GZ: 2023-0.243.883 vom 2. Oktober 2024 (Verfahrenszahl: DSB-D124.0640/22)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Mag. Helmuth A*** (Beschwerdeführer) vom 25. April 2022 gegen die K*** Medien Holding GmbH (Beschwerdegegnerin), vertreten durch Rechtsanwältin Mag. Lisbeth B***, wegen einer Verletzung der allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO sowie Information gemäß Art. 13 DSGVO und Auskunft gemäß Art. 15 DSGVO wie folgt:
1. Der Beschwerde wegen einer behaupteten Verletzung der allgemeinen Grundsätze der Datenübermittlung wird stattgegeben und es wird festgestellt , dass die Beschwerdegegnerin Art. 44 DSGVO verletzt hat, indem sie bei der Übermittlung der personenbezogenen Daten des Beschwerdeführers die Vorgaben des Art. 44 DSGVO nicht erfüllt hat.
2. Der Beschwerde wegen einer behaupteten Verletzung im Recht auf Information wird stattgegeben und es wird festgestellt , dass die Beschwerdegegnerin den Beschwerdeführer dadurch im Recht auf Information verletzt hat, indem sie diesem zum Zeitpunkt der Datenerhebung nicht die gemäß Art. 13 DSGVO erforderlichen Informationen zur Verfügung stellte und somit ihrer Informationspflicht gemäß Art. 13 DSGVO nicht nachgekommen ist.
3. Die Beschwerde im Recht auf Auskunft wird abgewiesen .
Rechtsgrundlagen: Art. 5, Art. 13, Art. 15, Art. 44, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Mit verfahrenseinleitender Eingabe vom 25. April 2022, verbessert mit Schreiben eingelangt am 9. Mai 2022, brachte der Beschwerdeführer zusammengefasst vor, er sei in seinem Recht auf Information und Auskunft verletzt worden. Es sei sein Recht auf Information verletzt worden, da ihm keinerlei Informationen über die erhobenen bzw. gespeicherten Daten mitgeteilt worden seien. Das Auskunftsbegehren sei nicht beantwortet worden. Da er über eine Speicherung seiner Daten bei einem amerikanischen Anbieter nicht informiert worden sei, geschweige denn, dem zugestimmt habe, fehle der Datenübermittlung in die USA jede Rechtsgrundlage. Darüber hinaus begehre er die Feststellung des illegalen Datentransfers in die USA. Zumindest seine E-Mail-Adresse müsse an einen amerikanischen Dienstleister übertragen worden sein.
2. Mit Eingabe vom 27. Juni 2022 brachte die anwaltlich vertretene Beschwerdegegnerin zusammengefasst vor, der Grund, dass dem Ersuchen des Beschwerdeführers erst auf diese Weise nachgekommen worden sei, liege darin, dass ein Mitarbeiter des Servicecenters, für dessen Betrieb die Beschwerdegegnerin einen externen Dienstleister (I*** Helpdesk GmbH) heranziehe, die eingelangte Anfrage des Beschwerdeführers nicht an die zuständige Beschwerde- und Reklamationsabteilung bei der Beschwerdegegnerin weitergeleitet habe. Der Dienstleister I*** Helpdesk GmbH habe diesen Fehler zugestanden und entsprechende interne Maßnahmen gesetzt, um ein Wiederholen des Fehlers tunlichst zu vermeiden.
Im Anhang übermittelte die Beschwerdegegnerin ein Auskunft- und Informationsschreiben.
Für den Versand bzw. die Zustellung des gegenständlichen E-Mails an den Beschwerdeführer sei von der Beschwerdegegnerin der Dienstleister R*** Deutschland GmbH bzw. R*** Inc. eingesetzt worden. R*** verfolge den Ansatz des „regionalen Data Hostings“, d.h. dass Daten, die in das System von R*** eingegeben werden, möglichst nahe am Standort des jeweiligen Kunden (also der Beschwerdegegnerin) verarbeitet und gespeichert werden. Nichtsdestotrotz könnten aufgrund der globalen Ausrichtung der Services und Dienste von R*** Datenübermittlungen in ein Drittland nicht gänzlich ausgeschlossen werden. Allfällige Datenübermittlungen in ein Drittland würden auf der Rechtsgrundlage nach Art. 46 Abs. 2 lit. c DSGVO erfolgen. R*** verpflichte sich demgemäß das europäische Datenschutzniveau einzuhalten und die Anforderungen der DSGVO für eine rechtskonforme Datenverarbeitung zu gewährleisten. Darüber hinaus bekenne sich R*** in ihren eigenen Äußerungen dazu, europäische Datenübertragungen zu schützen.
Nach Ergehen des Schrems II Urteils sei bei der Beschwerdegegnerin ein umfassendes Projekt zur Sicherstellung der Schrems II Konformität ausgerollt worden, um die damit verbundenen Anforderungen einzuhalten. Insbesondere seien alle (potenziellen) Datenübermittlungen in ein Drittland erfasst und anhand ihrer unterschiedlichen Datenverarbeitungen kategorisiert bzw. bewertet worden.
Auf diese Weise konnte eine fundierte IST-Stand Analyse erfolgen. Die dabei ermittelten Datenübertragungen mit Drittlandbezug seien in weiterer Folge einer umfassenden Transfer-Impact-Analyse (kurz „TIA“) unterzogen worden, innerhalb derer nicht nur die Art der personenbezogenen Daten und die mit der Datenverarbeitung verfolgten Zwecke, sondern auch das jeweils anwendbare Recht des Drittlandes und die ergriffenen Datensicherheitsmaßnahmen berücksichtigt wurden. Die solcherart erstellten Parameter für die Durchführung der TIA seien auch beim hier gegenständlichen Fall, nämlich beim Einsatz von R*** als E-Mail-Versandsoftware, zu Tragen gekommen. Gleichzeitig sei das Projekt zum Anlass genommen, mit Vertragspartnern die Abschlussmöglichkeiten der neuen SCC [Anmerkung Bearbeiter/in: gemeint sind hier Standard Contractual Clauses/ Standardvertragsklauseln, siehe auch weiter unten] zu forcieren.
Der Beschwerdegegnerin sei seitens R*** mitgeteilt worden, dass sich R*** dazu verpflichte, personenbezogene Daten europäischer Bürger in Übereinstimmung mit den SCC zu verarbeiten. Darüber hinaus sehe die Security Overview von R*** weitreichende Datenverschlüsselungen vor.
Die Services von R*** würden derzeit in der östlichen Region der USA gehostet werden und würde die derart stattfindende Datenübermittlung in die USA auf Grundlage der zwischen R*** und dem Kunden abgeschlossenen SCC erfolgen. Ferner werde in diesem Zusammenhang bekanntgegeben, dass R*** nach eigenen Angaben zwar grundsätzlich in den Anwendungsbereich von US-amerikanischen Überwachungsgesetzen falle, jedoch bis dato noch keine einzige Anfrage von US-amerikanischen Überwachungsbehörden erhalten habe. Sollte zukünftig eine derartige Anfrage an R*** gestellt werden, so sei R*** dazu verpflichtet, derartige Anfragen gegenüber Kunden offenzulegen und - sofern eine derartige Offenlegung nach dem anwendbaren Recht verboten sei - das Minimum an Informationsgehalt über derartige Anfragen mit Kunden zu teilen.
Beigelegt waren folgende Schreiben:
Schreiben an den Beschwerdeführer gemäß § 24 Abs 6 DSG samt Anlage A (Beilage ./1);
Screenshot-Konvolut aus dem System der Beschwerdegegnerin (Beilage ./2);
Regional Data Hosting (Beilage ./3);
Das neue EU-Rechenzentrum von R*** (Beilage ./4);
Vereinbarte SCC mit R*** (Beilage ./5);
R*** verpflichtet sich zum Schutz von EU-Datenübertragungen (Beilage ./6);
Korrespondenz mit R*** als Konvolut (Beilage ./7);
Nutzungsbedingungen von R*** (Beilage ./8);
R*** Security Overview (Beilage ./9);
FAQs on R***s use of Standard Contractual Clauses (Beilage ./10);
3. Mit Eingabe vom 14. Juli 2022 führte der Beschwerdeführer im Rahmen seines Parteiengehörs im Wesentlichen aus, die Auskunft sei nicht innerhalb der gesetzlich festgelegten Frist erfolgt. Darüber hinaus würden personenbezogene Daten ohne seine Zustimmung bzw. ohne vorhergehende Information an mehrere Unternehmen übermittelt werden. Diese Übermittlungen seien ohne rechtliche Grundlage erfolgt.
Die Rechtmäßigkeit dieses Datentransfers an R*** werde bestritten. Denn nicht zuletzt aufgrund des Schrems II Urteils sei klar, dass die Standarddatenschutzklauseln alleine keinen ausreichenden Schutz darstellen könnten. In diesem Zusammenhang sei darauf hingewiesen, dass die Beschwerdegegnerin den Vertrag mit R*** Inc und nicht mit der R*** Deutschland GmbH habe.
Weiter sei bekannt, dass E-Mail-Marketing Systeme wie R*** umfassende Verhaltensdaten wie Öffnungen oder Klicks erfassen. Das sei offenbar auch in diesem Fall geschehen, da Links in dem betroffenen E-Mail eindeutig mit einer ID versehen gewesen seien und damit von einer Erfassung personenbezogener Verhaltensdaten ausgegangen werden könne. Für diese Datenverarbeitung liege keine Zustimmung oder andere Rechtsgrundlage vor, daher sei sie ohne rechtliche Grundlage erfolgt.
4. Mit Schreiben vom 8. September 2022 führte die Beschwerdegegnerin ergänzend aus, sie möchte nochmals darauf hinweisen, dass sie ein umfassendes Projekt zur Einhaltung der Anforderungen gemäß dem Schrems II Urteil im Unternehmen ausgerollt habe.
Bei der Durchführung der TIA sei nicht nur die Art der verarbeiteten personenbezogenen Daten und die mit der Datenverarbeitung verfolgten Zwecke, sondern auch das jeweils anwendbare Recht des betroffenen Drittlandes sowie die konkret ergriffenen Datensicherheitsmaßnahmen berücksichtigt worden.
Diese Parameter seien auch bei der Beurteilung des Einsatzes von R*** (als E-Mail-Versandsoftware der Beschwerdegegnerin) zum Tragen gekommen, wobei bereits an dieser Stelle darauf hinzuweisen sei, dass lediglich der Name und die E-Mail-Adresse des Beschwerdeführers in die E-Mail-Versandsoftware von R*** (zu dem eingeschränkten Zweck der E-Mail-Zusendung an den Beschwerdeführer) eingegeben worden sei.
Die Beschwerdegegnerin habe sich mit den zuständigen Personen von R*** in Verbindung gesetzt, um sicherzustellen, dass die Anforderungen des Schrems II Urteils (in Zusammenhang mit der Verwendung der E-Mail-Versandsoftware von R***) erfüllt seien.
R*** habe sich dazu verpflichtet, personenbezogene Daten übereinstimmend mit den Regelungen der neuen SCC zu verarbeiten.
Die neuen SCC seien als Anhang 3 der Nutzungsbedingungen zum Vertragsbestandteil zwischen R*** und der Beschwerdegegnerin erklärt worden und würden die maßgebliche Grundlage für die Verarbeitung von personenbezogenen Daten europäischer Betroffener bilden.
Darüber hinaus habe R*** in Bezug auf die Frage, wie das europäische Datenschutzniveau bei der Verwendung der E-Mail-Versandsoftware sichergestellt werde, Dokumente übermittelt, in denen sich umfangreiche Ausführungen zu ergänzenden technischen und organisatorischen Maßnahmen, die von R*** implementiert und umgesetzt wurden, befinden würden.
Darin werde ua, festgehalten, dass verarbeitete personenbezogene Daten zeitnahe in europäische Rechenzentren migriert und weitreichende Verschlüsselungsmaßnahmen gesetzt werden würden. Darüber hinaus sei in der gesamten Unternehmenshistorie von R*** noch keine einzige Anfrage von US-amerikanischen Überwachungsbehörden (etwa in Form eines National Security Letters) an R*** herangetragen worden.
Die Beschwerdegegnerin sei zu der Einschätzung gelangt, dass das Risiko der Beeinträchtigung von Rechten und Freiheiten betroffener Personen im Zusammenhang mit der Verwendung der E-Mail-Versandsoftware von R*** als gering einzustufen sei. Ausschlaggebend dafür sei insbesondere gewesen, dass nur wenige, nicht sensible personenbezogene Daten, nämlich Name und E-Mail-Adresse, zu dem überschaubaren und eingeschränkten Zweck der E-Mail-Zustellung in die E-Mail-Versandsoftware von R*** eingegeben werden.
In die E-Mail-Versandsoftware von R*** sei der Name und die E-Mail-Adresse des Beschwerdeführers zum Zweck der E-Mail-Zustellung an den Beschwerdeführer eingegeben worden. Es könne nicht ausgeschlossen werden, dass diese Daten (Name und E-Mail-Adresse) in ein Drittland (USA) übermittelt wurden.
R*** habe umfangreiche ergänzende Maßnahmen im Sinne der Empfehlung 01/2020 des EDPB implementiert und umgesetzt, um das europäische Datenschutzniveau effektiv zu gewährleisten und um die allermeisten behördlichen Zugriffe (die über das notwendige einer demokratischen Gesellschaft hinausgehen) hintanzuhalten.
Von R*** seien insbesondere folgende ergänzende Maßnahmen gesetzt worden, um sicherzustellen, dass Beeinträchtigungen des europäischen Datenschutzniveaus nicht unverhältnismäßig sind und über das hinausgehen, was in einer demokratischen Gesellschaft notwendig sei:
R*** verschlüssle Daten sowohl während der Übertragung als auch im Ruhezustand. Die Dechiffrierungsschlüssel würden in gehärteten „Key Management Systemen“ (KMS) verwahrt und regelmäßig (in unterschiedlichen Zeitabständen) von R*** ausgewechselt werden, um das Sicherheitsniveau hochzuhalten. Die dargestellten und ergriffenen technischen Maßnahmen würden zusätzlich durch vertragliche Maßnahmen ergänzt werden. So finde sich beispielsweise die vertragliche Bestimmung, dass R*** die Vertraulichkeit von Informationen (bzw. personenbezogene Daten) der Beschwerdegegnerin zu schützen habe. Weiters sei geregelt, dass ein Offenlegen von Daten gegenüber Dritten (wie z.B. Behörden) grundsätzlich nicht erlaubt sei. Für den Fall, dass R*** aber zukünftig zur Offenlegung von Daten an eine Behörde verpflichtet sein sollte, müsse R*** diesen Umstand gegenüber der Beschwerdegegnerin umgehend anzeigen.
Schließlich sei auch absehbar, dass Daten in naher Zukunft in europäische Rechenzentren migriert und auch ausschließlich dort verarbeitet und gespeichert werden. Ein unmittelbarer Drittlandbezug werde damit allsbald faktisch eingeschränkt, wenn nicht sogar gänzlich ausgeschlossen werden.
Für die wenigen verbleibenden Zugriffsmöglichkeiten von Behörden, wie insbesondere über Anfragen zur Offenlegung nach dem National Security Letter, seien effektive vertragliche Maßnahmen vorgesehen, um das Ergreifen von Rechtsschutzmöglichkeiten, wie z.B. das Erwirken von Schutzanordnungen, sicherzustellen. Darüber hinaus sei davon auszugehen, dass Daten in naher Zukunft ohnedies in europäische Rechenzentren migriert werden.
5. Mit Schreiben vom 5. Oktober 2022 brachte der Beschwerdeführer vor, die Beschwerdegegnerin führe aus, dass mit R*** „geeignete“ SCC abgeschlossen worden seien. Allerdings seien SCC laut dem Schrems II Urteil des EuGH alleine nicht ausreichend, um einen Schutz der personenbezogenen Daten der europäischen Bürger zu gewährleisten, sondern es müssten jedenfalls weitere Maßnahmen getroffen (oder die Übermittlung eingestellt) werden.
Weiters argumentiere die Beschwerdegegnerin, dass die personenbezogenen Daten „zeitnah in europäische Rechenzentren migriert“ würden. Hier sei anzumerken, dass dies eben noch nicht erfolgt sei und daher die Daten in der Vergangenheit sowie in der aktuellen Gegenwart in US-amerikanischen Rechenzentren (unzulässig) verarbeitet werden. Ironischerweise stelle die Beschwerdegegnerin ja selbst außer Frage, dass eine Übermittlung in die USA wohl stattgefunden habe. Darüber hinaus böte eine Migration in ein europäisches Rechenzentrum ohnehin keinen ausreichenden Schutz vor dem Zugriff durch amerikanischen Behörden, da der physische Standort eines Servers für den Zugriff auf Daten durch amerikanische Behörden über das Internet völlig irrelevant sei.
Weiters führe die Beschwerdegegnerin ins Treffen, dass R*** eigenen Angaben zufolge noch nie Anfragen von amerikanischen Überwachungsbehörden erhalten hätte. Dabei werde jedoch übersehen, dass dies erstens völlig irrelevant sei, da ja dessen ungeachtet jederzeit eine solche Anfrage möglich sei und dass außerdem R*** durch US-amerikanische Gesetze sogar verpflichtet werden könnte, über solche Anfragen Stillschweigen zu bewahren.
Der Behauptung der Beschwerdegegnerin, dass nur „wenige, nicht sensible“ Daten übermittelt würden und der Zweck „überschaubar“ sei, werde in aller Deutlichkeit widersprochen. R*** sei natürlich in der Lage, anhand der E-Mail-Adresse den gesamten Datenbestand aller Kunden zusammenzuführen und so ein überaus komplexes Profil der Empfänger zu erstellen und kommerziell zu verwerten.
Auf diese Weise könne R*** mit minimalem Aufwand eine umfangreiche Profilierung vornehmen. Bei den technischen Maßnahmen werde argumentiert, dass eine Speicherung der Daten verschlüsselt erfolge, woraus abgeleitet wird, dass die Daten vor dem Zugriff Dritter ausreichend geschützt seien.
Das sei schlichtweg unsinnig. Die Verschlüsselung einer E-Mail-Adresse sei für den Versand eines E Mails technisch gar nicht möglich, da es sonst nicht zugestellt werden könnte. Auch die behauptete Verschlüsselung „im Ruhezustand“ sei irrelevant, da R*** zwingend eine Entschlüsselung der Daten vornehmen müsse, um das E-Mail verschicken zu können; genauso könne R*** also auch bei einer Auskunft an eine amerikanische Behörde eine solche Entschlüsselung vornehmen, womit eine ev. Verschlüsselung im Ergebnis faktisch unbrauchbar werde.
6. Mit Eingabe vom 28. März 2023 gab die Beschwerdegegnerin bekannt, dass die geplante Migrationsmöglichkeit in europäische Rechenzentren nunmehr zur Verfügung stehe und von der Beschwerdegegnerin unmittelbar in Anspruch genommen wurde. Die Migration habe am 23./24. März 2023 stattgefunden. Damit würden die personenbezogenen Daten nunmehr ausschließlich in europäischen Rechenzentren verarbeitet und gespeichert werden.
B. Beschwerdegegenstand
Ausgehend vom Vorbringen des Beschwerdeführers ist erkennbar, dass Beschwerdegegenstand die Frage ist, ob von der Beschwerdegegnerin die Grundsätze der Datenübermittlung gem. Art. 44 DSGVO eingehalten wurden. Weiters ist die Frage beschwerdegegenständlich, ob der Beschwerdeführer in seinem Recht auf Information gem. Art. 13 DSGVO sowie Auskunft gem. Art. 15 DSGVO verletzt wurde.
C. Sachverhaltsfeststellungen
Bei der Beschwerdegegnerin handelt es sich um einen Magazinverlag.
Der Beschwerdeführer ist langjähriger Bestandskunde der Beschwerdegegnerin. Unter der Kundennummer „1*4*7**2“ verfügte der Beschwerdeführer vom 1. April 2016 bis zum 15. April 2021 über ein Abonnement über die Zustellung des M***-Magazins. Dieses umfasste neben dem print-Magazin auch das e-Magazin. Daneben verfügt (bzw. verfügte) der Beschwerdeführer unter der Kundennummer „8*1*0**31“ über weitere Abonnements, wie z.B. über den Erhalt der Magazine „F***“, „V***“, „M***“ und „C***“, wobei die Verträge über den Bezug der F*** (print- und e-Magazin) seit dem 27. Dezember 2017 und über den Bezug des „M***“ seit dem 30. April 2021 bestehen und nach wie vor aufrecht sind.
Beweiswürdigung: Die Feststellung ergibt sich aus dem Vorbringen der Beschwerdegegnerin vom 27. Juni 2022 und sind insoweit unbestritten.
Der Beschwerdeführer erhielt von der Beschwerdegegnerin am 7. März 2022 eine E-Mail mit dem Betreff „ Ihre M*** Leseprobe wartet auf Sie “.
Mit Schreiben desselben Tages übermittelte der Beschwerdeführer der Beschwerdegegnerin eine E Mail, in welcher er u.a. Auskunft zu seinen Daten forderte. Die Beschwerdegegnerin hat zwar den Erhalt der Nachricht bestätigt und die Weiterleitung an die Beschwerde- und Reklamationsabteilung angekündigt, jedoch keine Auskunft erteilt. Die Beschwerdegegnerin hat die Auskunft im laufenden Verfahren nachgeholt.
Ein Mitarbeiter des Servicecenters, für dessen Betrieb die Beschwerdegegnerin einen externen Dienstleister (I*** Helpdesk GmbH) heranzieht, hat die eingelangte Anfrage des Beschwerdeführers nicht an die zuständige Beschwerde- und Reklamationsabteilung bei der Beschwerdegegnerin weitergeleitet. Dem Beschwerdeführer wurde zwar die besagte Weiterleitung angekündigt, diese ist jedoch nie passiert.
Die Beschwerdegegnerin hat im Verfahren vor der Datenschutzbehörde ein Informations- bzw. Auskunftsschreiben nachgereicht.
Beweiswürdigung: Die Feststellung ergibt sich aus der verfahrenseinleitenden Eingabe des Beschwerdeführers vom 25. April 2022 sowie der Stellungnahme der Beschwerdegegnerin vom 27. Juni 2022 und der darin beigelegten Auskunft.
Für den Versand bzw. die Zustellung des gegenständlichen E-Mails vom 7. März 2022 an den Beschwerdeführer wurde von der Beschwerdegegnerin der Dienstleister R*** Deutschland GmbH bzw. R*** Inc. eingesetzt. Bei R*** handelt es sich um ein auf die Zustellung von E-Mails spezialisiertes Unternehmen, das dazu konzipierte Softwarelösungen vertreibt. Die Beschwerdegegnerin greift auf die Dienste bzw. die Software von R*** zurück, dazu werden ausschließlich Nachname, Vorname und E-Mail-Adresse mit R*** geteilt bzw. in das von R*** zur Verfügung gestellte Softwaresystem eingetragen. Die Eingabe von anderen Daten ist für die E-Mail-Zustellung nicht erforderlich.
R*** verfolgt den Ansatz des „regionalen Data Hostings“, d.h. dass Daten, die in das System von R*** eingegeben werden, möglichst nahe am Standort des jeweiligen Kunden, also der Beschwerdegegnerin, verarbeitet und gespeichert werden. Datenübermittlungen in ein Drittland können aufgrund der globalen Ausrichtung der Services und Dienste jedoch nicht ausgeschlossen werden.
Beweiswürdigung: Die Feststellungen ergeben sich aus den Stellungnahmen der Beschwerdegegnerin.
In die E-Mail-Versandsoftware von R*** sind der Name und die E-Mail-Adresse des Beschwerdeführers zum Zweck der E-Mail-Zustellung an den Beschwerdeführer eingegeben worden.
Beweiswürdigung: Die Feststellung ergibt sich ebenso aus den Stellungnahmen der Beschwerdegegnerin.
Die personenbezogenen Daten des Beschwerdeführers (Name und die E-Mail-Adresse des Beschwerdeführers) wurden in ein Drittland (USA) übermittelt.
Beweiswürdigung: Die Beschwerdegegnerin hat auf Nachfrage der Datenschutzbehörde angegeben, dass eine Übermittlung der Daten des Beschwerdeführers nicht ausgeschlossen werden kann. Wie noch in der rechtlichen Beurteilung näher ausgeführt wird, ergibt sich aus Art. 5 Abs. 2 DSGVO eine Rechenschaftspflicht der Verantwortlichen, wonach diese die Einhaltung der DSGVO nachweisen können muss. Trotz der gegenständlichen Pflicht wurden von der Beschwerdegegnerin keine Nachweise erbracht, dass die Daten des Beschwerdeführers nicht in die USA übermittelt wurden, weshalb es die Datenschutzbehörde als erwiesen erachtet, dass die personenbezogenen Daten des Beschwerdeführers in ein Drittland übermittelt wurden.
Die Beschwerdegegnerin hat mit R*** ein einen Vertrag mit dem Titel „R*** Data Processing Agreement“ abgeschlossen. Dabei handelt es sich um Standardvertragsklauseln für den internationalen Datenverkehr. Dieser Vertrag (Stellungnahme der Beschwerdegegnerin vom 27. Juni 2022 Beilage ./5; „Vereinbarte SCC mit R***“) wird den Sachverhaltsfeststellungen zugrunde gelegt.
Zusätzlich zum Abschluss von Standardvertragsklauseln hat die Beschwerdegegnerin weitere vertragliche, organisatorische und technische Maßnahmen implementiert. Die gegenständlichen Maßnahmen wurden von der Beschwerdegegnerin insbesondere in ihrer Stellungnahme vom 8. September 2022 beschrieben. Diese Beschreibung wird den Sachverhaltsfeststellungen zu Grunde gelegt.
R*** fällt grundsätzlich in den Anwendungsbereich von US-amerikanischen Überwachungsgesetzen (Foreign Intelligence Surveillance Act und Executive Order 12.333). Bis dato hat R*** noch keine einzige Anfrage von US-amerikanischen Überwachungsbehörden erhalten.
Beweiswürdigung: Die Feststellung ergibt sich aus den Stellungnahmen der Beschwerdegegnerin.
Eine vollständige Migration von Kundendaten in europäische Rechenzentren hat nunmehr stattgefunden und werden personenbezogenen Daten ausschließlich in europäischen Rechenzentren verarbeitet und gespeichert.
Beweiswürdigung: Die Feststellung ergibt sich aus dem Schreiben der Beschwerdegegnerin vom 28. März 2023.
D. In rechtlicher Hinsicht folgt daraus:
Zu Spruchpunkt 1
Allgemeines zur Rechenschaftspflicht
Die in der DSGVO vorgesehenen Grundsätze, Verbote und Pflichten richten sich insbesondere an „Verantwortliche“. Deren Verantwortung und Haftung erstreckt sich nach den Ausführungen in ErwGr 74 der DSGVO auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind (vgl. dazu das Urteil des EuGH vom 5. Dezember 2023, C‑807/21, Rz 38).
Die Rechenschaftspflicht ist ein zentrales Element der DSGVO, das mit der verstärkten Eigenverantwortlichkeit des Verantwortlichen gegenüber der DS-RL neu hinzugekommen ist. Sie ergibt sich aus Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO und besagt, dass der Verantwortliche die Bestimmungen der DSGVO nicht nur einhalten muss, sondern auch dazu in der Lage sein muss, dies nachzuweisen. Den Verantwortlichen trifft somit die Beweislast für die Einhaltung der DSGVO. Insbesondere folgt daraus eine umfassende Dokumentationspflicht ( Hötzendorfer/Tschohl/Kastelitz in Knyrim , DatKomm Art. 5 DSGVO sowie die Urteile des EuGH vom 24. Februar 2022, C-175/20, Rz 77 und zuletzt vom 4. Juli 2023, C-252/21 Rz 95).
Die Beschwerdegegnerin als datenschutzrechtlich Verantwortliche im Sinne von Art. 4 Z 7 DSGVO ist somit für die Einhaltung der Grundsätze der DSGVO verantwortlich und unterliegt der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO (vgl. dazu das Urteil des EuGH vom 24. Februar 2022, C-175/20, Rz 77 sowie das Urteil vom 4. Mai 2023, C-60/22, Rz 56 und 57).
Gemäß Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).
Der Grundsatz der Transparenz umfasst im Wesentlichen Anforderungen, die zuvor im Kontext der DS-RL mit dem Grundsatz von Treu und Glauben (bzw. dem Merkmal „fairly“) in Verbindung gebracht wurden, nämlich den Ausschluss heimlicher Verarbeitungen personenbezogener Daten und die umfassende Information der betroffenen Person über die Verarbeitung der auf sie bezogenen Daten.
Der Grundsatz der Transparenz legt ausdrücklich das Erfordernis einer für die betroffene Person nachvollziehbaren Verarbeitung der sie betreffenden personenbezogenen Daten fest.
Erläuternde Ausführungen zum Transparenzgrundsatz finden sich in den Erwägungsgründen zur DSGVO: Nach ErwGr 39 sollte für natürliche Personen Transparenz im Hinblick auf den Umstand bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden; die Transparenz sollte sich ua auch auf den Umfang der Datenverarbeitung, die Identität des Verantwortlichen, die Zwecke der Verarbeitung, die Rechte der betroffenen Person und die Risiken der Verarbeitung beziehen (vgl. Herbst in Kühling/Buchner Datenschutz-Grundverordnung Kommentar, Art. 5 DSGVO).
In diesem Zusammenhang ist auch auf das Erkenntnis W245 2255957-1 des BVwG vom 28.08.2023 hinzuweisen: Beweiswürdigend stützte sich das BVwG hier auf die den Verantwortlichen treffende Beweislast der Datenverarbeitungsgrundätze gemäß Art. 5 Abs. 2 DSGVO (siehe dazu Punkt II.2 des genannten Erkenntnisses: „ Vorweg wird darauf hingewiesen, dass nach Art. 5 DSGVO der Verantwortliche (…) die Beweislast dafür trägt, dass die Daten u. a. für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.“) und stellte fest, dass der Verantwortliche einer Videokamera nicht - wie von ihm behauptet - die Einwilligung sämtlicher betroffenen Hausbewohner eingeholt hatte (siehe dazu die Feststellungen unter Punkt II.1.8. des genannten Erkenntnisses).
Ausgehend von den oben zitierten Bestimmungen und der oben zitierten Judikatur kann daher Folgendes festgehalten werden: Die Beschwerdegegnerin hat den Beweis für die Einhaltung der Datenverarbeitungsgrundsätze „Verarbeitung nach Treu und Glauben“ und „Transparenz“ gemäß Art. 5 Abs. 1 lit a DSGVO nicht erbracht, weil sie im vorliegenden Fall nicht auszuschließen vermag, dass personenbezogene Daten des Beschwerdeführers in die USA übermittelt wurden. Die Beschwerdegegnerin hat somit gegen die sie treffende Beweislast gemäß Art. 5 Abs. 2 DSGVO verstoßen. Zu Lasten der beweisbelasteten Partei - der Beschwerdegegnerin - geht die Datenschutzbehörde daher von einer Übermittlung der personenbezogenen Daten des Beschwerdeführers in die USA aus.
Zu Kapitel V DSGVO
Die Datenschutzbehörde hat bereits ausgesprochen, dass Kapitel V und insbesondere die in Art. 44 DSGVO normierte Verpflichtung für Verantwortliche und Auftragsverarbeiter, das durch die Verordnung gewährleistete Schutzniveau für natürliche Personen sicherzustellen, auch als subjektives Recht vor der zuständigen Aufsichtsbehörde gemäß Art. 77 Abs. 1 DSGVO geltend gemacht werden kann (vgl. dazu etwa den Google Analytics betreffenden, rechtskräftigen Bescheid der DSB zu D155.026 vom 22. April 2022).
Zunächst ist zu überprüfen, ob die Beschwerdegegnerin den in Kapitel V der Verordnung normierten Pflichten unterliegt.
Gemäß Art. 44 DSGVO ist jedwede „[…] Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, […] nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.“
In den „Leitlinien 5/2021 zum Verhältnis zwischen dem Anwendungsbereich von Art. 3 und den Vorgaben für den Internationalen Datenverkehr gemäß Kapitel V DSGVO “hat der EDSA drei kumulative Voraussetzungen identifiziert, wann eine „Übermittlung an ein Drittland oder eine internationale Organisation“ iSd Art. 44 DSGVO vorliegt (ebd. Rz 7):
- der für die Verarbeitung Verantwortliche oder ein Auftragsverarbeiter unterliegt bei der betreffenden Verarbeitung der DSGVO;
- dieser für die Verarbeitung Verantwortliche oder Auftragsverarbeiter („Datenexporteur“) legt durch Übermittlung oder auf andere Weise personenbezogene Daten, die Gegenstand dieser Verarbeitung sind, einem anderen für die Verarbeitung Verantwortlichen, einem gemeinsam Verantwortlichen oder einem Auftragsverarbeiter, offen („Datenimporteur“);
- der Datenimporteur befindet sich in einem Drittland oder ist eine internationale Organisation, unabhängig davon, ob dieser Datenimporteur in Bezug auf die betreffende Verarbeitung gemäß Art. 3 der DSGVO unterliegt oder nicht.
Die Beschwerdegegnerin hat ihren Sitz in Österreich und war im beschwerdegegenständlichen Zeitpunkt datenschutzrechtliche Verantwortliche für die Zusendung des E-Mails an den Beschwerdeführer. Darüber hinaus hat die Beschwerdegegnerin (als Datenexporteurin) personenbezogene Daten des Beschwerdeführers dadurch offengelegt, dass sie für die Zustellung von E-Mails R*** eingesetzt hat und eine Datenübermittlung an diese in die USA stattgefunden hat. Schließlich hat R*** in seiner Eigenschaft als Auftragsverarbeiter (und Datenimporteur) seinen Sitz (auch) in den USA.
Da alle in den Leitlinien des EDSA dargelegten Voraussetzungen erfüllt sind, unterliegt die Beschwerdegegnerin als Datenexporteurin den Bestimmungen des Kapitels V der Verordnung.
In weiterer Folge ist zu überprüfen, ob die Datenübermittlung in Einklang mit den Vorgaben von Kapitel V DSGVO in die USA stattgefunden hat.
Kapitel V der Verordnung sieht drei Instrumente vor, um das von Art. 44 DSGVO geforderte angemessene Schutzniveau für Datenübermittlungen an ein Drittland oder eine internationale Organisation sicherzustellen:
- Angemessenheitsbeschluss (Art. 45 DSGVO);
- Geeignete Garantien (Art. 46 DSGVO);
- Ausnahmen für bestimmte Fälle (Art. 49 DSGVO)
a) Angemessenheitsbeschluss (Art. 45 DSGVO)
Der EU-US Angemessenheitsbeschluss („Privacy Shield“) ist seit 16. Juli 2020 ungültig (vgl. das Urteil vom 16. Juli 2020, C 311/18, Rz 201 f).
Der dem „Privacy Shield“ nachfolgende und im Zeitpunkt der gegenständlichen Entscheidung bestehende EU-US Angemessenheitsbeschluss „Data Privacy Framework“ gelangt erst auf Datenübermittlungen nach 10. Juli 2023 zur Anwendung.
Die gegenständliche Datenübermittlung aus März 2022 (siehe dazu die Feststellung unter Punkt C.: Der Beschwerdeführer erhielt von der Beschwerdegegnerin am 7. März 2022 eine E-Mail mit dem Betreff „ Ihre M*** Leseprobe wartet auf Sie “) findet daher keine Deckung in Art. 45 DSGVO.
b) Geeignete Garantien (Art. 46 DSGVO)
Wie sich aus Sachverhaltsfeststellung ergibt, hat die Beschwerdegegnerin mit R*** Standarddatenschutzklauseln (SDK) gemäß Art. 46 Abs. 2 lit. c DSGVO für die Übermittlung personenbezogener Daten in die USA abgeschlossen.
Im erwähnten Urteil vom 16. Juli 2020 hat der EuGH zwar ausgeführt, dass SDK als Instrument für den Internationalen Datenverkehr dem Grunde nach nicht zu beanstanden sind, allerdings hat der EuGH auch darauf hingewiesen, dass SDK ihrer Natur nach ein Vertrag sind und demnach Behörden aus einem Drittstaat nicht binden können:
„Demnach gibt es zwar Situationen, in denen der Empfänger einer solchen Übermittlung in Anbetracht der Rechtslage und der Praxis im betreffenden Drittland den erforderlichen Datenschutz allein auf der Grundlage der Standarddatenschutzklauseln garantieren kann, aber auch Situationen, in denen die in diesen Klauseln enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten. So verhält es sich etwa, wenn das Recht dieses Drittlands dessen Behörden Eingriffe in die Rechte der betroffenen Personen bezüglich dieser Daten erlaubt“ (ebd. Rz 126).
Eine nähere Analyse der Rechtslage der USA (als Drittland) kann an dieser Stelle jedoch unterbleiben, da sich der EuGH mit dieser bereits im angeführten Urteil vom 16. Juli 2020 auseinandergesetzt hat. Dabei ist er zu dem Ergebnis gekommen, dass der EU-US Angemessenheitsbeschluss aufgrund des einschlägigen Rechts der USA und der Durchführung von behördlichen Überwachungsprogrammen - u.a. gestützt auf Section 702 des FISA und die Executive Order (EO) 12333 in Verbindung mit der Presidential Policy Directive 28 (PPD-28) - kein angemessenes Schutzniveau für natürliche Personen gewährleistet (ebd. Rz 180 ff).
Für die Datenschutzbehörde bestehen keine Zweifel, dass R*** als Anbieter elektronischer Kommunikationsdienste im Sinne von 50 U.S.Code § 1881(b)(4) zu qualifizieren ist und somit der Überwachung durch US-Nachrichtendienste gemäß 50 U.S.Code § 1881a („FISA 702”) unterliegt. Ebenso hat auch die Beschwerdegegnerin angegeben, dass R*** nach eigenen Angaben in den Anwendungsbereich US-amerikanischer Überwachungsgesetze fällt.
Wenn nun aber bereits der EU-US Angemessenheitsbeschluss „Privacy Shield“ aufgrund der Rechtslage in den USA für ungültig erklärt wurde, so kann fallbezogen nicht davon ausgegangen werden, dass der (bloße) Abschluss von SDK ein angemessenes Schutzniveau nach Art. 44 DSGVO für die gegenständliche Datenübermittlung gewährleistet.
Vor diesem Hintergrund hat der EuGH im angeführten Urteil vom 16. Juli 2020 auch festgehalten, dass
„[…] Standarddatenschutzklauseln ihrer Natur nach keine Garantien bieten können, die über die vertragliche Verpflichtung, für die Einhaltung des unionsrechtlich verlangten Schutzniveaus zu sorgen, hinausgehen […]“ und es „[…] je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein [kann], dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten“ (ebd. Rz 133).
Die gegenständliche Datenübermittlung kann daher nicht allein auf die zwischen R*** und der Beschwerdegegnerin abgeschlossenen Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO gestützt werden.
Allgemeines zu „zusätzliche Maßnahmen“
In seinen „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ hat der EDSA festgehalten, dass für den Fall, dass das Recht des Drittlands sich auf die Wirksamkeit von geeigneten Garantien (wie etwa SDK) auswirkt, der Datenexporteur die Datenübermittlung entweder auszusetzen oder zusätzliche Maßnahmen („supplementary measures“) zu implementieren hat (ebd. Rz 28 ff sowie Rz 52).
Solche „zusätzliche Maßnahmen“ im Sinne des Urteils des EuGH vom 16. Juli 2020 können laut den Empfehlungen des EDSA vertraglicher, technischer oder organisatorischer Art sein (ebd. Rz 47):
Im Hinblick auf vertragliche Maßnahmen wird festgehalten, dass diese „[…] die Garantien, die das Übermittlungsinstrument und die einschlägigen Rechtsvorschriften im Drittland bieten, ergänzen und verstärken, soweit die Garantien, unter Berücksichtigung sämtlicher Umstände der Übermittlung, nicht alle Voraussetzungen erfüllen, die erforderlich sind, um ein Schutzniveau zu gewährleisten, das dem in der EU im Wesentlichen gleichwertig ist. Da die vertraglichen Maßnahmen ihrer Art nach die Behörden des Drittlands im Allgemeinen nicht binden können, wenn diese nicht selbst Vertragspartei sind, müssen sie mit anderen technischen und organisatorischen Maßnahmen kombiniert werden, um das erforderliche Datenschutzniveau zu gewährleisten. Nur weil man eine oder mehrere dieser Maßnahmen ausgewählt und angewendet hat, bedeutet das noch nicht unbedingt, dass systematisch sichergestellt ist, dass die vorgesehene Übermittlung den unionsrechtlichen Anforderungen (Gewährleistung eines im Wesentlichen gleichwertigen Schutzniveaus) genügt“ (ebd. Rz 93).
Zu organisatorischen Maßnahmen wird ausgeführt, dass es sich „[…] um interne Strategien, Organisationsmethoden und Standards handeln [kann], die die Verantwortlichen und Auftragsverarbeiter bei sich selbst anwenden und den Datenimporteuren in Drittländern auferlegen könnten. […] Je nach den besonderen Umständen der Übermittlung und der durchgeführten Beurteilung der Rechtslage im Drittland sind organisatorische Maßnahmen zur Ergänzung der vertraglichen und/oder technischen Maßnahmen erforderlich, um sicherzustellen, dass der Schutz der personenbezogenen Daten dem in der EU gewährleisteten Schutzniveau im Wesentlichen gleichwertig ist“ (ebd. Rz 122).
Zu technischen Maßnahmen wird ausgeführt, dass durch diese sichergestellt werden soll, dass „[…] der Zugang der Behörden in Drittländern zu den übermittelten Daten die Effektivität der in Artikel 46 DSGVO aufgeführten geeigneten Garantien nicht untergräbt. Selbst wenn der behördliche Zugriff mit dem Recht im Land des Datenimporteurs in Einklang steht, sind diese Maßnahmen in Betracht zu ziehen, wenn der behördliche Zugriff über das hinausgeht, was in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt. Diese Maßnahmen zielen darauf ab, potenziell rechtsverletzende Zugriffe auszuschließen, indem sie die Behörden daran hindern, betroffene Personen zu identifizieren, Informationen über sie zu erschließen, sie in anderen Kontexten zu ermitteln oder die übermittelten Daten mit anderen Datensätzen im Behördenbesitz zu verknüpfen, die unter anderem Daten über Online-Kennungen der Geräte, Anwendungen, Tools und Protokolle enthalten, die die betroffenen Personen in anderen Zusammenhängen benutzt haben“ (ebd. Rz 74).
Schließlich hat der EDSA festgehalten, dass derartige „zusätzlichen Maßnahmen“ nur dann als effektiv im Sinne des Urteils vom 16. Juli 2020 zu betrachten sind, „[…] sofern und soweit die Maßnahme genau die Rechtsschutzlücken schließt, die der Datenexporteur bei seiner Prüfung der Rechtslage im Drittland festgestellt hat. Sollte es dem Datenexporteur letztendlich nicht möglich sein, ein im Wesentlichen gleichwertiges Schutzniveau zu erzielen, darf er die personenbezogenen Daten nicht übermitteln“ (ebd. Rz 70).
Umgelegt auf den gegenständlichen Fall bedeutet dies, dass zu untersuchen ist, ob die „zusätzlich getroffenen Maßnahmen“ der Beschwerdegegnerin die im Rahmen des EuGH-Urteils vom 20. Juni 2020 aufgezeigten Rechtsschutzlücken - also die Zugriffs- und Überwachungsmöglichkeiten von US-Nachrichtendiensten - schließen.
„Zusätzliche Maßnahmen“ der Beschwerdegegnerin
Die Beschwerdegegnerin hat nun zusätzlich zum Abschluss der SDK diverse Maßnahmen implementiert.
Sofern die Beschwerdegegnerin auf Verschlüsselungstechnologien - etwa Verschlüsselungen im Ruhezustand - verweist, sind ihr die Empfehlungen 01/2020 des EDSA entgegenzuhalten. Dort wird nämlich ausgeführt, dass ein Datenimporteur der 50 U.S.Code § 1881a (FISA 702) unterliegt, hinsichtlich der importierten Daten, die sich in seinem Besitz oder Gewahrsam oder unter seiner Kontrolle befinden, eine direkte Verpflichtung hat, den Zugriff darauf zu gewähren oder diese herauszugeben. Diese Verpflichtung kann sich auch auf die kryptografischen Schlüssel erstrecken, ohne die die Daten nicht lesbar sind.
Solange R*** sohin selbst die Möglichkeit hat, auf Daten im Klartext zuzugreifen, können die ins Treffen geführten technischen Maßnahmen nicht als effektiv im Sinne der obigen Überlegungen betrachtet werden.
In Bezug auf die dargelegten vertraglichen und organisatorischen Maßnahmen ist nicht erkennbar, inwiefern diese effektiv im Sinne der obigen Überlegungen sind. Es ist unklar, inwiefern die Anzeigepflicht von R*** gegenüber der Beschwerdegegnerin betreffend eine Offenlegung an US-Behörden eine effektive Maßnahme darstellt, da der EuGH im genannten Urteil vom 20. Juni 2020 ausgesprochen hat, dass zulässige (also gemäß dem Recht der USA legale) Anfragen von US-Nachrichtendiensten nicht mit dem Grundrecht auf Datenschutz gemäß Art. 8 EU-GRC vereinbar sind. Auch die (zukünftige) Migration von Daten in europäische Rechenzentren stellt gegenständlich keine geeignete zusätzliche Maßnahme dar.
Als weiteres Zwischenergebnis ist daher festzuhalten, dass die gegenständlichen „zusätzlichen Maßnahmen“ nicht effektiv sind, da diese die im Rahmen des Urteils des EuGH vom 20. Juni 2020 aufgezeigten Rechtsschutzlücken – also die Zugriffs- und Überwachungsmöglichkeiten von US- Nachrichtendiensten – nicht schließen.
c) Ausnahmen für bestimmte Fälle (Art. 49 DSGVO)
Eine Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO wurde nicht eingeholt. Für die Datenschutzbehörde ist auch nicht erkennbar, inwiefern ein sonstiger Tatbestand von Art. 49 DSGVO erfüllt sein soll. Die gegenständliche Datenübermittlung kann daher auch nicht auf Art. 49 DSGVO gestützt werden.
Da für die gegenständliche Datenübermittlung der Beschwerdegegnerin an R*** (in den USA) kein angemessenes Schutzniveau durch ein Instrument von Kapitel V der Verordnung gewährleistet wurde, liegt eine Verletzung von Art. 44 DSGVO vor.
Zu Spruchpunkt 2
Werden personenbezogene Daten bei der betroffenen Person selbst erhoben, so ergibt sich die Informationspflicht aus Art. 13 DSGVO, wonach die gemäß Abs. 1 leg. cit. angeführten Informationen zu erteilen sind.
In diesem Zusammenhang ist darauf hinzuweisen, dass es gemäß Art. 5 Abs. 2 iVm Art. 24 Abs. 1 DSGVO dem Verantwortlichen obliegt, den Nachweis dafür zu erbringen, dass die Verarbeitung (gegenständlich: die Bereitstellung der Informationen gemäß Art. 13 zum Zeitpunkt der Erhebung) in Einklang mit der DSGVO erfolgt.
Während Art. 13 DSGVO eine aktive Informationspflicht des Verantwortlichen als Bringschuld gegenüber der betroffenen Person festlegt, gibt Art. 15 DSGVO der betroffenen Person gegenüber dem Verantwortlichen ein Recht auf Auskunft, dessen Ausübung ihr freisteht. Die Ausübung des Auskunftsrechts hängt in keiner Weise davon ab, ob der Verantwortliche seinen Informationspflichten nachgekommen ist oder nicht (vgl. Ehmann in Ehmann/Selmayr , Datenschutz-Grundverordnung, Art. 15 DSGVO Rz 5), weshalb beides gleichzeitig geltend gemacht werden kann. Art. 13 Abs. 4 DSGVO schränkt die dargestellten Informationspflichten auf die Fälle ein, in denen die betroffene Person nicht bereits über die Informationen verfügt.
Der Verwaltungsgerichthof hat in seiner Entscheidung vom 6. März 2024. Zl. Ro 2021/04/0030-4 nunmehr ua. festgehalten, dass die Informationspflicht zwar in Kapitel III der DSGVO („Rechte der betroffenen Person“) geregelt ist, sich diese Regelung allerdings von den in den Art. 15 ff DSGVO geregelten Rechten auf Auskunft, Berichtigung, Löschung (u.ä.) dadurch unterscheidet, dass das Recht auf Erhalt von Informationen nach Art. 14 DSGVO - anders als die Rechte nach den Art. 15 ff DSGVO - nicht von einem Antrag der betroffenen Person abhängig ist. Auch in der allgemeinen Regelung des Art. 12 DSGVO ist von einem Antrag der betroffenen Person auf Wahrnehmung ihrer Rechte nur hinsichtlich der Rechte gemäß den Art. 15 bis 22 DSGVO die Rede.
Die Informationspflicht des Verantwortlichen nach Art. 14 DSGVO besteht somit unabhängig von einem vorherigen Antrag der betroffenen Person (vgl. in diesem Sinn auch Illibauer in Knyrim [Hrsg.], DatKomm Art. 12, Rz. 20/1). Demnach gibt es diesbezüglich aber auch kein Leistungsbegehren der betroffenen Person, das zunächst geltend zu machen ist und dem aufgrund dessen zu entsprechen ist. Dem zufolge liegt insoweit aber auch keine in der Nichterfüllung eines solchen Leistungsbegehrens bestehende Rechtsverletzung vor, die (nachträglich) beseitigt werden könnte. Vielmehr liegt die Rechtsverletzung in der Unterlassung der (antragslos zu erfolgenden) Mitteilung, die nicht durch eine nachträgliche, aufgrund eines Antrags der betroffenen Person im Sinn des Art. 15 DSGVO erteilte Auskunft gleichsam rückwirkend wieder beseitigt werden kann.
Umgelegt auf den gegenständlichen Fall bedeutet dieses Erkenntnis, dass der Umstand, dass die Information nachträglich - somit nachdem die eigentliche Informationspflicht gemäß Art. 13 DSGVO zu erfüllen gewesen wäre - erteilt wurde, der Feststellung einer Verletzung im diesbezüglichen Recht nicht entgegensteht.
Daher kann der Umstand, dass die Beschwerdegegnerin im Laufe des gegenständlichen Verfahrens Informationen erteilt hat, die gemäß Art. 13 DSGVO relevant sind, die durch die unterbliebene Erteilung der relevanten Informationen zum Zeitpunkt der Datenerhebung entstandene Rechtsverletzung nicht sanieren (vgl. auch das BVwG Erkenntnis vom 29. April 2024, W176 2234682-1/8E). Aufgrund der nunmehrigen Judikatur des VwGH kommt somit eine Einstellung des Verfahrens im Hinblick auf eine behauptete Verletzung von Art. 13 DSGVO gem. § 24 (6) DSG nicht in Betracht.
Zu Spruchpunkt 3
Gemäß Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Sofern dies der Fall ist, hat die betroffene Person auch das Recht auf Auskunft über diese personenbezogenen Daten und über die in Art. 15 Abs. 1 lit. a bis h leg. cit. angeführten Informationen, ferner gegebenenfalls zusätzlich über die Informationen gemäß Abs. 2.
Der Beschwerdeführer hat sein Auskunftsbegehren am 7. März 2022 an die Beschwerdegegnerin übermittelt. Die einmonatige Frist des Art. 12 Abs. 3 Satz 1 DSGVO endete demnach am 7. April 2022.
Ziel des auf Art. 15 DSGVO gestützten Beschwerdeverfahrens ist es, Auskunft über die Verarbeitung personenbezogener Daten durch den Beschwerdegegner zu erhalten. Demgemäß hat der österreichische Gesetzgeber für Verantwortliche im § 24 Abs. 6 DSG die Möglichkeit geschaffen, behauptete Rechtsverletzungen bis zum Abschluss des Verfahrens vor der Datenschutzbehörde zu beseitigen.
Die Bestimmung des § 24 Abs. 6 DSG zielt daher auf Fälle ab, in denen ein Beschwerdeführer während des laufenden Beschwerdeverfahrens klaglos gestellt wird, indem der begehrten Auskunft nachgekommen wird (vgl. zur insoweit inhaltsgleichen Vorgängerregelung des § 31 Abs. 8 DSG 2000 die ErlRV 472 BlgNR XXIV. GP, S. 13).
Dem Auskunftsbegehren des Beschwerdeführers wurde innerhalb der Frist des Art. 12 Abs. 3 Satz 1 DSGVO nicht entsprochen.
Diese Auskunft in vollem Umfang holte die Beschwerdegegnerin während des laufenden Verfahrens vor der Datenschutzbehörde nach. Damit ist der Beschwerdeführer klaglos gestellt, weil er über die begehrten Informationen unstrittig verfügt. Eine Beschwer liegt somit nicht mehr vor.
Aufgrund des Vorbringens des Beschwerdeführers, er erachte die Rechtsverletzung trotzdem als nicht beseitigt, war jedoch das Verfahren nicht formlos einzustellen, sondern ist mit Bescheid abzusprechen.
Wenn der Beschwerdeführer moniert, seine Anfrage sei nicht fristgerecht beantwortet worden, so ist hierzu festzuhalten, dass aus Art. 77 DSGVO (iVm § 24 DSG) lediglich das Recht ableitbar ist, Beschwerde an eine Aufsichtsbehörde zu erheben und dadurch die Durchsetzung subjektiver Rechte - nötigenfalls mittels behördlichem Leistungsauftrag - zu ermöglichen.
Ein Recht auf Feststellung, dass die Auskunft zu spät erteilt worden ist, kann dieser Bestimmung jedoch nicht entnommen werden (vgl. dazu zur insoweit vergleichbaren Rechtslage nach dem DSG 2000 das Erkenntnis des Verwaltungsgerichtshofes vom 27. September 2007, Zl. 2006/06/0330, mwN sowie den Bescheid der Datenschutzbehörde, GZ: DSB-D123.223/0007-DSB/2018).
Eine Feststellung von Rechtsverletzungen, die zum Zeitpunkt der Entscheidung der Datenschutzbehörde nicht mehr bestehen, ist nicht vorgesehen. Für diese Auslegung spricht auch der im Präsens gehaltene § 24 Abs. 1 DSG „verstößt“ und nicht „verstoßen hat“ und § 24 Abs. 5 DSG, wonach bei einer berechtigten Beschwerde über eine Verletzung durch Verantwortliche des privaten Bereichs zwingend ein Leistungsbescheid zu erlassen ist. Ein solcher wäre im Falle einer bereits bereinigten Rechtsverletzung nicht möglich (vgl. Erkenntnis des BVwG vom 3. Mai 2023 zu GZ W258 2236324-1/9E).
Demnach kommt einer betroffenen Person kein subjektives öffentliches Recht zu, Verletzungen im Recht auf Auskunft, die zum Abschluss des Verfahrens bereits behoben waren, mit Bescheid feststellen zu lassen.
Vor diesem Hintergrund war die Beschwerde wegen Verletzung im Recht auf Auskunft abzuweisen.
Es war spruchgemäß zu entscheiden.
Rückverweise
Keine Verweise gefunden
