So der Generalanwalt in seinen Schlussanträgen vom 18. Juni 2026 (Az. C- 185/25) in einem Vorabentscheidungsersuchen des OGH aus Österreich. Dort sind Ansprüche auf Auskunft nach Art. 15 DSGVO bezugnehmend auf einem Sachverhalt, in dem Auskünfte über eine Person eingeholt wurden. Der Generalanwalt am EuGH sieht hier keine gesonderte Verantwortlichkeit der handelenden Person im Sinne des Art 4 Nr.7 DSGVO. Es wird in den Rn.38-42 ausgeführt:
„…Gleichzeitig hat der Gerichtshof betont, dass der Verantwortliche eine Person sein muss, die „aus Eigeninteresse auf die Verarbeitung solcher Daten Einfluss nimmt“(16). Somit ist klar, dass es sich bei einer natürlichen oder juristischen Person, Behörde, Einrichtung oder anderen Stelle, die personenbezogene Daten für einen anderen, und nicht aus Eigeninteresse verarbeitet, nicht um einen „Verantwortlichen“ im Sinne von Art. 4 Nr. 7 DSGVO handelt.
39. Dies wird bestätigt durch den 74. Erwägungsgrund der DSGVO, der vorsieht, dass die Verantwortung und Haftung des Verantwortlichen für „jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen(17) erfolgt“, gleich ist, sowie durch die Rechtsprechung des Gerichtshofs zu Art. 29 DSGVO, der bestimmt, dass „jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, … diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten [darf]“. Der Gerichtshof hat aus dieser Bestimmung den Schluss gezogen, dass sich der Verantwortliche nicht einfach dadurch von seiner Haftung befreien kann, dass er sich auf Fehlverhalten einer ihm unterstellten Person beruft(18).
40. Des Weiteren sind, worauf das vorlegende Gericht in seinem Vorabentscheidungsersuchen hingewiesen hat, in der Rechtsprechung des Gerichtshofs verschiedene Beispiele dafür zu finden, dass personenbezogene Daten von einer natürlichen Person für eine juristische Person verarbeitet wurden, wobei die juristische (und nicht die natürliche) Person als „Verantwortlicher“ angesehen wurde(19). Insbesondere hat der Gerichtshof entschieden, dass juristische Personen (beispielsweise Unternehmen) nicht nur für Verstöße gegen die DSGVO haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen werden, sondern auch für Verstöße, die von jeglicher anderen Person begangen werden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt(20). Meines Erachtens gilt dasselbe natürlich für jede „Behörde, Einrichtung oder andere Stelle“ im Sinne von Art. 4 Nr. 7 DSGVO.
41. Diese Feststellungen stehen im Einklang mit den Leitlinien des EDSA 07/2020, die im Wesentlichen vorsehen, dass selbst wenn eine juristische Person (privat- oder öffentlich-rechtliche Organisation) eine bestimmte natürliche Person benennt, die die Einhaltung der Datenschutzvorschriften sicherstellen soll, es im Fall einer Vorschriftsverletzung die juristische Person ist, die in ihrer Eigenschaft als Verantwortlicher die Letztverantwortung trägt(21).
42. Meines Erachtens folgt aus diesen Erwägungen, dass ein Schulleiter, der (wie TS) personenbezogene Daten nicht in eigenem persönlichen Interesse (d. h. nicht für seine eigenen Zwecke) verarbeitet, sondern als Leiter einer solchen öffentlichen Stelle, als im Namen der Letzteren handelnd angesehen werden muss. In einem solchen Fall ist der Schulleiter nicht als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO einzustufen. Der „Verantwortliche“ ist vielmehr die Schule(22)…“
Hinweis des Autors:
Der EuGH wird die Schlussanträge bei der Entscheidungsfindung berücksichtigen. Diese sind kein Urteil des EuGH
