Читать книгу Datenschutz für Unternehmen - Ricarda Kreindl - Страница 46

2.4.2.3Österreich als Sonderfall

Оглавление

§ 29 S 1 DSG statuiert für den Fall eines Verstoßes gegen die DSGVO bzw. § 1 sowie Art 2 1. Hauptstück des DSG einen Schadenersatzanspruch „nach Art 82 DSGVO“, wobei für diesen gemäß § 29 S 2 DSG im Einzelnen die allgemeinen Bestimmungen des bürgerlichen Rechts gelten sollen. Da sich der Anwendungsbereich des § 1 sowie Art 2 1. Hauptstück des DSG auch auf juristische Personen erstrecken, stünden somit auch solchen Personen Schadenersatzansprüche „nach Art 82 DSGVO“ zu.

Zwar hat der österreichische Gesetzgeber unbestritten die Kompetenz, nationale Bestimmungen hinsichtlich personenbezogener Daten juristischer Personen und somit auch die Rechtsfolgen im Falle von Verstößen zu implementieren. Und folgerichtig wird aufgrund des Wortlautes von § 29 DSG davon ausgegangen, dass der Gesetzgeber den sachlichen Anwendungsbereich des Art 82 DSGVO auch auf juristische Personen erstreckte.[87]

Die sich daraus nicht nur in der juristischen Praxis ergebenden Konsequenzen sind allerdings weder abschätzbar noch praktikabel, leidet doch die Erstreckung auf den „sachlichen Anwendungsbereich“ des Art 82 DSGVO unter einem Zirkelschluss: Art 82 DSGVO setzt als haftungsbegründendes Ereignis einen Verstoß gegen die Verordnung, die jedoch selbst unzweifelhaft juristische Personen nicht erfasst, voraus. Somit ergibt § 29 DSG, soweit es juristische Personen betrifft, nur Sinn, wenn und soweit sich auch juristische Personen auf die Tatbestandsvoraussetzungen des Art 82 DSGVO stützen können, wobei haftungsbegründend ausschließlich ein Verstoß gegen § 1 bzw. Artikel 2 1. Hauptstück des DSG wirken kann.

Hinsichtlich juristischer Personen verbleibt somit im Wesentlichen im Rahmen des § 29 S 1 DSG der Vorwurf, dass ein Verantwortlicher oder Auftragsverarbeiter den Anspruch auf Geheimhaltung der die juristische Person betreffenden personenbezogenen Daten, obwohl ein schutzwürdiges Interesse daran bestand, (schuldhaft) verletzte. Dabei könnte sich der Verantwortliche oder Auftragsverarbeiter von seiner Haftung nur befreien, wenn er gemäß Art 82 Abs 3 DSGVO nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Ein „Verstoß“ gegen § 1 Abs 3 DSG hat jedenfalls für juristische Personen keine Bedeutung:

§ 1 Abs 3 DSG statuiert zwar gewisse Rechte, die jedem zustehen (zB Auskunftsrecht, Recht auf Löschung und Richtigstellung), diese Rechte müssten aber demgemäß auch juristischen Personen zukommen. Allerdings: Sie gelten, dem Wortlaut des § 1 Abs 3 DSG folgend, „nach Maßgabe gesetzlicher Bestimmungen“. Es gibt jedoch im DSG keine einfach gesetzlichen datenschutzrechtlichen Bestimmungen (mehr), die zu Gunsten von juristischen Personen zur Anwendung gelangen könnten.

Welche Konsequenzen folgen daraus für die Praxis?

Sofern juristische Personen mit dem jeweiligen Verantwortlichen bzw. Auftragsverarbeiter in einer rechtgeschäftlichen Beziehung stehen, empfiehlt es sich, auf Rechtsfolgenebene vertragliche Vorkehrungen zu treffen, die explizit (auch) auf den Ausschluss von § 29 DSG bzw. eine entsprechende betragsmäßige Begrenzung gerichtet sind. Hierbei wird zu beachten sein, dass sich die Wirksamkeit einer solchen Haftungsbefreiung bzw. -beschränkung auch an der Schwere des Verschuldensvorwurfs orientieren wird; eine wirksame Freizeich­nung für vorsätzliches Fehlverhalten ist selbstredend ausgeschlossen, für grob fahrlässiges Handeln erscheint jedoch zumindest eine betragsmäßige Eingrenzung, die das verletzungstypische Risiko widerspiegelt, zulässig. Wobei auch folgender Gedankengang vertiefungswürdig erscheint:

Privaten Rechtsträgern steht es grundsätzlich frei, auf ihnen zustehende Rechte zu verzichten. Zwar ist nicht jeder Rechtsverzicht wirksam bzw. mögen bestimmte, insbesondere höchstpersönliche Rechte einem Verzicht unzugänglich sein. Und Grundrechten, denen der Charakter eines Abwehrrechtes gegenüber staatlichem Handeln immanent ist, mag eine solche Unverzichtbarkeit regelmäßig innewohnen. Allerdings dürfte jedenfalls dann, wenn genau diese Abwehrfunktion gegenüber staatlichem Handeln nicht Gegenstand der Grundrechtsausübung ist, eine differenzierte Betrachtung angebracht sein. Fehlende Dispositionsbefugnis dürfte grundsätzlich nur bei überindividuellen Gütern in Betracht zu ziehen sein. Das Recht auf Datenschutz fällt nicht darunter. Dessen Schutzbereich betrifft nur den Einzelnen, sei es auch eine juristische Person. Insoweit stellt sich die Frage, ob Parteien, zumal, wenn es sich um juristische Personen handelt, – inter partes – nicht auch wirksam auf ein zwischen ihnen unmittelbar wirkendes Grundrecht verzichten können. Dann würde jedoch ein Schadenersatzanspruch, gestützt auf § 29 iVm § 1 DSG, ins Leere laufen.

Vorangestellte Überlegungen können jedoch selbstredend dann nicht zum Tragen kommen, wenn zwischen den Parteien keine rechtsgeschäftliche bzw. rechtsgeschäftsähnliche Sonderbeziehung besteht. Hier bleibt es bei der (potenziellen) Anwendbarkeit des § 29 iVm § 1 DSG auch zugunsten juristischer Personen infolge der Verletzung ihrer „schutzwürdigen Interessen“ – wie auch immer dieser unbestimmte Rechtsbegriff letztlich im Einzelfall interpretiert werden mag.

Datenschutz für Unternehmen

Подняться наверх