2023-0.637.760 – Datenschutzbehörde Entscheidung
Text
GZ: 2023-0.637.760 vom 7. Dezember 2023 (Verfahrenszahl: DSB-D550.705)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.
Straferkenntnis
Beschuldigte juristische Person: H**** Gemeinnützige Wohnungs AG (FN 1*5*9* r)
Die beschuldigte juristische Person mit Sitz in **** R***stadt, W***straße 1*-5*(im Folgenden „H****“), hat als Verantwortliche gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016, S. 1 idgF, nachstehenden Sachverhalt verwirklicht und dadurch folgende Verwaltungsübertretung(en) begangen:
Die Datenschutzbehörde forderte die H**** als Verfahrenspartei bzw. Beschwerdegegnerin im Beschwerdeverfahren zur GZ: D124.5263 mehrmals, konkret mit Schreiben vom:
17. November 2021 (erste Aufforderung zur Stellungnahme, GZ: D124.5263 - 2021-0.803.344), postalisch versendet am gleichen Tag an den Sitz der beschuldigten juristischen Person in „ **** R***stadt, W***straße 1*-5* “,
11. April 2022 (erstes Urgenzschreiben, GZ: D124.5263 - 2022-0.260.991), versendet am gleichen Tag nachweislich per RSb an den Sitz der beschuldigten juristischen Person,
03. Juni 2022 (zweites Urgenzschreiben, GZ: D124.5263 - 2022-0.408.549), versendet am 09.06.2022 nachweislich per E-Mail an das E-Mail-Postfach des Datenschutzbeauftragten der Beschuldigten (Erwin.L***@***mail-it.org),
zur Stellungnahme im Beschwerdeverfahren auf und wies dabei jedes Mal ausdrücklich auf die Pflicht zur Mitwirkung gemäß Art. 31 iVm Art. 58 Abs. 1 lit. a und e DSGVO sowie auf die mögliche Einleitung eines Verwaltungsstrafverfahrens (im Falle mangelnder Mitwirkung) hin. Nach dem ersten Urgenzschreiben vom 11.04.2022 hat der zuständige Sachbearbeiter der Datenschutzbehörde am 03.06.2022 mit dem Datenschutzbeauftragten der Beschuldigten telefoniert und ihn über das laufende Beschwerdeverfahren und die mangelnde Mitwirkung der Beschuldigten informiert. Dem Datenschutzbeauftragten wurde konkret mitgeteilt, dass die Datenschutzbehörde bereits zweimal die Beschuldigte zur Stellungnahme aufgefordert hat und bis zum 03.06.2022 noch keine Stellungnahme eingelangt ist. Der Datenschutzbeauftragte führte hierzu ins Treffen, dass es hausinterne Probleme mit der Weiterleitung gab und dass die Datenschutzbehörde ihm die Aufforderung zur Stellungnahme unmittelbar per E-Mail zusenden soll (Erwin.L***@***mail-it.org). Daraufhin wurde am 09.06.2022 die Aufforderung zur Stellungnahme an die angegebene E-Mail-Adresse zugestellt.
Die Beschuldigte hat jedoch auf sämtliche Aufforderungsschreiben der Datenschutzbehörde bis zur Erledigung des Beschwerdeverfahrens mit Bescheid vom 07.07.2022 (GZ: D124.5263 - 2022-0.484.999) nicht reagiert .
Gemessen daran ergibt sich Folgendes:
H**** hat in ihrer Rolle als Verantwortliche gemäß Art. 4 Z 7 DSGVO im Zeitraum vom 17.11.2021 bis einschließlich 07.07.2022 in **** R***stadt, W***straße 1*-5*, gegen ihre Mitwirkungspflicht bzw. Pflicht zur Zusammenarbeit mit der Datenschutzbehörde (als zuständige Aufsichtsbehörde) gemäß Art. 31 DSGVO verstoßen, indem sie den oben näher dargestellten Aufforderungen zur Stellungnahme im Rahmen des Beschwerdeverfahrens nicht entsprochen hat. Dadurch hat H**** in ihrer Rolle als Verantwortliche auf Anfrage einer Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben nicht zusammengearbeitet.
Verwaltungsübertretung(en) nach:
Art. 31 iVm Art. 83 Abs. 1 und 4 lit. a DSGVO ABl. L 2016/119, S. 1, idgF
Wegen dieser Verwaltungsübertretung(en) wird nach Art. 83 DSGVO folgende Strafe verhängt:
Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen:
1.000
Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro;
Euro als Ersatz der Barauslagen für
Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher
11.000
Euro
Zahlungsfrist:
Wird keine Beschwerde erhoben, ist dieses Straferkenntnis sofort vollstreckbar. Der Gesamtbetrag ist in diesem Fall binnen zwei Wochen nach Eintreten der Rechtskraft auf das Konto [hier gekürzt] , lautend auf die Datenschutzbehörde, einzuzahlen. Als Verwendungszweck möge die Geschäftszahl sowie das Erledigungsdatum angegeben werden .
Erfolgt binnen dieser Frist keine Zahlung, kann der Gesamtbetrag eingemahnt werden. In diesem Fall ist ein pauschalierter Kostenbeitrag in der Höhe von fünf Euro zu entrichten. Erfolgt dennoch keine Zahlung, wird der ausstehende Betrag vollstreckt .
Begründung:
1. Folgender entscheidungsrelevanter Sachverhalt steht aufgrund des durchgeführten Beweisverfahrens fest:
1.1. Zum Verfahrensgang
Am 16.11.2021 brachte eine betroffene Person als Beschwerdeführerin eine Beschwerde gegen die Beschuldigte als Beschwerdegegnerin bzw. Verantwortliche bei der Datenschutzbehörde (im Folgenden „DSB“) ein und führte im Wesentlichen aus, dass sie sich durch die Verarbeitung bzw. Offenlegung ihrer personenbezogenen Daten im Zuge einer E-Mail-Versendung durch die Beschuldigte am 09.11.2021 an mehrere Empfänger und unter Verwendung eines offenen Verteilers in ihrem Recht auf Geheimhaltung nach § 1 Abs. 1 DSG als verletzt erachte. Dadurch sei es zur Offenlegung ihrer personenbezogenen Daten an alle Interessenten im Zusammenhang mit einer Wohnungsbesichtigung eines Objektes in **** R***stadt, P***platz 3*, gekommen.
Die Beschuldigte wurde in Reaktion darauf als Partei (Beschwerdegegnerin) von der DSB im Verfahren zur GZ: D124.5263 zunächst mit der Aufforderung vom 17.11.2021 zur Stellungnahme aufgefordert. Die erste Aufforderung zur Stellungnahme (im Folgenden „AzS“) wurde am gleichen Tag per Brief an den Sitz der beschuldigten juristischen Person in **** R***stadt, W***straße 1*-5*, versendet.
Die Beschuldigte reagierte nicht auf die AzS vom 17.11.2021.
Die DSB forderte die Beschuldigte in weiterer Folge mit Urgenzschreiben vom 11.04.2022 erneut zur Stellungnahme im Beschwerdeverfahren auf. Das erste Urgenzschreiben wurde der Beschuldigten per RSb an ihren Sitz zugestellt.
Auch auf das Urgenzschreiben vom 11.04.2022 hat die Beschuldigte nicht reagiert.
In weiterer Folge hat der zuständige Sachbearbeiter der DSB am 03.06.2022 mit dem Datenschutzbeauftragten der Beschuldigten (im Folgenden „DSBA“) telefoniert und ihn über das laufende Beschwerdeverfahren und die mangelnde Mitwirkung der Beschuldigten informiert. Dem DSBA wurde konkret mitgeteilt, dass die DSB bereits zweimal die Beschuldigte zur Stellungnahme aufgefordert hat und bis zum 03.06.2022 noch keine Stellungnahme eingelangt ist.
Der DSBA führte hierzu ins Treffen, dass es hausinterne Probleme mit der Weiterleitung gab und dass die DSB ihm die Aufforderung zur Stellungnahme unmittelbar per E-Mail zusenden soll (Erwin.L***@***mail-it.org).
Die betroffene Person hat den DSBA bereits vor Einbringung der Beschwerde bei der DSB über den Sachverhalt informiert, indem sie ihm an die genannte E-Mail-Adresse am 10.11.2021 eine E-Mail samt Beilagen sendete.
Daraufhin wurde am 09.06.2022 das zweite Urgenzschreiben an die angegebene E-Mail-Adresse des DSBA zugestellt. Es gab keine Fehlermeldung im Zusammenhang mit der Zustellung der E-Mail. Der DSBA hat sich bei der DSB nicht über die Zustellung der besprochenen AzS informiert oder der DSB mitgeteilt, dass er keine E-Mail-Nachricht von der DSB erhalten habe. Der DSBA hat auch sonst keinen Kontakt mehr zur DSB aufgenommen oder in irgendeiner Form auf das Schreiben reagiert.
Die Domain „ @***mail-it.org “ wird von H**** Wohnen IT GmbH, FN 4*4*5*w (im Folgenden „H****IT“) benutzt. Dabei handelt es sich um eine 100%-Tochtergesellschaft der Beschuldigten. H****IT stellt die gesamte IT-Infrastruktur der Beschuldigten und der H****-Gruppe zur Verfügung und erbringt in diesem Zusammenhang verschiedene IT-Dienstleistungen. Der DSBA war als Arbeitnehmer von H****IT tätig und hatte im Tatzeitraum die Rolle des Datenschutzbeauftragten für die gesamte H****-Gruppe inne.
Das zuvor (vor der E-Mail an den DSBA) per RSb zugestellte Urgenzschreiben wurde von der Poststelle der Beschuldigten entgegengenommen und innerhalb der H****-Gruppe an H****IT zur Bearbeitung weitergeleitet.
Die DSB hat die Beschuldigte im Rahmen der oben genannten AzS jedes Mal ausdrücklich auf die Pflicht zur Mitwirkung gemäß Art. 31 iVm Art. 58 Abs. 1 lit. a und e DSGVO sowie auf die mögliche Einleitung eines Verwaltungsstrafverfahrens (im Falle mangelnder Mitwirkung) hingewiesen. Die H**** hat dennoch auf sämtliche Aufforderungsschreiben der DSB nicht reagiert.
Die DSB musste daher die Beschwerde der Betroffenen ohne Mitwirkung der Beschuldigten behandeln und stellte mit Bescheid vom 07.07.2022 fest, dass die Beschuldigte die Betroffene in ihrem Recht auf Geheimhaltung verletzte.
Beweiswürdigung: Die Feststellungen ergeben sich durch Einsicht in den Verwaltungsakt zum oben angeführten Beschwerdeverfahren. Die mangelnde Reaktion auf die genannten AzS wurde der Beschuldigten im Rahmen der Aufforderung zur Rechtfertigung im gegenständlichen Verwaltungsstrafverfahren vorgeworfen. Der Vorwurf wurde von der Beschuldigten nicht bestritten. Sie räumte in diesem Zusammenhang ein, dass aufgrund interner Probleme die Erfassung der Zustellungen sowie insbesondere die Weiterleitung behördlicher Schriftstücke an die zuständige Abteilung bzw. Mitarbeiter der Beschuldigten sowie die interne Kommunikation im Tatzeitraum nicht ausreichend funktionierte. Die mangelnde Reaktion ist laut schriftlicher Rechtfertigung der Beschuldigten auf diese Umstände innerhalb der Organisation der Beschuldigten zurückzuführen. Daher habe die Beschuldigte die Einleitung des Verwaltungsstrafverfahrens zum Anlass genommen, die internen Prozesse zu überprüfen, um derartige Verfehlungen künftig zu vermeiden. Die Beschuldigte räumte den Vorwurf somit zur Gänze ein. Die Beschuldigte erstattete kein Vorbringen, das im Widerspruch zu den getroffenen Feststellungen stehen würde.
Die Feststellungen betreffend Telefonat des Sachbearbeiters der DSB mit dem DSBA stützen sich auf einen internen Aktenvermerk vom 05.07.2022 zum Telefonat, der sich sowohl im Verwaltungsstrafakt als auch im Verwaltungsakt zum Beschwerdeverfahren befindet. Darüber hinaus wurde dies von der Beschuldigten auch nicht bestritten. Die Beschuldigte konnte lediglich nicht nachvollziehen, weshalb eine weitere Bearbeitung durch den DSBA nicht erfolgte und räumte ebenfalls ein Fehlverhalten des DSBA ein.
Die Feststellungen in Bezug auf die Tätigkeiten/Dienstleistungen der H****IT und des DSBA sowie Zugehörigkeit zur H****-Gruppe ergeben sich aus den eigenen Angaben der Beschuldigten im Rahmen ihrer schriftlichen Rechtfertigung und sind somit ebenfalls unbestritten. Auch die Feststellung in Bezug auf die interne Weiterleitung des Urgenzschreibens an H****IT zur Bearbeitung beruht auf die eigenen Angaben der Beschuldigten.
Die DSB hat in Folge mit Schreiben vom 27.07.2022 das gegenständliche Verwaltungsstrafverfahren gegen die Beschuldigte eingeleitet und ihr die mangelnde Mitwirkung im oben genannten Beschwerdeverfahren vorgeworfen. Zudem wurde die Beschuldigte aufgefordert, ihren Umsatz bekanntzugeben.
In Reaktion darauf brachte die Beschuldigte am 30.08.2022 eine schriftliche Rechtfertigung ein und führte im Wesentlichen aus, dass sie die mangelnde Mitwirkung vollumfänglich eingesteht und führte ins Treffen, dass dies auf interne Mängel im Zusammenhang mit der Weiterleitung von Schriftstücken an die zuständige Abteilung und nicht ausreichend funktionierende Kommunikation zurückzuführen war. Darüber hinaus führte sie aus, dass sie die Einleitung des Verwaltungsstrafverfahrens zum Anlass genommen hat, um die nachstehenden Maßnahmen zu ergreifen, damit künftig derartige Verfehlungen vermieden werden ( die von der Beschuldigten ins Treffen geführten Maßnahmen werden als erwiesen angenommen ):
Die Beschuldigte beauftragte eine auf Datenschutzrecht spezialisierte Rechtsanwaltskanzlei für die Vertretung und Mitwirkung im Verwaltungsstrafverfahren sowie darüber hinaus für die Durchführung eines internen „ Datenschutz-Audit “, um das Datenschutz-Managementsystem der Beschuldigten einer rechtlichen Überprüfung zu unterziehen. Zudem wurden neben der Pflicht zur Mitwirkung auch weitere Pflichten der Beschuldigten in ihrer Rolle als Verantwortliche wie das Führen eines Verarbeitungsverzeichnisses nach Art. 30 DSGVO geprüft. Die externen Berater prüften zudem die Prozesse und Strukturen zur Wahrung von Meldepflichten und Gewährleistung von Betroffenenrechten. Durch diese Überprüfung sollten allfällige Mängel bzw. Lücken im Datenschutz-Management-System aufgezeigt werden. Mit anderen Worten: Die Beschuldigte nahm durch die Heranziehung externer Berater eine vollumfängliche Überprüfung ihrer datenschutzrechtlichen Pflichten als Verantwortliche vor, um allfällige Mängel zu erkennen.
Die externen Berater führten für die Mitarbeiter der Beschuldigten eine interne (datenschutzrechtliche) Schulung durch, die insbesondere die Wahrung von Betroffenenrechten und den Umgang mit Meldungen von Datenschutzverletzungen zum Inhalt hatte.
Die Beschuldigte veranlasste, dass mehrere Führungskräfte aus verschiedenen Fachbereichen (Hausverwaltung, Rechtsabteilunge, interne Revision und Vertrieb) im September 2022 an mehrtägigen (datenschutzrechtlichen) Seminaren teilnahmen.
Die Position des Datenschutzbeauftragten der Beschuldigten wurde nach Einleitung des Verwaltungsstrafverfahrens neu an eine Juristin innerhalb ihrer Rechtsabteilung vergeben. Es wurde vorgesehen, dass die neue DSBA in ca. dreimonatigen Abständen die Vorstandsmitglieder der Beschuldigten über die relevanten datenschutzrechtlichen Themen im Unternehmen und über aktuelle Entwicklungen im Datenschutzrecht berichtet.
In Reaktion auf den gegenständlichen Vorwurf der mangelnden Mitwirkung im Beschwerdeverfahren haben die Vorstandsmitglieder der Beschuldigten ein „ Sicherheitssystem “ im Zusammenhang mit der Bearbeitung von behördlichen Schriftstücken beschlossen. Dieses System sieht vor, dass sämtliche RSa- und RSb-Briefe nach Erfassung im „ Posteingangsbuch “ ungeöffnet an die Rechtsabteilung weitergeleitet werden zur Bearbeitung. Die Öffnung und erste „ grobe Sichtung “ erfolgt in Folge durch einen Mitarbeiter der Rechtsabteilung, um die Weiterleitung an die zuständige Abteilung zu gewährleisten.
Daraufhin hat die DSB mit Bescheid vom 31.08.2022 das gegenständliche Verfahren gemäß § 24 VStG iVm § 38 AVG bis zur rechtskräftigen Entscheidung durch den Gerichtshof der Europäischen Union (EuGH) in der Rechtssache C-807/21 (Deutsche Wohnen SE) ausgesetzt und den Bescheid am 08.09.2022 per E-Zustellung an die Beschuldigtenvertreterin zugestellt.
Die Beschuldigte brachte gegen diesen Aussetzungsbescheid eine Beschwerde ein führte hierzu ins Treffen, dass das Verwaltungsstrafverfahren nicht ausgesetzt, sondern aufgrund der ergriffenen Maßnahmen eingestellt hätte werden müssen. Daher seien die Antworten des EuGH im konkreten Fall irrelevant. Durch die Beschwerde wollte die Beschuldigte einen „ Schwebezustand “ vermeiden und eine Einstellung entweder durch die DSB im Rahmen einer Beschwerdevorentscheidung oder durch das Bundesverwaltungsgericht (BVwG) mittels Erkenntnis erwirken. Die DSB sah von einer Beschwerdevorentscheidung ab und legte den Akt dem BVwG am 13.10.2022 vor. Am 11.01.2023 fand hierzu eine mündliche Verhandlung beim BVwG statt. Das Beschwerdeverfahren ist derzeit unter der GZ: W258 2260869-1 anhängig.
Mit Schreiben vom 05.12.2023 hob die DSB den Aussetzungsbescheid vom 31.08.2022 von Amts wegen auf und setzte das Verwaltungsstrafverfahren - unter Berücksichtigung des Urteils vom 05.12.2023 des EuGH in der Rechtssache C-807/21 – fort. Das Bundesverwaltungsgericht wurde über die Aufhebung des Aussetzungsbescheides ebenfalls informiert.
Beweiswürdigung: Die Feststellungen ergeben sich aus den Aktenbestandteilen des Verwaltungsstrafaktes, insbesondere aus der schriftlichen Rechtfertigung der Beschuldigten. Die festgestellten Maßnahmen, welche von der Beschuldigten in Reaktion auf die Einleitung des Verwaltungsstrafverfahrens ergriffen wurden, beruhen auf die eigenen Angaben der Beschuldigten. Es gab im Rahmen des Ermittlungsverfahrens keine Anhaltspunkte dafür, dass diese Maßnahmen nicht tatsächlich ergriffen wurden. Die Beschuldigte bot zusätzlich zum Nachweis ihres Vorbringens in Bezug auf die ergriffenen Maßnahmen die Übermittlung von weiteren Beweismitteln an. Die Feststellungen im Zusammenhang mit der Beschwerde gegen den Aussetzungsbescheid und dem anhängigen Beschwerdeverfahren ergeben sich durch Einsicht in den Verwaltungsakt zum Bescheidbeschwerdeverfahren zur GZ: D062.2187 bzw. Gerichtsakt des BVwG zur GZ: W258 2260869-1.
1.2. Zum Umsatz der Beschuldigten
Die Beschuldigte erzielte einen Jahresumsatz in der Höhe von insgesamt EUR 176.*88.4*1,34.
Beweiswürdigung: Die Feststellung zum Umsatz der Beschuldigten stützt sich auf die eigenen Angaben der Beschuldigten im Rahmen ihrer schriftlichen Rechtfertigung vom 30.08.2022.
2. Rechtlich folgt daraus:
2.1. Zur Zuständigkeit der DSB und Anwendungsbereich der DSGVO
Art. 83 Abs. 4 lit. a DSGVO legt fest, dass bei Verstößen gegen die Bestimmungen der Art. 8, 11, 25 bis 39 , 42 und 43 DSGVO Geldbußen von bis zu 10 000 000 Euro oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können, je nachdem, welcher der Beträge höher ist.
Nach § 22 Abs. 5 DSG liegt die Zuständigkeit für die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen für Verstöße gegen das DSG und die DSGVO bei der DSB .
Gemäß Art. 2 Abs. 1 DSGVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
In Bezug auf das Vorliegen einer Verarbeitung personenbezogener Daten im Sinne von Art. 4 Z 1 und 2 DSGVO bestehen keine Zweifel und wurde von der Beschuldigten nicht bestritten. Die Betroffene fühlten sich durch die Verarbeitung in ihrem Recht auf Geheimhaltung nach § 1 Abs. 1 DSG eingeschränkt und brachte bei der DSB eine Beschwerde gegen die Beschuldigte ein. Die Stattgabe der Beschwerde mittels Bescheid wegen unrechtmäßiger Verarbeitung erwuchs mangels Rechtsmittel bereits in Rechtskraft.
Auch die Rolle der Beschuldigten als Verantwortliche gemäß Art. 4 Z 7 DSGVO wurde zu keinem Zeitpunkt bestritten und es ergaben sich im Verfahren keine Anhaltspunkte für eine gegenteilige Annahme. Als Verantwortliche ist die Beschuldigte Adressat der einschlägigen Pflichten der DSGVO. Die Beschuldigte war in ihrer Rolle als Verantwortliche bzw. Beschwerdegegnerin Adressat mehrerer AzS in einem Beschwerdeverfahren gemäß Art. 77 DSGVO iVm § 24 DSG. In diesem Zusammenhang unterlag die Beschuldigte konkret der Pflicht zur Zusammenarbeit mit der DSB gemäß Art. 31 DSGVO . Diese Bestimmung stellt gemäß Art. 83 Abs. 4 lit. a DSGVO eine strafbewehrte Verpflichtung für Verantwortliche dar und wird Nachstehend näher beleuchtet.
2.2. Zum Verstoß gegen die Mitwirkungspflicht im Beschwerdeverfahren
Verantwortliche und Auftragsverarbeiter und gegebenenfalls ihre Vertreter müssen gemäß Art. 31 DSGVO auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeiten.
Aus Art. 31 DSGVO sind in Zusammenschau mit den Befugnissen der Aufsichtsbehörden nach Art. 57 und Art. 58 DSGVO sowohl Duldungs- als auch Mitwirkungspflichten ableitbar. Die DSB muss gemäß Art. 57 Abs. 1 lit. a DSGVO für das gesamte österreichische Bundesgebiet („ in ihrem Hoheitsgebiet “) die Anwendung der DSGVO überwachen und durchsetzen . Dabei handelt es sich um eine der zentralen Aufgaben der DSB .
Außerdem haben die Aufsichtsbehörden nach Art. 57 Abs. 1 lit. f DSGVO in ihrem jeweiligen Hoheitsgebiet die Pflicht, sich mit Beschwerden von betroffenen Personen zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten. Es besteht eine Behandlungspflicht einlangender Beschwerden im Umfang des Art. 57 Abs. 1 lit. f DSGVO. Die Aufsichtsbehörde muss eine solche Beschwerde mit aller gebotenen Sorgfalt bearbeiten (siehe dazu das Urteil des EuGH vom 16. Juli 2020, C-311/18, Rz 109 mwN).
Für die Erfüllung dieser Aufgaben werden den Aufsichtsbehörden sowohl Untersuchungsbefugnisse als auch Abhilfebefugnisse (Art. 58 Abs. 1 und 2 DSGVO) eingeräumt.
Die DSB ist eine Aufsichtsbehörde im Sinne des Art. 51 DSGVO (siehe auch § 18 Abs. 1 DSG). Die DSGVO räumt der DSB unter anderem die Befugnis ein, den Verantwortlichen anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind (Art. 58 Abs. 1 lit. a DSGVO). Aus dieser Bestimmung ergibt sich in Zusammenschau mit Art. 31 DSGVO somit eine Mitwirkungspflicht für die Normadressaten (siehe auch ErwGr 82 zweiter Satz DSGVO). Durch die Übermittlung einer Beschwerde im Rahmen einer Aufforderung zur Stellungnahme wird der Mitwirkungsgegenstand hinreichend bestimmt. Da die Aufsichtsbehörde die näheren Umstände im Zusammenhang mit der jeweiligen (vom Betroffenen angefochtenen bzw. behaupteten) Verarbeitung nicht kennt , ist gerade zu Beginn eines Ermittlungsverfahrens die Mitwirkung des (vermeintlichen) Verantwortlichen zur Untersuchung des Sachverhalts erforderlich (vgl. Bogendorfer in Knyrim , DatKomm Art 31 DSGVO Rz 7). Für den Fall der mangelnden Mitwirkung führte der Unionsgesetzgeber daher in Art. 83 Abs. 4 lit. a DSGVO die Möglichkeit der Sanktionierung ein.
Zudem hat eine Behörde im Lichte der nationalen Verfahrensgrundsätze nach § 37 AVG im Ermittlungsverfahren den maßgeblichen Sachverhalt zu erforschen (materielle Wahrheit ) und muss hierfür die erforderlichen Ermittlungsmaßnahmen nach § 39 AVG amtswegig setzen . Der Grundsatz der materiellen Wahrheit besagt, dass die Behörde den wirklichen Sachverhalt von Amts wegen ermitteln muss und nicht an das Vorbringen der Parteien in einem kontradiktorischen Verfahren gebunden ist. Auch nach der Rechtsprechung des Verwaltungsgerichtshofs zum Grundsatz der Amtswegigkeit des Verwaltungsverfahrens ist eine Verfahrenspartei verpflichtet, an der Feststellung des maßgeblichen Sachverhaltes mitzuwirken. Die Mitwirkungspflicht einer Partei ist gerade dort von Bedeutung, wo ein Sachverhalt nur im Zusammenwirken mit der Partei geklärt werden kann, weil die Behörde außerstande ist, sich die Kenntnis von ausschließlich in der Sphäre der Partei liegenden Umständen von Amts wegen zu beschaffen (vgl. VwGH 27. Mai 2019, Ra 2019/14/0153).
In diesem Zusammenhang kann schließlich auch auf ein Urteil des EuGH in der Sache C-252/21 verwiesen werden. Der EuGH stellte fest, dass der Verantwortliche einer Verarbeitung die Beweislast für die Einhaltung der Grundsätze nach Art. 5 Abs. 1 DSGVO trägt . Das bedeutet, dass der Verantwortliche beispielsweise nachweisen muss, dass die Daten für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (vgl. EuGH vom 04.07.2023, C-252/21, Rz 95; siehe auch BVwG vom 28.08.2023, W245 2255957-1).
In einer rezenten Entscheidung erinnerte der EuGH daran, dass Verantwortliche im Lichte ihrer Pflichten nach der DSGVO nicht nur geeignete und wirksame Maßnahmen treffen, sondern auch nachweisen können müssen, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die ergriffenen Maßnahmen auch wirksam sind, um diesen Einklang sicherzustellen (vgl. EuGH vom 05.12.2023, C-807/21, Rz 38).
Im vorliegenden Fall wurden im Lichte des als erwiesen angenommenen Sachverhalts sämtliche Aufforderungen der DSB von der Beschuldigten im Rahmen des Beschwerdeverfahrens nicht befolgt. Die unterbliebene Mitwirkung der Beschuldigten wurde von ihr auch nicht bestritten. Die mangelnde Mitwirkung war auf interne Mängel im operativen Tagesgeschäft im Zusammenhang mit dem Empfang und der Weiterleitung behördlicher Schriftstücke an die zuständige Abteilung zurückzuführen. Darüber hinaus kann die Beschuldigte selbst nicht nachvollziehen, weshalb ihr DSBA nach der Information durch die DSB den Fall nicht weitergeleitet oder -verfolgt hat.
Im Ergebnis arbeitete die Beschuldigte aufgrund dieser Umstände nicht mit der DSB als zuständige Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen und erfüllte dadurch die objektive Tatseite des Art. 31 DSGVO .
2.3. Zur Strafbarkeit der Beschuldigten als juristische Person nach Art. 83 DSGVO
Die Voraussetzungen für die Verhängung von Geldbußen sowohl gegen natürliche Personen als auch gegen juristische Personen werden in Art. 83 DSGVO normiert. Der nationale Gesetzgeber hat jedoch in § 30 Abs. 1 und 2 DSG weitere „ allgemeine Bedingungen für die Verhängung von Geldbußen “ normiert.
Nach § 30 Abs. 1 DSG kann die Datenschutzbehörde Geldbußen gegen eine juristische Person verhängen, wenn Verstöße gegen Bestimmungen der DSGVO durch (natürliche) Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund (1) der Befugnis zur Vertretung der juristischen Person (2) der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder (3) einer Kontrollbefugnis innerhalb der juristischen Person innehaben.
Juristische Personen können wegen Verstößen gegen Bestimmungen der DSGVO gemäß § 30 Abs. 2 DSG auch in jenen Fällen verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in § 30 Abs. 1 DSG genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat (mangelnde Kontrolle und Überwachung) , sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.
Der Verwaltungsgerichtshof hat in seinem Erkenntnis vom 12.05.2020 zu Ro 2019/04/0229 sich erstmalig mit der Anwendbarkeit der Strafbarkeitsvoraussetzungen des § 30 DSG in einem Verfahren nach Art. 83 DSGVO auseinandergesetzt und stellte in diesem Zusammenhang fest, dass eine juristische Person nicht selbst handeln kann und daher ihre Strafbarkeit nach § 30 DSG eine Folge des tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens einer natürlichen (Führungs-)Person im Sinne des § 30 Abs. 1 DSG ist. Demnach sei für die Wirksamkeit der gegen die juristische Person gerichteten Verfolgungshandlung die genaue Umschreibung der Tathandlung der natürlichen Person (oder auch die sogenannte „Zurechnungsperson“) vonnöten. Die Zurechnung der konkreten Tathandlung durch die Führungsperson an die juristische Person müsse im Spruch aufgenommen und die Zurechnungsperson zudem als identifizierte natürliche Person namentlich genannt werden (vgl. VwGH 12.05.2020, Ro 2019/04/0229, mwN). Mit anderen Worten: Die Datenschutzbehörde müsse in einem Verfahren nach Art. 83 DSGVO im Spruch des Straferkenntnisses jene natürliche (Führungs-)Person, deren Verstoß gegen die DSGVO bzw. das DSG der im Sinne des Art. 4 Z 7 DSGVO verantwortlichen juristischen Person zugerechnet werden soll, namentlich nennen, um in Folge eine Geldbuße nach Art. 83 DSGVO gegen die Verantwortliche als juristische Person verhängen zu können. Diese Zurechnungsperson ist dabei als Beschuldigte im Verwaltungsstrafverfahren gegen die juristische Person zu führen und hat per se Parteistellung (vgl. Zaczek , Das Verbandsverantwortlichkeitsmodell des Art 83 DSGVO, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht 2020, S. 257 ff).
Mit Beschluss vom 06.12.2021 ersuchte das Kammergericht Berlin den EuGH im Rahmen eines Vorabentscheidungsersuchens nach Art. 267 AEUV um Auslegung des Art. 83 DSGVO in Bezug auf die Frage, ob ein Unternehmen unmittelbar Betroffener im Bußgeldverfahren wegen eines Verstoßes gegen Art. 83 DSGVO sein kann und legte in diesem Zusammenhang folgende Fragen vor
1. Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?
2. Wenn die Frage zu 1. bejaht werden sollte: Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?
Durch das Vorabentscheidungsersuchen des Kammergerichts Berlin war es fraglich, ob die Bestimmungen des § 30 Abs. 1 und 2 DSG überhaupt zur Anwendung gelangen dürfen, weil sie gegen die unmittelbar anwendbaren Bestimmungen der DSGVO verstoßen könnten, und ob die Ausführungen des VwGH in seinem oben zitierten Erkenntnis zur Strafbarkeit juristischer Personen in Verfahren nach Art. 83 DSGVO aufrechterhalten werden könnten. Da die Entscheidung des EuGH zu diesen Vorlagefragen präjudizielle Wirkung für das gegenständliche Verfahren hatte, wurde das Verwaltungsstrafverfahren ausgesetzt .
Der EuGH hielt schließlich im Urteil vom 05.12.2023 fest, dass die unmittelbar anwendbaren Bestimmungen nach Art. 58 Abs. 2 lit. i und Art. 83 Abs. 1 bis 6 DSGVO dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen , wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.
Der EuGH führte in diesem Zusammenhang aus, dass juristische Personen nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurde, die im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte . Außerdem müsse es möglich sein, die in Art. 83 DSGVO vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen (vgl. EuGH vom 05.12.2023, C-807/21, Rz 44).
Die (materiellen) Voraussetzungen für die Verhängung von Geldbußen durch Aufsichtsbehörden sind in Art. 83 Abs. 1 bis 6 DSGVO genau und ohne Ermessensspielraum für die Mitgliedstaaten geregelt . Die DSGVO enthält keine Bestimmung, wonach die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche davon abhängt, dass zuvor festgestellt wird, dass dieser Verstoß von einer identifizierten natürlichen Person begangen wurde. Die DSGVO räumt den Mitgliedstaaten lediglich die Möglichkeit/Befugnis ein, Anforderungen an das von den Aufsichtsbehörden anzuwendende Verfahren bei der Verhängung einer Geldbuße vorzusehen, jedoch keineswegs über diese verfahrensrechtlichen Anforderungen hinaus die Normierung von materiellen Voraussetzungen, die zu jenen in Art. 83 Abs. 1 und 6 DSGVO hinzutreten (vgl. EuGH C-807/21, Rn 45 ff).
Die Voraussetzungen für die Verhängung einer Geldbuße nach Art. 83 DSGVO durch eine Aufsichtsbehörde ergeben sich daher ausschließlich durch das Unionsrecht . Es liegen keine Öffnungsklausen in diesem Zusammenhang für die Mitgliedstaaten vor.
Der EuGH führte hierzu ins Treffen, dass eine nationale Regelung, die zusätzliche Anforderungen für die Verhängung von Geldbußen nach Art. 83 DSGVO normiert, gegen Art. 83 Abs. 1 DSGVO verstößt, weil dadurch die Wirksamkeit und die abschreckende Wirkung von Geldbußen geschwächt wird , die gegen juristische Personen verhängt werden. Dabei muss berücksichtigt werden, dass Geldbußen ein Schlüsselelement der DSGVO darstellen und zur Durchsetzung der Ziele dieser Verordnung dienen bzw. die Wahrung der Rechte betroffener Personen gewährleisten und ein hohes Schutzniveau unionsweit sicherstellen (vgl. EuGH C-807/21, Rz 51 und 73). Im Ergebnis stellte der EuGH daher fest, dass die Voraussetzungen für die Verhängung einer Geldbuße nach Art. 83 DSGVO abschließend in Art. 83 Abs. 1 bis 6 DSGVO geregelt sind (Rn 53).
Über diese Frage hinaus stellte der EuGH zudem fest, dass der Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV (siehe ErwGr 150 DSGVO) nur für die Berechnung einer Geldbuße relevant ist, die gemäß Art. 83 Abs. 4 bis 6 DSGVO verhängt werden (nicht jedoch für das oben zusammengefasste Ergebnis in Bezug auf die erste Vorlagefrage). Demnach müsse der wettbewerbsrechtliche Unternehmensbegriff , wonach jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung umfasst ist, der Entscheidung über die Höhe der Geldbuße zu Grunde gelegt werden (vgl. EuGH C-807/21, Rz 53 ff). Mit anderen Worten: Für die Berechnung der Geldbuße muss der weltweite Jahresumsatz der wirtschaftlichen Einheit herangezogen werden, wenn der Adressat der Geldbuße ein Unternehmen im Sinne des Art. 101 und 102 AEUV ist oder einem solchen angehört.
Hierzu führte der EuGH, wie schon zuvor der Generalanwalt in seinen Schlussanträgen, ins Treffen, dass nur eine Geldbuße, deren Höhe anhand der tatsächlichen oder materiellen Leistungsfähigkeit des Adressaten unter Zugrundlegung des Begriffs der wirtschaftlichen Einheit festgesetzt wird, letztendlich die in Art. 83 Abs. 1 DSGVO genannten Voraussetzungen (wirksam, abschreckend, verhältnismäßig) erfüllen kann (vgl. EuGH C-807/21, Rz 58 f).
2.4. Zur subjektiven Tatseite
Der EuGH hat in Bezug auf die zweite Vorlagefrage, wie schon bereits von der Datenschutzbehörde in ihrer bisherigen Spruchpraxis angenommen, nun explizit festgehalten, dass nur Verstöße gegen Bestimmungen der DSGVO, die der Verantwortliche schuldhaft, d.h. vorsätzlich oder fahrlässig begeht, zur Verhängung einer Geldbuße führen können (vgl. EuGH vom 05.12.2023, C-807/21, Rz 68).
In Bezug auf die subjektive Tatseite ist zu berücksichtigen, dass die Voraussetzung des Verschuldens für die Verhängung einer Geldbuße nach Art. 83 DSGVO unionsautonom auszulegen und insbesondere im Lichte der Rechtsprechung des EuGH zu beurteilen ist. Auch zur Vorlagefrage in Bezug auf das Verschulden stellte der EuGH nämlich fest, dass den Mitgliedstatten in diesem Zusammenhang kein Ermessensspielraum durch den Unionsgesetzgeber für nationale Regelungen eingeräumt wurde, da die materiellen Voraussetzungen abschließend in Art. 83 Abs. 1 bis 6 DSGVO genau geregelt sind (vgl. hierzu auch EuGH vom 05.12.2023, C-683/21, Rz 64 ff).
Zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und daher mit einer Geldbuße geahndet werden kann, stellte der EuGH in seinem oben zitierten Urteil gleichzeitig klar, dass ein solches Verschulden bereits vorliegt, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rz 76).
Unter Verweis auf weitere Rechtsprechung stellte der EuGH zudem ausdrücklich klar, dass die Anwendung von Art. 83 DSGVO gegenüber juristischen Personen keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (vgl. EuGH vom 05.12.2023, C-807/21, Rz 77).
Umgelegt auf den vorliegenden Fall bedeutet dies Folgendes:
Zunächst ist festzuhalten, dass es im Rahmen des Ermittlungsverfahrens keine Anhaltspunkte dafür gab, dass die gegenständlichen Verstöße von einer Person begangen wurden, die nicht im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte.
Der Sachbearbeiter der Datenschutzbehörde nahm jedenfalls zum Datenschutzbeauftragten der Beschuldigten Kontakt auf und informierte ihn über die mangelnde Mitwirkung der Beschuldigten im Beschwerdeverfahren. Zuvor haben andere Arbeitnehmer der Beschuldigten die Schreiben bzw. Aufforderungen der Datenschutzbehörde entgegengenommen, jedoch nicht zur Bearbeitung geführt. Bis auf den Datenschutzbeauftragten wurden die Arbeitnehmer nicht namentlich gegenüber der Datenschutzbehörde genannt. Die Beschuldigte räumte in diesem Zusammenhang jedoch selbst ein Verschulden ihrer Arbeitnehmer und ihres Datenschutzbeauftragten ein. Die Aufforderungen wurden von der Beschuldigten nicht beantwortet, weil aufgrund interner Mängel im operativen Tagesgeschäft im Zusammenhang mit dem Empfang es zu keiner Weiterleitung behördlicher Schriftstücke an die zuständigen Abteilungen kam. Außerdem kann die Beschuldigte das Verhalten ihres Datenschutzbeauftragten selbst nicht nachvollziehen, weil dieser trotz Kontaktaufnahme den Fall nicht weitergeleitet oder –verfolgt hat.
Dem Urteil des EuGH zufolge ist es für die Verhängung einer Geldbuße gegen eine juristische Person jedoch nicht erforderlich, dass die Datenschutzbehörde eine identifizierte natürliche Person, die im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte, in ihrer Entscheidung anführt und das Handeln dieser Person der juristischen Person zurechnet . Es ist daher im vorliegenden Fall auch nicht entscheidungserheblich, ob und welches der als Beschuldigten geführten Vorstandsmitglieder oder welcher konkrete Arbeitnehmer der Beschuldigten die gegenständlichen Verstöße (intern) zu verantworten hat. Es kommt dabei, wie vom EuGH ins Treffen geführt, auch nicht darauf an, dass der Vorstand der Beschuldigten über die Verstöße Kenntnis hatte. Die Verhängung einer Geldbuße nach Art. 83 DSGVO setzt ausdrücklich keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans der juristischen Person voraus (Rz 77).
Das Verschulden der Beschuldigten muss daher im vorliegenden Fall nicht anhand der Handlungen ihrer nach außen vertretungsbefugten Personen (hier Vorstandsmitglieder), sondern kann auch anhand der Handlungen ihrer Arbeitnehmer, die keine Leitungsfunktion im Sinne des § 30 Abs. 1 innehaben, beurteilt werden (Rz 44).
Im Lichte des als erwiesen angenommen Sachverhalts wird von der Datenschutzbehörde daher eine vorsätzliche Tathandlung durch die Beschuldigte angenommen:
Die Arbeitnehmer der Beschuldigten haben die Aufforderungen der Datenschutzbehörde entgegengenommen und trotz der darin enthaltenen Information, dass die Beschuldige zur Mitwirkung verpflichtet ist und die mangelnde Mitwirkung eine Verwaltungsübertretung darstellt, wurden diese Aufforderungen der Datenschutzbehörde keiner Bearbeitung zugeführt. Schlussendlich hat die Datenschutzbehörde auch den Datenschutzbeauftragten der Beschuldigten über das anhängige Beschwerdeverfahren und die mangelnde Mitwirkung der Beschuldigten hingewiesen. Dennoch hat die Beschuldigte es unterlassen, in Reaktion darauf der Aufforderung der Datenschutzbehörde zu entsprechen bzw. überhaupt in irgendeiner Form darauf zu reagieren. Es erfolgte auch keine Nachfragen in Bezug auf die besprochene Zustellung der Aufforderung an die von ihm bekanntgegebene E-Mail-Adresse.
Unter Berücksichtigung dieser Umstände hat die Beschuldigte die Verwirklichung der gegenständlichen Verwaltungsübertretung ernstlich für möglich gehalten und hat sich jedoch damit abgefunden (dolus eventualis). Im Ergebnis liegt daher im vorliegenden Fall Verschulden in Form von Vorsatz (Art. 83 Abs. 2 lit. b DSGVO) vor.
Im Lauf des Ermittlungsverfahrens ergaben sich jedenfalls keine Hinweise darauf, dass der Beschuldigten an der Verletzung der gegenständlich anzuwendenden Verwaltungsvorschriften kein Verschulden trifft. Die Beschuldigte konnte sich im Lichte der Rechtsprechung des EuGH über die Rechtswidrigkeit ihres Verhaltens nicht im Unklaren sein, unabhängig davon, ob ihr dabei bewusst war, dass sie gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rz 76 und 77; EuGH C-683/21, Rz 81 und 82 mwN).
Dadurch ist die subjektive Tatseite ebenfalls erfüllt.
2.5. Zum Antrag der Beschuldigte auf Einstellung gemäß § 45 Abs. 1 Z 4 VStG
Die Beschuldigte räumte im Rahmen ihrer schriftlichen Rechtfertigung den Tatvorwurf vollumfänglich ein, beantragte jedoch die Einstellung des Verfahrens nach § 45 Abs. 1 Z 4 VStG oder in eventu gemäß § 11 DSG „ bloß eine Verwarnung “ auszusprechen und führte hierzu die festgestellten Maßnahmen, die in Reaktion auf das Verwaltungsstrafverfahren von ihr ergriffen wurden, ins Treffen. Im konkreten Fall sei die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat sowie das Verschulden der Beschuldigten gering. Eine Geldbuße sei jedenfalls nicht aus spezialpräventiven Gründen erforderlich.
Dieser Ansicht kann nicht gefolgt werden und wird Nachstehend näher beleuchtet:
In Bezug auf die Anwendung des § 11 DSG ist zunächst darauf hinzuweisen, dass das BVwG bereits festgestellt hat, dass aus § 11 DSG kein Vorrang einer Verwarnung entnommen werden kann und führte hierzu konkret aus: „ Ein Vorrang des Vorgehens nach § 11 DSG lässt sich der Systematik und dem Anwendungsvorrang der DSGVO jedenfalls nicht entnehmen; betreffend einen möglichen Versuch, die belangte Behörde (oder das Gericht) über die DSGVO hinaus zu binden, fehlt es an einer entsprechenden Öffnungsklausel bzw. Ermächtigung in der DSGVO “ (vgl. BVwG vom 2. März 2020, GZ: W211 2217212-1).
In Bezug auf die Einstellung des Verwaltungsstrafverfahrens nach § 45 Abs. 1 Z 4 VStG oder die Erteilung einer Ermahnung mittels Bescheid statt einer Einstellung (§ 45 Abs. 1 letzter Satz VStG) kann zunächst auf die Voraussetzungen und die hierzu ergangene Judikatur des Verwaltungsgerichtshofs (VwGH) hingewiesen werden: Nach der ständigen Rsp des VwGH setzt die Anwendung des § 45 Abs. 1 Z 4 VStG voraus, dass die dort genannten Umstände kumulativ vorliegen. Um daher eine Einstellung des Verfahrens nach dieser Vorschrift oder eine Ermahnung im Sinne des § 45 Abs. 1 letzter Satz VStG vornehmen zu können, müssen erstens die Bedeutung des strafrechtlich geschützten Rechtsgutes, zweitens die Intensität seiner Beeinträchtigung durch die Tat und drittens das Verschulden des Beschuldigten gering sein (VwGH 25.04.2019, Ra 2018/09/0209). Bei der Bedeutung des strafrechtlich geschützten Gutes kommt es auf die abstrakte Bedeutung desselben an. Wenn das geschützte Rechtsgut (besonders) bedeutsam ist, scheidet daher eine Einstellung oder eine Ermahnung aus. Selbst wenn also der schädigende Erfolg im Wesentlichen ausgeblieben ist, kann – selbst bei geringem Verschulden – die Z 4 nicht angewendet werden, wenn das geschützte Rechtsgut abstrakt (besonders) bedeutsam ist (VwGH 18.12.2018, Ra 2016/04/0148; Kneihs in Raschauer/Wessely, VStG², § 45 Rz 8).
Die Bestimmungen der DSGVO dienen nach Art. 1 Abs. 1 DSGVO zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten und zum freien Verkehr solcher Daten. Nach Abs. 2 sollen insbesondere die Grundrechte und Grundfreiheiten natürlicher Personen (insbesondere deren Recht auf Schutz personenbezogener Daten) geschützt werden. Im konkreten Fall sind im Kern die Rechtsbehelfe von Betroffenen bzw. das Recht auf eine Beschwerde bei einer Aufsichtsbehörde betroffen. Die mangelnde Mitwirkung der Verantwortlichen am Verfahren verzögert insbesondere das Beschwerdeverfahren und schränkt die Betroffene in ihrem Recht ein. Die Behandlung einer Beschwerde im Sinne einer Stattgabe durch die DSB „ a limine “ ohne Involvierung des Verantwortlichen bzw. Einräumung von Parteiengehör ist – entgegen dem Vorbringen der Beschuldigten - denkunmöglich und verfahrensrechtlich unzulässig . Außerdem ist die Behörde, wie bereits ausgeführt, verpflichtet, den tatsächlichen Sachverhalt von Amts wegen zu ermitteln und ist nicht an das Vorbringen der Parteien in einem kontradiktorischen Verfahren gebunden. Selbst wenn daher im Zuge der Beschwerde Beilagen/Beweismittel von der Betroffenen übermittelt werden, kann die DSB nicht per se die Richtigkeit und Echtheit der Beilagen annehmen, insbesondere da sie die näheren Umstände im Zusammenhang mit der behaupteten/vorgeworfenen Verarbeitung nicht kennt .
Im Zusammenhang mit den Voraussetzungen für eine Einstellung/Ermahnung nach § 45 Abs. 1 Z 4 VStG ist auch die Rechtsprechung des VwGH zu berücksichtigen, die betreffend Bedeutung des strafrechtlich geschützten Rechtsgutes auf die vom Gesetzgeber festgelegten Strafrahmen abstellt. Die Wertigkeit eines Rechtsgutes, das durch Zuwiderhandlung gegen eine Norm beeinträchtigt/verletzt wurde, findet demnach ihren Ausdruck auch in der Höhe des gesetzlichen Strafrahmens, der für entsprechende Zuwiderhandlungen vom Gesetzgeber festgelegt wurde. Der VwGH ging dabei in Bezug auf § 99 Abs. 3 lit. a StVO (bei einem Strafrahmen für eine Geldstrafe bis zu EUR 726,-) davon aus, dass die Bedeutung des strafrechtlich geschützten Rechtsgutes nicht gering ist (vgl. VwGH vom 19.06.2018, Ra 2017/02/0102).
Im vorliegenden Fall hat der Unionsgesetzgeber - aufgrund der Bedeutung der Mitwirkung von Verantwortlichen in Zusammenschau mit der Systematik der DSGVO (Art. 5 Abs. 2 DSGVO) - die Verpflichtung nach Art. 31 DSGVO in den Katalog der strafbewehrten Bestimmungen der Verordnung gemäß Art. 83 Abs. 4 lit. a DSGVO aufgenommen und für Zuwiderhandlungen eine Geldbuße von bis zu EUR 10.000.000 oder 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vorgesehen. Es kann daher keinesfalls im vorliegenden Fall die Wertigkeit des von der Missachtung des Art. 31 DSGVO geschützten Rechtsgutes als gering eingestuft werden.
Es scheitert somit bereits an der ersten Voraussetzung. Es kann im Ergebnis nicht davon ausgegangen werden, dass die Bedeutung des hier strafrechtlich geschützten Rechtsgutes gering ist. Es besteht jedenfalls ein abstrakt hohes Interesse. Ob die Intensität seiner Beeinträchtigung durch die Tat und das Verschulden des Beschuldigten gering sind, ist somit nicht relevant und kann daher auch nicht zur Einstellung des Verfahrens nach § 45 Abs. 1 Z 4 VStG führen.
Selbst wenn die Bedeutung des geschützten Rechtsgutes als gering eingestuft werden würde, wäre für die Beschuldigte - unter Berücksichtigung der subjektiven Tatseite - nichts gewonnen (kein geringes Verschulden). Die DSB informierte den DSBA der Beschuldigten über das laufende Beschwerdeverfahren und die bis dato mangelnde Mitwirkung. Der DSBA hat es in Folge dennoch unterlassen, die Angelegenheit weiter zu verfolgen, indem er nicht die Rechtsabteilung der Beschuldigten zumindest darüber informierte oder insbesondere nicht einem Vorstandsmitglied darüber berichtete. Dabei ist im Zusammenhang mit der Stellung des DSBA zu berücksichtigen, dass gemäß Art. 38 Abs. 3 dritter Satz DSGVO dieser unmittelbar der höchsten Managementebene des Verantwortlichen berichten muss. Der DSBA hat jedoch trotz der Kenntnis über die mangelnde Mitwirkung der Beschuldigten und der Möglichkeit der Einleitung eines Verwaltungsstrafverfahrens offenbar keine weiteren Maßnahmen getroffen.
Aber auch aufgrund der Tatsache, dass die Vorstandsmitglieder in Bezug auf die Erfassung und Weiterleitung von behördlichen Schriftstücken kein wirksames Kontrollsystem eingerichtet und erst nach Einleitung des gegenständlichen Verfahrens die Implementierung eines „ Sicherheitssystems “ beschlossen haben, kann keinesfalls ein geringes Verschulden angenommen werden.
Es liegt, wie im Rahmen der subjektiven Tatseite festgehalten, zumindest bedingter Vorsatz vor, da die Beschuldigte bzw. ihre Angestellten trotz der Information über die mangelnde Mitwirkung der Beschuldigten im Rahmen eines anhängigen Beschwerdeverfahrens unter Verweis auf die Mitwirkungspflicht auf Art. 31 DSGVO es ernstlich für möglich gehalten haben, dass sie im Falle der (weiteren) mangelnden Mitwirkung eine Verwaltungsübertretung begehen und in Folge ein Verwaltungsstrafverfahren eingeleitet wird, und sich mit dem Risiko bzw. den Folgen jedoch offenbar abgefunden haben. Daher scheitert es im Ergebnis auch daran, dass im vorliegenden Fall kein geringes Verschulden angenommen werden kann.
3. Zur Strafzumessung ist Folgendes festzuhalten:
Gemäß Art. 83 Abs. 1 DSGVO hat die DSB sicherzustellen, dass die Verhängung von Geldbußen für Verstöße gegen die unter Sanktion gestellten Bestimmungen der DSGVO (Art. 83 Abs. 4, 5 und 6 DSGVO) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Näherhin bestimmt Art. 83 Abs. 2 DSGVO , dass bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall bestimmte Kriterien gebührend zu berücksichtigen sind.
Die Datenschutzbehörde hat im Rahmen der gegenständlichen Strafbemessung die Leitlinien des EDSA betreffend Berechnung von Geldbußen nach der DSGVO (vgl. EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 2.1 vom 24.05.2023 – im Folgenden „Fines-Leitlinien“) zur Anwendung gebracht.
Die Strafbemessung innerhalb eines gesetzlichen Strafrahmens ist eine Ermessensentscheidung , die nach den vom Gesetzgeber festgelegten Kriterien vorzunehmen ist (vgl. VwGH 05.09.2013, 2013/09/0106).
Gemäß § 19 Abs. 1 VStG sind die Grundlagen für die Bemessung der Strafe die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat. Überdies sind nach dem Zweck der Strafdrohung die in Betracht kommenden Erschwerungs- und Milderungsgründe, soweit sie nicht schon die Strafdrohung bestimmen, gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechtes sind die §§ 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens- und Vermögensverhältnisse und allfällige Sorgepflichten des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen (dies gilt naturgemäß nur für natürliche Personen, ist aber sinngemäß auf juristische Personen zu übertragen); dies allerdings nur in dem Ausmaß, als nicht die unmittelbar zur Anwendung gelangenden Bestimmungen der DSGVO die Bestimmungen des VStG verdrängen und in dem Umfang, welcher von Art. 83 Abs. 8 DSGVO und Erwägungsgrund 148 im Hinblick auf die zu gewährleistenden Verfahrensgarantien angeordnet wird.
Durch Art. 83 Abs. 3 DSGVO wird in Abweichung zu dem mit § 22 Abs. 2 VStG normierten Kumulationsprinzip angeordnet, dass in Fällen gleicher oder miteinander verbundener Verarbeitungsvorgänge (in der englischen Sprachfassung: „ the same or linked processing operations “), durch die vorsätzlich oder fahrlässig gegen mehrere Bestimmungen der DSGVO verstoßen wird, der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß übersteigt. Somit gilt im Anwendungsbereich dieser Bestimmung das Absorptionsprinzip (vergleichbar mit dem im österreichischen Strafrecht nach § 28 Abs. 1 StGB normierten Kombinationsprinzip). Ansonsten (außerhalb des Anwendungsbereiches des Art. 83 Abs. 3 DSGVO) gelangt das Kumulationsprinzip nach § 22 Abs. 2 VStG zur Anwendung (vgl. mwN BVwG 12.03.2020, GZ: W256 2223922-1).
Darüber hinaus ist im Sinne des Art. 83 Abs. 1 DSGVO zu beachten, dass im Rahmen der Strafbemessung des „ Gesamtbetrages der Geldbuße “ unter Anwendung des Absorptionsprinzips nach Art. 83 Abs. 3 DSGVO alle begangenen Verstöße gegen die DSGVO berücksichtigt werden müssen. Der Wortlaut „ Betrag für den schwerwiegendsten Verstoß “ bezieht sich dabei auf den Strafrahmen bzw. die gesetzlich vorgegebenen Höchstbeträge (siehe Art. 83 Abs. 4 bis 6 DSGVO). Der EDSA hielt hierzu fest, dass im Anwendungsbereich des Art. 83 Abs. 3 DSGVO die anderen begangenen Verstöße nicht de facto verworfen werden können, sondern bei der Strafbemessung dementsprechend berücksichtigt werden müssen (vgl. Fines-Leitlinien, Kapitel 3 – Rz 43). Ansonsten würde dies zu einer Privilegierung von Verantwortlichen und Auftragsverarbeiter führen, die im Rahmen eines festgestellten Sachverhaltes mehrfach gegen Bestimmungen der DSGVO verstoßen haben.
Die DSGVO enthält in Bezug auf Art. 83 Abs. 3 DSGVO ansonsten keine Ausführungen dazu, was unter „ gleichen oder miteinander verbundenen Verarbeitungsvorgängen “ zu verstehen ist. Auch den Erwägungsgründen kann dazu nichts Näheres entnommen werden.
Bei der Beurteilung von „ gleichen oder miteinander verbundenen Verarbeitungsvorgängen “ ist entsprechend der Fines-Leitlinien zu berücksichtigen, dass alle Verpflichtungen, die für die rechtmäßige Durchführung der Verarbeitungsvorgänge erforderlich sind, berücksichtigt werden können. Der Wortlaut (vor allem in der englischen Sprachfassung) deutet darauf hin, dass der Anwendungsbereich des Art. 83 Abs. 3 DSGVO jeden Verstoß einschließt, der sich auf dieselben („same“) oder miteinander verbundene Verarbeitungsvorgänge bezieht und sich auf diese auswirken kann (vgl. Fines-Leitlinien, 3. Kapitel – Rz 27 f). Das Bundesverwaltungsgericht wies in diesem Zusammenhang darauf hin, dass nach dem allgemeinen Sprachgebrauch daher auch jene Fälle unter diese Bestimmung zu subsumieren sind, in denen durch „ ein und dieselbe Tat (Verarbeitung) “ mehrere Straftatbestände erfüllt wurden und verwies dabei ebenfalls auf die englische Sprachfassung (vgl. mwN BVwG 12.03.2020, GZ: W256 2223922-1).
Im Lichte dieser Ausführungen gelangt im konkreten Fall das Absorptionsprinzip nach Art. 83 Abs. 3 DSGVO zur Anwendung. Der Strafrahmen ergibt sich aus dem schwerwiegendsten Verstoß (Strafrahmen nach Art. 83 Abs. 4 DSGVO ).
Gemäß Art. 83 Abs. 4 DSGVO werden im Falle der dort genannten Verstöße, im Einklang mit Abs. 2, Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist .
Die Beschuldigte hat, wie festgestellt, einen Jahresumsatz in der Höhe von EUR 176.*88.4*1,34 erzielt. Unter Anwendung der Fines-Leitlinien wird die Beschuldigte in Bezug auf ihren Umsatz und im Hinblick auf die Verhängung einer wirksamen, abschreckenden und verhältnismäßigen Geldbuße in die Kategorie („ Undertakings with a turnover of €100m up until €250m “) eingestuft . Durch diese Einstufung wird die Unternehmensgröße gebührend berücksichtigt, um insbesondere die Verhältnismäßigkeit der Geldbuße zu gewährleisten.
Der Strafrahmen im konkreten Fall reicht daher gemäß Art. 83 Abs. 4 DSGVO bis zu einem Betrag in der Höhe von EUR 10.000.000,- (statischer Strafrahmen) . Der dynamische Strafrahmen (2% des Jahresumsatzes) gelangt nicht zur Anwendung.
Im Lichte des als erwiesen angenommenen Sachverhalts und unter Berücksichtigung der Art, Schwere und Dauer des Verstoßes (Art. 83 Abs. 2 lit. a DSGVO [Anmerkung Bearbeiter/in: im Original aufgrund eines offensichtlichen Redaktionsversehens „Art. 83 Abs. 1 lit. a DSGVO“] ) , der Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Art. 83 Abs. 2 lit. b DSGVO) sowie die Kategorien personenbezogener Daten, die vom Verstoß betroffen sind (Art. 83 Abs. 2 lit. g DSGVO) wird von der Datenschutzbehörde die Schwere der gegenständlichen Zuwiderhandlung („Seriousness of the infringement“) als gering („low level of seriousness“) festgestellt.
Bezogen auf den vorliegenden Sachverhalt wurde darüber hinaus (über die bereits für die Feststellung des Schweregrades berücksichtigten Kriterien nach Art. 83 Abs. 2 lit. a, b und g DSGVO [Anmerkung Bearbeiter/in: im Original aufgrund eines offensichtlichen Redaktionsversehens „Art. 83 Abs. 1 lit. a, b und g DSGVO“] hinaus) bei der Strafzumessung Folgendes erschwerend berücksichtigt:
n/a
Bezogen auf den vorliegenden Sachverhalt wurde darüber hinaus bei der Strafzumessung Folgendes mildernd berücksichtigt:
gegen die Beschuldigte liegen bei der Datenschutzbehörde keinerlei einschlägige frühere Verstöße gegen die DSGVO vor
die Beschuldigte hat zumindest im Rahmen des gegenständlichen Ermittlungsverfahrens mitgewirkt und dadurch einen Beitrag zur Wahrheitsfindung geleistet, indem sie insbesondere den vorgeworfenen Sachverhalt bzw. die unterbliebene Mitwirkung in den Beschwerdeverfahren nicht in Abrede stellte und ihre mangelnde Mitwirkung aufgrund interner Mängel vollumfänglich einräumte. Die Beschuldigte zeigte sich einsichtig, war reuig und legte ein Geständnis ab. Dies wurde als deutlich strafmildernd berücksichtigt.
die von der Beschuldigten in Reaktion auf das Verwaltungsstrafverfahren ergriffenen und von der DSB festgestellten Maßnahmen wurden ebenfalls berücksichtigt, jedoch war insbesondere zu berücksichtigen, dass die Einführung des „ Sicherheitssystems “ für behördliche Schriftstücke sowie die internen Schulungen für die Prozesse einen unmittelbaren Zusammenhang zum gegenständlichen Verstoß aufweisen. Die Prüfung (durch externen Berater) der restlichen Pflichten der Beschuldigten in ihrer Rolle als Verantwortlichen waren nicht verfahrensgegenständlich bzw. bestand kein unmittelbarer Zusammenhang zum Verstoß.
Bei der Bemessung der Strafe dürfen nach ständiger Rechtsprechung des VwGH auch Überlegungen der Spezialprävention und Generalprävention einbezogen werden (vgl. VwGH 15.5.1990, 89/02/0093, VwGH 22.4.1997, 96/04/0253, VwGH 29.1.1991, 89/04/0061). Die Verhängung der konkreten Geldstrafe war nach Ansicht der DSB nicht im Sinne der Spezialprävention notwendig , um die Beschuldigte von der Begehung weiterer strafbarer Handlungen gleicher Art abzuhalten . Die DSB geht aufgrund der ins Treffen geführten Maßnahmen davon aus, dass die Beschuldigte künftig auf Anfragen der DSB reagieren und am jeweiligen Verfahren mitwirken wird. Die Verhängung der Geldstrafe war jedoch jedenfalls im Sinne der Generalprävention erforderlich , um Verantwortliche und Auftragsverarbeiter insbesondere im Zusammenhang mit ihrer Mitwirkungspflicht nach Art. 31 DSGVO zu sensibilisieren .
Die im Ergebnis konkret verhängte Strafe in der Höhe von EUR 10.000,- erscheint daher im Hinblick auf den verwirklichten Tatunwert, gemessen am zur Verfügung stehenden Strafrahmen des Art. 83 Abs. 4 DSGVO (hier bis zu EUR 10.000.000) in Zusammenschau mit dem erzielten Jahresumsatz der Beschuldigten in der Höhe von circa EUR 176 Millionen tat- und schuldangemessen und befindet sich am untersten Ende des zur Verfügung stehenden Strafrahmens (0,1% des Strafrahmens!) . In diesem Zusammenhang kann abschließend noch darauf hingewiesen werden, dass die DSB, wie bereits oben angegeben, die Schwere der Zuwiderhandlung mit „gering“ festgelegt und im Rahmen dieser Kategorie den Ausgangsbetrag für die weitere Berechnung ebenfalls am untersten Ende angesetzt hat .