In een recent besluit van 26.11.2020,¹ de Oostenrijkse federale administratieve rechtbank (Bundesverwaltungsgericht(BVwG) heeft een geldboete van 18 miljoen EUR, die de Oostenrijkse gegevensbeschermingsautoriteit (DPA) aan de Oostenrijkse postdienst (APS) had opgelegd, ongedaan gemaakt. De zaak draait om dezelfde feiten als die welke door het Bundesverwaltungsgericht in een afzonderlijke beschikking zijn onderzocht.² Daarin heeft het Hof de administratieve sanctie van de gegevensbeschermingsautoriteit tegen de APS bevestigd, die ervan was beschuldigd persoonsgegevens van klanten, zoals privé-adressen en veronderstelde politieke gezindheid, onrechtmatig te hebben verwerkt en aan derden te hebben verkocht voor marketingdoeleinden.

In de onderhavige beschikking erkent het Bundesverwaltungsgericht de onrechtmatigheid van het gedrag van APS, maar vernietigt het de sanctie van het DPA op grond dat niet is aangetoond dat zowel natuurlijke als rechtspersonen die namens APS hebben gehandeld, verantwoordelijk zijn voor de betrokken verwijtbaarheid.

Feiten

De feitelijke oorsprong van de zaak dateert van een reportage van het journalistiek platform Addendum in januari 2019,³ waarin staat dat de APS, naast informatie over privé-adressen, geslacht en leeftijd, opleiding en voorkeuren voor investeringen of donaties, ook gegevens heeft verzameld over de waargenomen politieke voorkeur van ongeveer 3 miljoen klanten.⁴

Na een ambtshalve onderzoek, heeft de DPA:

• Geconcludeerd dat het onderzoek naar sociodemografische factoren en de verwerking van informatie over de politieke voorkeur van een persoon zonder enige rechtsgrondslag kan worden aangemerkt als een bijzondere categorie persoonsgegevens in de zin van artikel 9, lid 1, van de Algemene verordening gegevensbescherming (Verordening (EU) 2016/679) (GDPR), zodat voorafgaande uitdrukkelijke toestemming van de betrokkene vereist is (artikel 9, lid 2, onder a), GDPR; § 151, lid 4) GewerbeordnungGewO);

• Gelast dat de verwerking van gegevens wordt beëindigd en dat reeds verzamelde informatie binnen een termijn van twee weken wordt gewist;

• Geoordeeld dat de APS geen passende gegevensbeschermingseffectbeoordeling heeft verricht (vóór 25.05.2018), aangezien hij politieke gezindheid ten onrechte niet als een bijzondere categorie van persoonsgegevens heeft beschouwd.

De APS heeft in hoger beroep aangevoerd dat informatie over de politieke gezindheid van een particulier niet als persoonsgegevens kan worden aangemerkt, aangezien dergelijke informatie wordt verzameld via geanonimiseerde opiniepeilingen die algemene prognoses opleveren. Aangezien deze waarschijnlijkheidsberekeningen niet kunnen worden gerectificeerd (artikel 16 GDPR), worden zij beschouwd als marketinginformatie en ingedeeld overeenkomstig §151, lid 6, GewO. Er werd echter aan toegevoegd dat zelfs indien zij als persoonsgegevens worden beschouwd, zij niet als een speciale categorie kunnen worden aangemerkt.

In november nog bevestigde het Bundesverwaltungsgericht het besluit van het Bundesverwaltungsgericht en oordeelde het dat de verwerking van gegevens over de affiniteit met een politieke partij wel degelijk als persoonsgegevens in de zin van artikel 4, lid 1, GDPR kan worden aangemerkt. Aangezien de verkregen informatie kan worden toegewezen aan een specifiek identificeerbare natuurlijke persoon, wiens politieke overtuiging moet worden beschermd tegen discriminatie op grond van artikel 9 GDPR, moet deze worden behandeld als een bijzondere categorie van persoonsgegevens, waarvoor dus voorafgaande toestemming vereist is. Dit deel van het besluit is nu in behandeling bij het Oostenrijks hoogste administratieve rechtbank (Verwaltungsgerichtshof, VwGH).

De kwestie die in dit artikel wordt behandeld, betreft echter een ander juridisch aspect van dezelfde zaak.

Uitgaande van de hierboven geschetste feiten draait de zaak om de vermeende schending door de APS van de artikelen 5, lid 1, 6, leden 2 en 4, 9, 14, 30, 35 en 36 GDPR. Zij volgt op een door de APS ingesteld beroep, dat is gebaseerd op het argument dat de geldboete is opgelegd zonder dat de schuld van de natuurlijke personen die namens de APS handelen, is vastgesteld (artikel 4, lid 7, GDPR).

Hierna wordt ingegaan op de recente beslissing van het BVwG om de boete van het CBP te vernietigen in het licht van eerdere conclusies van het VwGH. Daarin oordeelde het Hof dat de gestelde feitelijke, onrechtmatige en verwijtbare gedragingen ook aan een natuurlijke persoon moeten kunnen worden toegerekend (§ 44a VStG), wil een rechtspersoon aansprakelijk kunnen worden gesteld.⁵

De kwestie

Aangezien de GDPR rechtstreekse aansprakelijkheid van rechtspersonen beoogt en ook voorziet, zonder dat een individuele fout van een particulier moet worden bewezen, moest het Bundesverwaltungsgericht het volgende in overweging nemen:

1. De vraag of de gegevensbeschermingsautoriteit gerechtigd was een rechtspersoon een geldboete op te leggen op grond van artikel 83 GDPR wanneer niet is aangetoond dat een natuurlijke persoon die namens een rechtspersoon handelt, zich schuldig heeft gemaakt aan verwijtbaar gedrag

2. Of de nationale regels van bestuursrechtelijk strafrecht van toepassing zijn dan wel of de behandelde kwestie moet worden onderzocht in het licht van de GDPR-regels.

Besluit

Het Hof was van oordeel dat de op grond van de bepalingen van artikel 83 van de GDPR opgelegde boete voor de gegevensbeschermingsautoriteiten onder de bepalingen van de Oostenrijkse wet op de administratieve sancties valt (Verwaltungsstrafgesetz(VStG), alsmede de Oostenrijkse wet op de gegevensbescherming (Datenschutzgesetz(DSG). Nationale procedureregels zijn van toepassing in het kader van boetes die worden opgelegd wegens een schending in het kader van de GDPR, aangezien artikel 83, lid 8, bepaalt: "De uitoefening door de toezichthoudende autoriteit van haar bevoegdheden [...] is onderworpen aan passende procedurele waarborgen overeenkomstig het recht van de Unie en het recht van de lidstaten, met inbegrip van doeltreffende voorziening in rechte en een eerlijke rechtsbedeling.⁶

Voorts heeft zij vastgesteld dat het CBP niet overeenkomstig de §§ 44a, 45 VStG en 30 DSG heeft gehandeld door te verzuimen de verwijtbaarheid te bewijzen van natuurlijke personen die namens de APS hebben gehandeld, zoals personen die de APS vertegenwoordigen, er zeggenschap over uitoefenen of namens de APS beslissingen nemen.

Commentaar

Het BVwG heeft de aan de APS opgelegde sanctie weliswaar vernietigd, maar zijn beslissing berust op een vormfout van het CBP. Als zodanig moet zij afzonderlijk worden behandeld en staat zij niet op gespannen voet met de eerdere uitspraak van het BVwG, waarin werd geconcludeerd dat de verwerking van gegevens betreffende de persoonlijke affiniteit met een politieke partij aanleiding geeft tot aansprakelijkheid.

Voetnoten

1 Docketnummer: Docketnummer W258 2217446-1/14E. Beschikbaar via: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=
True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=
&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum
=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00.

2 Docketnummer: Docketnummer W258 2217446-1/35E. Beschikbaar via: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=
Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=
&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=
&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.

3 "Wenn die Post Partei Ergreift." Addendum, 28 juli 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [geraadpleegd op 10.12.2020].

4 Voor nadere informatie wordt verwezen naar de persberichten van zowel de Oostenrijkse postdienst getiteld "Mijlpalen en vooruitzichten voor 2019 en 2020" (29.10.2019) als van het Europees Comité voor gegevensbescherming getiteld "Administratieve strafrechtelijke procedure van de Oostenrijkse gegevensbeschermingsautoriteit tegen Österreichische Post AG" (23.10.2019), beschikbaar via: https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.

5 Docketnummer R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.

6 "Art. 83 GDPR - Algemene voorwaarden voor het opleggen van administratieve boetes." Algemene verordening gegevensbescherming (GDPR), 29 mrt. 2018, gdpr-info.eu/art-83-gdpr/ [geraadpleegd op 14.12.2020].

De inhoud van dit artikel is bedoeld als een algemene leidraad voor het onderwerp. Er dient gespecialiseerd advies te worden ingewonnen over uw specifieke omstandigheden.