Yet another blog meandering about data & law
Das Parlamentarische Datenschutzkomitee (PDK), Österreichs zweite Datenschutz-Aufsichtsbehörde neben der DSB, hat gemäß § 35e Abs. 3 in Verbindung mit § 23 DSG bis zum 31. März eines jeden Jahres einen Tätigkeitsbericht zu erstellen. Dieser wurde nun hier (pünktlich) veröffentlicht: Dokument öffnen (PDF)
Am 19.3.2026 hat der Europäische Datenschutzausschuss (EDPB) den Startschuss für seine diesjährige koordinierte Prüfmaßnahme (Coordinated Enforcement Framework - CEF) gegeben. Nachdem im vergangenen Jahr das Recht auf Löschung geprüft wurde, rückt 2026 ein neues, für uns alle hochrelevantes Thema in den Fokus: die Einhaltung der Transparenz- und Informationsverpflichtungen unter der DSGVO.
Was bedeutet das aus österreichischer Sicht?
Die österreichische Datenschutzbehörde (DSB) hat bereits bestätigt, dass sie sich auch im Jahr 2026 an dieser europaweit zwischen 25 Datenschutzbehörden koordinierten Maßnahme beteiligen wird. Für Verantwortliche heißt es daher aufpassen: Die Behörde wird demnächst gezielt Verantwortliche aus unterschiedlichen Sektoren kontaktieren - erfahrungsgemäß mit einem detaillierten Fragebogen. Nähere Details zum genauen Vorgehen in Österreich wird die DSB zu einem späteren Zeitpunkt noch bekannt geben.
Warum gerade Transparenz?
Die DSGVO stellt durch die Artikel 12, 13 und 14 sicher, dass betroffene Personen darüber informiert werden, wenn ihre Daten verarbeitet werden. Dieses Recht auf Information ist ein Kernelement der Transparenz und sorgt dafür, dass Betroffene mehr Kontrolle über ihre personenbezogenen Daten behalten. Art 12 Abs 1 DSGVO, der Ausdruck des Transparenzgrundsatzes ist, soll laut EuGH gewährleisten, dass die betroffene Person in die Lage versetzt wird, die an sie gerichteten Informationen in vollem Umfang zu verstehen (EuGH 4.5.2023, C‑487/21, Rn 38; 11.7.2024, C‑757/22, Rn 56 ff).
Wie geht es weiter?
In der zweiten Jahreshälfte 2026 werden die teilnehmenden Behörden ihre gesammelten nationalen Erkenntnisse austauschen und aggregieren. Ziel ist es, tiefere Einblicke in die praktische Umsetzung der Informationspflichten zu gewinnen und einen gemeinsamen Bericht zu erstellen. Dieser wird schließlich vom EDPB verabschiedet und soll gezielte Folgemaßnahmen sowohl auf nationaler als auch auf EU-Ebene ermöglichen.
Die Datenschutzbehörde stellt hier ihre (nicht rechtskräftige) Entscheidung zum Ersuchen um Einwilligung (Cookie-Banner) auf der Website www.orf.at zur Verfügung (eine weitere veröffentlichte Version des Bescheids ist übrigens hier zu finden).
Im Kern ging es vor allem um die Frage, ob auf der ersten Ebene des Cookie-Banners auch eine Schaltfläche zum Ablehnen von “technisch nicht notwendigen” Cookies (bzw anders formuliert: dem Akzeptieren von “nur notwendigen Cookies”) vorhanden sein muss und wie deren grafische Ausgestaltung auszusehen hat:
[…] 2) Der Beschwerdegegnerin wird amtswegig aufgetragen, innerhalb einer Frist von sechs Wochen
a) Das Ersuchen um Einwilligung (den Cookie Banner, siehe Sachverhaltsfeststellung C.6.) auf der Website www.orf.at derart abzuändern, dass beim Besuch der Website eine gültige
Einwilligung eingeholt wird. Hierfür hat die Beschwerdegegnerin den Cookie Banner jedenfalls derart abzuändern, dass der betroffenen Person auf der ersten Ebene des Cookie Banners eine
gleichwertige Wahlmöglichkeit zwischen „Alle Cookies akzeptieren“ und „Nur notwendige Cookies“ geboten wird. Dabei ist sicherzustellen, dass beide Auswahlmöglichkeiten hinsichtlich
visueller Gestaltung, einschließlich Farbe, Größe, Kontrast, Platzierung und Hervorhebung, gleichwertig gestaltet sind. Es ist unzulässig, eine der Auswahlmöglichkeiten durch ein
übermäßig auffälliges Design, wie eine bevorzugte Farbgebung, eine größere Schriftgröße oder eine prominentere Platzierung, in den Vordergrund zu stellen.b) Die Website www.orf.at derart abzuändern, dass beim Besuch dieser Website vor Abgabe einer Einwilligung die folgenden Cookies nicht gesetzt werden:
i) ioam2018 (siehe Sachverhaltsfeststellung C.7.);
ii) i00 (siehe Sachverhaltsfeststellung C.7.);
iii) UserID1 (siehe Sachverhaltsfeststellung C.7.);
iv) autouserid2 (siehe Sachverhaltsfeststellung C.7.). […]
Laut Website der österreichischen Datenschutzbehörde wurde am 6. November 2024 die „Erklärung über ein Netzwerk Digitalisierung“ unterzeichnet. Das Netzwerk Digitalisierung dient dem regelmäßigen Informations- und Erfahrungsaustausch zwischen diesen Behörden. Ziel ist es, im Rahmen der jeweiligen Zuständigkeiten eng zusammenzuarbeiten, um ein gemeinsames Verständnis zu den relevanten Fragestellungen der Digitalisierung zu ermöglichen und somit unterschiedliche Entscheidungen und Ansätze weitgehend zu vermeiden..
Weitere Mitglieder des Netzwerks sind folgende unabhängige Behörden: