OGH 6Ob221/23b

Spruch:

Der außerordentlichen Revision wird Folge gegeben.

Die Urteile der Vorinstanzen werden aufgehoben.

Die Rechtssache wird zur neuerlichen Entscheidung nach Verfahrensergänzung an das Erstgericht zurückverwiesen.

Die Kosten des Revisionsverfahrens sind weitere Verfahrenskosten.

Begründung:

[1] Die Klägerin ist Fachärztin für Augenheilkunde und Optometrie. Die Beklagte ist eine nach irischem Recht gegründete und registrierte Gesellschaft. Sie „betreibt im europäischen Raum die angebotenen G*-Dienste“.

[2] Für die Verwendung der G*-Suchmaschine durch Nutzer in Österreich betreibt sie die Domain www.g*.at. Der von der Beklagten betriebene streitgegenständliche Dienst (G* My Business) ist ein verbraucherorientiertes Produkt, das sowohl über die G*-Suche als auch über den G*-Kartendienst (G* Maps) abrufbar ist. Er enthält Informationen über lokale Unternehmen und Sehenswürdigkeiten. Diese Informationen setzen sich aus öffentlich verfügbaren Daten (zB Name, Telefonnummer, Adresse und Öffnungszeiten) und Beiträgen einschließlich Bewertungen von Nutzern zusammen.

[3] G* My Business ermöglicht es Unternehmen in den G*-Diensten ein von ihnen selbst gestaltbares Unternehmensprofil zu erstellen. Dazu ist es erforderlich, dass sich der Unternehmer als Inhaber des Unternehmens bei G* My Business anmeldet, ein Bestätigungsverfahren durchläuft und solcherart registriert (authentifiziert) wird.

[4] Aber auch für nicht registrierte Unternehmen erfolgt durch die Beklagte auf Grundlage der von den Unternehmen selbst veröffentlichten Daten durch entsprechende Verknüpfung die automatische Erstellung eines Unternehmensprofils im G* My Business.

[5] Die Beklagte führt in den angebotenen Diensten auch ein Unternehmensprofil der Klägerin, welches neben ihrem Namen die Ordinationsanschrift, Telefonnummer, Öffnungszeiten und Lichtbilder der Ordination von innen und außen sowie eine Sterne‑Bewertung aufweist. Die Authentifizierung der Klägerin erfolgte durch die H* GmbH. Dieser hatte die Klägerin den Auftrag erteilt, für einen entsprechenden Internetauftritt zu sorgen (Authentifizierung am 12. 4. 2018 Hochladen eines Fotos, Angaben und Informationen über ihre Ordination). Die „von G*“ veröffentlichten Daten der Klägerin (abseits der Bewertungen) wurden von ihr selbst auf ihrer eigenen Homepage veröffentlicht und sind auch über eine Site der für die Klägerin zuständigen Landes-Ärztekammer abrufbar.

[6] Im Rahmen der G*-Dienste kann jeder registrierte Nutzer eine Bewertung an Hand der Vergabe von ein bis fünf Sternen vornehmen und optional einen Kommentar erstellen. Für die Registrierung eines kommentierenden Nutzers sind die Angaben einer E-Mail-Adresse sowie ein frei wählbarer Vor- und Zuname notwendig. Die Beklagte speichert diese von einem Nutzer eingegebenen Informationen. Mehrfache Bewertungen kann ein und derselbe registrierte Nutzer bei einem Unternehmensprofil nicht hinterlassen. Er kann lediglich die bereits verfasste Bewertung bearbeiten. Dies soll Missbrauch verhindern.

[7] Grundsätzlich werden authentifizierte Inhaber eines Unternehmensprofils automatisch auf die von ihnen bekanntgegebene E‑Mail‑Adresse per Mail informiert, sobald eine neue Bewertung abgegeben wurde. Es ist jedem angemeldeten Unternehmer möglich, einzelne Bewertungen in seinem Profil durch Klicken eines Fähnchens als unzulässig zu melden, wobei im Anschluss der Grund der Meldung abgefragt wird. Unzulässige Inhalte werden von der Beklagten gelöscht.

[8] Die Klägerin, die von der Bewertungsmöglichkeit nichts gewusst hatte, kündigte ihren Vertrag mit der H* GmbH vorzeitig. Sie erhielt ihre Zugangsdaten zu G* My Business, hatte aber kein Interesse sich selbst anzumelden, um auf die entsprechenden Bewertungen zu reagieren.

[9] Zum Zeitpunkt der Klagseinbringung (22. 4. 2020) schienen 33 G*-Rezensionen auf. Am 4. 10. 2021 waren es 48 Rezensionen, wobei die Klägerin insgesamt mit 3,4 von 5 Sternen bewertet worden war (23 mal 5 Sterne, 2 mal 4 Sterne, 2 mal 3 Sterne, 4 mal 2 Sterne und 15 mal 1 Stern). 7 1‑Stern‑Bewertungen enthielten keine Textangaben. Bei den übrigen 1, 2 oder 3 Sterne‑Bewertungen wurde beinahe ausnahmslos die lange Wartezeit bei der Klägerin kritisiert. Ein Nutzer beschwerte sich über eine grundlos „sehr unhöfliche“ Behandlung, eine andere Nutzerin über unsensibles und abweisendes Verhalten gegenüber ihrem Kleinkind, den Abbruch der Behandlung und darüber, dass deswegen Schielen und Sehschwäche des Kindes erst zwei Jahre später bei einem anderem Augenarzt entdeckt worden sei. Eine Mutter, die sich über den Ablauf einer Behandlung geärgert hatte, änderte ihre Textangaben nach anwaltlicher Intervention durch die Klägerin ab, wobei sie aber die Beschwerde über lange Wartezeit und das Fehlen einer Bestimmung der konkreten Weitsichtigkeit aufrecht hielt. Eine andere Patientin monierte den Aufenthalt zu vieler Patienten im Warteraum „während der Covid Zeit“.

[10] Es ist „grundsätzlich […] möglich“, dass der Aufenthalt von Patienten in der Ordination der Klägerin bis zu 1,5 Stunden dauert und in sehr seltenen Fällen auch zwei Stunden erreicht. In dieser Zeit finden verschiedene Untersuchungen und Behandlungen in der Diagnosestraße der Ordination statt. Die Zeit, die Patienten vor dem vereinbarten Termin eintreffen, ist in dieser Dauer nicht eingerechnet.

[11] Die Klägerin begehrt (zuletzt), die Beklagte schuldig zu erkennen, die von dieser über die Klägerin veröffentlichten Rezensionen und die daraus resultierende Bewertung zu löschen und eine erneute Aufnahme und Verarbeitung von Rezensionen oder Kommentaren von dritten Personen samt Bewertung der Klägerin hinkünftig ohne deren Zustimmung zu unterlassen. Weiters fordert die Klägerin Schadenersatz in Höhe von 5.000 EUR sA.

[12] Zu ihrem Löschungs- und Unterlassungshauptbegehren stellte die Klägerin zwei Eventualbegehren. Das erste Eventualbegehren lautet auf Löschung sämtlicher gespeicherter Daten der Klägerin sowie der Rezensionen und daraus resultierenden Bewertungen sowie des dazugehörigen Ärzteprofils aus dem Dienst „G* My Business“ oder anderen Diensten, in denen dieses Profil gespeichert und abrufbar ist; das zweite Eventualbegehren ist auf Löschung von 13 in einer Beilage aufgelisteten Rezensionen und den daraus resultierenden Bewertungen gerichtet. Beide Eventualbegehren verband die Klägerin mit einem auf Unterlassung der erneuten Aufnahme und der Verarbeitung dieser Daten ohne ihre Zustimmung.

[13] Die Klägerin brachte zusammengefasst vor, es fehle an einem Vertragsverhältnis mit der Beklagten und an ihrer Zustimmung zur Verarbeitung der Daten. In den Rezensionen befänden sich zum Teil grob kreditschädigende, unrichtige Aussagen über sie bzw ihre Ordination. Sie sei in ihrem Recht auf Datenschutz sowie in ihrem allgemeinen Persönlichkeitsrecht nach § 16 iVm § 1330 ABGB beeinträchtigt. Die Beklagte sorge nicht ausreichend dafür, dass Missbrauch ausgeschlossen werden könne. Es bestehe keine Möglichkeit, auf unrichtige Rezensionen, etwa in Form eines Kommentars, zu reagieren. Mangels ausreichender Rechtfertigung für die Veröffentlichung von Bewertungen sei ihr Anspruch auf Löschung gemäß Art 17 DSGVO berechtigt. Zudem übermittle die Beklagte die Daten konzernintern an die Muttergesellschaft G* LLC und damit in die Vereinigten Staaten von Amerika (USA), wo keine Gleichwertigkeit des Schutzniveaus für Daten im Vergleich zur Europäischen Union iSd Art 45 DSGVO bestehe. Die Standardvertragsklauseln der Beklagten seien nicht geeignet, einen DSGVO‑konformen Schutz zu gewährleisten, weil sie als privatrechtlicher Vertrag die US-Behörden nicht binden könnten. Auch die ergänzenden Maßnahmen seien nicht effektiv, ein entsprechendes Schutzniveau herzustellen. Die Übermittlung der Daten in die USA sei daher unzulässig, sodass das Interesse der Klägerin an der Löschung überwiege. Durch das Verhalten der Beklagten seien dieser erhebliche Aufwendungen und Verdienstentgang entstanden, um die Personen, die Rezensionen erstellt hätten, auszuforschen und auch teilweise anwaltlich zu verfolgen. Der Schaden daraus betrage 18.803,18 EUR wobei nur ein Teilschadenersatz von 5.000 EUR geltend gemacht werde.

[14] Die Beklagte wendete zusammengefasst ein, die Ermöglichung der Bewertung von Ärzten auch ohne Identitätsüberprüfung der Bewertenden sei schon aus grundrechtlichen Gesichtspunkten zulässig. Die Datenverarbeitung durch die Beklagte diene insbesondere dem Interesse des bewertenden Nutzers, seine Meinung über einen Arzt äußern zu können, sowie dem Interesse der breiten Öffentlichkeit an verstärkter Transparenz im Gesundheitsbereich und an konkreten Informationen, die eine informierte Auswahl ermöglichten. Das Klagebegehren stelle einen unverhältnismäßigen Eingriff in das Grundrecht der Freiheit der Meinungsäußerung dar. Auch die Ermöglichung der Verwendung eines Pseudonyms durch Nutzer sei rechtmäßig. Es bestehe keine Klarnamenpflicht als Voraussetzung für die Ausübung der Meinungsäußerungsfreiheit. Die Bewertungen seien iSd § 1330 ABGB wahre Tatsachenbehauptungen oder zulässige Werturteile und daher auch aus diesem Grunde nicht zu beanstanden. Sie hätten auch keinen ehrverletzenden Aussagegehalt. Weiters berief sich die Beklagte auf die festgestellten Reaktionsmöglichkeiten und die Maßnahmen zur Verhinderung von Missbrauch. Weiters führte die Beklagte aus, sie nehme keine Datenübermittlung iSd Art 44 ff DSGVO in die USA vor und sei auch nicht Verantwortliche iSd Art 4 Z 7 DSGVO. Wenn von einer Datenübermittlung an die Muttergesellschaft ausgegangen werde, so seien Standardvertragsklauseln abgeschlossen und angemessene ergänzende Maßnahmen implementiert worden, sodass eine allfällige Übermittlung zulässig sei. Bei den in Frage stehenden Daten würde es sich um veröffentlichte Daten handeln, an denen kein Geheimhaltungsinteresse bestehen könne. Durch die am 7. 10. 2022 erlassene Executive Order 14.086 seien zusätzliche Sicherheitsvorkehrungen und Beschränkungen für US‑Nachrichtendiensttätigkeiten, eine Aufsichtsbehörde für Bürgerrechte sowie ein Datenschutzüberprüfungsgericht geschaffen worden. Die Europäische Kommission habe noch am selben Tag erklärt, dass damit die Bedenken des Gerichtshofs der Europäischen Union (EuGH) im Urteil Schrems II (C‑311/18 ) ausgeräumt seien.

[15] Das Erstgericht wies (erkennbar irrtümlich ausdrücklich bloß) das Hauptbegehren, das zweite Eventualbegehren und das Schadenersatzbegehren ab. Die Rezensionen hätten keine unwahren Tatsachen beinhaltet, sondern seien zulässige Werturteile. Eine Interessensabwägung ergebe ein Überwiegen des Informationszwecks gegenüber dem Interesse der Klägerin an der Vermeidung negativer, sich aber in einem sachlichen und – soweit einer inhaltlichen Prüfung zugänglich – richtigen Rahmen bewegender Kritik. Die Profildaten seien einer breiten Öffentlichkeit bereits zugänglich gemacht worden, sodass von einer mangelnden Schutzfähigkeit im Sinn des Datenschutzes für diese Daten auszugehen sei. Die Datenverarbeitung der Beklagten sei gemäß Art 6 Abs 1 lit f DSGVO rechtmäßig.

[16] Das Erstgericht ging in seiner rechtlichen Beurteilung weiters davon aus, dass die Beklagte Mitbetreiberin der Suchmaschine sei, und auch – ohne dazu Feststellungen getroffen zu haben – davon, dass sie Daten an die Muttergesellschaft in die USA übermittle, hielt diese aber aufgrund der Durchführungsverordnung des Präsidenten der USA am 7. 10. 2022 (Executive Order 14086), des Abschlusses von Standardvertragsklauseln, der „weitere[n] vertragliche[n], rechtliche[n] und organisatorische[n] Maßnahmen“, die die Beklagte mit der Muttergesellschaft getroffen habe, und „der Transparenzberichte“ „insgesamt“ für zulässig.

[17] Das Berufungsgericht bestätigte das Ersturteil mit der Maßgabe, dass es auch das erste – vom Erstgericht inhaltlich ohnehin behandelte – Eventualbegehren ausdrücklich abwies.

[18] Es erachtete die Verfahrens- und die Tatsachenrüge als nicht berechtigt und die Anwendung österreichischen Sachrechts für unstrittig. Die Äußerungen seien im Rahmen der Ausübung der Meinungsfreiheit zulässig. Beleidigungen iSd § 1330 Abs 1 ABGB durch bloße Punktebewertungen seien von vorneherein ausgeschlossen. Sie stellten Werturteile dar. Die subjektive Einordnung auf einer Skala bis zu 5 Punkten könne nicht objektiv auf ihre Richtigkeit überprüft werden. Das Vorliegen der Voraussetzungen der Art 44 ff DSGVO sei nur für die Zulässigkeit einer Datenübermittlung in ein Drittland als zusätzlichen Verarbeitungsvorgang, nicht jedoch für die Zulässigkeit der Datenverarbeitung durch einen Verantwortlichen im Geltungsbereich der DSGVO an sich zu prüfen. Die gegenständlichen Klagebegehren richteten sich nicht gegen die Übermittlung von Daten durch die Beklagte an ihre Muttergesellschaft, sondern nur gegen die Verarbeitung der Daten der Klägerin durch die Beklagte. Auch wenn die Voraussetzungen der Art 44 ff DSGVO für eine Datenübermittlung in die USA nicht vorlägen, würde dies keinen Anspruch der Klägerin auf Löschung und Unterlassung der Verarbeitung ihrer Daten durch die Beklagte an sich begründen. Die Zulässigkeit einer derartigen Datenverarbeitung richte sich vielmehr nach Art 6 DSGVO. Ob die Beklagte das Recht der Klägerin auf Datenschutz durch eine unzulässige Datenweitergabe in die USA verletzt hat, wäre zusätzlich zu prüfen, aber hier nicht klagsgegenständlich. Ob die Übermittlung von Daten, die im Internet für jedermann weltweit zugänglich sind, überhaupt dem Regime der Art 44 ff DSGVO unterlägen, könne dahinstehen.

Rechtliche Beurteilung​

[19] Die von der Beklagten beantwortete außerordentliche Revision ist zulässig, weil sich der Oberste Gerichtshof bisher mit einem Anspruch auf Löschung wegen einer (behaupteten) unzulässigen Übermittlung von Daten in ein Drittland noch nicht befasst hat. Sie ist im Sinn des Eventualantrags auf Aufhebung auch berechtigt.

[20] 1. Die Klägerin stützt sich für ihre Ansprüche auf Schadenersatz, Löschung und Unterlassung auf zwei Begründungslinien: einerseits auf eine Verletzung des Datenschutzes und andererseits auf einen Eingriff in ihr Persönlichkeitsrecht (insoweit hinsichtlich „Löschung und Unterlassung“ wohl besser „Unterlassung und Beseitigung“ gereiht und benannt [siehe dazu 6 Ob 205/22y {Rz 43}]).

2. Zum Eingriff in das Persönlichkeitsrecht durch behauptetermaßen ehrverletzende und kreditschädigende Äußerungen

[21] 2.1. Während die Beklagte noch in der Klagebeantwortung auf das Herkunftslandprinzip hingewiesen hatte, argumentierte sie später – wie auch die Klägerin von Beginn an – allein auf Basis österreichischen Sachrechts. Das Berufungsgericht hielt lediglich fest, es sei die Anwendung des österreichischen Sachrechts im bisherigen Verfahren zwar nicht thematisiert worden, zwischen den Parteien aber auch nicht strittig, und verwies auf die Rechtsprechung zur Möglichkeit einer konkludenten Rechtswahl nach Art 3 Abs 2 Rom I‑VO (RS0040169 [T3]).

[22] 2.2. Die von der Klägerin angesprochene Verletzung ihrer Persönlichkeitsrechte unterliegt aber weder der Rom I‑VO (VO [EG] 593/2008) noch – aufgrund der Bereichsausnahme von Art 1 Abs 2 lit g Rom II‑VO (außervertragliche Schuldverhältnisse aus der Verletzung der Privatsphäre oder der Persönlichkeitsrechte, einschließlich der Verleumdung) – der Rom II‑VO (VO [EG] 864/2007).

[23] § 48 IPRG verweist für den vorliegenden Fall, weil sich die Wirkung der Verbreitung der Äußerungen vornehmlich im Inland entfaltet, in dem auch das Zentrum der sozialen Interaktion der Klägerin liegt (vgl 6 Ob 26/16s; 6 Ob 166/22p [Rz 33]), auf die Anwendung österreichischen Rechts. Zu beachten ist im vorliegenden Fall aber – wie noch zu zeigen sein wird – vorrangig, dass es um einen Dienst der Informationsgesellschaft geht, bei der der Dienstleister seinen Sitz in einem anderem Mitgliedstaat innerhalb des europäischen Wirtschaftsraums hat (§ 1 Abs 3 ECG), und von Seiten der Beklagten eine Leistung in Rede steht, die im sogenannten koordinierten Bereich (§ 3 Z 8 ECG) liegt.

2.4. Herkunftslandprinzip

[24] § 20 ECG normiert, dass sich im koordinierten Bereich die rechtlichen Anforderungen an einen in einem Mitgliedstaat niedergelassenen Diensteanbieter nach dem Recht dieses Staats richten (Abs 1 leg cit).

[25] Der freie Verkehr der Dienste der Informationsgesellschaft aus einem anderen Mitgliedstaat darf vorbehaltlich der §§ 21 bis 23 ECG nicht aufgrund inländischer Rechtsvorschriften eingeschränkt werden, die in den koordinierten Bereich fallen (Abs 2 leg cit).

[26] Eine Ausnahme von dem in § 20 ECG (als Umsetzung von Art 3 Abs 2 EC‑RL) verankerten Herkunftslandprinzip nach den §§ 21, 22 ECG ist nicht ersichtlich, zumal die Bewertungen, deren Unterlassung und Löschung die Klägerin begehrt, nicht als die Würde eines einzelnen Menschen (§ 22 Abs 2 Z 2 ECG) antastend zu qualifizieren sind (dazu näher 6 Ob 166/22p [Rz 28 ff]). Die erkennbar der subjektiven Einschätzung unterliegenden Bewertungen über Wartezeit und Freundlichkeit betreffen den beruflichen Bereich der Klägerin, ohne in den Kernbereich der Würde einer einzelnen Person einzugreifen.

[27] In seiner Entscheidung vom 25. 10. 2011, C‑509/09 und C‑161/10 (eDate Advertising GmbH,ECLI:EU:C:2011:685 [Rz 68]) legte der Gerichtshof der Europäischen Union (EuGH) Art 3 der EC‑RL dahin aus, dass dieser keine Umsetzung in Form einer speziellen Kollisionsregel verlange, hielt aber gleichzeitig fest, dass die Mitgliedstaaten im koordinierten Bereich sicherstellen müssen, dass ein Anbieter eines Dienstes des elektronischen Geschäftsverkehrs keinen strengeren Anforderungen unterliegen darf, als sie das im Sitzmitgliedstaat dieses Anbieters geltende Sachrecht vorsieht. Er postulierte ausdrücklich, es sei den zwingenden Bestimmungen einer Richtlinie, die für die Verwirklichung der Ziele des Binnenmarkts erforderlich sind (wozu er ganz offenkundig das Herkunftslandprinzip zählt), ungeachtet einer abweichenden Rechtswahl zur Anwendung zu verhelfen (Rz 65).

[28] Die Art der Umsetzung des Herkunftslandprinzips im Sinne eines Günstigkeitsprinzips oder aber auch in Form einer kollisionsrechtlichen Regelung stand damit den Mitgliedstaaten soweit frei, als der Dienstleister im Ergebnis keinen strengeren Anforderungen als denjenigen nach dem Sachrecht seines Sitzstaats unterliegt.

[29] Aus der Genese des nach wie vor in der Stammfassung in Geltung stehenden § 20 ECG lässt sich ableiten, dass damit eine Sachnormverweisung angestrebt war. Während die Regierungsvorlage noch einen Abs 3 zu § 20 ECG enthielt, welche Bestimmung Privatrechtsverhältnisse des Dienstanbieters und privatrechtliche Ansprüche gegen diesen einer speziellen Regelung unterwerfen wollte (RV 817 BlgNR 21. GP  6), entfiel dieser Absatz im Gesetzwerdungsprozess ersatzlos. Im Justizausschussbericht (JAB 853 BlgNR 21. GP  2) wird dazu erläutert, dass die Ziele und Intentionen der Richtlinie (Förderung von grenzüberschreitenden Diensten der Informationsgesellschaft und Abbau von rechtlichen Hindernissen für den elektronischen Geschäftsverkehr) eher durch eine Regelung gefördert werden könnten, die primär auf das Herkunftslandrecht des Anbieters abstelle. Dabei wurde damals auch bedacht, dass dies im Einzelfall zum Nachteil österreichischer Anbieter im Verhältnis zu Anbietern aus anderen Mitgliedstaaten führen könne, doch wurden die Nachteile durch die damit verbundene Vereinfachung als „bei weitem aufgewogen“ angesehen. Allgemeininteressen würde durch die Ausnahme von diesem Prinzip in bestimmten Bereichen entweder allgemein oder im Einzelfall nach den §§ 21 ff ECG Rechnung getragen. Ein Fall des Abs 3 der Regierungsvorlage führe damit „nicht zwangsläufig dazu, dass in jedem Fall ausschließlich ausländisches Recht zur Anwendung kommt“. Es sei vielmehr weiterhin zu prüfen, ob die Anwendung des österreichischen Rechts aus den in §§ 21 und 22 ECG genannten Gründen geboten sei.

[30] Bei Eingriffen in das (allgemeine) Persönlichkeitsrecht einer natürlichen Person, bei der sich Überlegungen zu kollisionsrechtlichen Vorgaben durch die Rom II‑VO (VO [EG] 864/2007) auf unionsrechtlicher Ebene und deren Vorrang nicht stellen (vgl dazu 4 Ob 29/13p; zuletzt 4 Ob 191/23a), bleibt angesichts des klaren gesetzgeberischen Willens und des Wortlauts in § 20 Abs 1 ECG (Abs 2 leg cit verweist nur auf die in den folgenden Paragraphen genannten Ausnahmen) kein Raum für ein Verständnis als bloßes Günstigkeitsprinzip.

[31] § 20 Abs 1 ECG enthält damit für Eingriffe in das (allgemeine) Persönlichkeitsrecht eine Sachnormverweisung auf die materiellen Rechtsvorschriften des Niederlassungsstaats (so schon 7 Ob 189/11m und die hL: Ciresa in Schwimann/Kodek, ABGB⁵ § 20 ECG Rz 4; Klicka, Der örtliche Wirkungsbereich gerichtlicher Löschungs-anordnungen im Lichte der E des EuGH C‑18/18 Glawischnig‑Piesczek/Facebook Ireland, MR 2019 [270] 274; Cach, Das Verhältnis zwischen Art 6 Rom II‑VO und § 20 E‑Commerce‑Gesetz – Disharmonie im internationalen Privatrecht? Zugleich eine Anmerkung zu OGH 4 Ob 153/13y, ZfRV 2014/25 [ggt nur für Ansprüche wegen irreführender Werbung, die Art 6 Abs 1 Rom II‑VO unterliegen]; Zankl, E‑Commerce‑Gesetz² § 20 Rz 377, 402, 408; Zankl/Knaipp, Hass im Netz: E‑Commerce‑rechtliche Probleme des KommunikationsplattformenG, ecolex 2021/146 [keine Rück- oder Weiterverweisung]; Blume/Hammerl, ECG [2002] § 20 Rz 19 f, 27; Burgstaller/Minichmayr, E‑Commerce‑Recht2 [2011] § 20 Rz 619; Brenn, Rechtsverletzung im Internet, ÖJZ 2012/52; [im Ergebnis auch] Heindler in Rummel/Lukas/Geroldinger, ABGB4 § 48 IPRG Rz 37 [„soweit die E‑Commerce‑RL Fragen behandelt, die für den internationalen Persönlichkeitsrechtsschutz relevant sind“]).

[32] 2.5. Damit kommt es im vorliegenden Fall auf das Recht des Staates an, in dem der Dienstleister seinen Sitz hat (irisches Sachrecht).

[33] Auf die in 4 Ob 191/23a (Rz 77) geäußerten Bedenken im Hinblick auf eine Rechtsänderung durch die erst seit 17. 2. 2024 geltende und damit während des Rechtsmittelverfahrens in Kraft getretene VO (EU) 2022/2065 (Digital Services Act – DSA; zur gestaffelten Geltung siehe Art 92 f DSA) ist derzeit nicht näher einzugehen. Zwar ist eine Rechtsänderung bei einem in die Zukunft gerichteten Unterlassungstitel während des Rechtsmittelverfahrens nicht unbeachtlich, weil die Berechtigung des angestrebten Gebots auch am neuen Recht zu messen ist, zumal es seinem Wesen nach ein in der Zukunft liegendes Verhalten erfassen soll und nur dann erlassen werden bzw aufrecht bleiben kann, wenn das darin umschriebene Verhalten schon im Zeitpunkt des Verstoßes verboten war und nach neuer Rechtslage weiterhin verboten ist (vgl RS0008715 [T25]; RS0123158; jüngst 4 Ob 191/23a [Rz 73] zu einem auf Persönlichkeitsrechtsverletzungen nach den §§ 16, 1330 ABGB gestützten Unterlassungsgebot). Ob aber in Ansehung der Bewertungen, wie sie bei Schluss der Verhandlung am 7. 12. 2022 für den Zeitpunkt 21. 10. 2021 festgestellt sind, im ersten Schritt von einem damals rechtswidrig erfolgten Eingriff in ein Persönlichkeitsrecht auszugehen ist, lässt sich mangels Feststellung des irischen Rechts noch nicht beurteilen. Die Anwendung irischen Rechts, dessen Erhebung und die sich daraus ergebenden Konsequenzen wurden bisher mit den Parteien auch noch nicht erörtert.

[34] Das stellt einen Verfahrensmangel besonderer Art dar, der dem Revisionsgrund der unrichtigen rechtlichen Beurteilung zu unterstellen ist (RS0076880 [T1 = 6 Ob 309/01m) und die Aufhebung der Entscheidungen der Vorinstanzen zur amtswegigen Ermittlung des ausländischen Rechts bedingt (RS0116580; RS0040045; 10 ObS 50/23k [Rz 24]), weil auch hinsichtlich der zweiten das Klagebegehren denkmöglich tragenden Anspruchsgrundlage (Datenschutz) im derzeitigen Stadium – wie noch gezeigt werden wird – keine abschließende Beurteilung möglich ist.

[35] Wie sich der Richter die notwendigen Kenntnisse des fremden Rechts (samt dessen Anwendungspraxis [RS0113594]) verschafft, liegt in seinem Ermessen (RS0045163 [T11, T17]; RS0040189 [T8]; vgl zu den zulässigen Hilfsmitteln, wozu auch die Mitwirkung der Parteien zählt, 7 Ob 154/21d [Rz 20]; RS0045163).

3. Datenschutz

[36] 3.1. Zeitlicher (Art 99 Abs 2 DSGVO), räumlicher (Art 3 Abs 1 DSGVO) und sachlicher (Art 2 Abs 1 DSGVO) Anwendungsbereich der Datenschutz-Grundverordnung sind unstrittig eröffnet.

[37] Neben Name, akademischem Grad und anderen Identifikatoren (Adresse) unterliegen auch die über eine Person abgegebenen und ihr direkt zugeordneten Bewertungen dem Regime der DSGVO, weil es sich auch dabei um „personenbezogene Daten“ iSd Art 4 Z 1 DSGVO handelt. Dieser Begriff ist nämlich weit zu verstehen (RS0132655) und umfasst auch innere Zustände wie Meinungen, Motive, Wünsche, Überzeugungen und Werturteile sowie statistische Wahrscheinlichkeitsaussagen, die nicht bloße Prognose- oder Planungswerte darstellen, sondern subjektive und/oder objektive Einschätzungen zu einer identifizierten oder identifizierbaren Person liefern (so zu Bewertungen schon 6 Ob 129/21w [Rz 51] jusIT 2022, 73 [Bierbauer] = ZIIR 2022, 154 [Thiele] = Newsletter Menschenrechte NL 2022, 196 = JBl 2022, 453 [Grasl] = ecolex 2022, 280 [Hafner‑Thomic] = SZ 2022/11 – Lehrerapp – Lernsieg II; zum Merkmal des Personenbezugs siehe zuletzt 6 Ob 19/23x [Rz 14] = jusIT 2023/67 [Thiele]; vgl auch „alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen“ EuGH C‑487/21 , F. F. gegen Österreichische Datenschutzbehörde, ECLI:EU:C:2023:369 [Rz 23]).

[38] „Verarbeitung“ von Daten nach Art 4 Z 2 DSGVO ist unter anderem neben deren Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Anpassung oder Veränderung, Auslesung, Verwendung auch ihre „Offenlegung durch Übermittlung, Verbreitung oder einer anderen Form der Bereitstellung“.

[39] Die Klägerin bezweifelt die Rechtmäßigkeit der Verarbeitung ihrer Daten unter zwei Gesichtspunkten: wegen des Fehlens ihrer Einwilligung dazu, sich bewerten zu lassen, und wegen einer unrechtmäßigen Übermittlung in ein Drittland. Sie stützt sich dazu auf Art 17 Abs 1 lit d DSGVO, als in der DSGVO verankertes Recht als betroffene Person von dem Verantwortlichen verlangen zu können, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der darin normierten Pflicht des Verantwortlichen, personenbezogene Daten unverzüglich zu löschen, sofern die personenbezogenen Daten unrechtmäßig verarbeitet wurden. Dagegen erhebt die Beklagte zwei (Haupt‑)Einwände: Sie sei nicht Verantwortlicher iSd Art 4 Z 7 DSGVO, daher könne der Löschungsanspruch nicht gegen sie gerichtet werden; außerdem habe sie keine Daten in ein Drittland (die USA) übermittelt.

3.2. Fehlende Zustimmung

[40] Auf eine fehlende Zustimmung der Beklagten, sich bewerten zu lassen, kommt es nicht an, weil sich die Beklagte insofern zu Recht auf Art 6 Abs 1 lit f DSGVO stützt. Anlässlich der Verarbeitung wird ein berechtigtes Interesse wahrgenommen (Information der Öffentlichkeit über ärztliche Leistungen samt dem Einblick in persönliche Erfahrungen und subjektive Einschätzungen, die der jeweilige Nutzer bei seiner eigenen Arztwahl berücksichtigen kann; dazu, dass vom Schutzbereich von Art 10 EMRK und Art 11 GRC nicht nur die Äußerung der eigenen Meinung, sondern auch die Weitergabe fremder Meinungen und Informationen geschützt sind, siehe 6 Ob 198/21t [Rz 20] Newsletter Menschenrechte NL 2022, 486 = jusIT 2022, 238 [Thiele] = JMG 2022, 280 [Streit/Koukal] = MR 2022, 220 [Kezer/Knotzer] = EvBl 2023, 281 [Schwamberger] = ecolex 2023/318 [Tipotsch] – Ärztebewertungsportal – docfinder III). Die Verarbeitung der personenbezogenen Daten ist zur Verwirklichung des berechtigten Interesses erforderlich. Die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, überwiegen hier nicht, zumal es um die Bewertung der beruflichen Tätigkeit (Sozialsphäre) geht und anonyme Bewertungen und sogar ein (möglicher) Missbrauch bis zu einem gewissen Grad hinzunehmen sind (gerade zur Bewertung von Ärzten ausführlich 6 Ob 198/21t [Rz 29 ff]).

[41] Mit dem Grundrecht auf freie Meinungsäußerung auch im Wege anonymer Bewertungen hat sich der Fachsenat des Obersten Gerichtshofs bereits eingehend befasst (6 Ob 129/21w [Rz 83 f]; 6 Ob 198/21t [Rz 35 ff]; 6 Ob 120/23z [Rz 11]).

[42] Aus der in der Revision angeführten Entscheidung des EuGH C‑460/20 (TU und RE vs Google LLC,8. 12. 2022, ECLI:EU:C:2022:962) ist Gegenteiliges nicht abzuleiten. Vielmehr ist eine Interessensabwägung geboten (so schon EuGH C‑597/19 , Mircom vs Telenet, ECLI:EU:C:2021:492 [Rz 106]). Diese ist Sache der nationalen Gerichte (C‑597/19 [Rz 111]). Eine bloße Punktebewertung drückt lediglich den subjektiven Eindruck des (Nicht‑)Gefallens des bewerteten Unternehmens als Ganzes (hier also des Ordinationsbetriebs als Ganzes, wozu auch Faktoren wie etwa die telefonische Erreichbarkeit und die Freundlichkeit der Hilfspersonen zählen können; zur Unüberprüfbarkeit von reinen Werturteilen auf ihre Richtigkeit hin siehe RS0032212 [insb T29]). Die von der Klägerin begehrte Negativfeststellung (wonach nicht festgestellt werden könne, dass fünf [nach den Nutzernamen] bezeichnete Personen Patienten der Klägerin waren) kann Missbrauch nicht dar- oder belegen (vgl 6 Ob 120/23z [Rz 22 ff]). Dass die Beklagte die vergebenen Bewertungen der Nutzer verändert oder unrichtig wiedergegeben hätte, wird nicht behauptet.

3.3. Verantwortlicher iSd Art 4 Z 7 DSGVO

[43] Der Verantwortliche ist in Art 4 Z 7 DSGVO definiert als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden“.

[44] Wegen des angestrebten hohen Niveaus des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen (C‑604/22 , IAB Europe vs Gegevensbeschermingsautoriteit, ECLI:EU:C:2024:214 [Rz 53 f]), welchen als Betroffenen ein wirksamer und umfassender Schutz gewährt werden soll (Rz 55), genügt eine Mitwirkung „an der Entscheidung über die Zwecke und Mittel der Verarbeitung“, um als Verantwortlicher iSv Art 4 Z 7 DSGVO angesehen zu werden (Rz 57).

[45] Der EuGH hatte bereits die Gelegenheit klarzustellen, dass der Betreiber einer Suchmaschine als für die entsprechende Verarbeitung „Verantwortlicher“ iSv Art 4 Z 7 anzusehen ist (EuGH C‑131/12 Google Spain SL und Google Inc., ECLI:EU:C:2014:317). Warum die Beklagte meint, sie werde von der Klägerin gar nicht als Suchmaschinenbetreiberin in Anspruch genommen, wenn sie sich (das Eventualbegehren betreffend) zur Unzulässigkeit der Aufrechterhaltung ihrer (Profil‑)Daten in G* Maps und den Betrieb dieses Dienstes durch die Beklagte stützte, wird im weiteren Verfahren zu erörtern sein, insbesondere aber auch, welches Begehren auf welche Daten in Bezug auf welchen (seit wann betriebenen) Dienst der Beklagten und für welche insoweit vorgenommene Datenverarbeitung die Klägerin abstellt. Zum Beginn des Betriebs differieren die Angaben der Parteien überdies. Während die Beklagte ausführt, sie betreibe den „streitgegenständlichen Dienst“ (gemeint dabei offenbar G* My Business) – ebenso wie die anderen G*-Dienste (ohne nähere Darlegung welche damit angesprochen sind) – seit 22. Jänner 2019, meint die Klägerin die „Webseiten unter www.g*.at“ würden von der Beklagten als Diensteanbieterin erst seit 8. 5. 2020 (also nach Klagseinbringung) betrieben.

[46] Die Beklagte steht hinsichtlich ihres Dienstes G* My Business, mit dem Unternehmensprofile erstellt und eingesehen werden können, (der die vom Hauptbegehren betroffenen Bewertungen enthält) auf dem Standpunkt, sie sei nicht (Daten-)Verantwortliche, weil die Indexierung der Profildaten durch die Muttergesellschaft erfolge, die diese Daten selbständig erhebe. Für die Bewertungen und dabei allenfalls eingegebenen Texte seien allein die Nutzer Verantwortliche; diese könnten die Bewertungen auch jederzeit wieder entfernen.

[47] Diese Auffassung ist nicht zu teilen. Die Beklagte ist – zumal die DSGVO ein funktionales Konzept des Begriffs „Verantwortlicher“ verfolgt (Pachinger, Datenschutz‑Verträge³ [2024] Rz 3) – als Daten-verantwortliche einzustufen, verfolgt sie doch in Bezug auf die von ihr betriebenen Dienste ihr Eigeninteresse und handelt insoweit zu dessen Förderung. Sie nimmt aus diesem Eigeninteresse heraus Einfluss auf den von ihr vorgegebenen Zweck des Dienstes (hier im Besonderen Bewertung von Unternehmen) und die bei der Datenverarbeitung verwendeten Mittel. Sie stellt eine Verknüpfung der (wenn auch von den Nutzern eingegebenen) Bewertungen mit dem Profil/Namen des Unternehmens her und führt so diese von ihr vorgegebenen Kategorien an Informationen in ihrem Dienst zusammen, was eine Verarbeitung im Sinne der DSGVO darstellt. Sie gibt den Rahmen der Bewertung durch die Vergabemöglichkeit von bis zu 5 Sternen unter allfälliger Verknüpfung mit einem Text-Kommentar vor, reiht die Bewertungen und führt sie in eine Gesamtbewertung zusammen. Die „Technikgestaltung“ (vgl dazu etwa die an den Verantwortlichen gerichteten Vorschriften nach Art 25 DSGVO) obliegt allein ihr, nicht dem Nutzer. Sie ist im Übrigen diejenige, die – nach dem noch zu erörternden – Vorbringen der Klägerin Daten in die USA übermittelt haben soll.

[48] Der Umstand, dass Nutzer ihre verbale oder Stern-Bewertung eingeben und auch wieder löschen können, womit sie zum Betrieb des Dienstes der Beklagten beitragen, entpflichtet die Beklagte als diejenige, die die Daten verarbeitet, nicht (zumal eine Kontrolle über sämtliche Aspekte und Bereiche der Datenverarbeitung nicht notwendig ist, wenn etwa der – schon deswegen – Verantwortliche die Datensammlung organisiert; vgl EuGH C‑25/17 Tietosuojavaltuutettu / Jehovan todistajat, ECLI:EU:C:2018:551 [Rz 75]; vgl im Übrigen dazu, dass mehrere Akteure als gemeinsam Verantwortliche anzusehen sein können, EuGH C‑210/16 Wirtschaftsakademie Schleswig‑Holstein GmbH, ECLI:EU:C:2018:388 [Rz 40 f], C‑231/22 , État belge [Moniteur belge], ECLI:EU:C:2024:7 [Rz 44 ff]).

[49] Die von der Beklagten erwähnte Stellung-nahme 1/2010 der Artikel‑29‑Datenschutzgruppe zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, angenommen am 16. 2. 2010, ist mittlerweile von den nach öffentlicher Konsultation angenommenen Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO (European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1, adopted on 7. 7. 2021 „EDPB Guidelines 07/2020 V2.1“) abgelöst worden (EDPB Guidelines 07/2020 V2.1 Rz 4). Danach wäre nicht einmal erforderlich, dass der Verantwortliche tatsächlich Zugang zu den verarbeiteten Daten hat. Wer eine Verarbeitungstätigkeit auslagert und dabei entscheidenden Einfluss auf den Zweck und die (wesentlichen) Mittel der Verarbeitung hat (zB durch Anpassung von Parametern eines Dienstes in einer Weise, dass er beeinflusst, wessen personenbezogene Daten verarbeitet werden), ist als Verantwortlicher anzusehen, auch wenn er nie tatsächlich auf die Daten zugreifen kann, welcher Zugriff der Beklagten hier aber wohl ohnehin möglich wäre.

[50] Nach alledem kann nicht gesagt werden, dass die Beklagte „für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlegt, nicht als im Sinne dieser Vorschrift verantwortlich angesehen werden“ könnte (vgl EuGH C‑40/17 , Fashion ID, ECLI:EU:C:2019:629 [Rz 74] zum Betrieb einer Fanpage).

3.4. Übermittlung iSd Art 44 ff DSGVO

[51] Die zentrale datenschutzrechtliche Problematik des Verfahrens liegt in der Frage, was unter „Übermittlung an ein Drittland“ zu verstehen ist.

[52] Um den durch die DSGVO innerhalb der EU gewährten Schutz des Einzelnen nicht zu untergraben, sind Datenübermittlungen personenbezogener Daten „an ein Drittland“ (oder eine internationale Organisation) nur unter bestimmten Voraussetzungen zulässig (Art 44 DSGVO). Dabei geht es im Wesentlichen um die Einhaltung eines angemessenen Schutzniveaus, welches Erfordernis sich nach der Rechtsprechung des EuGH direkt aus der Grundrechte-Charta ergibt (Moos/Zeiter in Moos/Schefzig/Arning, Praxishandbuch DSGVO einschließlich BDSG und spezifischer Anwendungsfälle² Rz 26 [Stand 1. 4. 2021, rdb.at]).

[53] Solange ein mit einem Drittland (hier den USA) geschlossenes Abkommen bestand oder besteht, zu dem ein (aufrechter) Angemessenheitsbeschluss iSd Art 45 Abs 1 DSGVO vorliegt, bedarf es für die Übermittlung keiner besonderen Genehmigung. Ohne einen solchen Angemessenheitsbeschluss (Art 45 Abs 3 DSGVO) darf nach Art 46 Abs 1 DSGVO ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (vgl Art 44 ff DSGVO).

[54] Kernargument der Revision für die Unzulässigkeit der Übermittlung der Daten in die USA als Drittland ist die Aufhebung des Angemessenheitsbeschlusses zum Privacy Shield-Abkommen durch den EuGH mit sofortiger Wirkung durch das Urteil vom 16. 7. 2020 (C‑311/18 , Facebook Ireland Ltd/Schrems, ECLI:EU:C:2020:559 – „Schrems II“). Ausschlaggebend waren für diese Entscheidung vor allem weitreichende und nicht auf das unbedingt erforderliche Ausmaß beschränkte Überwachungs- und Zugriffsbefugnisse von US‑amerikanischen Behörden auf personenbezogene Daten, welche im Rahmen des Privacy Shield‑Abkommens in die Vereinigten Staaten übermittelt wurden. Ferner wurde vom EuGH das Fehlen von Rechtsschutzmöglichkeiten für Unionsbürger bemängelt, weil betroffenen Personen keine oder nur unzureichende Möglichkeiten zur Verfügung gestellt wurden, die gegenüber amerikanischen Behörden gerichtlich durchgesetzt werden konnten, sodass ihnen im Ergebnis keine wirksamen Rechtsbehelfe offenstanden (Knyrim/Gerhalter in Knyrim, DatKomm Art 45 DSGVO Rz 32 [Stand 1. 10. 2023, rdb.at]).

[55] Nachdem im März 2022 die Präsidentin der Europäischen Kommission und der Präsident der Vereinigten Staaten von Amerika (US‑Präsident) zunächst eine grundsätzliche Einigung über einen neuen transatlantischen Datenschutzrahmen verkündet hatten, erließ der US‑Präsident am 7. 10. 2022 den „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activites“ (Executive Order 14086). Dessen Ziel war es, die erforderlichen Garantien im Bereich des amerikanischen Nachrichtendienstes zu schaffen, um den Angemessenheits-beschluss seitens der Europäischen Kommission zum „EU‑U.S. Data Privacy Framework“ zu ermöglichen (Knyrim/Gerhalter in Knyrim, DatKomm Art 45 DSGVO Rz 55 [Stand 1. 10. 2023, rdb.at]). Ein solcher Angemessenheitsbeschluss wurde am 10. 7. 2023 gefasst (in Kraft seit 11. 7. 2023; Knyrim/Gerhalter in Knyrim, DatKomm Art 45 DSGVO Rz 54 [Stand 1. 10. 2023, rdb.at]), weswegen seither der Datentransfer (hinsichtlich der zertifizierten Empfänger) wieder „ohne besondere Genehmigung“ zulässig ist.

[56] Nicht zweifelsfrei geklärt ist aber, welche Vorgänge unter „Übermittlung“ iSd Art 44 ff DSGVO überhaupt zu verstehen sind (vgl zum insoweit gegebenen „Versäumnis des europäischen Verordnungsgebers“ Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 44 DSGVO Rz 5 [Stand 1. 12. 2020, rdb.at] sowie Knyrim/Gerhalter in Knyrim, DatKomm Art 44 DSGVO Rz 19 [Stand 1. 10. 2023, rdb.at] und deren Hinweise auf die Übersetzung „Übermittlung“ sowohl für »transmission« in Art 4 Z 2 DSGVO als auch für »transfer« bzw »transfert« in Kapitel V der DSGVO in der englischen bzw französischen Sprachfassung sowie der ebenfalls ohne Definition bleibenden Verwendung von „Offenlegung“ an anderen Stellen der DSGVO [siehe auch Samuel Gail, Übermittlung = Übermittlung? DSB 2021, 187]).

[57] Gail geht davon aus, dass Übermittlung iSd Art 44 DSGVO den Fall beschreibt, dass personenbezogene Daten der ausschließlichen Hoheitsgewalt des EU-Rechts entzogen und – zusätzlich – dem geltenden Recht des jeweiligen Drittlands unterworfen werden (Samuel Gail DSB 2021, 187). Für Knyrim/Gerhalter bedeutet „Übermittlung“, dass personenbezogene Daten über die Grenzen des Geltungsbereichs der DSGVO gebracht werden und die Endbestimmung der Daten außerhalb des Unionsgebiets liegt oder die Daten von außerhalb der EU zugänglich sind (Knyrim/Gerhalter in Knyrim, DatKomm Art 44 DSGVO Rz 19 [Stand 1. 10. 2023, rdb.at]). Die bloße Möglichkeit, dass eine US-Muttergesellschaft Daten einer Tochtergesellschaft anfordern könnte, stellt dagegen für Fritz/Kirchmair noch keine nach der DSGVO relevante Übermittlung dar (Gernot Fritz/Verena Kirchmair, Drittstaatentransfers bei Cookies – neue Entwicklungen und Lösungswege, MR 2022, 190). Knyrim/Gerhalter (in Knyrim, DatKomm Art 44 DSGVO Rz 19/1 [Stand 1. 10. 2023, rdb.at]) führen andererseits aber auch Literatur und Rechtsprechung in Deutschland an, wonach bereits die Zugriffsmöglichkeit aus einem Drittland genügen bzw ein internationaler Datentransfer auch dann gegeben sein soll, wenn der Server nicht dem im Drittland ansässigen Unternehmen, sondern einer europäischen Konzerntochter gehört (Knyrim/Gerhalter in Knyrim, DatKomm Art 44 DSGVO Rz 19/1 FN 39 ff [Stand 1. 10. 2023, rdb.at]).

[58] Heuer versteht unter „Übermittlung“ die Mitteilung an einen individuell bestimmten Adressatenkreis und meint, der Begriff „Übermittlung“, wie er in der DSGVO verwendet werde, beziehe sich nur auf gerichtete Kommunikation, nicht aber auch auf die Formen ungerichteter Kommunikation (= Bereitstellung für bestimmbaren oder unbestimmten Adressatenkreis; Heuer, Datensicherheit im GTelG 2012: Die „Übermittlung“ im Sinne von § 3 Abs 1 GTelG 2012, jusIT 2024 [99] 100 mwN).

[59] Jahnel verneint für folgende Fälle eine „Übermittlung“ in ein Drittland iSd Art 44 ff: Ein Verantwortlicher mit Sitz in einem Drittland erhebt selbst personenbezogene Daten in der Union, ein Verantwortlicher mit Sitz in einem Drittland zieht einen Auftragsverarbeiter in der EU zur Verarbeitung von personenbezogenen Daten heran oder ein Verantwortlicher legt gegenüber einer betroffenen Person in einem Drittland deren eigene Daten offen, zB im Rahmen einer Auskunftserteilung (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 44 DSGVO Rz 8 [Stand 1. 12. 2020, rdb.at]).

[60] Aus dem Urteil Lindqvist (C‑101/01 , ECLI:EU:C:2003:596) lässt sich – allerdings zur „Vorläuferbestimmung“ der DSGVO (der RL 95/46/EG ) und ausdrücklich unter den Umständen des Ausgangsverfahrens sowie des Entwicklungsstands des Internets zur Zeit der Ausarbeitung dieser Richtlinie (Rz 67) – gesichert lediglich ableiten, dass bei in der EU gespeicherten Websites zwischen „Übermittlung“ und dem bloßen „Zugänglichmachen“ (wobei durch den Abruf von verschiedenen Orten aus die auf einer Website hochgeladenen Daten auf den Rechner einer in einem Drittland befindlichen Person gelangen [Rz 58 ff]) zu unterscheiden ist.

[61] Die DSGVO selbst legt nicht fest, ob es für das Vorliegen einer Übermittlung in ein »Drittland« auf den Sitz des Empfängers und/oder den Ort der Datenverarbeitung ankommt (so auch Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 44 DSGVO Rz 11 [Stand 1. 12. 2020, rdb.at]). Nach Jahnel soll bereits die Erfüllung eines dieser beiden Kriterien ausschlaggebend sein. Piltz/Martin verweisen auf die Leitlinien 01/2023 zu Art 37 der JI‑Richtlinien des Europäischen Datenschutzausschusses (EDSA) und entnehmen diesen, dass es dem EDSA darauf ankomme, dass sich der Importeur „in einem Drittland“ befinde (Carlo Piltz/Marcel Martin, Was ist eine „Übermittlung“? – Ansichten des EDSA und des Generalanwalts am EuGH, DSB 2023, 272; so auch Knyrim/Gerhalter in Knyrim, DatKomm Art 44 DSGVO Rz 19 unter Verweis auf die Guidelines 05/21 „Importeur in einem Drittstaat ansässig“).

[62] In der Verordnung selbst wird aber – wie schon erwähnt – nur von der Übermittlung „an ein Drittland“ gesprochen (vgl auch „aus der Union an Verantwortliche, Auftragsverarbeiter oder andere Empfänger ‚in Drittländern‘ oder an internationale Organisationen“ [ErwGr 101] bzw „wenn personenbezogene Daten in ein anderes Land außerhalb der Union übermittelt werden“ [ErwGr 116]). Eine eindeutige Klarstellung lässt sich insoweit auch dem Schrems II‑Urteil des EuGH nicht entnehmen, weil – wiewohl darin auch erwähnt wurde, dass Facebook Ireland eine Tochtergesellschaft der in den USA ansässigen Facebook Inc. sei – Sachverhaltsbasis gewesen war, dass die personenbezogenen Daten der im Unionsgebiet wohnhaften Nutzer von Facebook ganz oder teilweise an Server der Facebook Inc., die sich in den USA befinden, übermittelt und dort verarbeitet werden (Rz 50 f). Nach dem Vorbringen sollen Recht und die Praxis der USA keinen ausreichenden Schutz „der in diesem Land gespeicherten“ personenbezogenen Daten gewährleistet (Rz 52) und die „E.O. 12333“ der NSA den Zugang zu Daten erlaubt haben, die „auf dem Weg“ in die USA seien (Rz 63).

3.5. Wirkung der Aufhebung des Angemessenheitsbeschlusses

[63] Abgesehen von der Frage, wann überhaupt von einer Übermittlung iSd Art 44 ff gesprochen werden kann und wann von einer bloßen Offenlegung, scheint auch das diesbezügliche Vorbringen der Klägerin nicht eindeutig. Sie geht zwar einerseits selbst davon aus, dass eine „Offenlegung“ für eine rechtswidrige Übermittlung nach Art 44 DSGVO nicht ausreicht, erachtet aber andererseits trotz Einbringung der Klage im April 2020 für alle Bewertungen eine unrechtmäßige Datenverarbeitung durch „Übermittlung“ in das Drittland USA für gegeben. Die in der Klage erwähnten 33 Bewertungen mussten aber zeitlich vor Aufhebung des Angemessenheitsbeschlusses zum Privacy Shield-Übereinkommen (erst‑)gespeichert bzw übermittelt worden sein (zudem war die Beklagte nach ihrem Vorbringen überhaupt erst ab 8. 5. 2020 Diensteanbieter). Das Vorbringen der Klägerin lässt sich damit – im Sinn des von ihr angestrebten Klagebegehrens – (auch) so verstehen, dass sie offenbar meint, durch das Schrems II‑Urteil des EuGH komme es rückwirkend zu einer Rechtswidrigkeit der (erst‑)gespeicherten Daten.

[64] Art 45 Abs 9 DSGVO statuiert, dass von der Kommission auf der Grundlage von Art 5 Abs 6 der RL 95/46/EG erlassene Feststellungen so lange in Kraft bleiben, bis sie durch einen nach dem Prüfverfahren gemäß den Absätze 3 oder 5 des vorliegenden Artikels (Art 45 DSGVO) erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.

[65] Der EuGH sah anlässlich des Schrems II-Urteils keine Veranlassung, die Wirkungen des Angemessenheitsbeschlusses aufrechtzuerhalten. Er begründete dies (Rz 102) mit folgender (sich jedenfalls nicht eindeutig mit Fragen einer Rückwirkung befassenden) Argumentation:

„Zu der Frage, ob die Wirkungen dieses Beschlusses aufrechtzuerhalten sind, um die Entstehung eines rechtlichen Vakuums zu vermeiden (vgl in diesem Sinne Urteil vom 28. 4. 2016, Borealis Polyolefine ua, C‑191/14 , C‑192/14 , C‑295/14 , C‑389/14 und C‑391/14 bis C‑393/14 , EU:C:2016:311 [Rn 106]), ist festzustellen, dass in Anbetracht von Art 49 der DSGVO durch die Nichtigerklärung eines Angemessenheitsbeschlusses wie des DSS-Beschlusses jedenfalls kein solches rechtliches Vakuum entstehen kann. In dieser Vorschrift ist nämlich klar geregelt, unter welchen Voraussetzungen personenbezogene Daten in Drittländer übermittelt werden können, falls weder ein Angemessenheitsbeschluss nach Art 45 Abs 3 der DSGVO vorliegt noch geeignete Garantien im Sinne ihres Art 46 bestehen.“

[66] Strassemeyer/Schefzig/Moos gehen offenbar nicht von einer Rückwirkung aus, wenn sie darlegen, es müssten Unternehmen nunmehr Übermittlungen in die USA über einen anderen Mechanismus (aus Art 46 Abs 2, Abs 3 DSGVO) rechtfertigen (Strassemeyer/Schefzig/Moos in Moos/Schefzig/Arning, Praxishandbuch DSGVO einschließlich BDSG und spezifischer Anwendungsfälle² Rz 108), ebenso wohl Jahnel, wenn er das Urteil dahin versteht, dass damit klargestellt worden sei, dass die USA bis auf Weiteres als Drittland anzusehen seien und derzeit keine Privilegierung für die Übermittlung von personenbezogenen Daten genössen (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 45 DSGVO Rz 17). Auch die Antwort des EDSA auf „häufig gestellte Fragen zu C‑311/18 “ scheint gegen eine Rückwirkung zu sprechen („Ich habe Daten an einen US‑amerikanischen Datenimporteur übermittelt, der dem Datenschutzschild beigetreten ist, was sollte ich jetzt tun?  Übermittlungen auf der Grundlage von diesem Rechtsrahmen sind rechtswidrig. Falls Sie weiterhin Daten in die USA übermitteln möchten, müssten Sie prüfen, ob dies unter den nachstehenden Bedingungen möglich ist; EDSA, Häufig gestellte Fragen zu C‑311/18 angenommen am 23. Juli 2020, S. 2 f“).

[67] Die Klägerin könnte für eine Rückwirkung des Schrems II‑Urteils allerdings die Formulierung von Knyrim/Gerhalter,es sei – weil der EuGH keinerlei Schon- oder Übergangsfrist für Datenübermittlungen, welche auf das Privacy Shield-Abkommen gestützt wurden, vorgesehen habe – unmittelbare Folge seiner Aufhebung, dass sämtliche allein auf dem Privacy Shield-Abkommen beruhenden Übermittlungsvorgänge mit einem Schlag rechtswidrig „wurden“ (Knyrim/Gerhalter in Knyrim, DatKomm Art 45 DSGVO Rz 34 [Stand 1. 10. 2023, rdb.at]), für sich haben.

[68] Insoweit ist – schon neben der Frage, was unter dem Begriff „Übermittlung“ in ein Drittland iSd Art 44 DSGVO an einen Datenimporteur zu verstehen ist (ob es auf den Sitz des Datenimporteurs und/oder den Speicherort ankommt, ob es um die erstmalige [Zwischen-]Speicherung oder eine mehrmalige Übermittlung auch derselben Daten geht oder ob die Zugänglichmachung durch Abruf und wenn ja, unter welchen Bedingungen darunterfallen kann) – auch nicht eindeutig geklärt, ob die Aufhebung des Angemessenheitsbeschlusses mit dem Schrems II‑Urteil auf bereits zuvor erfolgte Datenübermittlungen zurückwirkt und somit auch das (Weiter‑)Anzeigen (oder die Speicherung) von Bewertungen, die bereits zuvor „übermittelt“ wurden, als unzulässige Übermittlung nach Art 44 DSGVO anzusehen ist.

[69] Ist eine Rückwirkung nicht völlig auszuschließen, scheint auch die Frage einer etwaigen Sanierung durch einen nachfolgenden Angemessenheitsbeschluss offen.

[70] Aus der Verwendung der Zeit „Present Perfect Continuous“ in der englischen Sprachfassung (jener Zeit, welche für Handlungen verwendet wird, die in der Vergangenheit begonnen haben und bis in die Gegenwart andauern; „have been unlawfully processed“) schließen Feiler/Forgó,dass der Tatbestand nach Art 17 Abs 1 lit d DSGVO nur erfüllt ist, wenn der Zustand der Rechtswidrigkeit anhält. Sei der ursprünglich rechtswidrige Zustand inzwischen rechtmäßig, bestehe auch aus teleologischen Gründen kein Anlass, einen Löschungsanspruch, gleichsam pönaliter, zu gewähren. Ein Verstoß gegen einen der Grundsätze des Art 5 DSGVO stelle daher nur dann einen Löschungsgrund dar, wenn der Verstoß anhalte (Feiler/Forgó, EU‑DSGVO² [2022] Art 17 Rz 13). Diese Ansicht vertritt auch Arnig, der als entscheidenden Zeitpunkt für die Beurteilung der Unrechtmäßigkeit der Verarbeitung iSd Art 17 Abs 1 lit d DSGVO auf den „jeweils gegenwärtigen Zeitpunkt“ abstellt. Ob die Verarbeitung der betroffenen Daten zu einem früheren Zeitpunkt rechtswidrig war, sei für die Löschpflichten unerheblich; insoweit komme nur eine Sanktionierung, zB durch ein Bußgeld, in Betracht (Arning in Moos/Schefzig/Arning, Praxishandbuch DSGVO einschließlich BDSG und spezifischer Anwendungsfälle ² Kap 6 Rz 404 [Stand 1. 4. 2021, rdb.at]). Haidinger teilt zwar die einen Pönalcharakter der Vorschrift verneinende Auffassung, stellt aber für den maßgeblichen Zeitpunkt auf die Antragstellung ab (Haidinger in Knyrim, DatKomm [2024] Art 16, 17 DSGVO Rz 55).

3.6. Öffentlich verfügbare Daten

[71] Letztlich kann auch die Kategorie der übermittelten Daten (in Ansehung des Eventualbegehrens und beschränkt auf den Teil „Profildaten“) in Betracht zu ziehen sein.

[72] Bei den Profildaten handelt es sich um allgemein verfügbare personenbezogene Daten der Klägerin (zum Begriff „allgemeine Verfügbarkeit“ als „öffentlich“ oder „öffentlich zugänglichen“ Daten siehe Kotschy, Das Grundrecht auf Geheimhaltung personenbezogener Daten [Teil I], Jahrbuch Datenschutzrecht und E‑Government [2012] 27 [44]). Werden die Profildaten nicht bloß reproduziert, sondern mit einem neuen Element verknüpft (der Bewertung), werden damit „neue“ personenbezogene Daten (unter Einschluss der Profildaten) erzeugt. Die Profildaten stehen dann nicht mehr für sich (vgl Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz² § 1 [Stand 1. 2. 2022, rdb.at] Rz 117). Allerdings kann das Verlangen der Löschung der gesamten Daten als „überschießend“ angesehen werden, wenn doch eine Löschung nur der Bewertungen zur bloßen Wiedergabe der Profildaten allein dazu führen würde, diese also dann wiederum bloß reproduziert werden.

[73] Damit gälte es, das Verhältnis von § 1 Abs 1 DSG, wonach kein Schutz des Grundrechts besteht, wenn Daten infolge ihrer allgemeinen Verfügbarkeit einem Geheimhaltungsanspruch nicht zugänglich sind, zur DSGVO auszuloten.

[74] Durch die DSGVO sind nämlich grundsätzlich alle personenbezogenen Daten geschützt. Besonderen Schutz genießen mit Art 9 DSGVO die besonderen Kategorien personenbezogener Daten („sensible“ oder „sensitive“ Daten).

[75] Art 9 Abs 2 lit e DSGVO nimmt vom Verbot der Verarbeitung sensibler Daten nach Abs 1 leg cit die von der betroffenen Person „offensichtlich öffentlich gemacht[en Daten]“ aus. Dazu gehören die im Internet frei verfügbaren Daten (Lurf in Kezer/Adametz/Lurf/Gamauf, Social Media Recht 6.37 [Stand 1. 2. 2022, rdb.at]). Das Urteil des EuGH zu C‑667/21 (ZQ gegen Medizinischer Dienst der Krankenversicherung Nordrhein,ECLI:EU:C:2023:1022) klärt insoweit nur, dass neben dem Erlaubnistatbestand nach Art 9 Abs 2 DSGVO auch eine der Rechtsgrundlagen nach Art 6 Abs 1 DSGVO für eine Verarbeitung gegeben sein muss (zum davor schon in der Literatur aus Art 9 DSGVO gezogenen Größenschluss, dass die Verarbeitung durch die betroffene Person offensichtlich öffentlich gemachter nicht-sensibler Daten auf Grundlage von Art 6 Abs 1 lit f grundsätzlich zulässig sei, Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm [2020] Art 9 DSGVO Rz 43). Daran anschließend ist die Frage aufzuwerfen, ob ein Anspruch auf Löschung (und Unterlassung der Wiederaufnahme solcher Daten) nach der DSGVO überhaupt besteht oder ein Begehren darauf (wegen unzulässiger Übermittlung in ein Drittland) allenfalls als rechtsmissbräuchlich anzusehen wäre, wenn der Empfänger die „nicht sensiblen“ personenbezogenen Daten, deren Löschung er (hier: auch) begehrt, selbst offensichtlich öffentlich preisgegeben hat (wie hier auf der eigenen, frei zugänglichen Homepage bzw wie sie auf einer Website der zuständigen Ärztekammer abrufbar sind), die Verarbeitung nach Art 6 Abs 1 lit f DSGVO rechtmäßigerweise erfolgte, aber (auch) eine unzulässige Übermittlung an ein Drittland stattfand. Ein schutzwürdiges Interesse könnte dann zu verneinen sein, zumal das Recht auf Schutz personenbezogener Daten kein uneingeschränktes Recht ist, sondern es im Hinblick auf seine gesellschaftliche Funktion gesehen und gegen andere Grundrechte abgewogen werden muss (C‑667/21 [Rz 54] unter Verweis auf ErwGr 4 der DSGVO).

3.7. Anspruch auf Löschung wegen Übermittlung in ein Drittland

[76] Nicht zuletzt wäre auch zu hinterfragen, ob – soweit von einer unzulässigen Übermittlung in ein Drittland nach Art 44 DSGVO auszugehen wäre – aus einem solchen Verstoß das Recht des Betroffenen auf Löschung seiner Daten (bzw der mit dem Hauptbegehren vorrangig angesprochenen Bewertungen) nach Art 17 DSGVO resultiert, zumal es einer Verletzung eines dem Betroffenen eingeräumten subjektiven, individuellen Rechts bedarf (Jahnel/Pallwein‑Prettner, Datenschutzrecht³ 211).

[77] Die ausschließliche Bezugnahme auf „die [der betroffenen Person] aufgrund dieser Verordnung zustehenden Rechte“ in Art 79 Abs 1 DSGVO soll – folgt man Feiler/Forgó – den (primärrechtlich unter Umständen hinterfragbaren) Schluss nahelegen, dass eine betroffene Person nur hinsichtlich der Bestimmungen des Kapitel III der DSGVO („Rechte der betroffenen Person“; Art 12 bis Art 23) aktivlegitimiert sei. Feiler/Forgó leiten daraus ab, dass es – um sonstige Verletzungen der DSGVO geltend zu machen – einer betroffenen Person an der Aktivlegitimation fehle (Feiler/Forgó, EU-DSGVO² [2022] Art 79 Rz 2). Leupold/Schrems fassen denBegriff der erfassten Rechte dagegen als weit zu verstehen auf. Er umfasse demnach nicht nur die Betroffenenrechte des Kapitel III (Art 12–23), sondern alle subjektiven Rechte, die die DSGVO dem Einzelnen gewährt. Jedenfalls aber falle das Recht auf Löschung unter Art 79 DSGVO (Leupold/Schrems in Knyrim, DatKomm [2021] Art 79 DSGVO Rz 9). Ob Knyrim/Gerhalter in diesem Sinne zu verstehen sind, wenn sie zu Art 45 DSGVO postulieren, falls ein Verstoß (gegen diese Bestimmung) vorliege, stünden den Betroffenen sämtliche Rechtsschutzinstrumente der DSGVO zur Verfügung, ist nicht eindeutig, zumal diese Äußerung in die Erwähnung des hohen Strafrahmens nach Art 83 Abs 5 lit c DSGVO und der Möglichkeit einer Funktion von Art 62 Abs 1 Z 1 und 2 DSGVO als Auffangtatbestand für Verwaltungsstrafen eingebettet ist (Knyrim/Gerhalter in Knyrim, DatKomm Art 45 DSGVO Rz 4 [Stand 1. 10. 2023, rdb.at]).

[78] Dem Verfahren zum Schrems II‑Urteil des EuGH lag insoweit nämlich bloß das Begehren auf Anordnung eines Verbots oder der Aussetzung der Übermittlung personenbezogener Daten an ein bestimmtes Unternehmen in den USA zugrunde (Rz 55, 77), sodass fraglich erscheint, ob die Klägerin den Anspruch auf Löschung aller Bewertungen (bzw überhaupt all ihrer Daten) als verhältnismäßige Konsequenz auf Art 17 Abs 1 lit d DSGVO stützen kann, wenn diese Daten etwa auch von der Beklagten selbst (und auf Servern in Europa) gespeichert werden.

3.8. Fehlende Sachverhaltsgrundlage

[79] Die vorstehenden Ausführungen haben gezeigt, dass Grundlage für die datenschutzrechtliche Beurteilung der (Eventual‑)Begehren der Klägerin die Frage des Vorliegens einer „Übermittlung“ von Daten der Klägerin an ein Drittland ist. Dazu fehlt aber eine festgestellte Tatsachengrundlage.

[80] Zwar legte das Erstgericht eine Datenübermittlung zugrunde, aber ohne dazu Feststellungen getroffen zu haben. Beide Parteien monierten im Berufungsverfahren übereinstimmend das Fehlen von Feststellungen dazu, dass die Beklagte „die Daten der Klägerin an G* LLC in die USA übermittelt“. Die Beklagte bemängelte zusätzlich das Fehlen einer Befassung damit im Rahmen der Beweiswürdigung. Soweit das Berufungsgericht die Ausführungen des Erstgerichts in der rechtlichen Beurteilung als ausreichende Sachverhalts-grundlage ansah, wird diese Ansicht nicht geteilt, und zwar schon deswegen, weil keine der Vorinstanzen näher umschrieben hat, was sie unter der im Verfahren zwischen den Parteien strittigen „Datenübermittlung“ im faktisch-technischen Sinn verstand.

[81] Die Klägerin hatte dazu vorgetragen, es würden die von der Beklagten gesammelten Daten auf Servern der G* LLC in den USA gespeichert und verarbeitet. Dies stelle eine Übermittlung im Sinne der DSGVO dar. Sie sei als Datenexporteur verantwortlich. Es gehe nicht um die Tatsache, dass die Daten weltweit abrufbar gehalten würden, sondern darum, dass die Beklagte die gesammelten Daten in die USA übermittle und dort speichere sowie verarbeite. Die Beklagte bestritt aber „ausdrücklich, im Rahmen der streitgegenständlichen Datenverarbeitung Datenübermittlung iSd Art 44 ff DSGVO in die USA vorzunehmen“ und trug vor, keine Daten in Länder außerhalb des EWR zu übermitteln.

[82] Selbst wenn sich daher im vorliegenden Fall Fragen zur Auslegung der DSGVO, insbesondere dazu, was überhaupt unter Übermittlung im Sinn der DSGVO zu verstehen ist, stellen, kommt derzeit ein Vorabentscheidungsverfahren (noch) nicht in Betracht, weil eine Vorlagefrage eines nationalen Gerichts unzulässig ist, wenn der EuGH nicht über die tatsächlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind (etwa EuGH C‑217/05 , Confederación Española de Empresarios de Estaciones de Servicio, ECLI:EU:C:2006:784[Rz 17, 28]; C‑101/08 , Audiolux, ECLI:EU:C:2009:626 [Rz 31]; C‑82/13 , Società cooperativa Madonna dei miracoli, ECLI:EU:C:2013:655 [Rz 12]; C‑558/18 und C‑563/18 , Miasto Łowicz, ECLI:EU:C:2020:234 [Rz 44 ff]; C‑60/22 , UZ, ECLI:EU:C:2023:373 [Rz 40]; 1 Ob 28/23h [Rz 32]). Eine mehrfache, hintereinander folgende Vorlage zu einzelnen Fragen erscheint ebenso wenig zweckmäßig. Hinzu kommt, dass noch ungeklärt ist, ob die Begehren der Klägerin nicht schon allein auf Basis irischen Rechts berechtigt wären.

[83] Vor einer allfälligen (zukünftigen) Befassung des EuGH ist jedenfalls zu klären, ob und in welcher technischen Form überhaupt eine „Übermittlung“ in welcher Weise auch immer – konkret – behauptet und bewiesen wird. Mit der Klägerin wird zu erörtern sein, ob sie – angesichts der Stellungnahmen in der Literatur – tatsächlich (überhaupt) den Standpunkt einnimmt, auch spätere Abrufe seien eine Übermittlung, bzw warum sie für die vor Aufhebung des Angemessenheitsbeschlusses bereits ersichtlichen 33 Bewertungen von einer unzulässigen Datenübermittlung ausgeht. Für die nach Klagseinbringung abgegebenen Bewertungen fehlen Feststellungen zum Zeitpunkt von deren Aufnahme in den Dienst G* My Business der Beklagten. Darüber hinaus wird die Klägerin ihr Vorbringen dazu zu präzisieren haben, in welcher Funktion und für welche Tätigkeit sie die Beklagte in Bezug auf welche Daten (Bewertungen) in Anspruch nimmt, zumal sie in den Schriftsätzen häufig ganz pauschal von der Tätigkeit von „G*“ spricht.

[84] Die Beklagte ist daran zu erinnern, dass sie im Rahmen ihrer Prozessförderungspflicht verpflichtet sein kann, an der Ermittlung des (ihr zugänglichen) technischen Ablaufs und des Umfangs ihrer Tätigkeiten mitzuwirken (vgl zur Anwendung des § 184 ZPO bei Informationsdefiziten 4 Ob 78/22g; 2 Ob 18/23w; 6 Ob 177/23g; 6 Ob 120/23z).

[85] Erst wenn überhaupt solche faktischen Vorgänge, die einer „Übermittlung“ iSd Art 44 DSGVO unterstellt werden können, feststehen, kann an solche Tatsachenfeststellungen eine weitere rechtliche Beurteilung anknüpfen. Das gilt auch für die von der Beklagten ins Treffen geführten Standardvertragsklauseln. Soweit sich das Erstgericht – ohne Feststellungen zu treffen – auf „weitere vertragliche, rechtliche und organisatorische Maßnahmen“ stützte und auf „Transparenzberichte“ bezog, bleiben deren Gehalt und Auswirkung im Dunkeln, zumal die dazu vorgelegte unscharfe und schlecht lesbare Beilage ohne jede Erklärung blieb. Welche weiteren vertraglichen Maßnahmen mit dem bloßen Verweis auf diese Beilage (./28) gemeint sind, lässt sich derzeit ebenso wenig nachvollziehen. Diese Beilage enthält Standardvertragsklauseln (sogenanntes „Set II“, alternative Standardvertragsklauseln für die Übermittlung personenbezogener Daten aus der Gemeinschaft in Drittländer [Übermittlung zwischen für die Datenverarbeitung Verantwortlichen aus der Entscheidung 2004/915/EG vom 27. 12. 2004]) und einen Vertrag vom März 2021. In diesem wird zwar als „Hintergrund“ die Absicht, im Rahmen des vorliegenden Vertrags personenbezogene Daten an die G* LLC in den USA zu übermitteln, erwähnt. Allerdings werden in der Leistungsbeschreibung immer nur die Begriffe Datenexporteur und Datenimporteur verwendet, als welche jeweils nur die Muttergesellschaft (nicht aber die Beklagte) bezeichnet wird. Ebenso hat nur die Muttergesellschaft den Vertrag als „Datenexporteur“ und als „Datenimporteur“ unterfertigt. Die Beklagte wird daher – soweit nach den Ergebnissen des weiteren Verfahrens notwendig – darzulegen haben, aus welchen Bestimmungen sich auf welche Weise eine Verpflichtung der G* LLC auf Einhaltung eines Datenschutzniveaus, wie es dem europäischen Schutzniveau gleichwertig ist, ergibt, und die sich aus dem Vertrag ergebende Rolle der Beklagten zu erklären haben. Gleiches gilt für die von ihr behaupteten „Maßnahmen“, die näher darzustellen, zu erläutern und hinsichtlich ihrer faktischen Wirksamkeit für die Erreichung eines äquivalenten Schutzniveaus (Pachinger, Datenschutz‑Verträge³ [2024] Rz 338), wobei auch die tatsächliche staatliche Zugriffspraxis eine Rolle spielen kann (vgl C‑311/18 , Schrems II [Rz 132 ff]; Knyrim/Gerhalter in Knyrim, DatKomm Art 44 DSGVO Rz 48 [Stand 1. 10. 2023, rdb.at]), zu beweisen sein werden. Dabei wird überdies auf die Behauptung der Klägerin, der privatrechtliche Vertrag könne die US‑Behörden faktisch nicht binden, einzugehen sein.

[86] Die Verwendung von Standarddatenschutzklauseln allein bedeutet nämlich nach der Feststellung des EuGH im Schrems II‑Urteil nicht, dass jeglicher auf dieser Grundlage durchgeführte Drittstaatentransfer ein entsprechendes Schutzniveau iSv Art 44 ff DSGVO aufweist (vgl Moos/Zeiter in Moos/Schefzig/Arning, Praxishandbuch DSGVO einschließlich BDSG und spezifischer Anwendungs-fälle² Kap 9 Rz 67 ff [Stand 1. 4. 2021, rdb.at]; zum Prüfungsschema siehe Knyrim/Gerhalter in Knyrim, DatKomm Art 45 DSGVO Rz 40 ff [Stand 1. 10. 2023, rdb.at]; Pachinger, Datenschutz-Verträge³ [2024] Rz 327 ff und „Unmittelbare To‑dos aufgrund des EuGH-Urteils bzw Evaluierung in der Praxis“ Rz 348 ff). Zwar ist der Beklagten darin Recht zu geben, dass die Standardvertragsklauseln „grundsätzlich unverändert“ zu bleiben haben, sie können aber durchaus ergänzt werden (Moos/Zeiter in Moos/Schefzig/Arning, Praxishandbuch DSGVO einschließlich BDSG und spezifischer Anwendungsfälle² Kap 9 Rz 79 ff [Stand 1. 4. 2021, rdb.at]).

[87] 4. Ausgehend davon, dass noch unklar ist, ob die Begehren auf Löschung (Beseitigung) und Unterlassung berechtigt sind, lässt sich auch die Berechtigung des darauf gegründeten Schadenersatzbegehrens noch nicht beurteilen. Es hat daher zur Aufhebung der Entscheidungen der Vorinstanzen und zur aufgezeigten Verfahrensergänzung zu kommen.

[88] 5. Die Kostenentscheidung beruht auf § 52 Abs 1 ZPO.