GZ: 2022-0.088.237 vom 2. Juni 2022 (Verfahrenszahl: DSB-D130.651)
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
TEILBESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Anna A*** (Beschwerdeführerin), vertreten durch die D***-Vereinigung, vom 2. März 2021 gegen die N*** Co. (Beschwerdegegnerin), vertreten durch C*** Partner Rechtsanwälte, wegen Verletzung im Recht auf Auskunft wie folgt:
1. Der Beschwerde wird teilweise stattgegeben und es wird festgestellt , dass die Beschwerdegegnerin die Beschwerdeführerin im Recht auf Auskunft verletzt hat, indem sie auf den Antrag auf Auskunft der Beschwerdeführerin vom 25. Jänner 2021 keine Auskunft erteilt hat.
2. Der Beschwerdegegnerin wird aufgetragen , innerhalb einer Frist von vier Wochen bei sonstiger Exekution der Beschwerdegegnerin Auskunft über die zu ihrer Person verarbeiteten Daten zu erteilen oder ihr gegenüber nachvollziehbar zu begründen, weshalb die Auskunft nicht oder nicht vollständig erteilt wird.
Rechtsgrundlagen : Art. 3 Abs. 2 lit. a, Art. 5 Abs. 1 lit. a, Art. 12 Abs. 1, Abs. 2 und Abs. 3, Art. 15, Art. 27, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f, Art. 58 Abs. 2 lit. c sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Mit Schreiben vom 2. März 2021 brachte die Beschwerdeführerin , vertreten durch D***-Vereinigung, Beschwerde im Recht auf Auskunft ein. Sie führte zusammengefasst aus, dass sie mit E-Mail vom 25. Jänner 2021 ein Auskunftsbegehren gemäß Art. 15 DSGVO an die Beschwerdegegnerin gerichtet habe, welches trotz Erinnerungsmail vom 1. Februar 2021 bis zur Beschwerdeeinbringung unbeantwortet geblieben wäre.
Die Beschwerdegegnerin habe ihren Sitz in den USA, soweit ersichtlich bestehe keine Niederlassung in der EU / im EWR und es sei auch keine Vertretung gemäß Art. 27 DSGVO benannt. Die Applikation der Beschwerdegegnerin „N***Chatroom“ richte sich an Nutzer auf der ganzen Welt, die Dienstleistung „N***Chatroom“ werde auch betroffenen Personen in der EU angeboten, wodurch der örtliche Anwendungsbereich der DSGVO eröffnet sei.
2. Mit Schreiben vom 16. Juli 2021 führte die Beschwerdegegnerin , vertreten durch C*** Partner Rechtsanwälte zusammengefasst aus, dass die DSGVO auf sie zum Zeitpunkt des Auskunftsantrages, dem 25. Jänner 2021, nicht anwendbar gewesen sei.
Bis inklusive 8. Mai 2021 sei die Tätigkeit der Beschwerdegegnerin nicht auf die Europäische Union ausrichtet gewesen. Die App wäre im März 2020 veröffentlicht und zu diesem Zeitpunkt im Appstore generell verfügbar gemacht worden, wie dies die meisten Developer tun. Ziel wäre nur der lokale US Markt gewesen und kein anderes Land. Weiters können User die App nicht alleine dadurch nutzen, dass sie sie heruntergeladen haben, sondern ist eine Einladung durch ein anderes N***Chatroom Mitglied notwendig.
Es werde betont, dass sich N***Chatroom bis 9. Mai 2021 nicht in der Vermarktung in der Europäischen Union engagiert habe und bis dahin in der App auch keine Features für den deutschen oder europäischen Markt hinzugefügt worden seien. Es habe keine Erwartung bestanden, dass die US-Mitgliederbasis nennenswerte Verbindungen in die EU bewirken würde. Die plötzliche und exponentielle Zunahme an Europäischen Bürgern, die zur Teilnahme an der App eingeladen wurden, sei unerwartet und unbeabsichtigt gewesen.
Da mittlerweile die DSGVO auf N***Chatroom anwendbar sei, sei die Beschwerdegegnerin natürlich darauf vorbereitet, ihrer Verpflichtung zur Auskunftserteilung nachzukommen. Gegenständlich würde es jedoch so erscheinen, dass die Unterschrift auf der Vollmacht nicht die der Beschwerdeführerin sei. Auch habe die Beschwerdegegnerin am 7. Mai 2021 eine Verifikation der Identität initiiert, indem sie eine E-Mail und per SMS einen Verifikationscode an die Beschwerdeführerin geschickt, jedoch keine Antwort erhalten habe.
3. Mit Schreiben vom 12. Oktober 2021 führte die Beschwerdeführerin im Rahmen des Parteiengehörs zusammengefasst aus, dass sie nach wie vor Auskunft begehren würde. Das Begehren würde den Erhalt einer Datenkopie nach Art. 15 (3) und aller Informationen nach Art. 15 (1) und (2) DSGVO umfassen.
Die Unterschrift auf der Vertretungsurkunde sei natürlich jene der Beschwerdeführerin. Dies würde sich durch einen Vergleich mit der Unterschrift auf dem Reisepass der Beschwerdeführerin erkennen lassen. Eine Kopie des Reisepasses sei bereits dem Auskunftsbegehren angehängt gewesen.
Die Beschwerdeführerin habe im Auskunftsbegehren auch ihre E-Mail-Adresse und ihre Telefonnummer angegeben. Genau diese Daten habe sie auch bei der Erstellung ihres Accounts für N***Chatroom angegeben. Insofern seien Zweifel an der Identität der Beschwerdeführerin iSv Art. 12 (6) DSGVO ausgeschlossen, weshalb ein separater Verifizierungsprozess überspannt erscheine. Davon abgesehen habe die Beschwerdeführerin das von der Beschwerdegegnerin genannte E-Mail vom 7. Mai 2021, das einen Verifizierungscode enthalten solle, niemals erhalten.
Die Beschwerdegegnerin habe ihr Angebot zur Nutzung der App N***Chatroom von Anfang an auch an Nutzer in der EU gerichtet. Andernfalls hätte die Beschwerdegegnerin im Apple App Store die geografische Verfügbarkeit der App auf die USA beschränkt oder den EWR ausgenommen.
Auch habe es um die App N***Chatroom im deutschsprachigen Raum Ende 2020 / Anfang 2021 einen Hype gegeben, der auch eine stark erhöhte Anzahl an Nutzer:innen und intensive mediale Berichterstattung über N***Chatroom zur Folge gehabt habe. Es mache keinen Unterschied, ob die hohe Nachfrage nach der App in der EU für die Beschwerdegegnerin dabei überraschend gekommen sei.
Die Beschwerdeführerin sei von einer anderen Österreicherin – Frau Erika E*** – zu N***Chatroom eingeladen worden.
Auch an dieser Stelle habe die Beschwerdegegnerin keine geografischen Schranken eingezogen, indem sie das Einladen von Personen in der EU unterbunden hätte (etwa durch Ausschluss gewisser Top Level Domains in E-Mail-Adressen, gewisser Ländervorwahlen bei Mobiltelefonnummern oder gewisser IP-Adressen). Vielmehr habe die Beschwerdegegnerin zugelassen, dass sich sogar N***Chatroom-Talks etablieren, die sich speziell an Nutzer:innen in einzelnen EU-Mitgliedstaaten richten. In Österreich hätten etwa die Medien „die Presse“ und „Puls 4“ derartige Talks gehostet.
B. Beschwerdegegenstand
Gegenständlich stellt sich die Frage, ob die Beschwerdegegnerin die Beschwerdeführerin im Recht auf Auskunft verletzt hat, indem sie auf den Antrag der Beschwerdeführerin auf Auskunft vom 25. Jänner 2021 keine Auskunft erteilt hat.
Nicht Gegenstand dieses Teilbescheides ist die begehrte Auskunft nach Art. 15 Abs. 3 DSGVO.
C. Sachverhaltsfeststellungen
Die Beschwerdegegnerin ist die Betreiberin der App „N***Chatroom“. Die App war seit März 2020 im Apple App Store verfügbar und hierbei keinen geografischen Beschränkungen unterworfen. Um der App beizutreten und aktiv teilzunehmen, braucht es die Einladung eines Mitglieds, das alleinige Herunterladen reicht hierfür nicht aus.
Beweiswürdigung : Die getroffenen Feststellungen beruhen auf dem diesbezüglich unwidersprochenen Vorbringen der Beschwerdegegnerin bzw. teilweise auf dem diesbezüglich übereinstimmenden Vorbringen der Parteien.
Im Apple App Store ist es für Entwickler möglich, gezielt auszuwählen, in welchen Ländern ihre App verfügbar sein soll.
Beweiswürdigung : Die Feststellung beruht auf einer amtswegigen Recherche der Datenschutzbehörde unter https://help.apple.com/app-store-connect/#/**** (abgerufen am 27.05.2022).
Ende 2020 / Anfang 2021 gab es im deutschsprachigen Raum einen Ansturm auf die App N***Chatroom, der eine stark erhöhte Anzahl an Nutzern und intensive mediale Berichterstattung zur Folge hatte.
Beweiswürdigung : Die Feststellung beruht auf dem Vorbringen der Beschwerdeführerin, den in der Stellungnahme der Beschwerdeführerin vom 12. Oktober 2021 angeführten Online-Artikeln sowie einer amtswegigen Recherche der Datenschutzbehörde (unter anderem auf https://www.kleinezeitung.at/kultur/medien/**2*3/N***Chatroom-App_****, https://www.derstandard.at/story/20**4*5/N***Chatroom-*****, beide abgefragt am 30. Juni 2022).
Die Beschwerdeführerin registrierte sich am 19. Jänner 2021 bei der Applikation der Beschwerdegegnerin „N***Chatroom“ und war zumindest bis zum Zeitpunkt der Beschwerdeeinbringung aktive Nutzerin mit aufrechtem Account.
Mit E-Mail vom 25. Jänner 2021 richtete die Beschwerdeführerin das folgende Auskunftsbegehren gemäß Art. 15 DSGVO an die Beschwerdegegnerin. Dieses Auskunftsbegehren blieb bis zur Beschwerdeeinbringung unbeantwortet.
[Anmerkung Bearbeiter/in: Der im Bescheid an dieser Stelle als grafische Datei (Faksimile einer E-Mail) wiedergegebene Antrag auf Auskunft der Beschwerdeführerin kann im RIS nicht (pseudonymisiert) dargestellt werden. Er wurde am 25.1.2021 von einer der Beschwerdeführerin zurechenbaren E-Mail-Adresse in englischer Sprache an support@n***co.com gesendet. Im Text ist auch eine Telefonnummer der Beschwerdeführerin angegeben. Ihr war eine grafische Datei mit einer Kopie des Reisepasses der Beschwerdeführerin angeschlossen.]
Beweiswürdigung : Die getroffenen Feststellungen beruhen auf dem diesbezüglich unwidersprochenen Vorbringen der Beschwerdeführerin sowie den mit der Beschwerde übermittelten Unterlagen.
Das Auskunftsbegehren enthält den Namen, die E-Mailadresse und die Telefonnummer der Beschwerdeführerin, welche auch notwendig für die Registrierung in der App der Beschwerdegegnerin waren. Dem Auskunftsbegehren war weiters eine Reisepasskopie der Beschwerdeführerin angeschlossen.
Beweiswürdigung : Die getroffenen Feststellungen ergeben sich aus dem diesbezüglich unwidersprochenen Vorbringen der Beschwerdeführerin.
Die Beschwerdegegnerin hat ihren Sitz ausschließlich in T***, USA. Es gibt keine Niederlassung in der EU.
Am 9. Mai 2021, somit während dem laufenden Verfahren, hat die Beschwerdegegnerin eine – laut ihren Angaben – an die DSGVO angepasste Datenschutzerklärung veröffentlicht und die H*** Ireland Ltd. als Vertreter nach Art. 27 DSGVO bekanntgegeben.
Beweiswürdigung : Die getroffenen Feststellungen ergeben sich aus den diesbezüglich unbestrittenen Angaben der Beschwerdegegnerin.
D. In rechtlicher Hinsicht folgt daraus:
1. Zur Beschwerdegegnerin und ihrem Vertreter in der Union
Einleitend ist darauf hinzuweisen, dass der so genannte „One-Stop-Shop“ Mechanismus nach Art. 60 DSGVO im vorliegenden Fall keine Anwendung findet, da die Beschwerdegegnerin, wie sich aus ihrer Stellungnahme vom 16. Juli 2021 ergibt, als Verantwortlicher iSv Art. 4 Z 7 DSGVO anzusehen ist und ihren Sitz nur in den USA hat (vgl. den Bescheid der Datenschutzbehörde vom 7. März 2019, GZ DSB D130.033/0003-DSB/2019).
Die Beschwerdegegnerin hat ihren Sitz in T***, USA, sie hat keine Niederlassung in der Union. Die Beschwerdegegnerin nennt mit Stellungnahme vom 16. Juli 2021 die H*** Ireland Ltd. als Vertreter gemäß Art. 3 Abs. 3 iVm Art. 27 Abs. 1 DSGVO. Da die Benennung eines Vertreters nach dem ausdrücklichen Verordnungstext gemäß Art. 27 Abs. 5 DSGVO keine Überwälzung der Verantwortlichkeit mit sich bringt – und die Beschwerdegegnerin auch zu keinem Zeitpunkt ins Treffen geführt hat, dass die H*** Ireland Ltd. als (gemeinsam) Verantwortliche für die gegenständliche Verarbeitung iZm mit der App N***Chatroom und insbesondere der Verarbeitung der personenbezogenen Daten des Beschwerdeführers anzusehen ist – richtet sich die vorliegende Entscheidung der Datenschutzbehörde gegen die Beschwerdegegnerin.
2. Zum räumlichen Anwendungsbereich der DSGVO
Die Beschwerdegegnerin ist zwar nicht in der Union niedergelassen, jedoch steht die Verarbeitung der personenbezogenen Daten der Beschwerdeführerin (zumindest Vor- und Nachname sowie deren Telefonnummer und E-Mail-Adresse), welche in Österreich wohnhaft ist, im Zusammenhang mit dem Anbieten von Waren bzw. Dienstleistungen.
Auch wenn die Beschwerdegegnerin anführt, die App N***Chatroom erst mit Mai 2021 auf dem europäischen Markt beworben zu haben, ist das Marketing nicht alleine ausschlaggebend. Wie von der Beschwerdeführerin angeführt und auch in der amtswegigen Recherche festgestellt, war die App bereits im Jänner 2021 in Österreich verfügbar.
Die Beschwerdegegnerin hat – obwohl technische Möglichkeiten hierzu gegeben gewesen wären – den Zugang zu ihrer App für Bürger aus europäischen Staaten nicht eingeschränkt . Die App war bereits von Beginn an im Apple App Store in sämtlichen Staaten erhältlich. Auch bei dem, auf einem Einladungssystem beruhenden, Zugang zu der App wurde keine Unterscheidung nach dem Wohnort der Benutzer vorgesehen. Sofern ein potentieller Nutzer aus dem europäischen Raum eine Einladung zu der App erhalten hat, war die Nutzung möglich.
Vor diesem Hintergrund findet die DSGVO gemäß Art. 3 Abs. 2 lit. a DSGVO in räumlicher Hinsicht Anwendung.
3. Zum Recht auf Auskunft
Gemäß Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und soweit dies der Fall ist, Auskunft über diese personenbezogenen Daten zu erhalten sowie Anspruch auf die Informationen gemäß lit a bis h leg cit.
Die gemeinsamen Modalitäten zur Ausübung der Betroffenenrechte (so auch des Auskunftsrechts) sind in Art. 12 DSGVO geregelt. Demnach setzt die Entstehung eines datenschutzrechtlichen Auskunftsanspruchs u.a. voraus, dass die Identität des Auskunftswerbers feststeht.
Hat der Verantwortliche begründete Zweifel an der Identität, kann er gemäß Art. 12 Abs. 6 DSGVO zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
Abs. 6 leg. cit. ermöglicht hingegen keine routinemäßige Identitätsprüfung. Beispielsweise darf ein Verantwortlicher nicht von allen Personen, die schriftlich oder per E-Mail einen Auskunftsantrag nach Art. 15 DSGVO stellen, die Vorlage eines Identitätsnachweises verlangen. Ein solches Verlangen ist aber etwa zulässig, wenn der Verantwortliche die Postanschrift oder E-Mail-Adresse der betroffenen Person bisher nicht kannte oder wenn die von dem Antragsteller angegebene Absenderadresse und die im Datenbestand des Verantwortlichen vorhandene Adresse der betroffenen Person nicht übereinstimmen (vgl. Bäcker in Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung (Kommentar) Art. 12 RZ 30).
Eine konkrete Form der Identifizierung sieht Art. 12 DSGVO nicht vor. ErwGr 64 DSGVO führt in diesem Zusammenhang aus, dass der Verantwortliche alle vertretbaren Mittel nutzen sollte, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen.
Der Nachweis der Identität kann bspw. mittels Pass oder eines Personalausweises, eines elektronischen Identitätsnachweises, eines Identitätsbestätigungsdienstes, einer qualifizierten elektronischen Signatur, eines anderen elektronischen Nachweisverfahrens oder auch in anderer Form erfolgen, sofern die Identität hinreichend nachgewiesen wird (vgl. Greve in Sydow (Hrsg.), Europäische Datenschutzgrundverordnung (Handkommentar) Art. 12 RZ 19).
Im vorliegenden Fall stellt sich die Frage, ob die Beschwerdegegnerin bei Antragsstellung sowie im laufenden Verfahren zurecht begründete Zweifel an der Identität der Auskunftswerberin hatte und deshalb auch zu Recht weitere Informationen zur Bestätigung der Identität anforderte bzw. die Auskunft verweigerte. Anders formuliert, fehlten der Beschwerdegegnerin Informationen, die zur Bestätigung der Identität der betroffenen Person erforderlich waren oder hätte die Beschwerdegegnerin die Auskunftswerberin bereits anhand der Angaben im Auskunftsersuchen identifizieren können?
Wie den Sachverhaltsfeststellungen zu entnehmen ist, wurde das Auskunftsbegehren mitsamt dem Pass der Beschwerdeführerin und der von ihr für die Registrierung in der App der Beschwerdegegnerin verwendeten Telefonnummer und E-Mail-Adresse an die Beschwerdegegnerin übermittelt. Angesichts dieser Tatsache, wäre es der Beschwerdegegnerin daher anhand der von der Beschwerdeführerin übermittelten Angaben ohne Probleme möglich gewesen, die Auskunftswerberin zweifelsfrei zu identifizieren.
Weiters übersieht die Beschwerdegegnerin dabei, dass Zweifel an der Identität eines Auskunftswerbers sie nicht dazu berechtigen, ein Auskunftsverlangen zur Gänze ohne Antwort zu lassen. Gemäß dem klaren Wortlaut des Art. 12 Abs. 4 DSGVO ist die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe, weshalb der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig wird, und über die Möglichkeit, bei der Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen, zu informieren.
Dies hat die Beschwerdegegnerin unstrittig unterlassen, weshalb spruchgemäß zu entscheiden war (vgl. dazu zur Rechtslage nach dem DSG 2000 bereits den Bescheid der Datenschutzkommission vom 10. April 2013, GZ K121.924/0006-DSK/2013).
Der Leistungsauftrag gründet auf Art. 58 Abs. 2 lit. c DSGVO und enthält deshalb eine Wahlmöglichkeit, weil die Beschwerdegegnerin selbst zu prüfen hat, ob die begehrte Auskunft erteilt werden kann oder ob Gründe vorliegen, die einer (vollständigen) Auskunft entgegenstehen.
Rückverweise
RIS