Arbeitsbelastung der Datenschutzbehörde weiterhin hoch

Wien (PK) – Auf ein ereignisreiches und bedeutsames Jahr 2024 blickt die Datenschutzbehörde (DSB) laut ihrem Bericht zurück (III-159 d.B.). So habe der Gesetzgeber mit dem Parlamentarischen Datenschutzkomitee eine zweite Datenschutz-Aufsichtsbehörde in Österreich mit Wirkung ab Jänner 2025 eingerichtet. Novelliert worden sei auch das sogenannte Medienprivileg im Datenschutz nach einer Entscheidung des Verfassungsgerichtshofs, wonach Medien nicht prinzipiell von Datenschutzbestimmungen ausgenommen sein dürfen. Von Grund auf erneuert worden sei 2024 die Website der DSB.

Die Arbeitsbelastung insgesamt, aber auch pro Kopf, sei anhaltend hoch und die Erhöhung des Personalstandes somit unausweichlich, wenn die DSB weiterhin ihren Aufgaben nachkommen können soll, heißt es im Vorwort des Berichts vom Leiter der DSB Matthias Schmidl. Zudem würden sowohl der nationale als auch der EU-Gesetzgeber der DSB zusätzlich Aufgaben übertragen.

Anhaltend steigende Verfahrenszahlen

Trotz steigender Verfahrenszahlen konnte die Datenschutzbehörde im Jahr 2024 den überwiegenden Teil der anhängigen Verfahren abschließen, heißt es im Bericht. Seit dem Jahr 2017 sei allein im Bereich der Individualbeschwerden eine Steigerung von 769 % zu verzeichnen. Neben einer Vielzahl anderer Agenden wie etwa der schriftlichen und telefonischen Rechtsauskünfte wurden im Berichtsjahr 2024 insgesamt 2.397 Individualbeschwerden von der DSB mittels Bescheid oder Einstellung erledigt (2023: 1.978). Bei der DSB wurden im Berichtsjahr 2024 insgesamt 600 grenzüberschreitende Beschwerden eingebracht. Zudem sind bei der DSB im Berichtsjahr 2024 insgesamt 856 grenzüberschreitende Beschwerden, die im Ausland eingebracht wurden, eingelangt. Die DSB hat sich dazu in 175 Fällen als betroffene Aufsichtsbehörde und in 19 Fällen als federführende Aufsichtsbehörde nach der DSGVO deklariert. Im Rahmen der grenzüberschreitenden Zusammenarbeit machte die DSB 199 Mal von der gegenseitigen Amtshilfe Gebrauch und wurde selbst in 612 Fällen von anderen Aufsichtsbehörden kontaktiert.

Die DSB erhielt im Jahr 2024 1.066 Anzeigen und Anregungen zur Einleitung amtswegiger Prüfverfahren, so der Bericht. Im Berichtszeitraum wurden 796 amtswegige Prüfverfahren durch Bescheid, Einstellung oder Sensibilisierungsschreiben erledigt. Weitere 188 Verfahren wurden auf andere Verfahrensarten (z.B. Beschwerdeverfahren) umprotokolliert. Im Berichtsjahr wurden der DSB außerdem 1.216 nationale Sicherheitsverletzungen ("Data Breaches") nach der DSGVO gemeldet. Von Betreiber:innen öffentlicher Kommunikationsdienste wurden 55 Sicherheitsverletzungen nach dem Telekommunikationsgesetz gemeldet. Auch im Jahr 2024 stand eine Vielzahl der gemeldeten Vorfälle in Verbindung mit unterschiedlichsten Arten von Ransomware.

Geldbußen von fast 1,7 Mio. €

Im Berichtszeitraum hat die DSB im Rahmen von Verwaltungsstrafverfahren insgesamt 73 Bescheide erlassen, davon 62 in Form von Geldbußen mit einer Gesamtsumme von 1.684.230 €. Es sei dem Bericht zufolge aufgefallen, dass bei Beschwerdeverfahren in Verwaltungsstrafsachen durch das Bundesverwaltungsgericht in vielen Fällen eine teils deutliche Reduktion der von der DSB verhängten Verwaltungsstrafe vorgenommen wurde. In einem Fall sei die von der DSB verhängte Verwaltungsstrafe in Höhe von 4 Mio. € auf 50.000 € reduziert worden. Zu befürchten sei, dass die generalpräventive Wirkung von Geldstrafen in den Hintergrund tritt, wenn es zu einer deutlichen Reduktion der Geldstrafe kommt. Die DSB bringe daher ausgewählte Fälle vor den Verwaltungsgerichtshof, um Rechtssicherheit zu erlangen.

Informationsfreiheit und KI

Neben ausgewählten Beschwerde- und höchstgerichtlichen Entscheidungen sowie grenzüberschreitenden Fällen der DSB werden im Bericht auch alle weiteren Tätigkeiten der Behörde dargestellt. So hat die DSB eine Schwerpunktprüfung im Telekom-Sektor durchgeführt und die internationale Zusammenarbeit mit den Aufsichtsbehörden der unmittelbaren Nachbarstaaten intensiviert. Insgesamt seien zehn Unternehmen datenschutzrechtlich überprüft und eine positive Bilanz gezogen worden.

Darüber hinaus seien die Vorbereitungen auf das Informationsfreiheitsgesetz und die Verordnung über künstliche Intelligenz (KI-VO) wichtige Schritte der DSB gewesen. Die DSB sei im Zusammenhang mit der Informationsfreiheit insbesondere nicht dazu berufen, Streitigkeiten zwischen Antragsteller:innen und informationspflichtigen Stellen zu schlichten, so der Bericht. Ihre Rolle als Aufsichtsbehörde nach der DSGVO bleibe davon aber unberührt. Was die KI-VO betrifft, habe die DSB die datenschutzrechtlichen Implikationen geprüft und entsprechende Informationen auf der Website veröffentlicht sowie ein Rundschreiben an Verantwortliche des öffentlichen und privaten Bereichs verschickt, um auf dieses Thema aufmerksam zu machen. (Schluss) mbu