Bußgelder aufgrund von Datenschutzverstößen (Teil 2): Urteil aus Österreich bestätigt die hohen Anforderungen um Datenschutzverletzungen einem Unternehmen als juristische Person zuzurechnen
Im letzten Beitrag habe ich mich mit den geltenden Normen für Bußgelder aufgrund von Datenschutzverstößen befasst. Zu diesen mangelt es in Deutschland noch an neueren Gerichtsurteilen. Dieser Beitrag beschäftigt sich deshalb mit der Rechtsprechung in Österreich, in dem die Rechtslage weitgehend mit der deutschen Rechtslage übereinstimmt.
Rechtsprechung in Österreich: Keine Zurechnung von Verstößen „durch das Unternehmen“
In einer durch das österreichische Bundesverwaltungsgericht ergangenen Entscheidung (W211 2208885-1/19E) ging es darum, ob einem Unternehmen ein Datenschutzverstoß zugerechnet werden konnte, um auf dieser Grundlage ein Bußgeldbescheid zu erlassen.
Sachverhalt: In dem Fall ging es konkret um den Erlass eines Bußgeldbescheides aufgrund zweier, am Geschäftslokal der Beklagten montierten Kameras, welche nach Ansicht der Datenschutzbehörde meldepflichtig waren und zudem der von den Kameras erfasste Bereich (vor dem Eingangsbereich liegende öffentliche Parkplätze und Verkehrsflächen) dem Zweck der Verarbeitung unangemessen war. Zudem fand keine Protokollierung oder Löschung der personenbezogenen Bilddaten statt.
Täter: Die besondere Relevanz dieses Urteils zeichnet sich dadurch aus, dass die österreichische Datenschutzbehörde den Datenschutzverstoß der juristischen Person zurechnet, ohne konkret bestimmbar eine natürliche Person zu benennen, die für die gegen die DSGVO verstoßende Handlung verantwortlich waren, sondern vielmehr den Datenschutzverstoß pauschal dem Unternehmen zuordnete und dies für ausreichend erachtete, ein Bußgeld zu verhängen. Infrage stand somit die Rechtmäßigkeit dieses Bußgeldbescheids.
Vergleichbarkeit nationalen Rechts: Zwar handelt es sich um ein Urteil ergehend auf Grundlage des nationalen Rechts der Republik Österreich, jedoch sind die vom Gericht dargestellten Grundsätze zu der Zurechenbarkeit datenschutzrechtlich relevanten Handelns natürlicher Personen auf juristische Personen auch für das deutsche Recht von Bedeutung, da die österreichischen Vorschriften zu den Bußgeldern gegenüber Unternehmen den deutschen Vorschriften der § 30 und § 130 OWiG sehr ähnlich sind.
Ansatz der Österreichischen Datenschutzaufsicht: Nach Ansicht der Datenschutzbehörde verletzte dies Art. 5 Abs. 1 lit a und c sowie Art. 6 Abs. 1 der DSGVO sowie §§ 50b Abs. 1 und Abs. 2 DSG 2000 und 13 Abs. 2 (Protokollierung), Abs. 3 (Löschung) und Abs. 5 (Kennzeichnung) DSG. In Folge dieses Handelns erließ die Behörde einen Bußgeldbescheid gegen die juristische Person auf Grundlage einer Datenschutzverletzung des Unternehmens.
Zurechnung? Problematisch war allerdings, dass weder aus der Aufforderung zur Rechtfertigung noch aus sonstigen Verfahrenshandlung hervorging, welches bestimmte Verhalten einer identifizierbaren natürlichen Person dem Unternehmen zugerechnet werden sollte. Offensichtlich war unklar, welche identifizierbare natürliche Person im Unternehmen entweder die Datenschutzrechtsverletzung beging oder aufgrund der Missachtung von Aufsichtspflichten ermöglichte. Ansatz des Ö-BVerwG: Nach Ansicht des Gerichtes ist sei eine solche pauschale Feststellung einer Datenschutzverletzung unzureichend:
- Tat: Es reiche gerade nicht aus, wenn die Behörde lediglich aufgrund allgemeiner Lebenserfahrung zu dem Ergebnis gelangt, dass die Installation und der Betrieb der beiden Kameras durch Personen durchgeführt oder veranlasst wurde, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsperson innerhalb der juristischen Person innehaben beziehungsweise dass mangelnde Überwachung oder Kontrolle durch eine solche Person die Installation und den Betrieb für die juristische Person ermöglichte.
- Täter: Ferner führte das Gericht aus, dass die Bestrafung der juristischen Person vielmehr voraussetze, dass eine zurechenbare natürliche Person (Führungsperson) eine Straftat begangen hat oder die Begehung der Tat eines Mitarbeiters durch mangelnde Überwachung und Kontrolle ermöglicht hat. Ebendiese Formulierung findet sich auch im deutschen Recht (!) und verdeutlicht abermals die datenschutzrechtliche Relevanz der §§ 30 und 130 OWiG, die insoweit sehr hohe Ansprüche an die Verhängung eines Bußgeldes an ein Unternehmen stellen
Anforderung an Bußgeldbescheid: Evident ist es daher eine genaue Umschreibung der Tathandlung der natürlichen Person . Eine bloße Bestimmbarkeit der Person ist dabei nicht ausreichend um das Verhalten der juristischen Person zuzurechnen; es braucht eine eindeutig nach individuellen Kriterien bestimmte Führungsperson und somit einen konkreten Tatvorwurf, aus dem hervorgeht, dass ein Verhalten einer bestimmten Person der juristischen Person zugerechnet werden soll. Damit widersprach das Gericht der Auffassung der Datenschutzbehörde, dass jede Handlung von Personen, die im Rahmen einer juristischen Person tätig werden, der juristischen Person zuzurechnen sei, sodass eine konkrete Benennung des Mitarbeiters irrelevant wäre. Der Bußgeldbescheid war somit rechtswidrig.
Das Österreichische Bundesverwaltungsgericht ist somit der Ansicht, dass gegen ein Unternehmen nicht pauschal für ein Datenschutzverstoß ein Bußgeld erlassen werden darf. Übertragen auf das deutsche Recht kann man somit zu dem Schluss kommen, dass die §§30 und 130 OWiG zu Recht solch hohe Ansprüche für die Verhängung eines Bußgeldes haben. Sind diese hohen Ansprüche jedoch vereinbar mit Art. 83 DSGVO? Mit dieser Frage befassen wir uns in unserem nächsten Beitrag am 12.06.2020.
UPDATE: Der österreichische Verwaltungsgerichtshof hat die Revision der Datenschutzbehörde, ohne Vorlage beim EuGH, abgewiesen und die Rechtsansicht des BVwG bestätigt. Die kritische Auseinandersetzung mit dem Urteil können Sie im Beitrag von Herrn Mag. Michael Suda (juristischer Referent der DSB Österreich) nachlesen.