2024-0.641.771 – Datenschutzbehörde Entscheidung
Text
GZ: 2024-0.641.771 vom 16. Oktober 2024 (Verfahrenszahl: DSB-D550.769)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
Straferkenntnis
Beschuldigte juristische Person: D**** GmbH (FN *32*9*n)
Sie haben als Verantwortliche im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016 S. 1 idgF, nachstehenden Sachverhalt verwirklicht und dadurch folgende Verwaltungsübertretung begangen:
Die Beschuldigte hat seit dem 19.05.2021 bis 26.02.2024 („ Tatzeit “) ihren handelsrechtlichen Geschäftsführer (Dr. Edzard T***) und somit ihr zur Vertretung nach außen berufenes Organ als Datenschutzbeauftragten benannt. Eine Sicherstellung, dass die Wahrnehmung anderer Aufgaben und Pflichten der Person des Benannten nicht zu einem Interessenkonflikt führt, ist nicht erfolgt.
Die Beschuldigte hat daher gegen ihre Pflicht nach Art. 38 Abs. 6 DSGVO verstoßen, indem sie ihren handelsrechtlichen Geschäftsführer zum Datenschutzbeauftragten benannte, obwohl dieser aufgrund seiner gleichzeitigen Tätigkeit als Geschäftsführer und Datenschutzbeauftragter der Beschuldigten einem Interessenkonflikt unterliegt. Die Beschuldigte hat dadurch im Ergebnis eine nicht geeignete Person als Datenschutzbeauftragten benannt.
Verwaltungsübertretungen nach:
Art. 37, 38 Abs. 6 iVm Art. 83 Abs. 1 und 4 lit. a DSGVO ABl. L 2016/119, S. 1, idgF
Wegen dieser Verwaltungsübertretung wird gemäß Art. 83 DSGVO folgende Strafe verhängt:
Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen:
500
Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro;
Euro als Ersatz der Barauslagen für
Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher
5.500
Euro
Zahlungsfrist:
Wird keine Beschwerde erhoben, ist dieses Straferkenntnis sofort vollstreckbar. Der Gesamtbetrag ist in diesem Fall binnen zwei Wochen nach Eintreten der Rechtskraft auf das Konto [Angaben zur Kontoverbindung gekürzt].
Erfolgt binnen dieser Frist keine Zahlung, kann der Gesamtbetrag eingemahnt werden. In diesem Fall ist ein pauschalierter Kostenbeitrag in der Höhe von fünf Euro zu entrichten. Erfolgt dennoch keine Zahlung, wird der ausstehende Betrag vollstreckt .
Begründung:
1. Folgender entscheidungsrelevanter Sachverhalt steht auf Grund des durchgeführten Beweisverfahrens fest:
1.1. Die Beschuldigte ist eine am 19.05.2021 unter der Firmenbuchnummer FN *32*9*n eingetragene Gesellschaft mit beschränkter Haftung, mit Sitz in M***platz *6, **** H***stadt.
1.2. Dr. Edzard T***, geb. am **.**.199* vertritt die Beschuldigte seit 19.05.2021 selbstständig als handelsrechtlicher Geschäftsführer und war bis zum 17.02.2023 überdies Gesellschafter der Beschuldigten. Die Beschuldigte benannte Dr. Edzard T*** als Datenschutzbeauftragten. Eine Meldung des benannten Datenschutzbeauftragten an die Datenschutzbehörde erfolgte nicht.
Die Beschuldigte hat keine aktiven Schritte – im Sinne von nach außen tretenden und sichtbaren Maßnahmen – gesetzt, um sicherzustellen, dass die in einer Person vereinheitlichte Rolle als Geschäftsführer und Datenschutzbeauftragter keinen potentiellen Interessenskonflikten unterliegt.
1.3. Dr. Edzard T*** ist Jurist. Er hat zunächst das Diplomstudium und im Anschluss daran das Doktoratsstudium der Rechtswissenschaften an der Universität H***stadt abgeschlossen. Zudem verfügt er über einen zusätzlichen postgradualen Abschluss aus dem Bereich der Rechtswissenschaften von der P*** University in W***, Schottland. Darüber hinaus hat er einen Lehrgang zum Datenschutzbeauftragten beim Wirtschaftsförderungsinstitut der Wirtschaftskammer Österreich (WIFI) begonnen, aber nicht abgeschlossen.
1.4. Der Geschäftszweig der Beschuldigten lautet auf „ Sanitätswesen und diagnostisches Labor “. Der Zweck der Gesellschaft bestand in der Beitragsleistung zur Bekämpfung der Covid-19 Pandemie und Sicherstellung der Rückkehr zur Normalität durch Aufträge von verschiedenen Auftraggebern sowohl aus dem privaten Bereich als auch durch die öffentliche Hand.
Im Zusammenhang mit dem Abschluss von Kooperationsverträgen und Teilnahmen an landesweiten und bundesweiten Ausschreibungen ist die Beschuldigte stetig gewachsen und stellte kapazitätsmäßig eines der stärksten COVID Labors in Z*** dar. Die Tätigkeitsbereiche der Beschuldigten wurden aufgrund der steigenden Auftragslage im Laufe der Zeit umfangreicher.
Die Beschuldigte beschäftigte durchschnittlich 200 Mitarbeiter:innen und führte im Winter 2021/22 täglich ca. 45.000 Einzel PCR-Analysen durch.
1.5. Die Beschuldigte hatte seit 11.06.2021 die Gewerbe der „ Organisatorischen Vor- und Nachbereitung von virologischen Testungen an Menschen “, der „ Geschäftsvermittlung in der Form der Vermittlung von Aufträgen zur Durchführung von (Gen-) Tests zwischen verschriebenen Ärzten, zugelassenen Labors und Privatpersonen, die diese Dienstleistungen in Anspruch nehmen möchten “, der „ Handelsgewerbe mit Ausnahme der reglementierten Handelsgewerbe und Handelsagent “ und der „Güterbeförderung mit Kraftfahrzeugen oder Kraftfahrzeugen mit Anhängern, deren höchst zulässiges Gesamtgewicht insgesamt 3.500 kg nicht übersteigt“ inne .
Ab 27.07.2021 hatte die Beschuldigte überdies die Gewerbeberechtigung für das Gewerbe der „ Herstellung und Aufbereitung sowie Vermietung von Medizinprodukten, soweit diese Tätigkeiten nicht unter ein anderes reglementiertes Gewerbe fallen, und Handel mit sowie Vermietung von Medizinprodukten“.
Die Beschuldigte hatte ab 21.08.2021 das Gewerbe der „ Herstellung von Arzneimitteln und Giften und Großhandel mit Arzneimitteln und Giften “ und ab 16.08.2021 das Gewerbe der „ Chemischen Laboratorien“ inne.
Die Beschuldigte legte schließlich alle Gewerbeberechtigungen mit 26.02.2024 zurück und übt diese seitdem nicht mehr aus.
1.6. Nach Zurücklegung der Gewerbeberechtigungen speicherte die Beschuldigte die im Rahmen ihrer Tätigkeit erhaltenen Datensätze bis zur Löschung am 21.03.2024.
1.6. Der Umsatz der Beschuldigten im Jahr 2023 betrug nach eigenen Angaben ca. 4 Mio. EUR, wobei zu berücksichtigen sei, dass ab Juni 2023 keine operative Tätigkeit bestand.
2. Die Feststellungen werden auf Grund folgender Beweiswürdigung getroffen:
2.1. Die getroffenen Feststellungen zu Punkt 1.1. ergeben sich aus einer amtswegigen Abfrage des Firmenbuchs zur Firmenbuchnummer *32*9*n mit historischen Daten.
2.2. Die getroffenen Feststellungen zu Punkt 1.2. ergeben sich einerseits aus einer am 08.10.2024 erfolgten Abfrage des Firmenbuchs sowie andererseits aus der Vernehmung der Beschuldigten vom 23.05.2023 (vgl. hierzu S. 4, GZ: D550.769; 2023-0.384.689).
Die Feststellung zur Nichtmeldung des Datenschutzbeauftragten ergibt sich aus Amtswissen und deckt sich mit den Angaben der Beschuldigten im Rahmen der Vernehmung vom 23.05.2023 (vgl. hierzu S. 4, GZ: D550.769; 2023-0.384.689)
Die Feststellung dahingehend, dass die Beschuldigte keine aktiven Schritte zur Hintanhaltung von potentiellen Interessenskonflikten gesetzt hat, ergibt sich aus der Beantwortung der im Rahmen der Beschuldigtenvernehmung vom 23.05.2023 gestellten Fragestellung inwiefern der Geschäftsführer der Beschuldigten sicherstellt, „dass es keinen Interessenskonflikt mit Ihrer Rolle als Geschäftsführer im Unternehmen und als DSBA gibt“. Konkret antwortete die Beschuldigte hierauf wie folgt: „Der Auftraggeber ist in diesem Fall ja eine öffentliche Stelle. Für die Verwaltung der Covid-Pandemie ist es für uns konstruktiver den DSBA und den Geschäftsführer in einer Person zu vereinen. Vor allem weil die Kommunikation mit dem Auftraggeber bzw. der öffentlichen Stelle (Corona Leitstelle) stattgefunden hat.“ Aktiv gesetzte Maßnahmen lassen sich hieraus keinesfalls ableiten. Auch brachte die Beschuldigte im Rahmen ihrer Rechtfertigung vom 03.09.2024 lediglich vor, dass die Doppelrolle zu keiner Gefährdung führe, denn bestehe beim Geschäftsführer ein entsprechendes Bewusstsein und sei keine Konstellation vorstellbar, in der eine Vernachlässigung datenschutzrechtlicher Pflichten aus unternehmerischer Sicht indiziert gewesen wäre. Aus der erklärten mangelnden Notwendigkeit der personellen Trennung der Funktionen kann jedoch keinesfalls ein aktiver Schritt abgeleitet werden und wurde dies auch nicht vorgebracht.
2.3. Die getroffenen Feststellungen zum akademischen Werdegang des Geschäftsführers (Punkt 1.3.) der Beschuldigten ergeben sich aus den im Rahmen der Rechtfertigung vom 03.07.2023 beigelegten Ausbildungsunterlagen von Herrn Dr. Edzard T***: Bestätigung des Studienerfolges des Bachelorstudiums Wirtschaftsrecht von der Universität H***stadt; Bescheid der Universität H***stadt über die Verleihung des akademischen Grades: Magister der Rechtswissenschaften vom 02.08.2017; Zeugnis über die Erste Diplomprüfung der Universität H***stadt vom 29.01.2015; Zeugnis über die Zweite Diplomprüfung der Universität H***stadt vom 07.02.2017; Zeugnis über die Dritte Diplomprüfung der Universität H***stadt; Bestätigung über den Abschluss des postgradualen Studiengangs der P*** Universität vom 05.11.2020; Zeugnis über das Doktoratsstudium vom 05.09.2019; E-Mail vom 07.03.2022 über die Information des WIFI Z*** über den Kursbeginn des Online-Kurs zur Veranstaltung zertifizierter Datenschutzbeauftragter.
2.4. Punkt 1.4. ergibt sich aus einer amtswegigen Abfrage des Firmenbuchs zur Firmenbuchnummer *32*9*n mit Stichtag 8.10.2024, Einsichtnahme in den Jahresabschluss sowie Lagebericht der Beschuldigten vom 31.12.2021 in Zusammenschau mit den in der Vernehmung der Beschuldigten vom 23.05.2023 getroffenen Aussagen (vgl. hierzu S. 4f, GZ: D550.769; 2023-0.384.689).
2.5. Die getroffenen Feststellungen zu Punkt 1.5. ergeben sich aus amtswegigen Abfragen nach beendeten Gewerben der Beschuldigten im Gewerbeinformationssystem Austria (GISA) zu den GISA-Zahlen: [ Anmerkung Bearbeiter/in: insgesamt 7 GISA-Zahlen angeführt ] .
2.6. Punkt 1.6. der Feststellungen ergibt sich aus der Stellungnahme der Beschuldigten vom 03.09.2024 („bis zum 21.03.2024 erfolgte lediglich eine Speicherung von besonderen Datenkategorien“; „Sämtliche Daten wurden über Auftrag des Auftraggebers der beschuldigten Person am 21.03.2024 gelöscht“).
2.7. Punkt 1.7. der Feststellungen ergibt sich aus der per E-Mail übermittelten Urkundenvorlage der Beschuldigten vom 26.08.2024, welcher ein E-Mail des Geschäftsführers der Beschuldigten an die Rechtsvertreter mit Schilderung der wirtschaftlichen Situation, eine Periodenübersicht für den Zeitraum 01 bis 06 2024 betreffend die Beschuldigte und eine Periodenübersicht für den Zeitraum 01 bis 06 2024 betreffend die Gesellschafterin der Beschuldigten beigelegt war.
3. Rechtlich folgt daraus:
3.1. Zum Anwendungsbereich der DSGVO und zur Zuständigkeit der Datenschutzbehörde
Art. 83 Abs. 4 lit. a DSGVO legt fest, dass bei Verstößen gegen die Pflichten der Art. 8, 11, 25 bis 39, 42 und 43 DSGVO Geldbußen von bis zu 10 000 000 Euro oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können, je nachdem, welcher der Beträge höher ist.
Nach § 22 Abs. 5 DSG liegt die Zuständigkeit für die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen für Österreich als nationaler Aufsichtsbehörde bei der Datenschutzbehörde.
Folglich ist die Datenschutzbehörde auch für das gegenständliche Verwaltungsstrafverfahren zuständig.
3.2. Zur objektiven Tatseite
Art. 37 DSGVO regelt, unter welchen Bedingungen der Verantwortliche und der Auftragsverarbeiter verpflichtend einen Datenschutzbeauftragten zu benennen haben. Art. 37 DSGVO gilt dabei sowohl für Verantwortliche als auch Auftragsverarbeiter und zwar unabhängig voneinander (vgl. König in Knyrim , DatKomm Art. 37 DSGVO, Rz 2).
Der Datenschutzbeauftragte bekleidet eine besondere Rolle innerhalb der Organisation der Verantwortlichen bzw. des Auftragsverarbeiters. Er muss stets bei datenschutzrechtlichen Fragestellungen eingebunden werden und muss über die notwendigen Ressourcen sowie Zugänge verfügen, um seine Aufgaben erfüllen zu können (siehe Art. 38 DSGVO). Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 DSGVO normiert. Der Datenschutzbeauftragte ist für Aufsichtsbehörden eine „ Anlaufstelle “ und ist zur „ Zusammenarbeit mit der Aufsichtsbehörde “ verpflichtet (Art. 39 Abs. 1 lit. d und e DSGVO).
Der Verantwortliche und der Auftragsverarbeiter haben auf jeden Fall einen Datenschutzbeauftragten zu benennen, „ wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht “ (Art. 37 Abs. 1 lit. c DSGVO).
In ErwG 97 ist dargelegt, dass sich die „ Kerntätigkeit “ eines Verantwortlichen auf „ seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit “ bezieht. Als „ Kerntätigkeit “ lassen sich die wichtigsten Arbeitsabläufe betrachten, die zur Erreichung der Ziele des Verantwortlichen oder des Auftragsverarbeiters erforderlich sind. Gleichwohl sollte der Begriff „ Kerntätigkeit “ nicht dahingehend interpretiert werden, dass sich dieser nicht auch auf Tätigkeiten erstreckt, bei denen die Verarbeitung von Daten einen untrennbaren Bestandteil der Tätigkeit des Verantwortlichen oder Auftragsverarbeiters darstellt (vgl. hierzu die Leitlinien der Art. 29-Datenschutzgruppe WP 243 rev.01, S. 8).
Die Leitlinien zum Datenschutzbeauftragten der Art. 29-Datenschutzgruppe (WP 243 rev.01, abrufbar u.a. unter https://www.dsb.gv.at/europa-internationales/europaeischer_datenschutzausschuss_ edsa.html ) nehmen zwar unter 2.1.3, Seite 9, in Fußnote 14 dazu Stellung, indem sie auf ErwG 91 verweisen und daraus ableiten, dass sich der Begriff auf „ umfangreiche Verarbeitungsvorgänge […], die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und - beispielsweise aufgrund ihrer Sensibilität - wahrscheinlich ein hohes Risiko mit sich bringen“ bezieht.
Nähere Anhaltspunkte dazu, was unter einer „ umfangreichen Datenverarbeitung “ zu verstehen ist, finden sich in Übereinstimmung mit den Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt “, WP 248 Rev.01 (abrufbar unter https://www.dsb.gv.at/europa-internationales/europaeischer_datenschutzausschuss_edsa.html , S.11), auf Seite 9 der Leitlinien zum Datenschutzbeauftragten :
„In jedem Fall empfiehlt die WP29 die Berücksichtigung speziell folgender Faktoren, wenn ermittelt werden soll, ob die fragliche Verarbeitung in großem Umfang durchgeführt wird:
a) die Zahl der betroffenen Personen – entweder als bestimmte Zahl oder als Anteil an der maßgeblichen Bevölkerung
b) das Datenvolumen und/oder das Spektrum an in Bearbeitung befindlichen Daten
c) die Dauer oder Permanenz der Datenverarbeitungstätigkeit
d) die geografische Ausdehnung der Verarbeitungstätigkeit.“
Grobe Hinweise auf eine umfangreiche Verarbeitung können auch die Anzahl der Mitarbeiter geben (die mit der Verarbeitung personenbezogener Daten betraut sind) (vgl. Löffler in Knyrim , Datenschutzrecht, Rz 13.13). ErwGr 91 verneint eine „ umfangreiche “ Verarbeitung personenbezogener Daten, wenn sie von einem einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufs oder von einem einzelnen Rechtsanwalt vorgenommen wird.
Als Beispiele für den Anwendungsbereich des Art. 37 Abs. 1 lit. c DSGVO können Gesundheitseinrichtungen, Labors, Beratungsstellen, Opferschutzeinrichtungen sowie Einrichtungen zur Resozialisierung von Straftätern (zB Bewährungshilfe, Täterarbeit) genannt werden (vgl. Bergauer in Jahnel , Kommentar zur Datenschutz-Grundverordnung Art. 37 DSGVO, Rz 32).
Im Hinblick darauf, dass die Kerntätigkeit der Beschuldigten die eines „ diagnostischen Labors “ im Zusammenhang mit der Covid-Pandemie in Österreich (konkret: im Bundesland Z***) war und zumindest im Winter 2021/22 täglich ca. 45.000 Einzel PCR-Analysen durchführte, sohin in der Verarbeitung einer großen Anzahl von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO, die Beschuldigte durchschnittlich 200 Mitarbeiter:innen beschäftigte sowie die Tätigkeitsbereiche der Beschuldigten aufgrund der steigenden Auftragslage im Laufe der Zeit umfangreicher wurden, muss zum Schluss gekommen werden, dass eine umfangreiche Verarbeitung besonderer Kategorien von Daten nach Art. 9 DSGVO besteht und deswegen verpflichtend ein Datenschutzbeauftragter bestellt werden muss. Dies wurde von der Beschuldigten im Laufe des Verfahrens auch nicht bestritten und wurde – wenngleich dieser der Datenschutzbehörde nicht angezeigt wurde – ein Datenschutzbeauftragter bestellt.
Fraglich – und gegenständlich strittig – ist somit lediglich der Zeitraum in welchem die Verpflichtung zur Bestellung eines Datenschutzbeauftragten bestand.
Wie aus den Feststellungen hervorgeht, hat die Beschuldigte ihre Gewerbeberechtigungen mit 26.02.2024 zurückgelegt, behauptet aber dass bereits ab Juni 2023 keine „ operative Tätigkeit “ mehr bestanden habe und bringt sohin implizit vor, dass die Notwendigkeit der Benennung eines Datenschutzbeauftragten sohin mit Juni 2023 geendet habe.
Der Terminus der „ operativen Tätigkeit“ findet sich im österreichischen AIFMG, jedoch ohne eine gesetzliche Klarstellung, worum es sich dabei handelt. In der AIFMD wird dieses Kriterium als „ allgemein-kommerzieller oder industrieller Zweck “ bezeichnet (vgl. Ley in Piska / Völkel , Blockchain rules, Rz 12.15). Die Notwendigkeit der Bestellung eines Datenschutzbeauftragten stellt jedoch ausschließlich auf die „ Kerntätigkeit“ ab und nicht auf einen etwaigen kommerziellen oder industriellen Zweck. Vielmehr lässt sich aus den erworbenen Gewerbeberechtigungen in Zusammenschau mit dem Geschäftszweck die Haupttätigkeit ableiten. So soll gerade auch die kurze Bezeichnung des Geschäftszweigs nach eigener Angabe (§ 3 Abs 1 Z 5 FBG) den tatsächlichen Tätigkeitsbereich des Rechtsträgers umschreiben (vgl. Potyka in Straube/Ratka/Rauter, UGB I 4 § 3 FBG, Rz 6). Weshalb die Kerntätigkeit daher mit behauptetem Ende der operativen Geschäftstätigkeit nicht mehr bestehen sollte, ist nicht nachvollziehbar und gründet auf keiner gesetzlichen Grundlage.
Als Zwischenergebnis ist daher festzuhalten, dass jedenfalls im Zeitraum 19.02.2021 bis 26.02.2023 (in der Folge „ Tatzeitraum “) von einer Verpflichtung zur Bestellung eines Datenschutzbeauftragten auszugehen war.
Neben der verpflichteten Bestellung ist überdies zu berücksichtigen, dass bei der Benennung des Datenschutzbeauftragten den Voraussetzungen des Art. 38 DSGVO („ Stellung des Datenschutzbeauftragten “) genüge getan wird. Insgesamt soll Art. 38 DSGVO den Datenschutzbeauftragten in die Lage versetzen, seine Aufgaben, wie bereits eingangs erwähnt, nicht nur unabhängig, sondern auch effektiv erfüllen zu können (vgl. König in Knyrim , DatKomm Art. 38 DSGVO, Rz 1).
Art. 38 Abs. 6 DSGVO statuiert, dass der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen kann. Dabei hat der Verantwortliche oder der Auftragsverarbeiter aber sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen (vgl. König in Knyrim , DatKomm Art. 38 DSGVO). Wann ein solcher „ Interessenkonflikt “ vorliegt, wird in der DSGVO selbst nicht definiert.
Allgemein können sich Interessenkonflikte einerseits aus der Art der Tätigkeit ergeben oder auch daraus, dass wegen weiterer Aufgaben und Pflichten keine Zeit mehr verbleibt, um die Aufgaben des Datenschutzbeauftragten nach Art. 39 DSGVO wahrzunehmen (vgl. König in Knyrim, DatKomm Art. 38 DSGVO, Rz 35).
Der EuGH hat sich in der Rs EuGH C-453/21 vom 09.02.2023 bereits zur Frage geäußert, ob ein Interessenkonflikt im Sinne von Art. 38 Abs. 6 S 2 vorliegt, wenn der Datenschutzbeauftragter zugleich das Amt des Vorsitzenden des in der verantwortlichen Stelle gebildeten Betriebsrats innehat und im Zuge dessen ausgeführt, dass „ sich aus dem Wortlaut der Bestimmung erstens [ergibt], dass die Wahrnehmung der Aufgaben des Datenschutzbeauftragten und die Wahrnehmung anderer Aufgaben beim Verantwortlichen oder seinem Auftragsverarbeiter nach der DSGVO grundsätzlich nicht unvereinbar sind “, aber sichergestellt werden muss, dass diese anderen Aufgaben und Pflichten nicht zu einem „ Interessenkonflikt “ führen. Angesichts der Bedeutung dieses Ausdrucks im gewöhnlichen Sprachgebrauch ist davon auszugehen, dass der Datenschutzbeauftragte entsprechend dem mit Art. 38 Abs. 6 DSGVO verfolgten Ziel nicht mit der Wahrnehmung von Aufgaben oder Pflichten betraut werden darf, die die Ausübung seiner Stellung als Datenschutzbeauftragter beeinträchtigen könnten. Dem Datenschutzbeauftragten dürfen somit keine Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten beim Verantwortlichen oder seinem Auftragsverarbeiter festzulegen, weil der Datenschutzbeauftragte die Überwachung dieser Zwecke und Mittel unabhängig durchführen können muss.
Ob konkret ein „ Interessenkonflikt “ iSv Art. 38 Abs. 6 DSGVO vorliegt, ist aber im Einzelfall auf der Grundlage einer Würdigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen oder seines Auftragsverarbeiters, und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen oder des Auftragsverarbeiters, festzustellen (vgl. Rs 40ff ebd).
Auch, wenn das Vorliegen eines Interessenkonflikts stets auf Grundlage des konkreten Einzelfalls geprüft werden muss, gibt es Ämter und Positionen in Unternehmen, bei denen ein Interessenkonflikt auf Basis von Aufgaben und Pflichtenkreis regelmäßig anzunehmen sein wird (vgl. Brinkmann , Datenschutzbeauftragte und Interessenkonflikte - Die Gefahr der Unvereinbarkeit mit sonstigen Aufgaben und Ämtern, BB 2024, 54).
Das bedeutet, dass mit der Position des Datenschutzbeauftragten bestimmte Positionen im Unternehmen unvereinbar sein werden ( vgl . König in Knyrim, DatKomm Art 38 DSGVO, Rz 36). Als Beispiele für derartige Positionen, bei denen Interessenskonflikte erwartet werden können, sind solche des leitenden Managements zu nennen, wie etwa in der Geschäftsführung, des Finanzvorstands und Abteilungsleiter (vgl. Bergauer in Jahnel , Kommentar zur Datenschutz-Grundverordnung Art. 38 DSGVO, Rz 35). Aber auch bei Beteiligungen am Unternehmenserfolg, also einem wirtschaftlichen Interesse des Datenschutzbeauftragten, bspw. als Gesellschafter, kann von einem Interessenskonflikt ausgegangen werden (vgl. Bergt in Kühling/Buchner , DSGVO Art. 38, Rz 41).
Wird ein potentieller Interessenskonflikt identifiziert, ist durch entsprechende Maßnahmen sicherzustellen, dass ein solcher eben nicht eintritt. Abhängig von Gegenstand, Größe und Struktur einer Organisation, empfiehlt die Artikel-29-Datenschutzgruppe in ihren Leitlinien zum Datenschutzbeauftragten (WP 243 rev.01, abrufbar u.a. unter https://www.dsb.gv.at/europa-internationales/europaeischer_datenschutzausschuss_ edsa.html ) auf Seite 19f zur Begegnung von „ Interessenkonflikten“ in der Position des Datenschutzbeauftragten Folgendes:
- „ die Positionen zu benennen, die mit der Funktion eines DSB unvereinbar sind,
- zur Vermeidung von Interessenkonflikten diesbezügliche interne Richtlinien aufzustellen
- eine allgemeine Erläuterung potenzieller Interessenkonflikte vorzunehmen
- zu erklären, dass sich der DSB in Bezug auf seine Funktion in keinem Interessenkonflikt befindet und auf diese Weise das Bewusstsein für diese Anforderung zu schärfen
- in die internen Richtlinien der Einrichtung Sicherungsvorkehrungen aufzunehmen und dafür Sorge zu tragen, dass die Stellenausschreibung für die Position eines DSB bzw. der betreffende Dienstleistungsvertrag zwecks Vermeidung von Interessenkonflikten hinreichend genau und präzise formuliert wird. In diesem Zusammenhang ist zu beachten, dass Interessenkonflikte je nachdem, ob der DSB intern oder extern rekrutiert wird, unterschiedliche Formen annehmen können.“
Gegenständlich war die von der Beschuldigten als Datenschutzbeauftragter benannte Person ebenso handelsrechtlicher Geschäftsführer und sohin das zur Vertretung nach außen berufene Organ. Zudem war die benannte Person bis zum 17.02.2023 sogar Gesellschafter der Beschuldigten.
Die benannte Person (der Geschäftsführer und Gesellschafter der Beschuldigten) war aufgrund ihrer Doppel- bzw. Dreifachrolle jedenfalls nicht als von der Beschuldigten unabhängige Stelle zu qualifizieren, welche die Aufgabe der Überwachung der Einhaltung der DSGVO sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen vornehmen konnte. Dadurch war eine von der Geschäftsführung vorzunehmende unabhängige Kontrolle durch den Datenschutzbeauftragten im vorliegenden Fall ausgeschlossen.
Vielmehr lag eine Art der Selbstkontrolle vor, welche keiner unabhängigen objektiven Überprüfung eines Dritten zugänglich war. Das durch die Doppelrolle ein Interessenskonflikt bestand wurde von der Beschuldigten zuletzt auch nicht mehr bestritten, so führte diese am 03.09.2024 aus, dass dem Geschäftsführer der beschuldigten Person nicht bekannt war, dass ein Interessenkonflikt in dieser Konstellation vorliege.
Wenngleich die Beschuldigte vermeint, dass gegenständlich die Möglichkeit aufgrund individueller Maßnahmen besteht, das Potential des Interessenkonflikts aufzulösen, so ist dem jedoch zu entgegen, dass gegenständlich eben keine – insbesondere nach außen wirksamen – Maßnahmen getroffen wurden. Rein das Vorbringen, dass beim Geschäftsführer ein entsprechendes datenschutzrechtliches Bewusstsein vorhanden sei, stellt keinesfalls eine derartige Maßnahme dar und ist im Ergebnis auch nicht überzeugend. Vielmehr sollte jedenfalls davon auszugehen sein, dass der Verantwortliche selbst ein datenschutzrechtliches Bewusstsein mit sich bringt.
Der objektive Tatbestand ist daher erfüllt.
3.3. Zur subjektiven Tatseite
Der EuGH hat, wie schon bereits von der Datenschutzbehörde in ihrer bisherigen Spruchpraxis angenommen, nun explizit festgehalten, dass nur Verstöße gegen Bestimmungen der DSGVO, die der Verantwortliche schuldhaft, d.h. vorsätzlich oder fahrlässig begeht, zur Verhängung einer Geldbuße führen können (vgl. EuGH vom 05.12.2023, C-807/21, Rz 68).
In Bezug auf die subjektive Tatseite ist jedoch zu berücksichtigen, dass die Voraussetzung des Verschuldens für die Verhängung einer Geldbuße nach Art. 83 DSGVO unionsautonom auszulegen und insbesondere im Lichte der Rechtsprechung des EuGH zu beurteilen ist. Auch zur Vorlagefrage in Bezug auf das Verschulden stellte der EuGH nämlich fest, dass den Mitgliedstaaten in diesem Zusammenhang kein Ermessensspielraum durch den Unionsgesetzgeber für nationale Regelungen eingeräumt wurde, da die materiellen Voraussetzungen abschließend in Art. 83 Abs. 1 bis 6 DSGVO genau geregelt sind (vgl. hierzu auch EuGH vom 05.12.2023, C-683/21, Rz 64 ff). Somit gelangt die (nationale) Bestimmung nach § 5 VStG in Bezug auf das Verschulden nicht zur Anwendung.
Zu der entscheidenden Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und daher mit einer Geldbuße geahndet werden kann, stellte der EuGH in seinem oben zitierten Urteil gleichzeitig klar, dass ein solches Verschulden bereits vorliegt, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rz 76).
Unter Verweis auf weitere Rechtsprechung stellte der EuGH zudem ausdrücklich klar, dass die Anwendung von Art. 83 DSGVO gegenüber juristischen Personen keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (vgl. EuGH vom 05.12.2023, C-807/21, Rz 77).
Überdies stellte der EuGH in Bezug auf die Haftung für Geldbußen nach Art. 83 DSGVO grundlegend fest, dass Verantwortliche „ nicht nur geeignete und wirksame Maßnahmen treffen [müssen], sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind. Diese Haftung ist es, die bei einem der in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße die Grundlage dafür bildet, nach Art. 83 DSGVO eine Geldbuße gegen den Verantwortlichen zu verhängen “ (EuGH C-807/21, Rn 38).
In Bezug auf den Verstoß gegen die Pflicht, dass der Verantwortliche oder Auftragsverarbeiter sicherstellt, dass bei der Wahrnehmung von anderen Aufgaben und Pflichten des Datenschutzbeauftragten keine Interessenskonflikte vorliegen, unterlag die Beschuldigte jedenfalls somit jedenfalls einer Erkundigungspflicht.
In diesem Zusammenhang wird darauf hingewiesen, dass sich auf der Website der Datenschutzbehörde weitreichende Informationen zum Datenschutzbeauftragten finden (vgl. hierzu „ www.dsb.gv.at“) , im Besonderen wird auf den seitens der Datenschutzbehörde zur Verfügung gestellten „ Leitfaden zur Verordnung (EU) 2016/679“ (abrufbar unter https://www.dsb.gv.at/recht-entscheidungen/gesetze-in-oesterreich.html ) verwiesen .
Im Übrigen finden sich auf der Website des Europäischen Datenschutzausschuss umfassende Leitlinien zum Datenschutzbeauftragten („ Leitlinien zum Datenschutzbeauftragten der Art. 29-Datenschutzgruppe (WP 243 rev.01), abrufbar u.a. unter https://www.dsb.gv.at/europa-internationales/europaeischer_datenschutzausschuss_ edsa.html“ ), welche in dieser Entscheidung bereits mehrfach zitiertet wurden. In diesen wird unter anderem ausführlich erklärt, wann von einem Interessenskonflikt auszugehen ist und welche Maßnahmen zur Begegnung eines Interessenskonflikts herangezogen werden können.
Außerdem hat der Europäische Datenschutzausschuss auch einen Leitfaden für kleine und mittlere Unternehmen (KMUs) mit einer Reihe an Empfehlungen veröffentlicht und unter anderem auch konkret zur Rolle des Datenschutzbeauftragten (abrufbar in Deutsch unter: https://www.edpb.europa.eu/sme-data-protection-guide/data-protection-officer_de).
Schließlich ist jedoch auch festzuhalten, dass sich bereits aus dem Wortlaut des Art. 38 Abs. 6 DSGVO unmissverständlich ergibt, dass der Verantwortliche sicherstellen muss, dass kein Interessenkonflikt in dieser Rolle vorliegt.
Die Beschuldigte handelte demnach jedenfalls schuldhaft, da sie sich mit ihren Verpflichtungen nicht auseinandersetzte, obwohl ihr dies zumutbar und möglich gewesen wäre. Dies wäre für die Beschuldigte ein Leichtes gewesen, denn behaupte diese ohnedies über ein entsprechendes datenschutzrechtliches Bewusstsein in Ausgestalt ihres Geschäftsführers zu verfügen.
Die Beschuldigte konnte sich im Lichte der Rechtsprechung des EuGH jedenfalls über die Rechtswidrigkeit ihres Verhaltens nicht im Unklaren sein, unabhängig davon, ob ihr dabei bewusst war, dass sie gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rz 76 und 77; EuGH C-683/21, Rz 81 und 82 mwN). So war die Beschuldigte zuletzt auch einsichtig und führte aus, dass der beschuldigten Person nicht bekannt gewesen sei, dass ein Interessenkonflikt in dieser Konstellation vorliege. Zudem erkannte die Beschuldigte den Vorwurf und entschuldigte sich hierfür.
Es liegt somit im vorliegenden Fall jedenfalls Verschulden in Form von Fahrlässigkeit vor. Dadurch ist die subjektive Tatseite ebenfalls erfüllt.
4. Zur Strafzumessung ist Folgendes festzuhalten:
4.1. Allgemeines zur Strafbemessung
Gemäß Art. 83 Abs. 1 DSGVO hat die Aufsichtsbehörde sicherzustellen, dass die Verhängung von Geldbußen für Verstöße gegen die unter Sanktion gestellten Bestimmungen der DSGVO (Art. 83 Abs. 4, 5 und 6 DSGVO) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Näherhin bestimmt Art. 83 Abs. 2 DSGVO, dass bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall bestimmte Kriterien gebührend zu berücksichtigen sind.
Die Datenschutzbehörde hat im Rahmen der Strafbemessung die Leitlinien des EDSA betreffend Berechnung von Geldbußen nach der DSGVO (vgl. EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR , Version 2.1 vom 24.05.2023 – im Folgenden „Fines-Leitlinien“) zur Anwendung gebracht.
Die Bestimmung nach § 19 Abs. 1 VStG gelangt nicht zur Anwendung, da die Strafbemessung ebenfalls abschließend durch Art. 83 Abs. 2 DSGVO geregelt wird und kein Ermessensspielraum für die Mitgliedstaaten bleibt (vgl. EuGH 05.12.23, C-807/21, Rn 45; siehe hierzu auch die rezente Entscheidung des BVwG vom 03.06.2024, GZ: W292 2282284-1).
Gemäß Art. 83 Abs. 4 DSGVO werden im Falle der dort genannten Verstöße, im Einklang mit Abs. 2, Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.
Der Begriff Umsatz in Art. 83 Abs. 4, 5 und 6 DSGVO ist im Sinne des Art. 2 Z 5 der Richtlinie 2013/34/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 über den Jahresabschluss, den konsolidierten Abschluss und damit verbundene Berichte von Unternehmen bestimmter Rechtsformen, zur Änderung der Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinien 78/660/EWG und 83/349/EWG des Rates (im Folgenden „Richtlinie 2013/34/EU“) zu verstehen. Umsatz ist die Summe aller verkauften Waren und Dienstleistungen. Nettoumsatz ist der Betrag, der sich aus dem Verkauf von Produkten und der Erbringung von Dienstleistungen nach Abzug von Erlösschmälerungen und der Mehrwertsteuer (MwSt) sowie sonstigen direkt mit dem Umsatz verbundenen Steuern ergibt (vgl. EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 2.1, Rz 128 ff).
4.2. In der Sache
In Anbetracht der Fines-Leitlinien wird die Beschuldigte in Bezug auf ihren Umsatz, welchen diese für das Geschäftsjahr 2023 mit 4 Mio. EUR bezifferte und im Hinblick auf die Verhängung einer wirksamen, abschreckenden und verhältnismäßigen Geldbuße in die zweitniedrigste Kategorie („ Unternehmen mit einem Umsatz von 2 Mio. EUR bis 10 Mio. EUR “) eingestuft. Durch diese Einstufung wird die Unternehmensgröße gebührend berücksichtigt, um insbesondere die Verhältnismäßigkeit der Geldbuße zu gewährleisten.
Der Strafrahmen im konkreten Fall reicht gemäß Art. 83 Abs. 4 DSGVO bis zu einem Betrag in der Höhe von EUR 10.000.000,- (statischer Strafrahmen). Der dynamische Strafrahmen (2% des Jahresumsatzes) gelangt nicht zur Anwendung.
Im Lichte des als erwiesen angenommenen Sachverhalts und unter Berücksichtigung der Art, Schwere und Dauer des Verstoßes (Art. 83 Abs. 1 lit. a DSGVO), der Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Art. 83 Abs. 2 lit. b DSGVO) sowie die Kategorien personenbezogener Daten, die vom Verstoß betroffen sind (Art. 83 Abs. 2 lit. g DSGVO) wird von der Datenschutzbehörde die Schwere der Zuwiderhandlung („ Seriousness of the infringement “) als niedrig („ low level of seriousness “) angenommen.
Bezogen auf den vorliegenden Sachverhalt wurde darüber hinaus (über die oben bereits für den Schweregrad berücksichtigten Kriterien) bei der Strafzumessung Folgendes mildernd berücksichtigt:
Die Beschuldigte hat bis dato keine einschlägigen Verstöße begangen und ist somit unbescholten (vgl. Art. 83 Abs. 2 lit. e DSGVO).
Die Beschuldigte hat im Rahmen des gegenständlichen Ermittlungsverfahrens mitgewirkt und dadurch einen Beitrag zur Wahrheitsfindung geleistet. Die Beschuldigte räumte gegenüber der Datenschutzbehörde die Missachtung ihrer Verpflichtung ein (Geständnis) (vgl. Art. 83 Abs. 2 lit. f und lit. k DSGVO). Dies wurde besonders strafmildernd berücksichtigt.
Bei der Bemessung der Strafe dürfen nach ständiger Rechtsprechung des VwGH auch Überlegungen der Spezialprävention und Generalprävention einbezogen werden (vgl. VwGH 15.5.1990, 89/02/0093, VwGH 22.4.1997, 96/04/0253, VwGH 29.1.1991, 89/04/0061). Art. 38 DSGVO soll den Datenschutzbeauftragten in die Lage versetzen, seine Aufgaben nicht nur unabhängig, sondern auch effektiv zu erfüllen. Die Beschuldigte hat diese Bestimmung – wie oben ausgeführt – insofern verletzt, als diese nicht sicherstellte, dass der Datenschutzbeauftragte im Rahmen der Wahrnehmung anderer Aufgaben und Pflichten nicht in einen Interessenskonflikt führten. Die Verhängung der konkreten Geldstrafe war daher jedenfalls im Sinne der Generalprävention erforderlich, um Verantwortliche und Auftragsverarbeiter in diesem Zusammenhang mit ihrer Benennung eines Datenschutzbeauftragten zu sensibilisieren.
Die Datenschutzbehörde geht davon aus, dass die Beschuldigte es künftig unterlassen wird, neuerlich einen derartigen Verstoß zu begehen. Daher liegen nach Ansicht der Datenschutzbehörde keine spezialpräventiven Gründe vor.
Die im Ergebnis konkret verhängte Strafe in der Höhe von EUR 5.000,- erscheint daher im Hinblick auf den verwirklichten Tatunwert, gemessen am zur Verfügung stehenden Strafrahmen des Art. 83 Abs. 4 DSGVO tat- und schuldangemessen. Ein (noch) niedrigerer Betrag würde den zentralen Kriterien des Art. 83 Abs. 1 DSGVO (wirksam, abschreckend und verhältnismäßig) nicht gerecht werden.