Das Oberlandesgericht Innsbruck als Rekursgericht hat durch die Senatspräsidentin Dr. Prantl als Vorsitzende sowie die Richter Mag. Schallhart und Mag. Eppacher als weitere Mitglieder des Senats in der Rechtssache der klagenden Partei A* , wider die beklagte Partei B* GmbH , vertreten durch Schönherr Rechtsanwälte GmbH in Wien, wegen EUR 2.000 s.A., über den Rekurs der klagenden Partei (Rekursinteresse EUR 2.000) gegen den Beschluss des Landesgerichts Innsbruck vom 01.10.2025, **, in nichtöffentlicher Sitzung beschlossen:
Der Beschluss wird aus Anlass des Rekurses als nichtig aufgehoben .
Die Kosten des Rekursverfahrens sind weitere Verfahrenskosten.
BEGRÜNDUNG:
Der Kläger begehrt EUR 2.000 an immateriellem Schaden, der ihm durch einen Verstoß der Beklagten gegen die DSGVO entstanden sei. Er habe im Februar 2023 erfahren, dass die Beklagte 2020 ein IT-Unternehmen beauftragt habe, ein CRM-System bei der Beklagten zu implementieren. Dabei sei die Zusammenführung zweier Datenbanken mit Meldedaten in Österreich wohnhafter Personen notwendig gewesen. Das IT-Unternehmen habe die von der Beklagten zur Verfügung gestellten Daten auf eine Testumgebung geladen, auf welche die Mitarbeiter der Beklagten und des IT-Unternehmens Zugriff gehabt hätten. Das IT-Unternehmen habe einen Zugang zum Server offengelassen, über welchen es einem Hacker im Mai 2020 gelungen sei, auf die Datenbank zuzugreifen und Daten zu exfiltrieren. Sicherheitsmechanismen zur Verhinderung eines unautorisierten Zugriffs seien nicht getroffen worden. Der Hacker habe den Datenbestand im Internet zum Verkauf angeboten. Es sei nicht geklärt, ob die Daten weitergegeben worden seien oder ob weitere Personen aus dem Testsystem Daten heruntergeladen hätten. Zum damaligen Zeitpunkt habe der Kläger Todesdrohungen erhalten. Die Beklagte habe ein Auskunftsbegehren des Klägers vom 07.03.2023 nicht beantwortet, weshalb er eine Beschwerde bei der Datenschutzbehörde eingebracht habe. Diese habe ihn informiert, dass sein Vorname, Nachname, Geburtsdatum und seine Privatanschrift vom Datenschutzvorfall betroffen gewesen seien. Wegen der unberechtigten Veröffentlichung der personenbezogenen Daten, die Befürchtungen und Ängste, dass seine Daten von Dritten missbraucht würden oder ihm Personen aufgrund der Todesdrohungen an seiner Privatanschrift auflauern könnten, habe er Ängste, welche durch den Kontrollverlust über seine Daten und die Ungewissheit, ob diese noch im Internet abrufbar seien, verstärkt worden seien. Ihm sei ein immaterieller Schaden in Klagshöhe entstanden. Die Beklagte habe gegen das Grundrecht auf Geheimhaltung nach § 1 Abs 1 DSGVO und Art 8 EU-GRC, gegen die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art 5 DSGVO und die Rechtmäßigkeit der Verarbeitung gemäß Art 6 DSGVO verstoßen. Das Verhalten des für die Beklagte tätigen IT-Unternehmens sei grob fahrlässig gewesen, weshalb die Beklagte ein Verschulden am Schaden treffe.
Die Beklagte erhob die Einrede der Unzulässigkeit des Rechtswegs, da sie eine mit hoheitlichen Aufgaben beliehene Gesellschaft sei. Damit sei der ordentliche Rechtsweg für Rechtsschutz aus Handlungen oder Unterlassungen der Beklagten unzulässig. Der vermutliche Datensicherheitsvorfall habe sich bei einem Auftragsverarbeiter in Vollziehung einer Aufgabe des RGG stattgefunden. Das Verhalten des Auftragsverarbeiters sei den nach AHG haftenden Rechtsträgern zuzurechnen, weil es sich um einen Organisationsbereich einer beliehenen Gesellschaft hoheitlich tätig gewordener Personen handle. Die Verarbeitung zur Erfüllung des gesetzlichen Auftrags zur Verfügung gestellter Meldedaten sei der Hoheitsverwaltung zuzurechnen. In der Sache selbst wandte die Beklagte ein, es habe Sicherheitsvorkehrungen gegeben, um einen unadressierten Zugriff zu verhindern. Der Hackerangriff habe sich nicht bei der Beklagten bzw deren Rechtsvorgängerin, sondern bei einem externen Dienstleister zugetragen, an welchen die Daten rechtens weitergegeben worden seien. Die Daten seien nicht unrechtmäßig zugänglich gemacht, sondern strafrechtswidrig erlangt worden. Die rechtswidrige Handlung habe der dafür rechtskräftig verurteilte Hacker gesetzt. Die Datenschutzbehörde habe die Beschwerde des Klägers zurück- bzw abgewiesen. Der Klagsanspruch sei überhöht und unschlüssig. Die Ansprüche seien verjährt, da der Vorfall im Mai 2020 stattgefunden habe, worüber die Öffentlichkeit mit Presseaussendung vom 27.05.2020 informiert worden sei.
Mit dem angefochtenen Beschluss wies das Erstgericht die Klage wegen Unzulässigkeit des Rechtswegs mit der Begründung zurück, die Beklagte sei eine mit hoheitlichen Aufgaben beliehene Gesellschaft. Rechtsschutz im Zusammenhang mit der Beklagten werde gemäß § 12 Abs 3 ORF-Beitragsgesetz 2024 durch das BVwG gewährt. Jeglicher Rechtsschutz mit Ausnahme nach dem AHG im Zusammenhang mit Handlungen oder Unterlassungen der Beklagten sei nicht den ordentlichen Gerichten, sondern dem BVwG überantwortet.
Dagegen richtet sich der rechtzeitige Rekurs des Klägers aus dem Rechtsmittelgrund der unrichtigen rechtlichen Beurteilung mit dem Antrag auf ersatzlose Behebung des angefochtenen Beschlusses mit dem Auftrag der Fortsetzung des Verfahrens unter Abstandnahme vom Zurückweisungsgrund, in eventu Abänderung des Beschlusses, dass die Einrede der Unzulässigkeit des Rechtswegs verworfen und dem Erstgericht die Fortsetzung des Verfahrens aufgetragen werde. Eventualiter wird ein Aufhebungsantrag gestellt. Die Beklagte beantragt mit rechtzeitiger Rekursbeantwortung, dem Rechtsmittel den Erfolg zu versagen.
Der Rekurswerber führt in der Rechtsrüge aus, er sei nicht durch die Ausübung hoheitlicher Aufgaben der Beklagten geschädigt worden und es seien nicht Daten von einem Server der Beklagten oder einem dieser zurechenbaren Dritten gestohlen worden, welche zur Erfüllung hoheitlicher Aufgaben vorgesehen gewesen wären. Die Daten seien nicht zur Erfüllung hoheitlicher Aufgaben verarbeitet worden. Es habe sich um eine Testumgebung gehandelt, welche nicht für den Realbetrieb vorgesehen gewesen sei. Die Nutzung der Daten für diesen Testzweck sei gesetzlich nicht geregelt, insbesondere nicht im ORF-Beitragsgesetz 2024 vorgesehen gewesen. Es mangle an der gesetzlichen Determinierung für ein angeblich hoheitliches Handeln der Beklagten. Die Beklage habe keinen Bescheid erlassen und der Kläger habe keine Möglichkeit, einen Bescheid von der Beklagten zu erwirken, dass seine Daten nicht zur Testung von Testumgebungen verwendet würden. Ein Rechtszug an das BVwG sei damit ausgeschlossen. Das AHG sei auf den gegenständlichen Sachverhalt nicht anwendbar und es bestehe kein Rechtsschutz des Klägers gemäß § 12 Abs 3 ORF-Beitragsgesetz 2024. Die Entscheidung über Schadenersatzansprüche nach Art 82 DSGVO sei dem BVwG nicht überantwortet. Die Geltendmachung von Schadenersatzansprüchen nach Art 82 DSGVO sei gemäß § 29 Abs 2 DSG den ordentlichen Gerichten zugewiesen.
1. Auf die inhaltliche Argumentation des Klägers kann an dieser Stelle nicht eingegangen werden, da eine Nichtigkeit nach § 477 Abs 1 Z 4 ZPO vorliegt, welche – ohne Rücksicht darauf, ob die davon betroffene Entscheidung sachlich richtig ist oder nicht – von Amts wegen wahrgenommen werden muss ( Pimmer in Fasching/Konecny ³ IV/1 § 477 ZPO Rz 1). Gemäß § 261 Abs 2 ZPO ist eine mündliche Verhandlung über qualifizierte Prozesseinreden nach § 239 Abs 3 Z 1 oder § 260 Abs 2 ZPO nur anzuberaumen, wenn das Gericht dies im einzelnen Fall für erforderlich hält. Der Gesetzgeber hat die nach § 261 Abs 1 ZPO idF ZVN 2002 zwingend erforderlich gewesene mündliche Verhandlung durch eine flexiblere Regelung ersetzt. Die Abhaltung einer mündlichen Verhandlung ist nunmehr in das pflichtgemäße Ermessen des Gerichts gestellt. Hält das Gericht keine mündliche Verhandlung ab, so ist unbedingtes Mindesterfordernis die Gewährung zumindest schriftlichen Gehörs ( Kodek in Fasching/Konecny³ III/1 § 261 ZPO Rz 14, 20 mwN). Es stellt zwar keine Nichtigkeit dar, wenn das Erstgericht eine mündliche Verhandlung nicht durchführt, es muss allerdings dem Kläger jedenfalls rechtliches Gehör gewähren. Die aus Art 6 EMRK folgende Garantie auf Gewährung rechtlichen Gehörs setzt voraus, dass die Parteien Kenntnis vom Akteninhalt, insbesondere von den von der gegnerischen Partei vorgebrachten Stellungnahmen und Beweismitteln haben. Die Gewährung rechtlichen Gehörs kann auch im Wege einer schriftlichen Stellungnahme erfolgen ( Ziehensack in Höllwerth/Ziehensack , ZPO TaKo², § 261 ZPO Rz 4).
Weil das Erstgericht weder eine mündliche Verhandlung durchführte noch dem Kläger die Möglichkeit der schriftlichen Äußerung zu der von der Gegenseite erhobenen Prozesseinrede einräumte, ist der Kläger in seinem rechtlichen Gehör verletzt. Der Beschluss war daher gemäß § 477 Abs 1 Z 4 ZPO aus Anlass des Rekurses als nichtig aufzuheben. Das Erstgericht hat dem Kläger im weiteren Verfahren vor einer neuerlichen Entscheidung entweder im Rahmen einer mündlichen Verhandlung rechtliches Gehörs zu gewähren oder die Möglichkeit einer schriftlichen Stellungnahme einzuräumen (zu welcher der Beklagten wieder rechtliches Gehör zu gewähren wäre, sodass eine Verhandlung praktikabler erscheint).
2. Betrifft die Nichtigkeit bloß die Entscheidung allein, findet kostenrechtlich nicht § 51, sondern § 52 ZPO Anwendung (RS0035870, RS0123067).
Rückverweise
Keine Ergebnisse gefunden
RIS