Die österreichische Datenschutzbehörde hat gegen ein Unternehmen mit Sitz in der Schweiz eine Anordnung wegen Verletzung der DSGVO erlassen (Entscheidung vom 22. August 2019, PDF). Das betroffene Unternehmen betrieb offenbar eine Website mit der Länderdomain .at, erbrachte Dienstleistungen in Österreich und betrieb dort auch Hotels. Der Beschwerdeführer, der an die Behörde gelangt war, war in Österreich wohnhaft (und daselbst promovierter Rechtsanwalt). Ausgangspunkt der Sache war anscheinend eine Werbe-E-Mail, nachdem es nach Kontakten nicht zu einer Buchung gekommen war.
Die Datenschutzbehörde sah – naheliegenderweise – Art. 3 Abs. 2 lit. a DSGVO als erfüllt an (Angebotsausrichtung). Sodann habe der schweizerische Verantwortliche Personendaten über ein Kontaktformular „erhoben“, weshalb Art. 13 DSGVO anwendbar war. Die Informationspflicht war verletzt, weil die erforderlichen Angaben war auf einer Website verfügbar waren, die Verantwortliche den Betroffenen aber nicht darauf hingewiesen hatte. Auch wurden bis zum Abschluss des Verfahrens nicht alle erforderlichen Informationen nachgereicht. Insbesondere war die Angabe eines „Datenschutzverantwortlichen“ ungenügend, weil die DSGVO diesen Begriff nicht kennt (interne Anlaufstelle/DPO/EU-Vertreter?). Auch in anderer Hinsicht seien die Angaben nicht ausreichend konkret bzw. fehlend.
Die Behörde ordnete daher an, die fehlenden Informationen binnen vier Wochen nachzureichen.