Østrig: Udviklingen i østrigsk retspraksis: Brud på databeskyttelse og GDPR

I en nylig afgørelse af 26.11.2020^[1] omstødte den østrigske forbundsforvaltningsdomstol (Bundesverwaltungsgericht, BVwG) en bøde på 18 millioner euro, som var blevet pålagt det østrigske postvæsen (APS) af den østrigske databeskyttelsesmyndighed (DPA). Sagen drejer sig om de samme fakta, som BVwG behandlede i en separat afgørelse^[2]. Heri stadfæstede domstolen DPA's administrative sanktion mod APS, som var blevet beskyldt for ulovligt at behandle og sælge personoplysninger om kunder, såsom privatadresser og formodede politiske tilhørsforhold, til tredjeparter til markedsføringsformål.

I den pågældende afgørelse anerkendte BVwG den ulovlige karakter af APS' adfærd, men omstødte alligevel DPA's sanktion på grund af dens undladelse af at fastslå, at både juridiske og fysiske personer, der handlede på vegne af APS, havde været ansvarlige for den pågældende skyld.

De faktiske omstændigheder

Sagens faktuelle oprindelse går tilbage til en rapport fra journalistikplatformen Addendum i januar 2019,^[3] hvoraf det fremgik, at APS ud over oplysninger om privatadresser, køn og alder, uddannelse samt præferencer vedrørende investeringer eller donationer også havde indsamlet data om ca. 3 millioner kunders opfattede politiske holdninger^[4].

Efter en ex officio-undersøgelse konkluderede DPA:

• Konkluderet, at det at undersøge sociodemografiske faktorer og behandle oplysninger om en persons politiske præferencer uden noget retsgrundlag kan betegnes som en særlig kategori af personoplysninger i henhold til artikel 9, stk. 1, i den generelle forordning om databeskyttelse (forordning (EU) 2016/679) (GDPR), hvilket kræver forudgående udtrykkelig godkendelse fra den berørte part (artikel 9, stk. 2, litra a), i GDPR; § 151, stk. 4, i Gewerbeordnung, GewO);
• Beordrede, at behandlingen af data skulle ophøre, og at allerede indsamlede oplysninger skulle slettes inden for en tidsramme på to uger;
• fastslog, at APS ikke havde foretaget en tilstrækkelig konsekvensanalyse vedrørende databeskyttelse (før den 25.05.2018), da den fejlagtigt ikke havde betragtet politisk tilhørsforhold som en særlig kategori af personoplysninger.

APS svarede i form af en appel og argumenterede for, at oplysninger om en privatpersons politiske tilhørsforhold ikke kvalificerede sig som personoplysninger, da sådanne oplysninger indsamles gennem anonymiserede meningsmålinger, der leverer generelle prognoser. Da disse sandsynlighedsberegninger ikke kan rettes (artikel 16 i GDPR), betragtes de som markedsføringsoplysninger og klassificering i henhold til § 151, stk. 6, i GewO. Det blev dog tilføjet, at selv om de blev betragtet som personoplysninger, kvalificerede de sig ikke som en særlig kategori af sidstnævnte.

Så sent som i november bekræftede BVwG Datatilsynets afgørelse og fastslog, at behandlingen af oplysninger om tilhørsforhold til et politisk parti var at betragte som personoplysninger i henhold til artikel 4, stk. 1, i GDPR. Da de indhentede oplysninger kan henføres til en specifikt identificerbar privatperson, hvis politiske overbevisning skal beskyttes mod forskelsbehandling i henhold til artikel 9 i GDPR, skal de behandles som en særlig kategori af personoplysninger, hvilket kræver forudgående samtykke. Denne del af afgørelsen verserer nu ved den østrigske øverste forvaltningsdomstol (Verwaltungsgerichtshof, VwGH).

Det spørgsmål, der behandles i denne artikel, vedrører imidlertid et andet juridisk aspekt af den samme sag.

Med udgangspunkt i de ovenfor beskrevne fakta drejer sagen sig om APS' påståede overtrædelse af artikel 5, stk. 1, artikel 6, stk. 2, artikel 6, stk. 4, artikel 9, 14, 30, 35 og 36 i GDPR. Den følger en appel indgivet af APS baseret på argumentet om, at bøden var blevet udstedt uden at fastslå skyld hos fysiske personer, der handlede på dens vegne (artikel 4, stk. 7, i GDPR).

Det følgende vil fokusere på BVwG's nylige beslutning om at omstøde DPA's bøde i lyset af tidligere konklusioner fra VwGH. Her fastslog domstolen, at den påståede faktuelle, ulovlige og skyldige adfærd også skal kunne tilskrives en fysisk person (§ 44a VStG), for at en juridisk person kan holdes ansvarlig^[5].

Problemstillingen

Da GDPR har til hensigt og faktisk foreskriver direkte ansvar for juridiske personer uden at skulle bevise individuel forseelse fra en privatperson, måtte BVwG overveje følgende:

1. Om databeskyttelsesmyndigheden var berettiget til at pålægge en juridisk person en bøde i henhold til artikel 83 i databeskyttelsesforordningen, hvis der ikke var påvist culpøs adfærd fra en fysisk person, der handlede på vegne af en juridisk enhed;

2. Hvorvidt de nationale administrative strafferetlige regler finder anvendelse, eller om det pågældende spørgsmål skal undersøges i lyset af GDPR-reglerne.

Afgørelsen

Domstolen fastslog, at DPA-bøden, der blev pålagt på grundlag af artikel 83 i GDPR, falder ind under bestemmelserne i den østrigske forvaltningsstraffelov (Verwaltungsstrafgesetz, VStG) samt den østrigske databeskyttelseslov (Datenschutzgesetz, DSG). Nationale procedureregler finder anvendelse i forbindelse med bøder, der pålægges på grund af en overtrædelse i henhold til GDPR, da artikel 83, stk. 8, fastslår: "Tilsynsmyndighedens udøvelse af sine beføjelser [...] er underlagt passende proceduremæssige garantier i overensstemmelse med EU-retten og medlemsstaternes nationale ret, herunder effektive retsmidler og retfærdig rettergang."^[6].

Det blev endvidere fastslået, at DPA ikke havde handlet i overensstemmelse med §§ 44a, 45 VStG samt § 30 DSG ved at undlade at bevise skyld hos fysiske personer, der havde handlet på vegne af APS, såsom personer, der repræsenterede, udøvede kontrol inden for eller traf beslutninger på vegne af sidstnævnte.

Kommentar

Selv om den straf, der blev pålagt APS, muligvis er blevet omstødt af BVwG, er dens afgørelse baseret på en formel fejl fra DPA's side. Som sådan skal den behandles separat og er ikke i modstrid med BVwG's tidligere afgørelse, hvor det blev konkluderet, at behandlingen af oplysninger om personlig tilknytning til et politisk parti er ansvarspådragende.

Ressourcer

1. Docket Number: Docket Number W258 2217446-1/14E. Tilgængelig via: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&.GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
2. Docket Number: Docket Number W258 2217446-1/35E. Tilgængelig via: https: //www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&.GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.
3. "Wenn Die Post Partei Ergreift." Addendum, 28. juli 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [tilgået 10.12.2020].
4. For yderligere oplysninger henvises til pressemeddelelserne fra både det østrigske postvæsen med titlen "Milestones and outlook for 2019 and 2020" (29.10.2019) og fra Det Europæiske Databeskyttelsesråd med titlen "Administrative criminal proceedings of the Austrian data protection authority against Österreichische Post AG" (23.10.2019), der er tilgængelige via: https: //edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.
5. Sagsnummer R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
6. "Art. 83 GDPR - Generelle betingelser for pålæggelse af administrative bøder." Den generelle forordning om databeskyttelse (GDPR), 29. marts 2018, gdpr-info.eu/art-83-gdpr/ [tilgået 14.12.2020].

Indholdet af denne artikel er beregnet til at give en generel vejledning om emnet. Du bør søge specialistrådgivning om dine specifikke omstændigheder.