2024-0.671.673 – Datenschutzbehörde Entscheidung

GZ: 2024-0.671.673 vom 7. Oktober 2024 (Verfahrenszahl: DSB-D550.1092)

[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

Straferkenntnis

Beschuldigte juristische Person: B*** GmbH (FN *5*0*1k)

Die beschuldigte juristische Person mit Sitz in **** I***tal, J***straße *2 (im Folgenden „B***“), hat als Verantwortliche im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016, S. 1 idgF, nachstehenden Sachverhalt verwirklicht und dadurch folgende Verwaltungsübertretung begangen:

B*** hat in ihrer Rolle als Verantwortliche gemäß Art. 4 Z 7 DSGVO im Zeitraum vom 18.12.2023 bis zum 13.09.2024 gegen ihre Pflicht zur Zusammenarbeit mit der Datenschutzbehörde (als zuständige Aufsichtsbehörde) gemäß Art. 31 DSGVO verstoßen, indem sie den folgenden Aufforderungen zur Stellungnahme im Rahmen des Sicherheitsverletzungs-Verfahrens zur GZ: D084.4838 nicht entsprach:

 18.12.2023 : Mitteilung, Aufforderung zur Vornahme einer ergänzenden Meldung (GZ: D084.4838 – 2023-0.897.054) per E-Mail an “info@b***.at“ (Lesebestätigung vom 18.12.2023);

 15.03.2024 : Aufforderung zur ergänzenden Meldung (GZ: D084.4838 – 2024-0.150.102) per RSb an „J***straße *2, **** I***tal“, zugestellt am 20.03.2024.

Dadurch hat B*** als Verantwortliche auf Anfrage einer Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben nicht zusammengearbeitet.

Erst nachdem das gegenständliche Verwaltungsstrafverfahren eingeleitet und die Beschuldigte zur Rechtfertigung aufgefordert wurde, brachte die Beschuldigte mit E-Mail vom 13.09.2024 eine Stellungnahme in Bezug auf das oben zitierte Sicherheitsverletzungsverfahren ein.

Die beschuldigte juristische Person hat daher im Ergebnis folgende Vorschrift der DSGVO verletzt:

 Die Pflicht von Verantwortlichen, gemäß Art. 31 DSGVO mit der Datenschutzbehörde auf Anfrage bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten

Verwaltungsübertretung nach:

Art. 31 iVm Art. 83 Abs. 1 und 4 lit. a DSGVO ABl. L 2016/119, S. 1, idgF

Wegen dieser Verwaltungsübertretung wird gemäß Art. 83 DSGVO folgende Strafe verhängt:

Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen:

60,-

Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro;

Euro als Ersatz der Barauslagen für

Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher

660,-

Euro

Zahlungsfrist:

Wird keine Beschwerde erhoben, ist dieses Straferkenntnis sofort vollstreckbar. Der Gesamtbetrag ist in diesem Fall binnen zwei Wochen nach Eintreten der Rechtskraft auf das Konto [hier gekürzt] lautend auf die Datenschutzbehörde, einzuzahlen. Als Verwendungszweck möge die Geschäftszahl sowie das Erledigungsdatum angegeben werden .

Erfolgt binnen dieser Frist keine Zahlung, kann der Gesamtbetrag eingemahnt werden. In diesem Fall ist ein pauschalierter Kostenbeitrag in der Höhe von fünf Euro zu entrichten. Erfolgt dennoch keine Zahlung, wird der ausstehende Betrag vollstreckt .

Begründung:

1. Folgender entscheidungsrelevanter Sachverhalt steht auf Grund des durchgeführten Beweisverfahrens fest:

1.1. Zum Gang des Sicherheitsverletzungs-Verfahrens vor dem ersten Straferkenntnis (D550.829)

Herr Sebastian W*** (Geschäftsführer von B*** - im Folgenden „GF“) brachte am 24.04.2023 per E-Mail eine Sicherheitsverletzungs-Meldung gemäß Art. 33 DSGVO bei der Datenschutzbehörde (im Folgenden „DSB“) im Namen von B*** ein. Für die Meldung wurde ein unverbindliches Formular, das von der DSB im Rahmen ihrer Webseite zur Verfügung gestellt wurde, verwendet.

Im Zuge dieser Meldung gab der GF gegenüber der DSB bekannt, dass es am 06.03.2023 zu einer „Ransomeware Attacke“ durch unbekannte Personen kam und in Folge Daten verschlüsselt wurden. Darüber hinaus gab der GF an, dass nicht bekannt sei, ob „ ein Diebstahl “ vorliege und ein „ Datenabfluss “ sei nicht erkennbar.

Als Kategorie betroffener Personen gab der GF „ Mitarbeiter “ an und bezifferte die Anzahl an Betroffenen mit „ 55 “. Als betroffene Kategorien personenbezogener Daten gab der GF „ Bestätigungen, Lohnunterlagen “ an. Zu den getroffenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten gab der GF Folgendes an: „ Gesamtes Netzwerk wurde vom Internet getrennt. Systeme werden aktuell neu aufgesetzt und gehärtet “. Zu den ergriffenen Maßnahmen zur Abmilderung der möglichen nachteiligen Auswirkungen gab der GF Folgendes an: „ Verschlüsselte Festplatten des Systems wurden sicher gelöscht “. Zum Zeitpunkt der Sicherheitsverletzung gab der GF den 06.03.2023 (ca. 17:45) an. Zum Zeitpunkt der Kenntnisnahme über den Sicherheitsvorfall gab der GF den 06.03.2023 (ca. 18:30 Uhr) an. In Bezug auf die verspätete Meldung führte der GF ins Treffen, dass sie aufgrund einer polizeilichen Anzeige davon ausgegangen sind, dass „ eine entsprechende Meldung automatisch weitergeleitet wurde “.

In Reaktion auf diese Meldung wurde durch die DSB ein Sicherheitsverletzungs-Verfahren zur GZ: D084.4838 eingeleitet. Die DSB konnte auf Grundlage der Angaben des GF im Rahmen der Meldung vom 24.04.2023 den Fall nicht abschließend beurteilen und forderte mit Schreiben vom 24.04.2023 (GZ: D084.4838 - 2023-0.309.559) die B*** (per E-Mail an info@b***.at, z.H. GF) zur ergänzenden Meldung auf.

Der GF reagierte daraufhin mit E-Mail vom 26.04.2023 konkret wie folgt ( Formatierung nicht 1:1 wiedergegeben ):

„liebe Datenschutz Behörde,

Danke für die mail

wir haben und werden unsere gäste davon nicht informieren da wir unsere gäste nicht unnötig mit solchen kranken Vorfällen belasten werden... wir sind ein Bewusstseins und verströmen ausschließlich pure liebe [Anmerkung Bearbeiter/in: Sonderzeichen Herzerl und Sternderl aus Gründen der Darstellbarkeit entfernt.] und gute Laune

da wir wissen das Gedanken und Taten Materie erschaffen wird nichts schlimmes passieren. Wir wissen nämlich das es so sein wird!!!

wir haben mit der Firma k*** security selbstverständlich Vorkehrungen getroffen um so etwas zukünftig zu unterbunden.

wir haben diese Meldung nur gemacht damit unsere Versicherung zufrieden ist und wir den Schaden erstatten bekommen.

ich bitte euch diesen Vorfall mit diesem Email ruhen zu lassen und bin für weitere Fragen sehr gerne telefonisch erreichbar 0043***3*5*7*4

mit herzlichen Grüßen aus dem B***

Sebastian W***

www.b***.at”

In Reaktion darauf erfolgte mit Schreiben vom 26.04.2023 (GZ: D084.4838 - 2023-0.316.639) eine erneute Aufforderung zur ergänzenden Meldung an B***. B*** reagierte daraufhin mit einer Leer-Meldung per E-Mail vom 27.04.2023 und hängte die bereits eingebrachte Stellungnahme des GF vom 26.04.2023 an.

1.2. Zum Gang des ersten Verwaltungsstrafverfahrens zur GZ: D550.829

Die DSB leitete in weiterer Folge ein Verwaltungsstrafverfahren gegen B*** ein und forderte sie und ihre Geschäftsführer mit Schreiben vom 05.06.2023 zur Rechtfertigung auf. Die Aufforderung zur Rechtfertigung (im Folgenden „AzR“) wurde mittels RSa-Brief versandt und am 09.06.2023 vom GF entgegengenommen.

Bei der DSB langte keine Rechtfertigung in Reaktion auf die AzR ein. B*** hat sich am Verwaltungsstrafverfahren nicht beteiligt und darüber hinaus auch nach Einleitung eines Verwaltungsstrafverfahrens keine Stellungnahme im Sicherheitsverletzungs-Verfahren eingebracht.

Am 12.12.2023 verhängte die DSB aufgrund der Verletzung der Mitwirkungspflicht im oben angeführten Sicherheitsverletzungs-Verfahren bereits ein (erstes) Straferkenntnis über die B*** (D550.829 – 2023-0.603.142) in Bezug auf einen bestimmten Tatzeitraum. Dieses erwuchs mangels Rechtsmittel in Rechtskraft und wurde im Rahmen des Vollstreckungsverfahrens zwangsweise hereingebracht (GZ: D560.829 – Mahn- und Vollstreckungsverfahren zum ersten Straferkenntnis).

1.3. Zum weiteren Verlauf des Sicherheitsverletzungs-Verfahrens (D084.4838)

Nach Beendigung des Verwaltungsstrafverfahrens durch den oben genannten (ersten) Strafbescheid führte die DSB das Sicherheitsverletzungs-Verfahren zur GZ: D084.4838 fort und forderte B*** mit Schreiben vom 18.12.2023 (D084.4838 – 2023-0.897.054) zur Vornahme einer ergänzenden Meldung auf (per E-Mail an „info@b***.at“). Noch am selben Tag erreichte die DSB eine Lesebestätigung, eine Antwort blieb jedoch aus.

Aus diesem Grund forderte die DSB die B*** mit RSb-Brief vom 15.03.2024 (D084.4838 – 2024-0.150.102) abermals zur Vornahme einer ergänzenden Meldung auf. Das Schreiben wurde der B*** am 20.03.2023 zugestellt. B*** reagierte jedoch weiterhin nicht.

1.4. Zum Gang des gegenständlichen Verwaltungsstrafverfahrens

Die DSB leitete in Folge erneut ein Verwaltungsstrafverfahren gegen B*** ein und forderte sie mit Schreiben vom 02.08.2024 zur Rechtfertigung auf. Die AzR wurde per RSa versandt und am 06.08.2024 zugestellt.

Am 28.08.2024 langte ein Schreiben der rechtsfreundlichen Vertretung der B*** ein, in welchem um Übermittlung des Akteninhalts aus dem Sicherheitsverletzungs-Verfahren sowie dem gegenständlichen Verwaltungsstrafverfahren ersucht wurde. Des Weiteren wurde beantragt, die Frist für die Rechtfertigung um zwei Wochen ab Übermittlung des Akteninhalts zu erstrecken.

Die DSB hat diesem Ersuchen mit Erledigung vom 29.08.2024 vollumfänglich entsprochen.

Am 13.09.2024 übermittelte die rechtsfreundliche Vertretung der B*** deren Rechtfertigung. Inhaltlich wurden darin zunächst die Geschehnisse rund um die Sicherheitsverletzung vom 06.03.2023 Schritt für Schritt explaniert. Sodann wurde auch auf jene Fragen eingegangen, zu deren Beantwortung die B*** im Rahmen des Sicherheitsverletzungs-Verfahrens mehrmals aufgefordert wurde.

Den weltweit erzielten Jahresumsatz des Vorjahres gab die B*** jedoch nicht bekannt.

Die nunmehr beantworteten Fragen betreffend das Sicherheitsverletzungs-Verfahren wurden an die zuständige Sachbearbeiterin übermittelt und das Verfahren zur GZ: D084.4838 konnte schlussendlich zur Erledigung gebracht werden.

2. Die Feststellungen werden auf Grund folgender Beweiswürdigung getroffen:

2.1. Eingangs ist darauf hinzuweisen, dass B*** im Laufe des Ermittlungsverfahrens, konkret nach Aufforderung zur Rechtfertigung, kein Vorbringen erstattet hat, das den oben getroffenen Feststellungen entgegenstehen würde. Der Verfahrensgang zu den oben genannten Verfahren ist der Beschuldigten bekannt. Die im gegenständlichen Verwaltungsstrafverfahren eingebrachte Rechtfertigung ist im Wesentlichen eine Stellungnahme in Bezug auf das Sicherheitsverletzungs-Verfahren. Ein Vorbringen in Bezug auf das erneut eingeleitete, gegenständliche Verwaltungsstrafverfahren wurde nicht erstattet.

2.2. Die Feststellungen zu 1.1 ergeben sich unzweifelhaft aus dem Verwaltungsakt betreffend das Sicherheitsverletzungs-Verfahren (GZ: D084.4838).

2.3. Die Feststellungen zu 1.2 ergeben sich unzweifelhaft aus dem Verwaltungsstrafakt, in welchem das erste Straferkenntnis gegenüber B*** verhängt wurde (GZ: D550.829) sowie dem Mahn- und Vollstreckungsakt (GZ: D560.829).

2.4. Die Feststellungen zu 1.3 gründen ebenso auf dem Verwaltungsakt betreffend das Sicherheitsverletzungs-Verfahren (GZ: D084.4838), jedoch auf jene Aktenbestandteile, die nach Abschluss des ersten Verwaltungsstrafverfahrens erstellt wurden.

2.5. Die Feststellungen zu 1.4 beruhen auf dem gegenständlichen Verwaltungsstrafakt und wurden von der beschuldigten juristischen Person auch nicht bestritten.

2.6. Der Umsatz der Beschuldigten konnte mangels ihrer Mitwirkung nicht festgestellt werden. Es wurden keinerlei Unterlagen in diesem Zusammenhang vorgelegt. Die Beschuldigte wurde im Rahmen der Aufforderung zur Rechtfertigung zur Bekanntgabe ihres Umsatzes aufgefordert. Dieser Aufforderung kam die Beschuldigte im Zuge des Ermittlungsverfahrens nicht nach. Die Datenschutzbehörde führte schließlich eine amtswegige Recherche innerhalb des Firmenbuchs durch (Firmenbuch-Auszug/Jahresabschluss) und nahm Einsicht in die verfügbaren Urkunden. Konkret kann im Firmenbuch zwar in den Jahresabschluss zum 30.11.2023 der Beschuldigten eingesehen werden, jedoch enthält diese Urkunde keinen Auszug über die Gewinn- und Verlustrechnung der Beschuldigten oder sonstige konkrete Angaben zu den erzielten Umsatzerlösen.

3. Rechtlich folgt daraus:

3.1. Zur Zuständigkeit der DSB und Anwendungsbereich der DSGVO

Art. 83 Abs. 4 lit. a DSGVO legt fest, dass bei Verstößen gegen die Bestimmungen der Art. 8, 11, 25 bis 39, 42 und 43 DSGVO Geldbußen von bis zu 10 000 000 Euro oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können, je nachdem, welcher der Beträge höher ist.

Nach § 22 Abs. 5 DSGliegt die Zuständigkeit für die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen für Verstöße gegen das DSG und die DSGVO bei der DSB .

Gemäß Art. 2 Abs. 1 DSGVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

In Bezug auf das Vorliegen einer Verarbeitung personenbezogener Daten im Sinne von Art. 4 Z 1 und 2 DSGVO bestehen keine Zweifel. Auch die Rolle der Beschuldigten als Verantwortliche gemäß Art. 4 Z 7 DSGVO wurde zu keinem Zeitpunkt bestritten. Der GF gab zwar im Rahmen der Meldung nach Art. 33 DSGVO sich selbst namentlich an, jedoch wurde die Tatsache, dass der GF die Meldung im Namen der Beschuldigten in seiner Funktion als Geschäftsführer vornahm, bereits im Rahmen des ersten Verwaltungsstrafverfahrens (GZ: D550.829) abschließend geklärt.

Als Verantwortliche ist die Beschuldigte Adressat der einschlägigen Pflichten der DSGVO . Im konkreten Fall unterlag die Beschuldigte als Verantwortliche aufgrund der erfolgten Sicherheitsverletzung der Pflicht zur Zusammenarbeit mit der DSB im Rahmen des Sicherheitsverletzungs-Verfahrens nach Art. 31 DSGVO . Diese Bestimmung stellt gemäß Art. 83 Abs. 4 lit. a DSGVO eine strafbewehrte Verpflichtung für Verantwortliche dar und wird Nachstehend näher beleuchtet.

3.2. Zur Mitwirkungspflicht von Verantwortlichen mit der DSB

Verantwortliche und Auftragsverarbeiter und gegebenenfalls ihre Vertreter müssen gemäß Art. 31 DSGVO auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeiten. Auch bei dieser Bestimmung handelt es sich gemäß Art. 83 Abs. 4 lit. a DSGVO um eine strafbewehrte Verpflichtung von Verantwortlichen .

Aus Art. 31 DSGVO sind in Zusammenschau mit den Befugnissen der Aufsichtsbehörde nach Art. 57 und Art. 58 DSGVO sowohl Duldungs- als auch Mitwirkungspflichten ableitbar. Die DSB muss gemäß Art. 57 Abs. 1 lit. a DSGVO für das gesamte österreichische Bundesgebiet („in ihrem Hoheitsgebiet) die Anwendung der DSGVO überwachen und durchsetzen. Dabei handelt es sich um eine der zentralen Aufgaben der DSB als für das österreichische Hoheitsgebiet zuständige Aufsichtsbehörde. Außerdem muss die DSB nach Art. 57 Abs. 1 lit. v DSGVO jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen. Für die Erfüllung dieser Aufgaben werden der DSB sowohl Untersuchungsbefugnisse als auch Abhilfebefugnisse (Art. 58 Abs. 1 und 2 DSGVO) eingeräumt.

Die DSGVO räumt den Aufsichtsbehörden unter anderem die Befugnis ein, den Verantwortlichen anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind (Art. 58 Abs. 1 lit. a DSGVO) . Aus dieser Bestimmung ergibt sich in Zusammenschau mit Art. 31 DSGVO somit eine Mitwirkungspflicht für die Normadressaten (siehe auch ErwGr 82 zweiter Satz DSGVO). Für den Fall der mangelnden Mitwirkung führte der Unionsgesetzgeber daher in Art. 83 Abs. 4 lit. a DSGVO die Möglichkeit der Sanktionierung ein.

Im vorliegenden Fall ist die Beschuldigte, wie bereits erwähnt, als Verantwortliche gemäß Art. 4 Z 7 DSGVO und somit als Adressat der einschlägigen Pflichten der DSGVO zu qualifizieren. Sie brachte eine Sicherheitsverletzungs-Meldung bei der DSB ein und war in Folge als Partei am Verfahren beteiligt. Sämtliche Aufforderungen der DSB wurden der Beschuldigten im Rahmen des Sicherheitsverletzungsverfahrens, wie festgestellt, zugestellt. Aufgrund der mangelnden Mitwirkung in diesem Verfahren wurde über die Beschuldigte bereits ein Straferkenntnis verhängt. Nichtsdestotrotz hat es die Beschuldigte in Folge dessen unterlassen, auf die beiden weiteren im (hier relevanten) Tatzeitraum versandten Aufforderungen zur ergänzenden Stellungnahme zu reagieren. Somit arbeitete sie nicht mit der DSB als zuständige Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

Im Lichte des als erwiesen angenommenen Sachverhalts erfüllte die Beschuldigte im Ergebnis auch die objektive Tatseite des Art. 31 DSGVO , da sie auf beide Anfragen der DSB hin nicht mit ihr bei der Erfüllung ihrer Aufgaben zusammengearbeitet hat.

3.3. Zur subjektiven Tatseite

Der EuGH hat in Bezug auf die zweite Vorlagefrage, wie schon bereits von der Datenschutzbehörde in ihrer bisherigen Spruchpraxis angenommen, nun explizit festgehalten, dass nur Verstöße gegen Bestimmungen der DSGVO, die der Verantwortliche schuldhaft, d.h . vorsätzlich oder fahrlässig begeht, zur Verhängung einer Geldbuße führen können (vgl. EuGH vom 05.12.2023, C-807/21, Rz 68).

In Bezug auf die subjektive Tatseite ist zu berücksichtigen, dass die Voraussetzung des Verschuldens für die Verhängung einer Geldbuße nach Art. 83 DSGVO unionsautonom auszulegen und insbesondere im Lichte der Rechtsprechung des EuGH zu beurteilen ist. Auch zur Vorlagefrage in Bezug auf das Verschulden stellte der EuGH fest, dass den Mitgliedstaaten in diesem Zusammenhang kein Ermessensspielraum durch den Unionsgesetzgeber für nationale Regelungen eingeräumt wurde, da die materiellen Voraussetzungen abschließend in Art. 83 Abs. 1 bis 6 DSGVO genau geregelt sind (vgl. hierzu auch EuGH vom 05.12.2023, C-683/21, Rz 64 ff).

Zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und daher mit einer Geldbuße geahndet werden kann, stellte der EuGH in seinem oben zitierten Urteil gleichzeitig klar, dass ein solches Verschulden bereits vorliegt, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rz 76).

Unter Verweis auf weitere Rechtsprechung stellte der EuGH zudem ausdrücklich klar, dass die Anwendung von Art. 83 DSGVO gegenüber juristischen Personen keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (vgl. EuGH vom 05.12.2023, C-807/21, Rz 77).

Die Verantwortung und Haftung eines Verantwortlichen erstreckt sich dabei auf jedwede Verarbeitung personenbezogener Daten, die durch oder in seinem Namen erfolgt . In diesem Rahmen muss der Verantwortliche nicht nur geeignete und wirksame Maßnahmen treffen, sondern muss er auch nachweisen können, dass seine Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die er ergriffen hat, um diesen Einklang sicherzustellen, auch wirksam sind (vgl. EuGH C-807/21, Rz 38, unter Verweis auf ErwGr 74).

Umgelegt auf den vorliegenden Fall bedeutet dies Folgendes:

Zunächst ist festzuhalten, dass es im Rahmen des Ermittlungsverfahrens keine Anhaltspunkte dafür gab, dass die gegenständlichen Verstöße von einer Person begangen wurden, die nicht im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte. Die Beschuldigte erstattete auch kein Vorbringen in diesem Zusammenhang und es ist aufgrund der Aktenlage evident, dass der GF im Namen der Beschuldigten eine Sicherheitsverletzung-Meldung bei der Datenschutzbehörde einbrachte und in Folge auch mit der zuständigen Sachbearbeiterin der Datenschutzbehörde kommunizierte. Dadurch erlangte die Beschuldigte jedenfalls durch ihren GF Kenntnis über die mangelnde Mitwirkung der Beschuldigten im Rahmen des Sicherheitsverletzungsverfahrens.

Durch welche konkrete natürliche Person innerhalb der Organisation der Beschuldigten der Tatbestand der mangelnden Mitwirkung erfüllt wurde, ist unerheblich. Dem EuGH zufolge ist es für die Verhängung einer Geldbuße gegen eine juristische Person nicht erforderlich, dass die Datenschutzbehörde eine identifizierte natürliche Person, die im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte, in ihrer Entscheidung anführt und das Handeln dieser Person der juristischen Person zurechnet (vgl. EuGH C-807/21, Rz 60).

Im Laufe des Ermittlungsverfahrens ergaben sich jedenfalls keine Hinweise darauf, dass der Beschuldigten an der Verletzung der gegenständlich anzuwendenden Verwaltungsvorschriften kein Verschulden trifft. Vielmehr hätte die Beschuldigte Sorge dafür tragen müssen, dass sie die ihr von der Datenschutzbehörde zugestellten Schreiben innerhalb der ihr gesetzten Frist beantwortet (vgl. zuletzt BVwG vom 17.09.2024, W298 2295130-1). Dies gilt umso mehr, als gegen die Beschuldigte bereits ein Verwaltungsstrafverfahren aufgrund eines Mitwirkungspflichtverstoßes geführt wurde.

Die Beschuldigte konnte sich im Lichte der Rechtsprechung des EuGH über die Rechtswidrigkeit ihres Verhaltens nicht im Unklaren sein, unabhängig davon, ob ihr dabei bewusst war, dass sie gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rz 76 und 77; EuGH C-683/21, Rz 81 und 82 mwN).

Konkret musste sich die Beschuldigte jedoch darüber im Klaren sein, dass sie einen Verstoß gegen die in Art. 31 DSGVO normierte Mitwirkungspflicht begeht. Dies zum einen deshalb, weil sie bereits aufgrund eines solchen Verstoßes (rechtskräftig) vorbestraft ist und folglich in Kenntnis darüber sein muss, dass Verstöße gegen die Mitwirkungspflicht mit einer Geldbuße geahndet werden. Zum anderen wurde auch in den dem aktuellen Straferkenntnis zugrundeliegenden Aufforderungen zur ergänzenden Meldung im Sicherheitsverletzungs-Verfahren stets auf die Pflicht zur Mitwirkung hingewiesen sowie auf den Umstand, dass bei Verletzung dieser Pflicht ein weiteres Verwaltungsstrafverfahren eingeleitet werden kann.

Somit hat es die Beschuldigte zumindest ernstlich für möglich gehalten, einen erneuten Verstoß gegen die Mitwirkungspflicht zu begehen, hat sich jedoch damit abgefunden (dolus eventualis). Im Ergebnis liegt daher im vorliegenden Fall Verschulden in Form von (bedingtem) Vorsatz (Art. 83 Abs. 2 lit. b DSGVO) vor.

Dadurch ist die subjektive Tatseite ebenfalls erfüllt .

4. Zur Strafzumessung ist Folgendes festzuhalten:

Gemäß Art. 83 Abs. 1 DSGVO hat die Aufsichtsbehörde sicherzustellen, dass die Verhängung von Geldbußen für Verstöße gegen die unter Sanktion gestellten Bestimmungen der DSGVO (Art. 83 Abs. 4, 5 und 6 DSGVO) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Näherhin bestimmt Art. 83 Abs. 2 DSGVO , dass bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall bestimmte Kriterien gebührend zu berücksichtigen sind.

Die Strafbemessung innerhalb eines gesetzlichen Strafrahmens ist eine Ermessensentscheidung, die nach den vom Gesetzgeber festgelegten Kriterien vorzunehmen ist (vgl. VwGH 05.09.2013, 2013/09/0106). Die von der Datenschutzbehörde für die Strafbemessung zu berücksichtigenden Kriterien sind abschließend in Art. 83 Abs. 2 DSGVO normiert.

Die Datenschutzbehörde hat im Rahmen der Strafbemessung die Leitlinien des EDSA betreffend Berechnung von Geldbußen nach der DSGVO (vgl. EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 2.1 vom 24.05.2023 – im Folgenden „Fines-Leitlinien“) zur Anwendung gebracht.

Der Strafrahmen im konkreten Fall reicht gemäß Art. 83 Abs. 4 lit. a DSGVO bis zu einem Betrag in der Höhe von EUR 10.000.000.

Der relevante Jahresumsatz der Beschuldigten konnte mangels Mitwirkung nicht festgestellt werden. Es musste daher eine Schätzungdurch die DSB vorgenommen werden. Der Jahresabschluss der B*** zum 30.11.2023 weist ein negatives Eigenkapital aus. Laut den Angaben der Geschäftsführer im Anhang ist dieses jedoch durch stille Reserven in der Betriebsliegenschaft gedeckt und es liegt keine Überschuldung im Sinne des § 225 Abs. 1 UGB vor. Folglich wird die Beschuldigte in die niedrigste Kategorie der Fines-Leitlinien („Undertakings with a turnover of up until € 2 million“) eingestuft. Durch diese Einstufung wird die Unternehmensgröße gebührend berücksichtigt, um insbesondere die Verhältnismäßigkeit der Geldbuße zu gewährleisten. Der Strafrahmen im konkreten Fall reicht gemäß Art. 83 Abs. 4 DSGVO bis zu einem Betrag in der Höhe von EUR 10.000.000,- (statischer Strafrahmen). Der dynamische Strafrahmen (2% des Jahresumsatzes) gelangt nicht zur Anwendung.

Im Lichte des als erwiesen angenommenen Sachverhalts und unter Berücksichtigung der Art, Schwere und Dauer des Verstoßes (Art. 83 Abs. 1 lit. a DSGVO [Anmerkung Bearbeiter/in: offenkundiger Redaktionsfehler, gemeint wohl Art. 83 Abs. 2 lit. a DSGVO] ) , der Vorsätzlichkeit des Verstoßes (Art. 83 Abs. 2 lit. b DSGVO) sowie der Kategorien personenbezogener Daten, die vom Verstoß betroffen sind (Art. 83 Abs. 2 lit. g DSGVO) wird von der DSB die Schwere der Zuwiderhandlung („Seriousness of the infringement“) als mittel („medium level of seriousness“) angenommen. Dabei ist insbesondere die Dauer sowie die (bedingte) Vorsätzlichkeit des Verstoßes ins Gewicht gefallen.

Bezogen auf den vorliegenden Sachverhalt wurde darüber hinaus (über die bereits für die Feststellung des Schweregrades berücksichtigten Kriterien nach Art. 83 Abs. 1 lit. a, b und g DSGVO hinaus) bei der Strafzumessung Folgendes erschwerend berücksichtigt :

 Die Beschuldigte hat bereits einen Verstoß gegen die Mitwirkungspflicht nach Art. 31 DSGVO begangen und war damit vorbestraft. Es handelt sich dabei um einen einschlägigen früheren Verstoß durch die Beschuldigte (Art. 83 Abs. 2 lit. e DSGVO) .

Bezogen auf den vorliegenden Sachverhalt wurde darüber hinaus bei der Strafzumessung Folgendes mildernd berücksichtigt :

 Die Beschuldigte hat im Rahmen des gegenständlichen Verwaltungsstrafverfahrens mitgewirkt und nunmehr auch jene Fragen beantwortet, welche im Rahmen der Mitwirkungspflicht im Sicherheitsverletzungs-Verfahren beantwortet hätten werden müssen, sodass dieses Verfahren mittlerweile endgültig abgeschlossen werden konnte (Art. 83 Abs. 2 lit. f DSGVO).

Bei der Bemessung der Strafe dürfen nach ständiger Rechtsprechung des VwGH auch Überlegungen der Spezialprävention und Generalprävention einbezogen werden (vgl. VwGH 15.5.1990, 89/02/0093, VwGH 22.4.1997, 96/04/0253, VwGH 29.1.1991, 89/04/0061). Die Verhängung der konkreten Strafe war jedenfalls im Sinne der Spezialprävention notwendig , um die Beschuldigte von der Begehung weiterer strafbarer Handlungen abzuhalten, da die Beschuldigte bereits vorbestraft war und trotzdem einen erneuten Verstoß begangen hat. Darüber hinaus war die Verhängung einer Geldstrafe auch im generalpräventiven Sinne erforderlich , um Verantwortliche und Auftragsverarbeiter insbesondere im Zusammenhang mit ihrer Mitwirkungspflicht nach Art. 31 DSGVO zu sensibilisieren.

Die im Ergebnis konkret verhängte Strafe in der Höhe von EUR 600,- erscheint daher im Hinblick auf den verwirklichten Tatunwert, gemessen am zur Verfügung stehenden Strafrahmen des Art. 83 Abs. 4 DSGVO (hier bis zu EUR 10.000.000) sowie unter Berücksichtigung der relevanten Strafbemessungskriterien nach Art. 83 Abs. 2 DSGVO tat- und schuldangemessen und befindet sich am untersten Ende des zur Verfügung stehenden Strafrahmens.

Ein (noch) niedrigerer Betrag würde im vorliegenden Fall den in Art. 83 Abs. 1 DSGVO normierten Kriterien für eine Geldbuße nicht mehr gerecht werden.