Gastbeitrag von fokus.genba/ Dr. Conrad Lienhardt

Unzweifelhaft hat die österreichische POST AG gegen die EU Datenschutz-Grundverordnung (DSGVO) und das österreichische Datenschutzgesetz (DSB) verstoßen. Das ergab eine Prüfung durch die österreichische Datenschutzbehörde. Dennoch bleibt die Verletzung des Datenschutzgesetzes durch die POST AG ungestraft, mit anderen Worten - für die POST AG ergeben sich aus diesem Rechtsverstoß keinerlei verwaltungsstrafrechtliche Konsequenzen. Was legalistisch im eigensinnigen österreichischen Recht höchstgerichtlich durch das Bundesverwaltungsgericht (BVwG) mit Verweis auf eine Entscheidung des Verwaltungsgerichtshofs (VwGH) entschieden wurde, mag allerdings rechtlich im Sinne des EU Rechts zumindest fragwürdig sein. Was ist passiert?

Das Bundesverwaltungsgericht hebt Strafverfügung gegen POST AG auf

Der Reihe nach. Die POST AG hatte im Geschäftsfeld des Adresshandels und Direktmarketings im Zuge der „Anreicherung” personenbezogener Daten unter anderem Personen eine unterstellte Parteiaffinität zugewiesen, d.h. sie hat aufgrund algorithmischer Schätzungen Annahmen als Informationen an Dritte verkauft, aus der die Käufer entnehmen konnten, ob diese oder jene Person eher der FPÖ, der ÖVP, der SPÖ oder einer anderen Partei nahestehe. 

Das mittlerweile aufgelöste Recherchenetzwerk Addendum hat die Vorgänge rund um die Datenschutzverletzungen der POST AG aufgedeckt. In der Folge hatte die Datenschutzbehörder ein amtswegiges Prüfverfahren eingeleitet und schließlich ein Vewaltungsstrafverfahren gegen die POST AG auf den Weg gebracht, mit dem Ergebnis, dass die POST AG zu einer Strafe in Höhe von 18 Millionen EUR verurteilt wurde (DSBD550.148/0017-DSB/2019). Dagegen hat die POST AG beim Bundesverwaltungsgericht (BVwG) Beschwerde eingelegt.

Anfang Dezember 2020 hat das BVwG der Beschwerde in einer nicht öffentlichen Sitzung entsprochen und die Strafverfügung der Datenschutzbehörde mit Urteil W258 2227269-1/14E aufgehoben und das Verfahren gegen die POST AG eingestellt. Zudem wurde eine Revision gegen dieses Urteil als nicht zulässig beschieden. — Damit bleibt einer der größten Datenschutzskandale der Zweiten Republik ungestraft.

Die bemerkenswerte Urteilsbegründung des Bundesverwaltungsgerichts

Das Bundesverwaltungsgericht folgt der Argumentation der POST AG:

[…]  es sei für die Verhängung einer Geldbuße nach der DSGVO gegen eine juristische Person, wie der Betroffenen, nicht ausreichend, einen Straftatbestand zu erfüllen, es muss ihr als juristische Person, die nicht selbst handeln kann, auch das Handeln einer natürlichen Person zugerechnet werden. Diese gemäß § 30 DSG vorzunehmende Zurechnung habe die belangte Behörde unterlassen. Mit diesem Vorbringen ist die Beschwerdeführerin im Recht.  ^{Urteil BVwG W258 2227269-1/14E}

Nachdem die Datenschutzbehörde keine natürliche Person benannte, deren Verstoß der POST AG zugerechnet werden kann, erweist sich das Straferkenntnis mit Verweis auf VwGH 12.05.2020 Ro 2019/04/0229 aus Sicht des BVwG folgerichtig als rechtswidrig.

Eine legalistische Sicht der Rechtsprechung

Selbst durch das Urteil des BVwG wird nicht in Abrede gestellt, dass die POST AG gegen das Datenschutzgesetz verstoßen hat. Es kommt nur zum Schluss, dass dieser Gesetzesverstoß nur dann mit einer Verwaltungsstrafe belegt werden könne, wenn konkret eine oder mehrere natürliche Personen für diese Verletzung ermittelt würden. Eine Verwaltungsstrafe gegen eine juristische Person sei gemäß § 30 Abs 2 DSG wegen Verstößen gegen Bestimmungen der DSGVO und des § 1 oder Artikel 2 1. Hauptstück unzulässig.

Zwar stellt die belangte Behörde diverse Verantwortlichkeiten fest; es finden sich aber keine Feststellungen, wer letztlich die Entscheidung getroffen hat, die als rechtswidrig erkannten Datenverarbeitungen durchzuführen oder die DatenschutzFolgenabschätzung und das Verzeichnis der Verarbeitungstätigkeiten in der als rechtswidrig erkannten Art zu erstellen bzw welche mangelnde Überwachung oder Kontrolle die Rechtswidrigkeiten ermöglicht haben soll.  ^aaO.

Mit anderen Worten: Die Datenschutzbehörde müsste nicht nur den Nachweis erbringen, dass gegen das Datenschutzrecht verstoßen wurde, sondern müsste auch Strafermittlungen einleiten, wer im jeweiligen Unternehmen (der juristischen Person) für diesen Verstoß verantwortlich gemacht werden könne.

Die einschlägige Rechtsvorschrift des §30 Abs. 1 DSB lautet:

Die Datenschutzbehörde kann Geldbußen gegen eine juristische Person verhängen, wenn Verstöße gegen Bestimmungen der DSGVO und des § 1 oder Artikel 2 1. Hauptstück durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person […] innehat.  ^aaO.

Ein solcher Nachweis ist im Zuge von Ermittlungen seitens der Datenschutzbehörde nicht so einfach zu erbringen. Es wäre in diesem Zusammenhang zu klären, ob die Ermittlungskompetenzen der Behörde ausreichen, um einer natürlichen Person oder mehreren Personen die Verantwortung für die Verletzung des Datenschutzgesetzes nachzuweisen zu können (z.B. unangekündigte Hausdurchsuchungen, Beschlagnahmen, datenforensische Ermittlungen etc.). Schließlich zählen kriminalistische Untersuchungen nicht zum Tätigkeitsfeld der Datenschutzbehörde, deren Mitarbeiter*innen im Wesentlichen Jurist*innen sind.

Praktische Konsequenzen aus dem Urteil des Bundesverwaltungsgerichts

Ein Unternehmen, in der Regel eine juristische Person, braucht sich in Österreich keine ernsthaften Sorgen machen, selbst bei nachgewiesenem Vergehen gegen das Datenschutzgesetz mit Strafverfahren belangt zu werden, solange es der Behörde nicht gelingen mag, einzelnen Personen im Unternehmen den Verstoß nachzuweisen. Die Wahrscheinlichkeit, dass es der Datenschutzbehörde gelingt, belastbare Beweise gegen eine bestimmte natürliche Person mit der Befugnis zur Vertretung der juristischen Person, der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder einer Kontrollbefugnis innerhalb der juristischen Person zu ermitteln, ist derzeit mehr als gering.

Dabei muss es sich nicht um große Unternehmen und hohe Strafzahlungen handeln. Bereits ein kleines Unternehmen hatte sich entsprechend beim Verwaltungsgerichtshof gegen eine Strafe in Höhe von wenigen tausend Euro durchgesetzt.

Es ist daher nicht zu erwarten, dass unter den gegeben rechtlichen Rahmenbedingungen, der aktuellen Rechtsprechung und den vorhandenen Ressourcen die Datenschutzbehörde künftig in nennenswertem Umfang Strafzahlungen gegen juristische Personen verhängen wird. Damit ist das Datenschutzgesetz in Österreich bezüglich Verhängung von Geldbußén mehr oder weniger ausgehebelt.

Fragwürdige EU Rechtskonformität der österreichischen Rechtsprechung

In Kenntnis des Urteils des Verwaltungssgerichtshofs (VwGH) [12.05.2020 Ro 2019/04/0229] hatte die Datenschutzbehörde im Zuge des Verfahrens vor dem Bundesverwaltungsgerichts (BVwG) darauf hingewiesen, dass das oberste französische Verwaltungsgericht, in seiner Entscheidung vom 19.06.2020, N° 430810, davon ausgehe, dass es für die Verhängung von Geldbußen nach der DSGVO gegenüber juristischen Personen nicht erforderlich sei, natürliche Personen, deren Verhalten der juristischen Person zugerechnet werden, namentlich zu benennen.

Ebenso verwies die Datenschutzbehörde auf ein zwar mündliche verkündetes, aber zum Zeitpunkt noch nicht ausgefertigtes Urteil des Landgerichts Bonn vom 11.11.2020, GZ 29 OWi-430 Js-OWi 366/20-1/20 LG, in dem § 30 dtOrdnungswidrigkeitengesetz – OWiG, eine dem § 30 DSG vergleichbare Regelung, wonach es für die Verhängung einer Geldbuße gegenüber einer juristischen Person die Zurechnung des Handelns einer natürlichen Person bedürfe, mit der Verhängung von Geldbußen nach Art 83 DSGVO zum Teil unvereinbar sei und die Behörde nicht konkret feststellen müsse, welcher Mitarbeiter Tathandlungen gesetzt hat. ^aaO.

Daher regte die Datenschutzbehörde im Verfahren eine Vorabentscheidung durch den EuGH an, nachdem es zwei widersprüchliche höchstgerichtliche Urteile gäbe, und in der Erwartung einer Feststellung durch den EuGH bezüglich unzulässige Auslegung einer nationalen Rechtsnorm, § 30 DSG, und Überprüfung der Rechtsprechung des VwGH. ^aaO.

Dieser Anregung ist das BVwG nicht gefolgt. Begründung: Etwaige unterschiedliche Voraussetzungen unter denen Geldbußen über juristische Personen in den einzelnen Mitgliedstaaten verhängt werden können, sind […] der europarechtlichen Zulässigkeit unterschiedlicher Verfahrensrechte geschuldet.  ^aaO.

Ob diese Feststellung der EuGH gleicherweise treffen würde, sei vorerst dahingestellt.

Weitere Beiträge zum Thema POST AG und Datenschutz auf fokus.genba