In einer aktuellen Entscheidung vom 26.11.2020,¹ hat das österreichische Bundesverwaltungsgericht (Bundesverwaltungsgericht(BVwG)) ein Bußgeld in Höhe von 18 Millionen Euro aufgehoben, das die österreichische Datenschutzbehörde gegen die Österreichische Post (APS) verhängt hatte.) Dem Fall liegt derselbe Sachverhalt zugrunde, den das BVwG in einer separaten Entscheidung geprüft hat.² Darin bestätigte das Gericht die von der Datenschutzbehörde verhängte Verwaltungsstrafe gegen die APS, der vorgeworfen worden war, personenbezogene Daten von Kunden, wie z. B. Privatadressen und vermutete politische Zugehörigkeiten, zu Marketingzwecken unrechtmäßig zu verarbeiten und an Dritte zu verkaufen.

In der vorliegenden Entscheidung erkannte das BVwG die Rechtswidrigkeit des Verhaltens von APS an, hob jedoch die Strafe der Staatsanwaltschaft auf, weil nicht festgestellt wurde, dass sowohl juristische als auch natürliche Personen, die im Namen von APS handelten, für das fragliche Verschulden verantwortlich waren.

Fakten

Die faktischen Ursprünge des Falles gehen auf einen Bericht der Journalismus-Plattform Addendum im Januar 2019 zurück,³ wonach die APS neben Angaben zu Privatadressen, Geschlecht und Alter, Bildung sowie Präferenzen bei Investitionen oder Spenden auch Daten über die wahrgenommene politische Einstellung von ca. 3 Millionen Kunden erhoben hat.⁴

Nach einer Untersuchung von Amts wegen, die DPA:

• kam zu dem Schluss, dass die Erhebung soziodemografischer Faktoren und die Verarbeitung von Informationen über die politischen Präferenzen einer Person ohne Rechtsgrundlage als besondere Kategorie personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Allgemeinen Datenschutzverordnung (Verordnung (EU) 2016/679) (DSGVO) einzustufen ist und daher eine vorherige ausdrückliche Einwilligung des Betroffenen erfordert (Artikel 9 Absatz 2 Buchstabe a DSGVO; § 151 Absatz 4) Gewerbeordnung, GewO);

• Ordnete an, dass die Verarbeitung der Daten beendet und bereits erhobene Informationen innerhalb einer Frist von zwei Wochen gelöscht werden;

• festgestellt, dass die APS keine angemessene Datenschutz-Folgenabschätzung (vor dem 25.05.2018) durchgeführt hat, da sie zu Unrecht die politische Zugehörigkeit nicht als besondere Kategorie personenbezogener Daten berücksichtigt hat.

Die APS antwortete im Wege der Berufung und argumentierte, dass Informationen über die politische Zugehörigkeit einer Privatperson nicht als personenbezogene Daten zu qualifizieren seien, da solche Informationen durch anonymisierte Umfragen gesammelt werden, die allgemeine Prognosen liefern. Da diese Wahrscheinlichkeitsberechnungen nicht berichtigt werden können (Artikel 16 GDPR), gelten sie als Marketinginformationen und werden gemäß §151(6) GewO eingestuft. Es wurde jedoch hinzugefügt, dass sie, selbst wenn sie als personenbezogene Daten angesehen werden, nicht als besondere Kategorie qualifiziert sind.

Erst im November hat das BVwG die Entscheidung der Datenschutzbehörde bestätigt und entschieden, dass die Verarbeitung von Daten über die Zugehörigkeit zu einer politischen Partei als personenbezogene Daten im Sinne von Artikel 4 Absatz 1 DSGVO zu qualifizieren sind. Da die gewonnenen Informationen einer konkret identifizierbaren Privatperson zugeordnet werden könnten, deren politische Überzeugungen gemäß Artikel 9 DSGVO vor Diskriminierung zu schützen seien, seien sie als besondere Kategorie personenbezogener Daten zu behandeln und bedürften daher der vorherigen Einwilligung. Dieser Teil der Entscheidung ist nun beim Österreichischen Verwaltungsgerichtshof (VwGH) anhängig.

Die in diesem Artikel betrachtete Angelegenheit betrifft jedoch einen anderen rechtlichen Aspekt desselben Falles.

Ausgehend von dem oben dargestellten Sachverhalt geht es in der Rechtssache um den angeblichen Verstoß der APS gegen die Artikel 5 Absatz 1, 6 Absatz 2, 6 Absatz 4, 9, 14, 30, 35 und 36 DSGVO. Sie folgt einem Einspruch, den die APS mit dem Argument eingelegt hat, dass die Geldbuße ohne Feststellung eines Verschuldens der in ihrem Namen handelnden natürlichen Personen verhängt worden sei (Artikel 4 Absatz 7 DSGVO).

Im Folgenden wird auf die jüngste Entscheidung des BVwG zur Aufhebung des Bußgeldbescheides der DPA im Lichte früherer Schlussfolgerungen des VwGH eingegangen. Dort hat das Gericht festgestellt, dass das behauptete tatsächliche, rechtswidrige und schuldhafte Verhalten auch einer natürlichen Person zuzurechnen sein muss (§ 44a VStG), damit eine juristische Person haftbar gemacht werden kann.⁵

Die Ausgabe

Da die DSGVO eine unmittelbare Haftung juristischer Personen beabsichtigt und auch vorsieht, ohne dass ein individuelles Fehlverhalten einer Privatperson nachgewiesen werden muss, hatte das BVwG Folgendes zu berücksichtigen:

1. Ob die Datenschutzbehörde berechtigt war, ein Bußgeld gemäß Artikel 83 DSGVO gegen eine juristische Person zu verhängen, wenn kein schuldhaftes Verhalten einer natürlichen Person nachgewiesen wurde, die im Namen einer juristischen Person handelte;

2. Ob die nationalen verwaltungsstrafrechtlichen Vorschriften Anwendung finden oder ob die zu prüfende Frage im Lichte der Vorschriften der DSGVO zu untersuchen ist.

Entscheidung

Das Gericht entschied, dass die auf der Grundlage von Artikel 83 DSGVO verhängte DPA-Buße unter die Bestimmungen des österreichischen Verwaltungsstrafgesetzes (Verwaltungsstrafgesetz, VStG) sowie das österreichische Datenschutzgesetz (Datenschutzgesetz, DSG). Nationale Verfahrensvorschriften sind im Zusammenhang mit Geldbußen, die aufgrund eines Verstoßes gemäß der DSGVO verhängt werden, anwendbar, da Artikel 83 Absatz 8 besagt: "Die Ausübung der Befugnisse der Aufsichtsbehörde [...] unterliegt angemessenen Verfahrensgarantien im Einklang mit dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich eines wirksamen gerichtlichen Rechtsbehelfs und eines ordnungsgemäßen Verfahrens.⁶

Es stellte ferner fest, dass die Datenschutzbehörde es versäumt hat, gemäß §§ 44a, 45 VStG sowie § 30 DSG zu handeln, indem sie es versäumt hat, ein Verschulden natürlicher Personen nachzuweisen, die im Namen der APS gehandelt haben, wie z.B. Personen, die diese vertreten, in ihr Kontrolle ausüben oder für sie Entscheidungen treffen.

Kommentar

Auch wenn die gegen die APS verhängte Strafe vom BVwG aufgehoben wurde, beruht seine Entscheidung auf einem Formalitätsfehler der Datenschutzbehörde. Als solche ist sie gesondert zu behandeln und steht nicht im Widerspruch zu dem früheren Urteil des BVwG, in dem festgestellt wurde, dass das Verhalten der Verarbeitung von Daten über die persönliche Zugehörigkeit zu einer politischen Partei eine Haftung auslöst.

Fußnoten

1 Docket-Nummer: Docket Number W258 2217446-1/14E. Verfügbar über: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=
True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=
&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum
=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00.

2 Docket-Nummer: Docket Number W258 2217446-1/35E. Verfügbar über: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=
Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=
&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=
&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.

3 "Wenn die Post Partei ergreift". Addendum, 28. Juli 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [Zugriff am 10.12.2020].

4 Für weitere Informationen verweisen wir auf die Pressemitteilungen der Österreichischen Post AG mit dem Titel "Meilensteine und Ausblick für 2019 und 2020" (29.10.2019) sowie des Europäischen Datenschutzausschusses mit dem Titel "Verwaltungsstrafverfahren der österreichischen Datenschutzbehörde gegen die Österreichische Post AG" (23.10.2019), abrufbar unter: https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.

5 Docket Number R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.

6 "Art. 83 GDPR - Allgemeine Bedingungen für die Verhängung von Bußgeldern". Allgemeine Datenschutzverordnung (GDPR), 29.03.2018, gdpr-info.eu/art-83-gdpr/ [Zugriff 14.12.2020].

Der Inhalt dieses Artikels soll einen allgemeinen Leitfaden zu diesem Thema bieten. Für Ihre spezifischen Umstände sollten Sie fachkundigen Rat einholen.