Yet another blog meandering about data & law
Das Parlamentarische Datenschutzkomitee (PDK), Österreichs zweite Datenschutz-Aufsichtsbehörde neben der DSB, hat gemäß § 35e Abs. 3 in Verbindung mit § 23 DSG bis zum 31. März eines jeden Jahres einen Tätigkeitsbericht zu erstellen. Dieser wurde nun hier (pünktlich) veröffentlicht: Dokument öffnen (PDF)
Der Europäische Gerichtshof hat am 19.3. 2026 in der Rs Brillen Rottler (C-526/24) ein Urteil zu rechtsmissbräuchlichen Auskunftsanträgen gefällt.
Sachverhalt:
Ein Nutzer abonnierte den Newsletter eines Optikers und stellte 13 Tage später einen Auskunftsantrag. Das Unternehmen verweigerte die Auskunft unter Verweis auf öffentliche Berichte, wonach der Nutzer systematisch Newsletter abonniere, um Auskunft zu verlangen und anschließend Schadenersatz zu fordern.
Kernaussagen des Urteils:
Auch ein erstmaliges Auskunftsbegehren nach Art 15 DSGVO kann gem Art 12 Abs 5 DSGVO als exzessiv und missbräuchlich eingestuft werden, allerdings ist der Begriff „exzessive Anträge“ eng auszulegen und der Nachweis des exzessiven Charakters vom Verantwortlichen zu erbringen.
Ein Missbrauch liegt vor, wenn der Antrag nicht zur Überprüfung der Datenverarbeitung gestellt wird, sondern in der Absicht, “künstlich” die Voraussetzungen für Schadenersatz zu schaffen. Öffentlich zugängliche Informationen über systematische Auskunftsanträge und Schadenersatzforderungen der auskunftsbegehrenden Person können vom Verantwortlichen dabei als Beweis für diese Absicht mitberücksichtigt werden.
Die bloße Verletzung des Auskunftsrechts nach Art 15 DSGVO kann einen Schadenersatzanspruch nach Art 82 Abs 1 DSGVO begründen, auch ohne dass eine unrechtmäßige Datenverarbeitung stattgefunden hat. Der immaterielle Schaden umfasst zwar grundsätzlich den Kontrollverlust über eigene Daten - führt die betroffene Person diesen Kontrollverlust jedoch durch ihr eigenes Verhalten absichtlich herbei, um die Voraussetzungen für einen Schadenersatz zu schaffen, entfällt der Anspruch, da sie selbst die entscheidende Ursache gesetzt hat (Unterbrechung des Kausalzusammenhangs).
Im soeben erschienenen Jahrbuch 25 Datenschutzrecht, herausgegeben von Bergauer/Gosch findet sich ein ausführlicher Beitrag, den ich als Erstautor (ua auch zur Digitalen Souveränität) mitverfassen durfte: Kastelitz/Tercero/Löffler, Neue (und altbekannte) Anforderungen an den Einsatz von Cloud-Lösungen – Data Act, Digital Markets Act und DSGVO, 29-57
Die Hauptelemente des am 19.11.2025 veröffentlichten Pakets umfassen einen digitalen Omnibus, der Änderungen von Vorschriften für personenbezogene und nicht-personenbezogene Daten sowie für die Cybersicherheit und bestimmte Elemente des KI-Gesetzes (AI Act) vorschlägt. Es beinhaltet außerdem eine Mitteilung zur Datenunionsstrategie, Mustervertragsklauseln (Model Contractual Terms) für den Datenzugang und die Datennutzung sowie Standardvertragsklauseln für Cloud-Computing-Verträge, ebenso wie eine Verordnung für europäische Unternehmens-Wallets. Zusätzlich enthält das Paket eine öffentliche Konsultation zum digitalen Fitness-Check:
Gemeinsam mit Michael Löffler habe ich in der Fachzeitschrift für Wirtschaftsrecht ecolex einen Beitrag zum aktuellen Thema “Aufzeichnung und Transkription von Online-Konferenzen” verfasst. Bei der Aufnahme bzw Transkription von Online-Konferenzen stellen sich naturgemäß Fragen zur rechtskonformen Datenverarbeitung, insbesondere zur DSGVO und zum AI Act - unser Beitrag beleuchtet neben diesen Kernthemen auch Aspekte des Persönlichkeitsschutzes (§ 16 ABGB; §§ 77 f UrhG), das TKG 2021, streift das Strafrecht und gibt am Ende Praxistipps. Der Aufsatz ist hier (paywall) abrufbar.
Die Datenschutzbehörde stellt hier ihre (nicht rechtskräftige) Entscheidung zum Ersuchen um Einwilligung (Cookie-Banner) auf der Website www.orf.at zur Verfügung (eine weitere veröffentlichte Version des Bescheids ist übrigens hier zu finden).
Im Kern ging es vor allem um die Frage, ob auf der ersten Ebene des Cookie-Banners auch eine Schaltfläche zum Ablehnen von “technisch nicht notwendigen” Cookies (bzw anders formuliert: dem Akzeptieren von “nur notwendigen Cookies”) vorhanden sein muss und wie deren grafische Ausgestaltung auszusehen hat:
[…] 2) Der Beschwerdegegnerin wird amtswegig aufgetragen, innerhalb einer Frist von sechs Wochen
a) Das Ersuchen um Einwilligung (den Cookie Banner, siehe Sachverhaltsfeststellung C.6.) auf der Website www.orf.at derart abzuändern, dass beim Besuch der Website eine gültige
Einwilligung eingeholt wird. Hierfür hat die Beschwerdegegnerin den Cookie Banner jedenfalls derart abzuändern, dass der betroffenen Person auf der ersten Ebene des Cookie Banners eine
gleichwertige Wahlmöglichkeit zwischen „Alle Cookies akzeptieren“ und „Nur notwendige Cookies“ geboten wird. Dabei ist sicherzustellen, dass beide Auswahlmöglichkeiten hinsichtlich
visueller Gestaltung, einschließlich Farbe, Größe, Kontrast, Platzierung und Hervorhebung, gleichwertig gestaltet sind. Es ist unzulässig, eine der Auswahlmöglichkeiten durch ein
übermäßig auffälliges Design, wie eine bevorzugte Farbgebung, eine größere Schriftgröße oder eine prominentere Platzierung, in den Vordergrund zu stellen.b) Die Website www.orf.at derart abzuändern, dass beim Besuch dieser Website vor Abgabe einer Einwilligung die folgenden Cookies nicht gesetzt werden:
i) ioam2018 (siehe Sachverhaltsfeststellung C.7.);
ii) i00 (siehe Sachverhaltsfeststellung C.7.);
iii) UserID1 (siehe Sachverhaltsfeststellung C.7.);
iv) autouserid2 (siehe Sachverhaltsfeststellung C.7.). […]
Laut Website der österreichischen Datenschutzbehörde wurde am 6. November 2024 die „Erklärung über ein Netzwerk Digitalisierung“ unterzeichnet. Das Netzwerk Digitalisierung dient dem regelmäßigen Informations- und Erfahrungsaustausch zwischen diesen Behörden. Ziel ist es, im Rahmen der jeweiligen Zuständigkeiten eng zusammenzuarbeiten, um ein gemeinsames Verständnis zu den relevanten Fragestellungen der Digitalisierung zu ermöglichen und somit unterschiedliche Entscheidungen und Ansätze weitgehend zu vermeiden..
Weitere Mitglieder des Netzwerks sind folgende unabhängige Behörden:
The Guide to the Case-Law of the of the European Court of Human Rights on Data Protection is a good starting point to get a quick overview - it has been updated (August 2024) and is available here. Case-Law Guides provide an overview of Convention case-law on a particular Article or a Transversal Theme, for all available guides click here.
Seit Jahren ist ein Trend hin zur Auslagerung von IT-Services („IT-Outsourcing“) via Cloud Computing an spezialisierte Dritte (oft als Software as a Service - SaaS) festzustellen. Bei diesen Cloud-Anbietern handelt es sich meist um global agierende Unternehmen, die zwar idR allgemeine Branchenstandards der IT-Sicherheit beachten, jedoch laut den Aussagen einiger Datenschutzbehörden nicht immer (durchgängig) europäische bzw. nationale datenschutzrechtliche Anforderungen an den Datenschutz erfüllen. Hier obliegt es dem datenschutzrechtlichen Verantwortlichen, vor Vertragsabschluss sorgfältig zu prüfen, ob der gewählte Cloud-Anbieter diese Voraussetzungen wirklich mitbringt. Denn der Verantwortliche darf nur geeignete Auftragsverarbeiter einsetzen und muss nachweisen können, dass er die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten hat („Rechenschaftspflicht“, Art 5 Abs 2 DSGVO). Insbesondere ist ein Vertrag über die Auftragsverarbeitung (AVV) mit dem IT-Dienstleister abzuschließen, der bestimmte Anforderungen erfüllen muss (siehe insb Art 28 Abs 3 und 4 DSGVO).
Im Fokus mehrerer Datenschutzbehörden stand und steht aktuell der Einsatz von Microsoft 365 (MS365). Jüngst hat der Europäische Datenschutzbeauftragte (EDSB) eine verbindliche Entscheidung hinsichtlich des Einsatzes von MS356 durch die Europäische Kommission erlassen. Der EDSB analysiert darin den Einsatz von MS365 durch die Europäische Kommission im Detail (EDSB 8.3.2024, Case 2021-0518, https://www.edps.europa.e … ions-use-microsoft-365_en).
Aber auch Max Schrems mit seiner Datenschutz-NGO noyb hat unlängst zwei Beschwerden hinsichtlich der Verwendung von MS365 Education in Schulen bei der österreichischen Datenschutzbehörde eingebracht (https://noyb.eu/de/micros … -blames-your-local-school).
Unter diesen Prämissen sollte die Einführung von MS365 bei Verantwortlichen auch aus Datenschutzsicht engmaschig begleitet werden, weitere Hinweise findet man u.a. bei der deutschen Datenschutzkonferenz (https://datenschutzkonfer … S365_abschlussbericht.pdf) und in einer Handreichung des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) und sechs weiterer Datenschutzaufsichtsbehörden (https://www.lfd.niedersac … mit-microsoft-225722.html) - es bleibt spannend, da der LfD Niedersachsen die Einführung von Microsoft Teams in der Landesverwaltung Niedersachsen, mit Blick auf die Ausgestaltung der Auftragsverarbeitungsvereinbarung, für akzeptabel hält (https://www.lfd.niedersac … niedersachsen-231856.html).