Barbara Schmitz ist Rechtsanwältin für IT- und Datenschutzrecht bei der BAY GmbH Wirtschaftsprüfungs- und Rechtsanwaltsgesellschaft in München sowie Mitglied des Wissenschaftsbeirats der ZD.
.jpg?sfvrsn=961d031a_1)
ZD 2026, 369 Die DS-GVO hat sich zu einer Querschnittsmaterie mit erheblicher Ausstrahlungswirkung auf andere Rechtsgebiete entwickelt. Wie zwei aktuelle Entscheidungen aus Österreich verdeutlichen, erschöpft sich ihre Relevanz nicht in datenschutzrechtlichen Sachverhalten, sondern erstreckt sich zunehmend auch auf organisatorische, gesellschaftsrechtliche und verfahrensrechtliche Entscheidungen.
Während sich der österreichische Verwaltungsgerichtshof (ÖVwGH) in seiner Entscheidung v. 14.4.2026 - Ra 2024/04/0375 mit dem Anwendungsbereich der gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO im gesellschaftsrechtlichen Kontext beschäftigt, unterwirft die österreichische Datenschutzbehörde (ÖDSB) in ihrem Bescheid v. 6.11.2025 (DSB 2025-0.801.122) die zivilprozessuale Beweisführung einer datenschutzrechtlichen Verhältnismäßigkeitsprüfung. Beide Entscheidungen betreffen unterschiedliche Sachverhalte, machen aber deutlich, dass datenschutzrechtliche Wertungen über den klassischen Bereich der Datenverarbeitung hinauswirken.
Entscheidung des ÖVwGH
Im Mittelpunkt der Entscheidung des ÖVwGH stand die Frage, ob mehrere gesellschaftsrechtlich miteinander verbundene Unternehmen allein aufgrund ihrer organisatorischen und wirtschaftlichen Nähe als gemeinsam Verantwortliche iSd Art. 26 DS-GVO anzusehen sind.
Die mit dem Sachverhalt zunächst beschäftigte Datenschutzbehörde hatte dies bejaht und ihre Auffassung im Wesentlichen auf die Rechtspre-chung des EuGH zur gemeinsamen Verantwortlichkeit gestützt. Dabei vertrat sie mit Verweis auf die EuGH-Entscheidungen in den Rs. Wirtschaftsakademie Schleswig-Holstein (ZD 2018, 357 mAnm Marosi/Matthé und mAnm Schulz = MMR 2018, 591 mAnm Moos/Rothkegel), Rs. Fashion ID (ZD 2019, 455 mAnm Hanloser = MMR 2019, 579 mAnm Moos/Rothkegel), Rs. Jehovan todistajat (ZD 2018, 469 mAnm Hoeren) sowie Rs. IAB Europe (ZD 2024, 328 mAnm Halim/Marosi = MMR 2024, 390 mAnm Keppeler/Schneider) die Ansicht, dass bereits ein tatsächliches Zusammenwirken mehrerer Akteure bei der Datenverarbeitung für die Annahme gemeinsamer Verantwortlichkeit ausreichen könne.
Nach Ansicht der Datenschutzbehörde stellt schon allein die organisatorische Verflechtung der Konzernunternehmen bereits ein hinreichendes Indiz für einen gemeinsamen Einfluss auf Zwecke und Mittel der Datenverarbeitung dar und erfüllt damit die Voraussetzungen an eine gemeinsame Verantwortlichkeit im Sinne der EuGH-Entscheidungen.
Der ÖVwGH folgte dieser Auslegung der Datenschutzbehörde nicht und stellte auf verständliche Weise und praxisnah fest, dass weder die gesellschaftsrechtliche Verknüpfung noch wirtschaftliche Verbindungen für sich genommen eine gemeinsame Verantwortlichkeit begründen. Entscheidend sei, ob die beteiligten (Konzern-)Unternehmen tatsächlich einen gemeinsamen Einfluss auf die konkreten Zwecke und Mittel der jeweiligen Verarbeitung ausüben. Gerade daran fehle es nach Ansicht des Gerichts im vorliegenden Fall.
Der ÖVwGH greift die von der Datenschutzbehörde zitierte EuGH-Rechtsprechung auf, macht jedoch deutlich, dass die Entscheidungen des EuGH nicht so verstanden werden dürfen, dass jede arbeitsteilige Zusammenarbeit oder konzerninterne Abstimmung automatisch als gemeinsame Verantwortlichkeit einzuordnen ist. Vielmehr fordert der EuGH nach Ansicht des ÖVwGH für das Vorliegen einer gemeinsamen Verantwortlichkeit eine konkrete Prüfung der tatsächlichen Einflussmöglichkeiten. Unter anderem mit Verweis auf das Urteil in der Rs. Fashion ID (ZD 2019, 455 Rn. 74 mAnm Hanloser) hebt der ÖVwGH hervor, dass die datenschutzrechtliche Verantwortlichkeit auf die jeweils betroffenen Datenverarbeitungsvorgänge beschränkt bleibt. Gesellschaftsrechtliche Beziehungen oder zivilrechtliche Haftungszusammenhänge zwischen den Beteiligten stellen jedoch kein Indiz für das Vorliegen einer gemeinsamen datenschutzrechtlichen Verantwortlichkeit dar.
Die Entscheidung besitzt über den Einzelfall hinaus erhebliche praktische Bedeutung. Obwohl die DS-GVO konzerninterne Datenflüsse grundsätzlich nicht in Frage stellt, besteht bei Konzernen und Unternehmensgruppen häufig Unsicherheit darüber, welche datenschutzrechtlichen Folgen konzerninterne Datenflüsse nach sich ziehen. Gerade in Matrixorganisationen, Shared-Service-Strukturen oder zentralisierten Compliance- und HR-Funktionen wird aus einer engen organisatorischen Verzahnung häufig auf eine gemeinsame datenschutzrechtliche Verantwortlichkeit geschlossen. Die Entscheidung des ÖVwGH verdeutlicht, dass diese Ebenen getrennt zu betrachten sind. Der Umstand, dass Unternehmen innerhalb eines Konzerns personenbezogene Daten austauschen oder einheitliche Geschäftsprozesse innerhalb der Unternehmensgruppe nutzen, führt nicht zwangsläufig zu einer gemeinsamen Verantwortlichkeit. Für die datenschutzrechtliche Bewertung kommt es vielmehr auf die tatsächlichen Einflussmöglichkeiten der beteiligten Gesellschaften auf die konkrete Datenverarbeitung an.
Bescheid der ÖDSB
Während die Entscheidung des ÖVwGH die datenschutzrechtliche Verantwortlichkeit im gesellschaftsrechtlichen Umfeld betrifft, zeigt der Bescheid der ÖDSB, welche Auswirkungen datenschutzrechtliche Vorgaben auf die zivilprozessuale Beweisführung haben können. Gegenstand des Verfahrens war die Frage, ob private E-Mails mit personenbezogenen Inhalten als Beweismittel in ein laufendes Zivilverfahren eingeführt werden durften.
Der Beschwerdeführer sah sich dadurch in seinem Recht auf Geheimhaltung verletzt, nachdem der Beschwerdegegner mehrere E-Mails aus einem persönlichen Schriftwechsel iRe gerichtlichen Verfahrens vorgelegt hatte. Der Beschwerdegegner rechtfertigte das Vorlegen der E-Mails damit, dass diese zur Darlegung seines Feststellungsinteresses in dem anhängigen Zivilverfahren erforderlich gewesen seien. Mit der vorgelegten Korrespondenz sollte die Intensität des Konflikts zwischen den Parteien verdeutlicht werden.
Mit der Anwendbarkeit der DS-GVO auf gerichtliche Verfahren hatte sich auch der EuGH bereits in der Rs. Norra Stockholm Bygg (ZD 2023, 396) befasst. Er führt darin aus, dass die Verwendung personenbezogener Daten als Beweismittel in einem gerichtlichen Verfahren grundsätzlich eine Weiterverarbeitung für einen anderen Zweck als den ursprünglichen Erhebungszweck darstellen kann. Eine solche Zweckänderung kann nach Art. 6 Abs. 4 DS-GVO zulässig sein, wenn die zugrunde liegenden Verfahrensregelungen den Anforderungen des Art. 23 Abs. 1 DS-GVO genügen.
Der EuGH verweist insoweit insbesondere auf Art. 23 Abs. 1 lit. f und lit. j DS-GVO, wonach Beschränkungen der in Art. 5 DS-GVO verankerten Grundsätze zum Schutz der Rechtspflege und gerichtlicher Verfahren sowie zur Durchsetzung zivilrechtlicher Ansprüche gerechtfertigt sein können. Die gerichtliche Durchsetzung oder Verteidigung von Rechtspositionen kann daher eine zweckändernde Verarbeitung personenbezogener Daten rechtfertigen, sofern diese in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist.
Die ÖDSB stellt ebenfalls klar, dass die Verwendung personenbezogener Daten als Beweismittel in einem gerichtlichen Verfahren grundsätzlich datenschutzrechtlich zulässig sein kann. Sie betont jedoch, dass auch in diesem Kontext die Verarbeitung personenbezogener Daten dem Grundsatz der Datenminimierung unterliegt und daher auf das für den jeweiligen Verfahrenszweck erforderliche Maß beschränkt bleiben muss. Nach Auffassung der Behörde war diese Voraussetzung im konkreten Fall nicht erfüllt.
Zwar sollten die vorgelegten E-Mails die Gefahr einer gerichtlichen Auseinandersetzung sowie die zwischen den Parteien bestehenden Spannungen belegen. Für einen solchen Nachweis standen aber bereits die zwischen den Parteien ausgetauschten Mahn- und Abmahnschreiben zur Verfügung, in denen ausdrücklich rechtliche Schritte angekündigt wurden. Da mit diesen Schreiben der verfolgte Beweiszweck bereits erfüllt werden konnte, war die zusätzliche Vorlage der persönlichen E-Mails nach Ansicht der ÖDSB nicht erforderlich.
Die Behörde gelangte daher zu dem Ergebnis, dass die Weitergabe der darin enthaltenen personenbezogenen Daten gegen den Grundsatz der Datenminimierung verstieß und nicht durch überwiegende berechtigte Interessen gerechtfertigt werden konnte. Bemerkenswert ist die Konsequenz, mit der die ÖDSB den Grundsatz der Datenminimierung auf die Auswahl und Vorlage von Beweismitteln anwendet.
EuGH und ÖDSB gelangen dabei über unterschiedliche dogmatische Ansätze zu einem vergleichbaren Ergebnis: Während der EuGH die Einführung personenbezogener Daten in ein Gerichtsverfahren unter dem Gesichtspunkt einer Zweckänderung betrachtet, knüpft die ÖDSB ihre Prüfung an das Vorliegen eines berechtigten Interesses sowie an den Grundsatz der Datenminimierung. Weder schließt die DS-GVO die Verwendung personenbezogener Daten als Beweismittel in gerichtlichen Verfahren grundsätzlich aus, noch entbindet ein anhängiges Gerichtsverfahren von den Anforderungen der Erforderlichkeit und Verhältnismäßigkeit. Entscheidend bleibt vielmehr, ob die konkrete Datenverarbeitung für die Rechtsverfolgung tatsächlich erforderlich ist.
Für die Praxis bedeutet dies, dass sich Parteien in einem Rechtsstreit verstärkt die Frage stellen müssen, ob personenbezogene Informationen für die Durchsetzung ihrer Rechtsposition tatsächlich notwendig sind oder ob der verfolgte Zweck auch mit weniger eingriffsintensiven Mitteln erreicht werden kann. Damit sind datenschutzrechtliche Maßstäbe nicht mehr nur auf klassische Datenverarbeitungsvorgänge beschränkt, sondern müssen auch bei der Vorbereitung und Führung zivilrechtlicher Verfahren mitgedacht werden.
Bedeutung und Ausblick
Die beiden österreichischen Entscheidungen zeigen, dass die DS-GVO nicht nur auf klassische datenschutzrechtliche Fragestellungen beschränkt ist. Die den Entscheidungen zugrunde liegende Argumentationsstruktur lässt sich durchaus auch auf andere gesellschaftsrechtliche, verfahrensrechtliche und organisatorische Konstellationen übertragen. Vergleichbare Überlegungen stellen sich auch bei internen Untersuchungen und Compliance-Verfahren. Auch hier werden regelmäßig personenbezogene Daten verarbeitet, ausgewertet und zwischen verschiedenen Stellen innerhalb eines Unternehmens oder Konzerns ausgetauscht. Ebenso lassen sich die Überlegungen der ÖDSB auch auf außergerichtliche Streitbeilegungsverfahren, arbeitsrechtliche Auseinandersetzungen sowie behördliche und aufsichtsrechtliche Verfahren übertragen.
Überall dort, wo personenbezogene Daten zur Begründung oder Abwehr von Ansprüchen verwendet werden, stellt sich die Frage, ob die betreffende Verarbeitung für den verfolgten Zweck notwendig ist oder ob weniger eingriffsintensive Alternativen zur Verfügung stehen. Dies gilt unabhängig davon, ob die Datenverarbeitung in einem Konzern oder in einem gerichtlichen Verfahren erfolgt.
Die Grundsätze der DS-GVO liefern damit nicht nur Antworten auf datenschutzrechtliche Fragestellungen, sondern geben auch Orientierung für die Lösung rechtlicher Konflikte in anderen Rechtsgebieten. Gerade darin zeigt sich die interdisziplinäre Wirkung der DS-GVO.