Am 29.01.2021 versandte die DSB ihren ersten und darüberhinaus äußert umfangreichen Newsletter für das Jahr 2021. Wir fassen wie gewohnt knackig die wichtigsten Punkte zusammen. Das Original wollen wir natürlich trotzdem niemandem vorenthalten und haben es natürlich verlinkt.

Ausgewählte Entscheidungen der DSB

Am relevantesten sind natürlich - wie immer - die aktuellen Entscheidungen, welche sich diesmal (und hier waren wir angenehm überrascht) nicht auf die österreichischen Grenzen beschränken und in welcher die DSB ganz subtil zum Erkennen gibt, dass sie nicht mit der hiesigen Interpretation von Art 83 DSGVO einverstanden ist. Aber wie ist es zu diesem Winter der Unzufriedenheit gekommen?

Es war einmal...

Wir erinnern uns zurück! Vor geraumer Zeit sorgte die österreichische Post AG für Aufruhr in der Welt des Datenschutzes als bekannt wurde, dass man heimlich politische Profile anfertigte. Der Aufschrei war groß und alsbald verhängte die DSB eine beachtliche Geldbuße von 18 Mio EURO.
Es war wie in einem Märchen: der junge Underdog-Held triumphierte über den in der Bevölkerung in Ungnade und Verruf gefallenen Bösewicht. Die Welt schien wieder in Ordnung zu sein und der Rechtsfrieden wiederhergestellt.

Off on a technicality...

Doch dies war nicht von Dauer. Felsenfest davon überzeugt nichts Unrechtes getan zu haben und vor Wut schäumend rüstete man zum zweiten Schlag und man wandte sich an den großen Bruder der DSB: den Verwaltungsgerichtshof (VwGH).
Dieser hob schließlich die Geldbuße auf. Als Begründung wurde angeführt, dass die DSB formell nicht korrekt gehandelt hat. So hätte man nämlich als Beschuldigten nach § 9 VStG anstelle der Post AG (als juristischer Person) eine natürliche Person (also einen Vorstand) anführen müssen. Die Entscheidung der DSB war somit nicht korrekt und für die Post AG hieß es - wie man im Englischen so schön sagt - "off on a technicality."

Anmerkung am Rande: in einem Anfall dramatischer Ironie stütze der VwGH sich hierbei auf eine Entscheidung des Bundesverwaltungsgerichts (BVwG) mit welcher - und jetzt wird es wirklich ironisch - die erste verhängte DSGVO-Strafe in Österreich überhaupt für rechtswidrig erklärt wurde.

Juristischer Exkurs:

Aus rechtlicher Sicht wurde hier durchaus fragwürdig argumentiert, da Art. 83 DSGVO ausdrücklich besagt, dass Geldbußen nach der DSGVO auch gegen juristische Personen verhängt werden können (besser: verhängt werden sollen!). Das österreichische (Verwaltungs-)Strafrecht hingegen geht in § 9 VStG von dem Grundsatz aus, dass eine Strafe gegen einen Menschen zu verhängen ist. Aus diesem Grund - so meint das BVwG und auch der VwGH - sei immer auch eine natürliche Person (zB ein Geschäftsführer oder Vorstand oder verantwortlicher Beauftragter) im Verfahren zu beschuldigen.

Aus diversen rechtsdogmatischen Überlegungen, welche sehr, sehr umfangreiche Dissertationen und Habilitationsschriften füllen, hat diese Sichtweise durchaus was für sich. Im Ergebnis geht es hier jedoch um Überlegungen, welche das gerichtliche Strafrecht betreffen und im Gedanken münden, dass man ein Unternehmen letztlich nicht einsperren kann.

Es verbleiben jedoch zwei kräftige Gegenargumente:

  1. hat Unionsrecht Vorrang vor nationalem Recht (Jaaaaa! klingt komisch, ist aber so. Auch wenn so manche Regierung dies nicht wahrhaben möchte).
  2. hat man der Finanzmarktaufsicht im BWG auch schon vor Jahren die Möglichkeit eingeräumt, dass man Strafen direkt gegen die Bank als juristische Person erlässt. (man hat hier sogar im DSG direkt vom BWG abgeschrieben...)

Warum BVwG und VwGH auf eine solche - man möchte meinen - "kühne" Auslegung kommen bleibt dem Reich der Spekulation und Mutmaßungen überlassen. Eventuell sind strafrechtliche Philosophen am Werk oder aber man möchte - gerade in Zeiten von Corona - Unternehmen nicht mit Strafen belasten? Vor allem letzteres würde auch dazu passen, dass vor nicht allzu langer Zeit andere große Geldbußen drastisch reduziert wurden.

Die DSB läßt im Newsletter tief blicken

Nichtsdestotrotz hat die DSB in ihrem jüngsten Newsletter durchblicken lassen, dass sie sich der Rechtsauslegung des VwGH nicht einfach fügen möchte. Rückendeckung findet sich für die DSB in Österreich keine, sodass man den für Österreich untypischen Blick ins Ausland wagt und Entscheidungen des LG Bonn aus Deutschland und des französischen Höchstgerichts "Conseil d'Etat" ins Rennen führt:

So hat das Landgericht (LG) Bonn mit Urteil vom 8.12.2020 ausgesprochen, dass eine Geldbuße nach Art. 83 DSGVO direkt gegen eine juristische Person verhängt werden kann und die Aufsichtsbehörde nicht angehalten ist zu prüfen, welche vertretungsbefugte natürliche Person für die juristische Person rechtswidrig und schuldhaft gehandelt hat. Die diesbezügliche Bestimmung im dt. Ordnungswidrigkeitengesetz (OWiG), § 30, habe aufgrund des Vorrangs des Unionsrechts unbeachtet zu bleiben.

Anmerkung am Rande: die fragliche Entscheidung des LG Bonn war ganz nebenbei bemerkt auch jene, welche eine Geldbuße gegen 1&1 um satte 91% reduziert hat.

Bereits zuvor hatte das französische Höchstgericht der Verwaltung (Conseil d'État) in seiner Entscheidung vom 19.6.2020 die gegen Google verhängte Geldbuße in Höhe von 50 Millionen Euro bestätigt. Auch in dieser Entscheidung, die über die Website des Conseil d'État in Französisch abrufbar ist, ist nicht zu entnehmen, dass Art. 83 DSGVO im Falle einer Verhängung einer Geldbuße gegen eine juristische Person die Ermittlung und Benennung vertretungsbefugter natürlicher Personen verlangt.

Ganz im Sinne des europäischen Gedankens wünschen wir der DSB viel Erfolg dabei hier eine Kurskorrektur zu schaffen.