Ohne Ein­wil­li­gung, ohne Chance: Das ös­ter­rei­chi­sche BVwG stärkt den Schutz per­so­nen­be­zo­ge­ner Daten.

Das ös­ter­rei­chi­sche Bun­des­ver­wal­tungs­ge­richt (BVwG) hat sich in einem ak­tu­el­len Urteil (W176 2286887-1/16E vom 19. No­vem­ber 2024)* mit der Recht­mä­ßig­keit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten be­schäf­tigt. Die Ent­schei­dung ver­deut­licht, welche hohen An­for­de­run­gen die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO) an die Ein­wil­li­gung als Rechts­grund­la­ge stellt und welche Kon­se­quen­zen drohen, wenn diese Vor­ga­ben nicht ein­ge­hal­ten werden.

Sach­ver­halt

Ein ös­ter­rei­chi­sches Un­ter­neh­men wurde be­schul­digt, per­so­nen­be­zo­ge­ne Daten ohne aus­rei­chen­de Rechts­grund­la­ge ver­ar­bei­tet zu haben. Die Da­ten­schutz­be­hör­de ver­häng­te dar­auf­hin eine Geld­stra­fe gemäß Art. 83 Abs. 5 lit. a DSGVO. Das Un­ter­neh­men legte gegen diese Ent­schei­dung Be­schwer­de beim Bun­des­ver­wal­tungs­ge­richt ein.

Ent­schei­dung

Das BVwG be­stä­tig­te die Ent­schei­dung der Da­ten­schutz­be­hör­de und wies die Be­schwer­de des Un­ter­neh­mens ab. Es wurde fest­ge­stellt, dass die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten ohne gültige Ein­wil­li­gung der be­trof­fe­nen Per­so­nen und ohne Vor­lie­gen einer anderen Rechts­grund­la­ge er­folg­te, was einen Verstoß gegen Art. 6 Abs. 1 DSGVO darstellt.

Be­grün­dung

Das Gericht führte aus, dass die Ein­wil­li­gung der be­trof­fe­nen Per­so­nen nicht den An­for­de­run­gen des Art. 7 DSGVO ent­sprach, da sie weder frei­wil­lig noch in­for­miert erteilt wurde. Zudem konnte das Un­ter­neh­men keine be­rech­tig­ten In­ter­es­sen gemäß Art. 6 Abs. 1 lit. f DSGVO nach­wei­sen, die die Da­ten­ver­ar­bei­tung ge­recht­fer­tigt hätten. Daher wurde die ver­häng­te Geld­stra­fe als an­ge­mes­sen erachtet.

Fazit für Un­ter­neh­men und Datenschutzbeauftragte

Das Urteil des BVwG un­ter­streicht einmal mehr, wie ent­schei­dend eine sorg­fäl­ti­ge Prüfung der Rechts­grund­la­gen für die Da­ten­ver­ar­bei­tung ist. Für Un­ter­neh­men be­deu­tet dies, ihre Pro­zes­se und Do­ku­men­ta­tio­nen re­gel­mä­ßig auf DSGVO-Kon­­­for­­mi­­tät zu über­prü­fen und si­cher­zu­stel­len, dass Ein­wil­li­gun­gen den ge­setz­li­chen An­for­de­run­gen entsprechen.

Datenschutz­beauftragte sollten in ihrer be­ra­ten­den Funk­ti­on darauf hin­wir­ken, dass klare Richt­li­ni­en für die Ein­ho­lung und Do­ku­men­ta­ti­on von Ein­wil­li­gun­gen er­stellt werden. Darüber hinaus sollten sie Un­ter­neh­men für die Be­deu­tung von Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zu­n­­gen (DSFA) sen­si­bi­li­sie­ren, ins­be­son­de­re bei der Ver­ar­bei­tung sen­si­bler Daten oder in recht­lich un­kla­ren Situationen.

Das Urteil bietet eine wert­vol­le Ori­en­tie­rung und macht deut­lich, dass Ver­stö­ße nicht nur fi­nan­zi­el­le, sondern auch ruf­schä­di­gen­de Folgen haben können. Un­ter­neh­men und Datenschutz­beauftragte sollten es daher zum Anlass nehmen, die interne Com­pli­ance zu stärken.

Haben Sie Fragen oder be­nö­ti­gen Sie Un­ter­stüt­zung? Wir stehen Ihnen gerne zur Ver­fü­gung: consulting@AdOrgaSolutions.de 

* Die Ent­schei­dung des Bun­des­ver­wal­tungs­ge­richt Re­pu­blik Ös­ter­reich ist hier ab­ruf­bar:  https://www.ris.bka.gv.at/Dokumente/Bvwg/BVWGT_20241119_W176_2286887_1_00/BVWGT_20241119_W176_2286887_1_00.pdf 

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!