News
Österreichisches BVwG: Wechsel der Rechtsgrundlage der Datenverarbeitung ist zulässig
Kann sich ein Verantwortlicher auf eine andere Rechtsgrundlage als Rechtfertigung für die Datenverarbeitung berufen, nachdem die zugrundeliegende Einwilligungserklärung von einer Behörde für ungültig erklärt wurde?
Nach der Entscheidung des Österreichischen Bundesverwaltungsgerichts (BVwG) vom 31. August 2021 (Az.: W256 2227693-1/10E) kann das zumindest nicht pauschal ausgeschlossen werden. Entgegen der Ansicht des Europäischen Datenschutzausschuss (EDSA) ging das Gericht davon aus, dass bei unzulässiger Einholung einer Einwilligung andere Rechtsgrundlagen für die Verarbeitung zumindest in Betracht kommen und geprüft werden müssen.
Hintergrund der Entscheidung war ein Prüfverfahren der österreichischen Datenschutzaufsichtsbehörde gegen ein Unternehmen. Im Rahmen dieser Überprüfung beanstandete die Behörde, dass die vom Unternehmen eingeholte Einwilligung zu Profiling- und Marketingzwecken im Rahmen eines Kundenbindungsprogramms (Sammeln von Treuepunkten) nicht den Anforderungen an eine Einwilligung gemäß Art. 4 Nr. 11 DSGVO und Art 7 DSGVO entspricht und dass infolgedessen die darauf basierende Datenverarbeitung unzulässig sei. Gegen die deshalberlassene Untersagungsverfügung der Behörde hatte das betroffene Unternehmen Beschwerde beim BVwG eingelegt.
In der daraufhin ergangenen Entscheidung des BVwG ging das Gericht davon aus, dass zwar keine gültige Einwilligung durch den Verantwortlichen eingeholt wurde, die Behörde aber zu einer Prüfung möglicher alternativer Rechtsgrundlagen verpflichtet gewesen wäre. Nach Ansicht des Gerichtes sei ein Wechsel der Rechtsgrundlage nicht bereits aufgrund der Datenschutzgrundsätze ausgeschlossen. Auch käme es für die Prüfung der Rechtmäßigkeit nicht darauf an, ob die betroffene Person im Rahmen der Informationen nach Art. 13 DSGVO vollständig über die Rechtsgrundlage informiert wurde. Nach Ansicht des Gerichtes kann, wenn eine Einwilligung auf eine unzulässige Art und Weise eingeholt wurde, die Verarbeitung grundsätzlich weiterhin auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 f) DSGVO) erfolgen, soweit die gesetzlichen Voraussetzungen dafür gegeben sind. Vor allem bei der im Rahmen von Art. 6 Abs. 1 f) DSGVO durchzuführenden Interessenabwägung seien dann aber auch die berechtigten Erwartungen der betroffenen Person zu berücksichtigen. Ein möglicher Verstoß gegen die Informationspflichten aus Art. 13 DSGVO oder die Datenschutzgrundsätze aus Art. 5 DSGVO war nicht Gegenstand des Verfahrens.
Die Entscheidung ist vor allem deshalb interessant, da der EDSA und auch seine Vorgängerinstitution, die Art. 29-Datenschutzgruppe, durchgehend die Ansicht vertreten haben, dass wenn Probleme mit der Gültigkeit der Einwilligung auftreten, keine andere Rechtsgrundlage mehr in Betracht kommen soll (siehe hierzu Rn. 123 der Leitlinie des EDSA zum Thema Einwilligungen). Das Gericht scheint diesbezüglich die Ausführungen des EDSA aber nur unvollständig gelesen zu haben, da es behauptet, dass der EDSA bzw. die Art. 29-Datenschutzgruppe bislang nicht dazu Stellung bezogen hätten, ob im Falle einer ungültigen Einwilligung ein Rückgriff auf sonstige Erlaubnistatbestände möglich ist.
Gerade deswegen stellt das Urteil aber auch eine gute Argumentationshilfe für Verantwortliche im gerichtlichen oder aufsichtsbehördlichen Verfahren dar, wenn im Einzelfall die Einholung einer Einwilligung an den Vorgaben aus Art. 4 Nr. 11 DSGVO und Art. 7 DSGVO scheitern sollte. In diesen Fällen lässt sich unter Berufung auf die Ansicht des Gerichtes gut vertreten, dass eine Verarbeitung auf Grundlage von Art. 6 Abs. 1 f) DSGVO trotz ungültiger Einwilligung rechtmäßig erfolgt sein könnte. Auch wenn dann in der Regel trotzdem ein Verstoß gegen Art. 13 DSGVO anzunehmen sein wird, kann aufgrund des Urteils des BVwG die Verarbeitung des Verantwortlichen im Einzelfall durch eine Aufsichtsbehörde nicht ohne weiteres vollständig untersagt werden.
News
Der CRA – Was sollten Unternehmen 2026 und darüber hinaus beachten?
Der Cyber Resilience Act (CRA) zielt darauf ab, dass auf dem europäischen Markt bereitgestellte Produkte mit digitalen Elementen ein einheitliches Cybersicherheitsniveau aufweisen. Zu diesem Zweck legt der CRA Pflichten für sämtliche Wirtschaftsakteure der Produktlieferkette fest, insbesondere für den Hersteller, aber auch für die Händler von Produkten mit digitalen Elementen.
Bestandskundenwerbung (nur) nach UWG: EuGH-Entscheidung Inteligo Media
Der EuGH hat in der Rechtssache C-654/23 (Inteligo Media) klargestellt, dass bei Bestandskundenwerbung nach Art. 13 Abs. 2 ePrivacy-RL die Rechtmäßigkeitsvoraussetzungen des Art. 6 Abs. 1 DSGVO nicht zur Anwendung kommen. Damit weicht das Urteil von der bislang vielfach vertretenen Behördenpraxis ab. Zugleich erweitert der EuGH durch seine Auslegung des Begriffs „Verkauf“ den Anwendungsbereich der Bestandskundenausnahme.
Wer ist „Geschäftsleitung“ nach dem BSIG? Prokurist, CIO, Komplementär im Fokus
Das durch die europäische NIS-2-Richtlinie geänderte Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) bringt eine ganze Reihe an Neuerungen im Bereich der IT-Sicherheit. Im Gegensatz zu sonstigen Rechtsakten der europäischen Digitalgesetzgebung enthalten die Änderungen des BSIG durch die NIS-2-Richtlinie eine neue Vorgabe, die explizit Geschäftsleitungen von BSIG-relevanten Unternehmen und sonstigen Stellen besonders interessieren dürfte.
Vom Abwasser bis zur IT — Eigenbetriebe als potenziell wichtige oder besonders wichtige Einrichtungen nach dem BSIG
Hinsichtlich öffentlicher Stellen der Länder verhält sich das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) sehr zurückhaltend. Nicht zuletzt aufgrund der Verteilung der Gesetzgebungskompetenzen zwischen Bund und Ländern finden sich zwar insbesondere in § 29 und Teil 3 Kapitel 3 BSIG Regelungen betreffend die Bundesverwaltung. Entsprechende Regelungen in Bezug auf Verwaltungen der Länder fehlen indes, sodass man auf die Idee kommen könnte, dass insbesondere Einrichtungen außerhalb der Bundes- und Landesverwaltung nicht vom BSIG adressiert werden.
Konzern-IT-Gesellschaften unter der NIS-2-Richtlinie – Neue Herausforderungen für Managed Service Provider und Managed Security Service Provider?
Viele Konzerne oder Unternehmensgruppen betreiben eine eigene IT-(Service) Gesellschaft, die bspw. ERP, MS 365 & Co. ausschließlich für andere Konzerngesellschaften bereitstellt. Mit Geltung der neuen Vorgaben der NIS-2-Richtlinie stellt sich die Frage, ob diese eigene interne IT nach dem deutschen NIS-2-Umsetzungsgesetz (= § 2 Nr. 26 BSIG) als „Managed Service Provider“ (MSP) einzuordnen ist – und sich daher spezifische Pflichten ergeben.
Blackout in Berlin – Meldepflichten für Unternehmen?
Von dem großflächigen Stromausfall im Berliner Südwesten sind etwa 2.200 Unternehmen betroffen. Viele davon müssen wohl leider damit rechnen, noch bis Donnerstag nicht wieder an das Stromnetz angeschlossen zu werden. Der Blackout hat für Unternehmen auch eine (datenschutz- und IT-Sicherheits-)rechtliche Dimension. Die Datenschutz-Grundverordnung sowie das BSI-Gesetz sehen für relevante Sicherheitsvorfälle Meldepflichten vor.