2023-0.789.858 – Datenschutzbehörde Entscheidung
Text
GZ: 2023-0.789.858 vom 11. Dezember 2023 (Verfahrenszahl: DSB-D550.834)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.
Straferkenntnis
Beschuldigte juristische Person: C*** Bank AG (FN *3*9*5p)
Die beschuldigte juristische Person mit Sitz in **** I***stadt, T***platz *2 (im Folgenden „C***B“), hat als Verantwortliche gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016, S. 1 idgF, nachstehenden Sachverhalt verwirklicht und dadurch folgende Verwaltungsübertretung begangen:
Die C***B hat in ihrer Rolle als Verantwortliche in einem nicht näher feststellbaren Zeitraum, jedoch jedenfalls zwischen 23.01.2023 bis 20.02.2023, in **** I***stadt, T***platz *2, eine betroffene Person (Frau Dr. Luise O***) in ihrem Recht auf Auskunft gemäß Art. 15 DSGVO verletzt, indem sie auf Antrag der Betroffenen vom 23.01.2023 keine Auskunft im Sinne von Art. 12 iVm 15 Abs. 1 DSGVO zu jenen personenbezogenen Daten erteilt hat, die sie von der Betroffenen zum Zeitpunkt des Eingangs des Auskunftsantrags verarbeitet hat, sondern diesen Antrag intern als Antrag auf Löschung behandelt hat und in Folge die Löschung der Daten vornahm. Darüber hinaus wurden der Betroffenen nur allgemeine Informationen zur Verfügung gestellt. Durch die Löschung der Daten statt Erteilung einer Auskunft wurde die Betroffene in ihrem Recht auf Auskunft verletzt.
Verwaltungsübertretung nach:
Art. 15 Abs. 1 iVm Art. 83 Abs. 1 und 5 lit. b DSGVO ABl. L 2016/119, S. 1, idgF
Wegen dieser Verwaltungsübertretung wird gemäß Art. 83 DSGVO folgende Strafe verhängt:
Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen:
950,-
Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro;
Euro als Ersatz der Barauslagen für
Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher
10.450,-
Euro
Zahlungsfrist:
Wird keine Beschwerde erhoben, ist dieses Straferkenntnis sofort vollstreckbar. Der Gesamtbetrag ist in diesem Fall binnen zwei Wochen nach Eintreten der Rechtskraft auf das Konto [hier gekürzt] lautend auf die Datenschutzbehörde, einzuzahlen. Als Verwendungszweck möge die Geschäftszahl sowie das Erledigungsdatum angegeben werden .
Erfolgt binnen dieser Frist keine Zahlung, kann der Gesamtbetrag eingemahnt werden. In diesem Fall ist ein pauschalierter Kostenbeitrag in der Höhe von fünf Euro zu entrichten. Erfolgt dennoch keine Zahlung, wird der ausstehende Betrag vollstreckt .
Begründung:
1. Folgender entscheidungsrelevanter Sachverhalt steht auf Grund des durchgeführten Beweisverfahrens fest:
1.1. Eine betroffene Person (Frau Dr. Luise O***) stellte gegenüber C***B mit Schreiben vom 23.01.2023 einen Antrag auf Auskunft nach Art. 15 DSGVO. Die Betroffene hat den Antrag auf Auskunft persönlich an C***B (bei einem Schalter in **** I***stadt, T***platz *2) übergeben. Zwischen C***B und der Betroffenen bestand eine Geschäftsbeziehung.
1.2. Es erfolgte keine Reaktion durch C***B. Die Betroffene erhielt innerhalb von einem Monat keine Informationen in Bezug auf die ergriffenen Maßnahmen zu ihrer Anfrage auf Auskunft.
1.3. Die betroffene Person fühlte sich dadurch in ihrem Recht auf Auskunft verletzt und brachte in Folge am 24.02.2023 eine Beschwerde nach Art. 77 DSGVO iVm § 24 DSG gegen die C***B bei der Datenschutzbehörde ein.
1.4. Die Datenschutzbehörde leitete daraufhin ein Beschwerdeverfahren zur GZ: D124.0368/23 ein und forderte C***B zur Stellungnahme auf.
1.5. Am 02.03.2023 teilte die betroffene Person per E-Mail gegenüber der Datenschutzbehörde mit, dass sie heute einen Brief von C***B erhalten habe. Darin bestätigte C***B den Eingang ihrer Anfrage am 23.01.2023 und darüber hinaus die vorgenommene Löschung ihrer personenbezogenen Daten. Die Betroffene konnte dies nicht nachvollziehen, da sie keinen Antrag auf Löschung, sondern auf Auskunft gestellt hat. Konkret gab C***B im Schreiben (datiert mit 20.02.2023) Folgendes an (Hinweis: Unterstreichung durch Datenschutzbehörde): „ Ihren Antrag auf Löschung Ihrer personenbezogenen Daten haben wir am 23.01.2023 erhalten. Innerhalb der Frist von einem Monat kommen wir hiermit Ihrem Antrag nach “.
1.6. Der konkrete Zeitpunkt der vorgenommenen Löschung konnte nicht festgestellt werden. Die Löschung wurde jedoch jedenfalls zwischen 23.01.2023 und 20.02.2023 vorgenommen.
1.7. C***B gab in Reaktion auf die Aufforderung zur Stellungnahme gegenüber der Datenschutzbehörde bekannt, dass sie, wie schon zuvor von der Betroffenen mitgeteilt, dem Antrag auf Löschung der Betroffenen entsprochen haben. Die Beschuldigte beschränkte die Stellungnahme auf die Erfüllung des Antrags der Betroffenen auf Löschung.
1.8. Die Datenschutzbehörde konnte die Löschung nicht nachvollziehen und forderte C***B auf, den konkreten Antrag auf Löschung der Betroffenen vorzulegen.
1.9. C***B lag in Folge den Antrag auf Auskunft vom 23.01.2023 vor.
1.10. Mit Bescheid vom 17.05.2023 (GZ: D124.0368/23 - 2023-0.282.190) wurde das Beschwerdeverfahren zur Erledigung gebracht und festgestellt, dass die Betroffene in ihrem Recht auf Auskunft durch C***B verletzt wurde, weil dem Auskunftsbegehren der Betroffenen nicht Folge geleistet wurde. Der Bescheid erwuchs mangels Rechtsmittel in Rechtskraft .
1.11. Die Datenschutzbehörde leitete in weiterer Folge ein Verwaltungsstrafverfahren gegen die Beschuldigte ein und forderte sie mit Schreiben vom 03.07.2023 zur Rechtfertigung und Bekanntgabe ihres Jahresumsatzes auf.
1.12. Nach einer gewährten Fristerstreckung räumte die Beschuldigte die vorgeworfene Tathandlung ein und führte hierzu ins Treffen, dass „ der für die Erteilung von Auskunftsbegehren zuständige Datenschutzbeauftragte “ (Herr Mag. D***) bedauerlicherweise „ rechtsirrig “ davon ausgegangen sei, dass die betroffene Person eine Löschung ihrer Daten begehrte und sei der Datenschutzbeauftragte (im Folgenden „DSBA“) auch im Laufe des Beschwerdeverfahrens dem Irrtum unterlegen. Der DSBA könne selbst nicht nachvollziehen, weshalb es zu dieser Fehlleistung seinerseits kam. Es sei sowohl für die Beschuldigte als auch für den DSBA schwer verständlich, weshalb nicht spätestens im Laufe des Beschwerdeverfahrens die begehrte Auskunft nachgeholt wurde, um „ den Verstoß zu beseitigen “.
1.13. Zum Prozess betreffend Behandlung von Betroffenenrechten gab C***B an, dass der DSBA diese von den jeweiligen Kundenbetreuern entgegennimmt und innerhalb der gesetzlichen Frist bearbeitet. Zur Betroffenen wurde bekanntgegeben, dass C***B mit ihr eine Geschäftsbeziehung führte und diese beendet werden musste. Dabei mussten ihre Produkte (Sparbücher) aufgelöst werden. Vor diesem Hintergrund der Vertragsbeendigung ist der DSBA fälschlicherweise davon ausgegangen, dass die Betroffenen ihr Recht auf Löschung geltend machen wollte. Die Beschuldigte kann dabei selbst nicht nachvollziehen, weshalb der DSBA auch im Laufe des Beschwerdeverfahrens diesem Irrtum unterlag.
1.14. In Bezug auf die Unterstützung des DSBA gab die Beschuldigte an, dass sie derzeit nach einem Vollzeitmitarbeiter für „ Datenschutzagenden “ suche. Darüber hinaus wurde beschlossen, dass für künftige Beschwerdeverfahren externe Rechtsberatung in Anspruch genommen werde. Wenn die Datenschutzbehörde in Zukunft ein Verfahren gegen C***B einleitet, wird das Schreiben „ als zusätzliches externes Augenpaar “ der externen anwaltlichen Vertretung übermittelt. Dadurch sollen in Zukunft gleichartige Verstöße verhindert werden.
1.15. Abschließend teilte die Beschuldigte mit, dass (in Reaktion auf den Bescheid im Beschwerdeverfahren) der Betroffenen eine Auskunft nachträglich erteilt wurde.
1.16. Mit Bescheid vom 21.08.2023 (GZ: D550.834 / 2023-0.586.049) setzte die DSB das gegenständliche Verwaltungsstrafverfahren gemäß § 24 VStG iVm § 38 AVG bis zur rechtskräftigen Entscheidung durch den Gerichtshof der Europäischen Union (EuGH) in der Rechtssache C-807/21 (Deutsche Wohnen SE) aus. Dieser Aussetzungsbescheid erwuchs mangels Rechtsmittel in Rechtskraft.
1.17. Mit Schreiben vom 05.12.2023 hob die DSB den Aussetzungsbescheid vom 21.08.2023 von Amts wegen auf und setzte das Verwaltungsstrafverfahren - unter Berücksichtigung des Urteils vom 05.12.2023 des EuGH in der Rechtssache C-807/21 – fort.
1.18. Die Beschuldigte erzielte im Geschäftsjahr 2022 einen Jahresumsatz in der Höhe von insgesamt EUR 98.1*3.4**,43 (Betriebserträge - Gewinn und Verlustrechnung).
2. Die Feststellungen werden auf Grund folgender Beweiswürdigung getroffen:
2.1. Die Feststellungen ergaben sich im Wesentlichen durch Einsicht in den Verwaltungsakt zum oben angeführten Beschwerdeverfahren sowie durch die Aktenbestandteile des gegenständlichen Verwaltungsstrafverfahrens. Darüber hinaus ist die Beschuldigte den getroffenen Feststellungen nach einer Aufforderung zur Rechtfertigung nicht entgegengetreten („ Gegenstand der Rechtfertigung ist nur die Höhe der Strafbemessung “ – Punkt 4.2 ihrer schriftlichen Rechtfertigung). Die Beschuldigte räumte die Tathandlung ein und verwies auf eine einmalige Fehlleistung des DSBA.
2.2. Die Feststellungen zum Jahresumsatz (Betriebserträge der C***B im Jahr 2022) beruhen auf den eigenen Angaben der Beschuldigten im Rahmen ihrer schriftlichen Rechtfertigung (Punkt 3.4). Außerdem legte die Beschuldigte ihre Gewinn- und Verlustrechnung für das Geschäftsjahr 2022 vor (Beilage 5 zur schriftlichen Rechtfertigung). An der Echtheit und Richtigkeit bestehen keine Zweifel. Die Beschuldigte konnte durch Vorlage der Beilage 5 ihren Jahresumsatz nachvollziehbar darlegen.
2.3. Die Feststellungen betreffend Geschäftsbeziehung zwischen C***B und der Betroffenen stützen sich ebenfalls auf die eigenen Angaben der Beschuldigten im Rahmen ihrer schriftlichen Rechtfertigung (Punkt 2.3) und sind insofern unstrittig.
2.4. Der maßgebliche Sachverhalt konnte daher aufgrund der vorliegenden Aktenlage zweifelsfrei und vollständig festgestellt werden.
2.5. Lediglich der Zeitpunkt der Löschung konnte - entgegen der Pflicht zur Rechenschaft nach Art. 5 Abs. 2 DSGVO - mangels Angaben der Beschuldigten nicht festgestellt werden. Es ergab sich jedoch aus der Beschwerde der Betroffenen und der Reaktion der Beschuldigten, dass die Löschung in einem Zeitraum zwischen Eingang des Antrags auf Auskunft (23.01.2023) und dem Antwortschreiben der C***B vom 20.02.2023 vorgenommen wurde.
3. Rechtlich folgt daraus:
3.1. Zur Zuständigkeit der Datenschutzbehörde (DSB) und Anwendungsbereich der DSGVO
Art. 83 Abs. 5 lit. b DSGVO legt fest, dass bei Verstößen gegen die Rechte der betroffenen Personen gemäß den Art. 12 bis 22 DSGVO Geldbußen von bis zu 20 000 000 Euro oder im Fall eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können, je nachdem, welcher der Beträge höher ist.
Nach § 22 Abs. 5 DSG liegt die Zuständigkeit für die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen für Österreich als nationaler Aufsichtsbehörde bei der DSB .
Gemäß Art. 2 Abs. 1 DSGVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Im vorliegenden Fall ergaben sich keine Anhaltspunkte, wonach die DSGVO nicht zur Anwendung gelangen würde. Die Beschuldigte führte aus, dass sie im Laufe der Geschäftsbeziehung und auch nach der Beendigung personenbezogene Daten der Betroffenen verarbeitete. In Bezug auf jene Daten, die sie zum Zeitpunkt des Auskunftsbegehrens verarbeitete, bestand daher eine Auskunftspflicht . Im Lichte des als erwiesen angenommenen Sachverhalts ist die Beschuldigte auch als Verantwortliche gemäß Art. 4 Z 7 DSGVO zu qualifizieren. Die Rolle als Verantwortliche wurde von der Beschuldigten ebenfalls nicht bestritten. Als Verantwortliche ist die Beschuldigte Adressatin der einschlägigen (strafbewehrten) Pflichten der DSGVO im Zusammenhang mit der Behandlung und Gewährleistung von Betroffenenbegehren im Sinne des Art. 12 DSGVO, die im Folgenden näher beleuchtet werden.
3.2. Zur Verletzung im Recht auf Auskunft (objektive Tatseite)
Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten. Dabei müssen der betroffenen Person mehrere Informationen mitgeteilt werden (siehe hierzu auch Erwägungsgrund 63 DSGVO ). Entsprechend Art. 15 Abs. 3 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.
Das Recht auf Auskunft nach Art. 15 DSGVO ist der Dreh- und Angelpunkt für die betroffene Person, um die Rechtmäßigkeit der Verarbeitung und darüber hinaus auch die Geltendmachung der restlichen Betroffenenrechte überprüfen zu können. Das Recht auf Auskunft ist verfassungsgesetzlich gewährleistet (§ 1 Abs. 3 Z 1 DSG) und wird auch in Art. 8 Abs. 2 EU-GRC normiert. Eine betroffene Person wird in der Regel erst durch die Inanspruchnahme des Auskunftsrechts in die Lage versetzt, ihre weiteren Rechte geltend zu machen (vgl. EuGH vom 20.12.2017, C‑434/16, Rz 57). Die Bestimmungen nach Art. 15 Abs. 1 und 2 DSGVO normieren jedoch lediglich den Inhalt des Auskunftsrechts . In Bezug auf die Gewährleistung von Betroffenenrechten werden die allgemeinen Pflichten für Verantwortliche in Art. 12 DSGVO normiert.
Gemäß Art. 12 Abs. 1 DSGVO trifft die Verantwortliche geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Nach Art. 12 Abs. 3 DSGVO muss die Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Art. 15 bis 22 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung stellen. Diese Frist kann unter bestimmten Umständen um weitere zwei Monate verlängert werden, jedoch ist der Betroffene über eine Fristverlängerung zusammen mit den Gründen für die Verzögerung innerhalb eines Monats zu informieren.
Nach der Spruchpraxis der DSB stellt die Löschung von personenbezogenen Daten (neben der Missachtung des Grundsatzes nach Art. 5 Abs. 1 lit. a DSGVO) eine Verletzung im Recht auf Auskunft dar, wenn diese vom Verantwortlichen nach Eingang des Auskunftsbegehrens vorgenommen wird (DSB vom 27.06.2019, DSB-D124.071/0005-DSB/2019).
Im vorliegenden Fall hat die Beschuldigte zum Zeitpunkt des Eingangs des Auskunftsbegehrens personenbezogene Daten der betroffenen Person zum Zwecke der Geschäftsbeziehung verarbeitet und die betroffene Person hat in ihrem Antrag vom 23.01.2023 ausdrücklich und ausschließlich das Recht auf Auskunft geltend gemacht.
Die Beschuldigte hat die betroffene Person bereits dadurch in ihrem Recht auf Auskunft verletzt, indem ihr Antrag nicht gemäß Art. 12 Abs. 3 DSGVO innerhalb eines Monats behandelt bzw. sie über die ergriffenen Maßnahmen nicht informiert wurde (es erfolgte zunächst gar keine Reaktion seitens der Beschuldigten). Erst nach Einbringung einer Beschwerde bei der Datenschutzbehörde und einer Aufforderung zur Stellungnahme übermittelte die Beschuldigte der Betroffenen am 02.03.2023 ein Antwortschreiben datiert mit 20.02.2023.
Im genannten Antwortschreiben der Beschuldigten wurde der Betroffenen jedoch keine Auskunft im Sinne von Art. 12 iVm Art. 15 DSGVO , wie von ihr beantragt, erteilt, sondern die (nicht beantragte) Löschung ihrer Daten bestätigt. Darüber hinaus wurden lediglich allgemeine Informationen zur Verfügung gestellt und sie wurde auf „ gesetzliche Aufbewahrungsfristen “ verwiesen (es wurde auch auf eine beigelegte Liste mit „ Lösch- und Aufbewahrungsfristen “ hingewiesen, jedoch wurde diese Liste weder der Betroffenen noch der DSB im Laufe des Beschwerdeverfahrens vorgelegt). Dadurch hat die Beschuldigte die betroffene Person in ihrem Recht auf Auskunft nach Art. 15 DSGVO verletzt.
Die objektive Tatseite der gegenständlichen Verwaltungsübertretung ist im Ergebnis erfüllt.
3.3. Zur Strafbarkeit der Beschuldigten als juristische Person
Die Voraussetzungen für die Verhängung von Geldbußen sowohl gegen natürliche Personen als auch gegen juristische Personen werden in Art. 83 DSGVO normiert. Der nationale Gesetzgeber hat jedoch in § 30 Abs. 1 und 2 DSG weitere „ allgemeine Bedingungen für die Verhängung von Geldbußen “ normiert.
Nach § 30 Abs. 1 DSG kann die Datenschutzbehörde Geldbußen gegen eine juristische Person verhängen, wenn Verstöße gegen Bestimmungen der DSGVO durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund (1) der Befugnis zur Vertretung der juristischen Person (2) der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder (3) einer Kontrollbefugnis innerhalb der juristischen Person innehaben.
Juristische Personen können wegen Verstößen gegen Bestimmungen der DSGVO gemäß § 30 Abs. 2 DSG auch in jenen Fällen verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in § 30 Abs. 1 DSG genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat (mangelnde Kontrolle und Überwachung) , sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.
Der Verwaltungsgerichtshof hat in seinem Erkenntnis vom 12.05.2020 zu Ro 2019/04/0229 sich erstmalig mit der Anwendbarkeit der Strafbarkeitsvoraussetzungen des § 30 DSG in einem Verfahren nach Art. 83 DSGVO auseinandergesetzt und stellte in diesem Zusammenhang fest, dass eine juristische Person nicht selbst handeln kann und daher ihre Strafbarkeit nach § 30 DSG eine Folge des tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens einer natürlichen (Führungs-)Person im Sinne des § 30 Abs. 1 DSG ist. Demnach sei für die Wirksamkeit der gegen die juristische Person gerichteten Verfolgungshandlung die genaue Umschreibung der Tathandlung der natürlichen Person (oder auch die sogenannte „Zurechnungsperson“) vonnöten. Die Zurechnung der konkreten Tathandlung durch die Führungsperson an die juristische Person müsse im Spruch aufgenommen und die Zurechnungsperson zudem als identifizierte natürliche Person namentlich genannt werden (vgl. VwGH 12.05.2020, Ro 2019/04/0229, mwN). Mit anderen Worten: Die Datenschutzbehörde müsse in einem Verfahren nach Art. 83 DSGVO im Spruch des Straferkenntnisses jene natürliche (Führungs-)Person, deren Verstoß gegen die DSGVO bzw. das DSG der im Sinne des Art. 4 Z 7 DSGVO verantwortlichen juristischen Person zugerechnet werden soll, namentlich nennen, um in Folge eine Geldbuße nach Art. 83 DSGVO gegen die Verantwortliche als juristische Person verhängen zu können. Diese Zurechnungsperson ist dabei als Beschuldigte im Verwaltungsstrafverfahren gegen die juristische Person zu führen und hat per se Parteistellung (vgl. Zaczek , Das Verbandsverantwortlichkeitsmodell des Art 83 DSGVO, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht 2020, S. 257 ff).
Mit Beschluss vom 06.12.2021 ersuchte das Kammergericht Berlin den EuGH im Rahmen eines Vorabentscheidungsersuchens nach Art. 267 AEUV um Auslegung des Art. 83 DSGVO in Bezug auf die Frage, ob ein Unternehmen unmittelbar Betroffener im Bußgeldverfahren wegen eines Verstoßes gegen Art. 83 DSGVO sein kann und legte in diesem Zusammenhang folgende Fragen vor
1. Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?
2. Wenn die Frage zu 1. bejaht werden sollte: Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?
Durch das Vorabentscheidungsersuchen des Kammergerichts Berlin war es fraglich, ob die Bestimmungen des § 30 Abs. 1 und 2 DSG überhaupt zur Anwendung gelangen dürfen, weil sie gegen die unmittelbar anwendbaren Bestimmungen der DSGVO verstoßen könnten, und ob die Ausführungen des VwGH in seinem oben zitierten Erkenntnis zur Strafbarkeit juristischer Personen in Verfahren nach Art. 83 DSGVO aufrechterhalten werden könnten. Da die Entscheidung des EuGH zu diesen Vorlagefragen präjudizielle Wirkung für das gegenständliche Verfahren hatte, wurde das Verwaltungsstrafverfahren ausgesetzt .
Der EuGH hielt schließlich im Urteil vom 05.12.2023 fest, dass die unmittelbar anwendbaren Bestimmungen nach Art. 58 Abs. 2 lit. i und Art. 83 Abs. 1 bis 6 DSGVO dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen , wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.
Der EuGH führte in diesem Zusammenhang aus, dass juristische Personen nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurde, die im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte . Außerdem müsse es möglich sein, die in Art. 83 DSGVO vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen (vgl. EuGH vom 05.12.2023, C-807/21, Rz 44).
Die (materiellen) Voraussetzungen für die Verhängung von Geldbußen durch Aufsichtsbehörden sind in Art. 83 Abs. 1 bis 6 DSGVO genau und ohne Ermessensspielraum für die Mitgliedstaaten geregelt . Die DSGVO enthält keine Bestimmung, wonach die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche davon abhängt, dass zuvor festgestellt wird, dass dieser Verstoß von einer identifizierten natürlichen Person begangen wurde. Die DSGVO räumt den Mitgliedstaaten lediglich die Möglichkeit/Befugnis ein, Anforderungen an das von den Aufsichtsbehörden anzuwendende Verfahren bei der Verhängung einer Geldbuße vorzusehen, jedoch keineswegs über diese verfahrensrechtlichen Anforderungen hinaus die Normierung von materiellen Voraussetzungen, die zu jenen in Art. 83 Abs. 1 und 6 DSGVO hinzutreten (vgl. EuGH C-807/21, Rn 45 ff).
Die Voraussetzungen für die Verhängung einer Geldbuße nach Art. 83 DSGVO durch eine Aufsichtsbehörde ergeben sich daher ausschließlich durch das Unionsrecht . Es liegen keine Öffnungsklausen in diesem Zusammenhang für die Mitgliedstaaten vor.
Der EuGH führte hierzu ins Treffen, dass eine nationale Regelung, die zusätzliche Anforderungen für die Verhängung von Geldbußen nach Art. 83 DSGVO normiert, gegen Art. 83 Abs. 1 DSGVO verstößt, weil dadurch die Wirksamkeit und die abschreckende Wirkung von Geldbußen geschwächt wird , die gegen juristische Personen verhängt werden. Dabei muss berücksichtigt werden, dass Geldbußen ein Schlüsselelement der DSGVO darstellen und zur Durchsetzung der Ziele dieser Verordnung dienen bzw. die Wahrung der Rechte betroffener Personen gewährleisten und ein hohes Schutzniveau unionsweit sicherstellen (vgl. EuGH C-807/21, Rz 51 und 73). Im Ergebnis stellte der EuGH daher fest, dass die Voraussetzungen für die Verhängung einer Geldbuße nach Art. 83 DSGVO abschließend in Art. 83 Abs. 1 bis 6 DSGVO geregelt sind (Rn 53).
3.4. Zur subjektiven Tatseiten
Der EuGH hat in Bezug auf die zweite Vorlagefrage, wie schon bereits von der Datenschutzbehörde in ihrer bisherigen Spruchpraxis angenommen, nun explizit festgehalten, dass nur Verstöße gegen Bestimmungen der DSGVO, die der Verantwortliche schuldhaft, d.h. vorsätzlich oder fahrlässig begeht, zur Verhängung einer Geldbuße führen können (vgl. EuGH vom 05.12.2023, C-807/21, Rz 68).
In Bezug auf die subjektive Tatseite ist zu berücksichtigen, dass die Voraussetzung des Verschuldens für die Verhängung einer Geldbuße nach Art. 83 DSGVO unionsautonom auszulegen und insbesondere im Lichte der Rechtsprechung des EuGH zu beurteilen ist. Auch zur Vorlagefrage in Bezug auf das Verschulden stellte der EuGH fest, dass den Mitgliedstatten in diesem Zusammenhang kein Ermessensspielraum durch den Unionsgesetzgeber für nationale Regelungen eingeräumt wurde, da die materiellen Voraussetzungen abschließend in Art. 83 Abs. 1 bis 6 DSGVO genau geregelt sind (vgl. hierzu auch EuGH vom 05.12.2023, C-683/21, Rz 64 ff).
Zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und daher mit einer Geldbuße geahndet werden kann, stellte der EuGH in seinem oben zitierten Urteil gleichzeitig klar, dass ein solches Verschulden bereits vorliegt, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rz 76).
Unter Verweis auf weitere Rechtsprechung stellte der EuGH zudem ausdrücklich klar, dass die Anwendung von Art. 83 DSGVO gegenüber juristischen Personen keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (vgl. EuGH vom 05.12.2023, C-807/21, Rz 77).
Die Verantwortung und Haftung eines Verantwortlichen erstreckt sich dabei auf jedwede Verarbeitung personenbezogener Daten, die durch oder in seinem Namen erfolgt . In diesem Rahmen muss der Verantwortliche nicht nur geeignete und wirksame Maßnahmen treffen, sondern muss er auch nachweisen können, dass seine Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die er ergriffen hat, um diesen Einklang sicherzustellen, auch wirksam sind (vgl. EuGH C-807/21, Rz 38, unter Verweis auf ErwGr 74).
Umgelegt auf den vorliegenden Fall bedeutet dies Folgendes:
Zunächst ist festzuhalten, dass es im Rahmen des Ermittlungsverfahrens keine Anhaltspunkte dafür gab, dass die gegenständlichen Verstöße von einer Person begangen wurden, die nicht im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte. Die Beschuldigte gab selbst hierzu an, dass der gegenständliche Antrag auf Auskunft vom DSBA im Namen der Beschuldigten bearbeitet wurde. Für die Behandlung der Anfrage ist jedoch, wie bereits oben festgestellt, nicht der DSBA, sondern die Beschuldigte in ihrer Rolle nach Art. 4 Z 7 DSGVO verantwortlich (siehe auch Art. 5 Abs. 2 DSGVO).
Dem Urteil des EuGH zufolge ist es für die Verhängung einer Geldbuße gegen eine juristische Person jedoch nicht erforderlich, dass die Datenschutzbehörde eine identifizierte natürliche Person, die im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte, in ihrer Entscheidung anführt und das Handeln dieser Person der juristischen Person zurechnet . Es ist daher im vorliegenden Fall auch nicht entscheidungserheblich , ob und welches Vorstandsmitglied der Beschuldigten (bzw. Führungsperson im Sinne des § 30 Abs. 1 DSG) die gegenständlichen Verstöße zu verantworten hat. In diesem Zusammenhang stellte der EuGH ausdrücklich klar, dass keine Handlung und nicht einmal eine Kenntnis über den Verstoß seitens des Leitungsorgans für die Anwendung des Art. 83 DSGVO erforderlich ist (Rz 77). Es kann somit dahingestellt bleiben, ob die Vorstandsmitglieder aufgrund objektiver Sorgfaltswidrigkeit eine Aufsichtspflichtverletzung gegenüber dem DSBA erfüllten.
Mit anderen Worten: Das Verschulden der Beschuldigten im vorliegenden Fall wird anhand des Verhaltens des DSBA beurteilt und es bedarf keiner Aufsichtspflichtverletzung durch eine Führungsperson im Sinne des § 30 Abs. 2 DSG, um das Verhalten des DSBA der juristischen Person zuzurechnen und Art. 83 DSGVO zur Anwendung zu bringen.
Im Lichte des als erwiesen angenommen Sachverhalts wird von der Datenschutzbehörde keine vorsätzliche Tathandlung durch die Beschuldigte angenommen. Die Beschuldigte hat als Verantwortliche letztendlich durch ihren DSBA beschlossen, dass der Antrag auf Auskunft als ein Antrag auf Löschung gewertet und die Löschung in Folge vorgenommen wird. Die Erfüllung der subjektiven Tatseite wird von der Beschuldigten auch nicht bestritten (siehe schriftliche Rechtfertigung, Punkt. 4.3.). Sie gab hierzu selbst an, dass weder sie noch der DSBA diese Fehlleistung nicht nachvollziehen können.
Im Laufe des Ermittlungsverfahrens ergaben sich jedenfalls keine Hinweise darauf, dass der Beschuldigten an der Verletzung der gegenständlich anzuwendenden Verwaltungsvorschriften kein Verschulden trifft. Die Beschuldigte konnte sich im Lichte der Rechtsprechung des EuGH über die Rechtswidrigkeit ihres Verhaltens nicht im Unklaren sein, unabhängig davon, ob ihr dabei bewusst war, dass sie gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rz 76 und 77; EuGH C-683/21, Rz 81 und 82 mwN). Es ergaben sich jedoch keine Anhaltspunkte für (1) eine vorsätzliche und (2) systematische Verletzung im Recht auf Auskunft.
Im Ergebnis liegt Verschulden in Form von Fahrlässigkeit (Art. 83 Abs. 2 lit. b DSGVO) vor.
Dadurch ist die subjektive Tatseite ebenfalls erfüllt.
4. Zur Strafzumessung ist Folgendes festzuhalten:
Gemäß Art. 83 Abs. 1 DSGVO hat die Datenschutzbehörde sicherzustellen, dass die Verhängung von Geldbußen für Verstöße gegen die unter Sanktion gestellten Bestimmungen der DSGVO (Art. 83 Abs. 4, 5 und 6 DSGVO) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Näherhin bestimmt Art. 83 Abs. 2 DSGVO , dass bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall bestimmte Kriterien gebührend zu berücksichtigen sind.
Die Datenschutzbehörde hat im Rahmen der Strafbemessung die Leitlinien des EDSA betreffend Berechnung von Geldbußen nach der DSGVO (vgl. EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 2.1 vom 24.05.2023 – im Folgenden „Fines-Leitlinien“ ) zur Anwendung gebracht.
Die Strafbemessung innerhalb eines gesetzlichen Strafrahmens ist zudem eine Ermessensentscheidung , die nach den vom Gesetzgeber festgelegten Kriterien vorzunehmen ist (vgl. VwGH 05.09.2013, 2013/09/0106).
Gemäß § 19 Abs. 1 VStG sind die Grundlagen für die Bemessung der Strafe die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat. Überdies sind nach dem Zweck der Strafdrohung die in Betracht kommenden Erschwerungs- und Milderungsgründe, soweit sie nicht schon die Strafdrohung bestimmen, gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechtes sind die §§ 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens- und Vermögensverhältnisse und allfällige Sorgepflichten des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen (dies gilt naturgemäß nur für natürliche Personen, ist aber sinngemäß auf juristische Personen zu übertragen); dies allerdings nur in dem Ausmaß, als nicht die unmittelbar zur Anwendung gelangenden Bestimmungen der DSGVO die Bestimmungen des VStG verdrängen und in dem Umfang, welcher von Art. 83 Abs. 8 DSGVO und Erwägungsgrund 148 im Hinblick auf die zu gewährleistenden Verfahrensgarantien angeordnet wird.
Gemäß Art. 83 Abs. 5 DSGVO werden im Falle der dort genannten Verstöße, im Einklang mit Abs. 2, Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. Im vorliegenden Fall gelangt der dynamische Strafrahmen bis zu 4% des Jahresumsatzes nicht zur Anwendung.
Der Begriff Umsatz in Art. 83 Abs. 4, 5 und 6 DSGVO ist im Sinne des Art. 2 Z 5 der Richtlinie 2013/34/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 über den Jahresabschluss, den konsolidierten Abschluss und damit verbundene Berichte von Unternehmen bestimmter Rechtsformen, zur Änderung der Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinien 78/660/EWG und 83/349/EWG des Rates (im Folgenden „Richtlinie 2013/34/EU“) zu verstehen. Umsatz ist die Summe aller verkauften Waren und Dienstleistungen. Nettoumsatz ist der Betrag, der sich aus dem Verkauf von Produkten und der Erbringung von Dienstleistungen nach Abzug von Erlösschmälerungen und der Mehrwertsteuer (MwSt) sowie sonstigen direkt mit dem Umsatz verbundenen Steuern ergibt (vgl. EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 2.1, Rz 128 ff).
Die Beschuldigte hat im Jahr 2022, wie festgestellt, einen Jahresumsatz in der Höhe von EUR 98.1*3.4**,43 erzielt (Betriebserträge). Unter Anwendung der Fines-Leitlinien wird die Beschuldigte in Bezug auf ihren Umsatz und im Hinblick auf die Verhängung einer wirksamen, abschreckenden und verhältnismäßigen Geldbuße in die Kategorie „ Undertakings with a turnover of €50m up until €100m “ eingestuft . Durch diese Einstufung wird die Unternehmensgröße gebührend berücksichtigt, um insbesondere die Verhältnismäßigkeit der Geldbuße zu gewährleisten.
Im Lichte des als erwiesen angenommenen Sachverhalts und unter Berücksichtigung der Art, Schwere und Dauer des Verstoßes (Art. 83 Abs. 1 lit. a DSGVO) , der Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Art. 83 Abs. 2 lit. b DSGVO) sowie die Kategorien personenbezogener Daten, die vom Verstoß betroffen sind (Art. 83 Abs. 2 lit. g DSGVO) wird von der Datenschutzbehörde die Schwere der Zuwiderhandlung („Seriousness of the infringement“) mit einem niedrigen Schweregrad („low level of seriousness“) festgelegt. Die Beschuldigte brachte in diesem Zusammenhang zutreffend vor, dass der Verstoß eine einzelne natürliche Person betraf. Das Ermittlungsverfahren ergab keine Anhaltspunkte dafür, dass der gegenständliche Verstoß vorsätzlich oder systematisch durch die Beschuldigte erfolgte. Die Beschuldigte handelte zudem, wie oben bereits ausgeführt, fahrlässig .
Bezogen auf den vorliegenden Sachverhalt wurde darüber hinaus (über die bereits für die Feststellung des Schweregrades berücksichtigten Kriterien nach Art. 83 Abs. 1 lit. a, b und g DSGVO hinaus) bei der Strafzumessung Folgendes erschwerend berücksichtigt:
n/a (der Umstand, dass die Beschuldigte eine betroffene Person ihrem verfassungsrechtlich verankertem Recht auf Auskunft - § 1 Abs. 3 Z 1 DSG; Art. 8 Abs. 2 GRC – verletzte, hat die DSB bereits im Zuge der Festlegung des Schweregrades berücksichtigt – siehe oben).
Bezogen auf den vorliegenden Sachverhalt wurde darüber hinaus bei der Strafzumessung Folgendes mildernd berücksichtigt:
gegen die Beschuldigte liegen bei der DSB keinerlei einschlägige frühere Verstöße gegen die DSGVO vor.
die Beschuldigte hat im Rahmen des gegenständlichen Ermittlungsverfahrens vor der DSB mitgewirkt und dadurch einen Beitrag zur Wahrheitsfindung geleistet, indem sie insbesondere den vorgeworfenen Sachverhalt nicht in Abrede stellte, ihr Fehlverhalten einräumte und sich nach Zustellung der Aufforderung zur Rechtfertigung einsichtig zeigte. Die Beschuldigte zeigte sich reuig und die DSB geht davon aus, dass sie künftig eine derartige Verletzung von Rechten einer betroffenen Person nicht vornehmen wird.
Die DSB übersieht zudem nicht, dass die Beschuldigte nach Zustellung des Bescheides im Beschwerdeverfahren der Betroffenen zumindest eine Auskunft über die noch vorhandenen (von der vorgenommenen Löschung nicht umfassten) personenbezogenen Daten erteilte, um dem Bescheid der DSB zu entsprechen und die Beeinträchtigung des verwaltungsstrafrechtlich geschützten Rechtsgutes zu reduzieren. Dies führte im konkreten Fall ebenfalls zu einer Strafmilderung , jedoch unter der Berücksichtigung, dass die Betroffene mehrere Monate warten und ihr Recht auf Beschwerde nach Art. 77 DSGVO iVm § 24 DSG in Anspruch nehmen musste.
Bei der Bemessung der Geldbuße dürfen nach ständiger Rechtsprechung des VwGH auch Überlegungen der Spezialprävention und Generalprävention einbezogen werden (vgl. VwGH 15.5.1990, 89/02/0093, VwGH 22.4.1997, 96/04/0253, VwGH 29.1.1991, 89/04/0061). Die Verhängung der konkreten Geldstrafe war nicht im Sinne der Spezialprävention notwendig , um die Beschuldigte von der Begehung weiterer Verstöße abzuhalten. Die Verhängung der Geldstrafe war jedoch im Sinne der Generalprävention erforderlich , um Verantwortliche in Bezug auf ihre Pflichten nach der DSGVO, insbesondere im Zusammenhang mit der (fristgerechten) Behandlung und Gewährleistung von Rechten der Betroffenen gemäß den Art. 12 bis 22 DSGVO, zu sensibilisieren .
Die im Ergebnis konkret verhängte Strafe in der Höhe von EUR 9.500 erscheint daher im Hinblick auf den verwirklichten Tatunwert, gemessen am zur Verfügung stehenden Strafrahmen des Art. 83 Abs. 5 DSGVO (hier bis zu EUR 20.000.000) und dem festgestellten Jahresumsatz in der Höhe von circa EUR 98.000.000,- tat- und schuldangemessen und befindet sich aufgrund der Milderungsgründe am untersten Ende des zur Verfügung stehenden Strafrahmens (0,05% des Strafrahmens) . Für eine weitere Herabsetzung der Sanktion besteht kein Raum. Ein (noch) niedrigerer Betrag würde im vorliegenden Fall den in Art. 83 Abs. 1 DSGVO normierten Kriterien für eine Geldbuße nicht mehr gerecht werden.