在最近于2020年11月26日作出的一项决定中。¹ 奥地利联邦行政法院(联邦行政法院奥地利联邦法院（BVwG）推翻了奥地利数据保护局（DPA）对奥地利邮政公司（APS）的1800万欧元的罚款。本案的核心是BVwG在一个单独的决定中考虑的相同事实。² 在该案中，法院维持了DPA对APS的行政处罚，该公司被指控非法处理并向第三方出售客户的个人数据，如私人地址和假定的政治忠诚度，用于营销目的。

在目前的决定中，BVwG承认APS行为的非法性，但推翻了DPA的处罚，因为它没有确定代表APS行事的法人和自然人都对有关的罪过负责。

事实

此案的事实渊源可追溯到新闻平台Addendum在2019年1月的一份报告。³ 他说，除了关于私人地址、性别和年龄、教育以及投资或捐赠方面的偏好的信息外，APS还收集了约300万客户的政治倾向的数据。⁴

在进行当然调查后，政治部。

• 得出结论，根据《一般数据保护条例》（条例（欧盟）2016/679）（GDPR）第9（1）条，在没有任何法律依据的情况下，调查社会人口因素和处理有关个人政治偏好的信息的行为，符合特殊类别的个人数据，因此必须事先得到有关方面的明确批准（GDPR第9（2）（a）条；第151（4）条 Gewerbeordnung, GewO）。)

• 命令终止数据处理，并在两周的时间内删除已经收集的信息。

• 认为APS没有进行充分的数据保护影响评估（在2018年5月25日之前），因为它错误地没有将政治派别作为个人数据的一个特殊类别。

APS以上诉方式回应，认为关于个人政治亲和力的信息不符合个人数据的要求，因为这些信息是通过提供一般预测的匿名民意调查收集的。由于这些概率计算不能被纠正（GDPR第16条），它们被认为是营销信息和根据GewO第151（6）条的分类。然而，有人补充说，即使被视为个人数据，它也不符合后者的特殊类别。

最近在11月，BVwG确认了DPA的决定，并认为根据GDPR第4(1)条，处理有关政党亲和力的数据的行为确实符合个人数据的要求。鉴于所获得的信息可以分配给一个可以具体识别的私人，而根据GDPR第9条，其政治信仰应受到保护，不受歧视，因此应被视为特殊类别的个人数据，因此需要事先同意。该决定的这一部分目前正在等待法院的裁决。 奥地利最高行政法院（Verwaltungsgerichtshof, VwGH）。)

然而，本条所审议的事项涉及同一案件的不同法律方面。

根据上述事实，本案的核心是APS被指控违反了GDPR第5（1）、6（2）、6（4）、9、14、30、35和36条。本案是在APS提交上诉后进行的，其理由是在没有确定代表其行事的自然人的罪责的情况下发出的罚款（GDPR第4（7）条）。

以下将重点讨论BVwG最近的决定，即根据VwGH先前得出的结论，推翻DPA的罚款。在那里，法院认为，被指控的事实、非法和应受谴责的行为也必须归咎于自然人（《德国刑法》第44a条），法人才能被追究责任。⁵

问题

由于GDPR打算并确实规定了法人的直接责任，而无需证明私人的个人错误行为，BVwG不得不考虑以下问题。

1. DPA是否有权根据GDPR第83条对法人处以罚款，而不显示代表法律实体的自然人的应受处罚的行为。

2. 是否发现国家行政刑法规则的适用性，或者审议的问题是否要根据GDPR规则来审查。

决定

法院认为，根据GDPR第83条的规定，DPA的罚款属于《奥地利行政处罚法》的规定范围(管理法》（VerwaltungsstrafgesetzVStG)以及《奥地利数据保护法》(数据保护法》（Datenschutzgesetz罚款，DSG）。)国家程序规则适用于因违反GDPR而被罚款的情况，因为第83(8)条规定："监督机构行使其权力[......]应根据欧盟和成员国的法律受到适当的程序保障，包括有效的司法补救和正当程序。'监管机构行使其权力[......]应根据联盟和成员国的法律受到适当的程序保障，包括有效的司法补救和正当程序。⁶

它进一步确定，DPA没有按照《德国宪法》第44a和45条以及《德国法典》第30条行事，因为它没有证明代表APS行事的自然人的罪责，例如代表后者、在其内部行使控制权或代表其作出决定的个人。

评论

虽然对APS的处罚可能被BVwG推翻，但其决定是基于DPA的一个形式错误。因此，它应被单独对待，并不与BVwG先前的裁决相抵触，在该裁决中，它的结论是处理有关个人对政党的亲和力的数据的行为会引起责任。

脚注

1备考号。备考号W258 2217446-1/14E。可通过以下方式获得。 https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=
True&bfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=
&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum
=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00.

2备考号。备考号W258 2217446-1/35E。可通过以下方式获得。 https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=
Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=
&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=
&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.

3 "Wenn Die Post Partei Ergreift"。 补遗జజజ，2020年7月28日。 www.addendum.org/datenhandel/parteiaffinitaet/ [2020年12月10日查阅]。

4 更多信息请参考奥地利邮政题为 "2019年和2020年的里程碑和展望 "的新闻稿（2019年10月29日），以及欧洲数据保护委员会题为 "奥地利数据保护机构对Österreichische Post AG的行政刑事诉讼（2019年10月23日），可通过以下方式获得。 https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.

5 备查文件编号R2019/04/0229。Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.

6 "GDPR第83条--实施行政罚款的一般条件"。 一般数据保护条例（GDPR, 2018年3月29日，gdpr-info.eu/art-83-gdpr/ [accessed 14.12.2020]。

本文的内容旨在为该主题提供一般性指导。应就您的具体情况征求专家意见。