Entscheidungen
OGH Entscheidungen
OGH Volltexte

OGH 6Ob102/24d

OGH6Ob102/24d18.2.2025

Der Oberste Gerichtshof hat als Revisionsgericht durch den Senatspräsidenten Hon.‑Prof. Dr. Gitschthaler als Vorsitzenden sowie die Hofrätinnen und Hofräte Dr. Hofer‑Zeni‑Rennhofer, Dr. Faber, Mag. Pertmayr und Dr. Weber als weitere Richter in der Rechtssache der klagenden Partei N*, vertreten durch Dr. David M. Suntinger, Rechtsanwalt in St. Veit an der Glan, gegen die beklagte Partei T*, vertreten durch Dr. Walter Suppan, Rechtsanwalt in Klagenfurt am Wörthersee, wegen Auskunft, Herausgabe und 800 EUR sA, über die Revision der klagenden Partei gegen das Urteil des Oberlandesgerichts Graz als Berufungsgericht vom 14. März 2024, GZ 5 R 180/23i‑24, womit das Urteil des Landesgerichts Klagenfurt vom 26. Juli 2023, GZ 86 Cg 5/23g‑15, bestätigt wurde, in nichtöffentlicher Sitzung den

Beschluss

gefasst:

European Case Law Identifier: ECLI:AT:OGH0002:2025:0060OB00102.24D.0218.000

Rechtsgebiet: Zivilrecht

Fachgebiet: Unionsrecht

 

Spruch:

I. Dem Gerichtshof der Europäischen Union werden gemäß Art 267 AEUV folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist Art 4 Z 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (im Weiteren: DSGVO) dahin auszulegen, dass eine natürliche Person, die in Ausübung ihrer Tätigkeit mittels der ihr zur Verfügung gestellten und vorgegebenen Mittel bei der Verarbeitung von personenbezogenen Daten nicht in eigenem persönlichen Interesse, sondern als Leiter einer Organisation (Einrichtung oder andere Stelle ohne Rechtspersönlichkeit), hinter der aber ein Rechtsträger steht, handelt, „Verantwortlicher“ ist, der vor Gericht in Anspruch genommen werden kann?

2.a) Ist Art 15 Abs 1 lit g) DSGVO dahin auszulegen, dass in einem Fall, in dem die verarbeiteten Daten in einer faktischen Äußerung oder wertenden Einschätzung über die betroffene Person in einer E-Mail bestehen, zu „allen verfügbaren Informationen über die Herkunft der Daten“ nur der Verfasser der E-Mail zählt oder zählt dazu auch der Personenkreis, mit dem der Verfasser über die betroffene Person gesprochen hat?

2.b) Für den Fall, dass nicht gespeicherte Namen der Gesprächspartner „verfügbare Informationen über die Herkunft der Daten“ iSd Art 15 Abs 1 lit g) DSGVO sind:

Hat bei der Abwägung der Interessen der von der Datenverarbeitung betroffenen Person mit den Interessen eines solchen Gesprächspartners der Umstand Bedeutung, dass für diesen nicht absehbar war, dass seine Äußerungen zum Gegenstand einer Datenverarbeitung gemacht werden?

3. Ist Art 82 Abs 2 DSGVO dahin auszulegen, dass in negativen Folgen für den Betroffenen, die auf einem zeitlich nach der Verarbeitung der personenbezogenen Daten liegenden, allein gegen die Verpflichtung zur Auskunft nach Art 15 Abs 1 DSGVO liegenden Verstoß gegen diese Verordnung beruhen, ein Schaden liegt, der durch „eine nicht dieser Verordnung entsprechende Verarbeitung“ verursacht wurde und die Verpflichtung des Verantwortlichen zur Leistung von Ersatz nach sich zieht?

4. Für den Fall der Bejahung der Fragen 1 oder 3: Steht Art 82 DSGVO innerstaatlichen Regelungen, wonach der Ersatz des Schadens, den ein Organ eines Rechtsträgers in hoheitlicher Vollziehung des Gesetzes einem Geschädigten zugefügt hat, gegen das Organ selbst nicht geltend gemacht werden kann, entgegen?

II. Das Verfahren vor dem Obersten Gerichtshof über die Revision der klagenden Partei wird bis zum Einlangen der Vorabentscheidung des Gerichtshofs der Europäischen Union gemäß § 90a Abs 1 GOG ausgesetzt.

 

Begründung:

Zu I.:

A. Sachverhalt

[1] Der Beklagte ist Leiter einer Volksschule. Er organisiert in dieser Funktion Fortbildungsprogramme für seine Lehrer, die einer gesetzlich vorgesehenen Fortbildungspflicht unterliegen. Die Pädagogische Hochschule stellt dafür Fortbildungsprogramme und organisatorisches Unterstützungspersonal, sogenannte Prozessbegleiter, zur Verfügung. Anlässlich eines in Anspruch genommenen Fortbildungsprogramms erkundigte sich der Beklagte in einem mündlichen Gespräch bei einem Lehrer über den Kläger. Dieser war von der Pädagogischen Hochschule als Prozessbegleiter vorgeschlagen worden.

[2] Der Beklagte versendete einige Tage nach dem Gespräch eine E‑Mail an den zuständigen Mitarbeiter der Pädagogischen Hochschule. Er ersuchte um einen anderen Prozessbegleiter und äußerte:

„[…] Vorausschicken möchte ich, dass ich mich jedes Mal, wenn ich externe Experten zur Mitarbeit einlade, mich auch vorher über diese informiere. [Der Kläger] ist im Bildungsbereich kein unbeschriebenes Blatt und ich kann mir beim besten Willen nicht vorstellen, dass jemand die Prozessbegleitung gestaltet, der das öffentliche Schulwesen in Frage stellt und mit [der zuständigen Bildungsdirektion] im Dauerstreit ist.“

[3] Diese E‑Mail sendete der Beklagte über seinen beruflichen E‑Mail‑Zugang von einem Computer in der Schule aus. Für diese Kommunikation besteht ein eigener Server. Die E‑Mail‑Adresse wird vom Beklagten ausschließlich für dienstliche Kommunikation genutzt. Über das Gespräch über den Kläger hatte der Beklagte keinen Aktenvermerk oder sonst ein Dokument angelegt. Mit Ausnahme des zuvor wiedergegebenen E‑Mails gibt es keine schriftlichen Aufzeichnungen darüber. Die im Gespräch erhaltenen Informationen über den Kläger verbreitete er sonst auf keine Weise.

[4] Der Kläger kennt den Inhalt dieser E‑Mail. Er beschwerte sich beim Beklagten per E‑Mail darüber, was er in jener Nachricht über ihn geschrieben hatte. Den Behauptungen (der Kläger stelle das öffentliche Schulwesen in Frage und würde mit der Bildungsdirektion eines Bundeslandes im Dauerstreit liegen) fehle der Wahrheitsgehalt. Der Beklagte habe damit ihm „schleierhaft[e] bzw unbekannt[e]“ personenbezogene Daten verarbeitet.

[5] Aufgrund der Aufforderung des Klägers, ihm Auskunft nach Art 15 Abs 1 DSGVO zu erteilen und eine Kopie der vom Beklagten über ihn verarbeiteten personenbezogenen Daten zu übersenden, teilte der Beklagte dem Kläger noch am selben Tag per E‑Mail mit, dass er nie personenbezogene Daten des Klägers besessen oder diese an irgendjemanden weitergegeben habe; er habe lediglich seine Bedenken zur Besetzung der Prozessbegleitung geäußert.

B. Prozessstandpunkte der Parteien und bisheriges Verfahren

[6] Der Kläger begehrt, den Beklagten zur Erteilung der Auskunft nach Artikel 15 DSGVO, zur Ausfolgung einer Kopie seiner personenbezogenen Daten und zur Zahlung von 800 EUR an immateriellem Schadenersatz zu verpflichten. Sein Schadenersatzbegehren stützt er – wie er zuletzt klarstellte – allein auf die Verletzung der Auskunft nach Art 15 DSGVO.

[7] Der Beklagte wendet ein, es hafte nur der zuständige Rechtsträger. Er sei als Organ der Schule hoheitlich tätig geworden und dürfe bei Wahrnehmung seiner Aufgabe in seiner Informationsfreiheit nicht eingeschränkt werden. Er habe sich gegen die Auswahl des Klägers als Prozessbegleiter entschieden und keine personenbezogenen Daten des Klägers verarbeitet oder gespeichert.

[8] Das Erstgericht wies das Klagebegehren ab. Anlässlich der Organisation einer verpflichtenden Fortbildung der Lehrer habe der Beklagte als Organ hoheitlich gehandelt und könne nicht persönlich haften. Zwar sei insoweit der Vorrang der DSGVO vor dem österreichischen Amtshaftungsgesetz zu beachten. Wenn aber die DSGVO juristischen Personen, Behörden, Einrichtungen und anderen Stellen unterstelle, dass sie über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden, hafteten als Verantwortliche nur diese, nicht aber die für sie handelnden Organ(‑walter) oder Mitarbeiter.

[9] Das Berufungsgericht bestätigte die Rechtsansicht des Erstgerichts. Die Organisation, für die der Beklagte tätig geworden sei, habe über die wesentlichen Aspekte der Mittel der Verarbeitung (eigener Server, Nutzung des dienstlichen E‑Mail‑Account) entschieden. Eine Einordnung des Beklagten als Verantwortlicher liefe den Regelungen des Amtshaftungsgesetzes zuwider. Eine Pflicht zur Herstellung von Daten (durch Verschriftlichung der Erinnerung an den Namen des Gesprächspartners) bestehe nicht, weswegen über die Person des Gesprächspartners keine Auskunftspflicht bestehe.

[10] Mit seiner Revision strebt der Kläger ein klagsstattgebendes Urteil an.

C. Relevante Rechtsvorschriften

[11] Bestimmungen der DSGVO lauten auszugsweise:

Artikel 4

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

Artikel 12

Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

Artikel 15

Auskunftsrecht der betroffenen Person

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

Artikel 82

Haftung und Recht auf Schadenersatz

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.

 

Bestimmungen des nationalen Rechts lauten auszugsweise:

Schulunterrichtsgesetz

§ 56 Schulleitung, Schulcluster-Leitung

(1) Der Schulleiter ist zur Besorgung aller Angelegenheiten nach diesem Bundesgesetz zuständig, sofern dieses nicht die Zuständigkeit anderer schulischer Organe oder der Schulbehörden festlegt.

(2) Der Schulleiter ist der unmittelbare Vorgesetzte aller an der Schule tätigen Lehrer und sonstigen Bediensteten. Ihm obliegt die Leitung der Schule und die Pflege der Verbindung zwischen der Schule, den Schülern und den Erziehungsberechtigten, bei Berufsschulen auch den Lehrberechtigten.

Seine Aufgaben umfassen insbesondere Schulleitung und -management, Qualitätsmanagement, Schul- und Unterrichtsentwicklung, Führung und Personalentwicklung sowie Außenbeziehungen und Öffnung der Schule.

(4) Außer den ihm obliegenden unterrichtlichen, erzieherischen und administrativen Aufgaben hat er für die Einhaltung aller Rechtsvorschriften und schulbehördlichen Weisungen sowie für die Führung der Amtsschriften der Schule und die Ordnung in der Schule zu sorgen.

 

Landeslehrer-Dienstrechtsgesetz

§ 32 Dienstpflichten des Leiters

(2) Der Leiter hat darauf zu achten, dass alle an der Schule tätigen Lehrer ihre dienstlichen Aufgaben gesetzmäßig und in zweckmäßiger, wirtschaftlicher und sparsamer Weise erfüllen. Er hat sie dabei anzuleiten, ihnen erforderlichenfalls Weisungen zu erteilen, aufgetretene Fehler und Missstände abzustellen und für die Einhaltung der Dienstzeit zu sorgen. Er hat ihr dienstliches Fortkommen nach Maßgabe ihrer Leistungen zu fördern.

 

Landesvertragslehrpersonengesetz 1966

§ 16. Pflichten und Rechte der Schulleitung

(1) Der Schulleiterin oder dem Schulleiter obliegt die Leitung der Schule (Schulmanagement) in pädagogischer Hinsicht, in rechtlich‑organisatorisch‑administrativer Hinsicht, in personeller und in wirtschaftlicher Hinsicht sowie die Vertretung der Schule nach außen. Die Landesvertragslehrperson in der Funktion Schulleitung hat alle ihr aus dem Schul‑ und Dienstrecht zukommenden Aufgaben und die sonstigen sich aus der Leitungsfunktion ergebenden Aufgaben umsichtig und sorgfältig wahrzunehmen.

Bildungsdokumentationsgesetz 2010

in der bis 22. 7. 2024 gültigen Fassung BGBl I 2021/20

§ 4 Allgemeine datenschutzrechtliche Bestimmungen

(1) Verantwortliche im Sinne des Art. 4 Z 7 DSGVO sind

1. für die Evidenzen der Schülerinnen und Schüler gemäß § 5 Abs. 1 und 2 und jene der Studierenden an den Bildungseinrichtungen deren Leiterinnen oder Leiter im Sinne des § 2 Z 8 und 10, bezüglich der Einrichtungen gemäß § 2 Z 4 lit. e deren Erhalterin, sowie

2. bezüglich der Evidenzen der Schülerinnen und Schüler gemäß § 5 Abs. 3 und 4 die zuständige Bildungsdirektorin oder der zuständige Bildungsdirektor.

 

Amtshaftungsgesetz

§ 1 Haftpflicht

(1) Der Bund, die Länder, die Gemeinden, sonstige Körperschaften des öffentlichen Rechts und die Träger der Sozialversicherung – im folgenden Rechtsträger genannt – haften nach den Bestimmungen des bürgerlichen Rechts für den Schaden am Vermögen oder an der Person, den die als ihre Organe handelnden Personen in Vollziehung der Gesetze durch ein rechtswidriges Verhalten wem immer schuldhaft zugefügt haben; dem Geschädigten haftet das Organ nicht. Der Schaden ist nur in Geld zu ersetzen.

Verfahren

§ 9

(5) Der Geschädigte kann den Ersatz des Schadens, den ihm ein Organ eines im § 1 dieses Bundesgesetzes genannten Rechtsträgers in Vollziehung des Gesetzes zugefügt hat, gegen das Organ im ordentlichen Rechtsweg nicht geltend machen.

Rechtliche Beurteilung

 

D. Begründung der Vorlage

1. Frage 1.

[12] Der in Art 4 Z 7 DSGVO definierte „Verantwortliche“ ist Adressat der Pflichten der DSGVO (vgl RS0133703) und der Ansprüche der betroffenen Person.

[13] Verantwortlicher nach Art 4 Z 7 DSGVO kann eine „natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle“ sein, und zwar unabhängig davon, ob die juristische Person, Behörde, Einrichtung oder sonstige Stelle öffentlich‑rechtlich oder privatrechtlich organisiert ist.

[14] Nach der Literatur soll die Verantwortungseigenschaft, die sich letztlich darin ausdrückt, dass sich derjenige als Gegner eines Klägers in einem Gerichtsverfahren verantworten muss und, dass gegen ihn ein Urteil vollstreckbar werden kann, dem jeweiligen Rechtsträger zukommen, aber nicht dem Leitungsorgan einer konkreten Abteilung (Hödl in Knyrim, Der DatKomm [Februar 2019] Art 4 DSGVO Rz 81; Jahnel, Kommentar zur Datenschutz‑Grundverordnung Art 4 Z 7 DSGVO Rz 10 [Stand 1. 12. 2020, rdb.at]). Nur bei eigenständigem wirtschaftlichen Handeln könne eine Einzelperson Verantwortlicher sein (Gola in Heckmann/Gola, Datenschutz‑Grundverordnung – Bundesdatenschutzgesetz³ [2022] Art 4 DSGVO Rz 64). Es wird aber auch vertreten, dass ein Behördenleiter, Geschäftsführer oder Vorstand neben der Behörde bzw der juristischen Person selbst Verantwortlicher im Sinne dieser Definition sei (Schild in Wolff/Brink/v. Ungern‑Sternberg, BeckOK DatenschutzR, 50. Ed. [1. 11. 2024] Art 4 DS‑GVO Rz 89).

[15] Die Leitlinien des Europäischen Datenschutzausschusses (EDSA) führen aus, es könne sich beim „Verantwortlichen“ um eine Organisation, aber auch um eine Einzelperson oder eine Gruppe von Einzelpersonen handeln. Es seien „jedoch“ in der Praxis in der Regel die Organisation als solche und nicht eine natürliche Person innerhalb der Organisation (wie der Geschäftsführer, ein Angestellter oder ein Mitglied des Leitungsorgans), die als Verantwortlicher im Sinne der DSGVO fungieren (Leitlinien des EDSA 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0, angenommen am 7. 7. 2021, Rz 17). Manchmal würden Unternehmen und öffentliche Stellen eine bestimmte Person, die für die Durchführung der Verarbeitungstätigkeit verantwortlich ist, benennen. Selbst wenn eine bestimmte natürliche Person benannt werde, die die Einhaltung der Datenschutzvorschriften sicherstellen solle, werde diese Person nicht Verantwortlicher sein, sondern für die juristische Person (Unternehmen oder öffentliche Stelle) handeln, die im Falle eines Verstoßes gegen die Vorschriften in ihrer Eigenschaft als Verantwortlicher letztlich verantwortlich sei. Auch wenn eine bestimmte Abteilung oder Einheit einer Organisation die operative Verantwortung für die Einhaltung der Vorschriften bei bestimmten Verarbeitungsvorgängen trage, bedeute dies nicht, dass diese Abteilung oder Einheit (und nicht die Organisation als Ganzes) zum Verantwortlichen werde (Leitlinen aaO Rz 18).

[16] Der Gerichtshof der Europäischen Union hat in der Entscheidung C‑604/22 (IAB Europe/Gegevensbeschermingsautoriteit; ECLI:EU:C:2024:214) dem Handeln aus Eigeninteresse (Rn 57) hohen Stellenwert für die Qualifikation einer Branchenorganisation als Verantwortlicher nach Art 4 Z 7 DSGVO eingeräumt. Soweit überblickbar ist bisher in den an ihn herangetragenen Fällen jeweils die Organisation (zumeist ein Unternehmen [der oder die Unternehmensträger] oder eine staatliche Stelle), nicht aber eine natürliche Person als das Leitungsorgan einer Einheit (ein Abteilungsleiter oder sonstiger Mitarbeiter in Stellung mit Verantwortung) oder der Organwalter (etwa das vom Gesetz als Vertretung einer Kapitalgesellschaft vorgesehene Organ) in Verantwortung gezogen worden (siehe zu Vorabentscheidungsersuchen zu Art 82 DSGVO etwa C‑182/22 und C‑189/22 , JU, SO/Scalable Capital GmbH, ECLI:EU:C:2024:531; C‑741/21 , GP/juris GmbH, EU:C:2024:288; C‑687/21 , BL/MediaMarktSaturn Hagen‑Iserlohn GmbH, ECLI:EU:C:2024:72; C-667/21 , ZQ/Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft öffentlichen Rechts, EU:C:2023:1022; zu Vorabentscheidungsersuchen zu Artikel 15 DSGVO vgl C‑272/19 VQ/Land Hessen [Petitionsausschuss des Parlaments eines Gliedstaats eines Mitgliedstaats]; 9. 7. 2020, C‑579/21 , JM/Pankki S [eine Bank], ECLI:EU:C:2023:501; 5. 12. 2023, C‑683/21 , Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos/Valstybinė duomenų apsaugos inspekcija [Nationales Zentrum für öffentliche Gesundheit], EU:C:2023:949; C‑807/21 Deutsche Wohnen SE/Staatsanwaltschaft Berlin [börsenotierte Immobiliengesellschaft], EU:C:2023:950; C‑231/22 , État belge [„Amtsblatt“], ECLI:EU:C:2024:7; C‑604/22 IAB Europe/Gegevensbeschermingsautoriteit [Branchenorganisation], ECLI:EU:C:2024:214; auch das Urteil C‑25/17 Tietosuojavaltuutettu/Jehovan todistajat, ECLI:EU:C:2018:551, in welchem die „Verkünder“ als gemeinsam Verantwortliche mit ihrer Religionsgemeinschaft angesehen wurden, betraf ein Verfahren [nur] gegen die Religionsgemeinschaft als solche).

[17] Nach dem im Beurteilungszeitpunkt maßgeblichen nationalen Recht war ein Schulleiter im datenschutzrechtlichen Kontext im Gesetz lediglich als „Verantwortlicher“ in Bezug auf die Daten (Evidenzen) der Schüler genannt (§ 4 Abs 1 BilDokG idF BGBl I 2021/20). Für andere Bereiche (im Zusammenhang mit der Schule) gab es dagegen keine ausdrückliche gesetzliche Zuweisung einer solchen Position. Die vom Beklagten zu erfüllende Aufgabe (hier: Organisation der Fortbildung der Lehrer) war ihm durch Gesetz überbunden. Die für die Datenverarbeitung eingesetzten Mittel/Infrastruktur (Server und E‑Mail‑Adresse) waren ihm vorgegeben. Er vertrat anlässlich der Organisation der Fortbildung der Lehrer und bei Verarbeitung der personenbezogenen Daten des Klägers als betroffene Person keine eigenen „persönlichen“ Interessen, sondern nahm Aufgaben im Rahmen der Leitung der Schule wahr. Die Schule selbst ist nach österreichischem Recht nicht rechtsfähig und nicht klagbar. Hinter der Schule steht eine Gebietskörperschaft als Rechtsträger (Bund, Land oder Gemeinde). Eine juristische Person, Einrichtung, Behörde oder andere Stelle kann letztlich immer nur durch das Handeln ihrer für sie tätigen natürlichen Personen agieren, was hier durch den Beklagten erfolgte.

[18] Der Wortlaut von Art 4 Z 7 DSGVO lässt – insbesondere wegen des Wortes „oder“ („natürliche oder juristische Person“) – offen, ob eine natürliche Person, die nicht im eigenen (persönlichen) Interesse, sondern (hier) als Schulleiter im Interesse der Schule und damit für den jeweiligen Rechtsträger handelt, als Verantwortlicher anzusehen ist, der für die Einhaltung der Pflichten nach der DSGVO gerichtlich in Anspruch genommen werden kann oder ob diese Haftung die „Organisation“, für deren Interessen er als Schulleiter tätig ist, trifft. Denkbar wäre auch eine Haftung der Organisation und der natürlichen Person nebeneinander.

2. Fragen 2.a) – 2.b)

[19] Art 15 Abs 1 lit g) DSGVO verpflichtet zur Auskunft – wenn die personenbezogenen Daten nicht bei der betroffenen Person selbst erhoben werden – über „alle verfügbaren Informationen über die Herkunft der Daten“.

[20] Fraglich ist, wie weit dieser Begriff reicht. Naturgemäß werden in einem Gespräch häufig Meinungen oder Tatsachen über andere Personen geäußert, wobei für den Gesprächspartner oft gar nicht erkennbar sein wird, dass eine von ihm geäußerte Ansicht oder Aussage vom anderen in der Folge zum Gegenstand einer Datenverarbeitung mit den daraus entspringenden Rechten und Pflichten gemacht werden wird. Nach Ansicht des Klägers hätte er (vor Versendung der E‑Mail) vorab nach Art 14 DSGVO – und damit auch darüber, „aus welcher Quelle die personenbezogenen Daten stammen“ (Art 14 lit f DSGVO) – informiert werden müssen. Träfe diese Auffassung zu, wäre die Konsequenz, dass jeder, der sich in einer an einen Dritten gerichteten Korrespondenz (außerhalb des reinen Privatbereichs) über eine betroffene Person äußert, vorab immer – schon vor Versendung jeglicher, zumeist eine Zwei‑Personen‑Kommunikation anstrebender E‑Mail – die betroffene Person im Sinne des Art 14 DSGVO zu informieren hätte. Ein derart weites Verständnis der Informationspflicht belastete die inzwischen weit überwiegend elektronisch geführte Kommunikation erheblich.

[21] Das Berufungsgericht vertrat die Ansicht, beim Namen des Gesprächspartners des Verfassers der E‑Mail handle es sich nicht um „Daten“. Solche Daten müssten erst durch weitere Schritte des Verfassers der E‑Mail (der Verschriftlichung seiner Erinnerung) hergestellt werden; Art 15 Abs 1 DSGVO erfasse nicht die Pflicht, Daten überhaupt erst herzustellen. Es hat damit „verfügbare Informationen über die Herkunft der Daten“ dahin verstanden, dass solche Informationen selbst die Qualität von gespeicherten Daten aufweisen müssen.

[22] Eine Stütze könnte dieser Ansatz in den Leitlinien des EDSA zum Auskunftsrecht erfahren, wenn darin zwar (auch) die Zusammenfassung der subjektiven Kommentare eines Personalverantwortlichen eines Unternehmens, die der Personalverantwortliche während eines Vorstellungsgesprächs mit der betroffenen Person als Stellenbewerber verfasst hatte, als zu beauskunften genannt wird, diese subjektiven Kommentare aber in jenem Beispiel Gegenstand von „Notizen am Computer“ gewesen waren (Leitlinien des EDSA 01/2022 zu den Rechten der betroffenen Person – Auskunftsrecht, Version 2.1., angenommen am 28. 3. 2023, Rz 96) und es sich damit um bereits erfasste und gespeicherte Daten handelte. Auch mit der Erläuterung in Rz 36, es könne die betroffene Person das Auskunftsrecht beispielsweise in Anspruch nehmen, um herauszufinden, woher die unrichtigen Daten stammen, die „zwischen verschiedenen Verantwortlichen“ übermittelt werden, wird vom EDSA auf bereits bestehende, gespeicherte „Daten“ zwischen verschiedenen Verantwortlichen (im Sinne von Art 4 Z 7 DSGVO) Bezug genommen. Gleiches gilt für die Ansicht von Dix (in Simitis/Hornung/Spieker, Datenschutzrecht² [2025] Art 15 DSGVO Rz 24), wenn er verlangt, es sei zumindest „so viel“ über die Herkunft der Daten mitzuteilen, dass die betroffene Person etwaige Korrektur‑ oder Löschungsansprüche gegen den „ursprünglich Verantwortlichen“ geltend machen könne.

[23] Die in Art 15 Abs 1 lit g) DSGVO gebrauchte Wendung „Informationen über die Herkunft der Daten“ verlangt allerdings nicht ausdrücklich, dass die dort genannten „Informationen“ bereits Gegenstand einer Verarbeitung iSd Art 4 Z 2 DSGVO gewesen sind. Nach dem Standpunkt des Klägers wäre darüber hinaus für die Beurteilung, ob eine Datenverarbeitung im Sinne der DSGVO vorliegt, nicht auf jeden einzelnen Vorgang zur Verarbeitung abzustellen, sondern es sei anhand des Zwecks von Verarbeitungsvorgängen eine Vorgangsreihe zu bilden. Es reiche aus, wenn nur einer der Vorgänge einer solchen Vorgangsreihe automatisiert erfolgt sei. Bloß mündlich erlangte Daten seien nur dann vom sachlichen Anwendungsbereich ausgenommen, wenn sie – nach dem Willen des Verarbeitenden – nicht gespeichert werden sollen (vgl dazu Heißl in Knyrim, Der DatKomm [Februar 2019] Art 2 DSGVO Rz 55).

[24] Fraglich kann nun in Bezug auf einen solchen „Willen“ des (später) Verarbeitenden schon sein, ob es darauf ankommt, dass die Absicht des späteren Verfassers einer E‑Mail, im Gespräch erlangte (und nur im Gedächtnis behaltene) Informationen zum Gegenstand einer Datenverarbeitung zu machen, schon im Zeitpunkt des Gesprächs vorhanden ist oder ob auch ein späterer Entschluss (etwa nach einiger Überlegung) seitens des Verantwortlichen für die Einbeziehung des Vorgangs in die Vorgangsreihe genügt.

[25] Für eine Einbeziehung der Daten der Person, mit der der Beklagte gesprochen hat (wobei Aufzeichnungen über das Gespräch selbst fehlen), in den Begriff „alle verfügbaren Informationen über die Herkunft der Daten“, die als unerlässlich dafür anzusehen sind, um es der betroffenen Person zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrnehmen zu können, könnte sprechen, dass nach den Leitlinien für Transparenz der Artikel‑29‑Datenschutzgruppe (WP 260 rev.01, Rn 26) – wenn auch zu Art 14 DSGVO – angeführt wird, es sei diese Bestimmung „auf das Szenario anwendbar, in dem die personenbezogenen Daten nicht von der betroffenen Person selbst erlangt wurden. Hierzu zählen personenbezogene Daten, welche der Verantwortliche von folgenden Quellen erlangt hat: dritten Verantwortlichen, allgemein zugänglichen Quellen, Datenvermittlern oder sonstigen betroffenen Personen“.

[26] Bei Erfüllung des Auskunftsanspruchs steht die Ermöglichung der Überprüfung der Rechtsmäßigkeit der Datenverarbeitung im Vordergrund. Zu bestimmten personenbezogenen Daten (in der Diktion des Klägers: „Gegner des öffentlichen Schulwesens und der Bildungsdirektion“), um die es dem Kläger in Bezug auf Art 15 Abs 1 lit g) DSGVO zu gehen scheint, vertrat er von Beginn an – unabhängig von der Information darüber, welche Person Gesprächspartner des Beklagten war – den Standpunkt, diese seien unrichtig, und beurteilte die Rechtmäßigkeit der Datenverarbeitung insoweit als – von vornherein – nicht gegeben.

[27] Der Beklagte war es, der in der E‑Mail eine Äußerung (seine Meinung) über den Kläger abgab, sodass die darin enthaltenen Daten ihrer Herkunft nach als von ihm erstellt und stammend im Sinne von Art 15 Abs 1 lit g) DSGVO angesehen werden könnten. Es könnte der Begriff „alle verfügbaren Informationen“ aber auch weiter ausgelegt werden, wie dies der Kläger tut, und auch alle für den Datenverarbeiter wesentlichen, meinungsbildenden Parameter (hier ein Gespräch mit einem Lehrer) als davon umfasst angesehen werden.

[28] Mit der Auskunft über den mündlichen „Informanten“ werden aber auch die Rechte und Freiheiten dieser Person, mit der der Schulleiter gesprochen hat und von der nicht bekannt ist, ob sie überhaupt wusste oder damit rechnen musste, dass Inhalte des Gesprächs mit dem Schulleiter zum Gegenstand einer Datenverarbeitung gemacht werden, berührt. In der Entscheidung C‑579/21 , J. M., Apulaistietosuojavaltuutettu, Pankki S, ECLI:EU:C:2023:501, welche Abfragen über einen ehemaligen Mitarbeiter einer Bank als betroffene Person durch andere Mitarbeiter dieser Bank betraf (worin eine Verarbeitung im Sinn der DSGVO liegt), hat der Gerichtshof der Europäischen Union ausgeführt, es würden bei Offenlegung der Namen der abfragenden Mitarbeiter (gegenüber der betroffenen Person) auch deren personenbezogene Daten geoffenbart werden (vgl Rn 76) und Erwägungsgrund 63 der Verordnung hervorgehoben, wonach „[d]ieses Recht [gemeint das Auskunftsrecht] … die Rechte und Freiheiten anderer Personen … nicht beeinträchtigen [sollte]“ (Rn 77). In jenem Fall waren allerdings die die Identität der Mitarbeiter offenbarenden Daten – anders als hier – im System der Bank gespeichert gewesen. Es wurde damals der Frage Bedeutung zugemessen, ob die Bereitstellung von Informationen über die Identität der Arbeitnehmer des Verantwortlichen für die von der Verarbeitung betroffene Person notwendig ist, damit sie sich von der Rechtmäßigkeit der Verarbeitung ihrer personenbezogenen Daten überzeugen kann, gleichzeitig aber auch darauf hingewiesen, dass eine solche Informationsbereitstellung nichtsdestoweniger die Rechte und Freiheiten dieser Beschäftigten beeinträchtigen könne. Es seien daher nach Möglichkeit Modalitäten zu wählen, die die Rechte und Freiheiten anderer Personen nicht verletzen, wobei zu berücksichtigen sei, dass diese Erwägungen nicht dazu „führen [dürfen], dass der betroffenen Person jegliche Auskunft verweigert wird“, wie sich aus Erwägungsgrund 63 ergäbe.

[29] Zwar mag im hier zu beurteilenden Fall die namentliche Nennung jener Person, bei der sich der Beklagte vor seiner Äußerung mündlich erkundigt hatte, dafür dienlich sein, etwaige aus anderen Persönlichkeitsrechten entspringende Rechte (etwa das Recht auf Ehre) dieser Person gegenüber verfolgen zu können, und es hat der Gerichtshof der Europäischen Union auch schon klargestellt, dass es für die Ausübung des Auskunftsrechts – abgesehen von Fällen des Missbrauchs – auf die Motivation für die Stellung des Auskunftsersuchens nicht ankommt (C‑307/22 , FT/DW, ECLI:EU:C:2023:811 [Rn 23]). Es geht dem vorlegenden Gericht aber nicht um die Motivation für die Stellung des Auskunftsersuchens, sondern um die Reichweite der Einbeziehung von Umständen und Einflussfaktoren auf die Meinungsbildung des Äußernden in die in Art 15 Abs 1 lit g) DSGVO gebrauchte Wendung „alle verfügbaren Informationen über die Herkunft der Daten“.

[30] Dabei ist die Frage zu lösen, ob und wie weit außerhalb und vor der direkten Erstellung der Daten durch den Beklagten anlässlich der Verfassung und Versendung der E‑Mail liegende Umstände in die Transparenzpflicht, wie sie mit der Datenverarbeitung verbunden ist, einzuschließen sind, ob also Vorgänge (hier ein mündliches Gespräch), die eine bloße „Vorstufe“ für die später in der E‑Mail versendeten personenbezogenen Daten bildeten, noch mitumfasst sind.

[31] Dabei kann auch die Wahrung der Rechte des Dritten auf Geheimhaltung seiner personenbezogenen Daten iSd Art 8 GRC – vorausgesetzt, es wäre dessen Identität im Rahmen der Auskunft nach Art 15 Abs 1 lit g) DSGVO grundsätzlich offenzulegen – nicht unbeachtet bleiben. Für das vorlegende Gericht ist fraglich, ob bei der dann vorzunehmenden Abwägung zwischen den Interessen des Dritten und jenen des Klägers den Umständen des Gesprächs Bedeutung zukäme (Bestehen oder Anschein eines vertraulichen Rahmens mit fehlender Absehbarkeit, dass mündliche Angaben später Grundlage einer Datenverarbeitung sein werden, oder das Vorliegen eines Autoritätsverhältnisses zwischen den Gesprächspartnern).

[32] Dem Ziel der Erreichung eines hohen Schutzniveaus für personenbezogene Daten, das mit der DSGVO verfolgt wird, könnte es aber auch unter diesem Gesichtspunkt entsprechen, das Gebot der Transparenz hinsichtlich der Datenverarbeitung auch auf „Hintermänner“ oder jegliche Informationsquelle einer inhaltlich (behauptetermaßen) rufschädigenden Behauptung zu erstrecken, und zwar unabhängig davon, ob dieser Person bewusst oder absehbar war, dass die von ihr erteilte Gesprächsinformation Grundlage für eine Datenverarbeitung von „personenbezogenen Daten“ im Sinn der DSGVO ist und ob sie auf eine vertrauliche Behandlung des mündlichen Gesprächs vertraut hat.

3. Frage 3.

[33] Die 3. Frage betrifft die Problematik, ob allein ein Verstoß gegen die Auskunftspflicht nach Art 15 DSGVO – sei es durch die gänzliche Unterlassung der Auskunft, deren verspätete, teilweise oder widersprüchliche Erfüllung – den Anspruch auf Ersatz des dadurch entstandenen Schadens (hier in Form eines immateriellen Schadens [Ärger]) nach Art 82 DSGVO nach sich ziehen kann.

[34] Begehren auf Schadenersatz wegen eines Verstoßes gegen Auskunftspflichten nach der DSGVO wurden bisher unterschiedlich behandelt. Teilweise haben nationale (deutsche) Gerichte Schadenersatz nach Art 82 Abs 2 DSGVO bei Verstößen gegen Art 15 DSGVO verweigert, teilweise aber auch zuerkannt (siehe dazu die Nachweise in Dreyer/Füllsack, Der Auskunftsanspruch gem. Art 15 DSGVO: Reichweite und Rechtsfolgen bei Verstößen, ITRB 2024, 206 [208 f, FN 21, 24 und 57 bis 60]).

[35] Nach Art 82 Abs 2 DSGVO knüpft die Haftung an einen „Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde“, an. Auch in Erwägungsgrund 146 wird auf den Ersatz von „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“, abgestellt.

[36] Für bestimmte Verstöße gegen Informationspflichten (betreffend Art 12 Abs 1 Satz 1 und Art 13 Abs 1 lit c und lit e DSGVO) hat der Gerichtshof der Europäischen Union – allerdings im Hinblick auf die Klagebefugnis eines Verbandes zur Einbringung einer Unterlassungsklage nach Art 80 DSGVO und zur Frage der dafür nötigen Voraussetzung, dass die Rechte einer betroffenen Person „infolge einer Verarbeitung“ im Sinne dieser Bestimmung verletzt wurden – erläutert, dass diese Informationen der betroffenen Person ermöglichen sollen, die Einwilligung in voller Kenntnis der Sachlage zu geben. Fehlt es (also von Beginn an) an der Kenntnis der vollen Sachlage, ist die Gültigkeit der Einwilligung und damit wiederum die Rechtmäßigkeit der Verarbeitung berührt. Ein Verstoß gegen das Informationsrecht, das der betroffenen Person aus den Art 12 und 13 DSGVO zusteht, ist dann als ein Verstoß gegen die Rechte der betroffenen Person „infolge einer Verarbeitung“ im Sinne von Art 80 Abs 2 DSGVO anzusehen (C‑757/22 , Meta Platforms Ireland Ltd/Bundesverband der Verbraucherzentralen und Verbraucherverbände VerbraucherzentraleBundesverband e. V., ECLI:EU:C:2024:598 [Rz 60 f]).

[37] Entstand in einem solchen Fall ein Schaden, lag dessen Verursachung in einer wegen der Verletzung der Informationspflicht „nicht dieser Verordnung entsprechenden Verarbeitung“ von Daten (mangels Einwilligung).

[38] Wiewohl aus dieser Entscheidung in der Literatur teilweise abgeleitet wird, dass jeder Verstoß gegen die DSGVO Schadenersatz nach sich ziehen könne (vgl Howe, Folgen der Verletzung datenschutzrechtlicher Informationspflichten, Anmerkung zum EuGH‑Urteil „App‑Zentrum“ C‑757/22 , CR 2024, 509 [514]), ist dies aus Sicht des vorlegenden Gerichts nicht acte clair und bedarf der Klärung durch den für die autonome Auslegung allein zuständigen Europäischen Gerichtshof.

[39] Gegen die Annahme, ein die Rechtsmäßigkeit der Verarbeitung betreffender Verstoß gegen die Informationspflichten via seines Einflusses auf die Wirksamkeit der Einwilligung zur Datenverarbeitung sei als gleichgelagert mit einem Verstoß gegen Informationspflichten, die von einer Einwilligung des Betroffenen unabhängig und der Verarbeitung der Daten nachgelagert sind, zu bewerten, könnte sprechen, dass die Informationspflicht nach Art 15 DSGVO mit einer Verarbeitung von Daten nicht zwingend in Zusammenhang steht. Sie kann sich etwa auch auf eine sogenannte „Negativauskunft“ beziehen, also etwa auch auf den Fall, dass überhaupt nie Daten der betroffenen Person verarbeitet wurden. Die Informationspflicht nach Art 15 DSGVO besteht auch dann, wenn die Einwilligung zu einer Datenverarbeitung in voller Kenntnis der Sachlage und wirksam erteilt wurde. Der der vorgenannten Entscheidung entnehmbare Konnex zwischen der Informationspflicht und der an die Einwilligung in voller Kenntnis aller Umstände geknüpften Rechtmäßigkeit der Datenverarbeitung fehlt bei der Inanspruchnahme des Rechts nach Art 15 Abs 1 DSGVO. Im vorliegenden Fall erfolgte die Verarbeitung der personenbezogenen Daten durch die Speicherung des Inhalts der E‑Mail und deren Versendung. Wird danach die Auskunft nach Art 15 DSGVO gar nicht erteilt, liegt gerade keine „weitere“ Verarbeitung von personenbezogenen Daten der betroffenen Person vor. Allerdings kann das Unterbleiben einer fristgerechten Auskunft Befürchtungen dahin wecken, dass – weil der Auskunftspflichtige den Bestimmungen der DSGVO zuwiderhandelt – er sich auch sonst bei der Verarbeitung der personenbezogenen Daten nicht regelhaft verhalten haben könnte. Es könnten mehrere (etwa auch verspätet) erteilte, widersprüchliche Auskünfte Unsicherheiten über die Rechtmäßigkeit einer Datenverarbeitung hervorrufen oder vertiefen.

[40] Wegen des von der DSGVO bezweckten hohen Schutzniveaus der betroffenen Person kann auch die Ansicht vertreten werden, es liege in einer verspäteten Auskunft selbst eine nicht der DSGVO entsprechende Verarbeitung personenbezogener Daten (anlässlich der Auskunftserteilung). Diese Wertung könnte auch auf eine widersprüchliche Auskunft und letztlich sogar auf das Unterbleiben einer Auskunft (als Unterbleiben einer von der DSGVO aufgrund eines Auskunftsersuchens angeordneten Verarbeitung) übertragen werden.

[41] Im konkreten Fall behauptet der Kläger, dem der Inhalt der E‑Mail bekannt ist, einen durch die Verletzung der Auskunftspflicht (durch die „dreiste Abrede des Beklagten, überhaupt personenbezogene Daten des Klägers besessen zu haben“) entstandenen Schaden in Form negativer Gefühle („äußerst erbost“). Damit wird ein allein durch die Unterlassung der Erfüllung der Auskunftspflicht nach Art 15 Abs 1 DSGVO verursachter Schaden behauptet, für den nicht klar ist, ob er nach Art 82 Abs 2 DSGVO ersatzfähig ist.

4. Zu Frage 4.

[42] Der Gerichtshof der Europäischen Union hat zwar in dem zu C‑172/91 (Volker Sonntag/Hans Waidmann ua; ECLI:EU:C:1993:144) entschiedenen Fall die Einstufung des Verhaltens eines Lehrers in dem Vertragsstaat, aus dem er stammt, als Ausübung hoheitlicher Befugnisse für unzutreffend und ohne Bedeutung gehalten. Anders als damals geht es aber hier nicht um die Frage der Unterstellung einer (bereits gefällten) Entscheidung über Schadenersatz unter den Begriff Zivilrechtssache im Sinne des Artikel 1 des Brüsseler Übereinkommens vom 27. September 1968, sondern um die Anwendung von Normen im Rahmen eines Verfahrens über eine Schadenersatzklage in dem Staat, in dem bestimmte nationale Normen Geltung haben und um den Vorrang des Unionsrechts.

[43] Nach nationalem Recht könnte der Geschädigte das Organ nicht klagen, denn es haftet „für den Schaden am Vermögen oder an der Person, den die als ihre Organe handelnden Personen in Vollziehung der Gesetze durch ein rechtswidriges Verhalten wem immer schuldhaft zugefügt haben“, (nur) der jeweilige Rechtsträger. Ist daher ein „Verantwortlicher“ nach Art 4 Z 7 DSGVO anlässlich der Datenverarbeitung in Vollziehung der Gesetze im Sinn des § 1 Abs 1 Amtshaftungsgesetz tätig gewesen, verhinderte die Anwendung des nationalen Rechts seine direkte Inanspruchnahme. Der Geschädigte könnte sich mit seinen Schadenersatzansprüchen nur an die in § 1 Amtshaftungsgesetz genannten Rechtsträger wenden.

[44] Angesichts der in Art 82 Abs 2 DSGVO ausgedrückten (direkten) Haftung des Verantwortlichen stellt sich die Frage, ob die nationalen Bestimmungen der §§ 1 und 9 Amtshaftungsgesetz, soweit Ansprüche gegen einen „Verantwortlichen“ geltend gemacht werden, als dem vorrangigen Unionsrecht entgegenstehend unangewendet zu bleiben haben.

Zu II.:

[45] Der Ausspruch über die Aussetzung des Verfahrens bis zur Erledigung des Vorabentscheidungsersuchens gründet sich auf § 90a Abs 1 GOG.

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)

Stichworte