Der Schutz personenbezogener Daten ist rechtsdogmatisch als ein höchstpersönliches Recht zu klassifizieren. Das heißt, dass dieses Recht so eng mit einer Person verbunden ist, dass es ein unveräußerliches Recht darstellt und somit nur vom Betroffenen selbst geltend gemacht werden kann.
Diese Klassifizierung könnte aus dem folgenden Grund wichtig sein: Bei der „Sammelklage österreichischer Prägung“, die auf § 227 ZPO basiert, müssen die Anspruchsberechtigten, die sich an der Klage beteiligen wollen, ihre Ansprüche an einen Verband abtreten, der diese dann in einer einzigen Klage geltend machen kann.
Bei einem höchstpersönlichen Recht stellt sich nun die Frage, ob gegen Unternehmen, die die DSGVO verletzen, überhaupt gesammelt vorgegangen werden kann oder nicht. Beispielsweise wäre es nicht möglich, Privatbeteiligtenanschlüsse im Strafverfahren abzutreten und dann durch einen Verband gemeinsam geltend machen zu lassen.
Zwar wird diese Frage von vielen mit „Ja“ beantwortet, weil schon im Verfahren Schrems/Facebook Verbraucher ihre Rechte dem Datenschützer Max Schrems abgetreten haben. Jedoch ist hier anzumerken, dass dieses Verfahren nach bisher viereinhalb Jahren noch nicht sehr weit vorgeschritten ist, sondern noch heute darüber gestritten wird, welches Gericht zuständig ist. Zu den anderen allfälligen Einreden, wie der Aktivlegitimation, wurde noch gar nichts vorgebracht. Insofern bleibt es an dieser Front noch sehr spannend.
Wahrscheinlich wollte der österreichische Gesetzgeber gerade keine Sammelklagen im Zusammenhang mit der DSGVO: Denn die DSGVO hätte in ihrem Artikel 80 die Möglichkeit einer Verbandsklage vorgesehen. Eine klagsbefugte Einrichtung (z. B. der VKI) hätte dann gar nicht den Auftrag einer betroffenen Person gebraucht, sondern selbst als Kläger auftreten können. Aber der österreichische Gesetzgeber hat von dieser Möglichkeit nicht Gebrauch gemacht und somit das wichtigste Instrumentarium zur Durchsetzung des Datenschutzes zunichte gemacht.
Wien, 5.3.2019