DSGVO: 18 Millionen Euro Strafe aufgehoben

Vor etwas mehr als einem Jahr wurde von der österreichischen Datenschutzbehörde (DSB) eine Rekordstrafe in Höhe von 18 Millionen Euro gegen die Post wegen der Sammlung und Vermarktung von individuellen Datenprofilen, unter anderem zur Parteiaffinität verhängt. Diese Strafe wurde nach Berufung der Post vom Bundesverwaltungsgericht (BVwG) ersatzlos aufgehoben. Warum erfahren Sie hier:

Die im Oktober 2019 gegen die Post verhängte Strafe wurde im Wesentlichen auf Grund der rechtswidrigen Verarbeitung von Daten über die Parteiaffinität verhängt. Die Strafhöhe sorgte nicht nur in Österreich für Erstaunen (die bis dato höchste Strafe lag bei nicht einmal 5.000 Euro), sondern sorgte auch für Beachtung innerhalb der Europäischen Union. Höhere Strafen wurden zu diesem Zeitpunkt nur in England (204 Mio. Euro gegen British Airways, 110 Mio. Euro gegen Marriott) und in Frankreich (50 Mio. gegen Google) verhängt.

Diese Strafe wurde vom BVwG wegen eines Formalfehlers der DSB ersatzlos aufgehoben und das Strafverfahren eingestellt (Erkenntnis vom 26.11.2020, W258 2227269-1/14E). Ausschlaggebend für die Aufhebung war ein Erkenntnis des Verwaltungsgerichtshofs (VwGH) vom 12. Mai 2020 (Ro 2019/04/0229). Demnach ist es für die Bestrafung einer juristischen Person wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) entscheidend, dass jene natürliche Personen, deren Verstöße ihr angelastet werden, sowohl in Verfolgungshandlungen als auch im Spruch des Straferkenntnisses zu nennen sind. Da eine juristische Person nicht selbst handeln kann, ist ihre Strafbarkeit gemäß § 30 Datenschutzgesetz (DSG) eine Folge des tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens einer ihr zurechenbaren natürlichen Person (Führungsperson). Die Datenschutzbehörde hat dies verabsäumt und in ihrem Spruch keine natürliche Person genannt, der das schuldhafte Verhalten der Post zuzurechnen war.

Eine Neuerlassung des Straferkenntnisses kommt nicht mehr in Betracht, weil bereits Verjährung eingetreten ist. Die DSB hat bereits angekündigt, bei künftigen Verwaltungsstrafverfahren auch einzelne Verantwortliche ins Visier zu nehmen, die dann ebenfalls hohe Geldstrafen erhalten könnten.

Erwähnenswert in diesem Zusammenhang ist, dass Österreich damit offensichtlich einem Trend folgt, wonach verhängte Strafen der EU- Aufsichtsbehörden wegen DSGVO-Verstößen, aufgehoben oder erheblich reduziert wurden. Die von der britischen Datenschutzbehörde ICO (Information Commissioner’s Office) gegen British Airways und Marriott ursprünglich verhängten Strafen (siehe oben) wurden auf 22 Mio. bzw. 20 Mio. Euro reduziert. Dies vor allem aus nachfolgenden Gründen:

• In Großbritannien beginnt nämlich ein Verfahren mit der Bekanntgabe einer Strafe durch das ICO – die sogenannte „Notice of intent to fine“, wohingegen in Österreich (ebenso in Deutschland) die Strafe erst am Verfahrensende verhängt wird. Es besteht somit die Möglichkeit sich im Verfahren gegen die Strafhöhe zur Wehr zu setzen.
• Die Verantwortlichen waren in der Lage Argumente des ICO zu entkräftigen. Allen voran British Airways, die hinsichtlich der Datenpanne nachweisen konnten, dass es sich bei der Cyberattacke um einen gezielten Angriff auf die Systeme von British Airways handelte, und somit nicht ausschließlich mangelnde Datensicherheitsmaßnahmen als Ursache anzusehen seien.
• Die Auswirkungen der Corona-Pandemie auf die Umsätze von Marriott und British Airways führten letztendlich zu einer deutlichen Reduktion der Geldstrafen. Nach Art. 83 DSGVO darf eine Strafe bis zu 4% des Umsatzes eines Verantwortlichen betragen. Nachdem im Jahr 2020 im Vergleich zu den vorangegangenen Jahren die Umsätze voraussichtlich deutlich geringer ausfallen werden, wurde die Strafe durch das ICO reduziert.
   

Aber auch in Deutschland wurde eine gegen das Telekommunikationsunternehmen 1&1 verhängte Geldbuße von knapp 10 Mio. Euro auf 900.000 Euro reduziert. Vom BfDI, dem Bundesbeauftragten für Datenschutz und Informationssicherheit, welcher die Strafe verhängt hatte, wurde beanstandet, dass das Unternehmen im Rahmen seines Kundenservices Anrufern weitreichende Informationen zu personenbezogenen Kundendaten mitgeteilt hat. Diese mussten sich nur mit Namen und Geburtsdatum identifizieren. Dieses Vorgehen wertete die Bundesbehörde als Verstoß gegen den Art. 32 DSGVO, weil keine geeigneten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen wurden.

Das Landgericht Bonn entschied (Az. 29 OWi 1/20 LG), dass die vom BfDI verhängte Geldbuße unangemessen hoch sei und dass gegen die Authentifizierungspraxis des Unternehmens zuvor kein Einwand vorgebracht wurde, weswegen es beim Unternehmen an einem Problembewusstsein mangele. Da es nicht zu massiven Datenabfragen kam, sondern nur ein Einzelfall betroffen war, sei es lediglich ein geringer Datenschutzverstoß. Außerdem hielt das Gericht fest, dass kein konkreter Verstoß einer Leitungsperson im Unternehmen festgestellt werden muss, um eine Strafe gegen das Unternehmen verhängen zu können. „Das nach Auffassung der Kammer anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitengesetz kein entsprechendes Erfordernis auf“, teilte das Gericht mit. Dies ist deshalb interessant, weil damit im Gegensatz zu Österreich für eine Bestrafung einer juristischen Person gerade kein Verschulden einer Führungsperson notwendig ist.

Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.