Datenschutzbehörde verzeichnet anhaltend hohe Arbeitsbelastung

Wien (PK) – Dem Justizausschuss liegt der Datenschutzbericht für 2023 vor (III-1153 d.B. und III-854-BR/2024 d.B.). Neben einer anhaltend hohen Arbeitsbelastung stand das vergangene Jahr in der Datenschutzbehörde (DSB) im Zeichen personellen Umbaus und der personellen Erneuerung, hält der neue Leiter der Behörde Matthias Schmidl im Vorwort fest.

Auch wenn der Personalstand in den letzten Jahren nachhaltig gestiegen sei, sei er in Relation zur Zahl der anhängigen Verfahren dennoch in Summe zu niedrig. Seit dem Jahr 2017 sei allein im Bereich der Individualbeschwerden eine Steigerung von 769 % zu verzeichnen. Lege man diese Steigerung auf die Anzahl der Bediensteten um, müsste der Personalstand der DSB bei 189 Bediensteten liegen, was einer Verdreifachung des derzeitigen Personalstandes entspräche. Trotz dieser Entwicklung sei die DSB aber handlungsfähig und komme ihren Verpflichtungen im Rahmen des Möglichen nach.

Impf-Beschwerden: DSB erwartet, dass Verfahren neuerlich geführt werden müssen

Dazu komme die Entwicklung der Verfahren zu den sogenannten Impf-Beschwerden aus den Jahren 2021 und 2022. Die Verfahren zu den 4.890 Beschwerden seien durch die DSB zwar 2022 weitgehend beendet worden, wodurch eine Verlagerung an das Bundesverwaltungsgericht stattgefunden habe. Die Verfahren hätten dort aber eine "signifikante Wendung" etwa betreffend die Festlegung der datenschutzrechtlichen Verantwortlichen auf Länderebene genommen, sodass die DSB damit rechnen müsse, dass ein Großteil der bereits abgeschlossenen Verfahren erneut, dann gegen andere Beschwerdegegner, geführt werden müsse. Dies werde erhebliche Personalkapazitäten binden und die ohnehin knappen Personalressourcen zusätzlich anspannen, so der Bericht.

Gerichtliche Auslegungsfragen zur DSGVO

Das Jahr 2023 war demnach, ebenso wie die zwei Jahre zuvor, von einem starken Anstieg der an den EuGH gerichteten Vorabentscheidungsverfahren zur Auslegung der Datenschutz-Grundverordnung (DSGVO) geprägt. In 24 Fällen (2022: 25) richteten nationale (Höchst‑)Gerichte Vorabentscheidungsersuchen an den EuGH. Die Gerichte seien nach wie vor in hohem Maße mit Auslegungsfragen zur DSGVO befasst.

In 21 Fällen wurde die DSB von der Volksanwaltschaft zur Stellungnahme aufgefordert, weil sich Beschwerdeführer an sie gewendet hatten. Diese im Vergleich zu 2022 gestiegene Anzahl sei darauf zurückzuführen, dass insgesamt 18 Beschwerden von nur zwei Beschwerdeführern stammen. Ein Großteil der Beschwerden betreffe die Verfahrensdauer vor der DSB.

2.389 Individualbeschwerden, mehrfach "exzessive Nutzung"

Im Berichtsjahr 2023 wurden insgesamt 2.389 Individualbeschwerden bei der DSB eingebracht (2022: 1.915). Im Berichtszeitraum habe die DSB mehrfach von der Möglichkeit Gebrauch gemacht, die Behandlung von Beschwerden wegen exzessiver Nutzung des Beschwerderechts abzulehnen, so der Bericht. Die DSB geht demnach davon aus, dass eine Beschwerdeführung dann als "exzessiv" zu werten ist, wenn vom selben Beschwerdeführer bzw. derselben Beschwerdeführerin in einem Durchrechnungszeitraum von zwölf Monaten mehr als zwei Beschwerden pro Monat eingebracht werden, somit mehr als 24 Beschwerden pro Jahr.

Im Jahr 2023 wurden 579 Beschwerden gegen Bescheide der DSB erhoben. Die Behörde hat im Berichtszeitraum 55 Geldbußen mit einer Gesamtsumme von 254.075 € ausgesprochen und drei Verwarnungen erteilt. Darüber hinaus wurden der DSB im Berichtsjahr 1028 nationale Sicherheitsverletzungen ("Data Breaches") gemeldet. Dazu kamen 30 Meldungen betreffend grenzüberschreitende Sicherheitsverletzungen sowie 26 Sicherheitsverletzungen, die an andere Aufsichtsbehörden im Unionsgebiet herangetragen und der DSB aufgrund von potentieller Betroffenheit zur Kenntnis gebracht wurden. Auch im Jahr 2023 stand eine Vielzahl der gemeldeten Vorfälle in Verbindung mit unterschiedlichsten Arten von Ransomware. Weitere häufig gemeldete Fälle betrafen laut Bericht eine Übertragung von Schadsoftware auf das System des "Verantwortlichen" durch das Öffnen von E-Mail-Anlagen.

Die DSB leitete im Jahr 2023 765 amtswegige Prüfverfahren ein und führte eine Schwerpunktprüfung durch. Konkret wurden im Berichtszeitraum zwölf amtswegige Prüfverfahren gegen Finanzinstitute geführt, die stichprobenartig ausgewählt wurden. Im besonderen Fokus der Schwerpunktprüfung standen die Einhaltung von Dokumentationspflichten, die (Weiter-)Verarbeitung von Bank- und Kontodaten zu Werbezwecken und die Prüfung der Stellung von Datenschutzbeauftragten. Punktuelle Verbesserungsvorschläge seitens der DSB seien umgesetzt worden, sodass keine bescheidmäßige Anweisung erforderlich gewesen sei. Es könne daher gesagt werden, dass der Finanzsektor im Datenschutz gut aufgestellt sei. Auch für das Jahr 2024 sei wieder eine Schwerpunktprüfung geplant.

Zuständigkeit der DSB für Untersuchungsausschüsse und Staatsanwaltschaften

Neben ausgewählten Beschwerde- und höchstgerichtlichen Entscheidungen sowie grenzüberschreitenden Fällen der DSB werden im Bericht auch alle weiteren Tätigkeiten der Behörde dargestellt. Angeführt wird dabei etwa auch, dass der EuGH im Jänner 2024 geklärt habe, dass die DSB nunmehr grundsätzlich auch für Beschwerden gegen Untersuchungsausschüsse des Nationalrates zuständig ist. Wie aus dem Urteil hervorgehe, unterliege auch die Datenverarbeitung durch Untersuchungsausschüsse der Kontrolle durch die - als einzige Aufsichtsbehörde in Österreich eingerichteten - DSB. Zudem seien auch Fragen der Zuständigkeit der DSB für Beschwerden gegen Staatsanwaltschaften inzwischen durch den Verfassungsgerichtshof geklärt. Die Datenverarbeitung durch die Staatsanwaltschaften unterliegt demnach ebenso der Kontrolle durch die DSB. (Schluss) mbu