Die DSGVO sieht verschiedene Rechtsbehelfe für betroffene Personen vor, mit denen sie ihre Rechte wahrnehmen können. So hat jede betroffene Person u.a. gem. Art. 77 DSGVO das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen. Daneben besteht nach Art. 79 DSGVO das Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter. Der EuGH (Urt. v. 12.1.2023 – C-132/21) hat nun klargestellt, dass diese verwaltungs- und zivilrechtlichen Rechtsbehelfe nebeneinander und unabhängig voneinander eingelegt werden können, auch wenn sie denselben Sachverhalt betreffen. Es obliege den EU-Mitgliedstaaten, dafür zu sorgen, dass die parallele Einlegung dieser Rechtsbehelfe die einheitliche und gleichmäßige Anwendung der DSGVO nicht beeinträchtige.
Darum ging es in dem Verfahren
Ein ungarischer Aktionär nahm an einer Hauptversammlung einer Aktiengesellschaft teil und richtete währenddessen Fragen an die Mitglieder des Verwaltungsrats der AG sowie an andere Teilnehmer der Hauptversammlung. Im Anschluss forderte er die AG als datenschutzrechtlich Verantwortliche auf, ihm den während der Hauptversammlung aufgezeichneten Tonmitschnitt zu übermitteln. Die AG kam dieser Aufforderung zwar grundsätzlich nach, stellte ihm jedoch nur die Abschnitte der Aufzeichnung zur Verfügung, die seine Beiträge wiedergaben, nicht aber jene der anderen Teilnehmer an der Hauptversammlung.
Dagegen legte er Beschwerde bei der ungarischen Aufsichtsbehörde ein und beantragte die Feststellung, dass aufgrund der unterlassenen Übermittlung des gesamten Tonmitschnitts ein Verstoß gegen die DSGVO vorliege. Außerdem sollte die Verpflichtung der AG festgestellt werden, die Tonaufzeichnungen herauszugeben. Die Aufsichtsbehörde wies den Antrag zurück und begründete dies damit, dass nach ihrer Auffassung kein Verstoß gegen die DSGVO vorliege.
Gegen die Entscheidung der Aufsichtsbehörde erhob er Klage gem. Art. 78 Abs. 1 DSGVO beim zuständigen ungarischen Verwaltungsgericht und beantragte in erster Linie Abänderung und hilfsweise Aufhebung der Entscheidung. Parallel dazu erhob er gegen die Entscheidung der AG eine zweite Klage gem. Art. 79 Abs. 1 DSGVO vor einem ungarischen Zivilgericht. Während die erste dieser Klagen noch beim Verwaltungsgericht anhängig ist, gab das Zivilgericht der zweiten Klage statt und stellte fest, dass die Gesellschaft das Recht der betroffenen Person auf Zugang zu seinen personenbezogenen Daten verletzt habe. Dieses Urteil ist rechtskräftig.
Daraufhin legte das mit der ersten Klage befasste ungarische Verwaltungsgericht dem EuGH die Vorlagefrage zu einem möglichen Vorrang eines der in Art. 77 bis 79 DSGVO normierten Rechtsbehelfe vor. Dabei wies es darauf hin, dass es denselben Sachverhalt und denselben behaupteten Verstoß gegen die DSGVO zu prüfen habe, über die das ungarische Zivilgericht im Rahmen der zweiten Klage bereits rechtskräftig entschieden habe. Die parallele Ausübung könne nach Ansicht des Verwaltungsgerichts zu widersprüchlichen Entscheidungen in derselben Sache führen. Da die DSGVO keine Regelung über den Vorrang eines der in den Art. 77 bis 79 DSGVO vorgesehenen Rechtsbehelfe vorsehe, sei es Aufgabe des EuGH, das Verhältnis dieser Rechtsbehelfe zueinander zu klären.
Die Entscheidung des EuGH
Der EuGH entschied, dass die Rechtsbehelfe der Art. 77–79 DSGVO nebeneinander und unabhängig voneinander durch die betroffene Person eingelegt werden können. Diese Auslegung stehe mit dem Ziel der DSGVO – der Gewährleistung eines hohen Datenschutzniveaus – im Einklang. Die konkrete Umsetzung der Ausübung der Rechtsbehelfe müsse durch die einzelnen EU-Mitgliedstaaten auf nationaler Ebene festgelegt werden.
Wortlaut spricht gegen vorrangige Zuständigkeit
Zunächst führte der EuGH aus, dass betroffenen Personen verschiedene Rechtsbehelfe nach der DSGVO zustünden. Unter Berücksichtigung des Wortlauts der einschlägigen Bestimmungen könne der von der betroffenen Person gewählte Rechtsbehelf, „unbeschadet eines anderweitigen […] Rechtsbehelfs“ geltend gemacht werden. Der Wortlaut der Bestimmungen sehe weder eine vorrangige oder ausschließliche Zuständigkeit eines Gerichts bzw. einer Aufsichtsbehörde vor.
Was den Wortlaut der […] genannten Bestimmungen der Verordnung 2016/679 betrifft, ist zunächst darauf hinzuweisen, dass nach Art. 77 Abs. 1 dieser Verordnung jede betroffene Person “unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs” das Recht auf Beschwerde bei einer Aufsichtsbehörde hat. Sodann hat nach Art. 78 Abs. 1 der Verordnung jede natürliche oder juristische Person “unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs” das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde. Schließlich garantiert Art. 79 Abs. 1 der Verordnung jeder betroffenen Person “unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77” das Recht auf einen wirksamen gerichtlichen Rechtsbehelf. Somit bieten diese Bestimmungen der Verordnung 2016/679 Personen, die einen Verstoß gegen diese Verordnung geltend machen, verschiedene Rechtsbehelfe, wobei jeder dieser Rechtsbehelfe “unbeschadet” der anderen eingelegt werden können muss. Zunächst ergibt sich aus dem Wortlaut dieser Bestimmungen, dass die Verordnung 2016/679 weder eine vorrangige oder ausschließliche Zuständigkeit vorsieht noch einen Vorrang der Beurteilung der genannten Behörde oder des genannten Gerichts zum Vorliegen einer Verletzung der durch diese Verordnung verliehenen Rechte. Der Rechtsbehelf nach Art. 78 Abs. 1 der Verordnung, dessen Gegenstand die Prüfung der Rechtmäßigkeit des gemäß Art. 77 der Verordnung erlassenen Beschlusses einer Aufsichtsbehörde ist, und der in Art. 79 Abs. 1 der Verordnung vorgesehene Rechtsbehelf können daher nebeneinander und unabhängig voneinander eingelegt werden.
Kontext spricht für die Zulässigkeit der parallelen Einlegung
Dieses Ergebnis werde durch den Kontext der DSGVO bestätigt. In der DSGVO sei das Verhältnis der Rechtsbehelfe im Falle der parallelen Anrufung von Aufsichtsbehörden und Gerichten mehrerer EU- Mitgliedstaaten durch denselben Verantwortlichen ausdrücklich geregelt. Eine solche Regelung fehle bei den vorliegenden Rechtsbehelfen der DSGVO, so die Richter.
Während nämlich der Unionsgesetzgeber das Verhältnis zwischen den in der Verordnung 2016/679 vorgesehenen Rechtsbehelfen im Fall gleichzeitiger Befassung von Aufsichtsbehörden oder Gerichten mehrerer Mitgliedstaaten mit einer Verarbeitung personenbezogener Daten durch denselben Verantwortlichen ausdrücklich geregelt hat, ist dies bei den in den Art. 77 bis 79 dieser Verordnung vorgesehenen Rechtsbehelfen nicht der Fall. Zum einen sehen die Art. 60 bis 63 der Verordnung 2016/679 Mechanismen der Zusammenarbeit, der gegenseitigen Amtshilfe und der Koordinierung vor, nach denen sich die Aufsichtsbehörden gegenseitig unterstützen, einander informieren und gemeinsame Maßnahmen durchführen, um eine kohärente und wirksame Anwendung der Verordnung in der gesamten Union sicherzustellen. Zum anderen sieht Art. 81 Abs. 2 und 3 der Verordnung Regeln für Fälle vor, in denen mehrere Gerichte verschiedener Mitgliedstaaten angerufen werden. Dagegen sind solche Regeln in der Verordnung 2016/679 nicht vorgesehen, wenn wegen derselben Verarbeitung personenbezogener Daten in ein und demselben Mitgliedstaat eine Beschwerde bei einer Aufsichtsbehörde und gerichtliche Rechtsbehelfe eingelegt werden.
Vorrangiges Ziel: Hohes Datenschutzniveau
Für die Möglichkeit der betroffenen Person, parallel Rechtsbehelfe geltend machen zu können, spreche auch das Ziel der DSGVO. Diese ziele darauf ab, ein hohes Datenschutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union zu gewährleisten. Dazu werde auch die Stärkung der Rechte der betroffenen Person erfordert, so der EuGH.
Was schließlich die mit dieser Verordnung verfolgten Ziele betrifft, geht insbesondere aus dem zehnten Erwägungsgrund der Verordnung hervor, dass diese darauf abzielt, ein hohes Datenschutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union zu gewährleisten. Im elften Erwägungsgrund dieser Verordnung heißt es außerdem, dass ein wirksamer Schutz dieser Daten die Stärkung der Rechte der betroffenen Personen erfordert. Wie der Generalanwalt in Nr. 55 seiner Schlussanträge ausgeführt hat, steht die Entscheidung des Unionsgesetzgebers, den betroffenen Personen die Möglichkeit zu belassen, die zum einen in Art. 77 Abs. 1 und Art. 78 Abs. 1 der Verordnung 2016/679 und zum anderen in Art. 79 Abs. 1 dieser Verordnung vorgesehenen Rechtsbehelfe nebeneinander und unabhängig voneinander wahrzunehmen, im Einklang mit dem Ziel dieser Verordnung.
Ausgestaltung der Rechtsbehelfe obliegt den Mitgliedstaaten
Daraufhin stellte das Gericht klar, dass es in Ermangelung einer unionsrechtlichen Regelung Aufgabe der einzelnen EU-Mitgliedstaaten sei, die konkreten Modalitäten für die Ausübung der in der DSGVO vorgesehenen Rechtsbehelfe und des in Art. 47 der Charta normierten Rechts auf einen wirksamen Rechtsbehelf bei einem Gericht auszugestalten. Diese Modalitäten dürften den wirksamen Schutz der in der DSGVO garantierten Rechte nicht beeinträchtigen.
Mangels einer einschlägigen Unionsregelung ist es nach dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten Sache der einzelnen Mitgliedstaaten, die Modalitäten für das Verwaltungsverfahren und das Gerichtsverfahren zu regeln, die ein hohes Schutzniveau der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleisten sollen. Daher hat das vorlegende Gerichts auf der Grundlage der nationalen Verfahrensvorschriften zu bestimmen, wie die von der Verordnung 2016/679 vorgesehenen Rechtsbehelfe in einem Fall wie dem im Ausgangsverfahren in Rede stehenden durchzuführen sind. Allerdings dürfen die Modalitäten der Durchführung dieser nebeneinander bestehenden und voneinander unabhängigen Rechtsbehelfe die praktische Wirksamkeit und den wirksamen Schutz der durch diese Verordnung garantierten Rechte nicht in Frage stellen.
Unser Tipp: Im Rahmen unserer Legal Products stehen Ihnen umfangreiche Checklisten und Anleitungen rund um das Thema DSGVO zur Verfügung und Sie erhalten Muster-AV-Verträge und Muster-Antwortschreiben. Zudem bietet der Trusted Shops Consent-Manager eine Lösung, um die Einwilligung wirksam einzuholen. Selbstverständlich erhalten Sie umfassenden Support bei der Integration. Ebenfalls enthalten ist ein Update-Service – ergeben sich Gesetzesänderungen oder relevante gerichtliche oder behördliche Entscheidungen, die auch Sie betreffen, aktualisieren wir den Consent-Manager entsprechend und informieren Sie darüber natürlich. Unser Consent-Manager ist in allen Legal Products enthalten. In unserem Legal Enterprise und Legal Ultimate übernehmen wir auch eine außergerichtliche Vertretung bei der Geltendmachung von Unterlassungs- und Aufwendungsersatzansprüchen sowie Schadensersatz-/Schmerzensgeldansprüchen nach der DSGVO (z.B. aufgrund eines nicht erteilten Auskunftsersuchens oder einer unzulässigen Datenübermittlung).
Marian Weyo/Shutterstock.com
Ich weiß, hier geht es um was anderes, aber wie kann gerade die Nichtweitergabe der Aufnahme ein Verstoß sein?