GZ: 2023-0.521.417 vom 31. Juli 2024 (Verfahrenszahl: DSB-D124.0681/22)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Mag. Ulrich A*** (Beschwerdeführer) vom 2. Mai 2022 gegen die N*** GmbH (Beschwerdegegnerin) wegen Verletzung im Recht auf Geheimhaltung insbesondere durch eine Verletzung von Art. 44 DSGVO und einer Verletzung von Art. 5 DSGVO wie folgt:
1. Der Beschwerde wird stattgegeben und es wird festgestellt , dass die Beschwerdegegnerin den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt hat, indem sie zum Zweck einer Newsletter-Zustellung die in den USA ansässige Marketing-Automatisierungs- und E-Mail-Marketing-Plattform „Express***mail“ verwendet hat und dadurch personenbezogene Daten des Beschwerdeführers in die USA übermittelt hat (Datenübermittlung), obwohl die innerstaatliche Verarbeitung der personenbezogenen Daten bereits unrechtsmäßig war.
2. Der Antrag , die Übermittlung von personenbezogenen Daten des Beschwerdeführers und die Aufrechterhaltung der Speicherung dieser Daten in den Vereinigten Staaten von Amerika bis zur rechtskräftigen Erledigung des Verfahrens zu untersagen, wird abgewiesen .
Rechtsgrundlagen: Art. 5, Art. 6, Art. 4, Art. 28, Art. 44 ff Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1, 24 Abs. 1, 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Der Beschwerdeführer behauptet in seiner Beschwerde vom 2. Mai 2022, verbessert mit Eingabe vom 15. Juni 2022, von der Beschwerdegegnerin in seinem Recht auf Geheimhaltung verletzt worden zu sein. Erklärend führt der Beschwerdeführer hierzu aus, die Beschwerdegegnerin habe in ihrem Schreiben vom 15. April 2022 bekanntgegeben, dass die Newsletter-Versandplattform „Express***mail“ für die Verarbeitung personenbezogener Daten des Beschwerdeführers herangezogen werde.
Bei „Express***mail“ handle es sich nach Angaben der Beschwerdegegnerin um ein Unternehmen mit Verarbeitungen in den Vereinigten Staaten von Amerika. Der Beschwerdeführer sehe sich deshalb in seinem Recht auf Geheimhaltung nach § 1 Abs. 1 DSG verletzt. Die Verletzung beruhe insbesondere darauf, dass die Übermittlung personenbezogenen Daten des Beschwerdeführers an ein Drittland unter Verletzung der allgemeinen Grundsätze der Datenübermittlung erfolge. Dies würde insbesondere die Verletzung der Grundsätze nach Art. 5 DSGVO und die Missachtung der Bedingungen für eine Übermittlung personenbezogener Daten in Drittländer nach Art. 44 ff DSGVO betreffen.
2. In ihrer Stellungnahme vom 1. September 2022 brachte die rechtsfreundlich vertretene Beschwerdegegnerin zur Verletzung im Recht auf Geheimhaltung soweit verfahrensrelevant vor, dass der Beschwerdeführer sich mit dem Geschäftsführer der Beschwerdegegnerin mit seinem beruflich und professionell ausgerichteten Profil auf Professional***net vernetzt habe. Daraufhin sei der Newsletter der Beschwerdegegnerin an die im Profil des Beschwerdeführers veröffentlichte E-Mail-Adresse zugestellt worden.
Die Beschwerdegegnerin nutze für den Versand des Newsletters das Angebot „Express***mail“ des Unternehmens „B***Nerd Group LLC“ in *3*1 U*** Street SE, Suite *17, K***ville, Georgia *****, deren Server sich in den USA befinde.
Die E-Mail-Adresse des Beschwerdeführers sowie dessen Vor- und Nachname würden unter Einhaltung der allgemeinen Grundsätze der Datenübermittlung an in den USA befindliche Server übertragen.
Die Inanspruchnahme des Dienstes „Express***mail“ erfolge auf Grundlage der
(1) Standartnutzungsbedingungen,
(2) der gemäß III.15. der Standardnutzungsbedingungen geltenden Nachtrag zur Datenverarbeitung,
(3) den gemäß 6.3 des Nachtrags geltenden Standardvertragsklauseln SCC 2010 bzw. den neuen Vertragsklauseln, welche auf den durch die Kommission am 4. Juni 2021 veröffentlichten Standardvertragsklauseln beruhen.
Die Datenübermittlung erfolge daher unter Einhaltung von Art. 46 Abs. 2 lit. c DSGVO.
Am 7. März 2022 seien der Beschwerdeführer und die Datenschutzbehörde darüber hinaus über die Löschung der E-Mail-Adresse und des Vor- und Nachnamens aus dem bei „Express***mail“ eingerichteten Konto verständigt worden.
Der Stellungnahme beigelegt sind:
1. die Standardnutzungsbedingungen
2. der gemäß III.15. der Standardnutzungsbedingungen geltenden Nachtrag zur Datenverarbeitung
3. die gemäß 6.3 des Nachtrags geltenden Standardvertragsklauseln SCC 2010.
3. Dem Beschwerdeführer wurde die Stellungnahme mit Schreiben der Datenschutzbehörde vom 15. November 2022 per Brief übermittelt. Innerhalb der gesetzten Frist langte keine Stellungnahme des Beschwerdeführers ein.
4. Ergänzend brachte die Beschwerdegegnerin am 15. Juni 2023 vor, dass es keine Server oder sonstige Rechenzentren in der Europäischen Union gebe. Dies bedeute, dass personenbezogene Daten von in der Europäischen Union ansässigen Personen in die USA übermittelt, dort gespeichert und verarbeitet werden würden. Die Standardvertragsklauseln seien wie angekündigt aktualisiert worden. Sie würden auf den durch die Kommission am 4. Juni 2021 veröffentlichten Standardvertragsklauseln beruhen. Darüber hinaus seien sowohl vertraglichen Verpflichtungen als auch technische und organisatorische Maßnahmen implementiert worden. Neben der Einbeziehung der Standardvertragsklauseln in die Vereinbarung mit Express***mail wären weitere vertragliche Verpflichtungen zur Sicherheit, Vertraulichkeit der Verarbeitung, Beschränkungen bei internationalen Übermittlungen personenbezogener Daten, Kooperation in Bezug auf die Rechte der Betroffenen, Benachrichtigungen über Sicherheitsvorfälle implementiert worden.
Der ergänzenden Stellungnahme beigelegt sind:
1. die aktualisierten Standardvertragsklauseln
2. der Nachtrag zur Datenverarbeitung Stand Jänner 2023, in welchem die Standardvertragsklauseln verarbeitet wurden
3. Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.
4. Dem Beschwerdeführer wurde die ergänzende Stellungnahme mit Schreiben der Datenschutzbehörde vom 4. Juli 2023 per Mail übermittelt. Am 13. Juli 2023 brachte der Beschwerdeführer vor, dass es mittlerweile unstrittig sei, dass die Beschwerdegegnerin personenbezogene Daten des Beschwerdeführers in Drittländer übermittele. Die Beschwerdegegnerin berufe sich betreffend der Vereinigten Staaten von Amerika auf angeblich mit „Express***mail“ geschlossene Standardvertragsklauseln in der Fassung SCC 2021.
Es sei völlig unklar, seit wann, welche EU-Standardvertragsklauseln mit „Express***mail“ vereinbart worden seien. Darüber hinaus sei unklar, welches Modul der SCC 2021 abgeschlossen worden seien. Die Beschwerdegegnerin werde aufgefordert, die konkreten mit „Express***mail“ abgeschlossenen EU-Standardvertragsklausel und das Transfer Impact Assessment (TIA) in präziser, transparenter, verständlicher und leicht zugänglicher Form offenzulegen.
Darüber hinaus seien die von der Beschwerdegegnerin in ihrer Stellungnahme angeführten Sicherheitsmaßnahmen nicht geeignet, ein angemessenes Schutzniveau zu gewährleisten. Auch eine etwaige Vereinbarung der SCC 2021 sei keine geeignete Garantie, die die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten von Amerika rechtfertigen könne.
Hinzu trete, dass die Europäische Kommission am 10. Juli 2023 den Implementierungsrechtsakt C (2023) 4745 (final) erlassen und veröffentlicht habe, welcher die datenschutzrechtliche Angemessenheit der Vereinigten Staaten von Amerika ausgesprochen wird. Daher könne sich die Beschwerdegegnerin für die Übermittlung der personenbezogenen Daten nicht (mehr) auf etwaige, mit „Express***mail“ abgeschlossene SCC 2021 berufen. Auch sei mangels Verfügbarkeit des von der US-Regierung zu führenden einschlägigen Registers, „Express***mail“ dort nicht eingetragen, sodass der Angemessenheitsbeschluss für die hier einschlägige Übermittlung personenbezogener Daten keine Grundlage sein könne.
Im Ergebnis liege somit eine Verletzung der allgemeinen Grundsätze der Datenübermittlung vor. Die Übermittlung der personenbezogenen Daten des Beschwerdeführers in die Vereinigten Staaten von Amerika sei rechtswidrig und werde der Antrag gestellt, die Datenschutzbehörde möge der Beschwerdegegnerin die Weiterführung der Datenverarbeitung, konkret die Übermittlung von personenbezogenen Daten des Beschwerdeführers an, und die Aufrechterhaltung der Speicherung dieser Daten in die Vereinigten Staaten von Amerika durch "Express***mail" bis zur rechtskräftigen Erledigung des Verfahrens untersagen.
B. Beschwerdegegenstand
Beschwerdegegenstand ist die Frage, ob die Beschwerdegegnerin den Beschwerdeführer in seinem Recht auf Geheimhaltung verletzt hat, indem die Beschwerdegegnerin diesem einen Newsletter unter Zuhilfenahme von „Express***mail“ an seine im Professional***net-Profil veröffentlichte E-Mail-Adresse zustellt hat. Insbesondere ist Beschwerdegegenstand die Frage der Rechtmäßigkeit der in diesem Zusammenhang stehenden Datenübermittlung in die USA.
Weiters ist über den Antrag des Beschwerdeführers, ein unverzügliches Verbot jeglicher Datenübermittlungen bis zur rechtskräftigen Entscheidung in der Sache auszusprechen, abzusprechen.
C. Sachverhaltsfeststellungen
1. Die Beschwerdegegnerin ist eine - im Firmenbuch beim Handelsgericht Wien unter FN *5*99*r intabulierte - Gesellschaft mit beschränkter Haftung.
Beweiswürdigung : Die getroffenen Feststellungen zu Punkt 1. beruhen auf der amtswegigen Einsichtnahme der Datenschutzbehörde in das Firmenbuch zu FN *5*99*r.
2. Die Beschwerdegegnerin ist im Geschäftszweig Unternehmensberatung tätig.
Beweiswürdigung : Die getroffenen Feststellungen zu Punkt 2. beruhen auf der amtswegigen Einsichtnahme der Datenschutzbehörde in das Firmenbuch zu FN *5*99*r.
3. Der Beschwerdeführer hat sich mit dem Geschäftsführer der Beschwerdegegnerin auf Professional***net vernetzt, wo die E-Mail-Adresse des Beschwerdeführers veröffentlicht ist. Die Beschwerdegegnerin hat diese E-Mail-Adresse des Beschwerdeführers verwendet, um ihm einen Newsletter zuzustellen.
Beweiswürdigung: Die getroffenen Feststellungen zu Punkt 3. beruhen auf der vom Beschwerdeführer unbestritten gebliebenen Stellungnahme der Beschwerdegegnerin.
4. Die Daten des Beschwerdeführers wurde irrtümlich in das Newsletter-System der Beschwerdegegnerin aufgenommen. Der Beschwerdeführer hat keine Einwilligung zur Verwendung seiner E-Mail-Adresse zum Zweck einer Newsletter-Zusendung erteilt.
Beweiswürdigung: Die getroffenen Feststellungen zu Punkt 4. beruhen auf der Stellungnahme der Beschwerdegegnerin vom 1. September 2022, in der Sie ausführt, dass Sie den Newsletter aufgrund einer Professional***net Vernetzung des Beschwerdeführers mit dem Geschäftsführer der Beschwerdegegnerin an die auf dem Professional***net Profil des Beschwerdeführers veröffentlichte E-Mail-Adresse vorgenommen hat. Überdies ergeben sich diese Feststellungen aus dem Akteninhalt des Beschwerdeverfahrens vor der Datenschutzbehörde zwischen denselben Verfahrensparteien zur GZ: D124.0173/22, insbesondere der dortigen Eingaben der Beschwerdegegnerin vom 7. März sowie vom 15. April 2022, wonach der Kontakt des Beschwerdeführers irrtümlich bzw. durch einen Fehler in das Newsletter-System der Beschwerdegegnerin übertragen worden sei. Der diesbezügliche Akteninhalt ist den Verfahrensparteien bekannt.
5. Bei „Express***mail“ handelt es sich um eine Marketing-Automatisierungs- und E-Mail-Marketing-Plattform der B***Nerd Group LLC, *3*1 U*** Street SE, Suite *17, K***ville, Georgia *****. Die Server von „Express***mail“ befanden sich zum beschwerdegegenständlichen Zeitpunkt in den USA und es gabt keine Server in der EU.
Beweiswürdigung: Die getroffenen Feststellungen zu Punkt 5. beruhen auf der Stellungnahme der Beschwerdegegnerin vom 1. September 2022 und auf einer amtswegigen Recherche der Website https://express***mail.com/***/de/contact/ (abgefragt am 15. April 2024).
6. Die Beschwerdegegnerin nutz die Dienste von „Express***mail“. Im Zuge der Verwendung von „Express***mail“ für den Versand eines Newsletters an den Beschwerdeführer wurden die E-Mail-Adresse sowie der Vor- und der Nachname des Beschwerdeführers in die USA übermittelt.
Beweiswürdigung: Die getroffenen Feststellungen zu Punkt 6. beruhen auf der Stellungnahme der Beschwerdegegnerin vom 1. September 2022. Diese Stellungnahme stimmt mit den Angaben des Beschwerdeführers überein.
7. Die E-Mail-Adresse, der Vor- und der Nachnamen wurden von der Beschwerdegegnerin im Laufe des Verfahrens vor der Datenschutzbehörde aus dem „Express***mail“-Konto gelöscht.
Beweiswürdigung: Die getroffenen Feststellungen zu Punkt 7. beruhen auf der Stellungnahme der Beschwerdegegnerin vom 1. September 2022 und dem Akteninhalt aus dem Verfahren vor der Datenschutzbehörde zur GZ D124.0173/22.
D. In rechtlicher Hinsicht folgt daraus:
D.1. Zu Spruchpunkt 1
a) Zum datenschutzrechtlich Verantwortlichen
Nach Art. 4 Z 7 DSGVO ist jene natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle Verantwortlicher für eine Verarbeitung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dabei ist das wesentliche Kriterium die Entscheidungskomponente. Die Rolle des Verantwortlichen ergibt sich somit in erster Linie aus dem Faktum, dass eine bestimmte Stelle entschieden hat, personenbezogene Daten für ihre eigenen Zwecke zu verarbeiten. Der „Zweck“ beschreibt dabei ein erwartetes Ergebnis, während die „Mittel“ die Art und Weise festlegen, wie das erwartete Ergebnis erreicht werden soll (vgl. die Leitlinien 07/2020 des EDSA zum Konzept des Verantwortlichen und Auftragsverarbeiters Rz. 15 ff).
Die Beschwerdegegnerin entscheidet allein darüber, wem sie einen Newsletter zustellt und wie sich dieser Newsletter gestaltet. Sie trifft auch die Entscheidung darüber, welche Tools sie für die Newsletter-Zusendung verwenden möchte und ob sie Automatierungstools verwendet oder nicht. Dadurch hat die Beschwerdegegnerin über „Zweck und Mittel“ der mit Newsletter in Verbindung stehenden Datenverarbeitung entschieden, weshalb sie als Verantwortliche iSd Art. 4 Z 7 DSGVO anzusehen ist.
b) Zum Grundrecht auf Geheimhaltung
Nach § 1 Abs. 1 DSG hat Jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
Im gegenständlichen Fall ist der Anwendungsbereich von § 1 Abs. 1 DSG eröffnet, da es sich bei E-Mail-Adresse, Vor- und Nachname um personenbezogenen Daten gemäß Art. 4 Abs. 1 DSGVO handelt. Die Erhebung dieser Daten zum Zweck eines Newsletter-Versandes sowie die Verwendung der Daten zum Newsletter-Versand stellen eine Verarbeitung iSd Art. 4 Abs. 2 leg. cit. dar.
Die Beschwerdegegnerin gibt gegenständlich an, sie habe die E-Mail-Adresse über das Professional***net-Profil des Beschwerdeführers erlangt. Weil sich der Beschwerdeführer mit dem Geschäftsführer der Beschwerdegegnerin vernetzt habe, sei man davon ausgegangen, dass ihn die Inhalte interessieren und habe man ihm den Newsletter an die vom Beschwerdeführer selbst auf dem Professional***net–Profil veröffentlichte E-Mail-Adresse zugestellt.
Es ist in diesem Zusammenhang zu berücksichtigen, dass die ganz generelle Annahme des Nichtvorliegens einer Verletzung schutzwürdiger Geheimhaltungsinteressen für zulässigerweise veröffentlichte Daten nicht mit den Bestimmungen der DSGVO vereinbar ist (vgl. dazu den Bescheid der DSB vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018 mwN).
Es gilt der Grundsatz des Vorrangs des Unionsrechts gegenüber dem österreichischen Recht (Anwendungsvorrang). Besondere Bedeutung hat dieser dort, wo unmittelbar anwendbares Unionsrecht auf entgegenstehendes nationales Recht trifft. Der Anwendungsvorrang bedeutet, dass im Konfliktfalle der Regel des (unmittelbare anwendbaren) Unionsrechts, nicht jener des österreichischen Rechts zu folgen ist (vgl. VfSlg. 15.448, 19.661 mwN; Mayer/Kucsko-Stadlmayer/Stöger, Bundesverfassungsrecht 11 [2015] Rz 246/9).
Dieser Grundsatz ist von allen österreichische Behörde automatisch zu beachten, sie haben das nationale Recht in solchen Fällen daher unangewendet zu lassen. Auf den Rang des österreichischen Rechts kommt es nicht an, Unionsrecht geht im Konfliktfall auch nationalem Verfassungsrecht vor (vgl. VfSlg. 15.427; 17.347; Mayer/Kucsko-Stadlmayer/Stöger, Bundesverfassungsrecht 11 [2015] Rz 246/9).
Nach der Rechtsprechung des EuGH zur RL Richtlinie 95/46/EG (Datenschutz-Richtlinie) betreffend einer Datenverarbeitung von Daten, die nur in Medien veröffentlichtes Material als solches enthalten, fällt diese Datenverarbeitung in den Anwendungsbereich der Richtlinie und ist von deren sachlichen Schutzbereich nicht ausgenommen (vgl. EuGH 12.02.2007, C-73/07, Rz 62 [Satakunnan Markkinapörssi und Satamedia]; vgl. OGH 27.06.2016, 6 Ob 48/16a). Auch der Anwendungsbereich der (unmittelbar anwendbaren) DSGVO kennt keine diesbezügliche Ausnahme hinsichtlich „allgemein verfügbarer Daten“ (vgl. Kriegner, Anmerkungen zu § 1 DSG nach Inkrafttreten der Datenschutz-Grundverordnung [DSGVO], wbl 2019, S 81 ff).
Daraus folgt, dass § 1 Abs. 1 DSG im Lichte der unionsrechtlichen Vorgaben nach Art. 8 EU-GRC und Art. 16 Abs. 1 AEUV einschränkend zu interpretieren ist, sodass selbst allgemein verfügbare Daten nicht ipso facto vom Geltungsbereich datenschutzrechtlicher Vorschriften ausgenommen sind. Vielmehr bedarf es für die Verarbeitung auch dieser Daten eine Rechtfertigung im Sinne des Art. 6 Abs. 1 DSGVO (vgl. dazu bereits den Bescheid vom 19. August 2019, GZ DSB-D123.957/0003-DSB/2019).
c) Beschränkungen des Anspruches auf Geheimhaltung
Beschränkungen des Anspruchs auf Geheimhaltung sind gemäß § 1 Abs. 2 DSG dann zulässig, wenn personenbezogene Daten im lebenswichtigen Interesse des Betroffenen verwendet werden, der Betroffene seine Zustimmung (bzw. in der Terminologie der DSGVO: Einwilligung) erteilt hat, wenn eine qualifizierte gesetzliche Grundlage für die Verwendung besteht, oder wenn die Verwendung durch überwiegende berechtigte Interessen eines Dritten gerechtfertigt ist.
Die DSGVO und insbesondere auch die darin verankerten Grundsätzesind jedoch zur Auslegung des Rechts auf Geheimhaltung jedenfalls zu berücksichtigen (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018).
d) In der Sache
Wie festgestellt wurden die Daten des Beschwerdeführers im vorliegenden Fall irrtümlich bzw. durch einen Fehler bei der Beschwerdegegnerin erhoben und zum Zweck des Newsletter-Versandes in den Dienst „Express***mail“ eingespeist.
Wie den Sachverhaltsfeststellungen zu entnehmen ist, hat der Beschwerdeführer für die Erhebung seiner Daten jedenfalls keine Einwilligung erteilt und ist im vorliegenden Fall aus Sicht der Datenschutzbehörde auch kein anderer Tatbestand des Art. 6 DSGVO gegeben, zumal es sich um einen Fehler der Beschwerdegegnerin gehandelt hat.
Des Weiteren lässt sich eine Verletzung des Art. 5 Abs. 1 lit. a DSGVO (Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz) erblicken: Vorliegend kann nicht gesagt werden, dass die Daten des Beschwerdeführers auf rechtmäßige Weise oder auf einen für den Beschwerdeführer nachvollziehbare Weise erhoben worden wären.
Als Zwischenergebnis kann daher festgehalten werden, dass die Erhebung der Daten des Beschwerdeführers bereits nicht rechtmäßig erfolgt ist.
e) Zu Kapitel V DSGVO
Gemäß Art. 44 DSGVO ist jedwede „[…] Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, […] nur zulässig , wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden ; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird .“
Die Beschwerdegegnerin hat ihren Sitz in Österreich und ist für ihren Newsletter, wie oben festgehalten, datenschutzrechtliche Verantwortliche. In Folge dessen kam es zu einer Datenübermittlung in die USA.
Die Beschwerdegegnerin ist gemäß Art. 28 Abs. 1 DSGVO verpflichtet, nur mit Auftragsverarbeitern zusammenzuarbeiten, die hinreichend Garantieren dafür bieten, dass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt (“Auswahlverschulden“).
Die Überprüfung der Rechtsmäßigkeit der Datenübermittlung erfolgt auf Grundlage einer zweistufigen Prüfung. Im ersten Schritt ist die generelle Zulässigkeit der Verarbeitung innerhalb der EU zu prüfen, da diese die Voraussetzung für eine in weiterer Folge stattfinden Übermittlung von Daten in ein Drittland ist (vgl. Riedl in Gantschacher/Jelinek/Schmidl/Spanberger, Kommentar zur Datenschutz-Grundverordnung 1 ).
Wie bereits festgehalten, hat die Beschwerdegegnerin personenbezogene Daten des Beschwerdeführers unrechtmäßig erhoben und ist daher die Zulässigkeit der Verarbeitung innerhalb der EU nicht gegeben.
Eine Prüfung der Rechtmäßigkeit der Datenübermittlung in ein Drittland kann somit unterbleiben, weil bereits die zugrundeliegende innereuropäische Verarbeitung rechtswidrig ist . Eine solche wäre aber Grundvoraussetzung für eine rechtmäßige Datenübermittlung in ein Drittland.
Es war daher spruchgemäß zu entscheiden.
D.5 Zur Spruchpunkt 2
Darüber hinaus hat der Beschwerdeführer den Antrag gestellt, die Datenschutzbehörde möge die Übermittlung von personenbezogenen Daten des Beschwerdeführers und die Aufrechterhaltung der Speicherung dieser Daten in den Vereinigten Staaten von Amerika bis zur rechtskräftigen Erledigung des Verfahrens untersagen.
Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person „[…] unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt .“
Wie festgestellt, speichert die Beschwerdegegnerin die beschwerdegegenständlichen Daten des Beschwerdeführers aktuell jedoch nicht mehr im „Express***mail“-Konto bzw. hat die Beschwerdegegnerin diese Daten bereits gelöscht, sodass von keiner Abhilfebefugnis Gebrauch gemacht werden kann, die sich auf die personenbezogenen Daten des Beschwerdeführers bezieht.
Es war spruchgemäß zu entscheiden.
Rückverweise
