Entscheidungen
OGH Entscheidungen
OGH Volltexte

OGH 6Ob174/25v

OGH6Ob174/25v22.4.2026

Der Oberste Gerichtshof hat durch die Senatspräsidentin Dr. Hofer‑Zeni‑Rennhofer als Vorsitzende sowie die Hofrätinnen und Hofräte Hon.‑Prof. Dr. Faber, Mag. Pertmayr, Dr. Weber und Mag. Nigl LL.M. als weitere Richter in der Rechtssache der klagenden Partei Dipl.‑Ing. H*, vertreten durch Mag. Marcus Hohenecker, Rechtsanwalt in Groß‑Enzersdorf, gegen die beklagte Partei Republik Österreich (Bund), vertreten durch die Finanzprokuratur in Wien, wegen Auskunft, 100 EUR und Feststellung, über den Revisionsrekurs der klagenden Partei gegen den Beschluss des Oberlandesgerichts Linz als Rekursgericht vom 10. September 2025, GZ 1 R 91/25w‑21, mit dem der Beschluss des Landesgerichts Steyr vom 31. Juli 2025, GZ 9 Cg 18/25d-17, bestätigt wurde, in nichtöffentlicher Sitzung den

Beschluss

gefasst:

European Case Law Identifier: ECLI:AT:OGH0002:2026:0060OB00174.25V.0522.000

Rechtsgebiet: Zivilrecht

Fachgebiet: Datenschutzrecht

Entscheidungsart: Ordentliche Erledigung (Sachentscheidung)

 

Spruch:

Dem Revisionsrekurs wird in Ansehung der begehrten Auskunft (Punkt I. des Klagebegehrens) nicht Folge gegeben.

In Ansehung der geltend gemachten Ansprüche auf Zahlung und Feststellung (Punkte II. und III. des Klagebegehrens) werden die Beschlüsse der Vorinstanzen ersatzlos aufgehoben. Dem Erstgericht wird die Einleitung des gesetzlichen Verfahrens über die Punkte II. und III. der Klage unter Abstandnahme vom gebrauchten Zurückweisungsgrund aufgetragen.

Die Kosten des Verfahrens dritter Instanz sind weitere Verfahrenskosten.

 

Begründung:

[1] Der Kläger begehrt von der Beklagten, ihm „eine vollständige und richtige Auskunft nach Art 15 DSGVO“ zu erteilen, sowie die Zahlung von 100 EUR und die Feststellung der Haftung für Schäden, die ihm aus einer mangelhaften Erledigung seines Auskunftsersuchens entstünden.

[2] Er brachte vor, die Beklagte habe im Zuge mehrerer Sicherheitsbewertungen als Verantwortliche iSd Art 4 Z 7 DSGVO personenbezogene Daten des Klägers verarbeitet. Ihm sei mitgeteilt worden, dass die Sicherheitseinschätzung im Zusammenhang mit der Nutzung der Online-Akkreditierung des Bundespressedienstes durch den Kläger eine negative Empfehlung ergeben habe. Er habe mit vier Schreiben Auskunft über seine von der Direktion Staatsschutz und Nachrichtendienst (künftig: DSN) verarbeiteten personenbezogenen Daten begehrt, aber mit Schreiben vom 28. 10. 2024 nur eine unvollständige Auskunft erhalten. Infolge dessen habe er sich keine Kenntnis über die Verarbeitung seiner personenbezogenen Daten durch die Beklagte verschaffen können und einen als Schaden zu qualifizierenden Kontrollverlust erlitten. Zum Feststellungsbegehren brachte er vor, aufgrund der Unvollständigkeit der Auskunft könne er die Verarbeitung seiner personenbezogenen Daten nicht überprüfen, wodurch die Gefahr der Verbreitung unrichtiger Daten bestehe. Er begehre Auskunft über „sämtliche Datenverarbeitungsvorgänge“, „unabhängig davon, ob diese im Zusammenhang mit Sicherheitsüberprüfungen oder anderen Tätigkeiten“ stünden. Selbst wenn die DSN im Rahmen ihrer hoheitlicher Tätigkeit gemäß dem Staatsschutz- und Nachrichtendienst-Gesetz (SNG) oder dem Sicherheitspolizeigesetz (SPG) handle, bedeute dies nicht, dass sämtliche Ansprüche auf Auskunft automatisch dem Verwaltungsrechtsweg zugewiesen seien. Das Auskunftsbegehren umfasse auch Verarbeitungen, die „möglicherweise privatwirtschaftlich oder administrativ geprägt“ seien. Art 15 DSGVO räume ein im Zivilrechtsweg klagbares Recht ein. Die Zulässigkeit ausschließlich des Verwaltungsrechtswegs würde die Rechtsdurchsetzung erheblich erschweren. Sollte die DSGVO (teilweise) nicht zur Anwendung kommen, bestehe ein inhaltsgleicher Auskunftsanspruch nach § 44 DSG und ein vergleichbarer Anspruch auf Schadenersatz gemäß (richtig:) § 29 DSG.

[3] Die beklagte Republik bestritt die Zulässigkeit des Rechtswegs, weil die Tätigkeit der DSN behördlich, in Ausübung der Sicherheitspolizei, erfolge. Das Erteilen einer datenschutzrechtlichen Auskunft durch eine Behörde sei Ausfluss der Hoheitsverwaltung, ein privatwirtschaftliches Handeln der DSN sei gesetzlich nicht vorgesehen. Die DSGVO komme auf Datenverarbeitungen durch die DSN gemäß Art 2 Abs 2 lit d DSGVO nicht zur Anwendung. Das Klagebegehren sei auch nicht berechtigt.

[4] Das Erstgericht wies die Klage wegen Unzulässigkeit des Rechtswegs zurück.

[5] Das Rekursgericht gab dem Rekurs des Klägers nicht Folge. Es ließ den Revisionsrekurs zur Frage der Rechtswegzulässigkeit in der vorliegenden Konstellation zu.

[6] Rechtlich führte es aus, die Verarbeitung personenbezogener Daten durch die DSN sei gemäß Art 2 Abs 2 lit d DSGVO vom Anwendungsbereich der DSGVO ausgeschlossen. Die Verarbeitung personenbezogener Daten auf dem Gebiet des Verfassungsschutzes sei im dritten Hauptstück des DSG geregelt. Das Auskunftsrecht der betroffenen Person sei nach § 44 DSG zu beurteilen. Die behauptete Rechtsverletzung sei vor der Datenschutzbehörde mit Rechtszug zum Bundesverwaltungsgericht geltend zu machen.

[7] In seinem Revisionsrekurs steht der Kläger auf dem Standpunkt, aufgrund der dem nationalen Recht vorgehenden Anordnung eines doppelgleisigen Rechtsschutzes in Art 79 DSGVO seine Ansprüche zulässiger Weise im ordentlichen Rechtsweg geltend zu machen.

[8] Die beklagte Republik beantragte in ihrer Rechtsmittelbeantwortung, den Revisionsrekurs des Klägers zurückzuweisen, hilfsweise, ihm nicht Folge zu geben.

Rechtliche Beurteilung

[9] Der Revisionsrekurs ist zulässig und teilweise berechtigt.

I. Zum Auskunftsanspruch

1. Zur Doppelgleisigkeit des Rechtsschutzes

1.1. Rechtsschutz nach der DSGVO

[10] 1.1.1. Nach ständiger Rechtsprechung gilt für Ansprüche, die auf die DSGVO gestützt werden, wegen des Anwendungsvorrangs des unmittelbar wirkenden Unionsrechts (hier insbesondere Art 77, 79 DSGVO und ErwGr 141 zur DSGVO; vgl allgemein RS0109951) vor dem aus Art 94 Abs 1 B-VG abgeleiteten Verbot von Parallelzuständigkeiten (vgl dazu sogleich) die Doppelgleisigkeit des Rechtsschutzes (6 Ob 143/23g Rz 11; 6 Ob 62/25y Rz 10; 6 Ob 91/19d ErwGr 4; vgl auch VfGH G 212/2023). Der Betroffene kann daher sowohl verwaltungsbehördlichen als auch „gerichtlichen“ – im Sinn der autonomen Auslegung durch den EuGH – Rechtsschutz in Anspruch nehmen (RS0132578 [T1]), soweit davon keine Ausnahmen normiert sind (vgl nur Art 55 Abs 3 DSGVO).

[11] Dabei ist es nach dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten Sache der einzelnen Mitgliedstaaten, die Modalitäten für das Verwaltungsverfahren und das Gerichtsverfahren zu regeln, die ein hohes Schutzniveau der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleisten sollen. Die Modalitäten der Durchführung dieser nebeneinander bestehenden und voneinander unabhängigen Rechtsbehelfe dürfen die praktische Wirksamkeit und den wirksamen Schutz der durch die DSGVO garantierten Rechte nicht in Frage stellen. Sie dürfen nämlich nicht weniger günstig ausgestaltet sein als für entsprechende innerstaatliche Rechtsbehelfe (Grundsatz der Äquivalenz) und die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (EuGH C‑132/21, Budapesti Elektromos Művek, Rn 45 ff).

[12] 1.1.2. Der Begriff „Gericht“ gemäß Art 79 DSGVO ist autonom auszulegen. Darunter sind im Sinn des Art 47 GRC alle durch Gesetz errichteten (inhaltlich und persönlich) unabhängigen, ständigen Einrichtungen zu verstehen, die mit bindender Wirkung über Rechtsfragen in einem „streitigen“ Verfahren – wobei es sich beim kontradiktorischen Charakter nicht um ein absolutes Kriterium handelt (vgl EuGH C-17/00, Coster, Rn 10 ff, insb Rn 14) – entscheiden (6 Ob 62/25y Rz 15; Leupold/Schrems in Knyrim, DatKomm [53. Lfg 2021] Art 79 DSGVO Rz 21; Martini in Paal/Pauly, DS-GVO4 [2026] Art 79 Rz 14). In Österreich fallen darunter die Gerichte der ordentlichen Gerichtsbarkeit, Verwaltungsgerichtshof (VwGH) und Verfassungsgerichtshof (VfGH) sowie das Bundes- und die Landesverwaltungsgerichte (6 Ob 62/25y Rz 16; Leupold/Schrems in Knyrim, DatKomm, Art 79 DSGVO Rz 21).

[13] 1.1.3. Der Senat tritt der Anregung des Klägers, ein Vorabentscheidungsersuchen zur Frage einzuholen, ob der Umstand, dass ein Verantwortlicher iSv Art 4 Z 7 DSGVO hoheitlich handeln kann, den ordentlichen Rechtsweg ausschließe (sowie daran geknüpfte Folgefragen, die die Anwendung dieser Verordnung voraussetzen würden), nicht näher: Ausgehend davon, dass der EuGH die Ausgestaltung des von Art 77 bis 79 DSGVO angeordneten doppelgleisigen Rechtsschutzes der Verfahrensautonomie der Mitgliedstaaten zugeordnet hat (EuGH C‑132/21, Budapesti Elektromos Művek, Rn 45), ist bereits klargestellt (acte éclairé), dass das Unionsrecht nicht determiniert, ob die Gewährung des Rechts auf einen wirksamen gerichtlichen Rechtsbehelf iSd Art 79 DSGVO nach innerstaatlicher Systematik im Weg der Verwaltungs‑ oder der ordentlichen Gerichtsbarkeit (im Sinn österreichischer Terminologie) zu erfolgen hat. Die Frage, ob hoheitliches Handeln im Sinn des nationalen österreichischen Rechtsverständnisses einen Rechtsschutz im Weg der ordentlichen Gerichtsbarkeit ausschließt oder nicht, betrifft daher keine durch den EuGH zu klärende Rechtsfrage. Die vom Kläger zitierte Entscheidung des EuGH in den verbundenen Rechtssachen C‑26/22, C‑64/22, Schufa, betrifft die Ausgestaltung des wirksamen gerichtlichen Rechtsbehelfs gegen die Aufsichtsbehörde und ist daher im vorliegenden Fall nicht einschlägig.

1.2. Rechtsschutz nach nationalem Recht

[14] 1.2.1. Nach österreichischem Verfassungsrecht kann der Gesetzgeber eine bestimmte Aufgabe der Vollziehung nach dem Grundsatz der Gewaltentrennung (Art 94 B-VG) nur entweder der Gerichtsbarkeit oder der Verwaltung, dagegen nicht sowohl der Gerichtsbarkeit als auch der Verwaltung übertragen. Es dürfen also nicht Gerichte und Verwaltungsbehörden zur Entscheidung in derselben Sache berufen werden (1 Ob 329/97g; Grabenwarter/Frank, B-VG2 [2025] Art 94 Rz 2; Muzak, B‑VG6 [2020] Art 94 Rz 2; vgl RS0045475; RS0010522 [T4, T5]; RS0057252).

[15] Diesem Grundsatz entsprechend ist der Rechtsschutz im DSG (konkret: 3. Abschnitt des 2. Hauptstücks) nicht doppelgleisig ausgestaltet:

[16] Nach § 24 Abs 1 DSG hat grundsätzlich jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück DSG verstößt. § 27 DSG ordnet einen Rechtszug von der Datenschutzbehörde zum Bundesverwaltungsgericht (BVwG) an. Lediglich für die in § 29 DSG angesprochenen Schadenersatzansprüche legt das DSG implizit die Zulässigkeit des Rechtswegs vor den ordentlichen Gerichten zugrunde.

[17] 1.2.2. Sämtliche die Doppelgleisigkeit des Rechtsschutzes im Sinn der Zulässigkeit auch des Zivilrechtswegs bejahenden Entscheidungen (6 Ob 131/18k; 6 Ob 91/19d; 6 ObA 1/18t; 6 Ob 127/20z; 6 Nc 19/21b; 6 Ob 20/23v; vgl RS0132578) betrafen Streitigkeiten zwischen Privaten und somit gegen Private gerichtete Ansprüche nach der DSGVO (vgl 6 Ob 143/23g Rz 12).

[18] Im vorliegenden Fall richtet der Kläger seinen Auskunftsanspruch gegen eine mit hoheitlichen Befugnissen ausgestattete Organisationseinheit (dazu unten). Die angeführten Entscheidungen sind daher – jedenfalls nicht unmittelbar – einschlägig.

1.3. Zwischenergebnis

[19] Als Zwischenergebnis ist festzuhalten, dass die Doppelgleisigkeit des Rechtsschutzes durch die Datenschutzbehörde und die Zivilgerichte bei Datenschutzverletzungen nur im Anwendungsbereich der – unmittelbar wirkenden – DSGVO zum Tragen kommt. Soweit der Kläger die Zulässigkeit des ordentlichen Rechtswegs aus der Doppelgleisigkeit des Rechtsschutzes ableitet, setzt dies daher die Anwendbarkeit der DSGVO voraus.

2. Zur Anwendung der DSGVO

2.1. Zu den Ausnahmen nach Art 2 Abs 2 lit a und d DSGVO

[20] Art 2 Abs 2 DSGVO normiert (eng auszulegende [vgl EuGH C-33/22, Österreichische Datenschutzbehörde, Rn 37]) Ausnahmen vom sachlichen Anwendungsbereich der Verordnung.

2.1.1. Zu Art 2 Abs 2 lit a DSGVO

[21] 2.1.1.1. Nach Art 2 Abs 2 lit a DSGVO findet diese Verordnung keine Anwendung auf die Verarbeitung personenbezogener Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt.

[22] Die Ausnahme erfasst Verarbeitungen personenbezogener Daten, die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit dient, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vorgenommen werden (EuGH C‑33/22, Österreichische Datenschutzbehörde, Rn 37 mwN; vgl ErwGr 16 zur DSGVO). Sie hat einen kompetenzrechtlichen Hintergrund (vgl Kühling/Raab in Kühling/Buchner, Datenschutz-Grundverordnung/BDSG4 [2024] Art 2 DS-GVO Rz 21; von Lewinski in Auernhammer, DSGVO BDSG7 [2020] Art 2 DSGVO Rz 17). Unter der Verantwortung für die nationale Sicherheit ist das zentrale Anliegen zu verstehen, die wesentlichen Funktionen des Staates und die grundlegenden Interessen der Gesellschaft zu schützen (EuGH C-33/22, Österreichische Datenschutzbehörde, Rn 46;  C‑439/19, Latvijas Republikas Saeima, Rn 67; C‑306/21, Koalitsia Demokratichna Bulgaria – Obedinenie, Rn 40). Sie umfasst die Verhütung und Repression von Tätigkeiten, die geeignet sind, die tragenden Strukturen eines Landes im Bereich der Verfassung, Politik oder Wirtschaft oder im sozialen Bereich in schwerwiegender Weise zu destabilisieren und insbesondere die Gesellschaft, die Bevölkerung oder den Staat als solchen unmittelbar zu bedrohen, wie insbesondere terroristische Aktivitäten (EuGH, verbundene Rechtssachen C‑511/18, 512/18, 520/18, La Quadrature du Net, Rn 135; vgl Zerdick in Ehmann/Selmayr, DS-GVO3 [2024] Art 2 DSGVO Rz 8).

[23] Der Umstand, dass der Verantwortliche eine Behörde ist, deren Haupttätigkeit in der Gewährleistung der nationalen Sicherheit besteht, reicht allerdings nicht aus, um Verarbeitungen personenbezogener Daten durch diese Behörde im Rahmen anderer von ihr durchgeführter Tätigkeiten vom Anwendungsbereich der DSGVO auszunehmen, weil es auf die Natur der Tätigkeit und nicht auf die Person des Verantwortlichen ankommt (vgl EuGH C‑.33/22, Österreichische Datenschutzbehörde, Rn 51, vgl Rn 46).

[24] 2.1.1.2. Unter den Ausnahmetatbestand des Art 2 Abs 2 lit a DSGVO fallen die Verarbeitung von Daten zu Zwecken der nationalen Sicherheit durch Sicherheitsbehörden (Feiler/Forgó, EU-DSGVO und DSG2 [2022] Art 2 DSGVO Rz 8; Ennöckl in Sydow/Marsch, DS-GVO/BDSG³ [2022] Art 2 DSGVO Rz 8) sowie die Tätigkeiten der In- und Auslandsgeheimdienste (Zerdick in Ehmann/Selmayr, DS‑GVO3 Art 2 DSGVO Rz 8; vgl hingegen von Lewinski in Auernhammer, DSGVO, BDSG7 § 2 DSGVO Rz 24 [demnach fallen Nachrichtendienste unter Art 2 Abs 2 lit b DSGVO]; weitere Beispiele bei Kühling/Raab in Kühling/Buchner, Datenschutz-Grundverordnung/BDSG4 Art 2 Rz 21).

[25] 2.1.1.3. Das deutsche Bundesverwaltungsgericht judiziert, dass die DSGVO nach ihrem Art 2 Abs 2 lit a auf die Datenverarbeitung durch den Bundesnachrichtendienst keine Anwendung findet (dBVerwG 6 A 7.18 Rz 43; 6 A 3.22 Rz 44).

2.1.2. Zu Art 2 Abs 2 lit d DSGVO

[26] 2.1.2.1. Nach Art 2 Abs 2 lit d DSGVO findet die DSGVO keine Anwendung auf die [...] Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

[27] Der Ausnahmetatbestand des Art 2 Abs 2 lit d DSGVO setzt voraus, das die Verarbeitungstätigkeit für die beschriebenen strafrechtlichen Zwecke erfolgt und von einer „zuständigen Behörde“ durchgeführt wird (Zerdick in Ehmann/Selmayr, DS-GVO3 Art 2 DSGVO Rz 15; EuGH C‑817/19, Ligue des droits humains, Rn 67).

[28] Für die Verarbeitung zu solchen Zwecken und durch die „zuständigen Behörden“ gilt nicht die DSGVO, sondern ein spezifischer Rechtsakt der Union, nämlich die (am selben Tag wie die DSGVO erlassene) Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (künftig: DSRL-PJ, auch: Polizei-RL; vgl C‑439/19, Latvijas Republikas Saeima, Rn 69; ErwGr 19 zur DSGVO).

[29] 2.1.2.2. Unter der „zuständigen Behörde“ gemäß Art 3 Abs 7 lit a DSRL-PJ und Art 2 Abs 2 lit d DSGVO (zum Gleichklang der Definitionen vgl EuGH C-817/19, Ligue des droits humains, Rn 78; C‑439/19, Latvijas Republikas Saeima, Rn 69) ist eine staatliche Stelle zu verstehen, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zuständig ist.

[30] 2.1.2.3. Von der Ausnahmebestimmung des Art 2 Abs 2 lit d DSGVO erfasst sind Datenverarbeitungen zu präventiven und zu repressiven Zwecken; darunter fallen in Österreich insbesondere jene nach der StPO, dem SPG, dem PStSG – Polizeiliches Staatsschutzgesetz, des nunmehrigen SNG (vgl ErläutRV 937 BlgNR 27. GP  2 zum neuen Titel des Gesetzes) – und dem StVG (Zerdick in Ehmann/Selmayr, DS‑GVO3 Art 2 DSGVO Rz 13; Heißl in Knyrim, DatKomm, Art 2 DSGVO [24. Lfg 2019] Rz 81; Feiler/Forgó, EU‑DSGVO und DSG2 Art 2 DSGVO Rz 13). Erfasst sind auch polizeiliche Tätigkeiten in Fällen, in denen nicht von vornherein bekannt ist, ob es sich um Straftaten handelt oder nicht (ErwGr 12 DSRL-PJ), wobei der Begriff Straftat als eigenständiger Begriff des Unionsrechts zu verstehen ist (ErwGr 13 DSRL-PJ; vgl dazu EuGH C‑439/19, Latvijas Republikas Saeima, Rn 87; C-481/19, Consob, Rn 42; C‑537/16 Garlsson Real Estate, Rn 28; C-489/10, Bonda, Rn 37 je mwN).

[31] (Nur) Soweit die Mitgliedstaaten die zuständigen Behörden auch mit anderen Aufgaben betrauen, die nicht zwangsläufig für die Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit ausgeführt werden (vgl ErwGr 19 zur DSGVO), kommt, soweit die Tätigkeit in den Anwendungsbereich des Unionsrechts fällt, die DSGVO zur Anwendung (vgl die ErläutRV 1664 BlgNR 25. GP  16).

[32] 2.1.3.4. Kapitel III DSRL-PJ über die Rechte der betroffenen Person wurde (gemeinsam mit den übrigen Kapiteln I bis V) im 3. Hauptstück des DSG umgesetzt; die Umsetzung von Kapitel VIII DSRL-PJ (Rechtsbehelfe, Haftung und Sanktionen) erfolgte im 5. Abschnitt des 3. Hauptstücks des DSG (ErläutRV 1664 BlgNR 25. GP  15 f; vgl Bergauer, Überblick über die österreichische Umsetzung der Richtlinie [EU] 2016/680 für den Bereich der Strafverfolgung, in Jahnel, Datenschutzrecht, Jahrbuch 2017 [2017], 281 ff).

[33] Das 3. Hauptstück des DSG ist zusätzlich auf jene in § 36 Abs 1 DSG angeführten Datenverarbeitungen anzuwenden, die nicht in den Anwendungsbereich des Unionsrechts, also weder unter die DSGVO noch die DSRL-PJ (Art 2 Abs 3 lit a DSRL-PJ; ErwGr 14 zur DSRL-PJ) fallen (ErläutRV 1664 BlgNR 25. GP  16).

[34] Das nationale Recht – das aufgrund der Umsetzungsbedürftigkeit von EU‑Richtlinien maßgeblich ist – sieht neben der Beschwerdemöglichkeit bei der Datenschutzbehörde darüber hinaus punktuell einen dualen Rechtsschutz im sachlichen Anwendungsbereich der DSRL‑PJ vor (vgl VfGH G212/2023 ErwGr 4.2.1. zum gerichtlichen Rechtsschutz gemäß StPO und StAG für Datenverarbeitungen durch die Staatsanwaltschaften im Rahmen des strafprozessualen Ermittlungsverfahrens).

2.2. Zur Direktion Staatsschutz und Nachrichtendienst (DSN) und deren Datenverarbeitungen

[35] 2.2.1. Die DSN ist eine Organisationseinheit der Generaldirektion für die öffentliche Sicherheit (§ 1 Abs 3 SNG; Heißl in Heißl/Figl, SNG2 [2023] § 1 Rz 47), welche ihrerseits eine Organisationseinheit des Bundesministeriums für Inneres ist (Pürstl/Zirnsack, SPG² [2011] § 6 Anm 3; Figl in Heißl/Figl, SNG2 § 2 Rz 2). Der DSN (sowie den im vorliegenden Fall nicht interessierenden für Staatsschutz zuständigen Organisationseinheiten der Landespolizeidirektionen, vgl § 1 Abs 3 SNG) ist die Aufgabe des Verfassungsschutzes zugewiesen (vgl Heißl in Heißl/Figl, SNG2 § 1 Rz 32). Dieser erfolgt gemäß § 1 Abs 1 SNG in Ausübung der Sicherheitspolizei.

[36] Nach § 1 Abs 2 SNG dient der Verfassungsschutz dem Schutz der verfassungsmäßigen Einrichtungen und ihrer Handlungsfähigkeit sowie von Vertretern ausländischer Staaten, internationaler Organisationen und anderer Völkerrechtssubjekte nach Maßgabe völkerrechtlicher Verpflichtungen, kritischer Infrastruktur und der Bevölkerung vor terroristisch, ideologisch oder religiös motivierter Kriminalität, vor Gefährdungen durch Spionage, durch nachrichtendienstliche Tätigkeit und durch Proliferation sowie der Wahrnehmung zentraler Funktionen der internationalen Zusammenarbeit in diesen Bereichen.

[37] Der Verfassungsschutz besteht aus Staatsschutz und Nachrichtendienst (§ 1 Abs 4 Satz 1 SNG). Der Staatsschutz umfasst den vorbeugenden Schutz vor verfassungsgefährdenden Angriffen. Daneben kommt diesem die Wahrnehmung der Aufgaben nach dem SPG und der StPO im Zusammenhang mit verfassungsgefährdenden Angriffen zu (§ 1 Abs 4 Satz 2 und 3 SNG). Der Nachrichtendienst umfasst die Gewinnung und Analyse von Informationen für Zwecke des Abs 2 sowie die erweiterte Gefahrenerforschung (§ 1 Abs 4 Satz 4 SNG).

[38] Die DSN wird bei Vollziehung des SNG für den Bundesminister für Inneres tätig (§ 1 Ab 6 SNG). Bei ihr sind – organisatorisch getrennt (Heißl in Heißl/Figl, SNG2 § 2 Rz 2) – sowohl der Nachrichtendienst als auch der Staatsschutz (dieser zusätzlich bei den für Staatsschutz zuständigen Organisationseinheiten der Landespolizei direktionen, vgl Heißl in Heißl/Figl, SNG2 § 1 Rz 49) angesiedelt. Nach § 4 Z 3 SNG erfüllt die DSN für den Bundesminister für Inneres auch die – vom Kläger angesprochene – Durchführung von Sicherheitsüberprüfungen gemäß § 55 SPG.

[39] 2.2.2. Die Sicherheitsüberprüfung ist die Abklärung der Vertrauenswürdigkeit eines Menschen anhand personenbezogener Daten, die Aufschluss darüber geben, ob Anhaltspunkte dafür bestehen, dass er gefährliche Angriffe (iSd § 16 Abs 2 SPG, vgl Weiss in Thanner/Vogl, SPG3 [2024] § 55 Rz 5) begehen werde (§ 55 Abs 1 SPG).

[40] Nach der Legaldefinition des § 16 Abs 2 SPG ist ein gefährlicher Angriff die Bedrohung eines Rechtsgutes durch die rechtswidrige Verwirklichung des Tatbestands einer gerichtlich strafbaren Handlung, die vorsätzlich begangen und nicht bloß auf Verlangen eines Verletzten verfolgt wird, sofern es sich um einen Straftatbestand nach einem der in § 16 Abs 2 Z 1 bis 5 SPG aufgezählten Gesetze handelt (vgl Giese in Thanner/Vogl, SPG3 § 16 SPG Rz 3).

[41] Die Sicherheitsüberprüfung gemäß § 55 SPG erfüllt damit die Zwecke der „Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten […] einschließlich der Abwehr von Gefahren für die öffentliche Sicherheit“ iSv Art 2 Abs 2 lit d DSGVO und Art 1 Abs 1 DSRL-PJ. Soweit die DSN gemäß § 4 Z 3 SNG für das Bundesministerium für Inneres Sicherheitsüberprüfungen durchführt, ist sie auch – wie bereits das Rekursgericht zutreffend ausführte – als „zuständige Behörde“ iSv Art 2 Abs 2 lit d DSGVO und Art 3 Z 7 DSRL-PJ zu qualifizieren.

[42] Verarbeitungen personenbezogener Daten im Zuge von Sicherheitsüberprüfungen sind daher vom Ausnahmetatbestand des Art 2 Abs 2 lit d DSGVO erfasst.

2.3. Zum konkreten Fall

[43] 2.3.1. Bereits aus den gesetzlich der DSN zugewiesenen Aufgaben ergibt sich, dass davon Tätigkeiten betroffen sind, die unter die Ausnahmetatbestände des Art 2 Abs 2 lit a und d DSGVO fallen.

[44] 2.3.2. Konkret bezog sich der Kläger in seinem Vorbringen zum Auskunftsanspruch ausschließlich auf die Durchführung von Sicherheitsüberprüfungen durch die DSN. Die zu diesem Zweck durchgeführten Datenverarbeitungen unterliegen allerdings – wie ausgeführt – dem Ausnahmetatbestand des Art 2 Abs 2 lit d DSGVO. Das Rechtsschutzsystem der DSGVO kommt für diese Verarbeitungen daher nicht zur Anwendung.

[45] Soweit der Kläger in seinem Vorbringen – ohne Anhaltspunkte dafür nennen zu können – mutmaßte, die Verarbeitung seiner personenbezogener Daten durch die DSN könnte auch „zu administrativen, organisatorischen oder sonstigen Zwecken (zB Personalverwaltung, Kommunikation)“ erfolgen, vermag er nicht darzulegen, welche Verarbeitungen, die unter den Anwendungsbereich der DSGVO fallen, damit angesprochen sein sollen: Dass er in einem Dienstverhältnis zum Bundesministerium für Inneres stehe („Personalverwaltung“), behauptete er nicht. Der Begriff „Kommunikation“ bleibt gänzlich unbestimmt. Das Klagevorbringen lässt nicht erkennen, welche – in den Anwendungsbereich des Unionsrechts fallenden – Aufgaben der DSN nach seiner Ansicht zugewiesen sind, sodass zu ihren Gunsten „administrative“ oder „organisatorische“ Tätigkeiten oder „Kommunikation“ durchzuführen wären, die der DSGVO unterliegen würden. Solche sind auch nicht zu erkennen.

[46] 2.3.3. Auch der Revisionsrekurs beschränkt sich darauf, abstrakt die Anwendbarkeit der DSGVO auf Datenverarbeitungen durch die DSN außerhalb der Zwecke der „Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Gefahrenabwehr“ zu postulieren, ohne darzutun, inwiefern ein solcher Tätigkeitsbereich der DSN vor dem Hintergrund der ihr gesetzlich zugewiesenen Aufgaben vorliegt. Derartige Datenverarbeitungen sind auch nicht ersichtlich.

2.4. Zwischenergebnis

[47] Der Kläger kann die in der DSGVO angeordnete Doppelgleisigkeit des Rechtsschutzes nicht für sein Auskunftsbegehren in Anspruch nehmen.

[48] Soweit der Kläger eine Ineffektivität des Rechtsschutzes daraus ableitet, dass er im Fall der Bejahung der Zulässigkeit des ordentlichen Rechtswegs nicht damit konfrontiert wäre, seinen Auskunftsanspruch im verwaltungsgerichtlichen Weg verfolgen zu müssen und auch nicht die mit der Klagezurückweisung im Zivilprozess verbundenen Kostenfolgen zu tragen hätte, kann daraus weder die Anwendbarkeit der DSGVO auf den vorliegenden Fall noch die Ineffektivität des ihm zur Verfügung stehenden Rechtsschutzes abgeleitet werden.

3. Keine Zulässigkeit des Zivilrechtswegs nach nationalem Recht

[49] 3.1. Soweit der Kläger für den Fall der Nicht-Anwendbarkeit der DSGVO auf seinen Auskunftsanspruch nach § 44 DSG verweist, steht ihm zu dessen Geltendmachung der ordentliche Rechtsweg nicht zur Verfügung:

[50] 3.2. Dieser scheitert hier zum einen daran, dass der hier geltend gemachte Auskunftsanspruch kein bürgerlich-rechtlicher Anspruch iSv § 1 JN ist. Darunter sind solche Ansprüche zu verstehen, die auf Gleichordnung beruhende Rechtsbeziehungen zwischen beliebigen Rechtssubjekten zum Gegenstand haben (6 Ob 143/23g Rz 13; vgl RS0045438). Ein solcher liegt im Zusammenhang mit der konkret behaupteten Sicherheitsüberprüfung nicht vor. Diese ist vielmehr einheitlich (RS0049948 [T4]) und – aufgrund des engen inneren und äußeren Zusammenhangs (RS0049948; RS0049897) – einschließlich der Beauskunftung der Datenverarbeitung dem hoheitlichen Bereich zuzuordnen. Auch sonst sind keine Aufgaben der DSN ersichtlich und werden solche vom Kläger auch nicht aufgezeigt, die auf einer Gleichordnung der Rechtssubjekte beruhen würden.

[51] 3.3. Zum anderen ist der (auch Entscheidungen über Auskunftsansprüche umfassende) Rechtsschutz im Zusammenhang mit Datenverarbeitungen durch die DSN – in Umsetzung der nicht unmittelbar anwendbaren (vgl nur RS0111214) Bestimmungen der DSRL-PJ – nach § 5 SNG iVm § 90 Abs 1 Satz 1 SPG iVm § 32 Abs 1 Z 4 DSG der Entscheidung durch die Datenschutzbehörde, nicht hingegen den Zivilgerichten, zugewiesen.

[52] Die Datenschutzbehörde entscheidet mit Bescheid; Rechtsschutz in Zusammenhang mit der Datenschutzbehörde wird durch die Zuständigkeit des BVwG für Beschwerden gewährt (§ 27 DSG). Von der Zuständigkeit der Datenschutzbehörde ausgenommen ist nach § 90 Satz 2 SPG lediglich die Beurteilung der Rechtmäßigkeit der Ermittlung von Daten durch – vom Kläger nicht behauptete – Ausübung verwaltungsbehördlicher Befehls- und Zwangsgewalt, die allerdings von § 88 SPG den Landesverwaltungsgerichten (und nicht den ordentlichen Gerichten) zugewiesen ist.

4. Auskunftsbegehren – Ergebnis

[53] Die Zurückweisung des Auskunftsbegehrens wegen Unzulässigkeit des Rechtswegs erweist sich aus den dargelegten Gründen als zutreffend.

 

II. Zu den Ansprüchen auf Schadenersatz und Feststellung der Haftung

[54] Der Kläger behauptet einen ihm durch die als hoheitliches Handeln zu qualifizierende Erteilung einer rechtswidrigen, weil den rechtlichen Anforderungen nicht genügenden Auskunft verursachten, bereits eingetretenen sowie drohenden zukünftigen Schaden, dessen Ersatz er von der beklagten Republik begehrt.

[55] Damit behauptet er eine ihm in Vollziehung der Gesetze durch ein rechtswidriges Organverhalten zugefügte Schädigung. Er macht sohin einen Amtshaftungsanspruch iSv § 1 Abs 1 AHG geltend. Dabei handelt es sich um einen bürgerlich-rechtlichen Anspruch iSv § 1 JN. Zur Entscheidung darüber ist gemäß § 9 Abs 1 AHG das mit der Ausübung der Gerichtsbarkeit in bürgerlichen Rechtssachen betraute Landesgericht, in dessen Sprengel die Rechtsverletzung begangen wurde, ausschließlich zuständig.

[56] Der von den Vorinstanzen angenommene Grund für die Zurückweisung der Klage im Umfang des geltend gemachten Schadenersatzanspruchs (des Zahlungs- und des Feststellungsbegehrens) liegt daher nicht vor.

 

III. Kostenentscheidung

[57] Der Kostenvorbehalt beruht auf § 52 Abs 1 ZPO.

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)

Stichworte