Dieser Artikel wurde Ihnen von einem unserer Abonnenten zur Verfügung gestellt. Mit einem Abonnement der RdW erhalten Sie die Zeitschrift in Print und vollen digitalen Zugriff im Web, am Smartphone und Tablet. Mehr erfahren…
Testen Sie
ALLE 13 Zeitschriftenportale
30 Tage lang kostenlos.
Der Zugriff endet nach 30 Tagen automatisch.
Art 79 Abs 1 DSGVO verlangt keine Zweigleisigkeit des Verfahrens zur Rechtsdurchsetzung in Datenschutzsachen. Schon die Anrufbarkeit der Datenschutzaufsichtsbehörde mit nachprüfender Kontrolle durch ein Gericht gem Art 77 und 78 DSGVO kann einen "wirksamen gerichtlichen Rechtsbehelf" iSd Art 47 GRC darstellen.
Die schon seit Längerem geführte Diskussion um die Frage, welche Rechtsdurchsetzungswege der nationale Gesetzgeber in Datenschutzsachen vorsehen muss, hat in Österreich im Gefolge der Entscheidungen des OGH 6 Ob 131/18k vom 20. 12. 2018, 6 Ob 91/19d und 6 ObA 1/18t, beide vom 23. 5. 2019, einen neuen Höhepunkt erfahren:
In einem Aufsatz vom Juni dieses Jahres1 hält Jahnel fest, dass "... der OGH für eine wichtige Weichenstellung für den Rechtsschutz bei Verletzung von Datenschutzrechten gesorgt [hat], indem er aufgrund des unmittelbar anwendbaren Art 79 DS-GVO die Zuständigkeit der Zivilgerichte für die Durchsetzung der Betroffenenrechte nach der DS-GVO bejaht hat". Thiele trifft in einem kurz vorher veröffentlichten Beitrag2 folgende Feststellungen: "Ein vom österreichischen Gesetzgeber gewähltes Rechtsschutzsystem der (mit Ausnahme des Schadenersatzrechtes) bestehenden Alleinzuständigkeit der Datenschutzbehörde ist unionsrechtswidrig und verstößt gegen Art 79 DSGVO. Dies hat auch das zivile Höchstgericht3 mittlerweile erkannt und ausdrücklich zum Löschungsanspruch nach Art 17 Abs 1 lit a DSGVO ausgesprochen, dass dieser nach wie vor im gerichtlichen Verfahren geltend gemacht werden kann."
Der OGH hat sich erstmals in 6 Ob 131/18k vom 20. 12. 2018 mit der gerichtlichen Zuständigkeit für einen auf die DSGVO gestützten Löschungsanspruch auseinandergesetzt und - unter Berufung auf einige Literaturstellen - ausgesprochen, dass dieser "unabhängig von den Übergangsbestimmungen des § 69 Abs. 4 DSG … auch im gerichtlichen Verfahren geltend gemacht werden (kann)"; nach Art 79 Abs 1 DSGVO habe jede betroffene Person ein Recht auf einen wirksamen gerichtlichen Rechtsbehelf; "dem steht § 29 Abs. 1 DSG, der sich auf Schadenersatzansprüche bezieht, nicht entgegen".4
Eine ausführlichere Begründung der Rechtsauffassung des OGH enthält die Entscheidung 6 Ob 91/19d, in der sich der OGH auch auf die österreichische Haltung im Entstehungsprozess der DSGVO bezieht und die unmittelbare Geltung der DSGVO betont:
"4.5. Im Gesetzgebungsprozess auf europäischer Ebene hat Österreich als einziger Staat gegen die Verabschiedung der DSGVO gestimmt, weil durch die Parallelität der Rechtsschutzmöglichkeiten die Gefahr von sich widersprechenden gerichtlichen Entscheidungen in derselben Sache entstehe und eine Verletzung des Grundsatzes ‚res iudicata‘ im Raum stehe (Nemitz in Ehmann/Selmayr, DS-GVO2 Art 79 Rz 8 FN 4). Gerade diese Episode der Gesetzwerdung spricht aber dafür, dass die DSGVO vom EU-Gesetzgeber gewollt eine Zweigleisigkeit des Rechtsschutzes normiert. In welchem Verhältnis Art 77, 78 und Art 79 zueinander stehen, regelt die DSGVO nicht (Nemitz in Ehmann/Selmayr, DS-GVO2 Art 79 Rz 8).
4.6. Daran ändern die Erläuterungen im Bericht des Verfassungsausschusses (ErläutAB 1761 BlgNR 25. GP 30: ‚Neue Klagen können bei den ordentlichen Gerichten [§ 5 Abs. 4 DSG 2000] ab dem 25. Mai 2018 generell nicht mehr eingebracht werden; stattdessen ist der Antrag an die Datenschutzbehörde zu richten.‘) nichts, da einerseits dem Gesetzeswortlaut selbst der offenbar vom Gesetzgeber intendierte Ausschluss des Zivilrechtswegs nicht zu entnehmen ist (Jahnel in Krempelmeier/Staudinger/Wieser, Datenschutzrecht nach der DSGVO 43 f), andererseits die DSGVO unmittelbare Geltung hat und unmittelbar anwendbar ist, weshalb der DSGVO widersprechende nationale Regelungen infolge des Vorrangs des EU-Rechts unangewendet bleiben müssen (Selmayr/Ehmann in Ehmann/Selmayr, DS-GVO2 Einführung Rz 3 mwN)."
Auch wenn Nemitz in Ehmann-Selmayr 5 ausführt, dass "die DSGVO nicht (regle), in welchem Verhältnis Art 77, 78 und Art 79 zueinander stehen", enthebt dies den Rechtsanwender nicht der Notwendigkeit, sich eine Meinung darüber zu bilden, wie dieses Verhältnis zu verstehen ist.
Das Organisationsrecht und Verfahrensrecht der Behörden (einschließlich der Gerichte) der Mitgliedstaaten ist vom Unionsrecht nicht harmonisiert. Es besteht diesbezüglich Autonomie der Rechtssetzung für die Mitgliedstaaten innerhalb der vom Unionsrecht in einzelnen Rechtsbereichen allenfalls vorgegebenen speziellen Parameter.6
Für die Durchsetzbarkeit der Rechte und Pflichten, die sich aus der DSGVO ergeben, ist daher vor allem von den Mitgliedstaaten Sorge zu tragen, und zwar durch entsprechende organisations- und verfahrensrechtliche Vorschriften im Rahmen der von der DSGVO gemachten Vorgaben. Im vorliegenden Zusammenhang sind folgende Vorgaben der DSGVO relevant:
| 1. | Es sind Datenschutzaufsichtsbehörden als unabhängige Verwaltungsbehörden von den Mitgliedstaaten einzurichten (Art 51 ff DSGVO). | ||||
| 2. | Sie sind unmittelbar aufgrund der DSGVO mit bestimmten Aufgaben und Befugnissen ausgestattet (Art 55 ff DSGVO); das nationale Recht muss die Wahrnehmung dieser Aufgaben möglich machen. | ||||
| 3. | Kapitel VIII der DSGVO ("Rechtsbehelfe, Haftung und Sanktionen") verpflichtet in den Art 77 und 78 die Mitgliedstaaten, die verfahrens- und organisationsrechtlichen Voraussetzungen dafür zu treffen, dass
| ||||
| 4. | Kapitel VIII DSGVO verpflichtet die Mitgliedstaaten weiters, vorzusehen, dass Personen, die sich in ihrem Recht auf Datenschutz verletzt fühlen, "unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen" Rechtsbehelfs (einschließlich des Rechtsbehelfs nach Art 77), ein "wirksamer gerichtlicher Rechtsbehelf" gegen eine behauptete Verletzung zur Verfügung steht (Art 79 Abs 1). |
Festzuhalten ist somit zunächst, dass die Mitgliedstaaten einerseits eine Datenschutzaufsichtsbehörde mit den Kompetenzen nach Art 55 ff DSGVO eingerichtet haben müssen, und zwar unabhängig vom Bestehen irgendwelcher anderer Rechtsschutzmöglichkeiten; andererseits muss jeder Person, die sich in ihrem Recht auf Datenschutz verletzt erachtet, ein "wirksamer gerichtlicher Rechtsbehelf" zur Verfügung stehen, und zwar unabhängig vom Bestehen allfälliger außergerichtlicher Rechtsbehelfe, wie zB der Anrufbarkeit der Datenschutzaufsichtsbehörde.
Das Recht auf einen gerichtlichen Rechtsbehelf ist als grundrechtlicher Anspruch durch Art 47 GRC garantiert.7 Art 79 Abs 1 soll seine Einhaltung auch im Datenschutzrecht sicherstellen, indem er klarstellt, dass die Einrichtung anderer außergerichtlicher Rechtsschutzmöglichkeiten, wie etwa eines Ombudsmanns oder insb auch einer eigenen unabhängigen Aufsichtsbehörde8 mit Zuständigkeit für die Behandlung von Beschwerden über Datenschutzverletzungen, den nach Art 47 GRC notwendigen gerichtlichen Rechtsbehelf für solche Rechtsverletzungen nicht ersetzen kann. Dass Art 77 allein nicht als gerichtlicher Rechtbehelf fungieren kann, steht somit außer Streit.
Der gerichtliche Rechtsbehelf, der gem Art 47 GRC und Art 79 Abs 1 DSGVO zur Verfügung stehen muss, ist überdies dadurch qualifiziert, dass er "wirksam"9 sein muss.
In Art 78 DSGVO ist - für die Mitgliedstaaten zwingend - vorgeschrieben, dass ein Gericht "gegen die Aufsichtsbehörde" angerufen werden können muss, und zwar gegen ihre Entscheidungen ebenso wie gegen ihre Untätigkeit.
Im Text des Art 79 Abs 1 wird auf Art 78 nicht Bezug genommen. Daraus wird gelegentlich gefolgert, dass die zwingende Anrufbarkeit eines Gerichtes nach Art 78 nicht geeignet sei, einen "wirksamen gerichtlichen Rechtsbehelf" iSd Art 79 Abs 1 darzustellen; ein solcher sei nur im Falle der direkten, unmittelbaren Anrufbarkeit eines Gerichts gegeben. Dazu ist festzuhalten, dass Art 79 Abs 1 jedoch keine Art des gerichtlichen Rechtsbehelfs ausschließt, sondern nur außergerichtliche Rechtsbehelfe als ungeeignet zur Verkörperung eines "wirksamen gerichtlichen Rechtsbehelfs" bezeichnet.
Somit erhebt sich die Frage, ob Art 77 im Verein mit Art 78 geeignet ist, einen wirksamen gerichtlichen Rechtsbehelf iSd Art 79 Abs 1 darzustellen, oder mit anderen Worten: ob die zwingende Ausschöpfung eines Verwaltungsverfahrens, wie es die Anrufung der Datenschutzaufsichtsbehörde darstellt, vor der Anrufbarkeit eines Gerichtes, die Qualifikation dieses Verfahrens in seiner Gesamtheit als "wirksamen gerichtlichen Rechtsbehelf" verunmöglicht.
Die österreichische Ablehnung der Verabschiedung der DSGVO war geprägt von der Befürchtung, dass Art 79 Abs 1 diese Bedeutung zugeschrieben werden könnte, dass nämlich neben dem Rechtsweg nach Art 77 und 78 ein weiterer paralleler Rechtsweg durch unmittelbare Anrufbarkeit von Gerichten
vorgesehen werden müsse. Dies hätte aus österreichischer Sicht "die Gefahr von sich widersprechenden gerichtlichen Entscheidungen in derselben Sache" 10 bedeutet, ein Ergebnis, das nach der Tradition der österreichischen Rechtsordnung, die am Prinzip eindeutiger Zuständigkeitsabgrenzungen orientiert ist,11 als nicht wünschenswert angesehen wurde.
Naheliegend scheint in diesem Zusammenhang auch die Erhebung der Frage, ob nicht schon das Grundrecht auf den gesetzlichen Richter12 eine solche Doppelzuständigkeit in Österreich verbiete. In seinem Kern soll dieses Grundrecht den Bürger vor staatlicher Willkür schützen, die sich aus der mangelnden eindeutigen Vorherbestimmung der zur Entscheidung einer bestimmten Sache zuständigen Behörde ergeben kann. Dieses Schutzziel scheint allerdings bei einer Mehrfachzuständigkeit von der Art, dass der Betroffene selbst die freie Wahl hat, welche von zwei zuständigen Behörden er anruft, nicht vordringlich, weshalb ein Verbot eines parallelen Rechtsschutzverfahrens vor einer Datenschutzaufsichtsstelle und vor einem direkt anrufbaren Gericht in Österreich aus dem Grundrecht auf den gesetzlichen Richter eher nicht abgeleitet werden kann.
Während nun im Zeitpunkt der Verabschiedung der DSGVO die Bedeutung des in Art 79 Abs 1 verwendeten Begriffs des "wirksamen gerichtlichen Rechtsschutzes" im Hinblick auf die Zulässigkeit eines zweistufigen Rechtsschutzverfahrens tatsächlich nicht zweifelsfrei beurteilt werden konnte,13 liegt seit dem Urteil des EuGH im Fall Puskar14 jedoch eine Klarstellung vor:
Dem Gerichtshof wurde iZm Art 22 der Datenschutz-Richtlinie 95/46 die Frage vorgelegt, ob die Wirksamkeit eines gerichtlichen Rechtsbehelfs dann als beeinträchtigt/vereitelt zu gelten hat, wenn die Anrufbarkeit des Gerichtes von der vorherigen Befassung einer Verwaltungsbehörde abhängig ist. Der Gerichtshof hat dahin gehend geantwortet, dass das Gebot des "wirksamen gerichtlichen Rechtsbehelfs" durch die zwingende Vorschaltung eines Verwaltungsverfahrens (zB Anrufung der Datenschutzbehörde) nicht per se verletzt werde: "Nach alledem ist auf die erste Frage15 zu antworten, dass Art. 47 der Charta dahin auszulegen ist, dass er einer nationalen Regelung nicht entgegensteht, die die Ausübung eines gerichtlichen Rechtsbehelfs durch eine Person, die eine Beeinträchtigung ihres mit der Richtlinie 95/46 gewährleisteten Rechts auf den Schutz personenbezogener Daten rügt, davon abhängig macht, dass zuvor die verfügbaren Verwaltungsrechtsbehelfe ausgeschöpft worden sind. Dies gilt unter der Voraussetzung, dass die konkreten Modalitäten für die Ausübung dieser Rechtsbehelfe das in dieser Vorschrift niedergelegte Recht auf einen wirksamen Rechtsbehelf bei einem Gericht nicht unverhältnismäßig beeinträchtigen. Die vorherige Ausschöpfung der verfügbaren Verwaltungsrechtsbehelfe darf insbesondere keine wesentliche Verzögerung für die Erhebung einer Klage bewirken, muss die Verjährung der betroffenen Ansprüche hemmen und darf keine übermäßigen Kosten mit sich bringen."16
Gelegentlich wird die Anwendbarkeit der Entscheidung des EuGH im Fall Puskar auf die Problematik des Art 79 Abs 1 DSGVO verneint.17 Dem ist aber entgegenzuhalten, dass der EuGH im Fall Puskar das Problem der Vorschaltung eines Verwaltungsverfahrens vor der Anrufbarkeit eines Gerichtes auf einer grundrechtlichen Ebene - und nicht nur auf der Ebene des Art 22 DS-RL - abgehandelt hat: Der Gerichtshof hat diese Problemstellung ausdrücklich als eine solche des Art 47 GRC anerkannt und sich damit auseinandergesetzt, wann ein "wirksamer gerichtlicher Rechtsbehelf" iSd Art 47 GRC vorliegt. Art 47 GRC ist aber für das gesamte Unionsrecht gleichermaßen verbindlich, weshalb die Beantwortung dieser Frage nicht nur für Art 22 der DS-RL, sondern auch für die Art 77-79 DSGVO maßgeblich ist. Wenn nach Meinung des Gerichtshofs die bloß konsekutiv zulässige Anrufung eines Gerichts der Wirksamkeit eines gerichtlichen Rechtsbehelfs nicht prinzipiell entgegensteht, hat diese Aussage allgemeine Gültigkeit und ist auch für die DSGVO relevant.
Darüber hinaus ist die Aussage des EuGH darüber, was iSd Art 47 GCR einen "wirksamen gerichtlichen Rechtsbehelf" darstellt, nicht nur gegenüber einem nationalen Gesetzgeber - wie im Fall Puskar - relevant, sondern ist auch auf den Unionsgesetzgeber selbst anzuwenden: Auch unmittelbar anwendbares Unionsrecht, das - so wie Art 78 im Verein mit Art 77 DSGVO - die konsekutive Anrufbarkeit eines Gerichts vorsieht, schließt nicht per se aus, dass damit ein wirksamer gerichtlicher Rechtsbehelf iSd Art 47 GRC geschaffen wird. Wenn die auf der Grundlage der Art 77 und 78 erfolgende Ausgestaltung dieses Rechtswegs in einem Mitgliedstaaten die vom EuGH bezeichneten näheren Bedingungen18 erfüllt, ist in dem von Art 77 gemeinsam mit Art 78 vorgezeichneten Rechtsweg ein "wirksamer gerichtlicher Rechtsbehelf" zu sehen.
Daraus folgt, dass der Weg der Durchsetzung des Rechtes auf Datenschutz in der durch Art 77 und 78 DSGVO vorgegebenen Weise bereits den von Art 79 verlangten "wirksamen gerichtlichen Rechtsbehelf" darstellt, sofern nur
| 1. | die Datenschutzaufsichtsbehörden nach den Art 55 ff der DSGVO im konkreten Fall zuständig sind und daher angerufen werden können, woraus sich die Anrufbarkeit des Gerichts nach Art 78 ergibt, und |
| 2. | die Ausgestaltung des Rechtswegs nach Art 77 und 78 durch den nationalen Gesetzgeber im Detail die vom EuGH genannten Anforderungen an die Wirksamkeit eines gerichtlichen Rechtsbehelfs tatsächlich erfüllt: "Die vorherige Ausschöpfung der verfügbaren Verwaltungsrechtsbehelfe darf insbesondere keine wesentliche Verzögerung für die Erhebung einer Klage bewirken, muss die Verjährung der betroffenen Ansprüche hemmen und darf keine übermäßigen Kosten mit sich bringen."19 |
Art 79 Abs 1 ist bei diesem Textverständnis im Verhältnis zu Art 78 keineswegs redundant, weil er
| - | zum einen die Mitgliedstaaten bei der detaillierten Ausgestaltung des von Art 77 und 78 vorgezeichneten Verfahrens an das Gebot bindet, den Bedingungen des Art 47 GRC für einen wirksamen gerichtlichen Rechtsbehelf zu genügen, und |
| - | zum anderen die Mitgliedstaaten zur Einrichtung eines "wirksamen gerichtlichen Rechtsbehelfs" auch für alle jene Fälle verpflichtet, die keiner Anrufung der Datenschutzaufsichtsbehörde zugänglich sind und daher von Art 78 nicht erfasst sind. |
Dass das Verhältnis der Art 77 und 78 zu Art 79 Abs 1 DSGVO so verstanden werden muss, scheint seit den Äußerungen des EuGH im Fall Puskar mE unabweislich.
Wozu Art 79 Abs 1 daher den nationalen Gesetzgeber nicht verpflichtet, ist die Einrichtung eines zusätzlichen, direkten Zugangs zu einem Gericht neben der Anrufbarkeit der Datenschutzaufsichtsbehörde (Art 77) mit nachprüfender Kontrolle durch ein Gericht (Art 78): Sofern nur die Ausgestaltung des Rechtswegs nach Art 77 und 78 in einer konkreten nationalen Rechtsordnung den vom EuGH formulierten Erfordernissen der Wirksamkeit genügt, ist damit Art 79 Abs 1 für den Bereich, in dem die Aufsichtsbehörde angerufen werden kann, erfüllt. Art 79 Abs 1 erklärt nur außergerichtliche Rechtsbehelfe für unbeachtlich - Art 78 ist aber ein gerichtlicher Rechtsbehelf und daher in seinem Anwendungsbereich prinzipiell geeignet, auch einen wirksamen gerichtlichen Rechtsbehelf iSd Art 47 GRC darzustellen. Art 47 GRC verlangt keine doppelte, parallele Gewährung von wirksamen gerichtlichen Rechtsbehelfen.
Zu diskutieren wäre noch die Frage, ob Art 79 und das Gebot zur Einrichtung eines "wirksamen gerichtlichen Rechtsbehelfs" die gleichzeitige Einrichtung eines direkten Zugangs zu Gericht neben dem von Art 77 und 78 vorgezeichneten Rechtsweg zumindest erlaubt, wenn es die gleichzeitige Einrichtung schon nicht gebietet.
Die Zulässigkeit einer solchen Verfahrensorganisation scheint angesichts der grundsätzlichen Autonomie der Mitgliedstaaten im Bereich des Behördenorganisations- und Verfahrensrechts gegeben, da Art 79 Abs 1 eine Mehrzahl von Rechtsschutzmöglichkeiten nicht ausschließt. Ihre zulässige Ausgestaltung hängt aber davon ab, wie sich die Parallelität der zur Verfügung gestellten Rechtsschutzverfahren auf das Gebot des Art 47 GRC über die Wirksamkeit eingerichteter Rechtswege insgesamt auswirkt: Eine nationale Rechtsordnung muss hier in ihrer Gesamtheit geprüft werden, ob sich für die betroffene Person aus parallelen Rechtsschutzmöglichkeiten tatsächlich ein wirksamer gerichtlicher Rechtsschutz ergibt oder ob durch Doppelzuständigkeiten die Erlangung einer endgültigen, streitbeendenden gerichtlichen Entscheidung erschwert werden könnte. Die österreichische Haltung bei der Verabschiedung der DSGVO zeigt, dass ganz erhebliche Bedenken gegen ein paralleles Rechtsschutzsystem bestanden, sodass zu dem extremen Mittel der Verweigerung der Zustimmung zur Verabschiedung der DSGVO gegriffen wurde.
Zu bedenken wäre bei einer allfälligen Ausgestaltung eines parallelen Rechtswegs überdies auch, welche Auswirkungen dies auf die Anwendbarkeit der DSGVO selbst hätte und ob sich nicht auch daraus erschließen lässt, dass die DSGVO die Einrichtung paralleler Rechtswege nicht beabsichtigte. Relevant ist diese Fragestellung insb hinsichtlich der grenzüberschreitenden Verfahren, die auf das Tätigwerden von Datenschutzaufsichtsbehörden ausgerichtet sind. Gerade die Pflicht der Aufsichtsbehörden zur Zusammenarbeit (Art 60 ff DSGVO) und zur Mitwirkung im Kohärenzverfahren (Art 63 ff DSGVO) haben nach der Intention des Unionsgesetzgebers die wichtige Aufgabe, zu einer Vereinheitlichung der Rechtsanwendung in Datenschutzsachen beizutragen. Eine weitreichende Zuständigkeit der Gerichte ohne Vorschaltung der Datenschutzaufsichtsbehörden würde dieses wichtige Ziel der DSGVO unterlaufen. Da Art 79 Abs 1 iVm Art 47 GRC, wie oben dargelegt, nicht dazu zwingt, eine Verfahrensorganisation mit Doppelzuständigkeiten im Rechtsschutzverfahren vorzusehen, wäre der Effekt einer breitflächigen Ausschal-
tung der Datenschutzaufsichtsbehörden in grenzüberschreitenden Verfahren durch nationales Verfahrensrecht schon aus unionsrechtlichen Gründen, nämlich Vereitelung eines wichtigen Ziels der DSGVO, bedenklich.
3.1 Zunächst wäre festzustellen, ob die konkrete Ausgestaltung des Verfahrens, das in Österreich in Anwendung der Art 77 und 78 festgelegt wurde, den Erfordernissen der "Wirksamkeit" eines gerichtlichen Rechtsbehelfs iSd Art 47 GRC genügt. Nach den Ausführungen des EuGH im Fall Puskar "(darf) die vorherige Ausschöpfung der verfügbaren Verwaltungsrechtsbehelfe … insb keine wesentliche Verzögerung für die Erhebung einer Klage bewirken, muss die Verjährung der betroffenen Ansprüche hemmen und darf keine übermäßigen Kosten mit sich bringen".
Für das Verfahren vor der österreichischen Datenschutzbehörde im Bereich des Art 77 DSGVO sind neben den verfahrensrechtlichen Bestimmungen der §§ 24 ff DSG das AVG und hinsichtlich der Anrufbarkeit eines Gerichtes "gegen die Aufsichtsbehörde" gem Art 78 das VwGVG anzuwenden. Diese Verfahrensregelungen erzeugen gemeinsam eine Verfahrensordnung, die zB angemessene Entscheidungsfristen und Kostenfreiheit für den dem gerichtlichen Verfahren vorgelagerten verwaltungsrechtlichen Teil des Verfahrens vorsieht. Bis zum Beweis des Gegenteils wird wohl davon ausgegangen werden dürfen, dass das Verfahren vor der Datenschutzbehörde mit nachprüfender Kontrolle durch das Bundesverwaltungsgericht den besonderen Erfordernissen genügt, die der EuGH für einen zweistufigen "wirksamen gerichtlichen Rechtsbehelf" benannt hat, und dass damit das Gebot des Art 79 Abs 1 DSGVO zur Einrichtung eines wirksamen gerichtlichen Rechtsbehelfs in Österreich tatsächlich erfüllt ist, soweit die Datenschutzbehörde angesichts ihrer Zuständigkeiten nach der DSGVO mit Beschwerden über die Verletzung von Rechten aus der DSGVO befasst werden kann.
3.2 Ansprüche aus der DSGVO, welche nicht vor die Datenschutzbehörde gebracht werden können, bedürfen jedoch der Einrichtung eines besonderen gerichtliche Rechtsbehelfs in der österreichischen Rechtsordnung.20 Ein solcher Anspruch ist unbestrittenermaßen der Anspruch auf Schadenersatz, der gem § 29 Abs 2 DSG ausdrücklich vor den ordentlichen Gerichten geltend zu machen ist. Infrage kämen weiters Datenschutzverletzungen in Bereichen des Kapitels IX der DSGVO. So ist etwa im Bereich des Art 85 DSGVO durch § 9 Abs 1 DSG die Verarbeitung personenbezogener Daten für journalistische Zwecke in Österreich offenbar zur Gänze der Zuständigkeit der Datenschutzbehörde entzogen.21 Möglicherweise ergeben sich aus künftiger Anwendungserfahrung noch andere Typen von in der DSGVO begründeten Rechtsansprüchen, für die die Erhebung einer Beschwerde an die Datenschutzbehörde nicht infrage kommt.
3.3 Infolge der im ersten Teil dieses Beitrags bezeichneten Judikatur des OGH seit dem Wirksamwerden der DSGVO bedarf es jedoch noch einer weiteren Auseinandersetzung mit der österreichischen Rechtslage. Auch wenn sich aus Art 79 Abs 1 DSGVO eben nicht ableiten lässt, dass eine generelle Verpflichtung zur Einrichtung eines gerichtlichen Parallelverfahrens zum Verfahren nach Art 77 und 78 bestünde, könnte sich eine Zuständigkeit der ordentlichen Gerichte für die Durchsetzung von Rechten aus der DSGVO aus innerstaatlichen österreichischen Normen ergeben:
In der Literatur wird von den Verfechtern eines parallelen Rechtsschutzes in Datenschutzsachen vor den ordentlichen Gerichten immer wieder auf die bestehenden innerstaatlichen Normen hingewiesen und betont, dass das DSG zwar Bestimmungen über die Anrufbarkeit der Datenschutzbehörde und des Bundesverwaltungsgerichts enthalte, hinsichtlich der Anrufbarkeit der ordentliche Gerichte sich aber in Schweigen hülle. Nun kann schon im Hinblick auf die österreichische Haltung im Abstimmungsverfahren über die DSGVO kein ernsthafter Zweifel daran bestehen, dass die Autoren des Textes des DSG Doppelzuständigkeiten in Datenschutzsachen vermeiden wollten. Doch wird einem solchen Argument mit Recht entgegengehalten werden können, dass in erster Linie der Gesetzeswortlaut zählt. Die §§ 24 ff DSG, die sich mit der Zuständigkeit der Datenschutzbehörde (und des Bundesverwaltungsgerichts in Datenschutzsachen) befassen, enthalten tatsächlich keinen unmittelbar sichtbaren Bezug auf § 1 der Jurisdiktionsnorm,22 der die allgemeine Zuständigkeit der ordentlichen Gerichte für Zivilrechtssachen festlegt und Ausnahmen hievon an besondere gesetzliche Anordnung bindet. Die relativ deutlichste Äußerung zur Zuständigkeit der ordentlichen Gerichte in Datenschutzsachen findet sich in der Übergangsbestimmung des § 69 Abs 4 DSG,23 in dem die Zuständigkeit der ordentlichen Gerichte für die Weiterführung anhängiger Verfahren ausdrücklich angeordnet wird. Ob darin "eine besondere gesetzliche Anordnung" zu sehen ist, die für nicht anhängige Fälle eine Ausnahme von der Zuständigkeit der Gerichte nach § 1 JN vorsieht, ist nach dem Wortlaut des § 69 Abs 4 DSG zwar naheliegend, aber möglicherweise nicht eindeutig.
Der OGH hat sich für die weitere Anwendbarkeit des § 1 JN in Datenschutzsachen unter dem Eindruck entschieden, dass die
unmittelbar anwendbare Bestimmung des Art 79 Abs 1 DSGVO das Bestehen eines parallelen Rechtsschutzwegs mit direktem Zugang zu einem Gericht zwingend vorschreibe. Ob die Bewertung des Verhältnisses der Zuständigkeitsbestimmungen des DSG zu § 1 JN ident ausfällt, wenn in Rechnung gestellt wird, dass Art 79 Abs 1 DSGVO zur Einrichtung eines parallelen gerichtlichen Rechtswegs mit direktem Zugang keineswegs zwingt, ist offen.
3.4 Falls sich der Gesetzgeber zu einer Klärung der Rechtssituation entschlösse, stünde ihm bei einem den obigen Ausführungen entsprechenden Verständnis vom Inhalt und von der Funktion des Art 79 Abs 1 DSGVO ein großer Entscheidungsspielraum offen. Um diesen im Sinne der Erzeugung eines möglichst effizienten Rechtsschutzverfahrens zu nutzen, könnte überlegt werden, ob und in welchem Umfang die Einbeziehung der ordentlichen Gerichte als Rechtsschutzinstanz für Datenschutzsachen im privaten Bereich (iSd § 26 DSG) - mit direkter Anrufbarkeit des Gerichts - nicht doch sinnvoll wäre, wobei aber dann dafür zu sorgen wäre, dass die Zuständigkeit mit der Befassung des Gerichts durch den Betroffenen endgültig auf das Gericht übergeht:24
Da datenschutzrechtliche Rechtsansprüche des privaten Bereichs oft mit anderen privatrechtlichen Rechtsansprüchen eng verknüpft sind - wie auch die bisher von den ordentlichen Gerichten entschiedenen Fälle zeigen - wäre ein Rechtsschutzmodell allenfalls überlegenswert, das - bei grundsätzlicher Alleinzuständigkeit der Datenschutzbehörde - die Anrufung eines ordentlichen Gerichts möglich macht, wenn dadurch die Effizienz der Streitbeendigung für den gesamten strittigen Sachverhalt wesentlich erhöht werden kann. So ist etwa der Anspruch auf Löschung von vorhandenen personenbezogenen Daten nach Art 17 DSGVO oft eng verknüpft mit einem Anspruch auf Unterlassung der Erhebung und Verwendung weiterer personenbezogener Daten, welcher Anspruch wieder häufig einhergeht mit der Geltendmachung von Schadenersatz. Ob nicht festgelegt werden sollte, dass zB aus der Zuständigkeit zur Entscheidung über Schadenersatz auch eine Zuständigkeit für den Ausspruch über ein allfälliges Löschungsbegehren oder einen Unterlassungsanspruch betreffend die Verwendung von Daten (oder auch andere datenschutzrechtliche Ansprüche aus der DSGVO) abgeleitet werden können sollte, wäre zu prüfen, um dieser häufigen Situation mit größtmöglicher Verfahrensökonomie begegnen zu können. Die grundsätzliche Autonomie der Mitgliedstaaten in behördenorganisations- und verfahrensrechtlichen Fragen lässt jede Lösung zu, die Art 47 GRC und dem übrigen Unionsrecht (einschließlich DSGVO) nicht widerspricht.
Eine erstinstanzliche Zuständigkeit von Gerichten in grenzüberschreitenden Datenschutzsachen sollte allerdings möglichst vermieden werden, um die Ziele des Kapitels VII (Zusammenarbeit und Kohärenz) der DSGVO nicht zu konterkarieren.
3.5 Zusammenfassend wäre somit festzuhalten, dass die Diskussion über parallele Rechtsschutzwege in Datenschutzsachen keineswegs als beendet erklärt werden kann, sondern vielmehr im Lichte der geschilderten Gestaltungsmöglichkeiten begonnen werden sollte, eine Lösung mit größtmöglicher Verfahrensökonomie zu erarbeiten, wofür auch die Mitwirkung des Gesetzgebers erforderlich sein wird.
| 1. | Art 79 Abs 1 DSGVO verlangt keine Doppelgleisigkeit des Rechtsschutzes, wonach sowohl die Anrufbarkeit der Datenschutzaufsichtsbehörde mit nachprüfender gerichtlicher Kontrolle als auch gleichzeitig, nach freier Wahl des Beschwerdeführers, die unmittelbare Anrufbarkeit eines Gerichtes zur Verfügung stehen muss. |
| 2. | Es ist dem nationalen Gesetzgeber nicht verwehrt, eine Doppelgleisigkeit des Rechtswegs vorzusehen, doch muss er dabei auch hinsichtlich der Gesamtauswirkungen das Prinzip der Wirksamkeit des gerichtlichen Rechtsschutzes einhalten; die Ziele der DSGVO betreffend harmonisierte Rechtsdurchsetzung in Form der Zusammenarbeit und Kohärenz dürfen nicht unterlaufen werden. |
Jahnel, Gerichtlicher Rechtsschutz nach der DS-GVO bestätigt - Anmerkungen zu OGH 20. 12. 2018, 6 Ob 131/18k, Rz 7, jusIT 2019/42, 126.
Thiele in Kotschy (Hrsg), RdW Spezial: DSGVO - Update zum neuen Datenschutzrecht 2019, DSG-VO und ZPO: Wirksamer Rechtsschutz für Betroffene 107.
OGH 20.12.2018, 6 Ob 131/18k (Chat-Protokolle im Obsorgestreit), jusIT 2019/29 (Thiele).
OGH 6 Ob 131/18k, Rz 7.1.
Nemitz in Ehmann/Selmayr, DS-GVO2 Art 79 Rz 8.
Angesichts dieser weitgehenden Rechtsetzungsautonomie der Mitgliedstaaten ist die unmittelbare Anwendbarkeit von Unionsrecht in diesem Bereich dadurch faktisch beschränkt, dass das Unionsrecht immer dann nicht wirksam werden kann, wenn jene nationalen verfahrens- oder organisationsrechtlichen Regelungen fehlen, die Voraussetzung dafür wären, dass das Unionsrecht tatsächlich angewendet werden kann.
Art 47 Abs 1 GRC: "Jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, hat das Recht, nach Maßgabe der in diesem Artikel vorgesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf einzulegen."
Siehe Art 8 Abs 3 GRC und Art 51 Abs 1 DSGVO.
Zur Bedeutung dieses Begriffs siehe die Ausführungen im folgenden Pkt 2.2.
Siehe OGH 6 Ob 91/19d, Rz 4.5.
Dem können in ihrem Anwendungsbereich begrenzte Einzelfälle mehrfacher Zuständigkeit, wie das von Thiele in DSGVO und ZPO 107 erwähnte Beispiel der Zuständigkeit zur Markenlöschung, wohl nicht überzeugend entgegengehalten werden: Eine Doppelzuständigkeit in Datenschutzsachen hätte angesichts des Querschnittsmateriencharakters von Datenschutz eine völlig andere Dimension in der österreichischen Rechtsordnung als die Löschung von Marken.
Recht auf ein Verfahren vor dem gesetzlichen Richter gem Art 83 Abs 2 B-VG.
Hiezu ist anzumerken, dass diese Zweifelsfrage allerdings schon lange Tradition hat. So haben sich etwa bereits Dammann-Simitis in ihrem Kommentar zur EG-Datenschutzrichtlinie (1997) zu einer diesbezüglichen Äußerung veranlasst gesehen: "Über die verfahrensmäßige Ausgestaltung im einzelnen sagt die Richtlinie nichts aus. Sie verbietet beispielsweise nicht, die Zulässigkeit des Rechtsbehelfs bei Gericht in bestimmten Fällen daran zu knüpfen, dass zuvor ein verwaltungsrechtliches Verfahren durchlaufen werden muss, wie zB das genannte Verfahren nach Art 28 Abs. 4. Entscheidend ist allein, dass der Rechtsbehelf effektiv ausgestaltet ist" (Rz 7 zu Art 22).
Die erste Vorlagefrage lautete: "Steht Art. 47 Abs. 1 der Charta, wonach jede Person, deren Rechte - zu denen auch der in Art. 1 Abs. 1 und den nachfolgenden Bestimmungen der Richtlinie 95/46 verankerte Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten gehört - verletzt worden sind, das Recht hat, nach Maßgabe der in Art. 47 der Charta vorgesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf einzulegen, einer nationalen Bestimmung entgegen, die die Möglichkeit, bei einem Gericht, und zwar beim Verwaltungsgericht, einen wirksamen Rechtsbehelf einzulegen, davon abhängig macht, dass der Kläger zum Schutz seiner Rechte und Freiheiten vor Klageerhebung die Rechtsbehelfe ausschöpft, die ihm nach den Bestimmungen einer lex specialis wie dem slowakischen Gesetz über Verwaltungsbeschwerden offenstehen?"
EuGH C-73/16, Rn 76.
Vgl zB Jahnel, jusIT 2019/42, 125.
EuGH C-73/16, Rn 76.
EuGH C-73/16, Rn 76.
Die Schaffung von Rechtsmitteln für allenfalls bestehende Rechtsansprüche von juristischen Personen aufgrund von § 1 DSG unterliegt nicht dem Art 79 DSGVO oder dem Art 47 GRC. Falls solche Rechtsansprüche tatsächlich bestehen, fände aber Art 6 EMRK hinsichtlich des Verfahrens für ihre Durchsetzung Anwendung.
Vgl zu dieser Problematik Kotschy in Kotschy (Hrsg), RdW Spezial: DSGVO, Update zum neuen Datenschutzrecht 2019, 92 ff.
§ 1 JN: "Die Gerichtsbarkeit in bürgerlichen Rechtssachen wird, soweit dieselben nicht durch besondere Gesetze vor andere Behörden oder Organe verwiesen sind, durch Bezirksgerichte, Bezirksgerichte für Handelssachen, Landesgerichte, Handelsgerichte, durch Oberlandesgerichte und durch den Obersten Gerichtshof (ordentliche Gerichte) ausgeübt."
"Zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bei der Datenschutzbehörde oder bei den ordentlichen Gerichten zum Datenschutzgesetz 2000 anhängige Verfahren sind nach den Bestimmungen dieses Bundesgesetzes und der DSGVO fortzuführen, mit der Maßgabe, dass die Zuständigkeit der ordentlichen Gerichte aufrecht bleibt."
Vgl hiezu auch die in DSB - D123.264/0007-DSB/2018 gegebene Begründung für die Annahme der Unzuständigkeit der Datenschutzbehörde.
