< Vorheriger Artikel

OGH bestätigt gerichtlichen Rechtsschutz nach der DSGVO und präzisiert die Auslegung der „household exemption“ im Datenschutzrecht


06.04.2019

Der OGH hat in einer kürzlich (am 20. Dezember 2018) ergangenen Entscheidung bestätigt, dass es für von einer Datenschutzverletzung Betroffene möglich ist, direkt die ordentlichen Gerichte anzurufen, ohne, dass zuvor eine Beschwerde an die Datenschutzbehörde gerichtet werden muss.

Der Sachverhalt

Ausgangspunkt für das Verfahren war ein Obsorgestreit zwischen geschiedenen Ehegatten, in dem eine Partei der (vom Pflegschaftsgericht beauftragten) Sachverständigen diverse schriftliche Aufzeichnungen, Chat-Protokolle und E-Mail-Verkehr der anderen Partei übergab. Darunter befanden sich auch besondere Kategorien von Daten iSd Art 9 DSGVO (Angaben über die Gesundheit, Sexualleben, etc.).

Die andere Partei als Betroffene begehrte mit Klage an das Landesgericht Salzburg ua die Unterlassung der Vervielfältigung und der Weitergabe sowie der Verbreitung von ihren im E-Mail-Verkehr und den Chat-Protokollen enthaltenen personenbezogenen Daten, sowie die Löschung dieser Daten und die Vernichtung bereits angefertigter Ausdrucke. Die Vorinstanzen gaben dem Klagebehren betreffend die Löschung der Daten und die Unterlassung der Weitergabe und Vervielfältigung statt (die Klägerin scheiterte aber mit einem Schadenersatzbegehren bereits in der ersten Instanz).

Bis zu der Entscheidung des OGH war in der rechtswissenschaftlichen Lehre umstritten, ob der gerichtliche Rechtsweg auch ohne vorausgehende Beschwerde an die Datenschutzbehörde ohne weitere Voraussetzungen beschritten werden konnte.[1]

Die Rechtsansicht des OGH betreffend Art 79 DSGVO

Der OGH stellte, unter Berufung auf verschiedene Lehrmeinungen,[2] fest, dass Löschungsansprüche auch in einm gerichtlichen Verfahren geltend gemacht werden können. Das stellt klar, dass, obwohl der österreichische Gesetzgeber hierfür keine detaillierten Bestimmungen erlassen hat, schon aufgrund Art 79 DSGVO (wonach „jede betroffene Person […] unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf [hat], wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden“) die ordentlichen Gerichte bei Datenschutzverletzungen ganz allgemein angerufen werden können, und nicht nur für Klagen auf (materiellen oder immateriellen) Schadenersatz zuständig sind, für die nach § 29 DSG die Landesgerichte ja ausdrücklich zuständig sind.

Obwohl es dem österreichischen Gesetzgeber wohl ein Anliegen war,[3] die Anrufung der Gerichte auf Basis allein der Artikel 77 und 79 zu unterbinden,[4] wird durch die Entscheidung des OGH eine parallele Zuständigkeit der Datenschutzbehörde und der ordentliche Gerichte bei Datenschutzverletzungen und für die Geltendmachung von Betroffenenrechten bestätigt. Es ist damit, mit der wohl herrschenden Lehrmeinung im deutschen Sprachraum,[5] von einer Zweigleisigkeit des Rechtsschutzes auszugehen. Beide Verfahrenswege haben für Betroffene Vor- und Nachteile, insbesondere in Bezug auf die Kostentragung,[6] die im Einzelfall sorgfältig gegeneinander abzuwägen sind. Weil Zivilklagen vor den ordentlichen Gerichten wegen Datenschutzverletzungen (abgesehen von § 29 DSG) durch den österreichischen Gesetzgeber nicht näher geregelt wurden, stellen sich noch einige verfahrensrechtliche Fragen,[7] die hoffentlich zeitnah einer Klärung durch den Gesetzgeber zugeführt werden.

Verwirrende Rechtslage

Wie Jahnel richtig anmerkt, zeigt die Entscheidung, dass mit dem DSG teilweise eine derart zersplitterte Rechtslage geschaffen wurde, dass auch einem Höchstgericht redaktionelle Fehler unterlaufen: so wurde in der Entscheidung § 45 DSG als Rechtsgrundlage für die Löschpflicht zitiert, obwohl diese Bestimmung im 3. Hauptstück des DSG enthalten ist, das freilich (nur) die „Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei einschließlich des polizeilichen Staatsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzugs“, sodass § 45 DSG im gegenständlichen Fall nicht anwendbar sein konnte.[8]

Auslegung der „household exemption“

Auch für die Auslegung der „household exemption“ des Art 2 Abs 2 lit c DSGVO, wonach die DSGVO nicht auf die Verarbeitung personenbezogener Daten „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ anwendbar ist, ist die vorliegende Entscheidung relevant.

Der OGH beschäftigt sich umfassend mit der Frage, wie diese Ausnahmebestimmung abzugrenzen ist, und kommt zu dem Schluss, dass eine persönliche oder familiäre Tätigkeit „öffentlichkeitsfeindlich“ ist, „weshalb etwa das Online-Stellen von eigentlich privaten Familien-Stammbäumen oder von personenbezogenen Informationen über andere Personen, seien sie verwandt oder befreundet, von der Ausnahme nicht erfasst [ist].“ Unter Heranziehung der Rsp des EuGH[9] und diverser Lehrmeinungen[10] kommt der OGH zu dem Schluss, dass der Beklagte „dadurch, dass er die Daten […] sowohl der Sachverständigen als auch dem Pflegschaftsgericht zur Verfügung stellte, den persönlich familiären Bereich überschritten [hat], sodass er sich nicht mehr auf den Ausnahmetatbestand des Art 2 Absatz 2 lit c DSGVO berufen kann“.

Damit leistet der OGH einen wichtigen Beitrag zur fortlaufenden Präzisierung der „household exemption“ im Datenschutzrecht und legt diese zutreffenderweise eng aus, sodass diese nicht auch die Übermittlung von Daten im Rahmen von Gerichtsverfahren erfasst.

 

 

[1] Jahnel, Gerichtlicher Rechtsschutz nach der DS-GVO bestätigt. Anmerkungen zu OGH 20.12.2018, 6 Ob 131/18k, Rz 7, jusIT 2019/42; vgl auch Pitsch in Gantschacher/Jelinek/Schmidl/Spanberger (Hrsg), Datenschutz-Grundverordnung Art 79, 686 f sowie Tretzmüller, Private Enforcement. Immaterieller Schadenersatz bei Datenschutzverletzungen, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht (2017) 199 (217).

[2] Leupold/Schrems in Knyrim (Hrsg), DatKomm Art 79 Rz 9 (Stand 01.10.2018); Martini in Paal/Pauly (Hrsg), DS-GVO. BDSG² Art 79 Rz 12 ff (2018).

[3] Vgl dazu AB 1761 BlgNR XXV. GP, 30.

[4] Jahnel, Gerichtlicher Rechtsschutz nach der DS-GVO bestätigt. Anmerkungen zu OGH 20.12.2018, 6 Ob 131/18k, Rz 7, jusIT 2019/42.

[5] Vgl Fn 1 sowie Bergt in Kühling/Buchner (Hrsg), DS-GVO. BDSG² Art 79 Rz 13 (2018); Nemitz in Ehmann/Selmayr (Hrsg), Datenschutz-Grundverordnung² Art 79 Rz 8 (2018); Jahnel, Die DSGVO und das DSG 2018 – Überblick und Problempunkte, in Krempelmeier/Staudinger/Weiser (Hrsg), Datenschutzrecht nach der DSGVO – zentrale Fragestellungen (2018) 29 (43 f).

[6] Dazu näher Jahnel, Gerichtlicher Rechtsschutz nach der DS-GVO bestätigt. Anmerkungen zu OGH 20.12.2018, 6 Ob 131/18k, Rz 7, jusIT 2019/42.

[7] Schwamberger, Die Bindungswirkung zwischen Zivil- und Verwaltungsverfahren nach der DSGVO, VbR 2018/117, 219.

[8] Jahnel, Gerichtlicher Rechtsschutz nach der DS-GVO bestätigt. Anmerkungen zu OGH 20.12.2018, 6 Ob 131/18k, Rz 7, jusIT 2019/42.

[9] EuGH 11.12.2014, C-212/13 (Ryneš); EuGH 06.11.2003, C-101/01 (Lindqvist); vgl auch EuGH 10.07.2018, C‑25/17 (Jehovan todistajat – uskonnollinen yhdyskunta).

[10] Ua Ernst in Paal/Pauly (Hrsg), DS-GVO. BDSG² Art 2 Rz 21 (2018) mwN.