Oostenrijk: Ontwikkelingen in de Oostenrijkse jurisprudentie: Inbreuken op gegevensbescherming en de GDPR

In een recente uitspraak van 26.11.2020^[1] heeft het Oostenrijkse Bundesverwaltungsgericht (BVwG) een boete van 18 miljoen euro vernietigd die door de Oostenrijkse gegevensbeschermingsautoriteit (DPA) was opgelegd aan de Oostenrijkse Postdienst (APS). De zaak draait om dezelfde feiten die het BVwG in een afzonderlijke beschikking heeft behandeld.^[2] Daarin bevestigde het Hof de administratieve sanctie van het gegevensbeschermingsagentschap tegen de APS, die ervan was beschuldigd persoonsgegevens van klanten, zoals privéadressen en veronderstelde politieke loyaliteiten, onrechtmatig te hebben verwerkt en voor marketingdoeleinden aan derden te hebben verkocht.

In deze beslissing erkende het Bundesverwaltungsgericht de onrechtmatigheid van het gedrag van APS, maar het vernietigde de sanctie van het CBP, omdat het verzuimde vast te stellen dat zowel natuurlijke als rechtspersonen die namens APS optraden, verantwoordelijk waren voor de betreffende verwijtbaarheid.

Feiten

De feitelijke oorsprong van de zaak gaat terug tot een rapport van het journalistieke platform Addendum in januari 2019,^[3] waarin werd gesteld dat APS naast informatie over privéadressen, geslacht en leeftijd, opleiding en voorkeuren met betrekking tot investeringen of donaties, ook gegevens had verzameld over de vermeende politieke voorkeur van ca. 3 miljoen klanten.^[4]

Na een ambtshalve onderzoek heeft de DPA:

• Geconcludeerd dat het gedrag van het onderzoeken van sociodemografische factoren en het verwerken van informatie over de politieke voorkeuren van een individu zonder enige rechtsgrondslag, kwalificeert als een speciale categorie van persoonsgegevens op grond van artikel 9, lid 1 Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679) (GDPR), waardoor voorafgaande uitdrukkelijke toestemming van de betrokkene noodzakelijk is (artikel 9, lid 2, onder a) GDPR; § 151, lid 4 Gewerbeordnung, GewO);
• gelast dat de verwerking van gegevens wordt beëindigd en dat reeds verzamelde informatie binnen een termijn van twee weken wordt gewist;
• Geoordeeld dat de APS geen adequate gegevensbeschermingseffectbeoordeling heeft uitgevoerd (vóór 25.05.2018), aangezien hij politieke gezindheid ten onrechte niet als een speciale categorie persoonsgegevens heeft beschouwd.

Het APS reageerde in hoger beroep en voerde aan dat informatie over de politieke affiniteit van een particulier niet als persoonsgegevens kon worden aangemerkt, aangezien dergelijke informatie wordt verzameld via geanonimiseerde peilingen die algemene prognoses opleveren. Aangezien deze waarschijnlijkheidsberekeningen niet kunnen worden gecorrigeerd (artikel 16 GDPR), worden ze beschouwd als marketinginformatie en geclassificeerd op grond van §151(6) GewO. Er werd echter aan toegevoegd dat zelfs als ze als persoonsgegevens worden beschouwd, ze niet als een speciale categorie worden aangemerkt.

Nog in november bevestigde het Bundesverwaltungsgericht de beslissing van het gegevensbeschermingsagentschap en oordeelde dat de verwerking van gegevens over de affiniteit met een politieke partij wel degelijk als persoonsgegevens kon worden aangemerkt op grond van artikel 4, lid 1, GDPR. Aangezien de verkregen informatie kan worden toegewezen aan een specifiek identificeerbare natuurlijke persoon, wiens politieke overtuigingen moeten worden beschermd tegen discriminatie op grond van artikel 9 GDPR, moeten deze gegevens worden behandeld als een speciale categorie persoonsgegevens, waarvoor dus voorafgaande toestemming is vereist. Dit deel van de beslissing is nu in behandeling bij het Oostenrijkse Verwaltungsgerichtshof (VwGH).

De kwestie die in dit artikel wordt behandeld, betreft echter een ander juridisch aspect van dezelfde zaak.

Op basis van de hierboven geschetste feiten draait de zaak om de vermeende schending door het APS van de artikelen 5, lid 1, 6, lid 2, 6, lid 4, 9, 14, 30, 35 en 36 GDPR. De zaak volgt op een beroep dat door het APS is ingesteld op basis van het argument dat de boete is opgelegd zonder dat de verwijtbaarheid van natuurlijke personen die namens het APS optreden is vastgesteld (artikel 4, lid 7, GDPR).

Hieronder zal worden ingegaan op de recente beslissing van het BVwG om de boete van het DPA te vernietigen in het licht van eerdere conclusies van het VwGH. Daar oordeelde het Hof dat het beweerde feitelijke, onrechtmatige en verwijtbare gedrag ook aan een natuurlijke persoon moet kunnen worden toegerekend (artikel 44a VStG) om een rechtspersoon aansprakelijk te kunnen stellen.^[5]

De kwestie

Aangezien de GDPR de rechtstreekse aansprakelijkheid van rechtspersonen beoogt en deze ook voorziet, zonder dat een individuele fout van een privépersoon moet worden bewezen, moest het Bundesverwaltungsgericht het volgende overwegen:

1. Of het CBP gerechtigd was een boete op grond van artikel 83 GDPR op te leggen aan een rechtspersoon zonder dat verwijtbaar gedrag van een natuurlijke persoon die namens een rechtspersoon handelde, werd aangetoond;

2. of de nationale regels van administratief strafrecht van toepassing zijn of dat de onderhavige kwestie moet worden onderzocht in het licht van de GDPR-regels.

Beslissing

Het Hof oordeelde dat de DPA-boete, opgelegd op basis van de bepalingen van artikel 83 GDPR, valt onder de bepalingen van de Oostenrijkse wet inzake administratieve sancties (Verwaltungsstrafgesetz, VStG) en de Oostenrijkse wet inzake gegevensbescherming (Datenschutzgesetz, DSG). Nationale procedureregels zijn van toepassing in de context van boetes die zijn opgelegd vanwege een schending krachtens de GDPR, aangezien artikel 83, lid 8, het volgende bepaalt: "De uitoefening door de toezichthoudende autoriteit van haar bevoegdheden [...] is onderworpen aan passende procedurele waarborgen overeenkomstig het recht van de Unie en de lidstaten, met inbegrip van een doeltreffende voorziening in rechte en een eerlijke rechtsbedeling."^[6]

Het stelde verder vast dat het DPA had nagelaten om te handelen in overeenstemming met §§ 44a, 45 VStG en § 30 DSG door te verzuimen om de schuld te bewijzen van natuurlijke personen die namens het APS hadden gehandeld, zoals personen die het APS vertegenwoordigden, er zeggenschap over uitoefenden of er namens het APS beslissingen over namen.

Opmerking

Hoewel de aan het APS opgelegde sanctie door het Bundesverwaltungsgericht is vernietigd, is zijn beslissing gebaseerd op een formele fout van het DPA. Als zodanig moet het afzonderlijk worden behandeld en staat het niet op gespannen voet met de eerdere uitspraak van het BVwG, waarin werd geconcludeerd dat het verwerken van gegevens over persoonlijke affiniteit met een politieke partij aanleiding geeft tot aansprakelijkheid.

Bronnen

1. Docketnummer: Docket Number W258 2217446-1/14E. Beschikbaar via: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
2. Docketnummer: Docketnummer W258 2217446-1/35E. Beschikbaar via: https: //www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.
3. "Wenn Die Post Partei Ergreift." Addendum, 28 juli 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [geraadpleegd op 10.12.2020].
4. Zie voor meer informatie de persberichten van zowel de Oostenrijkse postdienst getiteld "Milestones and outlook for 2019 and 2020" (29.10.2019) als van het Europees Comité voor gegevensbescherming getiteld "Administrative criminal proceedings of the Austrian data protection authority against Österreichische Post AG" (23.10.2019), beschikbaar via: https: //edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.
5. Docketnummer R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
6. "Art. 83 GDPR - Algemene voorwaarden voor het opleggen van administratieve boetes." Algemene verordening gegevensbescherming (GDPR), 29 mrt. 2018, gdpr-info.eu/art-83-gdpr/ [geraadpleegd op 14.12.2020].

De inhoud van dit artikel is bedoeld als een algemene leidraad voor het onderwerp. U moet specialistisch advies inwinnen over uw specifieke omstandigheden.