Den österrikiska federala domstolen Bundesverwaltungsgericht (BVwG) anser att avtalsförhållanden inte är avgörande för att fastställa personuppgiftsansvaret enligt artikel 4.7 dataskyddsförordningen (GDPR).
Av domen framgår att ett antal registrerade deltagit i en festival, under vilken de påståtts ha blivit inspelade av ett övervakningssystem utan rättslig grund. De registrerade bestred att deras rätt till information begränsats av de personuppgiftsansvariga och deras personuppgiftsbiträden, eftersom de begärde att få en kopia av sina personuppgifter och att begränsa vidare behandling i enlighet med artikel 18.1 GDPR, vilket möttes av svaret att inspelningarna raderats och att uppgifterna inte var av personlig karaktär eftersom de endast visade personer upp till midjan. De registrerade lämnade in ett klagomål till den österrikiska dataskyddsmyndigheten Datenschutzbehörde (DSB) som undersökte fallet.
De svarande och påstådda personuppgiftsansvariga i målet var verksamma inom evenemangshantering, reklam och konsulttjänster. En del av deras verksamhet bestod i att räkna antalet besökare och filtrera denna information i kategorier av ålder och kön. De registrerade besökarantalet på festivalen bland annat med hjälp av övervakningskameror.
De svarande parterna förnekade att de var personuppgiftsansvariga enligt artikel 4.7 GDPR. De hävdade att de organiserade festivalen och behandlade den registrerades uppgifter på uppdrag av ett avtal med den lokala kommunen, som borde anses vara den personuppgiftsansvarige. Kommunen hade dock sagt upp avtalet med de svarande. De svarande höll på att bestrida uppsägningens giltighet i separata civilrättsliga förfaranden inför en regional domstol.
Följaktligen beslutade DSB att skjuta upp sitt beslut om ett klagomål enligt § 38 Allgemeines Verwaltungsverfahrensgesetz 1991 (AVG) tills den regionala domstolen i en civilrättslig process fattat beslut om huruvida de svarande i klagomålsförfarandet agerat på uppdrag av ett giltigt avtal med kommunen. DSB ansåg att svaret på frågan om det fanns ett giltigt avtal var en väsentlig preliminär fråga för att fastställa vilka de personuppgiftsansvariga var i enlighet med artikel 4.7 GDPR.
De registrerade som berördes lämnade in ett klagomål mot detta beslut av DSB till den federala förvaltningsdomstolen BvWG. De registrerade hävdade att frågan om vem som gett order om behandlingen av personuppgifter med hjälp av kamerabevakning endast var en delfråga i förfarandet vid den regionala domstolen. Enligt den österrikiska förvaltningsrätten kunde dessa slutsatser därför inte vara bindande för klagomålsförfarandet vid DSB.
BvWG biföll de registrerades klagomål mot DSB. Enligt domstolen blev det under de olika förfarandena uppenbart att de tre påstådda personuppgiftsansvariga hade den praktiska kontrollen över behandlingen av personuppgifter. Dessutom klargjordes det inte i DSB:s beslut att avbryta klagomålsförfarandet i vilken utsträckning de tre personuppgiftsansvarigas ansvar skulle minskas genom att fastställa om det fanns ett giltigt avtal. Även genom att identifiera den part som beställde besöksräkningen, dvs. eventuellt kommunens biträdande borgmästare, skulle deras kunskap eller civila mandat inte påverka statusen som personuppgiftsansvariga för de ovannämnda svarandena på grund av deras kontroll över behandlingen av personuppgifter i praktiken. Därför borde klagomålsförfarandet inte ha avbrutits enligt BvWG.