Art 13 EU-DSGVO und Art 14 EU-DSGVO sind ausschließlich auf natürliche Personen anzuwenden.
Österreich. Bundesverwaltungsgericht. Ausgangspunkt war eine komplexe datenschutzrechtliche Beschwerde mehrerer natürlicher und juristischer Personen gegen einen Universitätsprofessor, dessen universitären Dienstgeber und einen Fonds, der die Drittmittel für das Forschungsprojekt stellte. Im Zuge dieses Forschungsprojekt wurden deren personenbezogene Daten auf einer Website zum Abruf veröffentlicht. Von der Veröffentlichung umfasst waren Vereinsname, Adresse, E-Mail, Website und ZVR-Zahl und deren sachliche Einordnung. Die Adressen waren zum Teil die Privatadressen von organschaftlichen Vertretern.
Die betroffenen Personen bemängelten, dass ihre Privatadressen und andere sensible Informationen ohne ausreichende Vorwarnung und ohne Einwilligung auf dieser Website veröffentlicht wurden. Durch die Veröffentlichung seien sie erheblicher Gefahr für ihre Sicherheit und Privatsphäre ausgesetzt. Die Veröffentlichung sei rechtswidrig erfolgt. Ferner wäre gegen die Informationspflicht nach Art 14 EU-DSGVO verstoßen worden.
Während die Aufsichtsbehörde die Ansicht vertrat, dass einige der veröffentlichten Daten rechtmäßig verarbeitet wurden, jedoch eine Verletzung der Informationspflicht gemäß Art 14 EU-DSGVO feststellte, änderte das Bundesverwaltungsgericht in der Entscheidung über die dagegen erhobene Parteienbeschwerde den Bescheid in einigen Aspekten ab.
Einige interessante Aussagen:
- § 1 AT-DSG erfasst auch juristische Personen als Grundrechtsträger.
- Art 9 EU-DSGVO ist nicht auf juristische Personen anzuwenden.
- Art 13 EU-DSGVO und Art 14 EU-DSGVO sind ausschließlich auf natürliche Personen anzuwenden.
- Durch die Verknüpfung von personenbezogenen Daten zusammen mit der Anreicherung durch weitere, selbst recherchierte bzw erstellte Informationen werden im Ergebnis neue (auch personenbezogene) Daten und Informationen generiert.
- Können aufgrund des Vereinsnamens Rückschlüsse auf einen Aspekt iSd Art 9 Abs 1 EU-DSGVO gezogen werden, liegt (hier konkret) betreffend die organschaftlichen Vertreter eine besondere Kategorie von personenbezogenen Daten vor.
- Keine „allgemein verfügbaren Daten“, wenn diese nicht 1:1 aus öffentlichen Quellen zusammengeführt wurden, sondern mit anderen Daten kombiniert wurden.
- Die Datenverarbeitung in der Funktion und Anstellung als Universitätsprofessor ist dem universitären Dienstgeber datenschutzrechtlich zuzurechnen.
- Die bloße Drittmittelfinanzierung eines universitären Forschungsprojekts schafft keine Verantwortlichkeit iSd Art 4 Z 7 EU-DSGVO für gegenständliche Datenverarbeitungen.