Das österreichische Bundesverwaltungsgericht (BVwG) hat sich in einer Entscheidung vom 01. Juni 2026 (Geschäftszahl W274 2265153-1) u.a. mit der Frage befasst, ob Angaben zur Verantwortlichkeit nach der DSGVO in einer Datenschutzerklärung relevant dafür sind, wer tatsächlich „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO für eine Datenverarbeitung ist. In der Praxis erlebt man (leider) immer wieder, das vorschnell einfach eine Muttergesellschaft oder ein anderes passendes Unternehmen oder Behörde als „Verantwortlicher“ in Datenschutzerklärungen entsprechend Art. 13 Abs. 1 a) DSGVO eingetragen wird. Oft passiert dies auch insbesondere im Online-Kontext für Apps und Webseiten.
Sachverhalt
Im konkreten Fall beschweret sich eine betroffene Person darüber, in ihrem Recht auf Information verletzt zu sein. Der Betroffene habe im Rahmen der Covid-19-Pandemie zwischen diverse Antigen-Tests gemacht und sei bei der Vor-Ort-Registrierung nicht im Sinne des Art. 13 DSGVO über die Datenverarbeitung aufgeklärt worden.
Entscheidung
Das Gericht musste die Frage beantworten, welche Stelle wirklich „Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO für die Datenverarbeitung war.
Denn: nur der Verantwortliche ist zur Erfüllung der Informationspflicht nach Art. 13 DGSVO verpflichtet.
„Da die Informationspflicht allein den nach Art 4 Z 7 DSGVO Verantwortlichen trifft, ist zu prüfen, wer entsprechend dieser Bestimmung über Mittel und Zwecke der gegenständlichen Datenverarbeitungen im Rahmen der Testungen in den beiden Teststraßen entschied.“
Das BVwG hatte u.a. zu prüfen, ob für die Einordnung als Verantwortlicher eine Angabe als eben solcher in einer Datenschutzerklärung ausreichend ist. Wenn man so will, also die rein formelle Angabe eines Unternehmens oder einer öffentlichen Stelle in der Datenschutzerklärung.
Die Antwort auf diese Frage ist, insbesondere auch mit Blick auf die Rechtsprechung des EuGH und die Ansichten des EDSA, ziemlich eindeutig.
So hat der EuGH (Rs C‑683/21) etwa entschieden, dass ein Verantwortlicher die personenbezogenen Daten nicht selbst verarbeiten muss, sondern über das „Warum und Wie“ der betreffenden Verarbeitungsvorgänge entscheiden muss. Dieses Kriterium ist nur erfüllt, wenn eine Person oder Einrichtung tatsächlich „auf die Verarbeitung personenbezogener Daten Einfluss nimmt. (EuGH, Rz. 27)
Bereits hieraus wird klar, dass allein die (formelle) Angabe zur Verantwortlichkeit in einer Datenschutzerklärung nicht ausreichend sein kann.
Erforderlich ist nach Ansicht des EuGH rein faktisch, ob eine Stelle über Zwecke und Mittel der Verarbeitung (mit)entscheidet.
Da es allein rein auf diese faktische Einflussnahme ankommt, ob eine Einrichtung in der Lage ist, über die Zwecke und Mittel der Verarbeitung zu entscheiden, ist diese Einrichtung auch
„unabhängig davon als „Verantwortlicher“ anzusehen, ob sie (durch Gesetz, durch Vertrag oder in sonstiger Weise) formal hierzu bestimmt worden ist“ (EuGH, Rz. 28)
Dieser Linie folgt auch das BVwG in seiner Entscheidung und beurteilt sehr klar die Situation, dass eine Stelle schlicht in einer Datenschutzerklärung als „Verantwortlicher“ angegeben ist.
„Dabei kann nicht maßgeblich sein, wer allenfalls in einer dem Betroffenen übermittelten oder zugänglichen „Datenschutzerklärung“ als Verantwortlicher bezeichnet wurde“.
Es ist also für die Rolle als „Verantwortlicher“ nach der DSGVO nicht relevant, ob diese Stelle in den Informationen genannt ist. Oder anders: nur weil ein Unternehmen oder eine öffentliche Stelle in Datenschutzhinweisen als Verantwortlicher angegeben ist, bedeutet dies nicht, dass sie dies auch rechtlich ist.
Hierzu auch sehr klar das BVwG:
„… zumal sich die Kriterien für die Rolle des Verantwortlichen aus der DSGVO ergeben und eine Bezeichnung in einer Datenschutzerklärung insofern nicht konstitutiv ist“.