News
Österreichisches BVwG: Wechsel der Rechtsgrundlage der Datenverarbeitung ist zulässig
Kann sich ein Verantwortlicher auf eine andere Rechtsgrundlage als Rechtfertigung für die Datenverarbeitung berufen, nachdem die zugrundeliegende Einwilligungserklärung von einer Behörde für ungültig erklärt wurde?
Nach der Entscheidung des Österreichischen Bundesverwaltungsgerichts (BVwG) vom 31. August 2021 (Az.: W256 2227693-1/10E) kann das zumindest nicht pauschal ausgeschlossen werden. Entgegen der Ansicht des Europäischen Datenschutzausschuss (EDSA) ging das Gericht davon aus, dass bei unzulässiger Einholung einer Einwilligung andere Rechtsgrundlagen für die Verarbeitung zumindest in Betracht kommen und geprüft werden müssen.
Hintergrund der Entscheidung war ein Prüfverfahren der österreichischen Datenschutzaufsichtsbehörde gegen ein Unternehmen. Im Rahmen dieser Überprüfung beanstandete die Behörde, dass die vom Unternehmen eingeholte Einwilligung zu Profiling- und Marketingzwecken im Rahmen eines Kundenbindungsprogramms (Sammeln von Treuepunkten) nicht den Anforderungen an eine Einwilligung gemäß Art. 4 Nr. 11 DSGVO und Art 7 DSGVO entspricht und dass infolgedessen die darauf basierende Datenverarbeitung unzulässig sei. Gegen die deshalberlassene Untersagungsverfügung der Behörde hatte das betroffene Unternehmen Beschwerde beim BVwG eingelegt.
In der daraufhin ergangenen Entscheidung des BVwG ging das Gericht davon aus, dass zwar keine gültige Einwilligung durch den Verantwortlichen eingeholt wurde, die Behörde aber zu einer Prüfung möglicher alternativer Rechtsgrundlagen verpflichtet gewesen wäre. Nach Ansicht des Gerichtes sei ein Wechsel der Rechtsgrundlage nicht bereits aufgrund der Datenschutzgrundsätze ausgeschlossen. Auch käme es für die Prüfung der Rechtmäßigkeit nicht darauf an, ob die betroffene Person im Rahmen der Informationen nach Art. 13 DSGVO vollständig über die Rechtsgrundlage informiert wurde. Nach Ansicht des Gerichtes kann, wenn eine Einwilligung auf eine unzulässige Art und Weise eingeholt wurde, die Verarbeitung grundsätzlich weiterhin auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 f) DSGVO) erfolgen, soweit die gesetzlichen Voraussetzungen dafür gegeben sind. Vor allem bei der im Rahmen von Art. 6 Abs. 1 f) DSGVO durchzuführenden Interessenabwägung seien dann aber auch die berechtigten Erwartungen der betroffenen Person zu berücksichtigen. Ein möglicher Verstoß gegen die Informationspflichten aus Art. 13 DSGVO oder die Datenschutzgrundsätze aus Art. 5 DSGVO war nicht Gegenstand des Verfahrens.
Die Entscheidung ist vor allem deshalb interessant, da der EDSA und auch seine Vorgängerinstitution, die Art. 29-Datenschutzgruppe, durchgehend die Ansicht vertreten haben, dass wenn Probleme mit der Gültigkeit der Einwilligung auftreten, keine andere Rechtsgrundlage mehr in Betracht kommen soll (siehe hierzu Rn. 123 der Leitlinie des EDSA zum Thema Einwilligungen). Das Gericht scheint diesbezüglich die Ausführungen des EDSA aber nur unvollständig gelesen zu haben, da es behauptet, dass der EDSA bzw. die Art. 29-Datenschutzgruppe bislang nicht dazu Stellung bezogen hätten, ob im Falle einer ungültigen Einwilligung ein Rückgriff auf sonstige Erlaubnistatbestände möglich ist.
Gerade deswegen stellt das Urteil aber auch eine gute Argumentationshilfe für Verantwortliche im gerichtlichen oder aufsichtsbehördlichen Verfahren dar, wenn im Einzelfall die Einholung einer Einwilligung an den Vorgaben aus Art. 4 Nr. 11 DSGVO und Art. 7 DSGVO scheitern sollte. In diesen Fällen lässt sich unter Berufung auf die Ansicht des Gerichtes gut vertreten, dass eine Verarbeitung auf Grundlage von Art. 6 Abs. 1 f) DSGVO trotz ungültiger Einwilligung rechtmäßig erfolgt sein könnte. Auch wenn dann in der Regel trotzdem ein Verstoß gegen Art. 13 DSGVO anzunehmen sein wird, kann aufgrund des Urteils des BVwG die Verarbeitung des Verantwortlichen im Einzelfall durch eine Aufsichtsbehörde nicht ohne weiteres vollständig untersagt werden.
News
Neue Zweifel an der Wirksamkeit des EU-U.S. Data Privacy Framework
Der LIBE-Ausschuss vom Europäischen Parlament hat am 6. Februar 2025 die Kommission darauf hingewiesen, dass das unter dem EU-U.S. Data Privacy Framework („DPF“) geschaffene Privacy and Civil Liberties Board nur noch mit einer Person besetzt ist (siehe dazu auch den Artikel bei Bloomberg). Die anderen Board-Mitglieder wurden von der Exekutive in den USA abberufen. Der Ausschuss bittet die Kommission eine dokumentierte Prüfung zur Verfügung zu stellen, die sich mit den Auswirkungen dieser Änderung befasst. Das ist nachvollziehbar, weil eigentlich ein wirksamer und Art. 47 der Charta der Grundrechte der EU entsprechender Rechtsbehelf notwendig ist, um von einer Angemessenheit des Schutzniveaus auszugehen. Im folgenden Abschnitt beantworten wir Fragen, die sich Unternehmen aus der EU jetzt vermehrt stellen werden.
Neue Vorgaben zur Barrierefreiheit auf Websites und in Apps: Ein Überblick zu den Vorschriften des BFSG
Philip Schweers hat in der aktuellen Ausgabe 09/2025 des "Betriebs-Beraters" die nach dem 28. Juni 2025 geltenden Anforderungen des Barrierefreiheitsstärkungsgesetz für Websites und Apps zusammengefasst.
Der Beitrag beschreibt ausführlich für welche Websites und Apps das BFSG gilt, welche Anforderungen bei dessen Umsetzung beachtet werden müssen und welche Konsequenzen bei Verstößen drohen.
Barrierefreiheitsstärkungsgesetz (Teil 4) – Folgen von Verstößen gegen das BFSG
Ab dem 29. Juni 2025 gelten die Vorgaben des Barrierefreiheitsstärkungsgesetzes (BFSG). Um Sie rechtzeitig auf das BFSG vorzubereiten, befassen wir uns in unserer Beitragsreihe mit dessen Anforderungen. In Teil 1 haben wir uns einen kurzen Gesamtüberblick zum BFSG verschafft. In Teil 2 und Teil 3 haben wir uns angesehen, ob und welche Anforderungen aus dem BFSG für ihre Websites und Apps gelten. In Teil 4 befassen wir uns damit, was passiert, wenn ein Dienstleister, (z.B. der Anbieter eines Onlineshops) gegen die Vorgaben des BFSG verstößt und wie dieser sich gegen mögliche Rechtsfolgen wehren kann.
Barrierefreiheitsstärkungsgesetz (Teil 3) – Was bedeutet Barrierefreiheit für meine Website oder App?
Nachdem wir uns in Teil 2 unserer Beitragsreihe zum Barrierefreiheitsstärkungsgesetz (BFSG) damit befasst haben für welche Apps und Websites das BFSG gilt, stellen wir Ihnen in Teil 3 vor, welche konkreten Anforderungen an die Barrierefreiheit gelten.
LG Nürnberg-Fürth: Zugangsdaten, Passwörter und Datenbank mit öffentlich verfügbaren Informationen als Geschäftsgeheimnisse
Im Bereich Geschäftsgeheimnisschutz ist es besonders relevant, dass Inhaber eines Geschäftsgeheimnisses diese mit angemessenen Maßnahmen geheim halten. Damit eine Information überhaupt ein Geschäftsgeheimnis i.S.v. § 2 Nr. 1 GeschGehG sein kann, dürfen die relevanten Informationen u.a. weder allgemein bekannt noch ohne Weiteres zugänglich sein. Das LG Nürnberg-Fürth hat am 27.12.2024 (Az. 19 O 556/24) entschieden, dass sowohl eine Datenbank mit öffentlich verfügbaren Daten als auch die Zugangsdaten und Passwörter für den Zugriff auf diese Datenbank als Geschäftsgeheimnisse gelten. Es wurde außerdem entschieden, dass dem Kläger ein Auskunftsanspruch aus § 8 Abs. 1 GeschGehG zustand und die dabei zur Mitteilung von Namen und Anschriften der an der Verletzung des Geschäftsgeheimnisses beteiligten Personen erforderliche Rechtsgrundlage aus der DSGVO vorlag.
Fachbeitrag: Berechtigte Interessen als Rechtsgrundlage für das Training von KI-Modellen
Alexander Weiss & Dr. Carlo Piltz haben im aktuellen Heft 12/2024 der Zeitschrift DATENSCHUTZ-BERATER die praxisrelevante Frage untersucht, ob und wann die Rechtsgrundlage des Art. 6 Abs. 1 f) DSGVO (Interessenabwägung) für die Verwendung personenbezogener Daten zum Zweck des Trainings von KI-Modellen genutzt werden kann.