Aktuelle datenschutzrechtliche Judikatur des EuGH: Gerald Trieb im Gespräch

Business Circle: Welche Rolle spielt der EuGH im Datenschutzrecht? Was ist seine Aufgabe?

Gerald Trieb: Der EuGH spielt ganz generell im Recht der Europäischen Union, zu dem auch die DSGVO zählt, eine große Rolle; vor dem Hintergrund zahlreicher Vorlagefragen nationaler Gerichte an den Europäischen Gerichtshof (EuGH), in denen diese den EuGH um Auslegung der DSGVO ersuchen, spielt er im Datenschutzrecht aber eine ganz besonders große Rolle. Neben dem Monopol, Unionsrecht wie die DSGVO auszulegen und verbindlich für alle Mitgliedstatten festzulegen, ist es auch dem EuGH vorzubehalten, über die Gültigkeit von Unionsrecht zu entscheiden. So hat er beispielsweise schon zweimal die Angemessenheitsentscheidung der Europäischen Union in den wohl bekanntesten datenschutzrechtlichen Entscheidungen namens „Schrems I“ und „Schrems II“ für ungültig erklärt, die amerikanischen Unternehmen bei einer bestimmten Zertifizierung zunächst nach Safe Harbor, dann nach Privacy Shield angemessenen Datenschutz attestiert hatte. Der EuGH kann somit von nationalen Gerichten angerufen werden, um über Auslegung und Gültigkeit der DSGVO und anderer datenschutzrechtlicher Regelungen der Europäischen Union zu entscheiden.

BC: Wie hat sich der Anfall an Datenschutzfällen beim EuGH im letzten Jahr entwickelt?

Trieb: Der Anfall datenschutzrechtlicher Verfahren beim EuGH ist weiterhin hoch. Wir beobachten dies ganz genau und zählen stets ca. 40 bis 50 anhängige datenschutzrechtliche Fälle. Auffallend ist weiterhin, dass insbesondere aus Deutschland und Österreich sehr viele Vorlagefragen an den EuGH zur Auslegung der DSGVO herangetragen werden. Das macht die Entscheidungen umso spannender, weil es einfacher ist, den weiteren Verlauf des Verfahrens in Form der anschließenden Entscheidungen der Gerichte zu verfolgen, die dabei an die vom EuGH geäußerte Rechtsansicht gebunden sind. Die Letztentscheidung über den jeweiligen Fall verbleibt nämlich weiterhin bei den nationalen Gerichten. Die Themen, zu denen Vorlagefragen gestellt werden, ziehen sich durch die gesamte DSGVO. Waren es früher vermehrt Fragen zur Rollenverteilung, zu Betroffenenrechten und zum Recht auf Schadenersatz, hat sich nun ein Schwerpunkt auf das Recht auf Information verlagert.

BC: Welche Entscheidungen des letzten Jahres sind hervorzuheben?

Trieb: Hervorzuheben sind sicherlich die noch Ende 2024 ergangenen Entscheidungen zu „Masdi“, die sich mit Fragen der Informationspflicht für Verantwortliche auseinandergesetzt hat, sowie die Entscheidung zur K GmbH, die das Verhältnis von Art 88 DSGVO und nationalem Recht sowie Schadenersatzansprüchen erfasst. Zudem sind erneut im Winter zwei Vorabentscheidungen mit Österreichbezug ergangen: So hat sich der EuGH im Fall Österreichische Datenschutzbehörde gegen FR mit der Frage befassen müssen, wann eine Datenschutzbeschwerde rechtmissbräuchlich erhoben wird, sowie im Fall „Amt der Tiroler Landesregierung“ darüber absprechen müssen, welche Voraussetzungen erfüllt sein müssen, damit ein „Hilfsapparat“ Verantwortlicher nach DSGVO sein kann. Ebenso hat er im Fall „Dun & Bradstreet“ Aufschluss darüber gegeben, welche Anforderungen an Informationen über die automatisierte Entscheidungsfindung nach Art 15 Abs 1 lit. h DSGVO zu stellen sind. Bis zur PriSec im November werden noch weitere Entscheidungen folgen, aus denen ich wie jedes Jahr die spannendsten für den Vortrag auswählen werde.

BC: Was ist für die Zukunft zu erwarten? Was wird "Schrems III" bringen?

Trieb: Es ist davon auszugehen, dass nationale Gerichte weiterhin zahlreiche Fragen dem EuGH zur Vorabentscheidung vorliegen werden. Auch ist nicht auszuschließen, dass entweder im Rahmen einer Entscheidung „Schrems III“ oder aber auch im Zusammenhang mit einem anderen Fall über das aktuelle Datenschutzabkommen zwischen der EU und den USA, dem „Data Privacy Framework“ der EuGH erneut befinden wird müssen, ob es Gültigkeit hat. Tendenziell ist aber nicht zu erwarten, dass das hohe Niveau an laufenden datenschutzrechtlichen Verfahren gehalten werden wird. Mit zumindest 15 bis 20 laufenden Verfahren wird man aber auch in Zukunft rechnen können. Dieser mögliche „Rückgang“ wird aber wohl durch für uns interessante Vorabentscheidungsverfahren zu anderen Digitalisierungsrechtsakten der EU wie dem „Data Act“ oder der KI-Verordnung mehr als wettgemacht werden.

BC: Abschließend etwas Persönliches: Wir feiern heuer das Jubiläum der 10. PriSec. Was sind in Ihren Augen die Erfolgsfaktoren dieser Konferenz?

Trieb: Die Erfolgsfaktoren der Konferenz sind sicherlich die schönen Standorte in der Nähe von Wien. Ich habe mich in Rust immer wohlgefühlt und bin mir sicher, dass dies in Andau nicht anders sein wird. Die Nähe zu Wien sorgt für zahlreiche, insbesondere auch viele wiederkehrende Teilnehmer, die doch gegebenen Distanz aber auch dafür, dass nahezu alle dem legendären Abendessen samt Party am ersten Konferenztag beiwohnen, wodurch der ungezwungene Umgang und der persönliche Austausch gefördert werden. Neben dem stets hochkarätigen Beiträgen zu Datenschutz und Datensicherheit auf der Konferenz sind die ausgezeichneten Netzwerkmöglichkeiten auf der PriSec in unserer Branche in Österreich unerreicht.

BC: Danke für dieses gute Feedback und das spannende Gespräch! Wir freuen uns, Sie wieder bei uns zu begrüßen!

‍