I ett nyligen fattat beslut av den 26.11.2020,¹ den österrikiska federala förvaltningsdomstolen (Bundesverwaltungsgericht(BVwG) upphävde ett bötesbelopp på 18 miljoner euro som den österrikiska dataskyddsmyndigheten hade ålagt det österrikiska postverket (APS). Ärendet rör sig kring samma fakta som BVwG behandlade i ett separat beslut.² Domstolen bekräftade där DPA:s administrativa sanktion mot APS, som hade anklagats för att olagligt ha behandlat och sålt kunders personuppgifter, såsom privata adresser och förmodade politiska tillhörigheter, till tredje part i marknadsföringssyfte.

I det aktuella beslutet erkände BVwG att APS:s beteende var olagligt, men upphävde ändå DPA:s påföljd på grund av att det inte hade fastställts att både juridiska och fysiska personer, som agerade för APS:s räkning, hade varit ansvariga för den aktuella brottsligheten.

Fakta

Det faktiska ursprunget till fallet går tillbaka till en rapport från journalistikplattformen Addendum i januari 2019,³ där det anges att APS förutom uppgifter om privatadresser, kön och ålder, utbildning samt preferenser för investeringar eller donationer även hade samlat in uppgifter om ca 3 miljoner kunders upplevda politiska läggning.⁴

Efter en utredning på eget initiativ har DPA:

• Europaparlamentet drog slutsatsen att undersökningen av sociodemografiska faktorer och behandlingen av information om en individs politiska preferenser utan rättslig grund utgör en särskild kategori av personuppgifter enligt artikel 9.1 i den allmänna dataskyddsförordningen (förordning (EU) 2016/679) (GDPR), och att det därför krävs ett uttryckligt förhandsgodkännande från den berörda parten (artikel 9.2 a i GDPR, § 151.4). Gewerbeordnung, GewO);

• Behandlingen av uppgifter ska upphöra och redan insamlad information ska raderas inom två veckor;

• Europaparlamentet ansåg att den årliga politiska strategin inte genomförde en adekvat konsekvensbedömning av dataskyddet (före 25.05.2018), eftersom den felaktigt underlät att betrakta politisk tillhörighet som en särskild kategori av personuppgifter.

APS svarade genom att överklaga och hävdade att information om en privatpersons politiska tillhörighet inte kan betraktas som personuppgifter, eftersom sådan information samlas in genom anonymiserade undersökningar som ger allmänna prognoser. Eftersom dessa sannolikhetsberäkningar inte kan rättas (artikel 16 i GDPR) betraktas de som marknadsföringsinformation och klassificeras i enlighet med § 151.6 i GewO. Det tillkom dock att även om de ansågs vara personuppgifter, så var de inte kvalificerade som en särskild kategori av dessa.

Så sent som i november bekräftade BVwG DPA:s beslut och ansåg att behandlingen av uppgifter om affinitet med ett politiskt parti är personuppgifter enligt artikel 4.1 i GDPR. Med tanke på att de erhållna uppgifterna skulle kunna hänföras till en specifikt identifierbar privatperson, vars politiska övertygelse ska skyddas från diskriminering enligt artikel 9 i GDPR, ska de behandlas som en särskild kategori av personuppgifter, vilket innebär att det krävs ett förhandsgodkännande. Denna del av beslutet är nu föremål för prövning i Österrikes högsta förvaltningsdomstol (Verwaltungsgerichtshof, VwGH).

Den fråga som behandlas i denna artikel rör dock en annan rättslig aspekt av samma fall.

Med utgångspunkt i de fakta som beskrivs ovan handlar ärendet om den påstådda överträdelsen av artiklarna 5.1, 6.2, 6.4, 9, 14, 30, 35 och 36 i dataskyddsförordningen från den offentliga datatillsynsmannens sida. Det följer på ett överklagande från APS som grundade sig på argumentet att böterna hade utfärdats utan att det hade fastställts att fysiska personer som agerade på dess vägnar var skyldiga (artikel 4.7 i dataskyddsförordningen).

Nedan kommer vi att fokusera på BVwG:s senaste beslut att upphäva DPA:s böter mot bakgrund av tidigare slutsatser från VwGH. Där slog domstolen fast att det påstådda faktiska, olagliga och klandervärda beteendet också måste kunna tillskrivas en fysisk person (§ 44a VStG) för att en juridisk person ska kunna hållas ansvarig.⁵

Frågan

Eftersom dataskyddsförordningen avser och faktiskt föreskriver ett direkt ansvar för juridiska personer utan att behöva bevisa att en privatperson har gjort sig skyldig till enskilda fel, måste BVwG beakta följande:

1. Huruvida dataskyddsmyndigheten hade rätt att ålägga en juridisk person böter i enlighet med artikel 83 i dataskyddsförordningen om det inte fanns något bevis för att en fysisk person som agerade på en juridisk persons vägnar hade gjort sig skyldig till ett klandervärt beteende;

2. Huruvida de nationella reglerna i den administrativa straffrätten ska tillämpas eller om den aktuella frågan ska prövas mot bakgrund av reglerna i GDPR.

Beslut

Domstolen ansåg att de böter för dataskyddsmyndigheten som ålades på grundval av bestämmelserna i artikel 83 i dataskyddsförordningen faller inom ramen för bestämmelserna i den österrikiska lagen om administrativa sanktioner (Verwaltungsstrafgesetz, VStG) samt den österrikiska dataskyddslagen (Datenschutzgesetz, DSG). Nationella förfaranderegler är tillämpliga i samband med böter som åläggs på grund av en överträdelse enligt dataskyddsförordningen, eftersom det i artikel 83.8 anges: "Tillsynsmyndighetens utövande av sina befogenheter [...] ska omfattas av lämpliga rättssäkerhetsgarantier i enlighet med unionsrätten och medlemsstaternas lagstiftning, inbegripet effektiva rättsmedel och rättssäkerheten.⁶

Den fastställde vidare att dataskyddsmyndigheten hade underlåtit att agera i enlighet med §§ 44a, 45 VStG och § 30 DSG genom att underlåta att bevisa att fysiska personer som hade agerat för APS räkning, såsom personer som företräder, utövar kontroll inom eller fattar beslut för APS räkning, var skyldiga till detta.

Kommentar

Även om BVwG kan ha upphävt den påföljd som ålagts APS, grundar sig dess beslut på ett formellt fel från DPA:s sida. Som sådant ska det behandlas separat och står inte i strid med BVwG:s tidigare dom, där man drog slutsatsen att behandlingen av uppgifter om personlig affinitet för ett politiskt parti ger upphov till ansvar.

Fotnoter

1 Docketnummer: Dossiernummer: W258 2217446-1/14E. Tillgänglig via: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=
True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=
&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum
=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00.

2 Docketnummer: Dossiernummer: W258 2217446-1/35E. Tillgänglig via: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=
Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=
&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=
&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.

3 "Wenn Die Post Partei Ergreift." Tillägg, 28 juli 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [besökt 10.12.2020].

4 För ytterligare information hänvisas till pressmeddelanden från både det österrikiska postverket med titeln "Milestones and outlook for 2019 and 2020" (29.10.2019) och från Europeiska dataskyddsstyrelsen med titeln "Administrative criminal proceedings of the Austrian data protection authority against Österreichische Post AG (23.10.2019), tillgängliga via: https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.

5 Dossiernummer R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.

6 "Artikel 83 i GDPR - Allmänna villkor för administrativa böter". Allmän dataskyddsförordning (GDPR), 29 mars 2018, gdpr-info.eu/art-83-gdpr/ [besökt 14.12.2020].

Innehållet i denna artikel är avsett att ge en allmän vägledning i ämnet. Specialister bör rådfrågas om dina specifika omständigheter.