Wie lange können Geldbußen für Datenschutz-verletzungen verhängt werden?
Verjährt die Strafbarkeit?
Stellen Sie sich vor, sie verlieren am 1.1.2019 einen USB-Stick mit Krankenstandsdaten ihrer Mitarbeiter. Sie „vergessen“, dass Sie dies der Behörde melden, und am 15.1.2020 zeigt Sie ein verärgerter Mitarbeiter, von dem Sie sich getrennt haben, bei der Datenschutzbehörde an. Dazwischen ist nichts passiert, denn die Daten wurden von keiner unbefugten Person verwendet.
Ist das noch strafbar? Kann die DSB noch eine Geldbuße verhängen, oder verjähren Geldbußen nach DSG (bzw. DSGVO) nicht?
Regelungen im Verwaltungsstrafverfahren
Die DSB ist eine Verwaltungsbehörde und wendet die verwaltungsrechtlichen Bestimmungen an; dazu gehören das Allgemeine Verwaltungsverfahrensgesetz (AVG) und auch das Verwaltungsstrafgesetz (VStG). Auf das VStG wird in § 30 DSG in Abs. 3 auch ausdrücklich Bezug genommen, wenn dort normiert ist, von der Bestrafung von verantwortlich Beauftragten abgesehen werden kann, wenn gegen die juristische Person eine Strafe verhängt wurde. In § 22 DSG wird auf auch auf das Allgemeine Verwaltungsverfahrensgesetz Bezug genommen.
Im VStG findet sich in § 31 eine Regelung zur Verjährung von verwaltungsstrafrechtlichen Delikten. Die Unterlassung einer Meldung eines Datenschutzvorfalles ist nach Art 83 Abs 5 lit … DSGVO mit den Sanktionen der DSGVO, insbes. Geldbuße in Höhe von … bedroht.
Verfolgungsverjährung
§ 31 Abs 1 VStG normiert die sog.
Verfolgungsverjährung von einem Jahr, wobei die Frist mit Abschluss der Tat zu laufen beginnt. Sondergesetze können diese Frist verlängern, z.B. das PunzierungsG. Im DSG findet sich dazu keine besondere
Frist.
Wird innerhalb dieser Frist von einem Jahr keine sog. Verfolgungshandlung gegen die (natürliche oder juristische) Person, die die Tat begangen hat bzw. dafür verantwortlich ist, gesetzt, dann ist die Tat verjährt und eine Strafe kann nicht mehr verhängt werden.
Eine Verfolgungshandlung ist zB eine Aufforderung zur Rechtfertigung, eine Ladung, eine Vernehmung, eine Strafverfügung. Diese muss nach außen in Erscheinung treten, dh behördeninterne Maßnahmen zählen (noch) nicht dazu, sondern es muss die Verfolgungshandlung zumindest den Bereich der Behörde verlassen haben (zB Postaufgabe einer Ladung).
Die Verfolgungshandlung muss hinreichend konkret sein, dh sie muss sich auf die übertretene Verwaltungsvorschrift beziehen und auch darlegen, durch welche konkreten Tatbestandsmerkmale die Tat verwirklicht wurde (Art der Tathandlung, Ort und Zeit …).
Angewendet auf den Sachverhalt ergibt dies, dass die Tat mit Verlust des USB-Sticks bzw. mit Ablauf der Meldefrist von „unverzüglich“, jedoch maximal 72 Stunden, sohin am 4.1.2019, 24.00 Uhr beendet war.
Strafbarkeitsverjährung
Neben dieser Verfolgungsverjährung kennt das
VStG noch die sog. Strafbarkeitsverjährung, wobei die Frist dafür drei Jahre beträgt. Diese Frist begrenzt die Dauer des Verwaltungsstrafverfahrens.
Nach dieser Frist, die ebenfalls mit Abschluss der Tat beginnt, darf ein Straferkenntnis im Verwaltungsstrafverfahren nicht mehr gefällt werden. Wenn das Verfahren zu diesem Zeitpunkt noch läuft,
ist es einzustellen.
Diese Frist wird durch mehrere Sachverhalte unterbrochen, zB während eines gerichtlichen Strafverfahrens oder eines Verfahrens bei einer anderen Verwaltungsbehörde oder der Zeit einer Aussetzung wegen einer Vorfrage sowie eines Verfahrens bei den Höchstgerichten.
Anwendbarkeit der Verjährungsbestimmungen
Dr. Ernst M. Weiss hat in der Datenschutz konkret (Dako 2018/63; Keine Verjährung für die Verhängung von Geldbußen) die Meinung vertreten, dass die Geldbußen nach der DSGVO „ein neues Sanktionssystem“ sind, und daher die Verjährungsbestimmungen des VStG keine
Anwendung finden. Er hat dazu auf eine Entscheidung des Verwaltungsgerichtshofes zum BVerG, wonach die Geldbuße nach dem BVergG nach den Erläuternden Bemerkungen keine Verwaltungsstrafe
darstellten, sondern ein neues Sanktionssystem begründen.
Diese Aussage, die vom VwGH im Rahmen des BVergG getroffen wurde, kann mE so nicht auf das DSG übertragen werden. Ein Blick in die Erläuterungen zum Ministerialentwurf (322/ME XXV. GP, Seite 9) zeigt, dass dort explizit auf das Verwaltungsstrafgesetz Bezug genommen wird:
Der Datenschutzbehörde obliegt im Rahmen ihrer Zuständigkeit die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen. Auf die Verhängung solcher Geldbußen (Art. 83 DSGVO) findet das Verwaltungsstrafgesetz 1991 (VStG), BGBl. Nr. 52/1991, insoweit Anwendung, als die DSGVO im Rahmen des Anwendungsvorranges nicht speziellere Regelungen vorsieht (siehe zB die Regelung zum Kumulierungsverbot gemäß Art. 83 Abs. 3 DSGVO).
Eine derartige Klarstellung findet sich nicht in den Erläuterungen zum BVergG bzw. den jeweiligen Novellen, sondern wird dort explizit auf ein neues Sanktionssystem Bezug genommen. Bei der Novelle zum DSG bzw. im Zusammenhang mit dem Datenschutz-Anpassungsgesetz 2018 wurde zwar der Terminus „Geldbuße“ anstelle einer „Geldstrafe“ (wie im VStG zB § 5 Abs 1a VStG) verwendet, aber dies kann mE synonym für die Geldstrafe iSd VStG angesehen werden.
Die Geldbuße iSd DSG bzw. der DSGVO stellt daher mE eine Verwaltungsstrafe iSd VStG dar, und die verwaltungsstrafrechtlichen Bestimmungen (einschließlich der Verjährungsregelung des § 31 VStG) sind daher anwendbar.
Kommentar schreiben