I en nylig afgørelse af 26.11.2020,¹ den østrigske forbundsforvaltningsdomstol (Bundesverwaltungsgericht, BVwG) omstødte en bøde på 18 mio. EUR, som den østrigske databeskyttelsesmyndighed havde pålagt det østrigske postvæsen (APS). Sagen drejer sig om de samme faktiske omstændigheder, som BVwG havde behandlet i en særskilt afgørelse.² Domstolen stadfæstede i denne sag DPA's administrative sanktion mod APS, som var blevet anklaget for ulovligt at behandle og sælge personoplysninger om kunder, såsom private adresser og formodede politiske tilhørsforhold, til tredjemand til markedsføringsformål.

I den foreliggende afgørelse anerkendte BVwG den ulovlige karakter af APS' adfærd, men annullerede alligevel DPA's sanktion på grund af, at det ikke var blevet fastslået, at både juridiske og fysiske personer, der handlede på vegne af APS, havde været ansvarlige for den pågældende skyld.

Fakta

Sagens faktiske oprindelse går tilbage til en rapport fra journalistikplatformen Addendum i januar 2019,³ hvori det anføres, at APS ud over oplysninger om privatadresse, køn og alder, uddannelse samt præferencer med hensyn til investeringer eller donationer også havde indsamlet oplysninger om ca. 3 millioner kunders opfattede politiske holdninger.⁴

Efter en undersøgelse på eget initiativ har DPA:

• konkluderede, at undersøgelsen af sociodemografiske faktorer og behandlingen af oplysninger om en persons politiske præferencer uden noget retsgrundlag udgør en særlig kategori af personoplysninger i henhold til artikel 9, stk. 1, i den generelle forordning om databeskyttelse (forordning (EU) 2016/679) (GDPR), hvilket kræver forudgående udtrykkelig godkendelse fra den berørte part (artikel 9, stk. 2, litra a), i GDPR; § 151, stk. 4) Gewerbeordnung, GewO);

• beordrede, at behandlingen af oplysninger skulle ophøre, og at allerede indsamlede oplysninger skulle slettes inden for en frist på to uger;

• Det fastslås, at APS ikke havde foretaget en passende konsekvensanalyse vedrørende databeskyttelse (før den 25.05.2018), da den fejlagtigt undlod at betragte politisk tilhørsforhold som en særlig kategori af personoplysninger.

APS svarede ved at appellere, idet den hævdede, at oplysninger om en privatpersons politiske tilhørsforhold ikke kunne betragtes som personoplysninger, da sådanne oplysninger indsamles gennem anonymiserede meningsmålinger, der giver generelle fremskrivninger. Da disse sandsynlighedsberegninger ikke kan berigtiges (artikel 16 i GDPR), betragtes de som markedsføringsoplysninger og klassificeres i henhold til §151, stk. 6, i GewO. Det blev dog tilføjet, at selv om de blev betragtet som personoplysninger, var de ikke kvalificeret som en særlig kategori sidstnævnte.

Så sent som i november bekræftede BVwG DPA's afgørelse og fastslog, at behandlingen af oplysninger om tilhørsforhold til et politisk parti var en personoplysning i henhold til artikel 4, stk. 1, i den generelle forordning om databeskyttelse. Da de indhentede oplysninger kunne henføres til en specifikt identificerbar privatperson, hvis politiske overbevisning skal beskyttes mod forskelsbehandling i henhold til artikel 9 i GDPR, skal de behandles som en særlig kategori af personoplysninger, hvilket kræver forudgående samtykke. Denne del af afgørelsen er nu under behandling ved den Østrigs øverste forvaltningsdomstol (Verwaltungsgerichtshof, VwGH).

Det spørgsmål, der behandles i denne artikel, vedrører imidlertid et andet juridisk aspekt af samme sag.

På baggrund af de ovenfor skitserede faktiske omstændigheder drejer sagen sig om APS' påståede overtrædelse af artikel 5, stk. 1, artikel 6, stk. 2 og 4, artikel 9, 14, 30, 35 og 36 i den generelle forordning om databeskyttelse. Den følger efter en klage indgivet af APS, der var baseret på argumentet om, at bøden var blevet udstedt uden at der var blevet fastslået skyld hos fysiske personer, der handlede på dens vegne (artikel 4, stk. 7, i GDPR).

I det følgende fokuseres der på BVwG's nylige beslutning om at omstøde DPA's bøde i lyset af tidligere konklusioner fra VwGH. Her fastslog Domstolen, at den påståede faktiske, ulovlige og skyldige adfærd også skal kunne tilskrives en fysisk person (§ 44a VStG), for at en juridisk person kan holdes ansvarlig.⁵

Spørgsmålet

Da forordningen om databeskyttelse har til hensigt at indføre direkte ansvar for juridiske personer uden at skulle bevise, at en privatperson har begået en individuel forseelse, og da den faktisk også indeholder bestemmelser herom, måtte BVwG tage følgende i betragtning:

1. Hvorvidt databeskyttelsesmyndigheden var berettiget til at pålægge en juridisk person en bøde i henhold til artikel 83 i GDPR, når der ikke var påvist en skyldig adfærd fra en fysisk persons side, der handlede på vegne af en juridisk enhed;

2. Om de nationale administrative strafferetlige regler finder anvendelse, eller om det pågældende spørgsmål skal undersøges i lyset af reglerne i GDPR.

Beslutning

Domstolen fastslog, at den bøde, som DPA pålagde på grundlag af bestemmelserne i artikel 83 i GDPR, falder ind under bestemmelserne i den østrigske lov om administrative sanktioner (Verwaltungsstrafgesetz, VStG) samt den østrigske lov om databeskyttelse (Datenschutzgesetz, DSG). Nationale procedureregler finder anvendelse i forbindelse med bøder, der pålægges som følge af en overtrædelse i henhold til GDPR, da artikel 83, stk. 8, fastsætter følgende: "Tilsynsmyndighedens udøvelse af sine beføjelser [...] skal være underlagt passende proceduremæssige garantier i overensstemmelse med EU-retten og medlemsstaternes lovgivning, herunder effektive retsmidler og en retfærdig rettergang.⁶

Den fastslog endvidere, at Datatilsynet havde undladt at handle i overensstemmelse med §§ 44a og 45 VStG samt § 30 DSG ved at undlade at bevise skyld hos fysiske personer, der havde handlet på vegne af APS, såsom personer, der repræsenterede, udøvede kontrol i eller traf beslutninger på vegne af APS.

Kommentar

Selv om den sanktion, som APS blev pålagt, måske er blevet omstødt af BVwG, er dens afgørelse baseret på en formfejl fra DPA's side. Som sådan skal den behandles særskilt og er ikke i strid med BVwG's tidligere afgørelse, hvori det blev konkluderet, at behandlingen af oplysninger om personligt tilhørsforhold til et politisk parti giver anledning til ansvar.

Fodnoter

1 Sagsnummer: Sagsnummer: Sagsnummer W258 2217446-1/14E. Tilgængelig via: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=
True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=
&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum
=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00.

2 Sagsnummer: Sagsnummer: Sagsnummer W258 2217446-1/35E. Tilgængelig via: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=
Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=
&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=
&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.

3 "Wenn Die Post Partei Ergreift." Addendum, 28. juli 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [besøgt 10.12.2020].

4 For yderligere oplysninger henvises til pressemeddelelserne fra både det østrigske postvæsen med titlen "Milestones and outlook for 2019 and 2020" (29.10.2019) og fra Det Europæiske Databeskyttelsesråd med titlen "Administrative criminal proceedings of the Austrian data protection authority against Österreichische Post AG" (23.10.2019), tilgængelige via: https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.

5 Sagsnummer R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.

6 "Art. 83 GDPR - Generelle betingelser for pålæggelse af administrative bøder." Den generelle forordning om databeskyttelse (GDPR), 29. marts 2018, gdpr-info.eu/art-83-gdpr/ [besøgt 14.12.2020].

Formålet med denne artikel er at give en generel vejledning i emnet. Der bør søges specialiseret rådgivning om dine specifikke omstændigheder.