Österrike: Utvecklingen av österrikisk rättspraxis: Dataskyddsbrott och dataskyddsförordningen

I ett nyligen meddelat beslut den 26.11.2020^[1] upphävde den österrikiska federala förvaltningsdomstolen (Bundesverwaltungsgericht, BVwG) ett bötesbelopp om 18 miljoner euro som den österrikiska dataskyddsmyndigheten (DPA) hade ålagt det österrikiska postverket (APS). Målet rör samma sakförhållanden som BVwG behandlade i ett separat beslut^[2]. Domstolen fastställde där dataskyddsmyndighetens administrativa sanktion mot APS, som anklagades för att olagligen ha behandlat och sålt kunders personuppgifter, såsom privata adresser och förmodade politiska sympatier, till tredje part för marknadsföringsändamål.

I det aktuella beslutet erkände BVwG att APS:s agerande var olagligt, men upphävde DPA:s påföljd på grund av att det inte hade fastställts att både juridiska och fysiska personer, som agerade för APS:s räkning, hade varit ansvariga för den aktuella gärningen.

Fakta i målet

Det faktiska ursprunget till ärendet går tillbaka till en rapport från journalistikplattformen Addendum i januari 2019^[3], där det angavs att APS, utöver information om privata adresser, kön och ålder, utbildning samt preferenser avseende investeringar eller donationer, även hade samlat in uppgifter om den uppfattade politiska inställningen hos cirka 3 miljoner kunder^[4].

Efter en utredning på eget initiativ gjorde DPA följande

• drog slutsatsen att förfarandet att undersöka sociodemografiska faktorer och behandla information om en persons politiska preferenser utan någon rättslig grund utgör en särskild kategori av personuppgifter enligt artikel 9.1 i den allmänna dataskyddsförordningen (förordning (EU) 2016/679) (GDPR), vilket innebär att det krävs ett uttryckligt förhandsgodkännande från den berörda parten (artikel 9.2 a i GDPR; § 151.4 i Gewerbeordnung, GewO)
• Beordrade att behandlingen av uppgifter skulle upphöra och att redan insamlad information skulle raderas inom en tidsram på två veckor;
• fann att APS inte hade gjort en adekvat konsekvensbedömning avseende dataskydd (före den 25 maj 2018), eftersom APS felaktigt hade underlåtit att betrakta politisk tillhörighet som en särskild kategori av personuppgifter.

APS svarade genom ett överklagande och hävdade att information om en privatpersons politiska tillhörighet inte kunde betraktas som personuppgifter, eftersom sådan information samlas in genom anonymiserade opinionsundersökningar som ger allmänna prognoser. Eftersom dessa sannolikhetsberäkningar inte kan rättas till (artikel 16 i GDPR) betraktas de som marknadsföringsinformation och klassificering enligt § 151.6 i GewO. Det tillades dock att även om de betraktades som personuppgifter, kvalificerade de sig inte som en särskild kategori enligt den senare.

Så sent som i november bekräftade BVwG datainspektionens beslut och ansåg att behandlingen av uppgifter om samhörighet med ett politiskt parti utgjorde personuppgifter enligt artikel 4.1 i GDPR. Med tanke på att den erhållna informationen kan hänföras till en specifikt identifierbar privatperson, vars politiska övertygelse ska skyddas mot diskriminering enligt artikel 9 i GDPR, ska den behandlas som en särskild kategori av personuppgifter, vilket innebär att det krävs förhandsgodkännande. Denna del av beslutet är nu föremål för prövning i Österrikes högsta förvaltningsdomstol (Verwaltungsgerichtshof, VwGH).

Den fråga som behandlas i denna artikel rör emellertid en annan rättslig aspekt av samma mål.

Mot bakgrund av de omständigheter som beskrivits ovan rör målet APS påstådda överträdelse av artiklarna 5.1, 6.2, 6.4, 9, 14, 30, 35 och 36 i GDPR. Det följer på ett överklagande från APS som grundade sig på argumentet att böterna hade utfärdats utan att det hade fastställts att fysiska personer som agerade för APS räkning hade gjort sig skyldiga till något (artikel 4.7 i dataskyddsförordningen).

Följande kommer att fokusera på BVwG:s senaste beslut att upphäva dataskyddsmyndighetens böter mot bakgrund av tidigare slutsatser som dragits av VwGH. Där ansåg domstolen att det påstådda faktiska, olagliga och klandervärda beteendet också måste kunna hänföras till en fysisk person (§ 44a VStG) för att en juridisk person ska kunna hållas ansvarig^[5].

Den aktuella frågan

Eftersom GDPR avser och faktiskt föreskriver direkt ansvar för juridiska personer utan att behöva bevisa enskilda felaktigheter av en privatperson, var BVwG tvungen att överväga följande:

1. Hade datainspektionen rätt att ålägga en juridisk person böter enligt artikel 83 i dataskyddsförordningen om det inte hade visats att en fysisk person som agerade för en juridisk persons räkning hade gjort sig skyldig till ett klandervärt beteende?

2. Om de nationella bestämmelserna om administrativ straffrätt ska tillämpas eller om den aktuella frågan ska prövas mot bakgrund av bestämmelserna i dataskyddsförordningen.

Avgörandet

Domstolen fann att de böter som ålagts Datainspektionen med stöd av artikel 83 i dataskyddsförordningen omfattas av bestämmelserna i den österrikiska lagen om administrativa påföljder (Verwaltungsstrafgesetz, VStG) och den österrikiska lagen om dataskydd (Datenschutzgesetz, DSG). Nationella förfaranderegler är tillämpliga när det gäller böter som ålagts på grund av en överträdelse enligt dataskyddsförordningen, eftersom det i artikel 83.8 anges följande "Tillsynsmyndighetens utövande av sina befogenheter [...] ska omfattas av lämpliga rättssäkerhetsgarantier i enlighet med unionsrätten och medlemsstaternas nationella rätt, inbegripet ett effektivt rättsmedel och ett korrekt förfarande."^[6].

Det fastställdes vidare att datainspektionen hade underlåtit att agera i enlighet med §§ 44a och 45 VStG samt § 30 DSG genom att underlåta att bevisa att fysiska personer som hade agerat för APS räkning, såsom personer som företrädde, utövade kontroll över eller fattade beslut för APS räkning, hade gjort sig skyldiga till brott.

Kommentar

BVwG har visserligen upphävt den påföljd som APS ålagts, men dess beslut grundar sig på ett formellt fel från DPA:s sida. Det ska därför behandlas separat och står inte i strid med BVwG:s tidigare avgörande, i vilket det slogs fast att behandlingen av uppgifter om en persons samhörighet med ett politiskt parti är ansvarsgrundande.

Ressources

1. Docket nummer: Docketnummer W258 2217446-1/14E. Tillgänglig via: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
2. Docket Number: Docketnummer W258 2217446-1/35E. Tillgänglig via: https: //www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.
3. "Wenn Die Post Partei Ergreift." Addendum, 28 juli 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [hämtat 10.12.2020].
4. För ytterligare information hänvisas till pressmeddelandena från både det österrikiska postverket med titeln "Milstolpar och utsikter för 2019 och 2020" (29.10.2019) och från Europeiska dataskyddsstyrelsen med titeln "Administrativa straffrättsliga förfaranden från den österrikiska dataskyddsmyndigheten mot Österreichische Post AG" (23.10.2019), tillgängliga via: https: //edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.
5. Diarienummer R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
6. "Art. 83 GDPR - Allmänna villkor för åläggande av administrativa sanktionsavgifter." Allmänna dataskyddsförordningen (GDPR), 29 mars 2018, gdpr-info.eu/art-83-gdpr/ [hämtad 14.12.2020].

Innehållet i denna artikel är avsett att ge en allmän vägledning i ämnet. Specialistrådgivning bör sökas om dina specifika omständigheter.