rating service  security service privacy service
 
2012/04/19 Neue Rechtsdurchsetzung nach EU-Datenschutzverordnung
MMag. Michael Krenn
Nach dem Entwurf zur neuen EU-Datenschutzverordnung müsste sich die österreichische Rechtsordnung signifikant ändern. Die Durchsetzung datenschutzrechlicher Ansprüche gegenüber Rechtsträgern des privaten und öffentlichen Rechts soll neu gestaltet werden.

Die geplanten Neuerungen (Art. 73–79) des Entwurfes werden nicht nur das zwischenstaatliche Zusammenspiel, sondern auch die österreichische Rechtsordnung im Bereich Datenschutz verändern. Vieles am vorliegenden Verordnungsentwurf ist in diesen Punkten allerdings noch unklar und kann auch durch entsprechende Erläuterungen nicht aufgeklärt werden - dennoch wird ein kurzer Überblick versucht:

Uneingeschränktes Beschwerderecht bei Aufsichtsbehörden und Gerichten

Art.73 der Datenschutzverordnung sieht die Beschwerde an die zuständige Aufsichtsbehörde - in Österreich die DSK - als uneingeschränkten Rechtsbehelf - auch gegenüber Rechtsträgern des Privatrechts - vor. Dies würde eine wesentliche Änderung bedeuten, da bislang bei Verstößen Privater gegen Datenschutzbestimmungen - mit Ausnahme des Auskunftsrechts - ausschließlich die ordentlichen Zivilgerichte zuständig waren. In Zukunft sollen beide Wege zur Rechtsdurchsetzung offenstehen.

Für den Beschwerdeführer kann die Möglichkeit der Anrufung der Datenschutzkommission bei Verletzungen durch Private von Vorteil sein, da bei gerichtlichen Verfahren ein erhebliches Kostenrisiko besteht. Umgekehrt bleibt die Möglichkeit des Gerichtsverfahrens (Parteiengehör, Entscheidungsfindung durch unabhängige Richter und Überprüfung durch ein ordentliches Zivilgericht) erhalten, sollte die Beschwerde bei der DSK, welche oft in ein reines Papierverfahren ohne sinnvolle Beweisermittlung mündet, nicht ausreichen.

Mit der neuen Verordnung müssten die zivilen Gerichte und die Datenschutzkommission idente Zuständigkeiten wahrnehmen, die Datenschutzkommission müsste ihre Zuständigkeit auf Beschwerden gegenüber privaten Einrichtungen ausweiten, umgekehrt könnten öffentliche Rechtsträger nun vor den ordentlichen Zivilgerichten geklagt werden. Das würde dem in Österreich geltenden verfassungsmäßigen Grundsatz fixer Verteilung von Behördenzuständigkeiten widersprechen.

Bei einer derartigen Konstruktion könnten zwei komplett voneinander unabhängige Instanzenzüge - einerseits über die Datenschutzkommission zum Verwaltungsgerichtshof, andererseits über Zivilgerichte zum Obersten Gerichtshof - über idente Sachverhalte urteilen. Dies könnte zur Folge haben, dass unterschiedliche Rechtsprechungslinien zu identen Sachverhalten entstehen was rechtsstaatlich problematisch wäre.

Die Rechtsbehelfe der neuen Datenschutzverordnung stünden unabhängig von der Niederlassung des Verarbeiters zu. Auch außerhalb der EU ansässige Verarbeiter, die den Datenschutz verletzen könnten durch Unionsbürger belangt werden.

Neues Beschwerderecht für Verbände

Weiters sieht die Bestimmung ein Beschwerderecht für Verbände im Namen Geschädigter vor, wie es in Österreich etwa im Rahmen des Verbraucherschutzes bekannt ist. (Verbandsklage) Darüber hinaus soll die jeweilige Aufsichtsbehörde auch ein gesondertes Recht zur Erhebung von Klagen vor den ordentlichen Gerichten im Falle von Datenschutzverletzungen haben.

Gerichtlicher Rechtsbehelf gegen Entscheidungen von Aufsichtsbehörden

Art. 74 des Verordnungsentwurfes sieht vor, dass gegen Entscheidungen der Aufsichtsbehörde ebenso wie bei deren Untätigkeit ein gerichtlicher Rechtsbehelf zusteht.  Diesbezüglich ist fraglich, ob die derzeit zur Verfügung stehende Beschwerde an den Verwaltungsgerichtshof, welche die österreichische Rechtsordnung vorsieht, als gerichtlicher Rechtsbehelf ausreichend ist. Der Verwaltungsgerichtshof überprüft lediglich die rechtliche Beurteilung und die Einhaltung des formellen Rechts und nimmt keine Tatsachenermittlungen vor.

Auch hier wird der Weg zu den Zivilgerichten als Rechtsmittelinstanzen zu Entscheidungen der österreichischen Datenschutzkommission zu öffnen sein. Zu hinterfragen ist in diesem Zusammenhang, welcher Wert dem Verfahren vor der Datenschutzkommission noch zukommen würde, wenn diesem einerseits ein Verfahren vor den Zivilgerichten folgt, andererseits diese aber auch unmittelbar angerufen werden können, ohne vorhergehendes DSK-Verfahren.

Zivilgerichtliche Klagen gegen Hoheitsträger wegen Datenschutzverletzungen?

Laut Verordnungsentwurf können nach Datenschutzverletzungen, welche im Rahmen der Hoheitsverwaltung passieren, in Zukunft die Zivilgerichte angerufen werden. Bislang konnten Geldersatzansprüche bei hoheitlichen Tätigkeiten lediglich im Rahmen der Amtshaftung vor den Gerichten geltend gemacht werden. Bei einer Datenschutzverletzung ergeben sich aber zahlreiche andere Anspruchsmöglichkeiten, etwa das Recht auf Löschung oder Richtigstellung von Daten oder auf künftige Unterlassung bestimmter Verarbeitungen. Dass diese gegenüber Hoheitsträgern vor Zivilgerichten geltend gemacht werden können, würde ein Novum in der österreichischen Rechtsordnung darstellen.


Zuständigkeitsfragen

Fragen ergeben sich auch zur internationalen Zuständigkeit der einzelnen Behörden. Im Rahmen des Verfahrens gegenüber den Aufsichtsbehörden gilt exklusiv die Zuständigkeit des Sitzes der Aufsichtsbehörde. Umgekehrt kann aber außerhalb hoheitlicher Verwaltungstätigkeiten eine Klage auch am Ort des gewöhnlichen Aufenthaltes des Beschwerdeführers erfolgen. Dies würde zwar einen Vorteil für den Betroffenen mit sich bringen - keiner stellt sich gerne dem Verfahren in einem anderen Mitgliedsstaat - die Gerichte müssten gegebenenfalls eine fremde Rechtsordnung heranziehen oder möglicherweise zwei Rechtsordnungen parallel anwenden, was das Führen von Verfahren erschwert. Dieses Problem könnte trotz Harmonisierung des Datenschutzrechts auftreten, wenn sich der Betroffene über die Datensschutzverletzung hinaus z.B. auf einen Eingriff in seine Persönlichkeitsrechte stützt.

Falls es dem Betroffenen frei stünde, parallel das Gericht seines Aufenthaltsstaates und die Aufsichtsbehörde des Niederlassungsstaates anzurufen, könnte jenem Verfahren wieder ein Gerichtsverfahren im Niederlassungsstaat folgen. Am Ende stünden parallel zwei Gerichtsverfahren in unterschiedlichen Mitgliedsstaaten, welche natürlich auch unterschiedlich ausgehen können. Zwar sieht Art. 76 vor, dass in derartigen Fällen ein Verfahren ausgesetzt werden kann. Die Befürchtung, dass es zwei Gerichtsentscheidungen aus unterschiedlichen Mitgliedsstaaten geben kann, welche den identen Sachverhalt unterschiedlich beurteilen, ist aber dennoch nicht von der Hand zu weisen.


Kohärenzverfahren

Der einheitlichen Anwendung der Datenschutzverordnung soll das Kohärenzverfahren dienen. Dabei verpflichten sich die Aufsichtsbehörden bei bestimmten ausdrücklich aufgezählten Maßnahmen vor deren Durchsetzung die Europäische Kommission und den Europäischen Datenschutzrat anzurufen. Bei den genannten Maßnahmen soll es sich - kurz und vereinfacht gesagt -  vor allem um jene handeln, welche die datenschutzrechtlichen Beziehungen zu anderen Mitgliedsstaaten wesentlich beeinträchtigen würden. Ein Antragsrecht zur Behandlung im Kohärenzverfahren steht darüber hinaus auch der Europäischen Kommission und jeder Aufsichtsbehörde eines Mitgliedsstaates zu. Der Europäischen Kommission kommt hierbei das Recht zu, festzulegen, ob die Maßnahme der Datenschutzverordnung entspricht, andernfalls kann die Durchsetzung der Maßnahmen ausgesetzt werden.


Vollstreckbarkeit der Entscheidungen

Eine gewichtige Änderung zur bisherigen Rechtssituation in Österreich könnte sich auch hinsichtlich der Frage der Vollstreckbarkeit datenschutzrechtlicher Entscheidungen im Bereich der hoheitlichen Verwaltung ergeben. Bislang stand die Datenschutzkommission auf dem Standpunkt, dass sie im Bereich der Hoheitsverwaltung vorhandene Datenschutzverletzungen nur feststellen könne, jedoch nicht befugt sei, den rechtmäßigen Zustand durch exekutive Maßnahmen herzustellen. Im Ernstfall bedeutete dies, dass letztendlich ein Hoheitsträger auf dem rechtswidrigen Umstand beharren konnte, ohne die Durchsetzung der Ansprüche des Betroffenen fürchten zu müssen. Damit ist nunmehr Schluss, da der Verordnungstext ausdrücklich von durchsetzbaren gerichtlichen Entscheidungen spricht.

Resumee

Der vorliegende Verordnungsentwurf würde einige positive Neuerungen bei der Frage der Durchsetzung datenschutzrechtlicher Ansprüche in Österreich mit sich bringen, allerdings auch für gravierende Unsicherheiten und Fragen sorgen:

Die vorgesehene Parallelstruktur zwischen Beschwerde an die Aufsichtsbehörde und gerichtlichem Rechtsbehelf sowohl gegenüber Privatpersonen als auch Hoheitsträgern wirkt unausgegoren und birgt die Gefahr uneinheitlicher Rechtsprechung.

Verschärft wird dies durch die Möglichkeit, dass parallel Zuständigkeiten der Gerichte des Aufenthaltsstaates des Betroffenen und der Aufsichtsbehörde der Niederlassung des Verarbeiters existieren können.

Grundsätzlich positiv zu bewerten ist die Möglichkeit, auch gegenüber hoheitlichen Datenverarbeitern exekutierbare Entscheidungen vor zivilen Gerichten erwirken zu können. Dies bedeutet auf alle Fälle einen Fortschritt zum bisherigen Papierverfahren vor der DSK, welche Datenschutzverletzungen lediglich feststellte.

Positiv ist die Möglichkeit zu sehen, auch außerhalb der EU ansässige Datenverarbeiter für rechtswidrige Eingriffe zur Verantwortung ziehen zu können.


mehr --> Wiki zur EU-Datenschutzverordnung
mehr --> Entwurf des neuen EU-Datenschutz-Rechtsrahmen
mehr --> Ausbildungsreihe "betrieblicher Datenschutzbeauftragter"

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2024 Information gemäß DSGVOwebmaster