Spruch
W274 2248575-1/8Z
Das Bundesverwaltungsgericht fasst durch den Richter Mag. Lughofer als Vorsitzenden sowie die fachkundigen Laienrichter KommR Prof. Pollirer und Dr. Gogola als Beisitzer über die Beschwerde der XXXX , vertreten durch Schönherr Rechtsanwälte GmbH, Schottenring 19, 1010 Wien, gegen das Straferkenntnis der Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, vom 28.09.2021, GZ D550.289 2021-0.538.938, in nicht öffentlicher Sitzung den
BESCHLUSS:
Das Verfahren wird bis zur Vorabentscheidung durch den Gerichtshof der Europäischen Union in der Rechtssache C-807/21 über Ersuchen des Kammergerichts Berlin vom 06.12.2021 gemäß § 17 VwGVG iVm § 38 AVG ausgesetzt.
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Text
Begründung:
Mit dem im Kopf genannten Straferkenntnis führte die Datenschutzbehörde (im Folgenden: belangte Behörde) gegenüber der XXXX als beschuldigte juristische Person (im Folgenden: Beschwerdeführerin, BF) aus, diese habe als Verantwortliche iSd Art. 4 Z 7 DSGVO durch das tatbestandsmäßige, rechtswidrige und schuldhafte Verhalten der Vorstandsmitglieder 1) XXXX , geb. XXXX , 2) XXXX , geb. XXXX , 3) XXXX , geb. XXXX , und der verantwortlichen Beauftragten, 4) XXXX , geb. XXXX , den nachstehend genannten Sachverhalt verwirklicht und dadurch die folgende Verwaltungsübertretung begangen:
Die BF habe als Verantwortliche, beginnend mit 17.07.2019 bis zum 21.12.2020 (Tatzeitraum), in XXXX , gegen ihre Pflicht gemäß Art. 12 Abs. 2 DSGVO zur Erleichterung der Rechtsausübung von Betroffenenrechten gemäß den Art. 15 bis 22 DSGVO (Erleichterungsgebot) verstoßen, indem sie die Rechtsausübung von Betroffenenrechten im Rahmen des elektronischen Kanals durch die obligatorisch vorgesehene bzw. vorgeschriebene Nutzung eines speziellen, am 17.07.2019 implementierten „Datenschutz-Anfrage-Formulars“ für Betroffene (Kontaktformular) eingeschränkt und damit erschwert habe. Dadurch habe die BF systematisch (fortlaufend und in beträchtlicher Anzahl) das Recht der betroffenen Personen auf erleichterte Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO verletzt.
Dies dadurch, dass
1. die von den obenstehenden zur Vertretung der Beschuldigten nach außen befugten Vorstandsmitgliedern für die Einhaltung von datenschutzrechtlichen Bestimmungen bestellte verantwortliche Beauftragte nach § 9 Abs. 2 VStG, XXXX , durch Außerachtlassung der gebotenen Sorgfalt und
2. die im Tatzeitraum zur Vertretung der BF nach außen berufenen und im Firmenbuch ausgewiesenen Vorstandsmitglieder, XXXX , XXXX und XXXX , gemeinsam als vertretungsbefugtes Organ der Beschuldigten iSd § 30 Abs. 1 und 2 DSG durch mangelnde Überwachung und Kontrolle der von der verantwortlichen Beauftragten initiierten sowie umgesetzten Maßnahmen im Zusammenhang mit der Ausübung von Betroffenenrechten die oben dargestellte Verwaltungsübertretung zu verantworten hätten.
Die verantwortliche Beauftragte habe aufgrund objektiver Sorgfaltswidrigkeiten den Einsatz des gegenständlichen Kontaktformulars als elektronischen Eingangskanal für Betroffenenanfragen im Rahmen der Website der Beschuldigten unter „ XXXX .at/datenschutz“ genehmigt und die Entscheidung getroffen, dass das Postfach datenschutz@ XXXX .at in seiner Funktion derartig umgestellt werde, dass in Folge sämtliche einlangende E-Mails an dieses Postfach (sowohl neu einlangende Anträge, als auch Korrespondenz zu zuvor eingebrachten Anträgen) automatisiert auf die ausschließliche Nutzung des Kontaktformulars verwiesen würden. Sie habe überdies beschlossen, dass auch Betroffene, die Anfragen an das E-Mailpostfach des XXXX (kundenservice@ XXXX .at) oder an andere elektronische Postfächer der Beschuldigten gerichtet und einen Antrag auf Auskunft, Widerspruch oder Löschung der Daten für Marketingzwecke Dritter gestellt hätten, von hiefür geschulten Mitarbeitern zunächst auf die ausschließliche Nutzung des Kontaktformulars verwiesen worden seien. Sie habe schließlich beschlossen, dass ab 15.12.2020 auch das E-Mail-Postfach des XXXX (kundenservice@ XXXX .at) den Betroffenen für allfällige Anfragen per E-Mail nicht mehr zur Verfügung gestellt werde, sodass diese für sämtliche elektronische Anfragen ab dem 15.12.2020 ausschließlich das von der BF vorgegebene Kontaktformular verwenden hätten müssen. Durch den Einsatz dieses Kontaktformulars und den Verweis auf die ausschließliche Nutzung sowie die in Folge angewiesene Handhabung von E-Mail-Anträgen sei den Betroffenen die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO im Rahmen des elektronischen Kanals erschwert worden, indem der Eingangskanal für elektronische Betroffenenanfragen auf ein vorgegebenes Kontaktformular eingeschränkt worden sei. Die verantwortliche Beauftragte hätte unter Einhaltung der objektiven Sorgfalt erkennen müssen, dass diese Vorgehensweise zur Behandlung von elektronischen Betroffenenanfragen nicht dem Erleichterungsgebot gemäß Art. 12 Abs. 2 DSGVO entspreche und der Spruchpraxis der Datenschutzbehörde widerspreche. Dadurch sei der Verstoß gegen die oben angeführten Bestimmungen der DSGVO durch die verantwortliche Beauftragte selbst begangen worden (§ 30 Abs. 1 DSG).
Darüber hinaus hätten die namentlich genannten Vorstandsmitglieder mittels Beschluss im Zuge einer Gesamtvorstandssitzung der verantwortlichen Beauftragten die Aufgabe selbstverantwortlich überlassen bzw. die Weisung erteilt, dass sämtliche einlangende Anfragen von Betroffenen fristgerecht zu behandeln seien und die verantwortliche Beauftragte den Prozess rund um die Behandlung von Betroffenenanfragen im Rahmen des Betriebs der BF derart umgestalten solle, dass die BF künftig auch auf eine Flut an Anfragen vorbereitet sei und die Anfragen fristgerecht beantworten könne, ohne hierfür zahlreiche Mitarbeiter aus verschiedenen Abteilungen heranzuziehen. Das für die Umsetzung für diese Aufgabe notwendige Budget sei ebenfalls vom Gesamtvorstand freigegeben und genehmigt worden. Die Vorstandsmitglieder hätten es jedoch unterlassen, im Rahmen ihrer Verantwortung für den Betrieb der BF ein wirksames internes Kontrollsystem (IKS) zu implementieren, das sicherstellen hätte können, dass die Weisungen des Vorstands an die verantwortliche Beauftragte DSGVO-konform umgesetzt würden. Der Gesamtvorstand sei von der verantwortlichen Beauftragten lediglich in einem nicht regelmäßigen Zyklus über den Status der Anfragen informiert worden. Aufgrund des Fehlens eines wirksamen IKS sei der Gesamtvorstand nicht über den Einsatz des Kontaktformulars informiert worden und habe auch sonst nicht die an XXXX delegierte Aufgabe kontrolliert. Er habe somit weder Kenntnis über die geplante weitere Vorgehensweise bei der Behandlung von elektronischen Anfragen noch über die konkreten Umsetzungsmaßnahmen, die von der verantwortlichen Beauftragten schließlich beschlossen worden seien, gehabt. Der Vorstand habe sich im Ergebnis daher gar nicht mit den Umsetzungsmaßnahmen auseinandergesetzt, obwohl dieser ein Budget in beträchtlicher Höhe zum Zweck der Umsetzung der von XXXX geplanten Maßnahmen freigegeben bzw. genehmigt habe. Bei Vorliegen eines wirksamen IKS hätte der Vorstand erkennen müssen, dass die beschlossenen Umsetzungsmaßnahmen durch die verantwortliche Beauftragte zur Behandlung von elektronischen Betroffenenanfragen gegen das Erleichterungsverbot nach Art. 12 Abs. 3 DSGVO verstießen und der rechtskräftigen Spruchpraxis der DSGVO widersprächen (siehe Bescheid vom 22.02.2019 zu GZ DSB-D124.098/0002-DSB.2019). Die mangelnde Kontrolle und Überwachung der delegierten Aufgaben an XXXX als verantwortliche Beauftragte sei im Ergebnis daher auf ein mangelndes IKS zurückzuführen (§ 30 Abs. 2 DSG).
Das tatsbestandsmäßige, rechtswidrige und schuldhafte Verhalten der Vorstandsmitglieder sowie der verantwortlichen Beauftragten werde dabei der beschuldigten juristischen Person (§ 30 Abs. 1 und Abs. 2 DSG) als datenschutzrechtliche Verantwortliche im Sinne von Art. 4 Z 7 DSGVO zugerechnet.
Aufgrund der Verwaltungsübertretungen nach Art. 12 Abs. 2 iVm Art. 83 Abs. 5 lit b DSGVO verhängte die belangte Behörde eine Geldstrafe von € 9.500.000,00 zuzüglich eines Kostenbeitrages von € 950.000,00.
Zu den Spruchpunkten II. bis V. wurde das Verfahren wegen weiterer Tatvorwürfe eingestellt.
Gegen Spruchpunkt 1. dieses Straferkenntnisses richtet sich die Beschwerde der BF mit den Anträgen, das Erkenntnis nach Durchführung einer mündlichen Verhandlung ersatzlos zu beheben und das Verfahren gemäß § 38 VwGVG iVm § 45 Abs. 1 VStG einzustellen, in eventu das Verfahren unter Erteilung einer Verwarnung bzw. unter Beratung und Ermahnung einzustellen bzw. die Strafhöhe herabzusetzen.
Die belangte Behörde legte die Beschwerde samt Verwaltungsakt mit ausführlicher Stellungnahme vom 22.11.2021 dem BVwG am 23.11.2021 letztlich unter Verweis auf die Begründung des Straferkenntnisses vor.
Mit ergänzender Stellungnahme und Antrag vom 04.01.2022 beantragte die belangte Behörde, den EuGH mit der Frage der unmittelbaren Strafbarkeit einer juristischen Person gemäß Art. 83 DSGVO und der Frage der Vereinbarkeit von § 30 DSG mit Art. 83 DSGVO zu befassen, in eventu das Verfahren bis zur Entscheidung des EuGH über die Vorlage der Sache des Kammergerichts Berlin vom 06.12.2021 GZ 2Ws 250/21 gemäß § 38 AVG iVm § 17 und 38 VwGVG auszusetzen.
Mit weiterer Stellungnahme vom 20.07.2022 hielt die belangte Behörde ihre Anträge vom 04.01.2022 aufrecht und erstattete eine weitere Stellungnahme.
Die Voraussetzungen einer Aussetzung liegen vor:
Gemäß Art. 83 Abs. 1 DSGVO stellt jede Aufsichtsbehörde sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
Gemäß Abs. 4 werden bei Verstößen gegen die folgenden Bestimmungen im Einklang mit Abs. 2 Geldbußen von bis zu 10 Mio. € oder im Falle eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist.
Gemäß Abs. 6 werden bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Art. 58 Abs. 2 im Einklang mit Abs. 2 des vorliegenden Artikels Geldbußen von bis zu 20 Mio. € oder im Falle eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist.
Gemäß Abs. 8 muss die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen.
Mit Erkenntnis vom 12.05.2020 zu Ro 2019/04/0229 befasste sich der Verwaltungsgerichtshof ausführlich mit den Voraussetzungen der Verhängung von Strafen gemäß DSGVO über juristische Personen und gelangte zum Ergebnis, für eine Bestrafung der juristischen Person sei entscheidend, dass die zur Beurteilung eines tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens, das auch allfälligen zusätzlichen Voraussetzungen der Strafbarkeit genüge, erforderliche Feststellungen getroffen und im Spruch alle notwendigen Elemente für eine Bestrafung der natürlichen Person aufgenommen würden (§ 44 a VStG) mit dem Zusatz, dass das Verhalten der natürlichen Person der juristischen Person zugerechnet werde. Der Verweis der dortigen (Amts-) Revisionswerberin auf das Verbandsverantwortlichenmodell sui generis aus dem EU-Wettbewerbsrecht sei hier nicht einschlägig. Im Gegensatz zur Verhängung von Geldbußen bei Verstößen gegen unionsrechtliche Wettbewerbsregeln handle es sich bei den von der Aufsichtsbehörde eines Mitgliedstaats für Verstöße gegen die DSGVO gemäß Art. 83 Abs. 4 und 6 DSGVO zu verhängenden Geldbußen um strafrechtliche Sanktionen.
Am 06.12.2021 legte das Kammergericht Berlin, 3. Senat für Bußgeldsachen, folgende Fragen dem EuGH zur Vorabentscheidung vor:
„1. Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorperiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch begangenen Ordnungswidrigkeit bedarf? 2. Wenn die Frage zu 1. bejaht werden sollte: Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rats vom 16.12.2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln) oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?.
Das diesbezügliche Verfahren behängt unter C-807/21 nunmehr beim EuGH.
Mit Beschluss vom 24.02.2022 zu Ra 2020/04/0187 setzte nunmehr der VwGH seinerseits das Revisionsverfahren betreffend W258 2227269 des BVwG bis zur Vorabentscheidung durch den Gerichtshof der Europäischen Union in der Rechtssache C-807/21 über Ersuchen des Kammergerichts Berlin aus.
Mit dem dort zugrundeliegenden Erkenntnis vom 26.11.2020 gab das BVwG der Beschwerde der Mitbeteiligten XXXX Folge, behob das gegen diese ergangene Straferkenntnis der Datenschutzbehörde und stellte das Verfahren gemäß § 45 Abs. 1 Z 3 VStG ein. Die Einstellung war erfolgt, weil die Datenschutzbehörde im Spruch des Straferkenntnisses die natürliche Person, deren Verstoß gegen die DSGVO der Mitbeteiligten zugerechnet werden sollte, nicht benannt habe. Diesbezüglich verwies das BVwG auf das oben zitierte Erkenntnis des VwGH vom 12.05.2020, Ro 2019/04/0229.
In ihrer Amtsrevision gegen dieses Erkenntnis führte die belangte Behörde aus, das BVwG habe dem Erkenntnis des VwGH vom 12.05.2020, Ro 2019/04/0229, einen zu restriktiven Inhalt unterstellt und es sei fraglich, ob diese Rechtsprechung zu Art. 83 DSGVO angesichts der zwischenzeitig ergangenen Entscheidungen von Höchstgerichten anderer Mitgliedstaaten aufrecht erhalten werden könne. Angeregt werde, den EuGH zu befassen.
In weiterer Folge erachtete der VwGH die vom Kammergericht Berlin an den EuGH herangetragenen Vorlagefragen im Ergebnis als einschlägig, woran Unterschiede zwischen dem deutschen § 30 OWiG und dem österreichischen § 30 DSG nichts zu ändern vermögen, weil es in beiden Verfahren „um die Auslegung der unionsrechtlichen Vorschrift des Art. 83 DSGVO gehe“.
Zwar hat die belangte Behörde im hier zugrundeliegenden Verfahren im Spruch des Straferkenntnisses natürliche Personen benannt, deren Verhalten sie der BF als juristischer Person verwaltungsstrafrechtlich zurechne. Allerdings bezieht sich ein Gutteil des nunmehrigen Beschwerdevorbringens auf die Zurechnung des festgestellten Verhaltens zur BF (Beschwerde Seiten 22 ff), wobei die BF eine Zurechenbarkeit des Verhaltens der Vorstandsmitglieder bestreitet. Gerade die Frage dieser Zurechnung ist Gegenstand des genannten Vorabentscheidungsverfahrens im Rahmen der grundsätzlichen Auslegung des Art. 83 DSGVO unter Bezugnahme auf die oben dargestellten zwei vom Kammergericht Berlin formulierten Fragen.
Das Verwaltungsgericht geht daher – wie im dargestellten zu vergleichenden Fall der Verwaltungsgerichtshof - davon aus, dass das genannte Vorabentscheidungsverfahren relevant für die Behandlung der gegenständlichen Beschwerde ist und insofern die Voraussetzungen des § 38 AVG iVm § 17 VwGVG vorliegen.
Das Verfahren war daher ohne Weiteres auszusetzen.
Einer mündlichen Verhandlung bedurfte die Beurteilung der Präjudizialität nicht.
Zum Ausspruch der Unzulässigkeit der Revision:
Die Beurteilung der Präjudizialität des genannten Vorabentscheidungsverfahrens hinsichtlich der dort zugrunde gelegten Fragen im Verhältnis zum Gegenstand des hier zu führenden Verfahrens stellen Einzelfallfragen dar, die eine Revisibilität ausschließen.