GZ: 2024-0.421.248 vom 9. August 2024 (Verfahrenszahl: DSB-D130.1948)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
TEILBESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über den Antrag von Hans A*** (Antragsteller), vertreten durch den Verein T***-Zentrum für Datenschutz in **** H***berg (ZVR: *6*9*1*4*), vom 6. Juni 2024 auf Erlassung von einstweiligen Maßnahmen im Rahmen eines Dringlichkeitsverfahrens gemäß Art. 66 DSGVO gegen die in Dublin, Irland, ansässige C***Data Europe Limited (Antragsgegnerin) wie folgt:
Der Antrag wird zurückgewiesen .
Rechtsgrundlagen: Art. 4 Z 22 und Z 23; Art. 51 Abs. 1, Art. 56, Art. 60, Art. 64, Art. 65, Art. 66 sowie Art. 77 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 18 Abs. 1 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF.; § 59 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 (AVG), BGBl. Nr. 51/1991 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Der Antragsteller brachte am 6. Juni 2024 eine Datenschutzbeschwerde bei der Datenschutzbehörde ein und behauptete darin zusammengefasst etliche Rechtsverletzungen im Rahmen der Verwendung personenbezogener Daten durch die Antragsgegnerin für Technologien der künstlichen Intelligenz. Konkret habe die Antragsgegnerin Änderungen ihrer Datenschutzrichtlinie bekanntgegeben, wonach die gesamten Datensätze von mehr als 400 Millionen betroffenen Personen in der EU und im EWR für undefinierte Technologien der künstlichen Intelligenz unwiderruflich erfasst werden würden, ohne den Zweck solcher Systeme anzugeben. Da diese Änderungen bereits in kurzer Zeit in Kraft treten würden, sehe sich der Antragsteller gezwungen, Beschwerde einzureichen. Nachdem außergewöhnliche Umstände vorliegen würden, werde u.a. die Verhängung einstweiliger Maßnahmen in Form eines vorläufigen Verbots der Verarbeitung im Rahmen eines Dringlichkeitsverfahrens gemäß Art. 66 DSGVO beantragt.
2. Die Datenschutzbehörde teilte dem Antragsteller mit Erledigung vom 17. Juni 2024 mit, dass die Beschwerde geprüft werde. Da sie sich gegen die in Dublin, Irland, ansässige Antragsgegnerin richte, sei in weiterer Folge von der Einleitung des Verfahrens nach Art. 56 und Art. 60 DSGVO auszugehen, da ein Sachverhalt vorliegt, der nicht unter die alleinige Zuständigkeit der Datenschutzbehörde fällt. Unpräjudiziell wurde mitgeteilt, dass die Antragsgegnerin nach Kenntnisstand der Datenschutzbehörde den Beginn der vom Antragsteller beanstandeten Verarbeitungsvorgänge auf unbestimmte Zeit verschoben habe.
B. Gegenstand der Verwaltungssache
Ausgehend vom Vorbringen des Antragstellers ist iSd. Gegenstands der vorliegenden Verwaltungssache allein über seinen Antrag auf Erlassung von einstweiligen Maßnahmen im Rahmen eines Dringlichkeitsverfahrens gemäß Art. 66 DSGVO durch die Datenschutzbehörde abzusprechen. Davon unberührt bleibt die übrige Beschwerde des Antragstellers vom 6. Juni 2024, die gesondert weiterbehandelt wird.
C. Sachverhaltsfeststellungen
Die Datenschutzbehörde legt den unter Punkt A. festgehaltenen und aktenmäßig dokumentierten Sachverhalt ihrer Entscheidung zu Grunde.
D. In rechtlicher Hinsicht folgt daraus:
D.1. Zur (geteilten) Zuständigkeit
a) Datenschutzbeschwerde
Der Antragsteller hat in seiner Eingabe vom 6. Juni 2024 sowohl die Feststellung von Rechtsverletzungen nach der DSGVO samt Ergreifung aller Ermittlungsbefugnisse nach Art. 58 Abs. 1 DSGVO, als auch die Erlassung einstweiliger Maßnahmen im Rahmen eines Dringlichkeitsverfahrens nach Art. 66 DSGVO beantragt.
Gemäß Art. 77 Abs. 1 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts , wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Gemäß Art. 56 Abs. 1 DSGVO ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen durchgeführte grenzüberschreitende Verarbeitung.
Gemäß Art. 4 Z 23 lit. b DSGVO ist eine „grenzüberschreitende Verarbeitung“ eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann .
Nachdem sich die Beschwerde des Antragstellers gegen die in Dublin, Irland, niedergelassene Antragsgegnerin richtet, ist anhand des Beschwerdevorbringens und unter Zugrundelegung der oben zitierten Bestimmungen davon auszugehen, dass ein Sachverhalt gegeben ist, der nicht in die alleinige Zuständigkeit der Datenschutzbehörde fällt. Vielmehr obliegt gemäß Art. 56 ff DSGVO der irischen Datenschutzbehörde als mutmaßlich federführender Aufsichtsbehörde die Durchführung des Ermittlungsverfahrens und die Vorlage eines Beschlussentwurfs gemäß Art. 60 Abs. 3 DSGVO. Die österreichische Datenschutzbehörde nimmt diesfalls die Rolle der betroffenen Aufsichtsbehörde iSd. Art. 4 Z 22 lit. c DSGVO ein.
Es ist zu betonen, dass die abschließende Beurteilung der Zuständigkeitsfrage für die Beschwerde von der federführenden Aufsichtsbehördevorzunehmen ist (vgl. den Beschluss des BVwG vom 17. April 2024, W298 2281864-1).
b) Antrag nach Art. 66 DSGVO
Gemäß Art. 66 Abs. 1 DSGVO kann eine betroffene Aufsichtsbehörde unter außergewöhnlichen Umständen abweichend vom Kohärenzverfahren nach Artikel 63, 64 und 65 DSGVO oder dem Verfahren nach Artikel 60 DSGVO sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen, wenn sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen.
Hat eine betroffene Aufsichtsbehörde eine Maßnahme nach Abs. 1 leg. cit. ergriffen und ist sie der Auffassung, dass dringend endgültige Maßnahmen erlassen werden müssen, kann sie gemäß Abs. 2 leg. cit. unter Angabe von Gründen im Dringlichkeitsverfahren um eine Stellungnahme oder einen verbindlichen Beschluss des Europäischen Datenschutzausschusses ersuchen.
Art. 66 DSGVO adressiert seinem ausdrücklichen Wortlaut nach jede betroffene Aufsichtsbehörde und gibt dieser die Möglichkeit, in Abweichung vom Verfahren nach Art. 56 ff DSGVO in ihrem Hoheitsgebiet zeitlich befristete Maßnahmen zum Schutz der Rechte und Freiheiten von betroffenen Personen zu erlassen.
Zwar kann auch eine federführende Aufsichtsbehörde eine „betroffene“ Aufsichtsbehörde sein (vgl. Schöndorf-Haubold in Sydow [Hrsg.], Europäische Datenschutzgrundverordnung, Art. 66 DSGVO Rz. 7), jedoch lässt der gegenständliche Antrag erkennen, dass er sich gerade nicht an die mutmaßlich federführende irische Aufsichtsbehörde, sondern an die Datenschutzbehörde als betroffene Aufsichtsbehörde richtet. Folglich hat die österreichische Datenschutzbehörde über diesen Antrag abzusprechen.
D.2. Zur Zulässigkeit eines Teilbescheids
Gemäß § 59 Abs. 1 letzter Satz AVG kann eine Behörde über spruchreife Punkte, sofern der Gegenstand der Verhandlung eine Trennung nach mehreren Punkten zulässt, gesondert absprechen, soweit dies zweckmäßig erscheint.
Eine Trennbarkeit von Absprüchen ist dann gegeben, wenn jeder Teil für sich allein ohne einen inneren Zusammenhang mit anderen Teilen einem gesonderten Abspruch zugänglich ist (vgl. VwGH 28.2.2013, 2012/10/0074, RS 1). Dies liegt insbesondere dann vor, wenn die Entscheidung über einen Punkt keinen Einfluss auf die anderen Punkte ausübt, sodass jeder Punkt für sich eine Hauptfrage darstellt und für sich entschieden werden und bestehen kann (vgl. Hengstschläger/Leeb, AVG § 59, Rz. 103 mwN.).
Diesbezüglich ist darauf hinzuweisen, dass ein bereits laufendes Verfahren nach Art. 60, 64 oder 65 DSGVO durch eine Dringlichkeitsentscheidung einer Aufsichtsbehörde nicht berührt wird und weiter betrieben werden kann (vgl. Klabunde in Ehmann/Selmayr [Hrsg.], Datenschutz-Grundverordnung. Kommentar, Art. 66 DSGVO, Rz. 6).
Gegenständlich werden sowohl die Feststellung der Verletzung von etlichen materiellen Datenschutzbestimmungen als auch die Erlassung von einstweiligen Maßnahmen im Rahmen eines Dringlichkeitsverfahrens nach Art. 66 DSGVO beantragt. Die Anträge fußen zwar auf einem identischen Sachverhalt, aufgrund der abweichenden zugrundeliegenden Rechtsgrundlagen sowie aufgrund der unter D.1. dargelegten unterschiedlichen Zuständigkeitensind diese jedoch separat voneinander zu prüfen und somit einer getrennten Verfahrensführung zugänglich, insb. da die Absprüche über die Beschwerde und den vorliegenden Antrag unterschiedlichen rechtlichen Schicksalen unterliegen können (vgl. VwGH 28.1.2020, Ra 2019/20/0404).
D.3. In der Sache
Zu klären ist gegenständlich die Frage, ob dem Antragsteller ein subjektives Recht auf Erlassung einstweiliger Maßnahmen im Rahmen eines Dringlichkeitsverfahrens nach Art. 66 DSGVO zukommt.
Nach stRsp. sind bei der Auslegung einer Unionsvorschrift nicht nur ihr Wortlaut, sondern auch ihr Zusammenhang und die Ziele zu berücksichtigen, die mit der Regelung, zu der sie gehört, verfolgt werden (vgl. etwa das Urteil des EuGH vom 14. März 2024, C‑46/23, Rz. 30).
Grundsätzlich finden sich die Rechte betroffener Personen in Kapitel III DSGVO („Betroffenenrechte“). Obwohl in der DSGVO an gewissen Stellen der Begriff „Rechte einer betroffenen Person“ verwendet wird, kann im Umkehrschluss nicht gesagt werden, dass andere Normen, in denen diese Formulierung nicht gewählt wird, nicht auch als subjektives Recht geltend gemacht werden können. So ist etwa unstrittig, dass Art. 13 und Art. 14 DSGVO ein subjektives Informations recht begründen, obwohl das Informationsrecht nicht in Art. 12 Abs. 2 leg. cit. als „ ihre Rechte “ (also „Rechte des Betroffenen“) angeführt wird und Art. 13 und Art. 14 DSGVO dem Wortlaut nach als Informations pflicht der Verantwortlichen konzipiert sind.
Ebenso geht die Datenschutzbehörde in ihrer stRsp. zur nationalen Bestimmung des § 1 DSG davon aus, dass sich eine betroffene Person auf jede Bestimmung der DSGVO auch abseits der Betroffenenrechte nach Kapitel IIIstützen kann, sofern dies im Ergebnis zu einer denkmöglichen Verletzung des Rechts auf Geheimhaltung führen kann (vgl. den Bescheid der Datenschutzbehörde vom 30. November 2018, GZ: DSB-D122.931/0003-DSB/2018).
Ist für die Festlegung behördlicher Pflichten das Interesse individualisierbarer Personen ausschlaggebend, so ist im Zweifel davon auszugehen, dass diesen Personen auch eine Berechtigung eingeräumt wird (vgl. etwa VwSlg. 9151 A/1976, 10.129 A/1980, 13.411 A/1991, 13.985 A/1994).
Jedoch muss erkennbar sein, dass die betreffende Bestimmung, aus welcher subjektive Rechte abgeleitet werden, im Interesse einer betroffenen Person festgelegt wurde (vgl. VwGH 8.3.2023, Ra 2022/03/0214).
Zwar kann in Hinblick auf Art. 66 DSGVO nicht bestritten werden, dass diese Bestimmung - die eine betroffene Aufsichtsbehörde in Ausnahmefällen entgegen den Vorschriften zum Kooperations- und Kohärenzverfahren ermächtigt, vorläufige Rechtsschutzmaßnahmen zu ergreifen - im Ergebnis darauf ausgerichtet ist, Rechte und Freiheiten von betroffenen Personen zu schützen.
Jedoch ist zu beachten, dass Art. 66 Abs. 1 DSGVO ausdrücklich als „Kann“-Bestimmung formuliert ist. Auch die Einholung von Stellungnahmen des Europäischen Datenschutzausschusses betreffend die Erlassung von endgültigen Maßnahmen gemäß Abs. 2 leg. cit. oder betreffend die Untätigkeitsrüge gegen eine andere Aufsichtsbehörde gemäß Abs. 3 leg. cit. sind als „Kann“-Bestimmungen normiert und es kann hieraus keine Verpflichtung der Aufsichtsbehörde zur Ergreifung solcher Schritte abgeleitet werden kann (vgl. Jahnel in Jahnel [Hrsg.], Kommentar zur Datenschutz-Grundverordnung, Art. 66 DSGVO, Rz. 5).
Ferner bildet das Dringlichkeitsverfahren gemäß Art. 66 DSGVO - im Unterschied zum Stellungnahmeverfahren gemäß Art. 64 DSGVO und dem Streitbeilegungsverfahren gemäß Art. 65 DSGVO - keinen eigenständigen Verfahrenstypus, sondern eine punktuell modifizierte und beschleunigte Variante des Stellungnahme- bzw. Streitbeilegungsverfahrens (vgl. Dopplinger in Knyrim (Hrsg.), DatKomm, Art. 66 DSGVO, Rz. 3).
Im Stellungnahme- bzw. Streitbeilegungsverfahren entscheidet der Europäische Datenschutzausschuss verbindlich über Meinungsdivergenzen und Konflikte zwischen Aufsichtsbehörden (und nicht: zwischen Betroffenen und Aufsichtsbehörden) und diese sind verpflichtet, seiner Ansicht in geeigneter Weise Rechnung zu tragen (vgl. ErwG 136 DSGVO).
Aus alldem folgt, dass die Bestimmungen zur Kohärenz in Kapitel VII DSGVO - und somit auch das Dringlichkeitsverfahren nach Art. 66 DSGVO - das Ziel verfolgen, eine einheitliche Rechtsanwendung durch die Aufsichtsbehörden zu gewährleisten (vgl. ErwG 135 DSGVO).
Ferner ist darauf hinzuweisen, dass sich vorläufige (und auch endgültige) Maßnahmen gemäß Art. 66 DSGVO denkmöglich nur in Form von Abhilfebefugnissen iSd. Art. 58 Abs. 2 DSGVO manifestieren können. Der EuGH hat in diesem Zusammenhang bereits mehrfach ausgesprochen, dass es Sache der Aufsichtsbehörde (und nicht: der betroffenen Person) ist, geeignete Mittel zu wählen, um mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen, wobei der Aufsichtsbehörde bei der Wahl ihrer Abhilfebefugnisse ein Ermessen zukommt (vgl. die Urteile des EuGH vom 14. März 2024, C‑46/23, Rz. 34 mwN sowie vom 7. Dezember 2023, C‑26/22 und C‑64/22, Rz. 68).
Daraus folgt, dass einer betroffenen Person bereits allgemein kein subjektives Recht zukommt, die Ergreifung bestimmter Abhilfebefugnisse durch eine Aufsichtsbehörde zu begehren und auf dem Rechtsweg durchzusetzen. Dies muss daher konsequenterweise auch für einstweilige Maßnahmen einer Aufsichtsbehörde im Rahmen eines Dringlichkeitsverfahrens gemäß Art. 66 DSGVO gelten.
Des Weiteren ist dem vorliegenden Antrag zu entnehmen, dass er sich nicht ausschließlich auf die (potentielle) Verarbeitung personenbezogener Daten des Antragstellers, sondern auch anderer betroffener Personen bezieht („ Daten von mehr als 400 Millionen Betroffenen “).
Dem ist entgegenzuhalten, dass der Antragsteller nicht Stellvertreter aller potentiell betroffenen Personen ist und eine derartige „Popularklage“ (also eine Klage, die von jemand erhoben wird, der nicht allein davon betroffen ist) nicht zulässig ist (vgl. den Bescheid der DSB vom 26. November 2018, DSB D216.697/0011-DSB/2018 mwN.).
Ebenso ist zu berücksichtigen, dass Art. 80 Abs. 2 DSGVO den Mitgliedstaaten zwar die Möglichkeit einräumt, Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht das Recht zu geben, unabhängig von einem Auftrag einer betroffenen Person in ihrem Mitgliedstaat gemäß Art. 77 DSGVO Beschwerde an die zuständigen Aufsichtsbehörde zu erheben, der österreichische Gesetzgeber sich im Bereich des Datenschutzrechts aber gegendie Einführung einer solchen „Verbandsklage“ entschieden hat (vgl. OGH 26.11.2019, 4 Ob 84/19k).
D.4. Zusammenfassung und Ergebnis
Unter Zugrundelegung der obenstehenden Überlegungen räumt das Dringlichkeitsverfahren nach Art. 66 DSGVO einer betroffenen Aufsichtsbehörde (hier: der Datenschutzbehörde) die Möglichkeit ein, amtswegig auf ihrem Hoheitsgebiet zeitlich befristete vorläufige Maßnahmen zum Schutz der Rechte und Freiheiten von betroffenen Personen zu ergreifen und eine verbindliche Stellungnahme des Europäischen Datenschutzausschusses einzuholen, wenn sie der Ansicht ist, dass dringend endgültige Maßnahmen erlassen werden müssen.
Einer betroffenen Person (hier: dem Antragsteller) kommt folglich bereits dem Grunde nach kein subjektiver Anspruch auf Erlassung einstweiliger Maßnahmen im Rahmen eines Dringlichkeitsverfahrens nach Art. 66 DSGVO zu und der vorliegende Antrag war daher zurückzuweisen .
Jedoch selbst wenn man von einem subjektiven Rechtsanspruch des Antragstellers ausgehen würde, ist darauf hinzuweisen, dass die Antragsgegnerin die Einführung der vom Antragsteller beanstandeten Datenverarbeitung auf unbestimmte Zeit verschoben hat. Das vom Antragsteller geforderte (vorläufige) Verbot iSd. Art. 58 Abs. 2 lit. f DSGVO iVm. Art. 66 Abs. 1 DSGVO setzt jedenfalls eine gegenwärtig stattfindende Datenverarbeitung voraus und kann nicht im Hinblick auf pro futuro möglicherweise stattfindende Verarbeitungsvorgänge ausgesprochen werden. Im Falle von künftig beabsichtigten Verarbeitungsvorgängen steht einer Aufsichtsbehörde nur die Abhilfebefugnis der Warnung gemäß Art. 58 Abs. 1 lit. a DSGVO zur Verfügung.
Es war im Ergebnis daher spruchgemäß zu entscheiden.
Davon unberührt bleibt die inhaltliche Behandlung der Beschwerde des Antragstellers gemäß Art. 77 DSGVO.
Rückverweise
Keine Ergebnisse gefunden
RIS