JudikaturDsk2023-0.603.142

2023-0.603.142 – Datenschutzbehörde Entscheidung

Entscheidung
12. Dezember 2023

2023-0.603.142 – Datenschutzbehörde Entscheidung

Text

Text

GZ: 2023-0.603.142 vom 12. Dezember 2023 (Verfahrenszahl: DSB-D550.829)

[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.

Straferkenntnis

Beschuldigte juristische Person: B*** GmbH (FN *5*0*1k)

Die beschuldigte juristische Person mit Sitz in **** I***tal, J***straße *2 (im Folgenden „B***“), hat als Verantwortliche gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016, S. 1 idgF, nachstehenden Sachverhalt verwirklicht und dadurch folgende Verwaltungsübertretungen begangen:

I. B*** hat in ihrer Rolle als Verantwortliche gemäß Art. 4 Z 7 DSGVO im Zeitraum vom 24.04.2023 bis zumindest 05.06.2023 gegen ihre Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde gemäß Art. 33 Abs. 1 und 3 DSGVO verstoßen, indem sie der Datenschutzbehörde am 24.04.2023 per E-Mail eine Sicherheitsverletzung, die ihr seit 06.03.2023 (18:30 Uhr) bekannt war, verspätet meldete und darüber hinaus die Informationen zur Sicherheitsverletzung im Rahmen der Meldung auf allgemein gehaltene Angaben beschränkte, da sie mit der Meldung lediglich ihre Versicherung zufriedenstellen wollte, um den von ihr behaupteten Schaden ersetzt zu bekommen. Konkret wurden im Rahmen der Meldung die obligatorischen Informationen nach Art. 33 Abs. 3 lit. a und d DSGVO auf allgemein gehaltene Angaben beschränkt, die es der Datenschutzbehörde nicht ermöglichten, die Einhaltung der Verpflichtungen von B*** nach Art. 33 und 34 DSGVO zu überprüfen.

II. B*** hat darüber hinaus in ihrer Rolle als Verantwortliche gemäß Art. 4 Z 7 DSGVO im Zeitraum vom 24.04.2023 bis zumindest 05.06.2023 gegen ihre Pflicht zur Zusammenarbeit mit der Datenschutzbehörde (als zuständige Aufsichtsbehörde) gemäß Art. 31 DSGVO verstoßen, indem sie den folgenden Aufforderungen zur Stellungnahme im Rahmen des Sicherheitsverletzungs-Verfahrens zur GZ: D084.4838 nicht entsprach:

Aufforderung zur ergänzenden Meldung/Stellungnahme vom 24.04.2023 (GZ: D084.4838 - 2023-0.309.559), zugestellt per E-Mail am 24.04.2023 an „info@b***.at“;

Erneute Aufforderung zur ergänzenden Meldung/Stellungnahme vom 26.04.2023 (GZ: D084.4838 - 2023-0.316.639), zugestellt per E-Mail am 26.04.2023 an „info@b***.at“.

Dadurch hat B*** als Verantwortliche auf Anfrage einer Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben nicht zusammengearbeitet.

Die beschuldigte juristische Person hat daher im Ergebnis gegen folgende Vorgaben der DSGVO verstoßen:

Die Pflicht zur rechtzeitigen Meldung einer Verletzung des Schutzes personenbezogener Daten an die Datenschutzbehörde gemäß Art. 33 Abs. 1 DSGVO zusammen mit den nach Art. 33 Abs. 3 lit. a und d DSGVO genannten (obligatorischen) Informationen

Die Pflicht zur Zusammenarbeit mit der Datenschutzbehörde auf Anfrage bei der Erfüllung ihrer Aufgaben gemäß Art. 31 DSGVO

Verwaltungsübertretungen nach:

Ad. I.:

Art. 33 Abs. 1 und 3 lit. a und d iVm Art. 83 Abs. 1 und 4 lit. a DSGVO ABl. L 2016/119, S. 1, idgF

Ad. II.:

Art. 31 iVm Art. 83 Abs. 1 und 4 lit. a DSGVO ABl. L 2016/119, S. 1, idgF

Wegen dieser Verwaltungsübertretungen wird gemäß Art. 83 DSGVO folgende Strafe verhängt:

Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen:

590

Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro;

Euro als Ersatz der Barauslagen für

Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher

6.490

Euro

Zahlungsfrist:

Wird keine Beschwerde erhoben, ist dieses Straferkenntnis sofort vollstreckbar. Der Gesamtbetrag ist in diesem Fall binnen zwei Wochen nach Eintreten der Rechtskraft auf das Konto [hier gekürzt] , lautend auf die Datenschutzbehörde, einzuzahlen. Als Verwendungszweck möge die Geschäftszahl sowie das Erledigungsdatum angegeben werden .

Erfolgt binnen dieser Frist keine Zahlung, kann der Gesamtbetrag eingemahnt werden. In diesem Fall ist ein pauschalierter Kostenbeitrag in der Höhe von fünf Euro zu entrichten. Erfolgt dennoch keine Zahlung, wird der ausstehende Betrag vollstreckt .

Begründung:

1. Folgender entscheidungsrelevanter Sachverhalt steht auf Grund des durchgeführten Beweisverfahrens fest:

1.1. Herr Sebastian W*** (Geschäftsführer von B*** - im Folgenden „GF“) brachte am 24.04.2023 per E-Mail eine Sicherheitsverletzungs-Meldung gemäß Art. 33 DSGVO bei der Datenschutzbehörde (im Folgenden „DSB“) im Namen von B*** ein. Für die Meldung wurde ein unverbindliches Formular, das von der DSB im Rahmen ihrer Webseite zur Verfügung gestellt wurde, verwendet.

1.2. Im Zuge dieser Meldung gab der GF gegenüber der DSB bekannt, dass es am 06.03.2023 zu einer „ Ransomeware Attacke “ durch unbekannte Personen kam und in Folge Daten verschlüsselt wurden. Darüber hinaus gab der GF an, dass nicht bekannt sei, ob „ ein Diebstahl “ vorliege und ein „ Datenabfluss “ sei nicht erkennbar.

1.3. Als Kategorie betroffener Personen gab der GF „ Mitarbeiter “ an und bezifferte die Anzahl an Betroffenen mit „ 55 “. Als betroffene Kategorien personenbezogener Daten gab der GF „ Bestätigungen, Lohnunterlagen “ an.

1.4. Zu den getroffenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten gab der GF Folgendes an: „ Gesamtes Netzwerk wurde vom Internet getrennt. Systeme werden aktuell neu aufgesetzt und gehärtet

1.5. Zu den ergriffenen Maßnahmen zur Abmilderung der möglichen nachteiligen Auswirkungen gab der GF Folgendes an: „ Verschlüsselte Festplatten des Systems wurden sicher gelöscht “.

1.6. Zum Zeitpunkt der Sicherheitsverletzung gab der GF den 06.03.2023 (ca. 17:45) an. Zum Zeitpunkt der Kenntnisnahme über den Sicherheitsvorfall gab der GF den 06.03.2023 (ca 18:30 Uhr) an. In Bezug auf die verspätete Meldung führte der GF ins Treffen, dass sie aufgrund einer polizeilichen Anzeige davon ausgegangen sind, dass „ eine entsprechende Meldung automatisch weitergeleitet wurde “.

1.7. In Reaktion auf diese Meldung wurde durch die DSB ein Sicherheitsverletzungs-Verfahren zur GZ: D084.4838 eingeleitet.

1.8. Die DSB konnte auf Grundlage der Angaben des GF im Rahmen der Meldung vom 24.04.2023 den Fall nicht abschließend beurteilen und forderte mit Schreiben vom 24.04.2023 (GZ: D084.4838 - 2023-0.309.559) die B*** (per E-Mail an info@b***.at, z.H. GF) zur ergänzenden Meldung auf. Konkret stellte sich die Aufforderung zur ergänzenden Meldung auszugsweise wie folgt dar (Formatierung nicht 1:1 wiedergegeben):

[Anmerkung Bearbeiter/in: Die im Bescheid an dieser Stelle wiedergegeben grafische Reproduktion eines Teils der entsprechenden Erledigung wurde zwecks Pseudonymisierung durch eine Textversion ersetzt.]

„Betrifft: Aufforderung zur ergänzenden Meldung

Sehr geehrter Herr W***,

Die Datenschutzbehörde hat Ihre Meldung gemäß Art. 33 DSGVO vom 24. April 2023 erhalten und hält dazu folgendes fest:

Sie werden aufgefordert, folgende Fragen zu beantworten:

1. Wurden die betroffenen Personen über den Vorfall gemäß Art. 34 Abs. 1 DSGVO benachrichtigt? Ausgehend von Ihrer Meldung ist unklar, ob die betroffenen Personen über den Vorfall bereits benachrichtigt wurden oder nicht.

2. Weshalb gehen Sie davon aus, dass kein hohes Risiko vorliegt und daher keine Benachrichtigung gemäß Art. 34 Abs. 1 DSGVO erforderlich ist? Bitte schlüsseln Sie Ihre Risikobewertung auf.

3. Welche Maßnahmen wurden ergriffen, um einen derartigen Vorfall zukünftig zu vermeiden (bspw. Schulungsmaßnahmen, Einführung des 4-Augen-Prinzips o.Ä.)?

Sie werden aufgefordert, dazu innerhalb einer Frist von zwei Wochen ab Erhalt dieses Schreibens Stellung zu nehmen.“

1.9. Der GF reagierte daraufhin mit E-Mail vom 26.04.2023 konkret wie folgt:

liebe Datenschutz Behörde,

Danke für die mail

wir haben und werden unsere gäste davon nicht informieren da wir unsere gäste nicht unnötig mit solchen kranken Vorfällen belasten werden... wir sind ein Bewusstseins und verströmen ausschließlich pure liebe [Anmerkung Bearbeiter/in: Sonderzeichen Herzerl und Sternderl aus Gründen der Darstellbarkeit entfernt.] und gute Laune

da wir wissen das Gedanken und Taten Materie erschaffen wird nichts schlimmes passieren. Wir wissen nämlich das es so sein wird!!!

wir haben mit der Firma k*** security selbstverständlich Vorkehrungen getroffen um so etwas zukünftig zu unterbunden.

wir haben diese Meldung nur gemacht damit unsere Versicherung zufrieden ist und wir den Schaden erstatten bekommen

ich bitte euch diesen Vorfall mit diesem Email ruhen zu lassen und bin für weitere Fragen sehr gerne telefonisch erreichbar 0043***3*5*7*4

mit herzlichen [Anmerkung Bearbeiter/in: Sonderzeichen Herzerl aus Gründen der Darstellbarkeit entfernt.] Grüßen aus dem B***

Sebastian W***

www.b***.at

1.10. In Reaktion darauf erfolgte mit Schreiben vom 26.04.2023 (GZ: D084.4838 - 2023-0.316.639) eine erneute Aufforderung zur ergänzenden Meldung an B***. Über die ersten Fragen im Rahmen der ersten Aufforderung zur ergänzenden Meldung hinaus wurde die Verantwortliche zu einer Konkretisierung aufgrund der Angaben in der Meldung in Zusammenschau mit der Rückmeldung vom 26.04.2023 aufgefordert. Die Verantwortliche wurde zudem ausdrücklich auf die Pflicht zur Mitwirkung gemäß Art. 31 iVm Art. 58 Abs. 1 lit. a und e DSGVO sowie auf die mögliche Einleitung eines Verwaltungsstrafverfahrens (im Falle mangelnder Mitwirkung) hingewiesen. Konkret stellte sich die zweite Aufforderung zur ergänzenden Meldung auszugsweise wie folgt dar (Formatierung nicht 1:1 wiedergegeben):

[Anmerkung Bearbeiter/in: Die im Bescheid an dieser Stelle wiedergegeben grafische Reproduktion eines Teils der entsprechenden Erledigung wurde zwecks Pseudonymisierung durch eine Textversion ersetzt.]

„Betrifft: Aufforderung zur ergänzenden Meldung

Die Datenschutzbehörde hat Ihre E-Mail vom 26. April 2023 erhalten und hält dazu folgendes fest:

Mit Schreiben der Datenschutzbehörde vom 24. April 2023 wurden Sie aufgefordert Auskunft zu erteilen, ob die betroffenen Personen über den Vorfall benachrichtigt wurden bzw. weshalb Sie davon ausgehen, dass kein hohes Risiko für die betroffenen Personen vorliegt sowie welche Maßnahmen ergriffen wurden, um derartige Vorfälle zukünftig zu vermeiden .

Diese Informationen können Ihrer Eingabe leider nicht entnommen werden. Sie werden aufgefordert folgende Angaben zu ergänzen:

1. Ihren Angaben konnte nicht entnommen werden, ob ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Sie werden daher erneut aufgefordert Ihre Risikobewertung aufzuschlüsseln .

Sie werden darauf aufmerksam gemacht, dass der Verantwortliche gemäß Art. 34 DSGVO dazu verpflichtet ist, die betroffene Person von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen , wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Die Datenschutzbehörde kann den Verantwortlichen darüber hinaus gemäß Art. 34 Abs. 4 DSGVO dazu verpflichten eine solche Benachrichtigung nachzuholen.

2. Bitte führen Sie zudem aus, welche konkreten Maßnahmen ergriffen wurden, um derartige Vorfälle zukünftig zu vermeiden.

3. Des Weiteren ergibt sich aus Ihrer Eingabe, dass Sie die betroffenen Gäste nicht informieren werden. In Ihrer Meldung vom 24. April 2023 geben Sie jedoch an, dass es sich bei den betroffenen Personen um Mitarbeiter:innen handle.

Bitte konkretisieren Sie Ihre Eingabe:

- Welche Kategorien betroffener Personen sind tatsächlich von dem Datensicherheitsvorfall betroffen?

- Welche personenbezogenen Datensätze sind konkret betroffen? Welche Datenkategorien ergeben sich aus „Bestätigungen, Lohnunterlagen“ ? (bspw.: Gesundheitsinformationen, Bankdaten, …)

Sie werden auf Ihre Mitwirkungspflicht gemäß Art. 31 iVm Art. 58 Abs. 1 lit a und lit e Datenschutz-Grundverordnung (DSGVO) hingewiesen, wonach der Datenschutzbehörde alle Informationen bereitzustellen sind, die für die Erfüllung ihrer Aufgaben erforderlich sind. Darüber hinaus wird darauf hingewiesen, dass im Falle der Verletzung dieser Mitwirkungspflicht ein Verwaltungsstrafverfahren gegen Sie eingeleitet werden kann.“

1.11. B*** reagierte daraufhin mit einer Leer-Meldung per E-Mail vom 27.04.2023 und hängte die bereits eingebrachte Stellungnahme von GF vom 26.04.2023 an. Ansonsten wurde bis dato keine Stellungnahme im Rahmen des Sicherheitsverletzungs-Verfahren eingebracht. Sämtliche Aufforderungen wurden B*** zugestellt.

1.12. Die DSB leitete in weiterer Folge ein Verwaltungsstrafverfahren gegen B*** ein und forderte sie und ihre Geschäftsführer mit Schreiben vom 05.06.2023 zur Rechtfertigung auf. Die Aufforderung zur Rechtfertigung (im Folgenden „AzR“) wurde mittels RSa-Brief am 09.06.2023. Im Rahmen der AzR wurde die Beschuldigte darauf hingewiesen, dass das Strafverfahren ohne ihre Anhörung durchgeführt wird, wenn die AzR nicht befolgt wird.

1.13. Bei der DSB langte keine Rechtfertigung in Reaktion auf die AzR ein. B*** hat sich am Verwaltungsstrafverfahren nicht beteiligt und darüber hinaus auch nach Einleitung eines Verwaltungsstrafverfahrens keine Stellungnahme im Sicherheitsverletzungs-Verfahren eingebracht.

1.14. Mit Bescheid vom 17.07.2023 (per RSb an B*** am 19.07.2023 zugestellt) setzte die DSB das gegenständliche Verfahren gemäß § 24 VStG iVm § 38 AVG bis zur rechtskräftigen Entscheidung durch den Gerichtshof der Europäischen Union (EuGH) in der Rechtssache C-807/21 (Deutsche Wohnen SE) aus. Dieser Aussetzungsbescheid erwuchs mangels Rechtsmittel in Rechtskraft.

1.15. Mit Schreiben vom 05.12.2023 hob die DSB den Aussetzungsbescheid vom 17.07.2023 von Amts wegen auf und setzte das Verwaltungsstrafverfahren - unter Berücksichtigung des Urteils vom 05.12.2023 des EuGH in der Rechtssache C-807/21 – fort.

Beweiswürdigung: Die Feststellungen zum Verfahrensgang ergeben sich aus dem gegenständlichen Verwaltungsstrafakt und dem Verwaltungsakt zum Sicherheitsverletzungs-Verfahren (GZ: D084.4838).

Die Feststellungen zu den Angaben vom GF bzw. von B*** ergeben sich aus der Ersteingabe und der ergänzenden Stellungnahme im Sicherheitsverletzungs-Verfahren. Die Feststellungen zu den konkreten Aufforderungen bzw. Fragen der DSB ergeben sich ebenfalls aus den jeweiligen Aktenbestandteilen des Sicherheitsverletzungs-Verfahrens.

Die Feststellung, wonach der GF im Namen von B*** die Sicherheitsverletzungs-Meldung einbrachte, beruht auf Folgendem:

Der GF gab zwar im Rahmen des DSB-Formulars bei der Angabe „Verantwortlicher/Controller:“ sich selbst namentlich an, jedoch ergibt sich aus den restlichen Angaben zur Sicherheitsverletzungs-Meldung, dass der GF die Meldung im Namen von B*** vornahm. Die Meldung wurde nicht über die E-Mail-Adresse von B*** „reservierung@b***.at“ eingebracht (Konkret am 24.04.2023 von einer Mitarbeiterin von B***, namentlich „Trixie“). Auch die Angaben betreffend Kategorien von betroffenen Personen und den personenbezogenen Daten lassen darauf schließen. Im Rahmen der ergänzenden Stellungnahme führte GF unter anderem aus „ wir haben und werden unsere gäste davon nicht informieren […]“. Schließlich ist die Beschuldigte dem Tatvorwurf im Rahmen der AzR und insbesondere ihrer Rolle als Verantwortliche im gegenständlichen Verfahren nicht entgegengetreten.

Die Feststellung, wonach das Sicherheitsverletzungs-Verfahren nicht abgeschlossen bzw. die Meldung nicht abschließend beurteilt werden konnte auf Grundlage der Angaben der Beschuldigten ergibt sich aus den Aufforderungen zur ergänzenden Stellungnahme selbst und wird darüber hinaus auch im Aktenvermerk zur Einleitung eines Verwaltungsstrafverfahrens vom 03.05.2023 festgehalten. Die Feststellung über die Nichteinbringung einer Stellungnahme nach der Leer-Meldung vom 27.04.2023 ergibt sich durch Einsicht in den Verwaltungsakt des Sicherheitsverletzungs-Verfahrens.

Die weiteren Feststellungen zum Verfahrensgang des gegenständlichen Verwaltungsstrafverfahrens ergeben sich aus den Aktenbestandteilen des Verwaltungsstrafaktes. Die Rückscheine über die Zustellungen der AzR per RSa befinden sich im Akt.

2. Rechtlich folgt daraus:

2.1. Zur Zuständigkeit der DSB und Anwendungsbereich der DSGVO

Art. 83 Abs. 4 lit. a DSGVO legt fest, dass bei Verstößen gegen die Bestimmungen der Art. 8, 11, 25 bis 39, 42 und 43 DSGVO Geldbußen von bis zu 10 000 000 Euro oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können, je nachdem, welcher der Beträge höher ist.

Nach § 22 Abs. 5 DSG liegt die Zuständigkeit für die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen für Verstöße gegen das DSG und die DSGVO bei der DSB .

Gemäß Art. 2 Abs. 1 DSGVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

In Bezug auf das Vorliegen einer Verarbeitung personenbezogener Daten im Sinne von Art. 4 Z 1 und 2 DSGVO bestehen keine Zweifel. Auch die Rolle der Beschuldigten als Verantwortliche gemäß Art. 4 Z 7 DSGVO wurde zu keinem Zeitpunkt bestritten. Der GF gab zwar im Rahmen der Meldung sich selbst namentlich an, jedoch wurde die Tatsache, dass der GF die Meldung im Namen der Beschuldigten in seiner Funktion als Geschäftsführer vornahm, bereits im Rahmen der Beweiswürdigung näher beleuchtet.

Als Verantwortliche ist die Beschuldigte Adressat der einschlägigen Pflichten der DSGVO . Im konkreten Fall unterlag die Beschuldigte als Verantwortliche aufgrund der erfolgten Sicherheitsverletzung der Pflicht zur Meldung nach Art. 33 Abs. 1 DSGVO sowie der Pflicht zur Zusammenarbeit mit der DSB im Rahmen des Sicherheitsverletzungs-Verfahrens nach Art. 31 DSGVO . Diese beiden Bestimmungen stellen gemäß Art. 83 Abs. 4 lit. a DSGVO strafbewehrte Verpflichtungen für Verantwortliche dar und werden Nachstehend näher beleuchtet.

2.2. Zur Meldung von Verletzungen des Schutzes personenbezogener Daten (Spruchpunkt I.)

Verantwortliche müssen gemäß Art. 33 Abs. 1 DSGVO im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden , nachdem ihr die Verletzung bekannt wurde, diese der gemäß Art. 55 DSGVO zuständigen Aufsichtsbehörde melden. Eine Ausnahme besteht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Nach Art. 4 Z 12 DSGVO stellt die Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit dar, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust , zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Eine solche Meldung hat gemäß Art. 33 Abs. 2 DSGVO zumindest folgende Informationen zu enthalten:

eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;

eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die Verantwortliche ist darüber hinaus gemäß Art. 33 Abs. 5 DSGVO zur Dokumentation der Verletzung des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen verpflichtet. Diese Dokumentation muss der zuständigen Aufsichtsbehörde die Überprüfung der Einhaltung dieser Bestimmung ermöglichen.

Im vorliegenden Fall stellt der von der Beschuldigten gemeldete Ransomware-Angriff und die in Folge erfolgte Verschlüsselung der eigenen IT-Infrastruktur durch einen unbekannten Angreifer eine Verletzung des Schutzes personenbezogener Daten (sogenannten „Data-Breach“ oder „Sicherheitsverletzung“) im Sinne von Art. 4 Z 12 DSGVO dar (vgl. hierzu die Leitlinien der ehemaligen Artikel-29-Datenschutzgruppe betreffend Sicherheitsverletzungen, WP250 rev.01, Beispiele auf S. 7 und 9 zu Ransomware-Angriffe). Die Verschlüsselungssoftware im Zuge eines Ransomware-Angriffs führt zum Verlust der Verfügbarkeit von personenbezogenen Daten . Dabei ist es nicht erheblich , ob der Verlust unbeabsichtigt oder unrechtmäßig erfolgte. Außerdem kann nicht ausgeschlossen werden, dass die gegenständliche Sicherheitsverletzung durch den Ransomware-Angriff zu einer unbefugten Offenlegung von bzw. zum unbefugten Zugang zu den betroffenen personenbezogenen Daten führte.

Die Sicherheitsverletzung bezog sich auf personenbezogene Daten von Mitarbeitern und Kunden der Beschuldigten, die zuvor von ihr gespeichert bzw. für bestimmte Zwecke verarbeitet wurden. Die Beschuldigte war somit verpflichtet, den gegenständlichen Vorfall der DSB unverzüglich und möglichst binnen 72 Stunden zu melden, nachdem ihr die Verletzung bekannt wurde (am 06.03.2023, 18:30 Uhr) und dabei die obligatorischen Informationen nach Art. 33 Abs. 3 DSGVO zu übermitteln.

Es ist eingangs darauf hinzuweisen, dass die Beschuldigte ihrer Verpflichtung nach Art. 33 Abs. 1 DSGVO schon deshalb nicht nachkam, weil sie den gegenständlichen Vorfall nicht binnen 72 Stunden der DSB als zuständige Aufsichtsbehörde gemäß Art. 55 DSGVO meldete, sondern erst über einen Monat später per E-Mail am 24.04.2023.

Darüber hinaus enthielt die vorgenommene Meldung nicht die erforderlichen Informationen nach Art. 33 Abs. 3 DSGVO. Konkret mangelte es an der Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, der Angabe über Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze nach Art. 33 Abs. 3 lit. a DSGVO . Außerdem mangelte es an einer Beschreibung der von der Beschuldigten ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen nach Art. 33 Abs. 3 lit. d DSGVO .

Die Beschuldigte beschränkte die Angaben im Rahmen der gegenständlichen Sicherheitsverletzungs-Meldung auf allgemein gehaltene Angaben . Sie wollte durch die Meldung im Wesentlichen nur nachstehenden Zweck erfüllen: „ wir haben diese Meldung nur gemacht damit unsere Versicherung zufrieden ist und wir den Schaden erstatten bekommen “. Ein Interesse an einer vollständigen Meldung zur Beurteilung des Vorfalles durch die DSB lag bei der Beschuldigten offenbar nicht vor.

Zu den Kategorien und der ungefähren Zahl der betroffenen Personen gab die Beschuldigte zunächst in ihrer Meldung an, dass lediglich 55 Mitarbeiter von der Verletzung betroffen waren. In ihrer ergänzenden Stellungnahme vom 26.04.2023 wurden auch „Gäste“ als Kategorien betroffener Personen ins Treffen geführt („ wir haben und werden unsere gäste davon nicht informieren da wir unsere gäste nicht unnötig mit solchen kranken Vorfällen belasten werden...“). Die darauffolgende Aufforderung zur Klarstellung hierzu wurde von der Beschuldigten nicht befolgt und blieb unbeantwortet. Darüber hinaus beschränkte die Beschuldigte auch die Beschreibung der gegenständlichen Sicherheitsverletzung auf allgemein gehaltene Angaben, weshalb von der DSB keine Risikobeurteilung für die Rechte und Freiheiten der betroffenen Personen für eine allfällige Benachrichtigungspflicht der Beschuldigten nach Art. 34 DSGVO vorgenommen werden konnte. Auch die in Folge erfolgten Aufforderungen zur Klarstellung bzw. zur Bekanntgabe der Risikobewertung durch die Beschuldigte blieben unbeantwortet .

Zu der Beschreibung nach Art. 33 Abs. 3 lit. d DSGVO gab die Beschuldigte nicht konkret an, welche Maßnahmen von ihr ergriffen wurden. Sie gab lediglich an, dass das gesamte Netzwerk neu aufgesetzt und gehärtet werde. Wie die Beschuldigte die „ Härtung “ ihres Netzwerkes vornahm, lies sie offen. In ihrer ergänzenden Stellungnahme vom 26.04.2023 führte sie aus, dass „ selbstverständlich Vorkehrungen getroffen wurden um so etwas zukünftig zu unterbinden “. Um welche Vorkehrungen es sich dabei handelt, lässt die Beschuldigte offen. Hinsicht der Folgen für die Betroffenen beschränkt sich die Beschuldigte auf ihr nicht näher belegtes Wissen, dass „ nichts schlimmes passieren “ wird.

Insgesamt betrachtet ist es offensichtlich, dass die Beschuldigte die Meldung nicht vornahm, um ihrer Pflicht als Verantwortliche gemäß Art. 33 DSGVO nachzukommen, sondern um eine Schadensabwicklung über ihre Versicherung vornehmen zu können (wie auch von ihr selbst vorgebracht). Die Beschuldigte hat dadurch im Ergebnis die objektive Tatseite des Art. 33 Abs. 1 und 3 DSGVO erfüllt.

2.3. Zur Mitwirkungspflicht von Verantwortlichen mit der DSB (Spruchpunkt II.)

Verantwortliche und Auftragsverarbeiter und gegebenenfalls ihre Vertreter müssen gemäß Art. 31 DSGVO auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeiten. Auch bei dieser Bestimmung handelt es sich gemäß Art. 83 Abs. 4 lit. a DSGVO um eine strafbewehrte Verpflichtung von Verantwortliche .

Aus Art. 31 DSGVO sind in Zusammenschau mit den Befugnissen der Aufsichtsbehörde nach Art. 57 und Art. 58 DSGVO sowohl Duldungs- als auch Mitwirkungspflichten ableitbar. Die DSB muss gemäß Art. 57 Abs. 1 lit. a DSGVO für das gesamte österreichische Bundesgebiet („in ihrem Hoheitsgebiet) die Anwendung der DSGVO überwachen und durchsetzen . Dabei handelt es sich um eine der zentralen Aufgaben der DSB als für das österreichische Hoheitsgebiet zuständige Aufsichtsbehörde. Außerdem muss die DSB nach Art. 57 Abs. 1 lit. v DSGVO jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen. Für die Erfüllung dieser Aufgaben werden der DSB sowohl Untersuchungsbefugnisse als auch Abhilfebefugnisse (Art. 58 Abs. 1 und 2 DSGVO) eingeräumt.

Die DSGVO räumt den Aufsichtsbehörden unter anderem die Befugnis ein, den Verantwortlichen anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind (Art. 58 Abs. 1 lit. a DSGVO). Aus dieser Bestimmung ergibt sich in Zusammenschau mit Art. 31 DSGVO somit eine Mitwirkungspflicht für die Normadressaten (siehe auch ErwGr 82 zweiter Satz DSGVO). Für den Fall der mangelnden Mitwirkung führte der Unionsgesetzgeber daher in Art. 83 Abs. 4 lit. a DSGVO die Möglichkeit der Sanktionierung ein.

Im vorliegenden Fall ist die Beschuldigte, wie bereits erwähnt, als V erantwortliche gemäß Art. 4 Z 7 DSGVO und somit als Adressat der einschlägigen Pflichten der DSGVO zu qualifizieren. Sie brachte eine Sicherheitsverletzungs-Meldung bei der DSB ein und war in Folge als Partei am Verfahren beteiligt. Sämtliche Aufforderungen der DSB wurden der Beschuldigten im Rahmen des Sicherheitsverletzungsverfahrens, wie festgestellt, zugestellt. Die Beschuldigte reagierte jedoch auf die erste Aufforderung zur ergänzenden Stellungnahme mit einer nicht nachvollziehbaren Erklärung und auf die zweite Aufforderung lediglich mit einem Verweis auf das bisherige Vorbringen . Es kann keinesfalls angenommen werden, dass die Beschuldigte durch ihre Reaktion den Aufforderungen der DSB im Rahmen des Sicherheitsverletzungsverfahrens nachkam. Somit arbeitete sie nicht mit der DSB als zuständige Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

Im Lichte des als erwiesen angenommenen Sachverhalts erfüllte die Beschuldigte im Ergebnis auch die objektive Tatseite des Art. 31 DSGVO , da sie auf mehrere Anfragen der DSB hin nicht mit ihr bei der Erfüllung ihrer Aufgaben zusammengearbeitet hat.

2.4. Zur Strafbarkeit der Beschuldigten als juristische Person nach Art. 83 DSGVO

Die Voraussetzungen für die Verhängung von Geldbußen sowohl gegen natürliche Personen als auch gegen juristische Personen werden in Art. 83 DSGVO normiert. Der nationale Gesetzgeber hat jedoch in § 30 Abs. 1 und 2 DSG weitere „ allgemeine Bedingungen für die Verhängung von Geldbußen “ normiert.

Nach § 30 Abs. 1 DSG kann die Datenschutzbehörde Geldbußen gegen eine juristische Person verhängen, wenn Verstöße gegen Bestimmungen der DSGVO durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund (1) der Befugnis zur Vertretung der juristischen Person (2) der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder (3) einer Kontrollbefugnis innerhalb der juristischen Person innehaben.

Juristische Personen können wegen Verstößen gegen Bestimmungen der DSGVO gemäß § 30 Abs. 2 DSG auch in jenen Fällen verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in § 30 Abs. 1 DSG genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat (mangelnde Kontrolle und Überwachung) , sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

Der Verwaltungsgerichtshof hat in seinem Erkenntnis vom 12.05.2020 zu Ro 2019/04/0229 sich erstmalig mit der Anwendbarkeit der Strafbarkeitsvoraussetzungen des § 30 DSG in einem Verfahren nach Art. 83 DSGVO auseinandergesetzt und stellte in diesem Zusammenhang fest, dass eine juristische Person nicht selbst handeln kann und daher ihre Strafbarkeit nach § 30 DSG eine Folge des tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens einer natürlichen (Führungs-)Person im Sinne des § 30 Abs. 1 DSG ist. Demnach sei für die Wirksamkeit der gegen die juristische Person gerichteten Verfolgungshandlung die genaue Umschreibung der Tathandlung der natürlichen Person (oder auch die sogenannte „Zurechnungsperson“) vonnöten. Die Zurechnung der konkreten Tathandlung durch die Führungsperson an die juristische Person müsse im Spruch aufgenommen und die Zurechnungsperson zudem als identifizierte natürliche Person namentlich genannt werden (vgl. VwGH 12.05.2020, Ro 2019/04/0229, mwN). Mit anderen Worten: Die Datenschutzbehörde müsse in einem Verfahren nach Art. 83 DSGVO im Spruch des Straferkenntnisses jene natürliche (Führungs-)Person, deren Verstoß gegen die DSGVO bzw. das DSG der im Sinne des Art. 4 Z 7 DSGVO verantwortlichen juristischen Person zugerechnet werden soll, namentlich nennen, um in Folge eine Geldbuße nach Art. 83 DSGVO gegen die Verantwortliche als juristische Person verhängen zu können. Diese Zurechnungsperson ist dabei als Beschuldigte im Verwaltungsstrafverfahren gegen die juristische Person zu führen und hat per se Parteistellung (vgl. Zaczek , Das Verbandsverantwortlichkeitsmodell des Art 83 DSGVO, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht 2020, S. 257 ff).

Mit Beschluss vom 06.12.2021 ersuchte das Kammergericht Berlin den EuGH im Rahmen eines Vorabentscheidungsersuchens nach Art. 267 AEUV um Auslegung des Art. 83 DSGVO in Bezug auf die Frage, ob ein Unternehmen unmittelbar Betroffener im Bußgeldverfahren wegen eines Verstoßes gegen Art. 83 DSGVO sein kann und legte in diesem Zusammenhang folgende Fragen vor

1. Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?

2. Wenn die Frage zu 1. bejaht werden sollte: Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?

Durch das Vorabentscheidungsersuchen des Kammergerichts Berlin war es fraglich, ob die Bestimmungen des § 30 Abs. 1 und 2 DSG überhaupt zur Anwendung gelangen dürfen, weil sie gegen die unmittelbar anwendbaren Bestimmungen der DSGVO verstoßen könnten, und ob die Ausführungen des VwGH in seinem oben zitierten Erkenntnis zur Strafbarkeit juristischer Personen in Verfahren nach Art. 83 DSGVO aufrechterhalten werden könnten. Da die Entscheidung des EuGH zu diesen Vorlagefragen präjudizielle Wirkung für das gegenständliche Verfahren hatte, wurde das Verwaltungsstrafverfahren ausgesetzt .

Der EuGH hielt schließlich im Urteil vom 05.12.2023 fest, dass die unmittelbar anwendbaren Bestimmungen nach Art. 58 Abs. 2 lit. i und Art. 83 Abs. 1 bis 6 DSGVO dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen , wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.

Der EuGH führte in diesem Zusammenhang aus, dass juristische Personen nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurde, die im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte . Außerdem müsse es möglich sein, die in Art. 83 DSGVO vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen (vgl. EuGH vom 05.12.2023, C-807/21, Rz 44).

Die (materiellen) Voraussetzungen für die Verhängung von Geldbußen durch Aufsichtsbehörden sind in Art. 83 Abs. 1 bis 6 DSGVO genau und ohne Ermessensspielraum für die Mitgliedstaaten geregelt . Die DSGVO enthält keine Bestimmung, wonach die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche davon abhängt, dass zuvor festgestellt wird, dass dieser Verstoß von einer identifizierten natürlichen Person begangen wurde. Die DSGVO räumt den Mitgliedstaaten lediglich die Möglichkeit/Befugnis ein, Anforderungen an das von den Aufsichtsbehörden anzuwendende Verfahren bei der Verhängung einer Geldbuße vorzusehen, jedoch keineswegs über diese verfahrensrechtlichen Anforderungen hinaus die Normierung von materiellen Voraussetzungen, die zu jenen in Art. 83 Abs. 1 und 6 DSGVO hinzutreten (vgl. EuGH C-807/21, Rn 45 ff).

Die Voraussetzungen für die Verhängung einer Geldbuße nach Art. 83 DSGVO durch eine Aufsichtsbehörde ergeben sich daher ausschließlich durch das Unionsrecht . Es liegen keine Öffnungsklausen in diesem Zusammenhang für die Mitgliedstaaten vor.

Der EuGH führte hierzu ins Treffen, dass eine nationale Regelung, die zusätzliche Anforderungen für die Verhängung von Geldbußen nach Art. 83 DSGVO normiert, gegen Art. 83 Abs. 1 DSGVO verstößt, weil dadurch die Wirksamkeit und die abschreckende Wirkung von Geldbußen geschwächt wird , die gegen juristische Personen verhängt werden. Dabei muss berücksichtigt werden, dass Geldbußen ein Schlüsselelement der DSGVO darstellen und zur Durchsetzung der Ziele dieser Verordnung dienen bzw. die Wahrung der Rechte betroffener Personen gewährleisten und ein hohes Schutzniveau unionsweit sicherstellen (vgl. EuGH C-807/21, Rz 51 und 73). Im Ergebnis stellte der EuGH daher fest, dass die Voraussetzungen für die Verhängung einer Geldbuße nach Art. 83 DSGVO abschließend in Art. 83 Abs. 1 bis 6 DSGVO geregelt sind (Rn 53).

2.5. Zur subjektiven Tatseite

Der EuGH hat in Bezug auf die zweite Vorlagefrage, wie schon bereits von der Datenschutzbehörde in ihrer bisherigen Spruchpraxis angenommen, nun explizit festgehalten, dass nur Verstöße gegen Bestimmungen der DSGVO, die der Verantwortliche schuldhaft, d.h. vorsätzlich oder fahrlässig begeht, zur Verhängung einer Geldbuße führen können (vgl. EuGH vom 05.12.2023, C-807/21, Rz 68).

In Bezug auf die subjektive Tatseite ist zu berücksichtigen, dass die Voraussetzung des Verschuldens für die Verhängung einer Geldbuße nach Art. 83 DSGVO unionsautonom auszulegen und insbesondere im Lichte der Rechtsprechung des EuGH zu beurteilen ist. Auch zur Vorlagefrage in Bezug auf das Verschulden stellte der EuGH fest, dass den Mitgliedstatten in diesem Zusammenhang kein Ermessensspielraum durch den Unionsgesetzgeber für nationale Regelungen eingeräumt wurde, da die materiellen Voraussetzungen abschließend in Art. 83 Abs. 1 bis 6 DSGVO genau geregelt sind (vgl. hierzu auch EuGH vom 05.12.2023, C-683/21, Rz 64 ff).

Zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und daher mit einer Geldbuße geahndet werden kann, stellte der EuGH in seinem oben zitierten Urteil gleichzeitig klar, dass ein solches Verschulden bereits vorliegt, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rz 76).

Unter Verweis auf weitere Rechtsprechung stellte der EuGH zudem ausdrücklich klar, dass die Anwendung von Art. 83 DSGVO gegenüber juristischen Personen keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (vgl. EuGH vom 05.12.2023, C-807/21, Rz 77).

Die Verantwortung und Haftung eines Verantwortlichen erstreckt sich dabei auf jedwede Verarbeitung personenbezogener Daten, die durch oder in seinem Namen erfolgt . In diesem Rahmen muss der Verantwortliche nicht nur geeignete und wirksame Maßnahmen treffen, sondern muss er auch nachweisen können, dass seine Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die er ergriffen hat, um diesen Einklang sicherzustellen, auch wirksam sind (vgl. EuGH C-807/21, Rz 38, unter Verweis auf ErwGr 74).

Umgelegt auf den vorliegenden Fall bedeutet dies Folgendes:

Zunächst ist festzuhalten, dass es im Rahmen des Ermittlungsverfahrens keine Anhaltspunkte dafür gab, dass die gegenständlichen Verstöße von einer Person begangen wurden, die nicht im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte. Die Beschuldigte erstatte auch kein Vorbringen in diesem Zusammenhang und es ist aufgrund der Aktenlage evident, dass der Geschäftsführer im Namen der Beschuldigten eine Sicherheitsverletzung-Meldung bei der Datenschutzbehörde einbrachte und in Folge auch mit der zuständigen Sachbearbeiterin der Datenschutzbehörde kommunizierte. Dadurch erlangte die Beschuldigte jedenfalls durch ihren Geschäftsführer Kenntnis über (1) die mangelnden Informationen im Zuge der Meldung zur Sicherheitsverletzung und (2) die mangelnde Mitwirkung der Beschuldigten im Rahmen des Sicherheitsverletzungsverfahrens.

Dem Urteil des EuGH zufolge ist es für die Verhängung einer Geldbuße gegen eine juristische Person jedoch nicht erforderlich, dass die Datenschutzbehörde eine identifizierte natürliche Person, die im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte, in ihrer Entscheidung anführt und das Handeln dieser Person der juristischen Person zurechnet . Es ist daher im vorliegenden Fall auch nicht entscheidungserheblich, ob und welcher im Verwaltungsstrafverfahren ebenfalls als Beschuldigter geführte Geschäftsführer der Beschuldigten die gegenständlichen Verstöße zu verantworten hat (z.B. aufgrund mangelnder Überwachung und Kontrolle der jeweiligen Arbeitnehmer oder aufgrund einer selbstständigen Handlung/Unterlassung durch die Geschäftsführer selbst) . In diesem Zusammenhang stellte der EuGH ausdrücklich klar, dass keine Handlung und nicht einmal eine Kenntnis über den Verstoß seitens des Leitungsorgans für die Anwendung des Art. 83 DSGVO erforderlich ist (Rz 77). Es kann somit dahingestellt bleiben, ob der Geschäftsführer der Beschuldigten aufgrund objektiver Sorgfaltswidrigkeit eine Aufsichtspflichtverletzung gegenüber den Arbeitnehmern der Beschuldigten erfüllte.

Da jedoch, wie bereits erwähnt, die Meldung der Sicherheitsverletzung von Herr Sebastian W*** (Geschäftsführer) selbst eingebracht und die folgende Korrespondenz mit ihm geführt wurde, kann das Verschulden der Beschuldigten im vorliegenden Fall anhand des Verhaltens des Geschäftsführers bewertet werden und selbst wenn die Eingaben bei der Datenschutzbehörde durch eine Arbeitnehmerin der Beschuldigten vorgenommen wurden bedarf es keiner Aufsichtspflichtverletzung durch eine Führungsperson im Sinne des § 30 Abs. 2 DSG, um das Verhalten dieser Arbeitnehmer der juristischen Person zuzurechnen und Art. 83 DSGVO zur Anwendung zu bringen. Diese (natürlichen) Personen innerhalb der Organisation der Beschuldigten müssen auch von der Datenschutzbehörde nicht identifiziert und in der Entscheidung namentlich genannt werden (siehe oben).

Aufgrund der Aktenlage und im Lichte des als erwiesen angenommen Sachverhalts wird von der Datenschutzbehörde in Bezug auf die verspätete Meldung der Sicherheitsverletzung eine fahrlässige und hinsichtlich der restlichen Verstöße eine vorsätzliche Tathandlung durch die Beschuldigte angenommen.

In Bezug auf die rechtzeitige Meldung an eine Aufsichtsbehörde konnte die Beschuldigte sich hinsichtlich der Rechtswidrigkeit ihres Verhaltens nicht im Unklaren sein . Der Wortlaut der Bestimmung nach Art. 33 DSGVO lässt die Interpretation der Beschuldigten, wonach die Meldung/Sachverhaltsanzeige an die Polizei genüge und diese den Vorfall der Datenschutzbehörde weiterleite, nicht zu. Die Datenschutzbehörde geht viel mehr davon aus, dass der Beschuldigten diese Bestimmung sowie auch ihre restlichen Pflichten, die sich aus der DSGVO ergeben, nicht bekannt waren und sie sich über diese auch nicht erkundigte. In diesem Zusammenhang kann auch auf das Erkenntnis des Bundesverwaltungsgerichts vom 08.04.2022 zur GZ: W214 2240128-1 verwiesen werden, wonach der dortigen Beschwerdeführerin ebenfalls bekannt sein musste, „ dass es einschlägige Datenschutzvorschriften gibt, umso mehr, als über die DSGVO bei deren Wirksamwerden im Jahre 2018 breit in der Öffentlichkeit informiert und diskutiert wurde und eine große Anzahl von medialen Beiträgen zu diesem Thema erschienen ist “ (siehe Punkt 3.3.2 zur Erfüllung der subjektiven Tatseite).

In Bezug auf die verspätete Meldung der Sicherheitsverletzung liegt somit Verschulden in Form von Fahrlässigkeit (Art. 83 Abs. 2 DSGVO) vor.

Hinsichtlich der restlichen Verstöße (Keine Angaben zu den obligatorischen Informationen nach Art. 33 Abs. 3 lit. a und d DSGVO und mangelnde Mitwirkung im Rahmen des eingeleiteten Sicherheitsverletzungsverfahrens) ist Folgendes festzuhalten:

Durch die zahlreichen Aufforderungen der Datenschutzbehörde und der unmissverständlichen Angaben im Zuge dieser Aufforderungen war es - objektiv betrachtet - der Beschuldigten bewusst, dass ihre Angaben im Zuge der Sicherheitsverletzungsmeldung nicht ausreichend waren und die Datenschutzbehörde aufgrund der bekanntgegebenen Informationen nicht in der Lage war, ihre Aufgaben in diesem Zusammenhang zu erfüllen. Darauf wurde sie auch hingewiesen und zur Mitwirkung aufgefordert. Es wurde in diesem Zusammenhang auch unmissverständlich auf die Möglichkeit einer Sanktion gegen die Beschuldigte hingewiesen, falls diese den Aufforderungen der Datenschutzbehörde nicht entspricht. Dennoch ist die Beschuldigte diesen Aufforderungen nicht nachgekommen und unterließ jegliche Zusammenarbeit mit der zuständigen Aufsichtsbehörde.

Unter Berücksichtigung dieser Umstände hat die Beschuldigte die Verwirklichung der genannten Verwaltungsübertretungen ernstlich für möglich gehalten und hat sich jedoch damit abgefunden (dolus eventualis). Im Ergebnis liegt daher im vorliegenden Fall Verschulden in Form von Vorsatz (Art. 83 Abs. 2 lit. b DSGVO) vor.

Im Laufe des Ermittlungsverfahrens ergaben sich jedenfalls keine Hinweise darauf, dass der Beschuldigten an der Verletzung der gegenständlich anzuwendenden Verwaltungsvorschriften kein Verschulden trifft. Die Beschuldigte konnte sich im Lichte der Rechtsprechung des EuGH über die Rechtswidrigkeit ihres Verhaltens nicht im Unklaren sein, unabhängig davon, ob ihr dabei bewusst war, dass sie gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rz 76 und 77; EuGH C-683/21, Rz 81 und 82 mwN).

Dadurch ist die subjektive Tatseite ebenfalls erfüllt.

3. Zur Strafzumessung ist Folgendes festzuhalten:

Gemäß Art. 83 Abs. 1 DSGVO hat die DSB sicherzustellen, dass die Verhängung von Geldbußen für Verstöße gegen die unter Sanktion gestellten Bestimmungen der DSGVO (Art. 83 Abs. 4, 5 und 6 DSGVO) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Näherhin bestimmt Art. 83 Abs. 2 DSGVO , dass bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall bestimmte Kriterien gebührend zu berücksichtigen sind.

Die Datenschutzbehörde hat im Rahmen der Strafbemessung die Leitlinien des EDSA betreffend Berechnung von Geldbußen nach der DSGVO (vgl. EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 2.1 vom 24.05.2023 – im Folgenden „Fines-Leitlinien“) zur Anwendung gebracht.

Die Strafbemessung innerhalb eines gesetzlichen Strafrahmens ist eine Ermessensentscheidung , die nach den vom Gesetzgeber festgelegten Kriterien vorzunehmen ist (vgl. VwGH 05.09.2013, 2013/09/0106).

Gemäß § 19 Abs. 1 VStG sind die Grundlagen für die Bemessung der Strafe die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat. Überdies sind nach dem Zweck der Strafdrohung die in Betracht kommenden Erschwerungs- und Milderungsgründe, soweit sie nicht schon die Strafdrohung bestimmen, gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechtes sind die §§ 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens- und Vermögensverhältnisse und allfällige Sorgepflichten des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen (dies gilt naturgemäß nur für natürliche Personen, ist aber sinngemäß auf juristische Personen zu übertragen); dies allerdings nur in dem Ausmaß, als nicht die unmittelbar zur Anwendung gelangenden Bestimmungen der DSGVO die Bestimmungen des VStG verdrängen und in dem Umfang, welcher von Art. 83 Abs. 8 DSGVO und Erwägungsgrund 148 im Hinblick auf die zu gewährleistenden Verfahrensgarantien angeordnet wird.

Durch Art. 83 Abs. 3 DSGVO wird in Abweichung zu dem mit § 22 Abs. 2 VStG normierten Kumulationsprinzip angeordnet, dass in Fällen gleicher oder miteinander verbundener Verarbeitungsvorgänge (in der englischen Sprachfassung: „ the same or linked processing operations “), durch die vorsätzlich oder fahrlässig gegen mehrere Bestimmungen der DSGVO verstoßen wird, der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß übersteigt. Somit gilt im Anwendungsbereich dieser Bestimmung das Absorptionsprinzip (vergleichbar mit dem im österreichischen Strafrecht nach § 28 Abs. 1 StGB normierten Kombinationsprinzip).

Ansonsten (außerhalb des Anwendungsbereiches des Art. 83 Abs. 3 DSGVO) gelangt das Kumulationsprinzip nach § 22 Abs. 2 VStG zur Anwendung (vgl. mwN BVwG 12.03.2020, GZ: W256 2223922-1). Auch im Rahmen der Fines-Leitlinien wird darauf Bezug genommen und festgehalten, dass Art. 83 Abs. 3 DSGVO in seiner Anwendung beschränkt ist und nicht für jeden Fall gilt, in welchem mehrere Verstöße gegen die DSGVO festgestellt werden (vgl. Fines-Leitlinien, 3. Kapitel – Rz 39).

Darüber hinaus ist im Sinne des Art. 83 Abs. 1 DSGVO zu beachten, dass im Rahmen der Strafbemessung des „ Gesamtbetrages der Geldbuße “ unter Anwendung des Absorptionsprinzips nach Art. 83 Abs. 3 DSGVO alle begangenen Verstöße gegen die DSGVO berücksichtigt werden müssen. Der Wortlaut „ Betrag für den schwerwiegendsten Verstoß “ bezieht sich dabei auf den Strafrahmen bzw. die gesetzlich vorgegebenen Höchstbeträge (siehe Art. 83 Abs. 4 bis 6 DSGVO). Der EDSA hielt hierzu fest, dass im Anwendungsbereich des Art. 83 Abs. 3 DSGVO die anderen begangenen Verstöße nicht de facto verworfen werden können, sondern bei der Strafbemessung dementsprechend berücksichtigt werden müssen (vgl. Fines-Leitlinien, Kapitel 3 – Rz 43). Ansonsten würde dies zu einer Privilegierung von Verantwortlichen und Auftragsverarbeiter führen, die im Rahmen eines festgestellten Sachverhaltes gleich gegen mehrere Bestimmungen der DSGVO verstoßen haben.

Die DSGVO enthält in Bezug auf Art. 83 Abs. 3 DSGVO ansonsten keine Ausführungen dazu, was unter „ gleichen oder miteinander verbundenen Verarbeitungsvorgängen “ zu verstehen ist. Auch den Erwägungsgründen kann dazu nichts Näheres entnommen werden.

Bei der Beurteilung von „ gleichen oder miteinander verbundenen Verarbeitungsvorgängen “ ist entsprechend der Fines-Leitlinien zu berücksichtigen, dass alle Verpflichtungen, die für die rechtmäßige Durchführung der Verarbeitungsvorgänge erforderlich sind, berücksichtigt werden können. Der Wortlaut (vor allem in der englischen Sprachfassung) deutet darauf hin, dass der Anwendungsbereich des Art. 83 Abs. 3 DSGVO jeden Verstoß einschließt, der sich auf dieselben („same“) oder miteinander verbundene Verarbeitungsvorgänge bezieht und sich auf diese auswirken kann (vgl. Fines-Leitlinien, 3. Kapitel – Rz 27 f). Das Bundesverwaltungsgericht wies in diesem Zusammenhang darauf hin, dass nach dem allgemeinen Sprachgebrauch daher auch jene Fälle unter diese Bestimmung zu subsumieren sind, in denen durch „ ein und dieselbe Tat (Verarbeitung) “ mehrere Straftatbestände erfüllt wurden und verwies dabei ebenfalls auf die englische Sprachfassung (vgl. mwN BVwG 12.03.2020, GZ: W256 2223922-1).

Im Lichte dieser Ausführungen gelangt im konkreten Fall für die festgestellten Verstöße das Absorptionsprinzip nach Art. 83 Abs. 3 DSGVO zur Anwendung. Der Strafrahmen ergibt sich aus dem schwerwiegendsten Verstoß. Daher gelangt im vorliegenden Fall der Strafrahmen nach Art. 83 Abs. 4 DSGVO zur Anwendung.

Gemäß Art. 83 Abs. 4 DSGVO werden im Falle der dort genannten Verstöße, im Einklang mit Abs. 2, Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist .

Mangels Mitwirkung der Beschuldigten in Bezug auf die Feststellung des Jahresumsatzes musste die Datenschutzbehörde eine Schätzung vornehmen (vgl. VwGH 11.05.1990, 89/18/0179; 22.04.1992, 92/03/0019; 23.02.1996, 95/02/0174). In Anbetracht der Fines-Leitlinien wird die Beschuldigte in Bezug auf ihren Umsatz und im Hinblick auf die Verhängung einer wirksamen, abschreckenden und verhältnismäßigen Geldbuße im Zuge der Schätzung in die niedrigste Kategorie („ Undertakings with a turnover up until € 2 Million “) eingestuft. Durch diese Einstufung wird die Unternehmensgröße gebührend berücksichtigt, um insbesondere die Verhältnismäßigkeit der Geldbuße zu gewährleisten.

Der Strafrahmen im konkreten Fall reicht daher gemäß Art. 83 Abs. 4 DSGVO bis zu einem Betrag in der Höhe von EUR 10.000.000,- (statischer Strafrahmen) . Der dynamische Strafrahmen (2% des Jahresumsatzes) gelangt nicht zur Anwendung.

Im Lichte des als erwiesen angenommenen Sachverhalts und unter Berücksichtigung der Art, Schwere und Dauer des Verstoßes (Art. 83 Abs. 2 lit. a DSGVO [Anmerkung Bearbeiter/in: im Original aufgrund eines offensichtlichen Redaktionsversehens „ Art. 83 Abs. 1 lit. a DSGVO “] ) , der Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Art. 83 Abs. 2 lit. b DSGVO) sowie die Kategorien personenbezogener Daten, die vom Verstoß betroffen sind (Art. 83 Abs. 2 lit. g DSGVO) wird von der Datenschutzbehörde die Schwere der Zuwiderhandlung („Seriousness of the infringement“) als mittelschwer („medium/high level of seriousness“) angenommen.

Bezogen auf den vorliegenden Sachverhalt wurde darüber hinaus (über die bereits für die Feststellung des Schweregrades berücksichtigten Kriterien nach Art. 83 Abs. 1 lit. a, b und g DSGVO hinaus) bei der Strafzumessung Folgendes erschwerend berücksichtigt:

n/a

Bezogen auf den vorliegenden Sachverhalt wurde darüber hinaus bei der Strafzumessung Folgendes mildernd berücksichtigt:

gegen die Beschuldigte liegen bei der Datenschutzbehörde keinerlei einschlägige frühere Verstöße gegen die DSGVO vor

Bei der Bemessung der Strafe dürfen nach ständiger Rechtsprechung des VwGH auch Überlegungen der Spezialprävention und Generalprävention einbezogen werden (vgl. VwGH 15.5.1990, 89/02/0093, VwGH 22.4.1997, 96/04/0253, VwGH 29.1.1991, 89/04/0061). Die Verhängung der konkreten Geldstrafe war jedenfalls im Sinne der Spezialprävention notwendig , um die Beschuldigte in Bezug auf ihre Pflichten als Verantwortliche zu sensibilisieren und von der Begehung weiterer strafbarer Handlungen gleicher Art abzuhalten . Die Verhängung der Geldstrafe war darüber hinaus auch im Sinne der Generalprävention erforderlich , um Verantwortliche und Auftragsverarbeiter insbesondere im Zusammenhang mit der Mitwirkungspflicht nach Art. 31 DSGVO zu sensibilisieren .

Die im Ergebnis konkret verhängte Strafe in der Höhe von EUR 5.900,- erscheint daher im Hinblick auf den verwirklichten Tatunwert, gemessen am zur Verfügung stehenden Strafrahmen des Art. 83 Abs. 5 DSGVO (hier bis zu EUR 20.000.000) tat- und schuldangemessen und befindet sich am untersten Ende des zur Verfügung stehenden Strafrahmens (0,03% des Strafrahmens) .

Rechtssätze
0

Keine verknüpften Rechtssätze zu diesem Paragrafen