2023-0.592.319 – Datenschutzbehörde Entscheidung

GZ: 2023-0.592.319 vom 4. Jänner 2024 (Verfahrenszahl: DSB-D550.515)

[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

Straferkenntnis

Beschuldigte juristische Person: N*** -Fußballvereinigung (ZVR: *6*7**88*)

Die beschuldigte juristische Person mit Sitz in **** T***dorf, J***straße *7 (im Folgenden: die Beschuldigte), hat als Verantwortliche im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016, S. 1 idgF, nachstehenden Sachverhalt verwirklicht und dadurch folgende Verwaltungsübertretungen begangen:

I. Die Beschuldigte hat als Verantwortliche in einem nicht näher feststellbaren Zeitraum, jedoch jedenfalls von 25.05.2018 bis dato („Tatzeitraum 1“), innerhalb des Bundesgebietes von Österreich („Tatort“), gegen ihre Pflicht nach Art. 25 Abs. 1 DSGVO verstoßen, indem sie keine geeigneten technischen und organisatorischen Maßnahmen getroffen hat, damit im Fall einer erforderlichen Löschung – sei es auf Antrag einer betroffenen Person oder aus eigenem – personenbezogene Daten von Spielern, die an zumindest einem Spiel in der von der Beschuldigten organisierten Liga teilgenommen haben, gänzlich aus der öffentlich einsehbaren Datenbank auf der Webseite https://www.n***.com/ gelöscht werden.

II. Die Beschuldigte hat darüber hinaus als Verantwortliche im Zeitraum von 23.09.2020 bis dato („Tatzeitraum 2“), innerhalb des Bundesgebietes von Österreich („Tatort“), gegen Art. 17 DSGVO verstoßen, indem sie dem Löschungsbegehren von Herrn Roberto B*** vom 23.09.2020 nicht vollständig nachgekommen ist. Der Betroffene hatte gemäß Art. 17 Abs. 1 DSGVO das Recht, dass seine Daten gelöscht werden und die Beschuldigte war verpflichtet, die personenbezogenen Daten des Betroffenen unverzüglich zu löschen. Eine der Ausnahmebestimmungen des Art. 17 Abs. 3 DSGVO lag im konkreten Fall nicht vor. Die Beschuldigte verarbeitet nach wie vor personenbezogene Daten von Herrn Roberto B***, indem sie dessen personenbezogenen Daten unter der URL https://www.n***.com/?action=showPlayer id=*4*6 auf ihrer Webseite veröffentlicht.

III. Die Beschuldigte hat schließlich im Zeitraum von 11.05.2021 bis dato („Tatzeitraum 3“), innerhalb des Bundesgebietes von Österreich („Tatort“), den Leistungsauftrag in Spruchpunkt 2.b. des rechtskräftigen Bescheides der Datenschutzbehörde vom 10.05.2021, GZ: D124.3076, 2021-0.096.835, welcher ihr nachweislich am 11.05.2021 zugestellt wurde, nicht befolgt, indem sie die personenbezogenen Daten des Betroffenen nicht gelöscht hat oder auf einem nicht öffentlich zugänglichen Bereich gespeichert hat. Dadurch hat die Beschuldigte eine Anweisung einer Aufsichtsbehörde iSd Art. 58 Abs. 2 lit. c DSGVO nicht befolgt.

Verwaltungsübertretungen nach:

Ad I.: Art. 25 Abs. 1 iVm Art. 83 Abs. 1 und 4 lit. a DSGVO ABl. L 2016/119, S. 1, idgF

Ad II.: Art. 17 Abs. 1 iVm Art. 83 Abs. 1 und 5 lit. b DSGVO ABl. L 2016/119, S. 1, idgF

Ad III.: Art. 58 Abs. 2 lit. c iVm Art. 83 Abs. 1 und 6 DSGVO ABl. L 2016/119, S. 1, idgF

Wegen dieser Verwaltungsübertretungen wird gemäß Art. 83 DSGVO folgende Strafe verhängt:

Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen:

1.100

Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro;

Euro als Ersatz der Barauslagen für

Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher

12.100

Euro

Zahlungsfrist:

Wird keine Beschwerde erhoben, ist dieses Straferkenntnis sofort vollstreckbar. Der Gesamtbetrag ist in diesem Fall binnen zwei Wochen nach Eintreten der Rechtskraft auf das Konto [Anmerkung Bearbeiter/in: hier gekürzt] einzuzahlen. Als Verwendungszweck möge die Geschäftszahl sowie das Erledigungsdatum angegeben werden .

Erfolgt binnen dieser Frist keine Zahlung, kann der Gesamtbetrag eingemahnt werden. In diesem Fall ist ein pauschalierter Kostenbeitrag in der Höhe von fünf Euro zu entrichten. Erfolgt dennoch keine Zahlung, wird der ausstehende Betrag vollstreckt .

Begründung:

1. Folgender entscheidungsrelevanter Sachverhalt steht auf Grund des durchgeführten Beweisverfahrens fest:

1.1. Zu den auf der Webseite der Beschuldigten bereitgestellten Informationen, dem Löschungsbegehren des Betroffenen und dem Beschwerdeverfahren zur Verfahrenszahl D124.3076

1.1.1. Die Beschuldigte veranstaltet eine ****fußballliga. Auf der Webseite der Beschuldigten sind folgende Informationen über Personen, die zumindest einmal an einem Spiel in der von der Beschuldigten organisierten Liga teilgenommen haben, öffentlich einsehbar:

 Spielerdaten

- Name samt Foto

- Jahrgang

- Status (spielberechtigt oder nicht)

- Mannschaft

- Im Verein seit

- Nationalität

- Rückennummer

 Infos und Statistik

- Tore pro Spiel

- On Field Percentage

- Tore nach Halbzeit

- Sieg/Remis/Niederlage

- Score Percentage

- On Fire Rate

- Vereinstreue

 Aktuelle Saison

- Spiele

- Tore

- Gelbe Karten

- Gelb/Rote Karten

- Rote Karten

 Ewige Statistik

- Spiele

- Tore Gelbe Karten

- Gelb/Rote Karten

- Rote Karten

Darüber hinaus sind sämtliche Spiele, an denen eine Person teilgenommen hat, im Spielerprofil aufgelistet.

Beweiswürdigung zu 1.1.1. : Diese Feststellungen basieren auf einer Abfrage der Webseite der Beschuldigten (zuletzt abgefragt am 19.12.2023, beispielhaft siehe etwa: https://www.n***.com/index.php?action=showPlayer id=2*9*3, Screenshots davon im elektronisch geführten Verfahrensakt).

1.1.2. Herr Roberto B*** (im Folgenden: der Betroffene) nahm an Spielen in der von der Beschuldigten veranstalteten Liga teil. Er bestritt sein letztes Spiel am 06.10.2019.

Der Betroffene richtete am 23.09.2020 per E-Mail einen Antrag auf Löschung seiner personenbezogenen Daten an die Beschuldigte, in welchem er darum bat, aus den Systemen der Beschuldigten gelöscht zu werden.

Die Beschuldigte führte in Nachrichten an den Betroffenen vom 23.09.2020, 24.09.2020 und vom 26.09.2020 aus, dass sie seinem Begehren nicht nachkommen könne. Zusammengefasst sei eine Löschung aus Statistikgründen nicht möglich.

Der Betroffene brachte daraufhin mit Eingabe vom 01.10.2020 eine Beschwerde bei der Datenschutzbehörde ein. Das Beschwerdeverfahren wurde zur Verfahrenszahl D124.3076 geführt.

Die Datenschutzbehörde gab mit Bescheid vom 10.05.2021 (GZ: D124.3076, 2021-0.096.835) der Beschwerde des Betroffenen statt und stellte darin in Spruchpunkt 1. fest, dass die Beschuldigte den Betroffenen im Recht auf Löschung verletzt hat, indem sie dessen Löschungsantrag vom 23.09.2020 abgelehnt hat.

Mit Spruchpunkt 2. des Bescheides erging an die Beschuldigte (Anm.: im Beschwerdeverfahren als Beschwerdegegner bezeichnet) folgende Anweisung (Formatierung nicht 1:1 wiedergegeben):

1. Dem Beschwerdegegner wird aufgetragen , binnen drei Wochen hinsichtlich der auf der Website des Beschwerdegegners (www.n***.com) unter ID: *4*6 öffentlich zugänglich verarbeiteten Daten des Beschwerdeführers

a. die Offenlegung durch Übermittlung zu unterlassen und

b. diese Daten zu löschen oder in einem nicht öffentlich zugänglichen Bereich zu speichern .

Dieser Bescheid erwuchs in weiterer Folge in Rechtskraft.

Beweiswürdigung zu 1.1.2. : Diese Feststellungen ergeben sich aus den Aktenbestandteilen des Beschwerdeverfahrens zu D124.3076.

1.1.3. Zum Entscheidungszeitpunkt sind auf dem Spielerprofil des Betroffenen weiterhin dessen Name, sowie sämtliche Spielstatistiken ersichtlich.

Anstatt des Fotos wird beim Spielerprofil ein Symbolbild mit der Aufschrift „NICHT ÖFFENTLICH ERSICHTLICH“ angezeigt. Beim Punkt Mannschaft scheint die Information „Vereinslos“ auf. Die Informationen Jahrgang, Status, Im Verein seit, Nationalität, Rückennummer scheinen nicht mehr auf.

Die Beschuldigte kam auch Löschungsbegehren anderer betroffener Personen nicht vollständig nach und sind auch von diesen Personen nach wie vor deren Name und sämtliche Spielstatistiken auf der Webseite der Beschuldigten einsehbar.

Die Datenschutzbehörde trug der Beschuldigten in mehreren Bescheiden auf, Daten von betroffenen Personen auf ihrer Webseite zu löschen. Die Beschuldigte kam den Anweisungen der Datenschutzbehörde nicht nach.

Auch das Bundesverwaltungsgericht bestätigte mit rechtskräftigem Erkenntnis vom 12.04.2023 einen Bescheid der Datenschutzbehörde, wonach Daten einer betroffenen Person von der Beschuldigten von ihrer Webseite zu löschen sind. Die Beschuldigte ignorierte auch dieses Erkenntnis.

Beweiswürdigung zu 1.1.3. : Die Feststellung, dass die oben genannten Daten des Betroffenen nach wie vor öffentlich einsehbar sind, ergibt sich aus einem Aufruf der URL https://www.n***.com/?action=showPlayer id=*4*6 (zuletzt durch die Datenschutzbehörde abgefragt am 19.12.2023, Screenshot im Akt). Dass die Beschuldigte auch Anträgen auf Löschung anderer Personen nicht vollständig nachgekommen ist und dass ihr die Datenschutzbehörde in mehreren Bescheiden die Löschung auftrug, ergibt sich aus mehreren von der Datenschutzbehörde mit Bescheid abgeschlossenen Beschwerdeverfahren (etwa die Beschwerdeverfahren zu D124.1086, D124.3657, D124.1324/23). Die Feststellung, dass das Bundesverwaltungsgericht einen Bescheid der Datenschutzbehörde bestätigt hat, ergibt sich aus dem entsprechenden Erkenntnis vom 12.04.2023; GZ: W252 2246403-1/10E. Dass die Beschuldigte dieses Erkenntnis ignoriert hat, ergibt sich aus einer Abfrage des in jenem Verfahren gegenständlichen Spielerprofils (siehe: https://www.n***.com/?action=showPlayer id=5*4*, zuletzt abgefragt am 29.12.2023, Screenshot im Akt).

1.2. Zum Gang des vorliegenden Verwaltungsstrafverfahrens

1.2.1. Mit Schreiben vom 02.05.2022 leitete die Datenschutzbehörde das gegenständliche Verwaltungsstrafverfahren ein und forderte die Beschuldigte zur Rechtfertigung sowie zur Darlegung ihrer Vermögensverhältnisse auf.

Die Beschuldigte brachte trotz telefonischer Ankündigung am 13.06.2022 keine schriftliche Rechtfertigung bei der Datenschutzbehörde ein und äußerte sich auch nicht zu ihren Vermögensverhältnissen.

1.2.2. Mit Bescheid 27.04.2023 setzte die Datenschutzbehörde das vorliegende Verwaltungsstrafverfahren bis zur rechtskräftigen Entscheidung durch den Gerichtshof der Europäischen Union in der Rechtssache C-807/21 aus. Dieser Aussetzungsbescheid erwuchs mangels Erhebung eines Rechtsmittels in Rechtskraft.

Mit Bescheid vom 05.12.2023 hob die Datenschutzbehörde den Aussetzungsbescheid vom 27.04.2023 von Amts wegen auf und setzte das Verwaltungsstrafverfahren – unter Berücksichtigung des Urteils vom 05.12.2023 des EuGH in der Rechtssache C-807/21 – fort.

Beweiswürdigung zu 1.2.1. und 1.2.2.: Die Feststellungen gründen auf dem Inhalt des gegenständlichen Verwaltungsstrafakts. Mit Aktenvermerk vom 13.06.2022 wurde der Verlauf des Telefonats mit dem damaligen Obmann der Beschuldigten festgehalten, in welchem dieser angekündigt hat, eine Rechtfertigung einzubringen.

2. Rechtlich folgt daraus:

2.1. Zur Zuständigkeit der Datenschutzbehörde und zum Anwendungsbereich der DSGVO

Gemäß Art. 83 Abs. 4 lit. a können Geldbußen bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, wenn gegen die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43 verstoßen wird.

Art. 83 Abs. 5 lit. b DSGVO legt fest, dass bei Verstößen gegen die Bestimmungen der Art. 12 bis 22 DSGVO Geldbußen von bis zu 20 000 000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können, je nachdem, welcher der Beträge höher ist.

Gemäß Art. 83 Abs. 6 DSGVO werden bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.

Nach § 22 Abs. 5 DSG liegt die Zuständigkeit für die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen für Österreich als nationaler Aufsichtsbehörde bei der Datenschutzbehörde.

Die Datenschutzbehörde ist daher im vorliegenden Fall zuständig.

2.2. Zur Verarbeitung personenbezogener Daten und zur Verantwortlicheneigenschaft der Beschuldigten

Gemäß Art. 2 Abs. 1 DSGVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

In Bezug auf das Vorliegen einer Verarbeitung personenbezogener Daten im Sinne von Art. 4 Z 1 und 2 DSGVO bestehen keine Zweifel und wurde dies von der Beschuldigten auch nicht bestritten.

Die Beschuldigte verarbeitet durch die Veröffentlichung der in 1.1.1. genannten Informationen unzweifelhaft personenbezogene Daten.

Auch die Rolle der Beschuldigten als Verantwortliche gemäß Art. 4 Z 7 DSGVO wurde zu keinem Zeitpunkt bestritten und es ergaben sich im Verfahren keine Anhaltspunkte für eine gegenteilige Annahme. Als Verantwortliche ist die Beschuldigte Adressat der einschlägigen Pflichten der DSGVO.

2.3. Zum Verstoß gemäß Spruchpunkt I.

Gemäß Art. 25 Abs. 1 DSGVO trifft der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen der DSGVO zu genügen und die Rechte der betroffenen Personen zu schützen.

ErwGr 78 DSGVO konkretisiert, was geeignete technische und organisatorische Maßnahmen sein können.

So ist darin auszugsweise Folgendes geregelt: Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern.

Der Europäische Datenschutzausschuss (EDSA) hat in seinen Leitlinien zu Art. 25 DSGVO betont, dass sowohl die geeigneten Maßnahmen als auch die notwendigen Garantien demselben Zweck dienen sollen, nämlich die Rechte der betroffenen Personen zu schützen und sicherzustellen, dass der Schutz ihrer personenbezogenen Daten in die Verarbeitung aufgenommen wird (vgl. Leitlinien 4/2019 zu Artikel 25, Rz 7).

Die Verantwortlichen müssen die Grundsätze umsetzen, um Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen zu gewährleisten. Zu diesen Grundsätzen gehören Transparenz, Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie die Rechenschaftspflicht.

Herauszustreichen ist für den vorliegenden Fall der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO. Demnach müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Der EDSA führt in den genannten Leitlinien einige Beispiele für zentrale Aspekte der Technikgestaltung und der Voreinstellung in Bezug auf die Datenminimierung an.

Ist es für die Verarbeitung nicht notwendig, dass sich der endgültige Datensatz auf ein identifiziertes oder identifizierbares Individuum bezieht, (wie in Statistiken) dies jedoch bei der ursprünglichen Verarbeitung der Fall ist, muss der Verantwortliche die personenbezogenen Daten löschen oder anonymisieren, sobald die Identifizierung nicht mehr erforderlich ist (vgl. die bereits genannten Leitlinien des EDSA, Rz 75 und 76).

Auch Aspekte der Rechenschaftspflicht finden sich ferner im in Art. 25 Abs. 1 DSGVO verankerten Grundsatz „Datenschutz durch Technik“, wonach die Mittel zur Verarbeitung, d.h. Produkte, Dienstleistungen und Anwendungen, sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung derart zu wählen sind, dass die Anforderungen der DSGVO erfüllt werden können (vgl. Baumgartner in Ehmann/Selmayr (Hrsg.), DS-GVO 2 [2018] Art. 25 Rz 2; siehe auch Hötzendorfer in Gantschacher/Jelinek/Schmidl/Spanberger (Hrsg.), Kommentar zur Datenschutz-Grundverordnung [2017] Art. 25 Anm. 3).

Voraussetzung für die Verarbeitung personenbezogener Daten in verantwortlicher Weise ist, dass der Verantwortliche sowohl über die Kenntnisse für die Umsetzung des Datenschutzes als auch über die hierfür erforderlichen Fähigkeiten verfügt. Dies bedeutet, dass der Verantwortliche die Datenschutzverpflichtungen, die ihm aus der DSGVO erwachsen, kennt und dass er diese Verpflichtungen einhalten kann (vgl. die bereits genannten Leitlinien des EDSA, Rz 88).

Die Beschuldigte hätte – etwa nach einem berechtigten Löschungsbegehren – dafür Sorge zu tragen, dass durch die auf ihrer Webseite veröffentlichten Daten kein Rückschluss auf die betroffene Person mehr möglich ist. Dies könnte etwa – wie auch vom EDSA in seinen Leitlinien ausdrücklich genannt – durch eine Anonymisierung erfolgen (vgl. die genannten Leitlinien des EDSA, Rz 54; siehe zur Anonymisierung als Mittel zur Löschung auch den Bescheid der DSB vom 05.12.2018, DSB-D123.270/0009-DSB/2018).

Auch das Bundesverwaltungsgericht hat bereits ausgeführt, dass die Beschuldigte gemäß Art. 25 DSGVO angehalten ist, dem Gedanken des Datenschutzes durch Technikgestaltung Rechnung zu tragen. Demnach ist das Argument, dass die Daten von Betroffenen für Neuanmeldungen, Transfers und zur Überprüfung von Mehrfachmeldungen bei Namensgleichheit benötigt werden, dann unbeachtlich, wenn betroffene Personen bereits aus dem Verband des Beschuldigten ausgeschieden sind bzw. seit vielen Jahren keine aktiven Spieler mehr sind (vgl. das Erkenntnis des BVwG vom 12.04.2023, GZ: W252 2246403-1/10E).

Im Ergebnis hat die Beschuldigte jedenfalls im Tatzeitraum 1 gegen Art. 25 DSGVO verstoßen, indem sie keine geeigneten technischen und organisatorischen Maßnahmen getroffene hat, damit im Fall einer erforderlichen Löschung aus der öffentlichen Datenbank der Beschuldigten keine Rückschlüsse mehr auf betroffene Personen gezogen werden können.

Die Beschuldigte hat somit im Tatzeitraum 1 die objektive Tatseite von Art. 25 Abs. 1 DSGVO erfüllt.

2.4. Zum Verstoß gemäß Spruchpunkt II.

Gemäß Art. 17 Abs. 1 DSGVO hat eine betroffene Person das Recht, vom Verantwortlichen die unverzügliche Löschung ihrer personenbezogenen Daten zu verlangen, und ist darüber hinaus der Verantwortliche selbst verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn einer der in Art. 17 Abs. 1 lit. a – lit. f DSGVO genannten Gründe vorliegt.

Der Betroffene brachte im Beschwerdeverfahren zu D124.3076 vor, er wünsche die Löschung seiner Daten, die öffentlich verarbeitet würden und von Suchmaschinen gefunden werden könnten, spiele nicht mehr Fußball und habe daher nicht vor, jemals wieder an der von der Beschuldigten veranstalteten Fußballliga als Spieler teilzunehmen. Die Verarbeitung seiner Daten sei daher nicht mehr notwendig.

Wie die Datenschutzbehörde mit Bescheid vom 10.05.2023 rechtskräftig festgestellt hat, hat die Beschuldigte den Betroffenen im Recht auf Löschung verletzt, indem sie den Löschungsantrag des Betroffenen vom 23.09.2020 abgelehnt hat.

Die personenbezogenen Daten des Betroffenen sind iSd Art. 17 Abs. 1 lit. a DSGVO für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

Darüber hinaus werden die personenbezogenen Daten des Betroffenen iSd Art. 17 Abs. 1 lit. d leg. cit. unrechtmäßig verarbeitet:

Die Beschuldigte hat es – trotz Aufforderungen der Datenschutzbehörde im Beschwerdeverfahren zu D124.3076 sowie im vorliegenden Verwaltungsstrafverfahren – unterlassen, eine konkrete Rechtsgrundlage iSd Art. 6 Abs. 1 DSGVO für die Datenverarbeitung zu benennen.

Festzuhalten ist, dass die ein zuvor erteilte allfällige Einwilligung durch den Betroffenen gemäß Art. 7 Abs. 3 DSGVO mit dem Antrag auf Löschung vom 23.09.2020 widerrufen wurde. Mit dem wirksamen Widerruf der Einwilligung des Betroffenen entfällt auch eine etwaige Rechtsgrundlage gemäß Art. 6 Abs. 1 lit. a DSGVO (Rechtmäßigkeit der Verarbeitung aufgrund der Einwilligung der betroffenen Person).

Falls die Beschuldigte sich auf ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO stützt, ist auszuführen, dass sich die Gewichtung der ursprünglichen Interessenlage mittlerweile verschoben hat, weil der Betroffene seit Jahren bereits aus der Fußballliga der Beschuldigten ausgeschieden ist. Er bestritt am 06.10.2019 sein letztes Spiel. Es ist kein Grund mehr gegeben, weshalb die Daten des Betroffenen für die von der Beschuldigten veranstaltete Fußballliga noch benötigt werden würden. Auch das Interesse der an Sportwettbewerben interessierten Öffentlichkeit an Daten eines nicht mehr an Wettbewerbsspielen teilnehmenden Fußballers ist als gering zu bewerten. Somit überwiegt verfahrensgegenständlich das berechtigte Interesse des Betroffenen.

Die Datenschutzbehörde verkennt nicht, dass in Art. 17 Abs. 3 DSGVO Ausnahmetatbestände des Art. 17 normiert sind, jedoch brachte die Beschuldigte keine solchen vor und sind aus dem Verfahrensgang auch nicht hervorgegangen.

Aus Sicht der Datenschutzbehörde erscheint für die Verarbeitung der einzig in Frage kommende Ausnahmetatbestand, auf welchen sich die Beschuldigte stützen könnte, der im öffentlichen Interesse liegende Archivzweck gemäß Art. 17 Abs. 3 lit. d iVm Art 89 DSGVO.

Da etwa durch eine Anonymisierung der Daten des Betroffenen Spielergebnisse weder unmöglich gemacht noch ernsthaft beeinträchtigt wird, ist der Ausnahmetatbestand auf den gegenständlichen Fall nicht anwendbar (zur Anonymisierung als Mittel zur Löschung siehe erneut den Bescheid der DSB vom 05.12.2018, DSB-D123.270/0009-DSB/2018).

Insbesondere unter Bedachtnahme der Faktoren der Zweckmäßigkeit, Erheblichkeit und Zweckorientiertheit erscheint eine Aufbewahrung in der Form, die die Identifizierbarkeit des Betroffenen ermöglichen, im gegenständlichen Einzelfall als nicht notwendig (vgl. Art. 5 Abs. 1 lit. c DSGVO („Datenminimierung“). Auch der Grundsatz der Speicherbegrenzung (Art: 5 Abs. 1 lit. e DSGVO) spricht für diese Wertung.

Die Datenschutzbehörde merkt zudem nochmals an, dass das Bundesverwaltungsgericht in einem ähnlich gelagerten Verfahren zum selben Ergebnis gekommen ist (vgl. BVwG W252 2246403-1/10E vom 12. April 2023).

Wie den Feststellungen zu entnehmen ist, verarbeitet die Beschuldigte nach wie vor Daten des Betroffenen auf ihrer Webseite und ist dem Löschungsbegehren des Betroffenen bis dato – trotz rechtskräftigen Bescheides der Datenschutzbehörde – nicht gänzlich nachgekommen.

Die Beschuldigte verletzte den Betroffenen daher im Tatzeitraum 2 im Recht auf Löschung gemäß Art. 17 DSGVO und ist diesbezüglich der objektive Tatbestand erfüllt.

2.5. Zum Verstoß gemäß Spruchpunkt III.

Der Datenschutzbehörde steht iSd Art. 58 Abs. 2 lit. c DSGVO die Befugnis zu, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen.

Im gegenständlichen Fall ist die Beschuldigte der Anweisung der Aufsichtsbehörde nur teilweise nachgekommen.

Es wurde zwar zu einem nicht näher feststellbaren Zeitpunkt das Spielerfoto des Betroffenen sowie die Informationen „Jahrgang“, „Status“, „Nationalität“, „Im Verein seit“ und „Rückennummer“ gelöscht. Jedoch sind der Name und alle sonstigen unter Punkt 1.1.1. aufgelisteten Informationen über den Betroffenen weiterhin öffentlich auf der Webseite der Beschuldigten einsehbar.

Vor dem Hintergrund des als erwiesen festgestellten Sachverhalts hat die Beschuldigte als Verantwortliche gemäß Art. 4 Z 7 DSGVO die objektive Tatseite der Verwaltungsübertretung des Art. 58 Abs. 2 lit. c iVm Art. 83 Abs. 6 DSGVO zu verantworten, da sie der Anweisung der Datenschutzbehörde, die Daten des Betroffenen zu löschen oder in einem nicht öffentlich zugänglichen Bereich zu speichern, nicht nachgekommen ist.

2.6. Zur Strafbarkeit der Beschuldigten als juristische Person

Die Voraussetzungen für die Verhängung von Geldbußen sowohl gegen natürliche Personen als auch gegen juristische Personen werden in Art. 83 DSGVO normiert. Der nationale Gesetzgeber hat jedoch in § 30 Abs. 1 und 2 DSG weitere „ allgemeine Bedingungen für die Verhängung von Geldbußen “ normiert.

Nach § 30 Abs. 1 DSG kann die Datenschutzbehörde Geldbußen gegen eine juristische Person verhängen, wenn Verstöße gegen Bestimmungen der DSGVO durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund (1) der Befugnis zur Vertretung der juristischen Person (2) der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder (3) einer Kontrollbefugnis innerhalb der juristischen Person innehaben.

Juristische Personen können wegen Verstößen gegen Bestimmungen der DSGVO gemäß § 30 Abs. 2 DSG auch in jenen Fällen verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in § 30 Abs. 1 DSG genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

Der Verwaltungsgerichtshof hat in seinem Erkenntnis vom 12.05.2020 zu Ro 2019/04/0229 erstmalig mit der Anwendbarkeit der Strafbarkeitsvoraussetzungen des § 30 DSG in einem Verfahren nach Art. 83 DSGVO auseinandergesetzt und stellte in diesem Zusammenhang fest, dass eine juristische Person nicht selbst handeln kann und daher ihre Strafbarkeit nach § 30 DSG eine Folge des tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens einer Führungsperson im Sinne des § 30 Abs. 1 DSG ist. Demnach sei für die Wirksamkeit der gegen die juristische Person gerichteten Verfolgungshandlung die genaue Umschreibung der Tathandlung der natürlichen Person (Führungsperson bzw. sogenannte „Zurechnungsperson“) vonnöten. Die Zurechnung der Tathandlung durch die Führungsperson an die juristische Person müsse im Spruch aufgenommen und die Zurechnungsperson zudem als identifizierte natürliche Person namentlich genannt werden (vgl. VwGH 12.05.2020, Ro 2019/04/0229, mwN). Mit anderen Worten: die Datenschutzbehörde müsse in einem Verfahren nach Art. 83 DSGVO im Spruch des Straferkenntnisses jene natürliche Person, deren Verstoß gegen die DSGVO bzw. das DSG der im Sinne des Art. 4 Z 7 DSGVO verantwortlichen juristischen Person zugerechnet werden soll, namentlich nennen, um eine Geldbuße nach Art. 83 DSGVO gegen die Verantwortliche als juristische Person verhängen zu können.

Mit Beschluss vom 06.12.2021 ersuchte das Kammergericht Berlin den EuGH im Rahmen eines Vorabentscheidungsersuchens nach Art. 267 AEUV um Auslegung des Art. 83 DSGVO in Bezug auf die Frage, ob ein Unternehmen unmittelbar Betroffener im Bußgeldverfahren wegen eines Verstoßes gegen Art. 83 DSGVO sein kann und legte in diesem Zusammenhang folgende Fragen vor:

1. Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?

2. Wenn die Frage zu 1. bejaht werden sollte: Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?

Durch das Vorabentscheidungsersuchen des Kammergerichts Berlin war es fraglich, ob die Bestimmungen des § 30 Abs. 1 und 2 DSG überhaupt zur Anwendung gelangen dürfen, weil sie gegen die unmittelbar anwendbaren Bestimmungen der DSGVO verstoßen, und ob die Ausführungen des VwGH in seinem oben zitierten Erkenntnis zur Strafbarkeit juristischer Personen in Verfahren nach Art. 83 DSGVO aufrechterhalten werden können. Da die Entscheidung des EuGH zu diesen Vorlagefragen präjudizielle Wirkung für das gegenständliche Verfahren hatte, wurde das Verwaltungsstrafverfahren ausgesetzt.

Der EuGH hielt schließlich in seinem rezenten Urteil vom 05.12.2023 fest, dass die unmittelbar anwendbaren Bestimmungen nach Art. 58 Abs. 2 lit. i und Art. 83 Abs. 1 bis 6 DSGVO dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.

Der EuGH führte in diesem Zusammenhang aus, dass juristische Personen nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelt. Außerdem müsse es möglich sein, die in Art. 83 DSGVO vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen (vgl. EuGH vom 05.12.2023, C-807/21 Rs Deutsche Wohnen SE, Rn 44).

Die (materiellen) Voraussetzungen für die Verhängung von Geldbußen durch Aufsichtsbehörden sind in Art. 83 Abs. 1 bis 6 DSGVO genau und ohne Ermessensspielraum für die Mitgliedstaaten geregelt. Die DSGVO enthält keine Bestimmung, wonach die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche davon abhängt, dass zuvor festgestellt wird, dass dieser Verstoß von einer identifizierten natürlichen Person begangen wurde. Die DSGVO räumt den Mitgliedstaaten lediglich die Möglichkeit/Befugnis ein, Anforderungen an das von den Aufsichtsbehörden anzuwendende Verfahren bei der Verhängung einer Geldbuße vorzusehen, jedoch keineswegs über diese verfahrensrechtlichen Anforderungen die Normierung von materiellen Voraussetzungen, die zu jenen in Art. 83 Abs. 1 und 6 DSGVO hinzutreten (vgl. EuGH C-807/21, Rn 45 ff). Die Voraussetzungen für die Verhängung einer Geldbuße nach Art. 83 DSGVO durch eine Aufsichtsbehörde ergeben sich daher ausschließlich durch das Unionsrecht.

Der EuGH führte hierzu ins Treffen, dass eine nationale Regelung, die zusätzliche Anforderungen für die Verhängung von Geldbußen nach Art. 83 DSGVO normiert, gegen Art. 83 Abs. 1 DSGVO verstößt, weil dadurch die Wirksamkeit und die abschreckende Wirkung von Geldbußen geschwächt wird, die gegen juristische Personen verhängt werden. Dabei muss berücksichtigt werden, dass Geldbußen ein Schlüsselelement darstellen zur Durchsetzung der Ziele der DSGVO bzw. um die Wahrung der Rechte betroffener Personen zu gewährleisten und um ein hohes Schutzniveau unionsweit sicherzustellen (vgl. EuGH C-807/21, Rn 51 und 73). Im Ergebnis stellte der EuGH daher fest, dass die Voraussetzungen für die Verhängung einer Geldbuße nach Art. 83 DSGVO abschließend in Art. 83 Abs. 1 bis 6 DSGVO geregelt ist (Rn 53).

2.7. Zur subjektiven Tatseite

Der EuGH hat in Bezug auf die zweite Vorlagefrage, wie schon bereits von der Datenschutzbehörde in ihrer bisherigen Spruchpraxis angenommen, nun explizit festgehalten, dass nur Verstöße gegen Bestimmungen der DSGVO, die der Verantwortliche schuldhaft, d.h. vorsätzlich oder fahrlässig begeht, zur Verhängung einer Geldbuße führen können (vgl. EuGH vom 05.12.2023, C-807/21, Rn 68).

In Bezug auf die subjektive Tatseite ist zu berücksichtigen, dass die Voraussetzung des Verschuldens für die Verhängung einer Geldbuße nach Art. 83 DSGVO unionsautonom auszulegen und insbesondere im Lichte der Rechtsprechung des EuGH zu beurteilen ist. Auch zur Vorlagefragen in Bezug auf das Verschulden stellte der EuGH fest, dass den Mitgliedstatten in diesem Zusammenhang kein Ermessensspielraum durch den Unionsgesetzgeber für nationale Regelungen eingeräumt wurde, da die materiellen Voraussetzungen ausschließlich/abschließend in Art. 83 Abs. 1 bis 6 DSGVO genau geregelt sind (vgl. hierzu auch EuGH vom 05.12.2023, C-683/21 Rs Nacionalinis visuemenes sveikatos centras, Rn 64 ff).

Zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und daher mit einer Geldbuße geahndet werden kann, stellte der EuGH in seinem oben zitierten Urteil gleichzeitig klar, dass ein solches Verschulden bereits vorliegt, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, unabhängig, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rn 76).

Unter Verweis auf weitere Rechtsprechung stellte der EuGH zudem ausdrücklich klar, dass die Anwendung von Art. 83 DSGVO gegenüber juristischen Personen keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (vgl. EuGH vom 05.12.2023, C-807/21, Rn 77).

Die Verantwortung und Haftung eines Verantwortlichen erstreckt sich dabei auf jedwede Verarbeitung personenbezogener Daten, die durch oder in seinem Namen erfolgt. In diesem Rahmen muss der Verantwortliche nicht nur geeignete und wirksame Maßnahmen treffen, sondern muss er auch nachweisen können, dass seine Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die er ergriffen hat, um diesen Einklang sicherzustellen, auch wirksam sind (vgl. EuGH C-807/21, Rn 38, unter Verweis auf ErwGr 74).

Umgelegt auf den vorliegenden Fall bedeutet dies Folgendes:

Zunächst ist festzuhalten, dass es im Rahmen des Ermittlungsverfahrens keine Anhaltspunkte dafür gab, dass die gegenständlichen Verstöße von einer Person begangen wurden, die nicht im Rahmen der Tätigkeit und im Namen der Beschuldigten handelten.

Die Beschuldigte hat es trotz mittlerweile zahlreicher gegen sie ergangener behördlicher Bescheide und einer verwaltungsgerichtlichen Entscheidung unterlassen, geeignete technischen und organisatorische Maßnahmen zu treffen, damit im Fall einer erforderlichen Löschung aus der öffentlichen Datenbank ein Personenbezug zu betroffenen Personen nicht mehr hergestellt werden kann.

Die Beschuldigte ist dem Löschungsbegehren des Betroffenen vom 23.09.2020 und dem Leistungsauftrag im Bescheid der Datenschutzbehörde vom 10.05.2021 (GZ: D124.3076, 2021-0.096.835) nach wie vor nicht gänzlich nachgekommen.

Sie konnte sich über die Rechtswidrigkeit nicht nur nicht im Unklaren sein, sondern war ihr sogar bewusst, dass sie gegen Vorschriften der DSGVO verstößt.

Die Datenschutzbehörde geht in Bezug auf alle von der Beschuldigten begangenen Rechtsverstöße von Verschulden in Form von Vorsatz aus.

Dadurch ist die subjektive Tatseite erfüllt.

3. Zur Strafzumessung ist Folgendes festzuhalten:

Gemäß Art. 83 Abs. 1 DSGVO hat die Datenschutzbehörde sicherzustellen, dass die Verhängung von Geldbußen für Verstöße gegen die unter Sanktion gestellten Bestimmungen der DSGVO (Art. 83 Abs. 4, 5 und 6 DSGVO) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Näherhin bestimmt Art. 83 Abs. 2 DSGVO, dass bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall bestimmte Kriterien gebührend zu berücksichtigen sind.

Die Datenschutzbehörde hat im Rahmen der Strafbemessung die Leitlinien des EDSA betreffend Berechnung von Geldbußen nach der DSGVO (vgl. EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 2.1 vom 24.05.2023 – im Folgenden „Fines-Leitlinien“) zur Anwendung gebracht.

Die Strafbemessung innerhalb eines gesetzlichen Strafrahmens ist eine Ermessensentscheidung, die nach den vom Gesetzgeber im § 19 VStG festgelegten Kriterien vorzunehmen ist (vgl. VwGH 05.09.2013, 2013/09/0106).

Gemäß § 19 Abs. 1 VStG sind die Grundlagen für die Bemessung der Strafe die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat. Überdies sind nach dem Zweck der Strafdrohung die in Betracht kommenden Erschwerungs- und Milderungsgründe, soweit sie nicht schon die Strafdrohung bestimmen, gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechtes sind die §§ 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens- und Vermögensverhältnisse und allfällige Sorgepflichten des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen (dies gilt naturgemäß nur für natürliche Personen, ist aber sinngemäß auf juristische Personen zu übertragen); dies allerdings nur in dem Ausmaß, als nicht die unmittelbar zur Anwendung gelangenden Bestimmungen der DSGVO die Bestimmungen des VStG verdrängen und in dem Umfang, welcher von Art. 83 Abs. 8 DSGVO und Erwägungsgrund 148 im Hinblick auf die zu gewährleistenden Verfahrensgarantien angeordnet wird.

Durch Art. 83 Abs. 3 DSGVO wird in Abweichung zu dem mit § 22 Abs. 2 VStG normierten Kumulationsprinzip angeordnet, dass in Fällen gleicher oder miteinander verbundener Verarbeitungsvorgänge (in der englischen Sprachfassung: „the same or linked processing operations“), durch die vorsätzlich oder fahrlässig gegen mehrere Bestimmungen der DSGVO verstoßen wird, der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß übersteigt. Somit gilt im Anwendungsbereich dieser Bestimmung das Absorptionsprinzip.

Gemäß Art. 83 Abs. 5 lit. a bzw. Abs. 6 DSGVO werden im Falle der dort genannten Verstöße, im Einklang mit Abs. 2, Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.

Darüber hinaus ist im Sinne des Art. 83 Abs. 1 DSGVO zu beachten, dass im Rahmen der Strafbemessung des „Gesamtbetrages der Geldbuße“ unter Anwendung des Absorptionsprinzips nach Art. 83 Abs. 3 DSGVO alle begangenen Verstöße gegen die DSGVO berücksichtigt werden müssen. Der Wortlaut „Betrag für den schwerwiegendsten Verstoß“ bezieht sich dabei auf den Strafrahmen bzw. die gesetzlich vorgegebenen Höchstbeträge (siehe Art. 83 Abs. 4 bis 6 DSGVO). Der EDSA hielt hierzu fest, dass im Anwendungsbereich des Art. 83 Abs. 3 DSGVO die anderen begangenen Verstöße nicht de facto verworfen werden können, sondern bei der Strafbemessung dementsprechend berücksichtigt werden müssen (vgl. Fines-Leitlinien, Kapitel 3 – Rz 43). Ansonsten würde dies zu einer Privilegierung von Verantwortlichen und Auftragsverarbeiter führen, die im Rahmen eines festgestellten Sachverhaltes gleich gegen mehrere Bestimmungen der DSGVO verstoßen haben.

Mangels Mitwirkung der Beschuldigten in Bezug auf die Feststellung ihrer Vermögensverhältnisse musste die Datenschutzbehörde eine Schätzung vornehmen (vgl. VwGH 11.05.1990, 89/18/0179; 22.04.1992, 92/03/0019; 23.02.1996, 95/02/0174). In Anbetracht der Fines-Leitlinien wird die Beschuldigte in Bezug auf ihren Umsatz und im Hinblick auf die Verhängung einer wirksamen, abschreckenden und verhältnismäßigen Geldbuße im Zuge der Schätzung in die niedrigste Kategorie („Undertakings with a turnover up until € 2 Million“) eingestuft. Durch diese Einstufung wird die Unternehmensgröße gebührend berücksichtigt, um insbesondere die Verhältnismäßigkeit der Geldbuße zu gewährleisten.

Der Strafrahmen im konkreten Fall reicht gemäß Art. 83 Abs. 5 DSGVO bis zu einem Betrag in der Höhe von EUR 20.000.000,- (statischer Strafrahmen). Der dynamische Strafrahmen (4% des Jahresumsatzes) gelangt nicht zur Anwendung.

Im Lichte des als erwiesen angenommenen Sachverhalts und unter Berücksichtigung der Art, Schwere und Dauer des Verstoßes (Art. 83 Abs. 1 lit. a DSGVO), der Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Art. 83 Abs. 2 lit. b DSGVO) sowie die Kategorien personenbezogener Daten, die vom Verstoß betroffen sind (Art. 83 Abs. 2 lit. g DSGVO) wird von der Datenschutzbehörde die Schwere der Zuwiderhandlung („Seriousness of the infringement“) mit einem mittelhohen Schweregrad („medium level of seriousness“) festgelegt.

Bezogen auf den vorliegenden Sachverhalt wurde darüber hinaus (über die bereits für die Feststellung des Schweregrades berücksichtigten Kriterien nach Art. 83 Abs. 1 lit. a, b und g DSGVO hinaus) bei der Strafzumessung Folgendes erschwerend berücksichtigt:

 Die Beschuldigte brachte trotz telefonischer Ankündigung keine schriftliche Rechtfertigung bei der Datenschutzbehörde ein, äußerte sich nicht zu ihren Vermögensverhältnissen und arbeitete somit in einem sehr geringen Umfang mit der Datenschutzbehörde zusammen (vgl. Art. 83 Abs. 1 lit. f DSGVO)

Bezogen auf den vorliegenden Sachverhalt wurde bei der Strafzumessung Folgendes mildernd berücksichtigt:

 Gegen die Beschuldigte liegen bei der Datenschutzbehörde keine einschlägigen früheren Verstöße gegen die DSGVO vor (vgl. Art. 83 Abs. 2 lit. e DSGVO)

Bei der Bemessung der Strafe dürfen nach ständiger Rechtsprechung des VwGH auch Überlegungen der Spezialprävention und Generalprävention einbezogen werden (vgl. VwGH 15.5.1990, 89/02/0093, VwGH 22.4.1997, 96/04/0253, VwGH 29.1.1991, 89/04/0061).

Die Verhängung der konkreten Geldstrafe war jedenfalls im Sinne der Spezialprävention notwendig, um die Beschuldigte von der Begehung weiterer Verstöße abzuhalten, um sie in Bezug auf Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen gemäß Art. 25 DSGVO und um sie auf ihre Pflichten im Zusammenhang mit Löschungsbegehren und die Befolgung von Anweisungen der Datenschutzbehörde zu sensibilisieren. Es ist jedenfalls davon auszugehen, dass die Beschuldigte ohne die Verhängung einer Geldstrafe die gegenständliche Verarbeitung fortsetzen wird, hat sie doch auch schon ein rechtskräftiges Erkenntnis des Bundesverwaltungsgericht nicht weiter beachtet.

Die Verhängung der Geldstrafe war darüber hinaus auch im Sinne der Generalprävention erforderlich, um Verantwortliche in Bezug auf Datenverarbeitungen im Rahmen von vergleichbaren öffentlich einsehbaren Datenbanken sowie in Bezug auf den Umgang mit Löschungsbegehren und Leistungsaufträgen der Datenschutzbehörde zu sensibilisieren.

Die im Ergebnis konkret verhängte Strafe in der Höhe von EUR 11.000,- erscheint im Hinblick auf den verwirklichten Tatunwert, gemessen am zur Verfügung stehenden Strafrahmen (hier bis zu EUR 20.000.000) tat- und schuldangemessen und befindet sich am untersten Ende des zur Verfügung stehenden Strafrahmens.