Der Auskunftsanspruch nach Art 15 DSGVO zählt zu den zentralen Betroffenenrechten des Datenschutzrechts. In der Praxis stellen sich dabei jedoch teils schwierige Detailfragen: Wer ist Verantwortlicher, wenn eine natürliche Person innerhalb einer Organisation handelt? Muss auch offengelegt werden, von wem mündlich erhaltene Informationen stammen? Und kann bereits eine unvollständige Auskunft Schadenersatz auslösen? Der OGH hat sich mit diesen Fragen im Kontext eines schulischen Umfelds zu befassen und mehrere unionsrechtliche Auslegungsfragen dem EuGH vorgelegt.
Im Zusammenhang mit einer schulischen Fortbildung bzw. der Einbindung eines externen Prozessbegleiters wurde der Kläger als möglicher Kandidat in Betracht gezogen. Der beklagte Schulleiter war in die organisatorische Abwicklung eingebunden und äußerte im Zuge interner E-Mail-Kommunikation Bedenken hinsichtlich der Person des Klägers, verbunden mit der Empfehlung, eine andere Person heranzuziehen. Im Rahmen dieser Kommunikation wurden auch wertende Aussagen über den Kläger getroffen, die sich laut Vorbringen zumindest teilweise auf Informationen aus Gesprächen mit Dritten stützen.
Der Kläger begehrte daraufhin vom beklagten Schulleiter Auskunft nach Art 15 DSGVO sowie die Übermittlung einer Kopie seiner personenbezogenen Daten. Zusätzlich machte er einen immateriellen Schadenersatz in Höhe von EUR 800,00 geltend, gestützt auf eine behauptete Verletzung des Auskunftsrechts. Der Beklagte bestritt dem Grunde nach eine datenschutzrechtlich relevante Verarbeitung und argumentierte, im Rahmen seiner Funktion als Organ einer Schule gehandelt zu haben. Das Erstgericht wies die Klage ab, das Berufungsgericht bestätigte diese Entscheidung.
Der OGH hatte schließlich zunächst über die Frage zu befinden, ob der beklagte Schulleiter im konkreten Zusammenhang als „Verantwortlicher“ im Sinne des Art 4 Z 7 DSGVO qualifiziert werden kann oder ob ausschließlich der dahinterstehende Rechtsträger als Verantwortlicher in Betracht kommt. Dabei stellte sich insbesondere das Spannungsverhältnis zwischen der unmittelbaren Verantwortlichkeitszuordnung nach der DSGVO und den nationalen Regelungen des Amtshaftungsgesetzes (AHG).
Nach Auffassung der Vorinstanzen wäre eine persönliche Inanspruchnahme des Organwalters mit dem System des AHG nicht vereinbar. Der OGH sah insoweit jedoch unionsrechtlich klärungsbedürftige Fragen, insbesondere zur Reichweite des unionsrechtlichen Verantwortlichkeitsbegriffs bei handelnden Organpersonen innerhalb öffentlicher Strukturen.
Weiters befasste sich der OGH mit dem Umfang des Auskunftsanspruchs nach Art 15 DSGVO im Hinblick auf die „Herkunft der Daten“. Unklar ist insbesondere, ob sich diese Auskunftspflicht nur auf die unmittelbare Quelle der Information bezieht oder ob auch mittelbare Informationsquellen bzw. Kommunikationspartner innerhalb von E-Mail- oder Abstimmungsprozessen offenzulegen sind.
Aufgrund dieser unionsrechtlichen Auslegungsfragen setzte der OGH das Verfahren aus und legte dem EuGH mehrere Fragen zur Vorabentscheidung vor. Eine inhaltliche abschließende Entscheidung erfolgte nicht.
Die Entscheidung zeigt, dass selbst zentrale Begriffe der DSGVO, insbesondere der „Verantwortliche“ und der Umfang des Auskunftsrechts, weiterhin erhebliche Auslegungsunsicherheiten bergen. Der OGH nimmt hier eine unionsrechtskonforme Zurückhaltung ein und überlässt die Klärung dem EuGH. Für die Praxis bedeutet dies eine Phase erhöhter Rechtsunsicherheit, zugleich aber auch strategische Spielräume in datenschutzrechtlichen Auseinandersetzungen.
OGH 18.02.2025, 6 Ob 102/24d