GZ: 2025-0.781.689 vom 13. Oktober 2025 (Verfahrenszahl: DSB-D130.3004)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.
Die Aufgabe der nic.at GmbH als Registrierungsstelle für .at-Domains ist allgemein bekannt, sodass eine effektive Pseudonymisierung des Namens (der Firma) nicht möglich war.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von A*** Immobilien-Projektentwicklung GmbH (Beschwerdeführerin) vom 24. September 2025 gegen Pietro N*** (Beschwerdegegner) wegen einer Verletzung der Rechtmäßigkeit der Verarbeitung gemäß Art. 6 DSGVO und Verletzung im Recht auf Löschung gemäß Art. 17 DSGVO wie folgt:
Die Beschwerde wird in Bezug auf den Beschwerdegegner zurückgewiesen .
Rechtsgrundlagen: § 1 und § 24 Abs. 1 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; Art. 1, Art. 4, Art. 6, Art. 17 und Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), ABl. Nr. L 119 S. 1.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Mit verfahrenseinleitender Eingabe vom 24. September 2025 (verbessert mit Schreiben vom 28. September 2025) erhob die Beschwerdeführerin aufgrund einer Verletzung der Rechtmäßigkeit der Verarbeitung sowie Verletzung im Recht auf Löschung Beschwerde.
Erklärend führte die Beschwerdeführerin hierzu aus, dass diese am 22. September 2025 festgestellt habe, dass der Beschwerdegegner unrechtmäßig die personenbezogenen Daten der Beschwerdeführerin verarbeite, indem dieser mit einer Website, abrufbar unter der URL http://www.a***.immobilien.at , im August 2025 online gegangen sei.
Auf dieser Website, welche eine täuschend echte Kopie der ehemaligen Unternehmenswebsite der Beschwerdeführerin darstelle, würden personenbezogene Daten von ehemaligen und aktuellen Mitarbeitern ohne deren Einwilligung veröffentlicht werden. Die Domain würde ebenfalls ohne die Zustimmung der Beschwerdeführerin deren Firmenbezeichnung und Logo, Bilder, Texte und Projektbeschreibungen, Unternehmensinformationen sowie Namen, Fotos und berufliche Daten ehemaliger und aktueller Mitarbeiter verwenden. Zudem imitiere der Beschwerdegegner mittels der Website das Design der Beschwerdeführerin und vermittle fälschlicherweise den Eindruck eines offiziellen Auftritts.
Die Firmenbuchnummer FN 6*1*66*h sowie die angegebene UID-Nummer seien nicht der Beschwerdeführerin, sondern der M***platz Wohnbau GmbH zugehörig, welche sich ebenfalls in deren Besitz befinde. Auch die Daten der M***platz Wohnbau GmbH würden unrechtmäßig auf der gefälschten Website veröffentlicht werden.
Den Eingaben beigelegt waren
Screenshots der Website,
die E-Mail-Korrespondenzen mit Recht.nic.at/ der Domainabfrage bei nic.at
Host-Provider-Informationen
Firmenbuchauszug A*** Immobilien-Projektentwicklung GmbH
Firmenbuchauszug M***platz Wohnbau GmbH sowie
E-Mail-Korrespondenzen mit Dritten im Zusammenhang mit der gefälschten Website.
B. Beschwerdegegenstand
Ausgehend vom Vorbringen der Beschwerdeführerin ergibt sich, dass Beschwerdegegenstand die Frage ist, ob der Beschwerdegegner die Beschwerdeführerin dadurch in der Rechtmäßigkeit der Datenverarbeitung gemäß Art. 6 DSGVO sowie im Recht auf Löschung gemäß Art. 17 DSGVO verletzt hat, indem dieser deren personenbezogene Daten auf der Webseite, abrufbar unter der URL https://www.a***-immobilien.at/ , verarbeitet.
C. Sachverhaltsfeststellungen
1. Bei der Beschwerdeführerin handelt es sich um eine juristische Person in Form einer Gesellschaft mit beschränkter Haftung (GmbH) mit der Firmenbuchnummer FN 8*22*4*p und der UID-Nummer ATU9*00*7*5 sowie der Geschäftsanschrift J***straße *2*/Top *3, **** K***stadt . Der Unternehmensgegenstand der Beschwerdeführerin ist die Entwicklung von Immobilienprojekten.
Screenshot vom amtswegig durchgeführten Firmenbuchauszug der Beschwerdeführerin vom 24. September 2025 (Formatierung nicht 1:1 dargestellt.):
[Anmerkung Bearbeiter/in: Der im Original an dieser Stelle als Faksimile in einem grafischen Format dargestellte Firmenbuchauszug wurde aus Pseudonymisierungsgründen entfernt. Er enthält oben festgestellte Daten.]
Beweiswürdigung : Diese Feststellungen ergeben sich aus den Eingaben der Beschwerdeführerin vom 24. September 2025 und 28. September 2025 sowie aus dem amtswegig durchgeführten Firmenbuchauszug vom 13. Oktober 2025, welcher dem Verfahrensakt zu GZ D130.3004 beiliegt.
2. Die Unternehmenswebsite der Beschwerdeführerin war zunächst unter der URL https://www.a***-immobilien.at abrufbar. Es erfolgte von der Beschwerdeführerin ein Domainwechsel, sodass in Folge die Domain mit der österreichischen Domain-Endung „.at“ gekündigt wurde und diese auf die Domain mit der Endung „.com“ umgestiegen ist.
2.1. Bei dem Beschwerdegegner handelt es sich um eine natürliche Person, welche Mitte August 2025 die Website mit der URL https://www.a***-immobilien.at in Betrieb genommen hat. Der Beschwerdegegner ist an der postalischen Adresse Piazza O*** *7, ***** Città di R*** in Italien wohnhaft. Die Domain a***-immobilien.at sowie die unter der URL https://www.a***-immobilien.at abrufbare Website enthalten Teile der Firmenbezeichnung der Beschwerdeführerin.
2.2. Auf der Website sind jedenfalls bis zum 25. September 2025 das Firmenlogo, Bilder sowie Texte und Projektbeschreibungen sowie Namen, Fotos und berufliche Daten ehemaliger und aktueller Mitarbeiter der Beschwerdeführerin ersichtlich gewesen. Bei dem Inhalt der Homepage des Beschwerdegegners handelt es sich um eine Kopie der früheren Website der Beschwerdeführerin.
2.3. Am 22. September 2025 richtete die Beschwerdeführerin eine Anfrage an das Unternehmen mit der Bezeichnung nic.at GmbH und ersuchte um die Bekanntgabe des Inhabers der Domain a***-immobilien.at , welches am 24. September 2025 unter Anführung der Kontaktdaten des Inhabers beantwortet worden ist. Bei dem Unternehmen nic.at GmbH handelt es sich um eine juristische Person mit dem Unternehmensgegenstand Internetdienstleistungen (EDV-Dienstleistungen), unter anderem in Form der Verwaltung der Registrierungen von Internetadressen mit der Endung .at , .or.at und .co.at .
Grafisch stellte sich der Inhalt der Website mit der URL https://www.a***-immobilien.at zum Zeitpunkt der Einbringung der Beschwerde der Beschwerdeführerin wie folgt dar (Formatierung nicht 1:1 wiedergegeben.):
[Anmerkung Bearbeiter/in: Die im Original an dieser Stelle in Form von 2 Screenshots in einem grafischen Format dargestellte Wiedergabe einer Website wurde aus Pseudonymisierungsgründen entfernt.]
Grafisch stellte sich der Inhalt der Website mit der URL https://www.a***-immobilien.com/ wie folgt dar (Formatierung nicht 1:1 wiedergegeben.):
[Anmerkung Bearbeiter/in: Die im Original an dieser Stelle in Form eines Screenshots in einem grafischen Format dargestellte Wiedergabe einer Website wurde aus Pseudonymisierungsgründen entfernt.]
E-Mail vom 24. September 2025 von dem Unternehmen nic.at GmbH an die Beschwerdeführerin (Formatierung nicht 1:1 wiedergegeben.):
[Anmerkung Bearbeiter/in: Die im Original an dieser Stelle in Form eines Screenshots in einem grafischen Format dargestellte Wiedergabe einer E-Mail wurde aus Pseudonymisierungsgründen entfernt. Sie enthält die Bekanntgabe, dass der Beschwerdegegner (mit Namen, Adresse und sonstigen Kontaktdaten) Inhaber der Domain a***-immobilien.at ist.]
Beweiswürdigung : Diese Feststellungen beruhen auf den Eingaben der Beschwerdeführerin vom 24. September 2025 und 28. September 2025 (insbesondere den übermittelten Screenshots) sowie auf den amtswegig durchgeführten Recherchen vom 13. Oktober 2025 auf der Homepage mit der URL https://www.a**-immobilien.com/de/HOME.htm und den amtswegigen Wahrnehmungen vom 24. September 2025 beim Abruf der Homepage mit der URL https://www.a***-immobilien.at .
Der Domaininhaber der Homepage mit der URL https://www.a***-immobilien.at geht aus dem von der Beschwerdeführerin übermittelten Schreiben der nic.at GmbH hervor, deren Unternehmensgegenstand die Vergabe und Verwaltung von .at - Domains bildet. AT ist der Ländercode für Österreich. Der Unternehmensgegenstand der nic.at GmbH ergibt sich zum einen aus dem amtswegig durchgeführten Firmenbuchauszug vom 13. Oktober 2025, welcher dem Verfahrensakt beiliegt, zum anderen aus den auf der Homepage mit der URL https://www.nic.at/de ersichtlichen Informationen.
Für die Datenschutzbehörde sind die von der Beschwerdeführerin vorgelegten Beilagen daher unstrittig und geeignet, die Domaininhaberschaft zu belegen, insbesondere deshalb, weil es sich bei dem Unternehmen nic.at GmbH um die zentrale Registrierungsstelle für .at - Domains handelt.
3. Seit dem 13. Oktober 2025 scheint jedenfalls die Fehlermeldung „ Forbidden - You don't have permission to access this resource.“ auf. Die Website mit der URL https://www.a***-immobilien.at ist nicht mehr öffentlich aufrufbar und der Zugang gesperrt.
Grafisch stellte sich der Inhalt der Website mit der URL https://www.a***-immobilien.at am 13. Oktober 2025 wie folgt dar (Formatierung nicht 1:1 wiedergegeben.):
[Anmerkung Bearbeiter/in: Die im Original an dieser Stelle in Form eines Screenshots in einem grafischen Format dargestellte Wiedergabe einer Website wurde aus Pseudonymisierungsgründen entfernt. Gezeigt wird die angegebene Fehlermeldung.]
Beweiswürdigung : Diese Feststellungen stützen sich auf die amtswegigen Wahrnehmungen vom 13. Oktober 2025 beim Aufruf der Homepage mit der URL https://www.a***-immobilien.at .
D. In rechtlicher Hinsicht folgt daraus:
D.1. Anwendbarkeit der Datenschutzgrundverordnung
Zunächst ist festzuhalten, dass die Beschwerdeführerin die gegenständliche Beschwerde ausdrücklich als juristische Personen eingebracht und ihre Datenschutzbeschwerde auf Art. 6 DSGVO (Rechtmäßigkeit der Datenverarbeitung) und Art. 17 DSGVO (Recht auf Löschung) gestützt hat (vgl. verfahrenseinleitende Eingabe vom 24. September 2024, verbessert am 28. September 2025, der Beschwerdeführerin).
Aufgrund des unstrittigen Wortlauts des Art. 1 Abs. 1 DSGVO schützt die Datenschutzgrundverordnung nur die Daten natürlicher Personen und nicht jene juristischer Personen. Die Frage, ob sich juristische Personen auf Art. 8 EMRK berufen können, wenn aus ihrem Namen eine natürliche Person hervorgeht (vgl. Entscheidung des EuGHs vom 9. November 2010, C-92/09, Schecke; C-93/09, Eifert) , stellt sich verfahrensgegenständlich nicht, weil dies unstrittig nicht vorliegt und ebenso wenig von der Beschwerdeführerin vorgebracht worden ist.
Der Beschwerdeführerin ist es somit im konkreten Fall verwehrt, sich auf Art. 1 DSGVO iVm. Art. 77 DSGVO iVm. Art. 6 iVm. 17 DSGVO zu berufen.
Sofern sich die Unrechtmäßigkeit der Datenverarbeitung oder die Verletzung im Recht auf Löschung auf die rechtliche Grundlage des § 1 bzw. § 1 Abs. 3 DSG stützt, ist hierzu Folgendes auszuführen:
D.2. In der Sache
Gemäß § 4 Abs. 1 DSG gelten die Bestimmungen der DSGVO und des DSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Nach dem Willen des Gesetzgebers sind die einfachgesetzlichen Bestimmungen des DSG, darunter auch die Beschwerde nach § 24 DSG, daher auf den Schutz natürlicher Personen beschränkt.
Die Datenschutzbehörde hat jedoch bereits mehrfach ausgesprochen, dass § 1 DSG auch juristische Personen schützt.Eine Auslegung der einfachgesetzlichen Bestimmungen - insbesondere der §§ 4 und 24 DSG - dahingehend, nur natürlichen Personen die Möglichkeit einer Beschwerdeerhebung vor der Datenschutzbehörde einzuräumen, juristischen Personen hingegen nicht, würde diesen Bestimmungen vor dem Hintergrund des § 1 DSG einen gleichheits- und damit verfassungswidrigen Inhalt unterstellen. Es kann dem Gesetzgeber nämlich nicht unterstellt werden, dass dieser ohne nachvollziehbaren Grund juristische Personen im Rahmen der Verfolgung ihrer verfassungsgesetzlich gewährleisteten Rechte grob nachteilig anders behandeln wollte als natürliche Personen(siehe den Bescheid vom 25. Mai 2020, GZ 2020-0.191.240, mwN). Es erscheint verfassungsrechtlich geboten, sämtlichen Grundrechtsberechtigten die effektive Durchsetzung ihrer Grundrechtsansprüche zu ermöglichen (vgl. Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG § 1 Rz 7; vgl. BVwG 22. April 2024, W214 2253376-1/23E, W214 2253225-1/23E, mit Verweis auf Thiele/Wagner in Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG)² § 24 Rz 4 [Stand 1.2.2022, rdb.at]).
In einer rezenten Entscheidung vom 12. März 2024, Zl. E 3436/2023-16 (Rz 26), bringt der VfGH zum Ausdruck, dass dieser die Rechtsmeinung der Datenschutzbehörde hierzu teilt und führte Folgendes aus:
„Der Verfassungsgerichtshof hat keinen Zweifel, dass die Grundrechtsbestimmung in § 1 DSG nicht nur natürliche Personen, sondern auch juristische Personen als Grundrechtsträger erfassen (zB VfSlg. 19.673/2012). Daran hat die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. 2016 L 119, 1 (aber auch das im Gefolge erlassene Datenschutz-Anpassungsgesetz 2018, BGBl. I 120/2017) nichts geändert.“
Ebenso schließt sich das Bundesverwaltungsgericht in seinen jüngsten Erkenntnissen zu GZ W214 2253376-1/23E bzw. W214 2253225-1/23E vom 22. April 2024 und GZ W287 2254678-1 vom 30. Juli 2024 (Rz 3.2.1.) der rechtlichen Auffassung - trotz vorheriger davon divergierender Judikatur (vgl. Erkenntnis zu GZ W298 2261568-1/16E vom 19. September 2023) - an und geht wie die Datenschutzbehörde davon aus, dass § 1 DSG juristische Personen als Grundrechtsträger erfasst und diese - in verfassungskonformer Auslegung des § 24 Abs. 1 DSG - die in § 1 normierten Rechte im Administrativweg geltend machen können.
Daher bestehen dahingehend keine Bedenken, dass die Beschwerdeführerin als juristische Person im Hinblick auf deren personenbezogene Daten grundsätzlich eine Beschwerde erheben kann. Dass es dem nationalen Gesetzgeber möglich ist, ein rein nationales Konzept zum Schutze personenbezogener Daten juristischer Personen vorzusehen, wurde vom EuGH bejaht (Urteil vom 10. Dezember 2020, C-620/19, Rz 47), sodass die o.a. Rechtsprechung der Datenschutzbehörde damit nicht im Widerspruch steht. Juristischen Personen steht daher das Grundrecht auf Geheimhaltung ihrer Daten sowie grundsätzlich das Recht auf Auskunft, Richtigstellung und Löschung zu (vgl. § 1 DSG).
Im Ergebnis ist daher festzuhalten, dass die Beschwerdeführerin als juristische Person zwar grundsätzlich aktiv legitimiert ist, eine Beschwerde gemäß § 24 DSG vor der Datenschutzbehörde zu erheben, sofern sie eine Verletzung der durch § 1 DSG - gegenständlich § 1 Abs. 3 DSG (Löschung) - gewährleisteten Rechte behauptet, jedoch nur in jenem Umfang, in welchem dies auch einer natürlichen Person möglich wäre und im rein nationalen Kontext.
Im Rahmen der Beantwortung des Mangelbehebungsauftrages vom 25. September 2025 zu GZ D130.3004, 2025-0.767.160 wurde von der Beschwerdeführerin mit Stellungnahme vom 28. September 2025 vorgebracht, dass sich deren Beschwerde gegen den Beschwerdegegner richtet. Bei diesem handelt es sich um eine natürliche Person, welche in Italien an der postalischen Zustelladresse Piazza O*** *7, ***** Città di R*** wohnhaft ist.
Die Datenschutzbehörde hat bereits mehrfach ausgesprochen, dass sicheine juristische Person im internationalen Kontext nicht auf das Recht auf Geheimhaltung nach § 1 Abs. DSG - somit ebenfalls nicht auf das in § 1 DSG unter § 1 Abs. 3 DSG normierte Recht auf Löschung - berufen kann(vgl. mit näherer Begründung den Bescheid vom 19. Juli 2018, GZ: DSB-D123.089/0002-DSB/2018).
Die gegenständlich eingebrachte Beschwerde der Beschwerdeführerin war daher vor dem Hintergrund dieser Überlegungen in Bezug auf den Beschwerdegegner zurückzuweisen .
Der Vollständigkeit halber merkt die Datenschutzbehörde an, dass bei dem am 13. Oktober 2025 vorgenommenen amtswegigen Abruf der Homepage mit der URL https://www.a***-immobilien.at eine Fehlermeldung ersichtlich war und die beschwerdegegenständliche Datenverarbeitung nicht mehr stattfindet.
Soweit die Beschwerdeführerin rügt, dass der Beschwerdegegner etwaige Marken- sowie Urheberrechtsverletzungen begangen hat, führt die Datenschutzbehörde aus, dass sie für derartige Ansprüche nicht zuständig ist und verweist auf die ordentlichen Zivilgerichte.
Rückverweise
