Die öster­rei­chi­sche Daten­schutz­be­hör­de hat gegen ein Unter­neh­men mit Sitz in der Schweiz eine Anord­nung wegen Ver­let­zung der DSGVO erlas­sen (Ent­schei­dung vom 22. August 2019, PDF). Das betrof­fe­ne Unter­neh­men betrieb offen­bar eine Web­site mit der Län­der­domain .at, erbrach­te Dienst­lei­stun­gen in Öster­reich und betrieb dort auch Hotels. Der Beschwer­de­füh­rer, der an die Behör­de gelangt war, war in Öster­reich wohn­haft (und daselbst pro­mo­vier­ter Rechts­an­walt). Aus­gangs­punkt der Sache war anschei­nend eine Wer­be-E-Mail, nach­dem es nach Kon­tak­ten nicht zu einer Buchung gekom­men war.

Die Daten­schutz­be­hör­de sah – nahe­lie­gen­der­wei­se – Art. 3 Abs. 2 lit. a DSGVO als erfüllt an (Ange­bots­aus­rich­tung). Sodann habe der schwei­ze­ri­sche Ver­ant­wort­li­che Per­so­nen­da­ten über ein Kon­takt­for­mu­lar „erho­ben“, wes­halb Art. 13 DSGVO anwend­bar war. Die Infor­ma­ti­ons­pflicht war ver­letzt, weil die erfor­der­li­chen Anga­ben war auf einer Web­site ver­füg­bar waren, die Ver­ant­wort­li­che den Betrof­fe­nen aber nicht dar­auf hin­ge­wie­sen hat­te. Auch wur­den bis zum Abschluss des Ver­fah­rens nicht alle erfor­der­li­chen Infor­ma­tio­nen nach­ge­reicht. Ins­be­son­de­re war die Anga­be eines „Daten­schutz­ver­ant­wort­li­chen“ unge­nü­gend, weil die DSGVO die­sen Begriff nicht kennt (inter­ne Anlauf­stel­le/D­PO/EU-Ver­tre­ter?). Auch in ande­rer Hin­sicht sei­en die Anga­ben nicht aus­rei­chend kon­kret bzw. feh­lend.

Die Behör­de ord­ne­te daher an, die feh­len­den Infor­ma­tio­nen bin­nen vier Wochen nach­zu­rei­chen.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.