BVerwG: 18 Mio. EUR DSGVO-Bußgeld gegen Österreichische Post aufgehoben

03.12.2020

Das österreichische Bundesverwaltungsgericht (BVerwG) hat das 18 Mio. EUR DSGVO-Bußgeld gegen die Österreichische Post (ÖPAG) aufgehoben (BVerwG, Erkenntnis v. 26.11.2020 - Az.: W258 2227269-1).

Vor etwa 1 Jahr hatte die Österreichische Datenschutzbehörde ein Bußgeld in dieser Höhe wegen Verstößen gegen die DSGVO verhängt. Es ging dabei insbesondere um den Vorwurf, dass die ÖPAG unerlaubt die politische Affinität von Betroffenen verarbeitet haben soll. Vgl. dazu unsere News v. 30.10.2019.

Nun hat das BVerwG die Entscheidung der Datenschutzbehörde aufgehoben, aus formalen Gründen.

Zunächst erörtert das Gericht die abstrakten Anforderungen an einen DSGVO-Geldbuße, wenn diese gegen eine juristische Person verhängt wird:

" Für eine Verhängung einer Geldbuße nach der DSGVO über eine juristischen Person sind im Straferkenntnis die zur Beurteilung eines tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens, das auch allfälligen zusätzlichen Voraussetzungen der Strafbarkeit genügt, erforderlichen Feststellungen zu treffen und im Spruch alle notwendigen Elemente für eine Bestrafung der natürlichen Person aufzunehmen (...), mit dem Zusatz, dass das Verhalten der natürlichen Person der juristischen Person zugerechnet werde. (...)."

In dem konkreten Fall hatten die Datenschützer dies unterlassen:

"Die belangte Behörde hat im Spruch des Straferkenntnisses die natürliche Person, deren Verstoß gegen die DSGVO der Beschwerdeführerin zugerechnet werden soll, nicht benannt. Das Straferkenntnis erweist sich daher als rechtswidrig.

(...) Eine Heilung dieses Mangels ist dem Verwaltungsgericht verwehrt. Zwar ist das Verwaltungsgericht befugt und verpflichtet einen fehlerhaften Spruch zu korrigieren und allenfalls fehlende Feststellungen zu treffen, es darf dabei aber die vorgeworfene Tat nicht austauschen. (...)

Die belangte Behörde hat weder im verwaltungsbehördlichen Beweisverfahren noch im Spruch eine natürliche Person benannt, deren Verhalten der Beschwerdeführerin zugerechnet werden hätte sollen. Auch in der Begründung des Straferkenntnisses, das zur Interpretation des Spruches herangezogen werden könnte, wird kein tatbestandsmäßiges, rechtswidriges und schuldhaftes Verhalten einer natürlichen Person dargelegt, das der juristischen Person zugerechnet werden soll. Zwar stellt die belangte Behörde diverse Verantwortlichkeiten fest; es finden sich aber keine Feststellungen, wer letztlich die Entscheidung getroffen hat, die als rechtswidrig erkannten Datenverarbeitungen durchzuführen oder die Datenschutz-Folgenabschätzung und das Verzeichnis der Verarbeitungstätigkeiten in der als rechtswidrig erkannten Art zu erstellen bzw welche mangelnde Überwachung oder Kontrolle die Rechtswidrigkeiten ermöglicht haben soll.

(...)Damit würde im Verwaltungsstrafverfahren gegen die juristische Person die Konkretisierung der natürlichen Person, für deren tatbestandsmäßiges Verhalten die juristische Person zur Verantwortung gezogen wird, erst im Beschwerdeverfahren eine unzulässige Änderung des Tatvorwurfs und der Sache des Verfahrens im Sinne des § 50 VwGVG darstellen."

Aus diesem Grunde hob das BVerwG die verhängte Strafe gegen die ÖPAG  auf.

Lesenswert ist die Entscheidung auch deshalb, weil die Richter dort auch inhaltlich der Frage nachgehen, ob die Maßnahmen der ÖPAG  nun DSGVO-konform waren.  Im Ergebnis verneinen die Robenträger dies:

"Konkret besteht das subjektiv vorwerfbare Verhalten der Beschuldigten darin, dass es keinerlei rechtlich eingehende und fundierte Auseinandersetzung mit allfälligen rechtlichen Risiken im Zusammenhang mit dem Produktangebot dieses Geschäftsbereiches im Allgemeinen und dem an politische Gruppierungen entgeltlich bereitgestellten Selektionskriterium der vermeintlichen Parteiaffinitäten im Besonderen und den strengen Vorgaben der DSGVO – näherhin deren Begriffsverständnis, den Verarbeitungsgrundsätzen in Art. 5 und dem Verarbeitungsverbot in Art. 9 Abs. 1 – mit dem Ziel gegeben hat, sämtliche Verarbeitungsvorgänge in Einklang mit den datenschutzrechtlichen Vorgaben zu bringen.

Im Zuge des Ermittlungsverfahrens konnten weder von der Datenschutzbeauftragten, noch von der Leiterin der Rechtsabteilung (einer Prokuristin des Unternehmens), dem Leiter des Geschäftsbereiches „ XXXX “ oder der Leiterin der Fachabteilung für Produkt- und Qualitätsmanagement innerhalb dieses Geschäftsbereiches (bei ihr handelt es sich um die langjährige gewerberechtliche Geschäftsführerin für das Gewerbe des § 151 GewO), schriftliche Belege erbracht werden, aus denen eine – der Unternehmensgröße und der enormen Anzahl an verarbeiteten Datensätzen entsprechende sowie in Anbetracht der großen Anzahl an potenziell Betroffenen hiervon – angemessene rechtliche Analyse dieses Geschäftsbereiches ableitbar gewesen wäre.

So konnte beispielsweise kein (wenn auch internes) Rechtsgutachten oder ein rechtlicher Problemaufriss vorgelegt werden, der sich mit der von der Beschuldigten vertretenen Rechtsauffassung hierzu auseinandersetzte."

Und weiter:

"Hierin drückt sich aber das subjektiv vorwerfbare Verhalten auf Seiten der Beschuldigten aus und wäre im Hinblick auf ein rechtmäßiges Alternativverhalten Folgendes angezeigt gewesen:

- Die Datenschutzbeauftragte hätte, gegebenenfalls unter Konsultierung einer unabhängigen externen Datenschutzexpertise das Produktangebot der Parteiaffinitäten – aber auch die übrigen Produktangebote der fraglichen Geschäftsbereiche im Zusammenhang mit dem Direktmarketing – einer eingehenden Prüfung unterziehen und den Überlegungen des Projektes „Fit für die DSGVO“ zu Grunde legen müssen;

- in Ermangelung einer solchen hätte die Leiterin der Rechtsabteilung sowie der Leiter des Geschäftsbereiches „ XXXX “ eine solche Prüfung vornehmen oder veranlassen müssen;

- in letzter Konsequenz hätte der Vorstand eine derartige Prüfung mit dem Ziel veranlassen müssen, einen datenschutzrechtskonformen Zustand sämtlicher fraglichen Geschäftsbereiche der XXXX sicherzustellen.

Die Unterlassung all dessen ist, in Bezug auf den Umfang der Datenverarbeitungen, der Anzahl an Betroffenen und der für diese potenziell hieraus resultierenden Gefahren für deren grundrechtlich geschützten Rechtspositionen, als grob fahrlässiges Verhalten anzusehen."