You will be redirected to the website of our parent company, Schönherr Rechtsanwälte GmbH: www.schoenherr.eu
First published on Der Standard, 22.05.2019
Erlaubt die DSGVO, Datenschutzbehörde und Gericht parallel anzurufen? Das würde dem Verfassungsprinzip der Gewaltentrennung widersprechen.
Der Datenschutz wird gelebt. Auf die intensiven Vorbereitungen für die Datenschutzgrundverordnung folgt seit Mai 2018 Praxistest auf Praxistest. Betroffene machten zuhauf von den ihnen unter der DSGVO eingeräumten Rechten Gebrauch, etwa durch Auskunfts- oder Berichtigungsbegehren, aber auch durch die Geltendmachung von Schadenersatzansprüchen.
So unterschiedlich das Portfolio der ausgeübten Rechte, so unterschiedlich der beschrittene Rechtsweg. Verfahren finden sich vor Datenschutzbehörde (DSB) und Gericht gleichermaßen. So wird durch Beschwerde an die DSB moniert, dass Daten unrechtmäßig verarbeitet würden, zu berichtigen oder zu löschen seien.
Ebenso wird aber auch durch Klage bei Gericht die Löschung oder Berichtigung von Daten begehrt. Hier stellt sich die Frage: Ein und derselbe Anspruch vor Gericht und Behörde – geht das?
Die Wurzel dieser Vielfalt liegt in den Artikeln 77 und 79 DSGVO. Sie sehen sowohl die Beschwerdemöglichkeit vor einer Aufsichtsbehörde wie auch den gerichtlichen Rechtsbehelf vor. In Teilen der Literatur wird daher ein "dual track" postuliert, wonach die DSGVO vorsieht, dass Gericht und Behörde gleichermaßen angerufen werden dürfen.
Diese fragwürdige Lesart stünde aber in Widerspruch zum österreichischen Verfassungsprinzip der Gewaltentrennung. Demgemäß darf ein und dieselbe Rechtssache nicht zugleich der Gerichtsbarkeit und der Verwaltung zugewiesen sein. Dies stellt eines der Grundprinzipien der Verfassung dar, und das steht über dem sekundären Unionsrecht – und damit auch über den Art. 77 und 79 DSGVO.
Allerdings ist der angesprochene Dual Track vornehmlich der deutschen Datenschutzliteratur zu entnehmen, der österreichische Verfassungsprinzipien naturgemäß fremd sind. Gemäß dem Prinzip der Gewaltentrennung hat der österreichische Gesetzgeber im Anpassungsgesetz zur DSGVO, dem DSG 2018, nur Schadenersatzansprüche den Gerichten zugewiesen. Denn Schadenersatz kann vor der DSB nicht geltend gemacht werden, insofern kann er nicht die gleiche Verfahrenssache vor Gericht und Behörde bilden.
Dennoch werden klagsweise Ansprüche auch abseits des Schadenersatzes erhoben, wie etwa Ansprüche auf Datenberichtigung oder -löschung. Begründet wird dies mit dem aus der DSGVO abgeleiteten "Dual Track"-Gedanken, nicht zuletzt aber auch mit einer aktuellen Entscheidung des Obersten Gerichtshofs. Dieser bejahte unter Art. 17 DSGVO den Anspruch auf Löschung personenbezogener Daten, dies unter Hinweis auf den in Art. 79 DSGVO genannten gerichtlichen Rechtsbehelf (OGH 20. 12. 2018, 6Ob 131/18k).
Wurde damit die Zulässigkeit des Rechtswegs vor Gerichten auch abseits des Schadenersatzes bejaht? Hier lohnt ein zweiter Blick. So hatte der OGH in einem Sorgerechtsfall entschieden, in dessen Zuge eine der Streitparteien E-Mails über die Gegenseite vorgelegt hatte. Diese hatte unter anderem die Löschung der E-Mails begehrt. Anders ausgedrückt: Es standen keine strukturellen Datenschutzverfehlungen zur Beurteilung. Vielmehr wurde das einzelfallbezogene Verhalten einer Prozesspartei beurteilt.
Warum ist diese Unterscheidung maßgeblich? Die Antwort hierauf bietet das Erkenntnis des Verfassungsgerichtshofs (VfGH 12. 3. 2019, G190/2018). Darin setzte sich der VfGH mit der Frage auseinander, ob es dem gewaltentrennenden Prinzip widerspricht, wenn AGB eines Energieversorgers von der Regulierungsbehörde genehmigt werden, diese gleichwohl aber vor Gericht abgemahnt werden können. Der VfGH sah hier einen Einklang mit dem gewaltentrennenden Prinzip, indem er die Gleichheit der Rechtssache verneinte. Während die Regulierungsbehörde abstrakt und losgelöst von der konkreten Anwendung der AGB entscheide, würde auf dem Gerichtsweg über individuelle Verbraucheransprüche abgesprochen. Zudem wäre vor Inverkehrbringen der AGB nur die Regulierungsbehörde zuständig, nach deren Inverkehrbringen sei hingegen nur das Gericht zuständig.
Die letztgenannte, "zeitachsenbezogene" Unterscheidung kann hinsichtlich der DSGVO nicht gezogen werden, denn es gibt keine Vorabgenehmigung von Datenverarbeitungen. Es verbleibt die vom VfGH vorgenommene Unterscheidung in individuelle und abstrakte Rechtskontrolle. Sie bietet einen schlüssigen Ansatz, um Art. 77, 79 DSGVO und das gewaltentrennende Prinzip unter einen Hut zu bringen.
Denn die gerichtliche Individualkontrolle, vornehmlich verkörpert durch Schadenersatzansprüche, und die behördliche Generalkontrolle bilden wohl im Sinne des angesprochenen VfGH-Erkenntnisses nicht dieselbe Rechtssache. Es wird also auf die Umstände ankommen, aus denen sich ein Anspruch ableitet.
Ein individuelles Fehlverhalten in der Datenverarbeitung kann Schadenersatzpflichten auslösen, aber auch die Pflicht zur Löschung von Daten. Beides ist Gerichtssache, so wie es der OGH judiziert hat. Die Datenlöschung aber aufgrund abstrakt rechtswidriger Datenverarbeitungen auszusprechen, etwa wenn ein Unternehmen seinen Datenverarbeitungen eine untaugliche Rechtsgrundlage zugrunde legt, ist Sache der Aufsichtsbehörde.
Eine solch differenzierte Sichtweise schafft Einklang zwischen der DSGVO und dem Verfassungsprinzip der Gewaltentrennung. Die undifferenzierte Annahme eines Dual Track hingegen würde einen unauflösbaren Widerspruch mit dem gewaltentrennenden Prinzip, und damit mit einem der Grundprinzipien der österreichischen Verfassung, begründen.
Autor: Günther Leissler
Günther
Leissler
Partner
austria vienna