Behörde: Oberster Gerichtshof
Datum: 03.07.2025
Geschäftszahl: 6 Ob 62/25y
Rechtssatz: Datenschutzrechtliche Unterlassungsklagen gegen
hoheitliches Handeln sind nicht vor den ordentlichen Gerichten, sondern können Löschungsansprüche nur vor den Verwaltungsgerichten geltend gemacht werden.
Sachverhalt
Bis Ende 2023 oblag der GIS Gebühren Info Service GmbH die Einhebung der Rundfunkgebühren und die Erfassung der Rundfunkteilnehmer. Seit 01.01.2024 erfüllt die ORF-Beitrags Service GmbH diese Aufgaben gemäß dem ORF-Beitragsgesetz 2024, darunter die monatliche Verarbeitung von Meldedaten volljähriger Personen, übermittelt vom BMI.
Der Kläger begehrte die Unterlassung der ungeschützten Bereitstellung seiner personenbezogenen Daten (Name, Geburtsdatum, Anschrift) gegenüber Dritten, insbesondere Hackern.
Er stützte sich auf Art. 79 Abs. 1 DSGVO und argumentierte, dass die Beklagte ihre Pflichten nach Art. 32 DSGVO verletzt habe. Anlass war ein Hackerangriff im Jahr 2020 bei einem Auftragsverarbeiter.
Die Beklagte wies jede Verantwortung zurück und verwies auf den hoheitlichen Charakter ihrer Tätigkeit.
Rechtliche Begründung
Der OGH bestätigte die Entscheidungen der Vorinstanzen und verneinte die Zuständigkeit der ordentlichen Gerichte.
-
Hoheitliche Tätigkeit: Die ORF-Beitrags Service GmbH ist als beliehenes Unternehmen mit hoheitlichen Aufgaben ausgestattet und erlässt in diesem Rahmen Bescheide (§ 12 ORF-BeitragsG).
-
Gerichtlicher Rechtsschutz: Auch wenn Art. 79 DSGVO grundsätzlich einen gerichtlichen Rechtsbehelf vorsieht, können Mitgliedstaaten die Verfahrensmodalitäten festlegen, solange der unionsrechtlich gebotene effektive Rechtsschutz (Art. 47 GRC) gewahrt bleibt.
-
Zuständigkeit: Für Rechtsverletzungen aus hoheitlicher Datenverarbeitung sind letztlich die Verwaltungsgerichte zuständig. Diese sind als „Gerichte“ im unionsrechtlichen Sinn anzusehen und bietet wirksamen Rechtsschutz.
-
Amtshaftung: Schadenersatzansprüche wegen rechtswidrigen hoheitlichen Handelns können nach dem Amtshaftungsgesetz geltend gemacht werden – nicht jedoch Unterlassungsansprüche vor Zivilgerichten.
Fazit und Konsequenzen für Verantwortliche
Für Verantwortliche, die in hoheitlicher Funktion personenbezogene Daten verarbeiten (auch beliehene Unternehmen), gilt:
-
Betroffene müssen datenschutzrechtliche Ansprüche – außer Schadenersatz – im Verwaltungsverfahren zB vor dem BVwG verfolgen.
-
Technische und organisatorische Maßnahmen nach Art. 32 DSGVO sind auch bei hoheitlichem Handeln verpflichtend; ein Verstoß kann Amtshaftungsansprüche auslösen.
-
Verantwortliche sollten klare Zuständigkeits- und Verfahrenshinweise für Betroffene vorhalten, um Rechtswegstreitigkeiten zu vermeiden.
Kommentar schreiben