2025-0.626.844 – Datenschutzbehörde Entscheidung

GZ: 2025-0.626.844 vom 7. August 2025 (Verfahrenszahl: DSB-D130.200)

[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Karl A*** (Beschwerdeführer), vertreten durch den H***-Datenschutzverband vom 18. Jänner 2019 gegen die N*** LLC (Beschwerdegegnerin), vertreten durch D*** V*** Rechtsanwälte wegen Verletzung im Recht auf Auskunft wie folgt:

1. Der Beschwerde wird stattgegeben und es wird festgestellt , dass die Beschwerdegegnerin den Beschwerdeführer durch eine unvollständige Auskunft sowie durch die Art der Erteilung der Auskunft in seinen Rechten nach Art. 15 DSGVO iVm. Art. 12 DSGVO verletzt hat.

2. Der Beschwerdegegnerin wird aufgetragen , innerhalb einer Frist von 4 Wochen bei sonstiger Exekution dem Beschwerdeführer eine vollständige Auskunft im Sinne des Art. 15 Abs. 1 und Abs. 2 DSGVO über sämtliche personenbezogenen Daten, die zu seiner Person verarbeitet werden zu erteilen und eine Kopie dieser personenbezogenen Daten in einem leicht verständlichen und lesbaren Format zur Verfügung zu stellen.

Rechtsgrundlagen: Art. 12 Abs. 1 und Abs. 2, Art. 15, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

Anmerkung der Datenschutzbehörde zum Verfahrensgang:Der Verfahrensgang stellt kein rechtlich zwingendes Element dar, sondern ist fakultativ. Es bedarf daher im Allgemeinen keiner gesonderten Anführung des Parteivorbringens in der Bescheidbegründung (vgl. Hengstschläger/Leeb, AVG § 60 Rz 22 (Stand 1.3.2023, rdb.at)).

Auf Grund der übermäßig langen Dauer des Verfahrens und der ihm innewohnenden Komplexität, die ihre Ursache in der Vielzahl von Eingaben der Verfahrensparteien und Schreiben der beteiligten Behörden hat, beschränkt sich die DSB daher auf eine überblicksmäßige Darstellung des Verfahrensgangs und der Parteivorbringen.

A.1. Mit verfahrenseinleitender Eingabe vom 18. Jänner 2019 erhob der Beschwerdeführer (im Folgenden: BF) Beschwerde an die Datenschutzbehörde wegen einer unvollständigen Auskunft über seine personenbezogenen Daten durch die Beschwerdegegnerin (im Folgenden: BG). Ihm seien über ein Downloadportal lediglich einige rudimentäre Informationen zur Verfügung gestellt worden, die nicht einmal jene Informationen vollständig umfassten, von denen die BG in ihrer eigenen Datenschutzerklärung angibt, dass sie verarbeitet würden.

A.2. Die DSB startete mit 31. Jänner 2019 das One-Stop Shop Verfahren, indem sie die Beschwerde an die irische Datenschutzbehörde (DPC) weiterleitete und setze das Verfahren gem. Art. 56 iVm Art. 60 DSGVO aus. Zum damaligen Zeitpunkt waren sowohl die DPC als auch die DSB der Meinung, dass die irische Datenschutzbehörde als federführende Aufsichtsbehörde für dieses Verfahren zu betrachten sei.

A.3. Mit Schreiben vom 17. November 2022 erklärte sich die irische Datenschutzbehörde schlussendlich jedoch als nicht zuständig und verwies den Fall zurück an die DSB, welche in der Folge den Aussetzungsbescheid (siehe Punkt A.2.) behob und das Verfahren weiterführte.

A.4. Die BG, mittlerweile vertreten durch D*** V*** Rechtsanwälte, nahm mit Schreiben vom 1. Februar 2023 Stellung und führte zusammengefasst soweit verfahrensrelevant aus, dass die Beschwerde zurück- bzw. abzuweisen sei, da der BF die BG nicht korrekt benannt habe, diese außerdem nicht Verantwortliche iSd. DSGVO sei, der BF aber trotzdem eine vollständige Auskunft erhalten habe und im Übrigen die DSB nicht zuständig sei.

A.5. Mit Schreiben vom 7. März 2023 nahm der BF zu den Ausführungen der BG Stellung und führte seinerseits aus, warum diese nicht zutreffend seien und der Beschwerde daher stattzugeben wäre.

B. Beschwerdegegenstand

Der Beschwerdegegenstand besteht daher in der Frage, ob die BG den BF durch eine unvollständige Auskunft und die Modalitäten vor deren Erteilung in seinen Rechten nach Art. 15 DSGVO iVm. Art. 12 DSGVO verletzt hat.

C. Sachverhaltsfeststellungen

C.1. Der Beschwerdegegner hat am 2. Oktober 2018 einen Antrag auf Auskunft an die N*** LLC als Verantwortliche für den Dienst „N***Media“ gestellt. Der Antrag wurde über das Antragsformular der N*** LLC gestellt.

C.2. Am 25. Oktober 2018 antwortete die BG, dass die vom BF gewünschten Daten „möglicherweise bereits über einige sichere Online-Tools verfügbar“ wären. Einen Überblick bekäme der BF auf der Seite „N*** Konto“. Im Übrigen wurde auf die zum damaligen Zeitpunkt gültige Datenschutzerklärung verwiesen.

[Anmerkung Bearbeiter/in: Die im Original an dieser Stelle als Faksimile im grafischen Format PNG dargestellte Online-Nachricht wurde in ein Textdokument umgewandelt und wird hier pseudonymisiert wiedergegeben.]

„On 10/02/18 16:36:54 karl.a***@***mail.com wrote:

country: austria

product: n***media

what_data: Hiermit stelle ich gemäß Artikel 15 DSGVO (VO (EU) 2O16/679) einen Antrag auf Auskunft über meine personenbezogenen Daten.

Neben der Bestätigung über die Verarbeitung meiner Daten, bitte ich um die Übermittlung einer Kopie dieser Daten (einschließlich. unter anderem, auch Trackinginformationen. Cookies. Werbeprofile, usw). Zusätzlich möchte ich Sie um die Zusendung aller anderen Informationen nach Art 15 DSGVO bitten.

Als Nutzer die von Ihnen bietenden Online-Dienste (N***Media) bin ich Ihnen bereits bekannt.

Ich habe den Antrag elektronisch gestellt und wünsche auf elektronischem Weg zu unterrichtet zu werden.

Ich möchte Sie auch daran erinnern, dass Sie Artikel 12 Absatz 3 nach verpflichtet sind unverzüglich nach Eingang des Antrags die Anfrage vollständig zu beantworten.

Bei weiteren Fragen stehe ich Ihnen jederzeit gerne zur Verfügung.

subject: Ihre Anfrage an N*** LLC“

Abb. Antrag des BF über das Webformular der BG N*** LLC

[Anmerkung Bearbeiter/in: Die im Original an dieser Stelle als Faksimile im grafischen Format PNG dargestellte Online-Nachricht wurde in ein Textdokument umgewandelt (u.a. Hyperlinks entfernt) und wird hier pseudonymisiert wiedergegeben.]

„ Von: data-access-requests@n***.com data-access-requests@n***.com

Gesendet: Donnerstag, 25. Oktober 2018 17:41

An: karl.a***@***mail.com

Betreff: RE: [N***-0*3*4-2018] Ihre Anfrage an N*** LLC

1*4*6*8

Guten Tag,

wir haben Ihre Nachricht erhalten. in der Sie Zugriff auf bestimmte Daten anfordern.

Die von Ihnen gewünschten Informationen sind für Sie möglicherweise bereits über einige sichere Onlinetools verfügbar, die wir allen unseren Nutzern für den Datenzugriff anbieten. Die Seite N*** Konto ([Anmerkung Bearbeiter/in: URL aus Pseudonymisierungsgründen entfernt]) gibt Ihnen einen Überblick darüber. wie Sie N***-Dienste nutzen und welche Daten mit der Nutzung verbunden sind. Sie können auf dieser Seite auch Ihre allgemeinen Kontoinformationen einsehen ([Anmerkung Bearbeiter/in: URL aus Pseudonymisierungsgründen entfernt]), überprüfen, welche Daten Ihr Konto enthält (über [Anmerkung Bearbeiter/in: URL aus Pseudonymisierungsgründen entfernt] und N*** Dashboard), die Einstellungen für die Weitergabe von Daten an Apps und Seiten von Drittanbietern anpassen und schließlich unsere speziell zum Download Ihrer Daten entwickelte Anwendung nutzen (über die Seite N*** Konto [Anmerkung Bearbeiter/in: URL aus Pseudonymisierungsgründen entfernt]) um Ihre Daten herunterzuladen. sie zu sichern oder auf einen anderen Dienst zu übertragen.

Angemeldete Nutzer können auf diese Tools direkt über das das Menü in N*** Konto zugreifen, das über die standardisierte N***-Leiste m vielen unseren Produkten zugänglich ist. Ein Klick auf das Profilbild des N*** Kontos oder den Benutzernamen in der obigen rechten Ecke der Benutzeroberfläche und danach auf die Links "Datenschutz" oder “N*** Konto” genügt.

Für den Zugriff auf diese Tools müssen die Nutzer in ihrem Konto angemeldet sein, damit die Rechte der Nutzer auf Datenzugriff überprüft werden können und damit sichergestellt ist, dass personenbezogene Daten nicht von Dritten eingesehen werden können.

Wir möchten klar kommunizieren, welche Informationen wir erfassen und wie wir mit diesen umgehen. Details hierzu finden Sie in unserer Datenschutzerklärung ([Anmerkung Bearbeiter/in: URL aus Pseudonymisierungsgründen entfernt]) und unter 'Ihre Daten" ([Anmerkung Bearbeiter/in: URL aus Pseudonymisierungsgründen entfernt]) mit zusätzlichen erklärenden Hinweisen zu den Arten von Informationen, die wir erfassen, wie wir diese erfassen, wie die Informationen verwendet werden und unter welchen Bedingungen diese freigegeben werden.“

Abb.: Antwort von N*** LLC auf den Antrag auf Auskunft des BF

Beweiswürdigung C.1 und C.2 : die Feststellung ergibt sich aus dem nicht bestrittenen Vorbringen des BF und der somit unstrittigen Aktenlage.

C.3. Die BG stellte am 7. November 2018 die folgenden personenbezogenen Daten des BF per Download zur Verfügung. Die Dateien wurden zum Teil nur in den Formaten „opml“ und „json“ bereitgestellt.

[Anmerkung Bearbeiter/in: Der an dieser Stelle im Original als grafische Datei wiedergegebene Screenshot einer Tabelle mit Angaben zu insgesamt 7 Dateien kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]

Abb. Screenshot aus dem Akt, Index der vom BF herunter geladenen Dateien

Beweiswürdigung : die Feststellung ergibt sich aus dem nicht bestrittenen Vorbringen des BF und der somit unstrittigen Aktenlage.

C.4. Neben anderen Kategorien von personenbezogenen Daten von betroffenen Personen verarbeitet die BG explizit auch personenbezogene Daten, die aus Cookies bzw. X*** Pixel generiert werden, sowie des Weiteren auch die IP-Adresse. Die übermittelte Auskunft an den BF enthielt jedoch keinerlei Informationen betreffend diese Datenkategorien.

[Anmerkung Bearbeiter/in: Der im Original an dieser Stelle als Faksimile im grafischen Format PNG dargestellte Auszug aus der Datenschutzerklärung der Beschwerdegegnerin wurde in ein Textdokument umgewandelt (Fettdruck im Original farblich hervorgehoben) und wird hier pseudonymisiert wiedergegeben.]

„In unseren Protokollen speichern wir einen Datensatz der von uns eingeblendeten Anzeigen, Diese Serverprotokolle enthalten normalerweise Ihre Webanfrage, die IP- Adresse, den Browsertyp, die Browsersprache, das Datum und die Uhrzeit Ihrer Anfrage sowie ein oder mehrere Cookies, die unter Umständen Ihren Browser eindeutig identifizieren. Wir speichern diese Daten aus mehreren Gründen, jedoch hauptsächlich, um unsere Dienste zu verbessern und die Sicherheit unserer Systeme aufrechtzuerhalten. Wir anonymisieren diese Protokolldaten, indem wir einen Teil der IP-Adresse und der Cookie-Informationen nach 9 bzw. 18 Monaten löschen.“

Abb.: Screenshot der Datenschutzerklärung der BG, vorgelegt vom BF im Rahmen seiner ersten Eingabe.

Beweiswürdigung : die Feststellung ergibt sich aus der unstrittigen Aktenlage .

C.5. Der BF hat in seiner Beschwerde u.a. die nunmehrige BG „N*** LLC“ ausdrücklich benannt. Die benannte Beschwerdegegnerin war zum Zeitpunkt der Antragstellung sowie zum Zeitpunkt des Einbringens der Beschwerde die datenschutzrechtliche Verantwortliche für den Dienst „N***Media“.

[Anmerkung Bearbeiter/in: Der im Original an dieser Stelle als Screenshot im grafischen Format PNG dargestellte Auszug aus der Datenschutzbeschwerde wurde in ein Textdokument umgewandelt (Fettdruck im Original teilweise farblich hervorgehoben) und wird hier pseudonymisiert wiedergegeben.]

„ BESCHWERDE NACH ARTIKEL 77(1) DSGVO

H***-Datenschutzverband Fall Nr.*7/18

1. SACHVERHALT

1.1. Verantwortlicher / Beschwerdegegnerin

Diese Beschwerde richtet sich gegen N***Media LLC (https://www.n***media.com), einen Video-Streaming-Dienst (die Beschwerdegegnerin). Gemäß der Datenschutzerklärung von N*** ist der Betreiber und Verantwortliche des N***Media Dienstes für die Zwecke dieser Beschwerde N*** LLC ("N***”) , mit Sitz in [Anmerkung Bearbeiter/in: hier gekürzt], USA (Anhang 1: N*** Datenschutzerklärung).“

Abb. Beschwerde des BF vom 18. Jänner 2019 mit der Nennung der N*** LLC als Beschwerdegegnerin

[Anmerkung Bearbeiter/in: Der im Original an dieser Stelle als Faksimile im grafischen Format PNG dargestellte Auszug aus der Datenschutzerklärung der Beschwerdegegnerin (in Übersetzung) wurde in ein Textdokument umgewandelt (Fettdruck im Original farblich hervorgehoben) und wird hier pseudonymisiert wiedergegeben.]

„Beglaubigte Übersetzung aus der englischen Sprache

Beilage ./1

N***

[Abbildung]

In Kürze tritt eine Änderung unserer Nutzungsbedingungen in Kraft, die unter Umständen Einfluss auf die von Ihnen verwenden N***-Dienste hat. Ab 22. Jänner 2019 werden die im Rahmen dieser Bedingungen angebotenen Dienste von N*** Ireland Limited statt von N*** LLC angeboten . Wir nehmen ähnliche Änderungen auch an den Nutzungsbedingungen von N***Cloud , N***Apps , N***Media und N***Media Paid Service vor. Unsere neuen Bedingungen finden Sie hier .“

Abb: Screenshot eines von der BG im laufenden Verfahren vorgelegten Dokuments (beglaubigte dt. Übersetzung der Änderung der Nutzungsbedingungen der BG).

Beweiswürdigung : die Feststellung betreffend die Benennung der Beschwerdegegnerin ergibt sich aus dem dokumentierten Vorbringen des BF. Die Feststellung hinsichtlich der Eigenschaft als Verantwortliche der BG ergibt sich aus deren eigenem Vorbringen. Daraus geht hervor, dass die N*** LLC als BG sowohl zum Zeitpunkt der Antragstellung (2. Oktober 2018) als auch zum Zeitpunkt der Einbringung der Beschwerde (18. Jänner 2019) die datenschutzrechtliche Verantwortliche für den Dienst N***Media war.

C.6. Der BF wurde zu den folgenden Kategorien von personenbezogenen Daten bzw. betreffend die über ihn selbst von der BG verarbeiteten personenbezogenen Daten aus diesen Kategorien lediglich auf mehrere Online Tools zum Download sowie auf die Datenschutzerklärung der BG verwiesen: Tracking, Cookies, Werbeprofile, Verarbeitungszwecke, Empfänger, Aufbewahrungsfristen, Betroffenenrechte, das Beschwerderecht bei der Aufsichtsbehörde, die Datenquellen sowie die geeigneten Garantien für Drittlandstransfers.

Eine für den BF personalisierte Information zu den oben genannten Datenkategorien und weiteren Informationen erfolgte bis zum Abschluss des gegenständlichen Verfahrens nicht .

Beweiswürdigung : die Feststellung ergibt sich aus dem nicht bestrittenen Vorbringen der BG vom 1. Februar 2023 und der somit unstrittigen Aktenlage.

D. In rechtlicher Hinsicht folgt daraus:

D.1. Zum Recht auf Auskunft im Allgemeinen

Eine betroffene Person hat gemäß Art. 15 DSGVO das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Sofern dies der Fall ist, hat die betroffene Person auch das Recht auf Auskunft über diese personenbezogenen Daten und über die in Art. 15 Abs. 1 lit. a bis h DSGVO angeführten Informationen, ferner gegebenenfalls zusätzlich über die Informationen gemäß Abs. 2 der Bestimmung. Des Weiteren hat der Verantwortliche gemäß Art. 15 Abs. 3 DSGVO einer betroffenen Person Kopien der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Das Auskunftsrecht ist für die betroffene Person unter mehreren Aspekten bedeutsam. Es soll zunächst sicherstellen, dass sie sich bewusst ist, ob überhaupt Daten, die sie betreffen, verarbeitet werden. Falls dies zu bejahen ist, soll sie erfahren können, um welche Daten es dabei geht. Diese Kenntnis der Verarbeitung bildet die Basis dafür, dass die betroffene Person die Rechtmäßigkeit der Verarbeitung überprüfen kann. Das Recht auf Auskunft ist außerdem erforderlich, damit die betroffene Person ihre Rechte auf Berichtigung, Löschung und Sperrung geltend machen kann, ferner das Recht auf Widerspruch gegen die Verarbeitung (vgl. Ehmann/Selmayr [Hrsg], Datenschutz-Grundverordnung [Wien 2017], Art. 15, Rz. 1).

Art. 12 DSGVO regelt die Modalitäten für die Ausübung der Betroffenenrechte wie etwa das Auskunftsrecht. In Abs. 2 leg. cit. ist die ausdrückliche Pflicht des Verantwortlichen erwähnt, einer betroffenen Person die Ausübung ihrer Rechte zu erleichtern. Abs. 1 leg. cit. erwähnt an dieser Stelle ebenso wie Erwägungsgrund 58 DSGVO die präzise, verständliche und leicht zugängliche Form der übermittelten Informationen.

D.2. In der Sache

D.2.1. Zur Verantwortlichkeit der Beschwerdegegnerin und zur Zuständigkeit der Datenschutzbehörde

Wie unter Punkt C.5. festgestellt war die durch den BF in seiner Beschwerde ausdrücklich genannte BG zum Zeitpunkt der Antragstellung sowie zum Zeitpunkt des Einbringens der Beschwerde die datenschutzrechtliche Verantwortliche für die Verarbeitung der personenbezogenen Daten des BF. Eine eventuell nach diesem Zeitpunkt erfolgter Übergang der Verantwortung auf eine andere Gesellschaft (N*** Ireland Ltd.) ist daher für das gegenständliche Verfahren irrelevant, sodass auch eine Prüfung, ob dieser Wechsel der Verantwortung tatsächlich in der Praxis oder nur aus Verfahrenszwecken auf dem Papier erfolgt ist, unterbleiben kann.

Zum Vorwurf der BG, dass der BF die Beschwerdegegnerin nicht eindeutig benannt habe, ist zunächst festzuhalten, dass dieser alleine schon auf Grund der unstrittigen Aktenlage als widerlegt betrachtet werden kann (siehe dazu auch Punkt C.5.).

Darüber hinaus verlangt § 24 Abs. 2 Z 2 DSG die genaue Bezeichnung des Rechtsträgers, dem die Rechtsverletzung zugerechnet wird, nur „soweit dies zumutbar ist“. Auch wenn der BF im vorliegenden Fall eine nicht gänzlich zutreffende Bezeichnung gewählt hätte, was bei einem weltweit agierenden Konzern mit einer verästelten Struktur wie der BG als entschuldbar betrachtet werden könnte, so liegt doch klar auf der Hand, dass der BF die Verantwortliche für den Internetdienst „N***Media“ belangen wollte. In diesem Zusammenhang wird auch auf die Judikatur des BVwG verwiesen, wonach Anbringen objektiv verstanden werden müssen, d.h. das erkennbare oder zu erschließende Ziel eines Parteischrittes sind der Maßstab der Beurteilung und nicht eine irrtümlich gewählte Bezeichnung oder eine zufällige Verbalform. So darf auch keiner Partei unterstellt werden, dass sie ein von vornherein sinnloses Verfahren führen möchte (BVwG vom 16.10.2019, W258 2223924-1).

Die Beschwerde war daher nicht wegen einer verfehlten Bezeichnung der Beschwerdegegnerin oder deren mangelnder Passivlegitimierung zurückzuweisen .

Bei der Beschwerdegegnerin handelt es sich um ein Unternehmen mit dem Sitz in den USA . Gemäß Art. 3 Abs. 2 lit. a DSGVO findet die DSGVO Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Europäischen Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen, wenn die Datenverarbeitung im Zusammenhang damit steht, dass einer betroffenen Person in der Union Waren oder Dienstleistungen angeboten werden , unabhängig davon, ob von dieser betroffenen Person eine Zahlung zu leisten ist („Marktortprinzip“).

Der Begriff der „Dienstleistung“ wird in der DSGVO nicht näher erläutert, er ist jedoch vor dem Hintergrund der Ziele der DSGVO weit auszulegen . Erforderlich ist lediglich eine hinreichend erkennbare Absicht eines nicht im EWR niedergelassenen Verantwortlichen oder Auftragsverarbeiters, in der Union befindlichen Personen eine Dienstleistung anzubieten (vgl. ErwGr 23 zweiter Satz DSGVO).

Für die DSB besteht im vorliegenden Fall kein Zweifel daran, dass die BG offensichtlich beabsichtigt, österreichische Nutzer:innen mit dem Dienst „N***Media“ zu erreichen, sodass der räumliche Anwendungsbereich der DSGVO eröffnet ist.

Da wie oben festgestellt, die BG ihren Sitz in den USA hat und die Niederlassung der BG in Irland im relevanten Betrachtungszeitraum nicht als Verantwortliche für den Dienst „N***Media“ betrachtet werden kann, ist als Zwischenergebnis festzuhalten, dass die die DSB zur Behandlung der vorliegenden Beschwerde zuständig ist.

D.2.2. Zur mangelhaften Auskunftserteilung

D.2.2.1. Zur Präzisierung des Antrags auf Auskunft

Die BG beanstandete in ihrer Stellungnahme vom 1. Februar 2023, dass der BF seinen Antrag nicht ausreichend präzisiert habe. Dem ist entgegenzuhalten, dass dem Antrag des BF eindeutig zu entnehmen ist, dass dieser alle Informationen, die zu seiner Person verarbeitet werden, zu erhalten wünscht. Eine betroffene Person kann zwar aufgefordert werden, ihre Auskunftsbegehren auf gewisse Verarbeitungstätigkeiten zu beschränken, allerdings muss sie dies nicht tun und kann auf den Erhalt einer vollständigen Auskunft bestehen ( Haidinger in Knyrim, DatKomm Art. 15 Rz 11).

Daraus folgt, dass der Argumentation der BG an dieser Stelle nicht gefolgt werden kann und somit von einem korrekt gestellten und daher auch zu erfüllenden Antrag auf Auskunft ausgegangen werden muss, der sämtliche personenbezogenen Daten des BF umfasst. In Anbetracht der Tatsache, dass es sich bei der BG um einen – [Anmerkung Bearbeiter/in: Bewertung der wirtschaftlichen Größe des Unternehmens der BG aus Pseudonymisierungsgründen entfernt] IT-Konzern – handelt, dürfte es kein unlösbares Problem darstellen, alle personenbezogenen Daten einer betroffenen Person auf deren Antrag hin aufzufinden und zur Verfügung zu stellen.

D.2.2.2. Zu den Modalitäten der zur Verfügung gestellten Auskunft

Wie unter Punkt C.3 bzw. C.6. festgestellt, hat die BG einen kleinen Teil der personenbezogenen Daten des BF mittels einiger zum Download bereit gestellter Dateien erfüllt. Die Dateien waren zum überwiegenden Teilen in den Formaten JSON bzw. OPML dargestellt. Bezüglich aller anderen in Punkt C.6 genannten Informationen und Kategorien von personenbezogenen Daten wurde der BF auf die Datenschutzerklärung sowie auf diverse andere Online Tools der BG verwiesen.

Dazu ist zunächst festzuhalten, dass JSON und OPML technisch strukturierte Formate sind, die speziell für maschinelle Verarbeitung konzipiert sind und daher für Laien ohne IT-Kenntnisse schwer verständlich sind (vgl. Bizer/Müller, „Data Formats and Interoperability“, 2020; Karagiannis, „Information Modeling and Design“, 2019).

Ihre Nutzung allein widerspricht somit dem Transparenzgebot nach Art. 12 Abs. 1 DSGVO. da diese Formate für den durchschnittlichen Betroffenen weder leicht zugänglich noch leicht verständlich sind. Art. 12 DSGVO verlangt jedoch eine leicht zugängliche und verständliche Kommunikation (vgl. Erwägungsgrund 58). Die Auskunftspflicht umfasst somit auch die verständliche Aufbereitung der Daten, nicht nur deren technische Bereitstellung, da ein Verantwortlicher nicht automatisch unterstellen kann, dass eine betroffene Person über die notwendigen IT-Kenntnisse verfügt, um Dateien in den genannten Formaten verstehen zu können.

In Bezug auf die in den Formaten JSON und OPML zur Verfügung gestellten Dateien ist die Auskunft daher als mangelhaft und somit rechtswidrig zu betrachten.

Die BG hat weiters darauf verwiesen, dass einige Informationen, die der Auskunft nach Art. 15 DSGVO unterliegen, „möglicherweise“ bereits in einigen sicheren Online Tools zu finden seien. Das lässt darauf schließen, dass es im von der BG so bezeichneten „Portal“ zum Download der personenbezogenen Daten keine zentrale Stelle gibt, von der Daten heruntergeladen werden können, sondern eine betroffene Person die gewünschten Informationen aus mehreren Tools zusammenstellen muss. Dafür spricht auch der Hinweis, dass man sich an den Support wenden solle, wenn man weitere Informationen benötige, die „nicht in den Tools enthalten“ seien.

Die BG führt in ihrer Stellungnahme die Rechtsprechung des Bundesverwaltungsgerichts zur generellen Zulässigkeit eines „Portals“ zum Download von Informationen gem. Art. 15 DSGVO an (W101 2132183-1/36E vom 11.9.2020). Soweit ersichtlich hat sich das Gericht allerdings nur mit der allgemeinen Frage der Zulässigkeit eines solchen Portals, nicht aber mit dessen konkreter Ausgestaltung und dem Inhalt der bereitgestellten Informationen auseinandergesetzt.

Genau diese Fragen sind aber Kern des gegenständlichen Verfahrens, sodass die im Erkenntnis des BVwG getroffenen Feststellungen nicht 1:1 auf den vorliegenden Fall übertragen werden können.

Jede Auskunft muss unabhängig von der Art ihrer Übermittlung vollständig sein und den Anforderungen des Art. 12 DSGVO gerecht werden. Ein Portal, bei dem eine betroffene Person über mehrere Online Tools die personenbezogenen Daten zusammentragen und im Falle des Fehlens von Daten den Kundensupport bemühen muss, kann nicht mit dem Erleichterungsgebot des Art. 12 Abs. 2 DSGVO in Einklang gebracht werden. Dies unter anderem auch deshalb, weil von der betroffenen Person nicht verlangt werden kann, selbst die fehlenden Informationen zu identifizieren und diese ggfs. zu urgieren, da diese noch keine Kenntnis darüber haben kann, welche Daten zu ihrer Person verarbeitet werden. Das Recht nach Art. 15 DSGVO dient ja gerade dazu, sich überhaupt erst einer solchen Verarbeitung bewusst zu werden.

Im Lichte der oben dargelegten Ausführungen kann daher die Art und Weise der Beauskunftung im konkreten Fall nicht als rechtmäßig iSd. Art. 12 iVm Art. 15 DSGVO betrachtet werden.

D.2.2.3 Zum Inhalt der zur Verfügung gestellten Auskunft

Wie oben festgestellt wurde der BF hinsichtlich der Aspekte Verarbeitungszwecke, Empfänger, Aufbewahrungsfristen, Datenquellen, geeignete Garantien für Drittlandsübermittlungen sowie Tracking und Werbung auf die verschiedenen Teile der Datenschutzerklärung der BG verwiesen.

Dazu ist zunächst allgemein anzumerken, dass die Datenschutzerklärung eine ex ante Information zur Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO darstellt. Sie ist keine personalisierte Information für eine betroffene Person und enthält somit allgemeine Informationen über die Datenverarbeitungen eines Verantwortlichen, die aber nicht ohne weiteres auf eine Einzelperson zutreffen müssen, zB verschiedene Speicherfristen je nach Datenkategorie, die aber möglicherweise im Falle dieser Einzelperson gar nicht alle zum Tragen kommen. Eine vollständige Auskunft für eine einzelne Person kann daher auch nicht mit dem bloßen Verweis auf eine allgemeine Erklärung erreicht werden.

Zu den Verarbeitungszwecken und den Aufbewahrungsfristen

So führt die Datenschutzerklärung der BG zum Thema Verarbeitungszwecke eine Vielzahl von möglichen Zwecken an, ohne aber darauf einzugehen, welche Daten des BF sie für welche Zwecke verarbeitet. Nach der Judikatur des BVwG müssen die Informationen über die Zwecke gem. Art. 15 Abs. 1 lit. a DSGVO die konkreten Zwecke im konkreten Fall der antragstellenden Person genau angeben. Es reicht daher nicht aus, die allgemeinen Zwecke des Verantwortlichen anzuführen, ohne klarzustellen, welche Zwecke dieser im Fall der antragstellenden Person verfolgt. Erfolgt die Verarbeitung zu mehreren Zwecken muss der Verantwortliche klarstellen, welche Datenkategorien für welche Zwecke verarbeitet werden (BVwG vom 28. Mai 2025, W108 2230691-1/53E).

Indem die BG lediglich allgemein und ohne weitere Klarstellung auf die von ihr verfolgten Zwecke verwies, hat sie den BF in seinem Recht nach Art. 15 Abs. 1 lit. a DSGVO verletzt.

Das oben gesagte gilt sinngemäß auch für die geplante Speicherdauer nach Art. 15 Abs. 1 lit. d DSGVO. Die BG verweist hier ebenfalls auf ihre Datenschutzerklärung, welcher aber lediglich zu entnehmen ist, dass „einige Daten jederzeit gelöscht werden können, andere automatisch gelöscht werden“ und wieder andere „länger gespeichert werden können“. An keiner Stelle wird der BF auch nur ansatzweise in die Lage versetzt, wenigstens näherungsweise zu bestimmen, welche Daten von ihm konkret zu welchem Zweck wie lange verarbeitet werden.

Die Auskunft ist daher auch in Bezug auf die Aufbewahrungsfristen als mangelhaft zu klassifizieren.

Zu den Datenquellen, den Empfängern und den geeigneten Garantien für Drittlandsübermittlungen

Die oben dargelegten Ausführungen können auch auf die Punkte Datenquellen, Datenempfänger und geeignete Garantien für Drittlandsübermittlungen übertragen werden.

Der BF wurde durch den bloßen Verweis auf die Datenschutzerklärung lediglich darüber informiert, dass „seine Daten von bestimmten Quellen erhoben werden können“. Eine solche Information hat keinerlei Erklärungswert, da jedes Datum aus irgendeiner Quelle (und sei es auch nur die Generierung durch die Verantwortliche selbst) erhoben wird. Betreffend die Empfänger(kategorien) nennt die Datenschutzerklärung nur mögliche Kategorien von Datenempfängern. In seiner Entscheidung vom 12.1.2023 (C-154/21) hat der EuGH klargestellt, dass ein Verantwortlicher die konkreten Datenempfänger zu nennen hat, wenn ihm diese bekannt sind. Die DSB hat keinerlei Zweifel daran, dass die BG als [Anmerkung Bearbeiter/in: Bewertung der wirtschaftlichen Größe des Unternehmens der BG aus Pseudonymisierungsgründen entfernt] IT-Konzern präzisieren kann, an welche Empfänger sie welche Informationen zu einer konkreten Person weitergibt. Somit wären dem BF die konkreten Empfänger seiner personenbezogenen Daten zu nennen gewesen.

Schlussendlich ist auch anzumerken, dass eine unzureichende Information betreffend die Empfänger von personenbezogenen Daten auch eine mangelhafte Information über die geeigneten Garantien für Drittlandsübermittlungen indiziert. Wenn eine betroffene Person nicht einmal weiß, wohin ihre Daten übermittelt werden, kann auch der Verweis in der Datenschutzerklärung, dass man „bestimmte rechtliche Rahmenbedingungen“ einhalte, nicht als rechtmäßige Information im Sinne des Art. 15 Abs. 2 DSGVO betrachtet werden.

Die Auskunft ist somit auch in den Punkten Datenquellen, Datenempfänger und geeignete Garantien für Drittlandsübermittlungen als mangelhaft anzusehen.

Fazit

Die BG hat auf den Auskunftsantrag des BF reagiert, indem sie ihm einige wenige Informationen nur in einem maschinenlesbaren Format zur Verfügung gestellt hat und im Übrigen auf mehrere Onlinetools verwiesen hat, mit Hilfe derer er seine personenbezogenen Daten herunterladen könne. Für den Fall, dass etwas fehlt, wurde der BF an den Support der BG verwiesen. Bezüglich der Themen Zwecke der Verarbeitung, Speicherdauer, Datenquellen, Datenempfänger, Cookies und Tracking sowie geeignete Garantien für Drittlandsübermittlungen wurde der BF auf die Datenschutzerklärung der BG verwiesen.

Aus den oben dargelegten Gründen ist dieses Vorgehen aber nicht mit der DSGVO vereinbar, da dieses einerseits gegen Art. 12 Abs. 1 und 2 DSGVO verstößt und andererseits keine konkrete Auskunft über die Informationen gem. Art. 15 Abs. 1 lit. a – h zulässt. Weder hat der BF eine vollständige Information bekommen noch hat er die wenigen überhaupt zur Verfügung gestellten Informationen in einem verständlichen, leicht zugänglichen und lesbaren Format erhalten.

Die Auskunft war daher mangelhaft und somit unrechtmäßig , weshalb der Beschwerde in diesem Punkt spruchgemäß stattzugeben war.

D.3. Zum Leistungsauftrag

Der Leistungsauftrag stützt sich auf Art. 58 Abs. 2 lit. c DSGVO und ist erforderlich, um dem Beschwerdeführer die ungehinderte Ausübung seiner Rechte zu ermöglichen.

Eine Frist von 4 Wochen erscheint angemessen, um den Leistungsauftrag zu erfüllen.

Die Modalitäten der Erfüllung obliegen der Beschwerdegegnerin im Rahmen der Vorschriften des Art. 12 DSGVO. Ein Verweis auf die Datenschutzerklärung der Beschwerdegegnerin genügt hierbei jedoch ebenso wenig wie der Hinweis auf diverse Online-Tools, aus denen sich der Beschwerdeführer die Auskunft selbst zusammenstellen muss.