Spruch
Im namen der republik
Das Bundesverwaltungsgericht hat durch den Richter Mag. Mathias VEIGL als Vorsitzenden und die fachkundigen Laienrichter Mag. Gerda Ferch-Fischer und Mag. Adriana Mandl als beisitzende Laienrichterinnen über die Beschwerde von XXXX , gegen das Straferkenntnis der Datenschutzbehörde vom XXXX .2023, GZ: XXXX , zu Recht erkannt:
A)
I. Der Beschwerde wird Folge gegeben und die verhängte Geldstrafe auf gesamt EUR 500,-- reduziert; korrespondierend dazu reduziert sich der Beitrag zu den Kosten des Strafverfahrens vor der belangten Behörde gemäß § 64 VStG auf EUR 50,--.
II. Gemäß § 52 Abs. 8 VwGVG hat der Beschwerdeführer keine Kosten des Beschwerdeverfahrens zu tragen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:
1. Mit Schreiben vom XXXX teilte die belangte Behörde der Beschwerdeführerin ( XXXX ) mit, dass sie aufgrund der Datenschutzbeschwerde von XXXX ein (AVG)Verfahren zur Prüfung, ob die Beschwerdeführerin gegenüber Vorgenannten gegen datenschutzrechtliche Pflichten verstoßen habe, eingeleitet, und die Beschwerdeführerin erfolglos am XXXX zur Stellungnahme aufgefordert habe, und eine Urgenz vom XXXX ebenfalls (vorerst) ignoriert und erst am XXXX beantwortet worden sei, und forderte die belangte Behörde die Beschwerdeführerin zur Rechtfertigung auf. Demnach habe die Beschwerdeführerin gegen ihre Mitwirkungspflichten verstoßen. Die Beschwerdeführerin wäre aufgefordert worden Daten und Dokumente zur Ermittlung des Jahresumsatzes bereitzustellen.
2. Eine Rechtfertigung im Sinne einer Mitwirkung am Strafverfahren seitens der Beschwerdeführerin ist unterblieben.
3. Mit nunmehr angefochtenem Straferkenntnis vom XXXX wurde über die Beschwerdeführerin eine Geldstrafe von EUR 1.500,-- gemäß Art 83 Abs. 1 und 5 lit. a DSGVO verhängt und die Beschwerdeführerin gemäß § 64 VStG zum Ersatz eines Beitrages zu den Kosten des Strafverfahrens in Höhe von EUR 150,00 verpflichtet. Demnach nahm es die belangte Behörde als erwiesen an, dass die Beschwerdeführerin durch ihr Nichtreagieren im AVG Verfahren, das bei der belangten Behörde unter der Zl. D124.1318/23 geführt worden sei, eine Aufforderung zur Stellungnahme und eine Urgenz ignoriert und erst erheblich verspätet reagiert habe. Dadurch habe die Beschwerdeführerin gegen ihre Pflichten aus Art. 31 DSGVO gegenüber der Aufsichtsbehörde, die Einhaltung der DSGVO nachzuweisen, verstoßen habe. Dieses Verhalten sei aufgrund der sich aus Art 57 Abs. 1 lit. a DSGVO ergebenden Mitwirkungs- und Duldungspflichten ein strafbares Verhalten, das nach Art. 83 DSGVO mit einer Geldbuße geahndet werden könne. Durch das erheblich verspätete Reagieren auf die Aufforderungen der belangten Behörde sei bereits die objektive Tatseite erfüllt. Die subjektive Tatseite sei auch erfüllt, weil ein Wissen, dass ein Verstoß durch ein Bestimmtes Verhalten gesetzt werde, nicht erforderlich sei. Es sei zumindest von einer fahrlässigen Begehung auszugehen.
Rechtlich führte die belangte Behörde aus, dass nach der jüngsten Judikatur des EuGH zur Strafbarkeit von juristischen Personen die Pflicht zur Ermittlung der Verantwortung einer natürlichen Person entfalle. Die belangte Behörde könne eine juristische Person auch ohnedies zur Verantwortung ziehen. Geldbußen nach Art. 83 DSGVO könnten demnach auch unmittelbar gegen juristische Personen verhängt werden.
In subjektiver Hinsicht sei festzuhalten, dass es nach der höchstgerichtlichen Rechtsprechung nur auf einen schuldhaften Verstoß ankomme, aber nicht darauf, ob dieser vorsätzlich oder fahrlässig begangen werde. Die Verstöße seien nicht durch eine Person begangen worden, jedoch hafte die Beschwerdeführerin für den Verstoß.
Im Zusammenhang mit der Strafzumessung führte die belangte Behörde aus, dass die Einkommens- und Vermögensverhältnisse der Beschwerdeführerin, mangels Angaben, nicht festgestellt und folglich nicht berücksichtigt worden seien und deshalb eine behördliche Einschätzung erfolgt sei. Das Verschulden der Beschwerdeführerin werde in Anbetracht der Art, Schwere und Dauer des Verstoßes als niedrig eingestuft.
Mildernd werde berücksichtigt, dass keine einschlägigen Vorstrafen bestünden, Die verhängte Strafe sei im Hinblick auf den verwirklichten Tatunwert gemessen am Strafrahmen tat- und schuldangemessen.
6. Gegen das Straferkenntnis wurde am 08.07.2024 Beschwerde eingebracht und darin zunächst ausgeführt, dass das Straferkenntnis dem Grunde und der Höhe der verhängten Geldstrafe nach angefochten werde, sowie, dass beantragt werde, das Straferkenntnis aufzuheben, das Verfahren einzustellen in eventu die Strafe zu mindern sowie, dass auf die Durchführung einer mündlichen Verhandlung ausdrücklich verzichtet werde.
Es wurde (soweit verfahrensrelevant) vorgebracht, dass es sich entgegen der Rechtsansicht der belangten Behörde, um keine fahrlässige Tathandlung gehandelt habe. Es sei zwar richtig, dass die Beschwerdeführerin vorerst nicht auf die Aufforderung zur Stellungnahme durch die belangte Behörde reagiert habe, jedoch subsumiere diese falsch, wenn sie nun annehme, dass dadurch ein schuldhafter Verstoß vorliege. Vielmehr sei der Grund für das Unterbleiben einer Stellungnahme das von der belangten Behörde zitierte Vorabentscheidungsersuchen betreffend die Strafbarkeit von juristischen Personen und die damit einhergehende Rechtsunsicherheit gewesen. Die Beschwerdeführerin konnte sich nicht sicher sein, ob die Strafbarkeit der juristischen Person das durch die belangte Behörde ermittelte schuldhafte Verhalten einer zurechenbaren natürlichen Person angelastet werden könne. Erst nach dem 05.12.2023 sei nun Rechtssicherheit gegeben und habe die Beschwerdeführerin in der Folge auch mitgewirkt. Einer Strafe stünde auch das Rückwirkungsverbot entgegen. Zudem widerspreche die Rechtslage der Mitwirkungspflicht nach Art 31 DSGVO gegen fundamentale Verfahrensrechte insbesondere gegen Art. Abs. 3 EMRK nemo tenetur. Eine Strafe dürfe daher nicht verhängt werden. Auch die Frage der Schuld sei nur allgemein abgehandelt worden und erweise sich auch die Strafzumessung als unzutreffend, hätte die Behörde beraten statt strafen sollen.
7. Mit Schreiben vom XXXX legte die belangte Behörde die Beschwerde und den Verwaltungsakt dem Bundesverwaltungsgericht vor.
8. Mit Beschluss vom XXXX forderte das Bundesverwaltungsgericht die belangte Behörde auf bekanntzugeben, ob die Durchführung einer mündlichen Verhandlung beantragt werde.
9. Mit Schriftsatz vom XXXX verzichtete die belangte Behörde auf die Durchführung einer mündlichen Verhandlung und verwies auf das schriftliche Vorbringen.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
Der unter Punkt I. angeführte Verfahrensgang wird den Feststellungen zugrunde gelegt.
Folgender entscheidungswesentlicher Sachverhalt steht fest:
1. Die Beschwerdeführerin ist eine Gesellschaft mit beschränkter Haftung und übt das Gewerbe des Personalservice an der XXXX .
2. Die belangte Behörde forderte im Verfahren zur Zl. XXXX die Beschwerdeführerin am
I. XXXX (erste Aufforderung zur Stellungnahme; GZ: XXXX ), per Brief an „ XXXX “ zugestellt, und
II. XXXX (Aufforderung zur Stellungnahme, Urgenz; GZ: XXXX ), per RSb an „ XXXX “ am XXXX zugestellt
auf, am zuvor genannten AVG Verfahren zur Feststellung der Einhaltung datenschutzrechtlicher Pflichten gegenüber XXXX mitzuwirken.
3. Die Beschwerdeführerin beantwortete die behördlichen Aufforderung trotz nachweislicher Zustellung bis zum XXXX nicht. In der Folge wirkte die Beschwerdeführerin mit, indem sie den Anträgen des XXXX folgend, Datensätze löschte.
4. Die Beschwerdeführerin wirkte im gegenständlichen Strafverfahren, das nach Abschluss des AVG Verfahrens am XXXX mit Aufforderung zur Rechtfertigung eingeleitet wurde, an der Aufklärung des Tathergangs nicht mit und gab ihre Einkommens- und Vermögensverhältnisse nicht bekannt.
2. Beweiswürdigung:
Die Feststellungen ergeben sich aus dem Verwaltungsakt, dem angefochtenen Straferkenntnis und der Beschwerde.
3. Rechtliche Beurteilung:
Zu A):
3.1. Zu Spruchpunkt I.
3.1.1. Im vorliegenden Fall wendet sich der Beschwerdeführer in seiner an das Bundesverwaltungsgericht gerichteten Beschwerde ausschließlich gegen das Ausmaß der mit dem angefochtenen Erkenntnis verhängten Geldstrafe.
Gemäß § 27 Verwaltungsgerichtsverfahrensgesetz BGBl. I 2013/33 idF BGBl. I 2018/57 (im Folgenden: "VwGVG") hat das Verwaltungsgericht, soweit nicht Rechtswidrigkeit wegen Unzuständigkeit der Behörde vorliegt, den angefochtenen Bescheid auf Grund der Beschwerde oder auf Grund der Erklärung über den Umfang der Anfechtung zu überprüfen.
Gegenstand des vorliegenden Verfahrens kann und darf angesichts der vorliegenden Sach- und Rechtslage daher der Ausspruch der Strafe und die Überprüfung des Schuldspruchs und damit der Bestrafung an sich sein.
3.1.2. Die maßgeblichen Bestimmungen der DSGVO lauten auszugsweise wie folgt:
Art. 31 DSGVO lautet:
Zusammenarbeit mit der Aufsichtsbehörde
Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
Art. 83 Abs.1, 2, 4 lit a)und 5 lit. a DSGVO:
„Artikel 83
Allgemeine Bedingungen für die Verhängung von Geldbußen
(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;
(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
3.1.3. Die gesetzlichen Grundlagen nach dem VStG lauten wie folgt:
(1) Wenn eine Verwaltungsvorschrift über das Verschulden nicht anderes bestimmt, genügt zur Strafbarkeit fahrlässiges Verhalten. Fahrlässigkeit ist bei Zuwiderhandeln gegen ein Verbot oder bei Nichtbefolgung eines Gebotes dann ohne weiteres anzunehmen, wenn zum Tatbestand einer Verwaltungsübertretung der Eintritt eines Schadens oder einer Gefahr nicht gehört und der Täter nicht glaubhaft macht, daß ihn an der Verletzung der Verwaltungsvorschrift kein Verschulden trifft.
(1a) Abs. 1 zweiter Satz gilt nicht, wenn die Verwaltungsübertretung mit einer Geldstrafe von über 50 000 Euro bedroht ist.
(2) Unkenntnis der Verwaltungsvorschrift, der der Täter zuwidergehandelt hat, entschuldigt nur dann, wenn sie erwiesenermaßen unverschuldet ist und der Täter das Unerlaubte seines Verhaltens ohne Kenntnis der Verwaltungsvorschrift nicht einsehen konnte.
(1) Strafart und Strafsatz richten sich nach den Verwaltungsvorschriften, soweit in diesem
Bundesgesetz nicht anderes bestimmt ist.
(2) Soweit für Verwaltungsübertretungen, insbesondere auch für die Übertretung ortspolizeilicher Vorschriften, keine besondere Strafe festgesetzt ist, werden sie mit Geldstrafe bis zu 218 Euro oder mit Freiheitsstrafe bis zu zwei Wochen bestraft.
(1) Wird eine Geldstrafe verhängt, so ist zugleich für den Fall ihrer Uneinbringlichkeit eine
Ersatzfreiheitsstrafe festzusetzen.
(2) Die Ersatzfreiheitsstrafe darf das Höchstmaß der für die Verwaltungsübertretung angedrohten Freiheitsstrafe und, wenn keine Freiheitsstrafe angedroht und nicht anderes bestimmt ist, zwei Wochen nicht übersteigen. Eine Ersatzfreiheitsstrafe von mehr als sechs Wochen ist nicht zulässig. Sie ist ohne Bedachtnahme auf § 12 nach den Regeln der Strafbemessung festzusetzen.
(1) Grundlage für die Bemessung der Strafe sind die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat.
(2) Im ordentlichen Verfahren (§§ 40 bis 46) sind überdies die nach dem Zweck der Strafdrohung in Betracht kommenden Erschwerungs- und Milderungsgründe, soweit sie nicht schon die Strafdrohung bestimmen, gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechtes sind die §§ 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens- und Vermögensverhältnisse und allfällige Sorgepflichten des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen.
3.2. Allgemeines zur Verhängung von Geldbußen nach Art. 83 DSGVO:
Mit der Datenschutz-Grundverordnung („DSGVO“), die seit dem 25. Mai 2018 anwendbar ist, hat die EU eine umfassende Reform der Datenschutzvorschriften in Europa vollendet. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Die Verordnung stützt sich auf mehrere Schlüsselkomponenten, zu denen unter anderem stärkere Durchsetzungsbefugnisse der Aufsichtsbehörden gehören. Die DSGVO sieht als Neuerung deutlich höhere Geldbußen sowie eine Harmonisierung der Geldbußen zwischen den Mitgliedstaaten vor. Verantwortliche und Auftragsverarbeiter haben mehr als zuvor, Sorge dafür zu tragen, dass die personenbezogenen Daten natürlicher Personen wirksam geschützt werden. Die Aufsichtsbehörden sind befugt sicherzustellen, dass die Grundsätze der DSGVO sowie die Rechte der betroffenen Personen gemäß dem Wortlaut und dem Geist der DSGVO gewahrt werden. Die DSGVO schreibt vor, dass der Betrag der Geldbuße in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein muss (Artikel 83 Abs. 1 DSGVO). Darüber hinaus haben die Aufsichtsbehörden bei der Festsetzung des Betrags der Geldbuße eine Liste von Umständen zu berücksichtigen, die sich auf Merkmale des Verstoßes (seine Schwere) oder das Verhalten des den Verstoß Begehenden beziehen (Art. 83 Abs. 2 DSGVO). Die Quantifizierung des Betrags der Geldbuße beruht daher auf einer konkreten Bewertung, die in jedem Einzelfall unter Berücksichtigung der in der DSGVO enthaltenen Parameter vorgenommen wird. Eine Mindestgeldbuße sieht die DSGVO für Verhaltensweisen, die gegen Datenschutzvorschriften verstoßen, nicht vor. Vielmehr sieht die DSGVO in ihrem Artikel 83 Absätze 4 bis 6, in denen verschiedene Verhaltensweisen zusammengefasst werden, lediglich Höchstbeträge vor. Eine Geldbuße kann letztlich nur durch Abwägung aller in Artikel 83 Abs. 2 lit. a bis j DSGVO ausdrücklich genannten Umstände, die für den Fall relevant sind, und anderer relevanter Anhaltspunkte berechnet werden, auch wenn sie in den genannten Bestimmungen nicht ausdrücklich aufgeführt sind (da Art. 83 Abs. 2 lit. k DSGVO verlangt, dass jeglichen anderen anwendbaren Umständen gebührend Rechnung getragen wird). Schließlich muss der endgültige Betrag der Geldbuße, der sich aus dieser Prüfung ergibt, in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein (Art. 83 Abs. 1 DSGVO). Jede verhängte Geldbuße muss all diesen Parametern ausreichend Rechnung tragen und darf gleichzeitig das in Art. 83 Abs. 4 bis 6 DSGVO vorgesehene gesetzliche Höchstmaß nicht überschreiten (vgl. zu alldem die Leitlinien 04/2022 des Europäischen Datenschutzausschusses für die Berechnung von Geldbußen im Sinne der DSGVO, Version 2.1, Angenommen am 24.05.2023 [im Folgenden: EDSA Leitlinien 2023 zu Art. 83 DSGVO], Rz. 1 – 16).
In seiner jüngst ergangenen Rechtsprechung zu Art. 83 DSGVO hält der Europäische Gerichtshof (EuGH) zur Verhängung von Geldbußen durch nationale Aufsichtsbehörden die im folgenden dargestellten Grundsätze fest.
Im Urteil vom 05.12.2023 in der Rechtssache C-807/21 [Deutsche Wohnen SE] führt der EuGH aus wie folgt [Hervorhebungen durch das Bundesverwaltungsgericht]:
„Zur Beantwortung der ersten Vorlagefrage ist zunächst festzustellen, dass sich die in der DSGVO vorgesehenen Grundsätze, Verbote und Pflichten insbesondere an „Verantwortliche“ richten. Deren Verantwortung und Haftung erstreckt sich nach den Ausführungen im 74. Erwägungsgrund der DSGVO auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind. Diese Haftung ist es, die bei einem der in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße die Grundlage dafür bildet, nach Art. 83 DSGVO eine Geldbuße gegen den Verantwortlichen zu verhängen.
In Art. 4 Nr. 7 DSGVO ist der Begriff „Verantwortlicher“ weit definiert als die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Das Ziel dieser weiten Definition des Art. 4 Nr. 7 DSGVO – die ausdrücklich auch juristische Personen einschließt – besteht im Einklang mit dem Ziel der DSGVO darin, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten (vgl. in diesem Sinne Urteile vom 29. Juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, Rn. 66, und vom 28. April 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, Rn. 73 sowie die dort angeführte Rechtsprechung).
Des Weiteren hat der Gerichtshof bereits entschieden, dass eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als Verantwortlicher angesehen werden kann (vgl. in diesem Sinne Urteil vom 10. Juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 68).
Somit ergibt sich aus dem Wortlaut und dem Zweck von Art. 4 Nr. 7 DSGVO, dass der Unionsgesetzgeber bei der Bestimmung der Haftung nach der DSGVO nicht zwischen natürlichen und juristischen Personen unterschieden hat, da die einzige Voraussetzung für diese Haftung darin besteht, dass diese Personen allein oder zusammen mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
Vorbehaltlich der Bestimmungen von Art. 83 Abs. 7 DSGVO betreffend Behörden und öffentliche Stellen haftet daher jede Person, die diese Voraussetzung erfüllt – unabhängig davon, ob es sich um eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle handelt – u. a. für jeden in Art. 83 Abs. 4 bis 6 der DSGVO genannten Verstoß, der von ihr selbst oder in ihrem Namen begangen wurde.
[…]
Sodann legt Art. 58 Abs. 2 DSGVO die Befugnisse der Aufsichtsbehörden zum Erlass von Abhilfemaßnahmen genau fest, ohne auf das Recht der Mitgliedstaaten zu verweisen oder den Mitgliedstaaten einen Ermessensspielraum einzuräumen. Zum einen zielen diese Befugnisse, zu denen gemäß Art. 58 Abs. 2 Buchst. i DSGVO die Befugnis zur Verhängung von Geldbußen gehört, auf den Verantwortlichen ab, und zum anderen kann ein solcher Verantwortlicher, wie aus Rn. 39 des vorliegenden Urteils hervorgeht, sowohl eine natürliche als auch eine juristische Person sein. Die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer solchen Geldbuße zu beachten hat, sind in Art. 83 Abs. 1 bis 6 DSGVO genau und ohne Ermessensspielraum für die Mitgliedstaaten aufgeführt.
[…]
Zwar ergibt sich aus Art. 58 Abs. 4 und Art. 83 Abs. 8 DSGVO im Licht des 129. Erwägungsgrundes der DSGVO, dass die Ausübung der Befugnisse, über die die Aufsichtsbehörde gemäß diesen Artikeln verfügt, angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen muss.
Die Tatsache, dass die DSGVO den Mitgliedstaaten somit die Möglichkeit einräumt, Anforderungen an das von den Aufsichtsbehörden anzuwendende Verfahren bei der Verhängung einer Geldbuße vorzusehen, bedeutet jedoch keineswegs, dass sie auch befugt wären, über diese verfahrensrechtlichen Anforderungen hinaus materielle Voraussetzungen vorzusehen, die zu den in Art. 83 Abs. 1 bis 6 DSGVO geregelten hinzutreten. Des Weiteren wird durch den Umstand, dass der Unionsgesetzgeber eigens und ausdrücklich diese Möglichkeit vorgesehen hat, aber nicht diejenige, solche zusätzlichen materiellen Voraussetzungen festzulegen, bestätigt, dass er den Mitgliedstaaten insoweit keinen Ermessensspielraum gelassen hat. Für diese materiellen Voraussetzungen gilt daher ausschließlich das Unionsrecht.
Die vorstehende wörtliche Auslegung von Art. 58 Abs. 2 und Art. 83 Abs. 1 bis 6 DSGVO wird durch den Zweck der DSGVO bestätigt.
Insbesondere geht aus dem zehnten Erwägungsgrund der DSGVO hervor, dass deren Bestimmungen u. a. die Ziele haben, bei der Verarbeitung personenbezogener Daten unionsweit ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und zu diesem Zweck sicherzustellen, dass die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung solcher Daten unionsweit gleichmäßig und einheitlich angewendet werden. In den Erwägungsgründen 11 und 129 der DSGVO wird außerdem das Erfordernis betont, zur Sicherstellung einer einheitlichen Anwendung der DSGVO sicherzustellen, dass die Aufsichtsbehörden über gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie über gleiche Sanktionen im Fall von Verstößen gegen die DSGVO verfügen.
[…]
Nach Art. 288 Abs. 2 AEUV ist eine Unionsverordnung in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat, so dass es, sofern nichts anderes bestimmt ist, ausgeschlossen ist, dass die Mitgliedstaaten innerstaatliche Vorschriften erlassen, die die Tragweite einer solchen Verordnung beeinträchtigen. Außerdem dürfen die Mitgliedstaaten aufgrund der ihnen aus dem AEU‑Vertrag obliegenden Verpflichtungen die unmittelbare Geltung, die den Verordnungen innewohnt, nicht vereiteln. Insbesondere dürfen sie keine Handlung vornehmen, durch die die unionsrechtliche Natur einer Rechtsvorschrift und die sich daraus ergebenden Wirkungen den Einzelnen verborgen würden (Urteil vom 15. November 2012, Al-Aqsa/Rat und Niederlande/Al-Aqsa, C‑539/10 P und C‑550/10 P, EU:C:2012:711, Rn. 86 und 87 sowie die dort angeführte Rechtsprechung).
[…]
Mit seiner zweiten Frage, die für den Fall gestellt wird, dass die erste Frage bejaht wird, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 83 DSGVO dahin auszulegen ist, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.
Insoweit ist darauf hinzuweisen, dass nach Art. 83 Abs. 1 DSGVO Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen. Dagegen enthält Art. 83 DSGVO keine ausdrückliche Klarstellung, dass die in seinen Abs. 4 bis 6 genannten Verstöße nur dann mit einer solchen Geldbuße geahndet werden können, wenn sie vorsätzlich oder zumindest fahrlässig begangen wurden.
[…]
Wie in den Rn. 45 und 48 des vorliegenden Urteils ausgeführt, gilt für die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen einen Verantwortlichen zu beachten hat, ausschließlich das Unionsrecht. Diese Voraussetzungen sind in Art. 83 Abs. 1 bis 6 DSGVO genau festgelegt und lassen den Mitgliedstaaten keinen Ermessensspielraum (vgl. auch Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, Rn. 64 bis 70).
Zu diesen Voraussetzungen ist festzustellen, dass Art. 83 Abs. 2 DSGVO die Kriterien anführt, die die Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen den Verantwortlichen berücksichtigt. Zu diesen Kriterien gehört nach Buchst. b dieser Bestimmung die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“. Dagegen deutet keines der in der genannten Bestimmung aufgeführten Kriterien auf eine Möglichkeit hin, den Verantwortlichen unabhängig von seinem Verschulden haftbar zu machen.
Zudem ist der zweite Absatz von Art. 83 DSGVO in Verbindung mit seinem dritten Absatz zu lesen, der bestimmt, welche Folgen bei der Kumulierung von Verstößen gegen die DSGVO eintreten, und wie folgt lautet: „Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.“
Aus dem Wortlaut von Art. 83 Abs. 2 DSGVO ergibt sich somit, dass nur Verstöße gegen die Bestimmungen der DSGVO, die der Verantwortliche schuldhaft, d. h. vorsätzlich oder fahrlässig, begeht, zur Verhängung einer Geldbuße gegen ihn nach diesem Artikel führen können.
Die allgemeine Systematik und der Zweck der DSGVO bestätigen diese Lesart.
Zum einen hat der Unionsgesetzgeber ein Sanktionssystem vorgesehen, das es den Aufsichtsbehörden ermöglicht, je nach den Umständen des Einzelfalls die geeignetste Sanktion zu verhängen.
Art. 58 Abs. 2 Buchst. i der DSGVO bestimmt nämlich, dass die Aufsichtsbehörden befugt sind, eine Geldbuße gemäß Art. 83 DSGVO „zusätzlich zu oder anstelle von“ anderen in Art. 58 Abs. 2 genannten Abhilfebefugnissen wie die Befugnis zur Erteilung von Warnungen, Verwarnungen oder Anweisungen zu verhängen. Ebenso heißt es im 148. Erwägungsgrund dieser Verordnung u. a., dass es den Aufsichtsbehörden gestattet ist, im Fall eines geringfügigeren Verstoßes oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, von der Verhängung einer Geldbuße abzusehen und stattdessen eine Verwarnung zu erteilen.
Zum anderen haben die Bestimmungen der DSGVO, wie in Rn. 50 des vorliegenden Urteils ausgeführt, u. a. die Ziele, bei der Verarbeitung personenbezogener Daten unionsweit ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und zu diesem Zweck sicherzustellen, dass die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung solcher Daten unionsweit gleichmäßig und einheitlich angewendet werden. Zur Sicherstellung einer einheitlichen Anwendung der DSGVO müssen die Aufsichtsbehörden zudem über gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten verfügen, so dass sie im Fall von Verstößen gegen die DSGVO die gleichen Sanktionen verhängen können.
Ein Sanktionssystem, das es ermöglicht, eine Geldbuße gemäß Art. 83 DSGVO zu verhängen, wenn die besonderen Umstände des Einzelfalls dies rechtfertigen, schafft für Verantwortliche und Auftragsverarbeiter einen Anreiz, der DSGVO nachzukommen. Geldbußen tragen durch ihre abschreckende Wirkung zu einem stärkeren Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten bei. Sie sind daher ein Schlüsselelement, um die Wahrung der Rechte dieser Personen zu gewährleisten, und stehen im Einklang mit dem Ziel der DSGVO, ein hohes Schutzniveau für solche Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten.
Der Unionsgesetzgeber hat es jedoch nicht für erforderlich gehalten, zur Gewährleistung eines solchen hohen Schutzniveaus vorzusehen, dass Geldbußen verschuldensunabhängig verhängt werden. In Anbetracht dessen, dass die DSGVO auf ein gleichwertiges und einheitliches Schutzniveau abzielt und hierfür in der gesamten Union gleichmäßig angewandt werden muss, liefe es diesem Ziel zuwider, den Mitgliedstaaten zu gestatten, eine solche Regelung für die Verhängung einer Geldbuße nach Art. 83 DSGVO vorzusehen. Eine solche Wahlfreiheit wäre zudem geeignet, den Wettbewerb zwischen den Wirtschaftsteilnehmern in der Union zu verfälschen, was den vom Unionsgesetzgeber u. a. in den Erwägungsgründen 9 und 13 der DSGVO dargestellten Zielen zuwiderliefe.
Demnach ist festzustellen, dass Art. 83 DSGVO es nicht gestattet, eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 genannten Verstoßes zu verhängen, ohne dass nachgewiesen ist, dass dieser Verstoß von dem Verantwortlichen vorsätzlich oder fahrlässig begangen wurde. Folglich ist Voraussetzung für die Verhängung einer solchen Geldbuße, dass der Verstoß schuldhaft begangen wurde.
Insoweit ist zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und aufgrund dessen mit einer Geldbuße gemäß Art. 83 DSGVO geahndet werden kann, noch klarzustellen, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt (vgl. entsprechend Urteile vom 18. Juni 2013, Schenker Co. u. a., C‑681/11, EU:C:2013:404, Rn. 37 und die dort angeführte Rechtsprechung, vom 25. März 2021, Lundbeck/Kommission, C‑591/16 P, EU:C:2021:243, Rn. 156, und vom 25. März 2021, Arrow Group und Arrow Generics/Kommission, C‑601/16 P, EU:C:2021:244, Rn. 97).
[…]
Nach alledem ist auf die zweite Frage zu antworten, dass Art. 83 DSGVO dahin auszulegen ist, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.“
3.3. Zum Verhältnis zwischen Unionsrecht und innerstaatlichem Recht: Wie vom EuGH im zitierten Urteil vom 05.12.2023 zu C-807/21 klar zum Ausdruck gebracht, gilt für die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen einen Verantwortlichen zu beachten hat, ausschließlich das Unionsrecht, wobei diese Voraussetzungen in Art. 83 Abs. 1 bis 6 DSGVO abschließend festgelegt sind (vgl. erneut C-807/21, Rz. 45, 48 und 65). Nach Art. 288 Abs. 2 AEUV ist eine Unionsverordnung in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat, sodass es, sofern nichts Anderes bestimmt ist, ausgeschlossen ist, dass die Mitgliedstaaten innerstaatliche Vorschriften erlassen, die die Tragweite einer solchen Verordnung beeinträchtigen. Außerdem dürfen die Mitgliedstaaten aufgrund der ihnen aus dem AEU‑Vertrag obliegenden Verpflichtungen die unmittelbare Geltung, die den Verordnungen innewohnt, nicht vereiteln (vgl. erneut EuGH, C-807/21, Rz. 52).
Deshalb ist im Anwendungsbereich der DSGVO kein Raum für die Anwendung der Bestimmungen nach § 11 DSG („Verwarnung durch die Datenschutzbehörde“) und § 33a VStG („Beraten“), da diese Bestimmungen darauf abzielen, der Datenschutzbehörde zusätzliche Vorgaben hinsichtlich deren Ermessensausübung in Bezug auf die von Art. 58 DSGVO eingeräumten Abhilfebefugnisse aufzugeben. Wenn § 11 DSG unmissverständlich vorgibt, „[i]nsbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen“, ist diese Bestimmung jedenfalls unvereinbar mit Art. 83 Abs. 2 bis 6 in Verbindung mit Art. 58 Abs. 2 lit. i DSGVO, da diese darauf abzielt, das Ermessen der Datenschutzbehörde und in der Folge des Bundesverwaltungsgerichts, weg von der Verhängung einer Geldbuße im Sinn von Art. 58 Abs. 2 lit. i DSGVO, hin zur Erteilung einer Verwarnung im Sinne von Art. 58 Abs. 2 lit. b DSGVO, zu determinieren.
An dieser Stelle ist im Sinne der rezenten Rechtsprechung des EuGH zu Art. 83 DSGVO mit Blick auf das Verwaltungsstrafgesetz (VStG) festzuhalten, dass die den Mitgliedstaaten eingeräumte Möglichkeit, im Verfahrensrecht bei den Aufsichtsbehörden zum Verhängen einer Geldbuße zusätzliche Kautelen vorzusehen, nicht so zu verstehen, dass sie auch befugt wären, über diese verfahrensrechtlichen Anforderungen hinaus materielle Voraussetzungen vorzuschreiben, welche Art. 83 Abs. 1 bis 6 DSGVO hinzutreten. Für materielle Tatbestandsvoraussetzungen gilt demnach ausschließlich Unionsrecht (vgl. erneut EuGH vom 05.12.2023, C-807, Rz. 46, 48). Der Unionsgesetzgeber gestattet es unabhängig davon, ob nach dem Recht des Mitgliedsstaates materielles oder formelles Recht vorliegt, nicht, dass dem Unionsrecht zusätzliche Schranken, etwa in Form einer Ermessensbeschränkung, auferlegt werden. Vor diesem Hintergrund verbleibt auch für die Bestimmungen in § 5 VStG („Schuld“), das Verschulden des Verantwortlichen ist ausschließlich anhand der Bestimmungen des Art. 83 Abs. 1 und Abs. 2 DSGVO zu beurteilen, § 7 VStG („Anstiftung und Beihilfe“), eine Form der Beitragstäterschaft ist von Art. 83 DSGVO nicht vorgesehen und mit der Regelungssystematik von Art. 83 DSGVO nicht in Einklang zu bringen, § 9 VStG („Besondere Fälle der Verantwortlichkeit“), die Strafbarkeit juristischer Personen und eingetragener Personengesellschaften richtet sich ausschließlich nach der Systematik des Art. 4 Z 7 iVm Art. 83 DSGVO und kann deren Haftung nicht auf zur Vertretung nach außen Berufene oder auf einen verantwortlichen Beauftragten überwälzt werden, § 19 VStG („Strafbemessung“), die Bemessung der Geldbuße erfolgt ausschließlich anhand der von Art. 83 Abs. 1 bis 6 DSGVO normierten Kriterien, § 20 VStG („Außerordentliche Milderung der Strafe“), die Erschwernis- und Milderungsgründe ergeben sich abschließend aus Art. 83 Abs. 2 DSGVO, § 22 Abs. 2 VStG („Zusammentreffen von strafbaren Handlungen“), Art. 83 Abs. 3 DSGVO regelt das Zusammentreffen mehrerer Verstöße abschließend, im Anwendungsbereich der DSGVO kein Raum und haben daher unangewendet zu bleiben (vgl. EuGH vom 05.12.2023, C-683/21, Rz 70).
Der Strafrahmen für Unternehmen gemäß Art. 83 Abs. 5 lit a DSGVO reicht bis zu einem Betrag von EUR 20.000.000. Das erkennende Gericht sieht an dieser Stelle die Richtlinien des Europäischen Datenschutzausschusses zur Berechnung von Geldbußen als erheblich und maßgeblich an.
3.4. Zur Anfechtung dem Grunde nach
3.4.1. Aufgrund der Beschwerdeschrift ist davon auszugehen, dass die Beschwerdeführerin sich gegen die Strafe dem Grunde nach richtet, jedoch dem von der belangten Behörde festgestellten Sachverhalt nicht widerspricht. Die Beschwerdeführerin rügt den Tatvorwurf und den, dem Straferkenntnis zugrunde gelegten Lebenssachverhalt nicht, sondern vermeint eine falsche rechtliche Subsumtion zu erkennen. Insbesondere liege eine inhaltliche Rechtswidrigkeit in dem Umstand begründet, dass die Pflichten des Art 31 DSGVO Inhalt eines Vorabentscheidungsersuchens und damit die Pflichten unklar gewesen seien.
Die Beschwerde ist insoweit nicht berechtigt.
3.4.2. Dazu ist festzuhalten, dass nach Ansicht des erkennenden Senats eine Pflichtenverletzung wie sich aus Art 31 DSGVO ergibt, nicht erfordert, dass ein gewisser Erfolg eintritt, sondern konkret auf das gegenständliche Verfahren bezogen, dass die „Anfrage“ (Aufforderung zur Stellungnahme) der belangten Behörde als Aufsichtsbehörde im Sinne leg. cit. nicht rechtzeitig, fristgerecht, oder in gebührender Zeit (im Hinblick auf die Entscheidungsfrist von sechs Monaten gemäß § 73 Abs.1 AVG) beantwortet wurde. Auch die einschlägige Literatur geht davon aus, dass aus Art. .31 DSGVO eine spezielle Zusammenarbeitspflicht hervorgeht, die nach Art. 84 Abs. 4. lit a) DSGVO strafbewehrt sein soll (vgl. Bogendorfer in Knyrim, DatKomm Art 31 DSGVO (Stand 1.12.2022, rdb.at) zu Art. 31). Art. 31 DSGVO legt dem Verantwortlichen verwaltungsverfahrensrechtliche Kooperationslasten auf. Die Vorschrift drängt den Amtsermittlungsgrundsatz, der das Verhältnis zwischen der belangten Behörde und Verarbeitern im Allgemeinen prägt, ein Stück weit zurück. Neben der (allgemeinen) Pflicht zur Kooperation verlangt sie ein Aktives Tun dem Adressaten ab. Insoweit ist auch davon auszugehen, dass schon das Nichtmitwirken am Aufklären eines Sachverhalts, in einem Verfahren, das von einer betroffenen Person beantragt wurde, einen strafbaren Tatbestand verwirklicht. Das nachträgliche Entsprechen der Kommunikation mit der belangten Behörde am XXXX nach Aufforderung zur Stellungnahme am XXXX war allerdings im Rahmen der Strafzumessung zu berücksichtigen.
3.4.3. Zum Vorwurf, die belangte Behörde habe nicht berücksichtigt, dass ein Vorabentscheidungsersuchen „deutsches Wohnen“ anhängig gewesen sei, welches sich mit der Strafbarkeit der juristischen Person auseinandergesetzt habe, ist auszuführen, dass sich die vorgeworfene Tat nicht auf ein Strafverfahren bezog, sondern die Weigerung der Kooperation im einem Administrativverfahren, das auf Antrag einer betroffenen Person eingeleitet worden war. Das hier einschlägige Strafverfahren steht in keinem kausalem Zusammenhang mit der zu klärenden Rechtsfrage. Es war nämlich nicht fraglich, ob ein Verantwortlicher wie die Beschwerdeführerin zur Zusammenarbeit mit der belangten Behörde verpflichtet ist.
Weiter ist auszuführen, dass der mittelbar angedeutete Verstoß gegen eine verbotene Rückwirkung strafrechtlicher Normen nicht erkannt werden kann. Der vorgeworfene Tatzeitraum datiert im Jahr 2023 während die DSGVO bereits 2016 in Geltung trat und 2018 in Kraft getreten ist.
3.4.4. Zum Verstoß gegen das nemo tenetur Prinzip wie es sich aus Art. 6 EMRK ergibt, ist schließlich auszuführen:
Verwaltungsverfahrensrechtliche Normen des nationalen Rechts bilden nach dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten die Grundlage für die Durchführung des Unionsrechts, soweit das Unionsrecht keine eigene Regelung trifft (v. Danwitz Europäisches Verwaltungsrecht, 2008, S. 302 ff. u. 476 f.; EuGH NJW 1984, 2024 (2024 fl), EuGH BeckRS 2004, 74924, Rn. 67, stRspr). Da die DSGVO die allgemeine Zusammenarbeitspflicht zwischen den Adressaten und der Aufsichtsbehörde selbst regelt, kommt Art. 31 DSGVO jedenfalls hinsichtlich der Tatbestandsseite der Norm Anwendungsvorrang vor den entsprechenden Regelungen der Mitgliedstaaten zu.
Nach der Judikatur des EuGH darf Europarecht auch nicht so interpretiert werden, dass es gegen rechtsstaatliche Garantien oder das Primärrecht, insbesondere gegen EU-GRC verstößt. Die Pflicht zur Zusammenarbeit mit der Aufsichtsbehörde findet va in Art 47 Abs 2, 48 Abs 2 und Art 52 GRC sowie Art 6 EMRK ihre Grenzen. Der EuGH vertritt in seiner Judikatur zum Wettbewerbsrecht die Ansicht, dass solange mit einer Information kein unmittelbares Schuldeingeständnis verbunden ist, der Grundsatz der Selbstbelastungsfreiheit nicht verletzt ist. In der Ausgangsentscheidung für diese Judikaturlinie „Orkem/Kommission“ (Rechtssache 374/87) sieht der EuGH darin auch keinen Widerspruch zu Art 6 EMRK und führt dazu in erster Linie aus, dass sich aus dem Wortlaut des Art 6 EMRK kein ausdrückliches Selbstbelastungsverbot ergibt. Im gegenständlichen Fall ergibt sich auch durch die Bestrafung der Mitwirkungspflicht kein Verstoß gegen Art 6 EMRK, weil die initiale Ermittlung des Sachverhalts in einem datenschutzrechtlichen Verfahren, das aufgrund eines Parteiantrags zu einem in Kapitel IV der DSGVO verankerten Rechte, konkret des Rechts auf Löschung gemäß Art. 17 DSGVO erfolgte – also in einem vorgelagerten Verfahren. Die Besonderheit des datenschutzrechtlichen Verfahrens nach AVG und DSG vor der belangten Behörde aufgrund § 24 Abs. 6 DSG liegt darin, dass ein (vermeintlicher) Verstoß auch bis zum Ende des do. Verfahrens beseitigt werden kann und das Verfahren in der Folge einzustellen ist. Zwar liegt dadurch kein Umstand vor, der von vornherein die Strafbarkeit eines datenschutzrechtlichen Fehlverhaltens ausschließt, jedoch müssten konkrete weitere Umstände dafür vorliegen, dass eine Strafbarkeit überhaupt amtswegig zu prüfen wäre. Schließlich geht auch der EGMR davon aus, dass Art. 6 Abs. 1 EMRK auf vorbereitende verwaltungsrechtliche Ermittlungen nicht anwendbar ist (EGMR Nr. 19187/91, Urt. v. 17.12.1996, Rn. 67). Weiter ist auszuführen, dass ein Verstoß gegen Art 6 EMRK nur dann vorliegt, wenn eine Selbstauskunft die Gefahr einer (verwaltungs-) strafrechtlichen Verfolgung aussetzt und einer Selbstbezichtigung gleichkommt. Das Verweigern jeglicher Kommunikation mit der belangten Behörde ist damit vor allem im Zusammenhang mit dem Verhältnismäßigkeitsgrundsatz des Art 52 Abs 1 S 2 GRC und der Eignung, Erforderlichkeit und Angemessenheit der konkreten Frage nicht umfasst.
Es liegt daher auch kein Verstoß gegen Art. 6 EMRK vor.
3.4.5. Zur Frage der Schuld:
Es liegen keine die Schuld ausschließende Umstände vor.
Die Beschwerdeführerin hat Anfragen der belangten Behörde ignoriert, obwohl ihr die Einleitung eines Strafverfahrens angedroht wurde und die Pflicht zur Zusammenarbeit bekannt sein musste – weil dies von der belangten Behörde bereits bei den Aufforderungsschreiben bekanntgegeben wurde.
Die Beschwerdeführerin hat durch Unterlassen der Kommunikation daher in Kauf genommen, einen Verstoß gegen datenschutzrechtliche Pflichten zu begehen. Es ist daher jedenfalls von Fahrlässigkeit – wie von der belangten Behörde angenommen – auszugehen.
3.2.2. Strafbemessung durch die belangte Behörde:
Bezogen auf den vorliegenden Sachverhalt wurde von der belangten Behörde bei der Strafbemessung ein leichtes Verschulden festgestellt.
Mildernd wurde bei der Strafzumessung Folgendes berücksichtigt:
-Gegen die Beschwerdeführerin lagen bis dato keine einschlägigen Vorstrafen aufgrund von Verstößen gegen die DSGVO oder das DSG vor;
Mangels Bekanntgabe der Beschwerdeführerin zu Einkommens- und Vermögensverhältnissen wurde der Umsatz anhand des jährlichen Bilanzgewinnes geschätzt und unter Unternehmungen bis zu einem Umsatz von unter 2.000.000,-- EUR subsumiert. Das Bundesverwaltungsgericht tritt dem nicht entgegen.
Zunächst ist festzuhalten, dass – wie bereits unter oben ausgeführt – für die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen einen Verantwortlichen zu beachten hat, ausschließlich das Unionsrecht maßgebend ist, wobei diese Voraussetzungen in Art. 83 Abs. 1 bis 6 DSGVO festgelegt sind (vgl. erneut EuGH, Urteile vom 05.12.2023, C-807/21, Rz 45, 48, 52 und 65 sowie C‑683/21, Rz 64 bis 70).
Die nationalen Bestimmungen, hier etwa die §§ 5, 19, 20 und 22 des Verwaltungsstrafgesetzes – VStG bleiben unangewendet. Eine Bedachtnahme auf die Bestimmung des § 19 VStG oder § 45 VStG und die hierzu ergangene Rechtsprechung hat zu unterbleiben. Fallbezogen war die Strafzumessung jedoch ohnehin vom Bundesverwaltungsgericht – aufgrund und im Lichte des Beschwerdevorbringens – zu überprüfen.
Wenn die Beschwerdeführerin im Rahmen ihres Beschwerdevorbringens unter impliziten Verweis auf § 11 DSG, § 34a VStG und Art. 18 B-VG, zusammengefasst die Rechtsansicht vertritt, dass für die mit dem angefochtenen Straferkenntnis verfolgten – und von der Beschwerdeführerin Verstöße von der belangten Behörde keine Geldbuße zu verhängen, sondern vielmehr mit einer Verwarnung das Auslangen gefunden werden hätte sollen, war dem aus Sicht des erkennenden Senates bereits im Lichte der unmittelbar anwendbaren Vorgaben der Art. 58 und 83 DSGVO – sowie der hierzu einschlägigen Rechtsprechung des EuGH vom 05.12.2023 – nicht zu folgen.
Zur (Nicht-)Erteilung einer Verwarnung anstelle der Verhängung einer Geldbuße: Die Beschwerdeführerin begehrt im Rahmen ihres Rechtsmittelvorbringens eventualiter, anstelle einer Geldbuße eine Verwarnung zu erteilen, da die Beschwerdeführerin kein schweres Verschulden anzulasten sei:
Art. 58 Abs. 2 lit. i DSGVO bestimmt, dass Aufsichtsbehörden befugt sind, eine Geldbuße gemäß Art. 83 DSGVO „zusätzlich zu oder anstelle von“ anderen in Art. 58 Abs. 2 genannten Abhilfebefugnissen wie die Befugnis zur Erteilung von Warnungen, Verwarnungen oder Anweisungen zu verhängen. Ebenso relevant ist Erwägungsgrund 148 DSGVO wo es u. a. heißt, dass es den Aufsichtsbehörden gestattet ist, im Fall eines geringfügigeren Verstoßes oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, von der Verhängung einer Geldbuße abzusehen und stattdessen eine Verwarnung zu erteilen.
Im vorliegenden Fall kann der mit Spruchpunkt I des angefochtenen Straferkenntnisses geahndete Verstoß, also das gänzliche Unterlassen jeglicher Mitwirkung an der Aufklärung eines Sachverhalts nicht als geringfügiger Verstoß angesehen werden. Dies ergibt sich aus dem Umstand, dass die belangte Behörde am Anfang eines Verfahrens, das durch Parteiantrag eingeleitet wird, regelmäßig darauf angewiesen ist, zumindest grundlegende Sachverhaltsbestandteile unter Mitwirkung des Verantwortlichen, sprich der Beschwerdeführerin, zu klären. Die gänzliche Weigerung auf Behördenschreiben zu reagieren erschwert damit die Arbeit der Aufsichtsbehörde erheblich. Die datenschutzrechtliche Pflicht zur Zusammenarbeit hat zum Ziel, die Wirksamkeit der Untersuchung durch eine Aufsichtsbehörde zu garantieren und steht damit im Allgemeininteresse an der Durchsetzbarkeit des Grundrechts auf Datenschutz. Das ergibt sich auch daraus, dass es der Unionsgesetzgeber für erforderlich gehalten hat, in Ausnahme zum Grundsatz der Verfahrensrechtsautonomie der Mitgliedsstaaten autonome, spezielle verfahrensrechtliche Mitwirkungspflichten im Sekundärrecht zu erlassen.
Das Bundesverwaltungsgericht kommt daher zu dem Ergebnis, dass das Verschulden eine Geldbuße erfordert.
Zum Beschwerdevorbringen, wonach die mit dem angefochtenen Straferkenntnis verhängte Geldbuße unangemessen hoch erscheine:
Die Beschwerdeführerin bringt im Rahmen ihrer Beschwerde weiterhin vor, ihr sei insgesamt nur ein geringes Verschulden anzulasten, da Rechtsunsicherheit bestanden habe und sie dem Ansuchen der belangten Behörde schließlich doch nachgekommen sei.
Mit ihrem diesbezüglichen Vorbringen zielt die Beschwerdeführerin auf eine (erhebliche) Reduktion der verhängten Geldbuße ab.
Nach Art. 83 Abs. 1 DSGVO stellt jede Aufsichtsbehörde sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. In Art. 83 Abs. 2 DSGVO sind Zumessungskriterien aufgeführt, die bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall "gebührend" zu berücksichtigen sind. Relevant sind danach insbesondere Art, Schwere und Dauer des Verstoßes, die Zahl der von der Verarbeitung betroffenen Personen, das Ausmaß des Schadens, die Kategorie der betroffenen personenbezogenen Daten, das Bemühen des Unternehmens, den Schaden zu begrenzen, Art und Umfang der Kooperation mit den Datenschutzbehörden und der Grad der Verantwortlichkeit.
Bei der Beurteilung dieser Kriterien ist der entscheidende Senat unter Würdigung der Umstände des Verfahrens zu der Ansicht gelangt, dass dem Vorbringen der Beschwerdeführerin zu folgen ist:
Für die zukünftige Einhaltung der DSGVO seitens der Beschwerdeführerin erscheint die Strafe in Anbetracht dessen, dass die Schuld als gering anzusehen war und die Beschwerdeführerin den Aufforderungen der Behörde schließlich doch – wenn auch erheblich verspätet – nachgekommen ist, in der vorgesehenen Höhe nicht zweckmäßig. Es handelt sich auch um den ersten einschlägigen Verstoß. Die verhängte Geldbuße ist in Anbetracht dessen, dass die Beschwerdeführerin noch vor der Einleitung des Strafverfahrens tätig geworden ist und schließlich der Aufforderung der belangten Behörde (zur Löschung von Daten) gemäß dem Antrag der betroffenen Person nachgekommen ist und schließlich die do. Rechtsverletzung beseitigt hat und ebenso die tatgegenständliche vorübergehende Weigerung der Mitwirkung, wie schon erwähnt, erheblich verspätet doch beseitigt hat und am Verfahren mitgewirkt hat. Dennoch erscheint eine – wenn auch geringere Geldbuße – erforderlich, um den Unwertgehalt der Tat zu verdeutlichen und in der Sphäre der Beschwerdeführerin eine zukünftige Kooperation zu gewährleisten.
Auch aus generalpräventiven Erwägungen ergibt sich, dass das Verhängen einer Geldbuße jedenfalls erforderlich scheint: Insbesondere soll verhindert werden, dass sich datenschutzrechtliche Verantwortliche einer Mitwirkung entziehen und die Ermittlungstätigkeit der belangten Behörde erschweren und dann einer Sanktion entgehen, indem sie sich erheblich verspätet doch am Verfahren beteiligen. Die Einhaltung der rechtlichen Pflichten aus Art. 31 DSGVO dienen der Möglichkeit der Durchsetzung vom Grundrecht auf Datenschutz. Daher erscheint es auch erforderlich, den Blick von potentiellen und bestehenden Verantwortlichen auf die strikte Einhaltung der behördlichen Kooperation zu schärfen und dafür Sorge zu tragen, dass nicht erst das Einleiten eines Strafverfahrens der belangten Behörde dazu führt, dass sich Verantwortliche am Verfahren beteiligen .
3.3.2. Aus den vorgenannten Gründen war der Beschwerde hinsichtlich des Ausspruches über die verhängte Strafe teilweise Folge zu geben.
Die Kosten des Beschwerdeverfahrens vor dem Bundesverwaltungsgericht waren dem Beschwerdeführer gemäß § 52 Abs. 8 VStG nicht aufzuerlegen, weil seiner Beschwerde Folge gegeben wurde.
3.3.4. Diese Entscheidung konnte gemäß § 44 Abs. 3 Z. 2 VwGVG ohne Durchführung einer mündlichen Verhandlung getroffen werden, da der Sachverhalt unbestritten ist und auf die Durchführung einer mündlichen Verhandlung von den Parteien verzichtet wurde.
3.5. Zu B) Unzulässigkeit der Revision:
Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen. Die gegenständliche Rechtsprechung steht im Einklang mit der Rechtsprechung der Höchstgerichte. Aufgrund der eindeutigen Rechtslage handelt es sich nicht um eine Rechtsfrage grundsätzlicher Bedeutung. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor.
Es war daher spruchgemäß durch Senat zu entscheiden.
Zahlungsinformation:
Sie haben den Gesamtbetrag von 550.-- EUR (Strafe, Kosten des verwaltungsbehördlichen Verfahrens und des verwaltungsgerichtlichen Beschwerdeverfahrens) binnen 2 Wochen auf das Konto des Bundesverwaltungsgerichtes (BVwG) mit dem IBAN AT840100000005010167 (BIC BUNDATWW) unter Angabe der Verfahrenszahl spesenfrei für den Empfänger einzuzahlen oder unter Mitnahme dieses Erkenntnisses beim Bundesverwaltungsgericht einzuzahlen. Bei Verzug muss damit gerechnet werden, dass der Betrag nach erfolgter Mahnung zwangsweise eingetrieben.