil unterstreicht, dass Unternehmen bei der Verarbeitung personenbezogener Daten strikte Maßstäbe anlegen müssen. Insbesondere der Grundsatz der Datenminimierung schränkt die Erhebung von Daten ein, die nicht zwingend notwendig sind. Dies gilt auch für Angaben wie die Anrede oder das Geschlecht.

Für Unternehmen bedeutet das Urteil, dass sie ihre Datenverarbeitungspraxis kritisch prüfen und gegebenenfalls anpassen müssen, um rechtskonform zu handeln. Gleichzeitig stärkt die Entscheidung den Schutz vor unnötigen Datenerhebungen und potenzieller Diskrimi­nie­rung.

Veröffentlicht am

91 Millionen Euro Bußgeld für Meta

Die irische Datenschutzbehörde (DPC) hat Meta erneut mit einer Strafe belegt – diesmal in Höhe von 91 Millionen Euro. Grund dafür war ein Sicherheitsvorfall im Jahr 2019, bei dem Meta ca. hundert Millionen Passwörter unverschlüsselt auf seinen Servern speicherte.

Die DPC begann im April 2019 mit der Untersuchung, nachdem Meta den Vorfall gemeldet hatte. Dabei stellte sich heraus, dass Meta aufgrund unzulänglicher Sicherheitsmaßnahmen gegen die DSGVO verstoßen hatte. Das Risiko war erheblich, da unbefugte Dritte dadurch auf Social-Media-Konten und möglicherweise auch auf sensible Informationen zugreifen konnten. Zusätzlich meldete Meta den Vorfall nicht innerhalb der vorgeschriebenen 72 Stunden und dokumentierte ihn nicht korrekt.

Graham Doyle, der stellvertretende Kommissar der DPC, betonte, dass es allgemein als Standard gilt, Passwörter niemals unverschlüsselt oder im Klartext zu speichern, da dies mit hohem Missbrauchsrisiko verbunden ist.

Meta erklärte, dass der Fehler in den Passwortmanagement-Prozessen nach einer internen Überprüfung im Jahr 2019 entdeckt und umgehend behoben wurde. Es gebe keine Hinweise darauf, dass die Passwörter missbraucht oder unbefugt abgerufen wurden.

Die Geldstrafe ist höher als ein früheres Bußgeld von 17 Mio. EUR, das Meta 2022 für einen Vorfall erhielt, bei dem bis zu 30 Mio. Nutzer betroffen waren. Dies spiegelt eine Tendenz zu höheren Bußgeldern wider, die sich zunehmend durchsetzt und darauf abzielt, Unter­nehmen stärker für den Schutz von Nutzerdaten zur Verantwortung zu ziehen.

Veröffentlicht am

Auskunftsrecht genießt Vorrang vor Geschäfts­geheimnis­­interesse eines Glücks­­spiel­an­bieters

Das Oberlandesgericht Wien hat in einem Urteil vom 10. Juni 2024 (GZ 14 R 48/24t) ent­schie­den, dass einer von einem Glücksspielanbieter geschädigten Person das Recht auf Aus­kunft nach Art. 15 DSGVO zusteht. Der Anbieter argumentierte, dass die betroffene Person das Auskunftsrecht lediglich zur Erlangung von Beweismitteln für einen Zivilprozess missbrauchen wolle und daher kein legitimes Auskunfts­begehren vorliege. Das Gericht wiederholte die Auffassung des EuGH, dass ein Auskunftsersuchen auch dann zulässig ist, wenn es daten­schutz­fremde Ziele verfolgt. Da es aber seit der Veröffentlichung des EuGH-Urteils noch keine Entschei­dung eines österreichischen Höchstgerichts gibt, erklärte das Gericht die ordentliche Revision für zulässig.

Der Fall begann, als ein Geschädigter vom Glücks­spiel­anbieter Auskunft über seine personenbezogenen Daten forderte, um eine mög­liche Rückforderungsklage vorzubereiten. Der Anbieter verweigerte diese Auskunft mit der Begründung, dass dem Kläger kein Auskunftsrecht nach Art. 15 DSGVO zustehe. Er argumen­tierte, der Kläger wolle nur Beweismittel für einen drohenden Zivilprozess erlangen und nicht die Rechtmäßigkeit der Datenverarbeitung über­prüfen, was das Aus­kunfts­recht rechtsmiss­bräuchlich mache. Darüber hinaus gab der Anbieter an, dass die angeforderten Informationen einem berechtigten Geheimhaltungs­inter­esse gemäß § 4 Abs. 6 DSG iVm Art. 15 Abs. 4 DSGVO unterlägen, da eine Schwä­chung seiner Rechtspo­siti­on drohe.

Das Oberlandesgericht Wien lehnte diese Argumentation ab. Es betonte, dass das berechtigte Geheimhaltungsinteresse des Anbieters gemäß § 4 Abs. 6 DSG iVm Art. 15 Abs. 4 DSGVO zwar die Rechte und Freiheiten anderer Personen, einschließlich Geschäfts- und Betriebsgeheimnissen schützen solle, jedoch nicht dazu führen dürfe, dass der betroffenen Person jegliche Auskunft verweigert wird. Dies werde insbesondere im letzten Satz von Erwägungsgrund 63 der DSGVO deutlich gemacht.

In der Begründung verweist das Gericht auf das EuGH-Urteil (C-307/22) vom 26. Oktober 2023. In einem ähnlich gelagerten Fall hatte der EuGH entschieden, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unent­geltlich eine erste Kopie ihrer personenbezogenen Daten zur Verfügung zu stellen, auch dann gilt, wenn der Antrag mit anderen als den in Satz 1 von ErwGr 63 DSGVO genannten Zwecken begründet wird. Es wurde klargestellt, dass betroffene Personen das Recht auf freien Zugang zu ihren Daten haben, ohne dass sie ihren Antrag begründen müssen. Eine Ausnahme be­steht nur, wenn der Antrag offenkundig unbegründet oder exzessiv ist.

Veröffentlicht am

TC-String als personenbezogenes Datum eingestuft

Am 7. März 2024 hat der Europäische Gerichtshof (EuGH) im Rahmen eines Vorabent­schei­dungsverfahrens eine wegweisende Entscheidung (C-604/22) getroffen, die erhebliche Aus­wirkungen auf die Online-Werbeindustrie hat. Das Urteil betrifft das „Transparency and Consent Framework“ (TCF) des Interactive Advertising Bureau (IAB) Europe und stellt fest, dass der TC-String als personenbezogenes Datum anzusehen ist.

Das IAB Europe ist ein Verband, der Unternehmen der digitalen Werbe- und Marketing­indu­strie auf europäischer Ebene vertritt. Seine Mitglieder, darunter Medien- und Technologieunternehmen, nutzen das TCF, um Einwilli­gungen für die Erhebung und Verarbeitung von Daten zu verwalten. Das TCF bietet einen Standard für die Abfrage und Übermittlung von Nutzereinwilligungen.

Dabei wird ein „Transparency and Consent String“ (TC-String) generiert, der die Einwilligungs­­präferenzen des Nutzers kodiert. Dieser TC-String wird von den Mitgliedsun­terneh­men des IAB Europe genutzt, um personalisierte Werbung auszuspielen. Neben dem TC-String wird auch ein Cookie – euconsent-v2 – auf dem Gerät des Nutzers hinterlegt.

Die belgische Datenschutzbehörde hatte zuvor festgestellt, dass die Speicherung des TC-Strings in Verbindung mit der IP-Adresse des Nutzers gegen die DSGVO verstößt. Das EuGH bestätigte diese Ansicht und stellte fest, dass der TC-String ein personenbezogenes Datum im Sinne der DSGVO ist. Laut EuGH enthält der TC-String benutzerspezifische Einstellungen, die wenn sie mit anderen Identifikatoren wie IP-Adressen verknüpft werden, zur Identifizierung einer bestimmten Person führen können.

Darüber hinaus sieht der EuGH das IAB Europe und seine Mitglieder als gemeinsame Verantwortliche für die im Rahmen des TCF verarbeiteten Daten an. Dies bedeutet, dass sie Vereinbarungen hinsichtlich ihrer gemeinsamen Verantwortlichkeit abschließen müssen.

Das Urteil hat weitreichende Konsequenzen für Unternehmen, die das TCF nutzen. Es wird erwartet, dass erhebliche Änderungen bei der Einholung von Einwilligungen und der Generierung des TC-Strings erforderlich sind.

 

Veröffentlicht am

EuGH-Urteil zur Verhängung von Geldbußen (Deutsches Wohnen)

Der Europäische Gerichtshof (EuGH) hat kürzlich in einem Urteil (Rechtssache C-807/21) entschieden, dass Geldbußen gegen juristische Personen wie Unternehmen grundsätzlich zulässig sind. Im spezifischen Fall der „Deutsche Wohnen SE“ könnte das zuvor aufgehobene Bußgeld von über 14 Mio. EUR wieder wirksam werden.

Der Deutsche Wohnen SE wurde vorgeworfen, dass sie personenbezogene Daten von Mietern ihrer Tochterunternehmen unrechtmäßig lange gespeichert hat. Diese Daten, einschließlich sensibler Informationen wie Identitäts­nach­weise, Steuer-, Sozial- und Krankenversi­cherungs­daten, waren auch nach dem Auszug der Mieter noch einsehbar, obwohl die Aufbewahrungs­fristen abgelaufen waren. Nach einem ersten Hinweis der Aufsichtsbehörde im Jahr 2017 wurde 2019 ein Bußgeld verhängt, da die Deutsche Wohnen SE es vorsätzlich versäumte, diese Daten zu löschen.

Nach deutschem Recht (§ 30 OWiG) wurde aber argumentiert, dass eine Ordnungswürdigkeit nur von einer natürlichen Person begangen und dieser zugerechnet werden kann, nicht jedoch einer juristischen Person. Der Fall gelangte vor das Kammergericht Berlin, das dem EuGH folgende Fragen vorgelegt hat:

  1. Kann ein Bußgeldverfahren gegen ein Unternehmen durchgeführt werden, ohne dass ein Fehlverhalten einer identifizierten natürlichen Person festgestellt wird?
  2. Muss das Unternehmen den durch einen Mit­arbeiter vermittelten Verstoß schuldhaft begangen haben oder reicht ein objektiver Verstoß gegen die DSGVO aus, um das Unternehmen zu bestrafen („strict liability“)?

Der EuGH stellte fest, dass laut Art. 83 Abs. 3 iVm Art. 4 Z 7 DSGVO auch juristische Personen für Datenschutzverstöße verantwortlich sein können. Es sei nicht zwingend erforderlich, die natürliche Person zu identifizieren, die den Ver­stoß begangen hat. Jedoch betonte der EuGH, dass Vorsatz oder Fahrlässigkeit eine Rolle spielen müssen, um Geldbußen gemäß der DSGVO zu verhängen.

Es bleibt abzuwarten, wie das Berliner Kammer­gericht den Nachweis von Vorsatz und Fahr­lässig­keit im Fall der Deutschen Wohnen bewerten wird. Das Urteil hat potenziell weit­reichende Aus­wirkungen auf die Handhabung von Bußgeldverfahren gegen Unterneh­men und die Bewertung von Vorsatz und Fahrlässigkeit bei juristischen Personen nach geltendem Recht.

Veröffentlicht am

Tesla-Mitarbeiter teilen private Aufnahmen von Kunden

San Francisco, 06.04.2023   Ein möglicher Skandal erschüttert das Vertrauen in den US-Elektroautohersteller Tesla. Wie die Nachrichtenagentur Reuters berichtet, sollen Mitarbeiter zwischen 2019 und 2022 Bilder und Videos, die von den eingebauten Kameras ihrer Kunden aufgenommen wurden, über ein internes Messaging-System untereinander geteilt haben. Darunter waren nicht nur intime Einblicke in das Privatleben der Kunden, sondern auch tragische Unfälle wurden zur Belustigung in „Memes“ verwandelt.
So berichten neun Ex-Mitarbeiter, dass Kunden nackt in deren Garage gefilmt wurden. Auch die Familienmitglieder der Tesla-Besitzer waren zu sehen. Ein Video zeigte, wie ein Tesla-Fahrer mit hoher Geschwindigkeit durch ein Wohngebiet raste und dabei ein Kind auf dessen Fahrrad traf.

Zweck der Verarbeitung war das Training des KI-Systems von Tesla, um die verschiedenen Verkehrsteilnehmer, Straßen und Verkehrsschilder automatisch zu erkennen und so Funktionen wie den Autopiloten zu ermöglichen. Hunderte Mitarbeiter erhalten diese Aufnahmen mit dem Auftrag, sie einer bestimmten Kategorie zuzuordnen. Tesla-Fahrer werden über diesen Vorgang informiert und müssen ihre Einwilligung erteilen. Diese umfasst aber eben nur den Zweck des KI-Trainings und nicht die Verbreitung zu anderen Zwecken.

Im Februar hatte bereits die niederländische Datenschutzbehörde Ermittlungen wegen Teslas „Sentry Mode“ aufgenommen. Dieser ermöglicht die Aufnahme von Bildmaterial, wenn verdächtige Aktivitäten um das geparkte Fahrzeug registriert werden. Nun hat Tesla reagiert und sämtliche Änderungen vorgenommen, sodass die Datenschutzbehörde von weiteren Strafverfahren absieht.

In einer Stellungnahme an Reuters konnte Tesla die datenschutzrechtlichen Bedenken nicht ausräumen. Es gibt keine Sicherheitsvorkehrungen, die eine unbefugte Weitergabe privater Daten durch Konzernmitarbeiter verhindern könnten.

Veröffentlicht am

Italienische Datenschutzbehörde untersagt ChatGPT-Verarbeitung

Rom, 31.03.2023   Die italienische Datenschutzbehörde GPDP (Garante per la Protezione dei Dati Personali, “Garante della privacy”) hat am 31. März den KI-Dienst ChatGPT mit sofortiger Wirkung im gesamten Land sperren lassen und ein Verfahren wegen Datenschutzverstößen gegen den US-Betreiber OpenAI eingeleitet. Grund dafür ist der Verdacht auf die nicht rechtmäßige Verarbeitung personenbezogener Daten und der fehlende Jugendschutz der KI-Plattform.

Der Chatbot genießt seit seiner Veröffentlichung im November 2022 vor allem bei Jugendlichen große Popularität. Die Website verzeichnete im Januar 2023 durchschnittlich 13 Millionen Besucher pro Tag. Mithilfe von künstlicher Intelligenz werden (auch komplexe) Fragen beantwortet und Texte anhand weniger Stichworte erstellt.

„Es fehlt die Rechtsgrundlage für eine massenhafte Erhebung und Speicherung personenbezogener Daten, um die dem Betrieb der Plattform zugrunde liegenden Algorithmen zu trainieren“, gab die italienische Datenschutzbehörde in einer Aussendung bekannt. Außerdem wurde das Fehlen eines Altersfilters, um Minderjährige vor verstörenden Inhalten zu schützen, beanstandet.

Das Unternehmen hat nun 20 Tage Zeit um den Behörden geeignete Datenschutzmaßnahmen zu präsentieren. Andernfalls droht eine Geldstrafe bis zu 20 Mio. Euro oder vier Prozent seines weltweiten Jahresumsatzes.

Veröffentlicht am

DSB beurteilt Facebook Tracking-Dienste als nicht datenschutzkonform

Wien, 22.03.2023   In einer kürzlich von noyb veröffentlichten Entscheidung behandelt die österreichische Datenschutzbehörde (DSB) eine Beschwerde gegen den Einsatz der Facebook Business Tools auf der Website eines österreichischen Medienunternehmens. Die DSB beurteilte diesen als mit der DSGVO unvereinbar, da von Facebook Login und Facebook Pixel personenbezogene Daten an die Facebook-Mutter Meta in die USA transferiert werden. Damit habe das Medienunternehmen gegen Art. 44 DSGVO verstoßen. Der Bescheid ist noch nicht rechtkräftig.

Die Beschwerde betraf einen Fall aus August 2020. Facebook berief sich zu diesem Zeitpunkt auf den Privacy Shield, der infolge von Schrems II bereits außer Kraft war. Die Gültigkeit der EU-Standardvertragsklauseln (SCC), auf die sich Meta seitdem beruft, wurde von der Behörde nicht geprüft. Sie ist aber angesichts der Schwierigkeiten, das erforderliche Transfer Impact Assessment (TIA) zu erstellen, äußerst fragwürdig, u.a. da sich die DSB in ihrer Beweiswürdigung auf den Meta-Transparenzbericht bezog und befand, „dass die US-Geheimbehörden regelmäßig […] Anfragen stellen.“

Für Datenschutzinsider ein Déjà-vu: Schon Anfang 2022 hatte die DSB den Einsatz von Google Analytics als nicht rechtskonform beurteilt. Nun sind auch die Tracking Tools von Facebook betroffen. Der Einsatz von US-Anbietern bleibt riskant.

Veröffentlicht am

Europäisches Parlament stimmt für Datengesetz

Strasbourg, 14.03.2023   Mit 500 zu 23 Stimmen – bei 110 Enthaltungen – wurde gestern der Vorschlag der Europäischen Kommission für ein Europäisches Datengesetz (Data Act) angenommen.
Das Datengesetz regelt den Umgang mit nicht-personalisierten Daten und soll neue Dienste ermöglichen, insbesondere im Bereich der künstlichen Intelligenz, wo große Datenmengen für die Entwicklung von Algorithmen verwendet werden. Der Data Act sollte auch Verbraucher*innen besser schützen, etwa durch den erleichterten Zugang zu Daten, die durch die Verwendung vernetzter Produkte wie intelligenter Hausgeräte, moderner Autos und/oder damit verbundener Dienste im IoT erzeugt werden.
Der am Dienstag im Europäischen Parlament in Straßburg angenommene Gesetzesentwurf ist Ausgangsposition des Parlaments für die Verhandlungen mit den EU-Mitgliedstaaten.