Der Beginn der Anwendung der DSGVO ist nun schon drei Jahre her. Die Praxis hat gezeigt, dass das neue Datenschutzregime nach der kräftezehrenden Umsetzungsphase nachhaltig Eingang in die tägliche Unternehmenspraxis gefunden hat. Es ist aber auch so gekommen wie vorhergesagt: Viele der Bestimmungen der DSGVO, aber auch des DSG sind unklar und auslegungsbedürftig. Dementsprechend waren die letzten Jahre auch durch ein laufendes Anpassen der getroffenen Maßnahmen an Erkenntnisse der DSB, aber auch des BVwG sowie schon vereinzelt des EuGH geprägt. Wie zu erwarten, kommen nun aber mit zeitlicher Verzögerung verstärkt Auslegungsfragen zum europäischen Höchstgericht. Dieses hat aufgrund der Vollharmonisierung der DSGVO auch das Auslegungsmonopol. Einige der nun anstehenden Entscheidungen haben durchaus Brisanz. Unsere DORDA Datenschutzexperten nehmen den dritten Geburtstag der DSGVO zum Anlass, um Ihnen die drei spannendsten Fälle vor dem EuGH kurz zusammenzufassen:
Schaden als Voraussetzung eines immateriellen Schadenersatzanspruchs?
Gerade in den letzten beiden Jahren kam es insbesondere in Deutschland und Österreich zu einem erheblichen Anstieg an Schadenersatzforderungen von Betroffenen aufgrund von unterschiedlichsten Verstößen gegen die DSGVO. Oft wurden selbst bei Versäumnissen von bloßen Dokumentationspflichten oder anderen organisatorischen Vorgaben Ansprüche erhoben. Da die DSGVO in Art 82 DSGVO lediglich den Anspruch auf Schadenersatz als solchen vorsieht, aber nicht die allgemeinen Voraussetzungen regelt, greifen die nationalen Gerichte hier bislang auf die gesetzlichen Grundlagen und ständige Rechtsprechung aus dem Zivilrecht zurück. Immaterielle Schadenersatzansprüche sind demnach (i) dem Grunde nach vom Betroffenen zu behaupten und zu beweisen und (ii) der Höhe nach zu beziffern. Um einen Ersatz zu erlangen ist zudem – zuletzt deutlich das OLG Innsbruck (1R182/19b) –ein nachweisbarer Gefühlsschaden erforderlich, der eine gewisse Erheblichkeitsschwelle überschreitet. Der OGH hat die Klärung der Anspruchsgrundlagen für immateriellen Schadenersatz nun am 15.4.2021 zu 6 Ob 35/21x dem EuGH vorgelegt:
Konkret soll der EuGH klären, ob die bloße Verletzung (irgend-)einer Bestimmung der DSGVO per se zu einem Schadenersatzanspruch führt oder dafür nicht doch – wie es das Wort "Schadenersatz" vermuten lassen würde –ein konkret erlittener Schaden des Betroffenen erforderlich ist. Anders als im angloamerikanischen Rechtsraum gibt es in Zentraleuropa schließlich keine punitive damages, also deliktische Konventionalstrafen. Darüber hinaus möchte der OGH auch wissen, ob (i) für die Bemessung eines etwaigen Schadenersatzanspruches neben den Grundsätzen der Effektivität und Äquivalenz noch weitere Vorgaben des Unionsrechts bestehen und (ii) der Schaden eine gewisse Erheblichkeitsschwelle überschreiten muss, die "über den reinen durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht". Der OGH ist damit den deutschen Gerichten zuvorgekommen. Das deutsche BVerfG hatte am 14.1.2021 (1 BvR 2853/19) eine Vorlagepflicht zu diesen Fragen festgestellt. Eine tatsächliche Vorlagefrage aus Deutschland ist aber noch nicht erfolgt.
Sollte der EuGH entscheiden, dass mit der DSGVO bewusst eine eigenständige, neben das innerstaatliche Schadenersatzregime tretende datenschutzrechtliche Haftungsnorm geschaffen wurde, hätte dies weitläufige Auswirkungen. Bislang gab es mangels näherer Regelungen in der DSGVO dafür keinen wirklichen Anhaltspunkt. Dementsprechend war es naheliegend, die allgemeinen innerstaatlichen Grundsätze zur Anwendung zu bringen. Das letzte Wort hat hier aber der EuGH. Bejaht der EuGH zudem, dass schon alleine die bloße Verletzung einer DSGVO-Norm zu einem Schadenersatzanspruch eines Betroffenen führen kann, käme es de facto zur Einführung eines dem europäischen Rechtskreis bislang unbekannten Strafschadenersatzes und zu einer Vervielfachung des Strafenrisikos. Es bleibt zu hoffen, dass der EuGH hier nicht im Übereifer so gravierend in das nationale Recht eingreift und die bereits sehr belasteten Unternehmen weiter – übermäßig – in die Pflicht nimmt.
Empfänger oder Empfängerkategorien – Wahlrecht oder Pflicht?
Art 15 Abs 1 lit c der DSGVO sieht vor, dass einem Betroffenen bei Ausübung seines Auskunftsrechts die "Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden" offen zu legen sind. Die Datenschutzbehörde vertritt dabei entgegen dem Wortlaut der Bestimmung, dass dabei sämtliche konkrete Empfänger zu benennen sind, soweit diese dem Verantwortlichen bekannt sind oder sein müssten. Die Zivilgerichte sehen dies aktuell anders: Sie gehen in ihrer Zuständigkeit aufgrund des klaren Wortlauts "oder" (in sämtlichen Sprachfassungen) von einem echten Wahlrecht des Verantwortlichen aus (LGZR 29 Cg 23/19v; OLG Wien 14 R 159/19h).
In der Praxis ist diese Judikaturdivergenz äußerst problematisch, da je nach Zuständigkeit Unterschiedliches gefordert wird. Der OGH hat nun daher am 18.2.2021 zu 6 Ob 159/20f den EuGH angerufen, um klären zu lassen, ob tatsächlich ein Wahlrecht besteht oder die Auskunft über Empfängerkategorien nur dann zulässig sein soll, wenn konkrete Empfänger bei Anfrage des Betroffenen noch nicht feststehen. Die Frage ist gerade bei Geschäftsmodellen spannend, die (i) auf geregelte Zugriffe vieler statt gezielter Übermittlungen an Einzelne oder (ii) auf langfristige Kundenbeziehungen aufbauen. In beiden Fällen würde die Pflicht zur konkreten, namentlichen Angabe sämtlicher Empfänger zum Erfordernis führen, sämtliche Datenzugriffe zu protokollieren. Viele Systeme – insbesondere bei Datenbanken – müssten diesfalls gravierend umgestellt werden. Die Folge wären damit aber auch wesentlich mehr Datenverarbeitungen, da die Zugriffe schließlich auch gespeichert und verwaltet werden müssten. Das ist aber nicht wirklich im Sinne der Daten- und Speicherminimierung. Eine lückenlose Auskunftspflicht aller Empfänger kann in der Praxis zudem auch zu einer Gefährdung von Geschäfts- und Betriebsgeheimnissen führen, wenn damit die gesamte Vertriebs- oder Kundenstruktur offengelegt werden müsste. Hier sähe die Möglichkeit der Einschränkung der Auskunft nach § 4 Abs 6 DSG für Geschäfts- oder Betriebsgeheimnisse eine Schranke vor. Um sich auf diese Ausnahme berufen zu können muss der Verantwortliche konkret darlegen können, weshalb es sich um Betriebs- und Geschäftsgeheimnisse handelt und worin genau die Verletzung bei Offenlegung an einen konkreten Betroffenen besteht. Die Datenschutzbehörde legt hier in der Praxis einen sehr strengen Maßstab an, sodass diese Beschränkung zumeist nicht greift.
Die Entscheidung des EuGH in dieser Vorlagesache ist neben den Spezialfragen auch allgemein für die konkrete Ausgestaltung und Detailtiefe der erforderlichen Auskunft spannend. Dies insbesondere im besonders häufig mit Anfragen konfrontierten regulierten Sektor.
Klagsbefugnis von Mitbewerbern und Verbänden?
Ein weiteres heißes Praxisthema ist die Frage, inwieweit (Verbraucherschutz-)Verbände DSGVO-Verstöße aufgreifen und in Verbandsverfahren geltend machen können. Sowohl der BGH (28.5.2020, I ZR 186/17) als auch der OGH (25.11.2020, 6 Ob 77/20x) greifen dieses Thema nun auf und wollen vom EuGH wissen, ob auch Mitbewerbern und nach nationalem Recht berechtigten Verbänden, Einrichtungen und Kammern (wie dem VKI oder der BAK) eine Klagsbefugnis (i) unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und (ii) ohne Auftrag einer betroffenen Person zum Aufgriff datenschutzrechtlicher Verstöße eingeräumt werden kann. Hintergrund ist, dass Art 80 Abs 2 DSGVO es den Mitgliedsstaaten überlässt, nationale Regelungen rund um Verbandsklagen vorzusehen. Österreich hat aber – ähnlich wie Deutschland – davon keinen Gebrauch gemacht. Trotz fehlender Aktivlegitimation in § 28a KSchG geht der VKI aber regelmäßig auf Basis des breiteren § 28 KSchG gegen Einwilligungserklärungen und/oder Datenschutzhinweise nach Art 13 und 14 DSGVO vor, sofern diese in die AGB integriert sind oder auf diese dort verwiesen wird. Dabei ist nämlich strittig, ob der europäische Gesetzgeber mit den in der DSGVO vorgesehenen Rechtsschutzinstrumenten eine abschließende Regelung zur Rechtsdurchsetzung über die Datenschutzbehörden schaffen wollte oder ob es daneben weitere Anspruchsgrundlagen zur Rechtsdurchsetzung geben kann. Der Vollharmonisierungsansatz der DSGVO sowie die ErwG 9, 11 und 13 DSGVO sprechen eigentlich dafür, dass eine möglichst einheitliche Rechtsprechungspraxis durch die Datenschutzbehörden sichergestellt wird.
Fazit und Ausblick
Drei Jahre nach Beginn der Anwendbarkeit der DSGVO erreichen den EuGH vermehrt Auslegungsfragen zur DSGVO. Es ist zu erwarten, dass noch viele weitere folgen werden. Nachdem der Datenschutz sehr dynamisch und vor allem ein sehr politisches Thema ist, wird hier mit auch überraschenden, zum Teil weitgehenden Entscheidungen zu rechnen sein. Unsere DORDA Datenschutzexperten werden die Verfahren und Entwicklungen natürlich genau beobachten und Sie über die daraus gewonnenen Erkenntnisse und etwaigen Anpassungsbedarf wie gewohnt am Laufenden halten.