+43 732 27 29 90

Von Cookie-Banner bis AI-Act: Unser Update zur Rechtsentwicklung in Sachen Datenschutz

Allgemein, Veröffentlicht am 26.03.2025

Das Jahr 2025 bringt viel Neues in der Rechtsentwicklung (Rechtsprechung, Legislatur) rund um das Thema Datenschutz und Informationssicherheit mit sich. Wir haben für Sie die wichtigsten Updates zusammengefasst.

Neben zahlreichen Gesetzesvorhaben, die infolge der langen Regierungsbildung etwas auf die lange Bank geschoben wurden (NIS2, Informationsfreiheitsgesetz) hat es auch einige spannende höchstgerichtliche Entscheidungen gegeben, die für Unternehmen und Institutionen gleichermaßen von Bedeutung sind. Sollten Sie Unterstützung bei der Umsetzung Ihrer datenschutzrechtlichen Herausforderungen benötigen, stehen wir Ihnen gerne zur Verfügung!

1. Unzulässigkeit von Google reCAPTCHA ohne Einwilligung (Entscheidung des BVwG vom 13.09.2024, W298 2274626-1)

Am 13.09.2024 erging erneut eine Entscheidung des Bundesverwaltungsgerichtes  (BVwG) bzgl. der datenschutzkonformen Verwendung von Drittanbieterdiensten (im konkreten Fall von Google reCAPTCHA), wonach der Einsatz von Google reCAPTCHA auf Webseiten ohne ausdrückliche Einwilligung der Nutzer unzulässig ist.

Google reCAPTCHA dient dem Webseitenbetreiber zum Schutz der Website vor betrügerischen Aktivitäten, Spam und Missbrauch. Die elementare Funktion von Google reCAPTCHA  besteht darin, Seitenbetreibern durch die Einbindung eines Verifizierungsschritts eine möglichst präzise Unterscheidung dahingehend zu ermöglichen, ob eine Eingabe durch eine natürliche Person oder missbräuchlich durch maschinelle und automatisierte Verarbeitung erfolgt.

Im konkreten Fall besuchte ein Nutzer die Webseite einer politischen Partei, um eine Mitgliedschaft zu beantragen. Dabei stellte er fest, dass trotz Deaktivierung von Google reCAPTCHA in den Datenschutzeinstellungen weiterhin Daten an Google übermittelt wurden. Konkret wurden ohne seine Zustimmung Informationen wie die IP-Adresse und Browserdaten an Google weitergeleitet, wodurch Google Kenntnis über den geplanten Parteibeitritt erhielt.

Das BVwG bestätigte die vorherige Einschätzung der Datenschutzbehörde und stellte fest, dass:

  • die behauptete technische Notwendigkeit fehlt, da Google reCAPTCHA für den Betrieb der Webseite nicht zwingend erforderlich ist;
  • kein berechtigtes Interesse besteht;
  • die ausdrückliche Einwilligung der Nutzer erforderlich ist, da weder eine technische Notwendigkeit noch ein berechtigtes Interesse vorliegt.

Überprüfen Sie Ihre eingesetzten Drittanbieter-Tools und analysieren Sie, welche externen Dienste auf Ihrer Webseite verwendet werden und ob diese personenbezogene Daten verarbeiten. Stellen Sie sicher, dass für Tools wie bspw. Google reCAPTCHA vor deren Aktivierung eine klare und informierte Zustimmung der Nutzer eingeholt wird. Informieren Sie Nutzer in der Datenschutzerklärung detailliert über den Einsatz solcher Tools und die damit verbundene Datenverarbeitung. Erwägen Sie den Einsatz alternativer Methoden zur Spam- und Bot-Abwehr, die keine personenbezogenen Daten an Dritte übermitteln.

 

2. Zur Gestaltung eines Cookie-Banners auf der Website (u.a. Ra 2024/04/0424, VwGH vom 16.01.2025)

Die Datenschutzbehörde hat am 28.10.2024 eine vielbeachtete (und noch nicht rechtskräftige) Entscheidung zur Gestaltung von Cookie – Bannern auf Webseiten erlassen.  Zusammengefasst hält die Datenschutzbehörde dort fest, dass eine unterschiedliche Gestaltung von Buttons zur Zustimmung und Ablehnung unzulässig sind, wenn dadurch der User „subtil“ zur Zustimmung gedrängt werden soll.

Konkret für die Behörde aus (Hervorhebungen durch uns):

„Für die Beurteilung, wie der Cookie Banner und die Interaktionsmöglichkeiten zu verstehen sind, ist die Figur eines durchschnittlich informierten, aufmerksamen und verständigen Verbrauchers heranzuziehen.

Der Maßstab für eine gültige Einwilligung setzt darüber hinaus voraus, dass keine unfairen Praktiken verwendet werden. Die betroffene Person darf daher weder unmittelbar noch subtil zur Abgabe einer Einwilligung gedrängt werden. Es ist somit unzulässig, die „Ablehnen“ – Option derart zu gestalten (zB. farbliche Unterschiede, unterschiedliche Kontrastverhältnisse bzw. Positionierung), dass diese im Vergleich zur „Akzeptieren“ – Option weniger prominent ist (vgl. die „FAQ zum Thema Cookies und Datenschutz“, abrufbar unter www.dsb.gv.at, insbesondere Frage 7 und Frage 8; vgl. grundlegend auch den EDPB Report of the work undertaken by the Cookie Banner Taskforce, S. 6, abrufbar unter https://edpb.europa.eu/our-work-tools/our-documents/report/report-work-undertaken-cookie-banner-taskforce_en)“ 

Die Frage der farblichen Gestaltung von Buttons sowie die technische Anordnung von Buttons war jüngst auch Gegenstand einer höchstgerichtliche Entscheidung des VwGH zu GZ Ra 2024/04/0424:

„Daher müsse auch die Nichtabgabe einer Einwilligung als Pendant zum Widerruf so einfach sein, wie die Abgabe der Einwilligung. Im vorliegenden Fall sei für die Erteilung der Einwilligung nur ein Klick erforderlich, wohingegen die Nichtabgabe einer Einwilligung zumindest zwei Klicks erfordere, womit eine solche Gleichwertigkeit nicht gegeben sei, zumal eine sachliche Rechtfertigung für die unterschiedliche Behandlung der Wahlmöglichkeiten weder vorgebracht noch ersichtlich sei. Auch die unterschiedliche optische Gestaltung (grüner Button „Akzeptieren“ und bloßer Link „Zwecke anzeigen“) führe dazu, dass die Wahlmöglichkeiten nicht als gleichwertig wahrnehmbar angesehen werden könnten. Daran ändere der Umstand nichts, dass (nunmehr) im Fließtext des Cookie‑Banners auf der ersten Ebene des Cookie‑Banners erklärt werde, wie alle Cookies abgelehnt werden könnten.“

Da davon auszugehen ist, dass angesichts der nunmehr ergangenen höchstgerichtlichen Entscheidung auch die Entscheidung der DSB vom 28.10.2024 zukünftig relevant werden wird, sollten zur Vermeidung von Rechtsunsicherheiten jedenfalls Cookie-Banner so gestaltet werden, dass die Optionen „Annehmen“ und „Ablehnen“ bzw. „Nur notwendige annehmen“ gleich gestaltet sind.

3. Zur Angabe der Speicherdauer bei einem Auskunftsbegehren gem. Art. 15 DSGVO (W108 2289035-1/7E, BVwG vom 07.01.2025)

Eine oft thematisierte Frage im datenschutzrechtlichen Alltag betrifft die konkrete Gestaltung der Beantwortung von datenschutzrechtlichen Auskunftsbegehren gem. Art 15 DSGVO. Speziell die Frage, wie detailliert die Speicherdauer zu beauskunften ist, insbesondere wenn das voraussichtliche Ende noch gar nicht absehbar ist; in diesem Fall stützte man sich bislang oft auf die gesetzlichen Aufbewahrungspflichten, die je nach personenbezogenem Datum oft auch eine unterschiedliche Dauer aufweisen.

Das Bundesverwaltungsgericht hat nun in einer Entscheidung vom 07.01.2025 dahingehend „Pflöcke eingeschlagen“ (Hervorhebungen durch uns):

„Es ist der belangten Behörde grundsätzlich zuzustimmen, wenn sie im angefochtenen Bescheid diesbezüglich ausführt, dass ein genereller Verweis auf gesetzliche Aufbewahrungspflichten oder der Geltendmachung/Abwehr von rechtlichen Ansprüchen ohne Anführung von konkreten Rechtsgrundlagen nicht ausreichend ist, einer betroffenen Person die Informationen gemäß Art. 15 Abs. 1 lit. d leg. cit. bereitzustellen. Es sollte der betroffenen Person nämlich möglich sein, die Speicherdauer anhand dieser Informationen – 21 – selbst zu bestimmen. Ein lapidarer Hinweis auf „gesetzliche Aufbewahrungsfristen“ im Allgemeinen verschafft Betroffenen jedoch keinen Mehrwert (Illibauer in Knyrim, DatKomm Art. 13 DSGVO Rz 46 [Stand 1.7.2024, rdb.at] mit Verweis auf Wagner/Pallanitz, Dako 2017/62, 101; Differenziertere Ansicht s EDSA, Guidelines 01/2022 on data subject rights – Right of Access Version 2.0 Adopted on 28 March 2023 Rz 118.). In ihrer Bescheidbeschwerde hat die Erstbeschwerdeführerin jedoch nunmehr mit § 132 BAO und § 1486 ABGB konkrete Rechtsgrundlagen angeführt, aus denen sich (über die bestehende Geschäftsbeziehung hinaus) die Dauer der Speicherung der personenbezogenen Daten des Zweitbeschwerdeführers bzw. die Kriterien für die Festlegung dieser Dauer ergibt/ergeben, sodass eine solche Auskunft als ausreichend iSd Art. 15 Abs. 1 lit. d DSGVO zu qualifizieren ist (vgl. abermals Illibauer in Knyrim, DatKomm Art. 13 DSGVO Rz 46 [Stand 1.7.2024, rdb.at] mit Verweis auf Wagner/Pallanitz, Dako 2017/62, 101).“

Man sollte zukünftig also jedenfalls darauf achten, nicht nur allgemein auf gesetzliche Bestimmungen zu verweisen, sondern diese auch konkret nennen.

4. Zur Wirksamkeit von Vertraulichkeitsvereinbarungen (OGH 4 Ob 195/24s vom 19.11.2024)

Im konkreten Anlassfall ging ein Unternehmen gegen einen Mitbewerber vor, zu dem eine ehemalige Mitarbeiterin des Unternehmens gewechselt hatte. Diese ehemalige Mitarbeiterin hatte nach dem Unternehmenswechsel technisch noch eine Zugriffsmöglichkeit auf die Daten ihres alten Arbeitgebers und diese auch – entgegen einer bestehenden Vertraulichkeitsvereinbarung – auch genutzt, um Daten zu beschaffen und diese für den neuen Arbeitgeber zu verwenden.

Die ehemalige Arbeitgeber beantragte nach Kenntniserlangung umfassende Maßnahmen im Rahmen einer einstweiligen Verfügung zur Beweissicherung nach § 26i UWG und § 87c UrhG gegen den neuen Arbeitgeber.

Etwas überraschend kommt der OGH jedoch zum Schluss, dass mangels technischer Sicherheitsmaßnahmen der alte Arbeitgeber gegen die ihn treffenden Obliegenheiten verstoßen hat, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen, weshalb der alte Arbeitgeber sich nicht auf den gesetzlichen Geheimnisschutz berufen kann und der Antrag abgewiesen wurde.

„Die Materialien zu § 26b Abs 1 Z 3 UWG führen als Beispiel für angemessene Geheimhaltungsmaßnahmen „IT-Sicherheitsmaßnahmen“ an und erinnern auch daran, dass ein Geschäftsgeheimnis regulär nur durch das Einloggen in eine durch Passwort geschützte Datenbank eingesehen werden kann (375. BlgNR 26. GP 3; vgl auch 4 Ob 165/16t). Daraus lässt sich als notwendige Anforderung zwanglos ableiten, dass bei einem ausscheidenden Mitarbeiter dessen Zugang zum IT-System unverzüglich gesperrt werden muss (idS auch Thiele in Wiebe/Kodek, UWG2 § 26b Rz 21: „Technische Schutzmaßnahmen [Passwortschutz, Verschlüsselung, Zugangsbeschränkungen]“; Burghardt-Richter/Bode, Geschäftsgeheimnisschutzgesetz: Überblick und Leitfaden für Unternehmen zur Wahrung ihrer Geschäftsgeheimnisse, BBB 2019, 2701 [„sowie um die Herausgabe aller Daten, Dokumente und Geräte zu kontrollieren“]), was im Anlassfall allerdings unterblieben ist.

Der wirksamste Schutz ist auch unter dem Gesichtspunkt des § 26b Abs 1 Z 3 UWG ein Zugangs- und Zugriffsschutz (Hofmarcher, Geschäftsgeheimnis Rz 2.368). Das ist im Unternehmen zwar nur bedingt möglich und sinnvoll, weil Arbeitnehmer mit den vorhandenen Informationen arbeiten müssen (Hofmarcher, Geschäftsgeheimnis Rz 2.368). Im Anlassfall stützt die Antragstellerin den Eingriff in ihre Geschäftsgeheimnisse nicht auf eine Verletzung während des aufrechten Dienstverhältnisses, sondern auf den Umstand, dass eine von ihr bereits gekündigte Mitarbeiterin noch Monate nach ihrem Ausscheiden auf vertrauliche Daten ungehindert zugreifen konnte. Dabei blendet die Antragstellerin aus, dass in einer solchen Konstellation es vom Dienstgeber durchaus zu erwarten war, naheliegende Geheimhaltungsmaßnahmen (nämlich den sofortigen Entzug des Passworts) gegenüber der scheidenden Mitarbeiterin zu treffen (vgl Hofmarcher, Geschäftsgeheimnis Rz 2.368 [„am Ende des Arbeitsverhältnisses sollten technische Geräte und Unterlagen abgegeben werden“]). Hier hat die Antragstellerin kein Maßnahmenkonzept betreffend ausscheidende Mitarbeiter behauptet. Die Antragstellerin hat damit selbst verabsäumt, sicherzustellen, dass die (nunmehr) unberechtigte Mitarbeiterin nach dem Ende des Dienstverhältnisses (also per 31. 7. 2021) kein Zugang zu Geschäftsgeheimnissen hat (Hofmarcher, Geschäftsgeheimnis Rz 2.368).“

Abgesehen davon, dass die ausscheidende Mitarbeiterin anlässlich des Endes ihres Dienstvertrags nicht an die weitere Einhaltung der Verschwiegenheitspflicht erinnert wurde (vgl 4 Ob 78/17z), war es ihr technisch vielmehr unbeschränkt möglich, sich noch Monate nach Beendigung ihres Arbeitsvertrags unbeschränkt in die Datenbank der Antragstellerin einzuloggen. Durch den Umstand, dass die ehemalige Mitarbeiterin noch unbeschränkt Zugang zu allen vertraulichen Daten hatte, hat die Antragstellerin gegen die sie treffende Obliegenheit verstoßen, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (§ 21b Abs 1 Z 3 UWG). Die Antragstellerin kann sich daher im konkreten Fall gegenüber der Antragsgegnerin im Beweissicherungsverfahren nicht auf den gesetzlichen Geheimhaltungsschutz berufen (Hofmarcher, Geschäftsgeheimnis Rz 2.379).

Das Ergebnis dieses Urteils und die erforderlichen Schlussfolgerungen für Arbeitgeber sind recht eindeutig: Das oftmals verpönte „Abdrehen“ von Zugangsberechtigungen und Zugriffsmöglichkeiten unmittelbar bei Ausspruch der Beendigung ist nicht nur hilfreich, sondern sogar nach der Judikatur des OGH erforderlich, um in den Genuss des Geheimnisschutzes zu kommen. Auch im rein datenschutzrechtlichen Kontext würde sich ein Arbeitgeber wohl – etwa bei einem Data Breach – nicht darauf stützen können, dass der Zugriff organisatorisch durch eine Geheimhaltungsvereinbarung verboten wurde, er wird auch (zumindest) eine technische Sicherheitsmaßnahme nachweisen müssen, um seiner Sorgfalt gerecht zu werden und den Zugriff durch (dann) Unbefugte zu verhindern.

5. Ausblick auf 2025

Auch das Jahr 2025 hat datenschutzrechtlich viel zu bieten und lässt mit folgenden Normen aufhorchen, die bei Unternehmen und Institutionen für Handlungsbedarf sorgt:

AI Act

Künstliche Intelligenz und deren Nutzen im Alltag ist in aller Munde – nicht aber die damit verbundenen Verpflichtungen für Unternehmen. Die Verordnung der Europäischen Union zur künstlichen Intelligenz wurde am 12.07.2024 im Amtsblatt der EU veröffentlicht und trat am 01.08.2024 in Kraft.

In Österreich gelten die Regelungen des AI Acts entsprechend den EU-Vorgaben gestaffelt und sind teils schon anzuwenden:

  • Seit 02.02.2025 müssen Mitarbeiter über die im Unternehmen eingesetzten KI-Systeme nachweislich geschult werden.
  • Ab 02.08.2026 gelten zahlreiche weitere Verpflichtungen des AI Act (z.B. Transparenz- und Informationspflichten).

Gerne können Sie im Zuge unserer laufenden Betreuung Schulungsmaßnahmen zum Thema in Anspruch nehmen!

Informationsfreiheitsgesetz

​Das österreichische Informationsfreiheitsgesetz (IFG) wurde am 31.01.2024 vom Nationalrat beschlossen und am 26.02.2024 im Bundesgesetzblatt veröffentlicht. Es tritt überwiegend am 01.09.2025 in Kraft. ​

Mit dem IFG wird die Amtsverschwiegenheit abgeschafft und ein verfassungsgesetzlich gewährleistetes Recht auf Zugang zu staatlichen Informationen eingeführt. Öffentliche Stellen sind künftig verpflichtet, Informationen von allgemeinem Interesse proaktiv zu veröffentlichen. Ausnahmen gelten für Gemeinden mit weniger als 5.000 Einwohnern, die von der proaktiven Veröffentlichungspflicht ausgenommen sind. ​

Bürgerinnen und Bürger haben ab dem 01.09.2025 das Recht, auf Antrag Zugang zu Informationen zu erhalten. Die Auskunftserteilung muss innerhalb von vier Wochen erfolgen, wobei eine Verlängerung um weitere vier Wochen möglich ist. Ausnahmen von der Informationspflicht bestehen unter anderem bei Gefährdung der öffentlichen Sicherheit oder wenn Interessen Dritter schwerer wiegen als das öffentliche Informationsinteresse. ​

Unternehmen und Organisationen, die der Kontrolle des Rechnungshofs unterliegen, sind ebenfalls zur Transparenz verpflichtet. Sie müssen Informationen von allgemeinem Interesse veröffentlichen, wobei spezifische Regelungen und Ausnahmen gelten.

Gebietskörperschaften und öffentliche Institutionen bzw. Unternehmen, die der Kontrolle des Rechnungshofs unterliegen sollten prüfen, ob Sie unter den Anwendungsbereich des Gesetzes fallen und frühzeitig entsprechende Maßnahmen ergreifen. (Den Entwurf des Leitfadens der Datenschutzbehörde zum IFG kann man unter https://dsb.gv.at/sites/site0344/media/downloads/entwurf_leitfaden.pdf)

Barrierefreiheitsgesetz

Am 28.06.2025 tritt in Österreich das Barrierefreiheitsgesetz (BaFG) in Kraft. Dieses Gesetz verpflichtet Unternehmen, bestimmte Produkte und Dienstleistungen barrierefrei anzubieten, um Menschen mit Behinderungen eine uneingeschränkte Teilhabe zu ermöglichen.

Das BaFG betrifft Unternehmen, die insbesondere Produkte wie Computer, Smartphones, Geldautomaten oder Fahrkartenautomaten herstellen oder vertreiben. Ebenso betroffen sind Dienstleister in Bereichen wie E-Commerce (Online-Webshops), Online-Banking und Telekommunikation. Kleinstunternehmen mit weniger als zehn Mitarbeitern und einem Jahresumsatz von höchstens zwei Millionen Euro sind von diesen Verpflichtungen ausgenommen.

Unternehmen müssen sicherstellen, dass ihre betroffenen Produkte und Dienstleistungen den festgelegten Barrierefreiheitsanforderungen entsprechen. Bei Verstößen gegen das BaFG können gestaffelte Geldstrafen von bis zu 80.000 Euro verhängt werden, abhängig von der Art der Verletzung.

Überprüfen Sie rechtzeitig, ob Ihr Unternehmen unter die Bestimmungen des BaFG fällt, und leiten Sie gegebenenfalls Maßnahmen zur Anpassung Ihrer Produkte und Dienstleistungen ein, um den gesetzlichen Anforderungen bis zum Stichtag zu entsprechen.

Wir hoffen, wie auch sonst mit den vorstehenden Informationen einige interessante und auch relevante Updates zum Thema Datenschutz und Informationssicherheit zur Verfügung stellen zu können. Gerne stehen wir für Rückfragen und eine Unterstützung in diesen Angelegenheiten zur Verfügung.

Wir halten Sie am Laufenden!

Abonnieren Sie unseren Newsletter – mit uns verpassen Sie keine Updates und Infos zum Themenkomplex Datenschutz.

Adresse
Datenschutz konform GmbH
Spittelwiese 6, 4020 Linz

Kontakt
office@dsgvo-konform.at
tel. +43 732 272990

Impressum
Datenschutz konform GmbH
4020 Linz, Spittelwiese 6
E-Mail: office@dsgvo-konform.at
Homepage: http://www.dsgvo-konform.at
Firmensitz: Linz
Firmenbuchnummer: FN 476939g
Firmenbuchgericht: Landesgericht Linz

Datenschutz
Unsere Datenschutzerklärung.