GZ: 2025-0.712.691 vom 5. September 2025 (Verfahrenszahl: DSB-D135.111)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Hans A*** (Beschwerdeführer), vertreten durch B*** C*** Rechtsanwälte GmbH vom 12. Dezember 2024 gegen die auf Curacao ansässige N*** N.V. (Beschwerdegegnerin) wegen Verletzung im Recht auf Auskunft wie folgt:
1. Der Beschwerde wird stattgegeben und es wird festgestellt , dass die Beschwerdegegnerin den Beschwerdeführer im Recht auf Auskunft verletzt hat, indem sie ihm keine Auskunft iSd. Art. 15 DSGVO erteilt hat.
2. Der Beschwerdegegnerin wird aufgetragen , dem Beschwerdeführer innerhalb einer Frist von vier Wochen bei sonstiger Exekution eine Auskunft gemäß Art. 15 DSGVO zu erteilen.
3. Der Antrag des Beschwerdeführers, die Datenschutzbehörde möge eine Geldstrafe gegen die Beschwerdegegnerin verhängen, wird zurückgewiesen.
Rechtsgrundlagen : Art. 3 Abs. 2 lit. a, Art. 4 Z 16, Art. 15, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f, Art. 58 Abs. 2 lit. c sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; Art. 198 und 199 des Vertrags über die Arbeitsweise der Europäischen Union (im Folgenden: AEUV), ABl. Nr. C 202 vom 7.6.2016, S. 47; §§ 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF.; § 25 Abs. 1 des Verwaltungsstrafgesetzes 1991 (VStG), BGBl. Nr. 52/1991 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
A.1. Mit verfahrenseinleitender Eingabe vom 12. Dezember 2024 machte der anwaltlich vertretene Beschwerdeführer eine Verletzung im Recht auf Auskunft geltend. da die Beschwerdegegnerin auf seinen Antrag vom 23. August 2024 lediglich dergestalt reagiert habe, dass das Auskunftsgehren vom Beschwerdeführer selbst gestellt werden müsse. Nach Entsprechung habe sie auf das Auskunftsbegehren überhaupt nicht reagiert und seien auch keine Informationen über durchgeführte Ein- und Auszahlungen erteilt worden.
A.2. Mit Erledigung vom 23. Dezember 2024 forderte die Datenschutzbehörde die Beschwerdegegnerin per E-Mail zur Stellungnahme auf.
A. 3. Mit Schreiben vom 30. Jänner 2025 urgierte die Datenschutzbehörde bei der Beschwerde-gegnerin die aufgetragene Stellungnahme.
A. 4. Die Aufforderungsschreiben der Datenschutzbehörde wurden innerhalb der jeweils gesetzten Fristen von der Beschwerdegegnerin nicht beantwortet.
B. Beschwerdegegenstand
Beschwerdegegenstand ist die Frage, ob die Beschwerdegegnerin den Beschwerdeführer in seinem Recht auf Auskunft verletzt hat, indem diese seinem Antrag vom 23. August 2024 nicht entsprochen hat.
C. Sachverhaltsfeststellungen
C.1. Der Beschwerdeführer stellte mit Schreiben seines rechtsfreundlichen Vertreters vom 23. August 2024 einen postalischen Antrag gemäß Art. 15 DSGVO an die Beschwerdegegnerin. Über E-Mail Ersuchen der Beschwerdegegnerin reichte der Beschwerdeführer am 12. September 2024 ein Auskunftsersuchen, abgefertigt von seiner E-Mail Adresse, nach. Die Beschwerdegegnerin ist dem Antrag des Beschwerdeführers bis zum Abschluss des Verfahrens vor der Datenschutzbehörde nicht nachgekommen.
Beweiswürdigung : Die getroffenen Feststellungen ergeben sich aus dem Vorbringen des Beschwerdeführers sowie aus dem aktenmäßig dokumentierten Antrag des Beschwerdeführers vom 23. August 2024, ergänzt am 12. September 2024, welcher ausdrücklich auf Art. 15 DSGVO gestützt wurde. Bei der Feststellung betreffend die Nichtbeantwortung des Auskunftsbegehrens durch die Beschwerdegegnerin folgt die Datenschutzbehörde dem Vorbringen des Beschwerdeführers, dass er keine entsprechende Antwort der Beschwerdegegnerin auf seinen Auskunftsantrag erhalten hat. Dieses Vorbringen erweist sich als schlüssig und nachvollziehbar, zumal die Beschwerdegegnerin auch auf die Aufforderungsschreiben der Datenschutzbehörde nicht reagiert hat. Die getroffenen Feststellungen ergeben sich aus den insoweit gleichlautenden Eingaben des Beschwerdeführers sowie den durch diesen vorgelegten Unterlagen.
C.2. Der Beschwerdeführer hat Online-Glücksspiele auf www.***betting.com gespielt. Die genannte Website bzw. die auf ihr angebotenen Online-Glücksspiele werden durch die Beschwerdegegnerin betrieben und sind u.a. in deutscher Sprache abrufbar. Die Beschwerdegegnerin ist eine Casino-Gruppe mit Sitz in Curaçao, die mehrere Online-Casinos besitzt und betreibt. Das Unternehmen wurde im Oktober 2010 gegründet und ist als Gesellschaft mit beschränkter Haftung im Handelsregister mit der Nummer *4*1*5 eingetragen. Die Adresse des Unternehmens lautet Z***straat *7/*6, T*** Park, NL-CW J***stad, Curacao.
Beweiswürdigung : Die getroffenen Feststellungen beruhen auf dem Vorbringen des Beschwerde-führers sowie auf der amtswegigen Recherche der Datenschutzbehörde auf www.***gambling.com/n***-n-v-casinos (zuletzt abgefragt am 5. September 2025).
C.3. Das vom Beschwerdeführer genutzte Online Casino „***betting“ wird auf der Website www.***gambling.com/n***-n-v-casinos als eines der Top 2 der Casinos der Beschwerdegegnerin gelistet und ist als Kontaktadresse die E-Mail Adresse support@***betting.com angeführt. Der Auskunftsantrag des Beschwerdeführers vom 23. August 2024 wurde durch seine rechtsfreundlichen Vertreter postalisch an die obgenannte Anschrift der Beschwerdegegnerin zugestellt. Daraufhin ist die Beschwerdegegnerin per E-Mail an den Beschwerdeführer herangetreten. Als E-Mail Adresse des Absenders scheint support@***betting.com auf. Das Ergänzungsersuchen der Beschwerdegegnerin wurde am 12. September 2024 vom Beschwerdeführer via E-Mail beantwortet. Die Aufforderungen der Datenschutzbehörde vom 23. Dezember 2024 und 30. Jänner 2025 wurden an diese von der Beschwerdegegnerin bekannte E-Mail-Adresse zugestellt.
Beweiswürdigung : Die Feststellung zur Kontaktadresse support@***betting.com gründet auf einer amtswegigen Recherche der Datenschutzbehörde auf www.***gambling.com/n***-n-v-casinos. Die Feststellung, dass der Auskunftsantrag vom 23. August 2024 postalisch und das Ergänzungsersuchen vom 12. September 2024 per E-Mail-Adresse an support@***betting.com übermittelt wurden, ergibt sich aus den vom Beschwerdeführer in Vorlage gebrachten Schriftverkehr mit der Beschwerdegegnerin sowie den Zustellverfügungen der Datenschutzbehörde.
D. In rechtlicher Hinsicht folgt daraus:
D.1. Zur Zuständigkeit der Datenschutzbehörde
Bei der Beschwerdegegnerin handelt es sich um ein Unternehmen mit Sitz auf Curaçao. Gemäß Anhang II zum Vertrag über die Arbeitsweise der Europäischen Union (AEUV) stellt Curaçao ein Überseegebiet der Niederlande dar, auf welches (lediglich) der vierte Teil des AEUV Anwendung findet,welcher den Ausgangspunkt der Entwicklungspolitik der Europäischen Union bildet und gemäß Art. 198 und 199 AEUV das Ziel verfolgt, die angeführten Überseegebiete mit der Union zu assoziieren .
Die DSGVO findet auf Curaçao nicht ohne Weiteres Anwendung, da Curaçao über eine eigene datenschutzrechtliche Gesetzgebung (vgl. Landsverordening bescherming persoonsgegevens, A.B. 2010, Nr. 84, abrufbar in niederländischer Sprache unter https://btnp.org/wp-content/uploads/2019/03/Landsverordening_Bescherming_Persoonsgegevens___AB_2010__no._84_.pdf) verfügt und deshalb in datenschutzrechtlicher Hinsicht als Drittstaat zu betrachten ist.
Die Bestimmungen in Kapitel VII DSGVO zur Zusammenarbeit zwischen Aufsichtsbehörden (bspw. mit der niederländischen Aufsichtsbehörde) kommen gegenständlich – mangels eines im Europäischen Wirtschaftsraum niedergelassenen Verantwortlichen – nicht zur Anwendung und auch die niederländische Aufsichtsbehörde erachtet sich regelmäßig als unzuständig für die Behandlung von Beschwerden gegen Verantwortliche mit Sitz auf Curaçao im Rahmen des sog. „One-Stop-Shop“-Verfahrens.
Jedoch kann der räumliche Anwendungsbereich der DSGVO unter bestimmten Voraussetzungen auch bei Verarbeitungsvorgängen von nicht im Europäischen Wirtschaftsraum niedergelassenen Verantwortlichen eröffnet sein:
Gemäß Art. 3 Abs. 2 lit. a DSGVO findet die DSGVO Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Europäischen Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen, wenn die Datenverarbeitung im Zusammenhang damit steht, dass einer betroffenen Person in der Union Waren oder Dienstleistungen angeboten werden , unabhängig davon, ob von dieser betroffenen Person eine Zahlung zu leisten ist („Marktortprinzip“).
Der Begriff der „Dienstleistung“ wird in der DSGVO nicht näher erläutert, er ist jedoch vor dem Hintergrund der Ziele der DSGVO weit auszulegen . Erforderlich ist lediglich eine hinreichend erkennbare Absicht eines nicht im EWR niedergelassenen Verantwortlichen oder Auftragsverarbeiters, in der Union befindlichen Personen eine Dienstleistung anzubieten (vgl. ErwGr 23 zweiter Satz DSGVO).
Die Beschwerdegegnerin betreibt die verfahrensgegenständlichen Websites, welche auf Kund:innen und Spieler:innen in der Europäischen Union und in Österreich ausgerichtet sind. Dies wird vor allem dadurch belegt, dass die Beschwerdegegnerin für Auszahlungen im Europäischen Wirtschaftsraum eine Zahlstelle auf Zypern eingerichtet hat, sie ihre Dienstleistungen u.a. in deutscher Sprache – somit einer Amtssprache der Europäischen Union. Daraus folgt, dass die Beschwerdegegnerin mit ihren Dienstleistungen Nutzer:innen im Europäischen Wirtschaftsraum (somit auch in Österreich) erreichen will.
Auch wenn der Wortlaut der DSGVO nicht von „ausrichten“ spricht, ergibt sich aus ErwGr 23 DSGVO eindeutig, dass das Angebot auf in der Union aufhältige Personen ausgerichtet sein muss . Der Europäische Datenschutzausschuss geht in diesem Zusammenhang davon aus, dass eine gewisse „Zielgerichtetheit“ des Angebots (auf Englisch: „targeting criterion“) gegeben sein muss (vgl. Europäischer Datenschutzausschuss, Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DSGVO, Version 2.0 vom 12. November 2019, S. 16, abrufbar in deutscher Sprache unter https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_3_2018_territorial_scope_aft er_consultation_de.pdf).
Der Europäische Gerichtshof hält in diesem Zusammenhang fest, dass zu den Anhaltspunkten, anhand derer sich feststellen lässt, ob eine Tätigkeit auf Personen im EWR „ausgerichtet“ ist, alle offenkundigen Ausdrucksformen des Willens gehören, um Personen in einem Mitgliedstaat als Kunden zu gewinnen (EuGH 7. Dezember 2010, verb. Rs. C‑585/08 und C‑144/09 [Pammer und Alpenhof], Rz. 80).
Die einzelnen Komponenten sind gesamtheitlich zu betrachten und es sind u.a. Aspekte wie die Endungen der Top-Level-Domain-Adresse, die Verwendung einer Amtssprache der Europäischen Union, der Sitz des Kundenkreises in Mitgliedstaaten des EWR sowie die Erleichterung des Zugangs zur Webseite im EWR als wesentliche Faktoren zu berücksichtigen.
In der Gesamtschau geht im vorliegenden Fall aufgrund der oben dargelegten Indizien hervor, dass die Beschwerdegegnerin offensichtlich beabsichtigt, Nutzer:innen im Europäischen Wirtschaftsraum und somit auch Nutzer:innen in Österreich mit ihrem (Online-)Dienstleistungsangebot zu erreichen. Der räumliche Anwendungsbereich der DSGVO ist iSd. Art. 3 Abs. 2 lit. a leg. cit. somit eröffnet.
Da es gegenständlich keine Anhaltspunkte gibt, dass die Beschwerdegegnerin über (Haupt-) Niederlassungen im Europäischen Wirtschaftsraum iSd. Art. 4 Z 16 DSGVO verfügt, ist als Zwischenergebnis festzuhalten, dass die Datenschutzbehörde zur Behandlung der vorliegenden Beschwerde (allein-) zuständig ist.
D.2. Zur Feststellung des maßgeblichen Sachverhalts trotz mangelnder Mitwirkung der Beschwerdegegnerin
Die Beschwerdegegnerin hat im vorliegenden Verfahren – trotz entsprechender Aufforderung durch die Datenschutzbehörde – kein Vorbringen erstattet und auch in sonstiger Weise nicht mitgewirkt.
Da der maßgebliche Sachverhalt gegenständlich auch ohne die Mitwirkung der Beschwerdegegnerin festgestellt werden konnte und im Weiteren nur Rechtsfragen zu lösen waren, war von weiteren Versuchen, die Beschwerdegegnerin zu einer Mitwirkung zu bewegen, abzusehen, zumal ihr ausreichende Möglichkeiten gegeben wurden, sich am Verfahren zu beteiligen.
Ferner steht es nach ständiger Spruchpraxis des Verwaltungsgerichtshofs einer Behörde im Rahmen der ihr zustehenden freien Beweiswürdigung gemäß § 45 Abs. 2 und § 46 AVG frei, aus der mangelnden Mitwirkung einer Verfahrenspartei im Ermittlungsverfahren eventuell auch für die Partei negative Schlüsse zu ziehen (vgl. etwa die Erkenntnisse des Verwaltungsgerichtshofes vom 15. Mai 1986, Zl. 86/03/0044, vom 11. Juni 1991, Zl. 90/07/0166 oder vom 27. September 1994, Zl. 94/17/0225).
D.3. Zum Recht auf Auskunft nach Art. 15 DSGVO
Eine betroffene Person hat gemäß Art. 15 DSGVO das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden.
Sofern dies der Fall ist, hat die betroffene Person auch das Recht auf Auskunft über diese personenbezogenen Daten und über die in Art. 15 Abs. 1 lit. a bis h leg. cit. angeführten Informationen, ferner gegebenenfalls zusätzlich über die Informationen gemäß Abs. 2 der Bestimmung. Des Weiteren hat der Verantwortliche gemäß Art. 15 Abs. 3 leg. cit. einer betroffenen Person Kopien der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.
Das Auskunftsrecht gemäß Art. 15 DSGVO dient dabei als Instrument, welches einer betroffenen Person ermöglicht, sich der Verarbeitung durch einen Verantwortlichen bewusst zu werden und die Rechtmäßigkeit der Verarbeitung zu überprüfen (vgl. ErwGr 63 erster Satz DSGVO). Mit anderen Worten ermöglicht das Auskunftsrecht der betroffenen Person einen Einblick in das „Ob und Wie“ der Verarbeitung (vgl. Paal in Paal/Pauly [Hrsg.], Datenschutz-Grundverordnung, Art. 15, Rz. 3).
D.4. In der Sache
D.4.1. Zu Spruchpunkt 1
Mit der den Verfahrensgegenstand bildenden Eingabe vom 12. Dezember 2024 monierte der Beschwerdeführer, dass die Beschwerdegegnerin auf seinen Antrag auf Auskunft gemäß Art. 15 DSGVO nicht reagiert hat.
Die Beschwerdegegnerin hat sich auch im laufenden Verfahren vor der Datenschutzbehörde, trotz mehrmaliger Aufforderung, nicht geäußert und ist dem Antrag auf Erteilung einer Auskunft nicht nachgekommen. Dem Beschwerdeführer die Erteilung jeglicher Auskunft zu verwehren, steht dabei in diametralem Widerspruch zur DSGVO, wonach eine betroffene Person ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, problemlos wahrnehmen können soll (vgl. ErwGr 63 DSGVO; siehe ferner etwa das Erkenntnis des Bundesverwaltungsgerichts vom 19. November 2024, W176 2286887-1).
Im gegenständlichen Fall war daher im Ergebnis festzustellen , dass die Beschwerdegegnerin die Beschwerdeführerin im Recht auf Auskunft iSd. Art 15 DSGVO verletzt hat.
D.4.2. Zu Spruchpunkt 2
Die Datenschutzbehörde übersieht nicht, dass die Beschwerdeführerin lediglich die Feststellung der Verletzung ihres Rechts auf Auskunft beantragt hat.
Nach der Rsp. des Europäischen Gerichtshofes ist das Beschwerdeverfahren nach Art. 77 DSGVO iVm § 24 DSG als ein Mechanismus konzipiert, der geeignet ist, die Rechte und Interessen der betroffenen Personen wirksam zu wahren (vgl. EuGH 7. Dezember 2023, verb. Rs. C‑26/22 und C‑64/22 [Schufa], Rz. 58).
Auch wenn es Sache der Aufsichtsbehörde ist, unter Berücksichtigung aller Umstände der fraglichen Übermittlung personenbezogener Daten das geeignete und erforderliche Mittel zu wählen , ist sie gleichwohl verpflichtet, mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen (vgl. EuGH 16. Juli 2020, C‑311/18 [Schrems II], Rz. 112).
Ausnahmsweise und unter Berücksichtigung der besonderen Umstände des konkreten Falles kann eine Aufsichtsbehörde vom Ergreifen einer Abhilfemaßnahme absehen, obwohl eine Verletzung des Schutzes personenbezogener Daten festgestellt wurde (vgl. EuGH 26. September 2024, C‑768/21 [TR], Rz. 43). Diese Ausnahmesituation liegt nach Ansicht der Datenschutzbehörde gegenständlich nicht vor.
Vielmehr sollen Situationen, in denen gegen DSGVO verstoßen wird, durch das Eingreifen der nationalen Aufsichtsbehörde wieder mit dem Unionsrecht in Einklang gebracht werden (vgl. EuGH 14. März 2024, C‑46/23 [Nemzeti Adatvédelmi és Információszabadság Hatóság], Rz. 40).
Unter Zugrundelegung der obigen Erwägungen war der Beschwerdegegnerin daher zusätzlich gemäß Art. 58 Abs. 2 lit. c DSGVO aufzutragen , dem Antrag der Beschwerdeführein auf Auskunft seiner personenbezogenen Daten zu entsprechen und der Beschwerdeführerin eine Auskunft im Umfang des Art. 15 DSGVO zu erteilen.
Eine Frist von vier Wochen scheint angemessen, um dem Leistungsauftrag zu entsprechen, zumal keine Anhaltspunkte vorliegen, dass die Erteilung der Auskunft mit einem übermäßigen Aufwand für die Beschwerdegegnerin verbunden wäre.
D.4.3. Zu Spruchpunkt 3
Soweit der Beschwerdeführer beantragte, die Datenschutzbehörde möge gegen die Beschwerdegegnerin eine Geldstrafe verhängen, ist darauf hinzuweisen, dass im Rahmen eines Administrativverfahrens keine Strafe bzw. Geldbuße gegen einen Verantwortlichen verhängt werden kann.
In diesem Zusammenhang ist auch darauf hinzuweisen, dass aus Art. 77 Abs. 1 DSGVO bzw. § 24 Abs. 1 und 5 DSG kein subjektives Recht auf Einleitung eines Verwaltungsstrafverfahrens gegen einen gewissen Verantwortlichen abgeleiteten werden kann. Diesbezüglich gilt nach § 25 Abs. 1 VStG das Prinzip der Amtswegigkeit (vgl. Fister in Lewisch/Fister/Weilguni (Hrsg), VStG Kommentar 2 § 25 Rz. 1).
Der diesbezügliche Antrag der Beschwerdeführerin war daher zurückzuweisen .
Im Ergebnis war daher spruchgemäß zu entscheiden.
Rückverweise
