Österreich: Entwicklungen im österreichischen Fallrecht: Datenschutzverletzungen und die GDPR

In einer aktuellen Entscheidung vom 26.11.2020^[1] hat das österreichische Bundesverwaltungsgericht (BVwG) eine Geldbuße in Höhe von 18 Millionen Euro aufgehoben, die die österreichische Datenschutzbehörde (DSB) gegen die Österreichische Post (APS) verhängt hatte. Dem Fall liegt derselbe Sachverhalt zugrunde, den das BVwG in einer separaten Entscheidung^[2] geprüft hatte. Darin bestätigte das Gericht die von der Datenschutzbehörde verhängte Verwaltungsstrafe gegen die APS, der vorgeworfen worden war, personenbezogene Daten von Kunden, wie z. B. Privatadressen und vermutete politische Zugehörigkeiten, zu Marketingzwecken unrechtmäßig zu verarbeiten und an Dritte zu verkaufen.

In der vorliegenden Entscheidung erkannte das BVwG die Rechtswidrigkeit des Verhaltens der APS an, hob jedoch die von der Datenschutzbehörde verhängte Strafe auf, da nicht nachgewiesen worden war, dass sowohl juristische als auch natürliche Personen, die im Namen der APS handelten, für das fragliche Verschulden verantwortlich waren.

Sachverhalt

Der Sachverhalt geht auf einen Bericht der Journalismusplattform Addendum vom Januar 2019 zurück,^[3] wonach die APS neben Informationen über Privatadressen, Geschlecht und Alter, Bildung sowie Präferenzen in Bezug auf Investitionen oder Spenden auch Daten über die wahrgenommenen politischen Neigungen von ca. 3 Millionen Kunden gesammelt hatte.^[4]

Nach einer Untersuchung von Amts wegen kam die Datenschutzbehörde zu dem Schluss:

• kam zu dem Schluss, dass die Erhebung soziodemografischer Faktoren und die Verarbeitung von Informationen über die politischen Präferenzen einer Person ohne Rechtsgrundlage als besondere Kategorie personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Allgemeinen Datenschutzverordnung (Verordnung (EU) 2016/679) (DSGVO) einzustufen ist und daher eine vorherige ausdrückliche Einwilligung des Betroffenen erforderlich ist (Artikel 9 Absatz 2 Buchstabe a DSGVO; § 151 Absatz 4 Gewerbeordnung (GewO));
• ordnete die Beendigung der Datenverarbeitung und die Löschung bereits erhobener Informationen innerhalb einer Frist von zwei Wochen an;
• stellte fest, dass die APS keine angemessene Datenschutz-Folgenabschätzung (vor dem 25.05.2018) durchgeführt hat, da sie zu Unrecht die politische Zugehörigkeit nicht als besondere Kategorie personenbezogener Daten berücksichtigt hat.

Die APS legte daraufhin Berufung ein und argumentierte, dass Informationen über die politische Zugehörigkeit einer Privatperson nicht als personenbezogene Daten gelten, da solche Informationen durch anonymisierte Umfragen erhoben werden, die allgemeine Prognosen liefern. Da diese Wahrscheinlichkeitsberechnungen nicht berichtigt werden können (Artikel 16 DSGVO), werden sie als Marketinginformationen betrachtet und gemäß § 151(6) GewO eingestuft. Allerdings wurde hinzugefügt, dass sie, selbst wenn sie als personenbezogene Daten angesehen werden, nicht als eine besondere Kategorie der letzteren gelten.

Erst im November bestätigte das BVwG die Entscheidung der Datenschutzbehörde und entschied, dass die Verarbeitung von Daten über die Zugehörigkeit zu einer politischen Partei als personenbezogene Daten im Sinne von Artikel 4 Absatz 1 der Datenschutz-Grundverordnung anzusehen sind. Da die gewonnenen Informationen einer konkret identifizierbaren Privatperson zugeordnet werden könnten, deren politische Überzeugungen gemäß Artikel 9 DSGVO vor Diskriminierung zu schützen sind, sind sie als besondere Kategorie personenbezogener Daten zu behandeln, so dass eine vorherige Einwilligung erforderlich ist. Dieser Teil der Entscheidung ist nun beim österreichischen Verwaltungsgerichtshof (VwGH) anhängig.

Die in diesem Artikel behandelte Frage betrifft jedoch einen anderen rechtlichen Aspekt desselben Falles.

Ausgehend von dem oben beschriebenen Sachverhalt geht es in diesem Fall um die angebliche Verletzung von Artikel 5 Absatz 1, 6 Absatz 2, 6 Absatz 4, 9, 14, 30, 35 und 36 DSGVO durch die APS. Sie geht auf eine Beschwerde der APS zurück, die sich auf das Argument stützte, dass die Geldbuße verhängt worden sei, ohne dass ein Verschulden der in ihrem Namen handelnden natürlichen Personen festgestellt worden sei (Artikel 4 Absatz 7 DSGVO).

Im Folgenden wird auf die jüngste Entscheidung des BVwG eingegangen, das den Bußgeldbescheid der Datenschutzbehörde im Lichte früherer Schlussfolgerungen des VwGH aufgehoben hat. Dort hat das Gericht festgestellt, dass das behauptete tatsächliche, rechtswidrige und schuldhafte Verhalten auch einer natürlichen Person zuzurechnen sein muss (§ 44a VStG), damit eine juristische Person zur Verantwortung gezogen werden kann^[5].

Das Problem

Da die DSGVO eine unmittelbare Haftung von juristischen Personen vorsieht, ohne dass ein individuelles Fehlverhalten einer Privatperson nachgewiesen werden muss, hatte das BVwG Folgendes zu prüfen:

1. Ob die Datenschutzbehörde berechtigt war, gegen eine juristische Person ein Bußgeld nach Art. 83 DSGVO zu verhängen, wenn kein schuldhaftes Verhalten einer natürlichen Person nachgewiesen werden konnte, die im Namen einer juristischen Person handelte;

2. ob die nationalen Verwaltungsstrafrechtsvorschriften Anwendung finden oder ob die zu prüfende Frage im Lichte der Vorschriften der DSGVO zu untersuchen ist.

Entscheidung

Der Gerichtshof stellte fest, dass die auf der Grundlage von Artikel 83 DSGVO verhängte Geldbuße der Datenschutzbehörde unter die Bestimmungen des österreichischen Verwaltungsstrafgesetzes (VStG) sowie des österreichischen Datenschutzgesetzes (DSG) fällt. Für Geldbußen, die aufgrund eines Verstoßes gegen die DSGVO verhängt werden, gelten die nationalen Verfahrensvorschriften, da es in Artikel 83 Absatz 8 heißt: "Die Ausübung der Befugnisse der Aufsichtsbehörde [...] unterliegt angemessenen Verfahrensgarantien im Einklang mit dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich eines wirksamen gerichtlichen Rechtsbehelfs und eines ordnungsgemäßen Verfahrens."^[6]

Sie stellte weiters fest, dass die Datenschutzbehörde nicht im Einklang mit den §§ 44a, 45 VStG sowie § 30 DSG gehandelt hat, indem sie es unterlassen hat, das Verschulden natürlicher Personen nachzuweisen, die im Namen der APS gehandelt haben, wie etwa Personen, die diese vertreten, in ihr Kontrolle ausüben oder in ihrem Namen Entscheidungen treffen.

Kommentar

Auch wenn die gegen die APS verhängte Strafe vom BVwG aufgehoben wurde, beruht seine Entscheidung auf einem Formalfehler der Datenschutzbehörde. Als solche ist sie gesondert zu behandeln und steht nicht im Widerspruch zu dem früheren Urteil des BVwG, in dem festgestellt wurde, dass die Verarbeitung von Daten über die persönliche Zugehörigkeit zu einer politischen Partei haftungsbegründend ist.

Ressourcen

1. Aktenzeichen: Aktenzeichen W258 2217446-1/14E. Verfügbar über: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
2. Aktenzeichen: Aktenzeichen W258 2217446-1/35E. Verfügbar über: https: //www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.
3. "Wenn die Post Partei ergreift", Nachtrag, 28. Juli 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [Zugriff am 10.12.2020].
4. Weitere Informationen finden Sie in den Pressemitteilungen der Österreichischen Post AG mit dem Titel "Meilensteine und Ausblick für 2019 und 2020" (29.10.2019) sowie des Europäischen Datenschutzausschusses mit dem Titel "Verwaltungsstrafverfahren der österreichischen Datenschutzbehörde gegen die Österreichische Post AG" (23.10.2019), abrufbar unter: https: //edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.
5. Aktenzeichen R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
6. "Art. 83 GDPR - Allgemeine Bedingungen für die Verhängung von Bußgeldern", General Data Protection Regulation (GDPR), 29.03.2018, gdpr-info.eu/art-83-gdpr/ [Zugriff am 14.12.2020].

Der Inhalt dieses Artikels soll einen allgemeinen Leitfaden zum Thema bieten. Für Ihre spezifischen Umstände sollten Sie fachlichen Rat einholen.