2025-0.276.820 – Datenschutzbehörde Entscheidung

GZ: 2025-0.276.820 vom 6. August 2025 (Verfahrenszahl: DSB-D550.1173)

[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

Straferkenntnis

Beschuldigte: D***Medien GmbH Co KG (FN*7*1*6v)

Die Beschuldigte mit Sitz in **** O***stadt, P***platz *7*/1, hat in der Rolle als Verantwortliche im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016, S. 1 idgF, nachstehenden Sachverhalt verwirklicht und dadurch folgende Verwaltungsübertretung begangen:

Die Beschuldigte hat als Verantwortliche im Zeitraum von 11.10.2024 bis zumindest 31.03.2025 (in der Folge „ Tatzeitraum “) innerhalb des Bundesgebietes Österreich (in der Folge „ Tatort “) eine Anweisung der Datenschutzbehörde als zuständige Aufsichtsbehörde gemäß Art. 58 Abs. 2 lit. d DSGVO nicht befolgt, indem die Beschuldigte der Anweisung im Spruchpunkt III des Bescheides vom 14.12.2023, GZ D124.5045; 2023-0.661.0111, nicht nachgekommen ist.

Konkret hat die Beschuldigte die Anweisung der Datenschutzbehörde, das datenschutzrechtliche Ersuchen um Einwilligung (den sogenannten „ Cookie-Banner “) auf ihrer Website „ www.d***medien.at“ (in der Folge: „Website“ ) derart abzuändern, dass auf der ersten Ebene des Cookie-Banners zusätzlich zur Option „ Akzeptieren “ eine optisch gleichwertige Option vorhanden ist, um den Cookie-Banner ohne Abgabe einer Einwilligung schließen zu können, missachtet, indem diese das Einwilligungsersuchen auf ihrer Website im Tatzeitraum entgegen Art. 7 Abs. 1 bis 3 DSGVO weiterhin derart ausgestaltet hat, dass für die Nichtabgabe einer Einwilligung (bzw. das Schließen des Cookie-Banners und Weitersurfen ohne die Erteilung einer Einwilligung) mehr Interaktionen mit dem gegenständlichen Cookie-Banner notwendig waren, als für die Abgabe der Einwilligung für die Datenverarbeitung, sodass die Ablehnung der Einwilligung im Vergleich zur Erteilung der Einwilligung erschwert wurde.

Verwaltungsübertretung nach:

Art. 58 Abs. 2 lit. d iVm Art. 83 Abs. 1 und 6 DSGVO ABl. L 2016/119, S. 1, idgF

Wegen dieser Verwaltungsübertretung wird gemäß Art. 83 DSGVO folgende Strafe verhängt:

Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen:

620

Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro;

- - - - - - - - -

Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher

6.820

Euro

Zahlungsfrist:

Wird keine Beschwerde erhoben, ist dieses Straferkenntnis sofort vollstreckbar. Der Gesamtbetrag ist in diesem Fall binnen zwei Wochen nach Eintreten der Rechtskraft auf das Konto [hier gekürzt] , lautend auf die Datenschutzbehörde, einzuzahlen. Als Verwendungszweck möge die Geschäftszahl sowie das Erledigungsdatum angegeben werden .

Erfolgt binnen dieser Frist keine Zahlung, kann der Gesamtbetrag eingemahnt werden. In diesem Fall ist ein pauschalierter Kostenbeitrag in der Höhe von fünf Euro zu entrichten. Erfolgt dennoch keine Zahlung, wird der ausstehende Betrag vollstreckt .

Begründung:

1. Folgender entscheidungsrelevanter Sachverhalt steht auf Grund des durchgeführten Beweisverfahrens fest:

1.1. Zum Betrieb der Website der Beschuldigten

1.1.1. Die D***Medien GmbH Co KG (FN *7*1*6v) ist durch Umwandlung am 09.10.2024 aus der D***Medien GmbH (FN *8*33*2t) hervorgegangen. Der Geschäftszweig der Beschuldigten lautet auf „ Geschäfte und Tätigkeiten im Zusammenhang mit digitaler Technologie, digitaler Kommunikation, insbesondere digitalen und elektronischen Medien “.

1.1.2. Die Beschuldigte ist unter anderem Betreiberin der Website „ www.d***medien.at“ (in der Folge „ Website “), mit welcher diese lokale Nachrichten bereitstellt. Auf der Website bindet die Beschuldigte Cookies ein. Mittels Cookies lassen sich Informationen über die Besucher der Website sammeln. Diese werden als kleine Textdateien auf dem Endgerät des jeweiligen Nutzers gespeichert sobald man die Website besucht. Cookies beinhalten unter anderem einzigartige, zufallsgenerierte Werte („ Universally Unique Identifiers “ (in Folge „ UUIDs “)), die mit dem Zweck gesetzt werden, die Website besuchende Personen (in der Folge „ Betroffene “) zu individualisieren und auszusondern.

1.1.3. Für die Erhebung und Übermittlung von UUIDs der Betroffenen verwendet die Beschuldigte auf ihrer Website einen Cookie-Consent-Banner als Form des Ersuchens zur Einholung einer Einwilligung von betroffenen Personen. Die Beschuldigte hat hierzu auf ihrer Website das Consent Mangement Tool (in der Folge “ CMT “) „ U***1 “ verwendet.

1.1.4. Mit Eingabe vom 10.08.2021 an die Datenschutzbehörde brachte Emil A*** (in der Folge „ Beschwerdeführer “) nach einem Besuch der Website „ www.d***medien.at“ aufgrund einer behaupteten Verletzung im Recht auf Löschung, im Recht auf Mitteilungspflicht im Zusammenhang mit der Löschung personenbezogener Daten und im Recht auf Geheimhaltung eine Beschwerde nach Art. 77 DSGVO gegen die Beschuldigte (vormals im Beschwerdeverfahren „ Beschwerdegegnerin “, abgekürzt „ BG “) ein. Das Verfahren wurde von der Datenschutzbehörde unter der GZ: D124.5045 geführt.

1.1.5. Mit Bescheid der Datenschutzbehörde vom 14.12.2023, GZ: D124.5045, 2023-0.661.0111, wurde die Beschwerde des Beschwerdeführers aufgrund erfolgter Löschung sowie Mitteilung abgewiesen ( Spruchpunkt I ) und der Antrag eine behauptete Verletzung im Recht auf Geheimhaltung festzustellen als verspätet zurückgewiesen ( Spruchpunkt II ). Zusätzlich erteilte die Datenschutzbehörde in Spruchpunkt III nachstehenden amtswegigen Leistungsauftrag (Formatierung nicht 1:1 übernommen):

„Der Beschwerdegegnerin wird aufgetragen, innerhalb einer Frist von zehn Wochen das datenschutzrechtliche Ersuchen um Einwilligung (den Cookie-Banner) auf der Website www.d***medien.at (siehe Sachverhaltsfeststellung C.6.) derart abzuändern, dass auf der ersten Ebene des Cookie-Banners zusätzlich zur Option „Akzeptieren“ eine optisch gleichwertige Option vorhanden ist, um den Cookie-Banner ohne Abgabe einer Einwilligung schließen zu können.“

Punkt C.6. der Sachverhaltsfeststellungen des genannten Bescheides lautet wie folgt (Formatierung nicht 1:1 wiedergegeben):

„ Zum aktuellen Zeitpunkt gestaltet sich der Cookie Banner der BG unter www.d***medien.at wie folgt (Formatierung nicht 1:1 wiedergegeben):

[Anmerkung Bearbeiter/in: das an dieser Stelle im Original wiedergegebene digitale Lichtbild (Screenshot) in einem grafischen Format konnte mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]

Wird die Option „Zwecke anzeigen“ ausgewählt, erscheint folgende Schaltfläche (Formatierung nicht 1:1 wiedergegeben):

[Anmerkung Bearbeiter/in: Das an dieser Stelle im Original wiedergegebene digitale Lichtbild (Screenshot) in einem grafischen Format konnte mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]

[…]

Wird die Option „Akzeptieren“ oder „Alle zulassen ausgewählt“, werden mehrere Cookies im Endgerät bzw. Browser des Nutzers gesetzt. Es handelt sich um die folgenden Cookies:

[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original wiedergegebenen digitalen Lichtbilder (Screenshots) in einem grafischen Format konnten mit zumutbarem Aufwand nicht pseudonymisiert werden und wurden daher entfernt. Sie stellen eine Liste von mehr als 180 nach Domain und Name bezeichneten Cookies dar.]

1.1.6. Der oben genannte Bescheid wurde der Beschuldigten am 14.12.2023 zu Handen ihrer Rechtsvertretung RA Dr. Wolfgang W*** per E-Mail an „ office@c***anwalt.at “ und an „ ü***@c***anwalt.at “ übermittelt.

1.1.7. Die anwaltlich vertretene Beschuldigte erhob fristgerecht am 11.01.2024 gegen den in Spruchpunkt III enthaltenen Leistungsauftrag eine Beschwerde.

1.1.8. Mit Erkenntnis vom 31.07.2024, GZ: W108 2284491-1/15E, wies das Bundesverwaltungsgericht (in der Folge „ BVwG “) die Beschwerde der Beschuldigten als unbegründet ab. Das Erkenntnis wurde der Beschuldigten per Web-ERV am 01.08.2024 zugestellt.

1.1.9. Gegen das Erkenntnis des BVwG erhob die Beschuldigte - nach Ablehnung und Abtretung einer an den Verfassungsgerichtshof (in der Folge „ VfGH “) gerichteten Beschwerde mit Beschluss des VfGH vom 03.10.2024, E3502/2024-5 - außerordentliche Revision. Die außerordentliche Revision wurde vom Verwaltungsgerichtshof (in der Folge „ VwGH“) schließlich mit Beschluss vom 16.01.2025, GZ: Ra 2024/04/0424-9, zurückgewiesen.

1.1.10. Für die Erhebung und Übermittlung von UUIDs verwendete die Beschuldigte auf ihrer Website jedenfalls bis zum 01.04.2024 weiterhin einen Cookie-Banner, welcher auf der ersten Ebene neben der Option „ Akzeptieren “ keine optisch gleichwertige Option für das „ Nicht-Akzeptieren “ hat, als ein Ersuchen um Einwilligung.

1.1.11. Der Cookie-Banner gestaltet sich hierbei bis zum 01.04.2025 wie folgt (Formatierung nicht 1:1 übernommen):

1.1.12. Wurde die Option „ Einstellungen “ ausgewählt, erschien folgende Schaltfläche (Formatierung nicht 1:1 wiedergegeben):

1.1.13. Mit 01.04.2025 hat die Beschuldigte das „ ***Abo “ eingeführt und den Cookie-Banner wie folgt umgestellt (Formatierungen nicht 1:1 übernommen):

[Anmerkung Bearbeiter/in: Das an dieser Stelle im Original wiedergegebene digitale Lichtbild (Screenshot) in einem grafischen Format konnte mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt. Der Nutzer hat nunmehr die Wahl zwischen einem Button „Alle akzeptieren“ und dem Button „***Abo abschließen“.]

1.1.14. Im Rahmen der Rechtfertigung gab die Beschuldigte bekannt, dass im Jahresabschluss 2023 der D***Medien GmbH EUR 8.350.861,85 an Umsatzerlösen ausgewiesen sind, die Angabe des weltweiten erzielten Jahresumsatzes des Vorjahres unterblieb hingegen.

2. Die Feststellungen werden auf Grund folgender Beweiswürdigung getroffen:

2.1. Die Feststellung zur Rechtsform und dem Geschäftszweig der Beschuldigten in Punkt 1.1.1. ergibt sich aus einer amtswegigen Abfrage des Firmenbuchs unter FN *7*1*6v sowie unter FN *8*33*2t am 05.08.2025.

2.2. Die Feststellungen zum Betrieb der Website und der präsentierten Inhalte in Punkt 1.1.2. ergeben sich aus einer amtswegigen Abfrage über die Website „www.d***medien.at“, zuletzt abgerufen am 05.08.2025, sowie den Ausführungen der Beschuldigten im Rahmen ihrer schriftlichen Rechtfertigung vom 09.04.2025, in welcher diese angab, dass sie Medieninhaberin der Website sei und auf dieser Website Cookies einbinde. Auch wird im Impressum die Beschuldigte u.a. als Betreiberin der Website angeführt. Die Ausführungen zur Funktionsweise von Cookies stammen aus den Schlussanträgen des Generalanwalts in der Rechtssache C-673/17 Rz 36 ff mwN. Da es sich um eine einzelfallunabhängige und allgemeine technische Beschreibung zu den möglichen Funktionen von Cookies handelt, waren diese Ausführungen auf Sachverhaltsebene - und nicht in der rechtlichen Beurteilung - aufzunehmen.

2.3. Die Feststellungen zum Consent Mangement Tool in Punkt 1.1.3. ergeben sich aus der schriftlichen Rechtfertigung der Beschuldigten vom 09.04.2025 sowie aus den der Beschuldigten als Verfahrenspartei bekannten Aktenbestandteilen des Verfahrens zur GZ: D124.5045.

2.4. Die Feststellungen zum Gang des durch einen der Betroffenen in Gang gesetzten Beschwerdeverfahrens in den Punkten 1.1.4. und 1.1.5. ergeben sich insbesondere aus dem Akteninhalt des Beschwerdeverfahrens zur GZ: D124.5045. Als Partei dieses Verfahrens ist der Beschuldigten der Akteninhalt, insbesondere der Bescheid der Datenschutzbehörde vom 14.12.2023, GZ: D124.5045, 2023-0.661.0111, auch vollumfänglich bekannt.

2.5. Die Feststellungen zu 1.1.6. ergeben sich aus der im Akt zur GZ: D124.5045 enthaltenen Zustellverfügung samt elektronischer Zustellbestätigung.

2.6. Die Feststellungen zu 1.1.7. und 1.1.8. ergeben sich aus dem der Datenschutzbehörde vorliegenden Akteninhalt zur GZ: D062.2845 sowie dem Erkenntnis des BVwG vom 31.07.2024, GZ: W108 2284491-1/15E. Beides ist der Beschuldigten als Partei des Beschwerdeverfahrens bekannt. Die korrelierenden Feststellungen betreffend die Ausführungen hinsichtlich der Zustellung des Erkenntnisses des BVwG resultieren aus den Angaben der Beschuldigten im Rahmen ihrer schriftlichen Rechtfertigung vom 09.04.2025.

2.7. Die Feststellungen zu 1.1.9. ergeben sich aus dem der Datenschutzbehörde vorliegenden Akteninhalt zum Verfahren vor dem Verfassungsgerichtshof GZ: D079.185; GZ: E 3502/2024-5 sowie dem der Datenschutzbehörde vorliegenden Akteninhalt zum Verfahren vor dem Verwaltungsgerichtshof GZ: D078.499; GZ: Ra 2024/04/0424-9. Beide sind der Beschuldigten als Partei bekannt.

2.8. Die Feststellungen zu 1.1.10. bis 1.1.13. gründen auf dem Akteninhalt des gegenständlichen Verwaltungsstrafverfahrens.

3. Rechtlich folgt daraus:

3.1. Zur objektiven Tatseite

Art. 58 DSGVO definiert verschiedenste aufsichtsbehördliche Untersuchungsbefugnisse (Abs. 1), Abhilfebefugnisse (Abs. 2) sowie Genehmigungs- und Beratungsbefugnisse (Abs. 3). Die Aufsichtsbehörden der Mitgliedstaaten sind grundsätzlich frei in der Auswahl der anzuwendenden Maßnahmen, diese müssen allerdings im jeweiligen Einzelfall geeignet und verhältnismäßig sein.

Die Datenschutzbehörde verfügt gemäß Art. 58 Abs. 2 lit. d DSGVO unter anderem über die Abhilfebefugnis, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen , Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DSGVO zu bringen.

Nach Judikatur des BVwG ist es zulässig, dass die Datenschutzbehörde auch im Beschwerdeverfahren von dieser Befugnis amtswegig Gebrauch macht(vgl. das dg. Erkenntnis vom 16.11.2022, Zl. W274 2237056-1/8E).

Die Geldbuße kann neben oder anstatt weiterer Abhilfemaßnahmen iSd Art. 58 Abs. 2 lit. a–h und i DSGVO verhängt werden. Die diesbezügliche Entscheidung liegt im Ermessen der Aufsichtsbehörde, wobei die in Art. 83 DSGVO genannten Erwägungen heranzuziehen sind (vgl. Zavadil in Knyrim , DatKomm Art. 58 DSGVO Rz 29 ff, 42).

Der Begriff der „ Anweisung “ meint nach der Literatur alle verbindlichen Anweisungen der Aufsichtsbehörde, unabhängig davon, wie sie formuliert sind. Dabei handelt es sich um alle vollstreckbaren Verwaltungsakte mit Handlungsbefehl auf Basis von Art. 58 Abs. 2 DSGVO , sodass entweder Bestandskraft oder sofortige Vollziehbarkeit gegeben sein müssen (vgl. Bergt in Kühling/Buchner DSGVO Art. 83 Rz 109 mwN).

Nach § 13 VwGVG haben Beschwerden gegen Bescheide von Verwaltungsbehördengemäß Art. 130 Abs. 1 Z 1 B-VG grundsätzlich ex lege(vgl. VwGH 11.03.2016, Ra 2016/11/0027) aufschiebende Wirkung (vgl. RV 2013, 5). Die aufschiebende Wirkung von Rechtsmitteln dient in erster Linie der individuellen Rechtsverfolgung und damit der rechtsstaatlich gebotenen Effektivität des Rechtsschutzes. Sie verhindert, dass infolge von (eventuell rechtswidrigen) Entscheidungen staatlicher Organe kaum oder nicht mehr revisible Fakten geschaffen werden, noch bevor durch die übergeordneten Instanzen die Rechtslage endgültig geklärt wurde (vgl. Forster/Pichler in Köhleret al VwGVG § 13 Rz 1 ff).

Die aufschiebende Wirkung der Beschwerde suspendiert jedenfalls die Vollstreckbarkeit des angefochtenen Bescheides im engeren („technischen“) Sinne, also die behördliche Befugnis, den im Bescheid geforderten Zustand im Wege eines Vollstreckungsverfahrens (etwa nach dem VVG) zwangsweise zu verwirklichen (vgl. Blecha in Bumbergeret al VwGVG § 13 Rz 4; Eder/Martschin/Schmid2 VwGVG § 13 K 2; Forster/Pichler in Köhleret al VwGVG § 13 Rz 3; Götzl in Götzlet al 2 VwGVG § 13 Rz 2; Hengstschläger/Leeb 6 Rz 495 f und 1034; Kolonovits/Muzak/Stöger 11 Rz 748; ferner VwGH 23.01.1990, 89/11/0210; 15.12.1993, 93/01/0779; 23.02.1996, 95/02/0311).

Hingegen kommt weder Beschwerden gegen Erkenntnissen von Verwaltungsgerichten noch ordentlichen oder außerordentlichen Revisionen gegen diese ex lege gemäß § 85 VfGG sowie § 30 VwGG aufschiebende Wirkung zu.

Der Tatbestand des Art. 58 Abs. 2 lit. d iVm. 83 Abs. 1 und 6 DSGVO wird mit Ablauf der Leistungsfrist verwirklicht. Die Dauer des Verstoßes und eine allfällige Wiederherstellung des rechtmäßigen Zustandes ist im Rahmen der Strafbemessung (Art. 83 Abs. 2 lit. a DSGVO) bzw. im Rahmen der Milderungsgründe zu berücksichtigen (vgl. Erkenntnis des BVwG vom 10.03.2025, GZ: W287 2286005-1/15E).

Feststellungsgemäß erteilte die Datenschutzbehörde mit Bescheid vom 14.12.2023, GZ: D124.5045, 2023-0.661.0111 einen Leistungsauftrag, welchen die Beschuldigte binnen einer Frist von zehn Wochen umzusetzen hatte. Zwar wurde der Bescheid am 14.12.2023 zugestellt, jedoch war aufgrund der durch die Bescheidbeschwerde eingetretenen aufschiebenden Wirkung die Vollstreckbarkeit bis zur Entscheidung des BVwG suspendiert.

Jedoch hätte nach erfolgtem Rechtsmittelverfahren und vollstreckbarer Entscheidung des BVwG daher die Umsetzung des Leistungsauftrages mit Ablauf der Leistungsfrist bis zum 10.10.2024 erfolgen müssen, weshalb der Beginn des Tatzeitraumes mit 11.10.2024 festzusetzen war.

Die tatsächliche Umsetzung des Leistungsauftrages durch die Beschuldigte erfolgte unbestrittenermaßen jedoch erst mit 01.04.2025 und somit deutlich verspätet.

Daher ist - im Lichte des erwiesen angenommenen Sachverhalts - die objektive Tatseite in Bezug auf die Nichtbefolgung einer Anweisung der Datenschutzbehörde als Aufsichtsbehörde im Tatzeitraum erfüllt.

3.2. Zur subjektiven Tatseite.

Der EuGH hat festgehalten, dass nur Verstöße gegen Bestimmungen der DSGVO, die der Verantwortliche schuldhaft, d.h. vorsätzlich oder fahrlässig begeht, zur Verhängung einer Geldbuße führen können (vgl. EuGH vom 05.12.2023, C-807/21, Rz 68).

Der EuGH stellt klar, dass ein solches Verschulden bereits vorliegt, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rz 76).

Umgelegt auf den vorliegenden Fall bedeutet dies Folgendes:

Zunächst ist festzuhalten, dass es im Rahmen des Ermittlungsverfahrens keine Anhaltspunkte dafür gab, dass die gegenständlichen Verstöße von einer Person begangen wurden, die nicht im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte. Dem Urteil des EuGH zufolge ist es für die Verhängung einer Geldbuße gegen eine juristische Person jedoch nicht erforderlich, dass die Datenschutzbehörde zusätzlich noch eine identifizierte natürliche Person, die im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte, in ihrer Entscheidung anführt und das Handeln dieser Person der juristischen Person zurechnet. Es ist daher im vorliegenden Fall auch nicht entscheidungserheblich, ob und welche(r) Geschäftsführer(in) der Beschuldigten die gegenständlichen Verstöße zu verantworten hat. Die (nationalen) Voraussetzungen für die Strafbarkeit einer juristischen Person nach § 30 Abs. 1 und 2 DSG gelangen nicht zur Anwendung (vgl. VwGH vom 01.02.2024, Ra 2020/04/0187).

Im Lichte des als erwiesen angenommen Sachverhalts wird von der Datenschutzbehörde keine vorsätzliche Tathandlung durch die Beschuldigte angenommen.

Im Lauf des Ermittlungsverfahrens ergaben sich jedenfalls keine Hinweise darauf, dass die Beschuldigte an der Verletzung der gegenständlich anzuwendenden Verwaltungsvorschriften kein Verschulden trifft. Ebenso war die Beschwerdeführerin mit Zustellung des Bescheids zur GZ: D124.5045 im Klaren, dass sie dem Auftrag der Datenschutzbehörde binnen zehn Wochen ab Rechtskraft nachkommen musste. Sie konnte sich über die Rechtswidrigkeit ihres Verhaltens nicht im Unklaren sein. Es wäre ihr auch zumutbar und möglich gewesen diese Anweisung binnen der festgesetzten Frist von zehn Wochen umzusetzen.

Dadurch ist die subjektive Tatseite ebenfalls erfüllt und es liegt Verschulden in Form von Fahrlässigkeit vor.

4. Zur Strafzumessung ist Folgendes festzuhalten:

Gemäß Art. 83 Abs. 1 DSGVO hat die Datenschutzbehörde sicherzustellen, dass die Verhängung von Geldbußen für Verstöße gegen die unter Sanktion gestellten Bestimmungen der DSGVO (Art. 83 Abs. 4, 5 und 6 DSGVO) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Näherhin bestimmt Art. 83 Abs. 2 DSGVO, dass bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall bestimmte Kriterien gebührend zu berücksichtigen sind.

Die Datenschutzbehörde hat im Rahmen der Strafbemessung die Leitlinien des EDSA betreffend Berechnung von Geldbußen nach der DSGVO (vgl. EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 2.1 vom 24.05.2023 – im Folgenden „ Fines-Leitlinien “) zur Anwendung gebracht.

In Anbetracht der Fines-Leitlinien wird die Beschuldigte unter Berücksichtigung des Jahresabschlusses zum 31.12.2023 (ein Jahresabschluss für das Jahr 2024 liegt zum Zeitpunkt der Entscheidung der Datenschutzbehörde nicht vor) und im Hinblick auf die Verhängung einer wirksamen, abschreckenden und verhältnismäßigen Geldbuße in die Kategorie „Unternehmen mit einem Umsatz von 2 Mio. EUR bis 10 Mio. EUR“ eingestuft.

Der Strafrahmen im konkreten Fall reicht gemäß Art. 83 Abs. 6 DSGVO bis zu einem Betrag in der Höhe von EUR 20.000.000,- (statischer Strafrahmen). Der dynamische Strafrahmen (4% des Jahresumsatzes) gelangt nicht zur Anwendung.

Im Lichte des als erwiesen angenommenen Sachverhalts und unter Berücksichtigung der oben bereits näher behandelten Art, Schwere und Dauer des Verstoßes (Art. 83 Abs. 1 lit. a DSGVO), wobei die Dauer des Verstoßes in diesem Zusammenhang ins Gewicht gefallen ist; der Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Art. 83 Abs. 2 lit. b DSGVO), wobei die Fahrlässigkeit als neutral zu bewerten war; der Kategorien personenbezogener Daten, die vom Verstoß betroffen sind (Art. 83 Abs. 2 lit. g DSGVO), wobei die Tatsache, dass nicht besondere Kategorien betroffen waren nur als neutral gewertet werden konnte; wird von der Datenschutzbehörde die Schwere der Zuwiderhandlung („ seriousness of the infringement “) im Ergebnis mit einem geringen Schweregrad („ low seriousness “) festgelegt und ein Startbetrag konkret in Höhe von EUR 400.000,- für die weitere Berechnung zu Grunde gelegt. Dieser Betrag befindet sich aufgrund der hier vorliegenden Umstände am unteren Ende der Spanne für Verstöße mit einem „ geringen Schweregrad “.

In Folge wurde die (geschätzte) Unternehmensgröße bzw. wirtschaftliche Leistungsfähigkeit im Sinne der Leitlinien berücksichtigt und eine Anpassung auf 1,6% des Ausgangsbetrags vorgenommen, um insbesondere die Verhältnismäßigkeit der Geldbuße nach Art. 83 Abs. 1 DSGVO sicherzustellen.

Es liegen über die bereits für die Feststellung des Schweregrades berücksichtigenden Umstände keine weiteren erschwerenden Strafbemessungsgründe vor. Dieser Betrag wurde schließlich aufgrund der untenstehenden Milderungsgründe reduziert:

- Gegen die Beschuldigte liegen bei der Datenschutzbehörde keinerlei einschlägige frühere Verstöße gegen die DSGVO vor (Art. 83 Abs. 2 lit. e DSGVO).

- Die Beschuldigte hat im Rahmen des gegenständlichen Ermittlungsverfahrens mitgewirkt und dadurch einen Beitrag zur Wahrheitsfindung geleistet (Art. 83 Abs. 2 lit. f und k DSGVO).

Bei der Bemessung der Strafe dürfen nach ständiger Rechtsprechung des VwGH auch Überlegungen der Spezialprävention und Generalprävention einbezogen werden (vgl. VwGH 15.05.1990, 89/02/0093, VwGH 22.04.1997, 96/04/0253, VwGH 29.01.1991, 89/04/0061). Auch nach Art. 83 Abs. 1 DSGVO muss sichergestellt werden, dass jede Geldbuße durch die Datenschutzbehörde für festgestellte Verstöße wirksam, abschreckend und verhältnismäßig ist.

Somit kann im Sinne dieser Voraussetzungen die Geldbuße im Einzelfall nochmals erhöht oder reduziert werden.

Die Verhängung der konkreten Geldstrafe war bereits im Sinne der Spezialprävention notwendig, um die Beschuldigte in Bezug auf ihre Pflichten als Verantwortliche, insbesondere die Pflicht zur Befolgung einer Anweisung der Aufsichtsbehörde zu sensibilisieren und von der Begehung weiterer strafbarer Handlungen gleicher Art abzuhalten. Nicht mildern berücksichtigt werden konnte, entgegen der Ansicht der Beschuldigten, dass die Erfüllung des Leistungsauftrages erst fünf Monate später erfolgte. Die Behauptung, dass die Umstellung einen Zeitraum beansprucht, welcher länger als zehn Wochen benötige, war ausschließlich als Schutzbehauptung zu werten, insbesondere da eine etwaige Verlängerung der Leistungsfrist auch kein Thema vor dem BVwG war. So sah auch dieses die Frist von zehn Wochen als ausreichend an.

Die Verhängung der Geldstrafe war darüber hinaus auch im Sinne der Generalprävention erforderlich, um Verantwortliche im Hinblick auf den festgestellten Verstoß zu sensibilisieren. Der Befolgung eines Leistungsauftrages der Aufsichtsbehörde ist essentieller Bestandteil, dass diese ihre Grundaufgabe der rechtmäßigen Einhaltung und Überwachung der DSGVO wahrnehmen und auf rechtmäßige Verarbeitungsvorgänge hinwirken kann.

Gemessen daran erscheint die im Ergebnis konkret verhängte Strafe in der Höhe von EUR 6.200,- im Hinblick auf den verwirklichten Tatunwert, gemessen am zur Verfügung stehenden Strafrahmen des Art. 83 Abs. 6 DSGVO (hier bis zu EUR 20.000.000) tat- und schuldangemessen und befindet sich am untersten Ende des zur Verfügung stehenden Strafrahmens (0,03%).

Ein (noch) niedrigerer Strafbetrag würde den zentralen Voraussetzungen einer Geldbuße in Art. 83 Abs. 1 DSGVO nicht gerecht werden.