Das BVwG hat die Geldstrafe gegen eine Allergieklinik von EUR 50.000,-- auf EUR 25.000,-- gesenkt.
Im Jahr 2019 hat die DSB gegen eine Allergieklinik wegen mehrfachen Verstößen gegen die DSGVO (kein DSB; keine DSFA; fehlerhafte Rechtsgrundlage) eine Geldstrafe von EUR 50.000,-- verhängt. Diese wurde nun vom BVwG auf EUR 25.000,-- reduziert.
Die Entscheidungen der DSB
Bereits im Jahr 2018 hat die DSB einen Feststellungsbescheid gegen den Verantwortlichen erlassen, aus dem sich die Verfehlungen ergeben.
Am 12.8.2019 hat die DSB dann mit einem Straferkenntnis (nicht veröffentlicht) eine Geldstrafe von EUR 50.000,-- verhängt. Gegen diesen Bescheid hat der Verantwortliche Beschwerde erhoben. Diese Beschwerde wurde nun vom BVwG (W256 2223922-1 am 12.03.2020) entschieden, und hat das BVwG erkannt:
A) Der Beschwerde wird Folge gegeben und die verhängte Geldstrafe auf 25.000 Euro und dementsprechend der Beitrag zum Verfahren vor der belangten Behörde gemäß § 52 Abs. 8 VwGVG iVm § 64 Abs. 2 VStG auf 2.500 Euro herabgesetzt.
Die Grundlage der Strafzumessung durch die DSB
Aus der Entscheidung des BVwG ist ersichtlich, dass die DSB bei der Verhängung der Geldstrafe in Höhe von EUR 50.000,-- von einem Jahresumsatz des Verantwortlichen von EUR 2.600.000,-- sowie Fahrlässigkeit als Verschuldensgrad ausgegangen ist, da sich der Verantwortliche zwar durch Internetrecherchen und eine Anfrage an die Ärztekammer bezüglich der Regelungen der DSGVO erkundigt habe, aber die Leitlinien der DSB nicht beachtet habe.
Die DSB verweist zur Höhe auch auf die Bestimmung zur Strafzumessung des Art 83 Abs 1, und führte aus:
"Bezogen auf den vorliegenden Sachverhalt wurde bei der Strafzumessung Folgendes erschwerend berücksichtigt:
- Sowohl vom Verstoß gemäß Spruchpunkt I. als auch Spruchpunkt II. war (potentiell) eine große Zahl an Personen betroffen.
- Vom Verstoß gemäß Spruchpunkt II.2. waren besondere Kategorien personenbezogener Daten (Gesundheitsdaten) betroffen.
- Die Beschuldigte hat zu den Verstößen gemäß Spruchpunkt I. und II. fahrlässig gehandelt.
[...] Mildernd wurde bei der Strafzumessung Folgendes berücksichtigt:
- Die Beschuldigte hat sich am Verwaltungsstrafverfahren vor der Datenschutzbehörde beteiligt und zur Wahrheitsfindung beigetragen.
- Die Beschuldigte hat sich einsichtig gezeigt und die im amtswegigen Prüfverfahren festgestellten Mängel beseitigt.
[...] Die konkret verhängte Strafe erscheint daher im Hinblick auf den verwirklichten Tatunwert gemessen am zur Verfügung stehenden Strafrahmen des Art. 83 Abs. 5 DSGVO von bis zu EUR 20.000 (richtig wohl: EUR 20.000.000) bzw. bis zu 4 % des Jahresumsatzes tat- und schuldangemessen und ihre Verhängung erforderlich, um die Beschuldigte und Dritte von der Begehung gleicher oder ähnlicher strafbaren Handlungen abzuhalten."
Die Geldstrafe lag daher bei ca. 2 % des festgestellten Jahresumsatzes.
Inhalt der Beschwerde des Verantwortlichen
Der Verantwortliche wendete sich mit seiner Beschwerde gegen die Strafhöhe und führte aus, dass diese unangemessen und aus mehreren Gründen unverhältnismäßig sei.
Es handle sich „nur um Formulare“ und es sei kein Patient zu Schaden gekommen.
Die fehlerhaften Informationen und Einwilligungserklärungen seien nur eine kurze Zeit online gewesen und nur von einer geringen Zahl von betroffenen Personen gesehen worden. Es hätte zwar keine Datenschutzfolgenabschätzungen gegeben, wohl aber Leitlinien für die Organisation und Technik.
Bezüglich der Tatsache, dass der Verantwortliche keinen Datenschutzbeauftragten bestellt hatte, verwies er in der Beschwerde darauf, dass es sich bei der Ärztekammer als Standesvertretung erkundigt hätte.
Die Entscheidung des BVwG
Im ersten Teil der Entscheidung führt das BVwG aus, dass der Verantwortliche selbst zugesteht, dass Verstöße gegen die datenschutzrechtlichen Bestimmungen bestanden haben, und er fahrlässig gehandelt hat. Daher trat hinsichtlich der Strafbarkeit an sich Teilrechtskraft ein, und nur die Strafhöhe wurde vom BVwG im Verfahren überprüft.
In nächsten Teil des Straferkenntnisses beschäftigt sich das BVwG mit der Frage, unter welchen Voraussetzungen das Absorptionsprinzip des Art 85 Abs 3 DSGVO bei Zusammentreffen mehrerer auf gleichen oder miteinander verbundenen Verarbeitungsvorgängen beruhender Verstöße gegen Bestimmungen der DSGVO nur eine Strafe zu verhängen ist, und nicht mehrere Strafen mit unterschiedlichen Berechnungen nach Art 83 DSGVO.
Die personenbezogenen Daten wurden vom Verantwortlichen iZhg mit seiner Tätigkeit zum Zweck der Diagnostik und der Therapie von allergischen Erkrankungen verarbeitet, und ist er dabei seinen Verpflichtungen nicht (ordnungsgemäß) nachgekommen. Damit wurden dem Verantwortlichen aus dem „gleichen“ Verarbeitungsvorgang mehrere Verstöße zum Vorwurf gemacht, sodass Art 83 Abs 5 DSGVO anwendbar ist, und eine (Gesamt-)Strafe auszusprechen ist.
Im letzten Teil der Entscheidung beschäftigt sich das BVwG mit der Strafhöhe an sich. Der Strafrahmen mit EUR 20 Mio oder 4% des Vorjahresumsatzes als Obergrenze wird noch einmal erwähnt.
Der Beschwerdeführer hatte bei den von ihm verarbeiteten personenbezogenen Daten darauf hingewiesen, dass dies „uninteressanter“ als diejenigen eines Allgemeinmediziners seien. Dieser Argumentation, nämlich dass es bei Art 9 Daten (im konkreten Fall Gesundheitsdaten) noch einmal einer Abstufung bedürfe, wenn es um die Höhe der Strafe geht, ist das BVwG nicht gefolgt. Diese Ansicht erscheint insofern korrekt, als die möglichen Auswirkungen einer Verletzung der Bestimmungen der DSGVO (zB Schaden oder mögliche Beeinträchtigung auf Seiten der betroffenen Personen) oder der Zweck der Verarbeitung ohnehin in Art 83 Abs 2 lit a DSGVO zu berücksichtigen sind.
Das BVwG bestätigte auch die Ansicht der DSB, dass der Verstoß sich auf eine potentiell große Anzahl an Personen (Art 83 Abs 2 lit a DSGVO) bezogen hat, wobei es nach Ansicht des BVwG bei Ungehorsamdelikten, dh Delikten, die einen Einritt eines Schadens nicht voraussetzen, sondern nur die Übertretung einer Norm sanktioniert wird, sodass eine tatsächliche Betroffenheit von Personen bzw. die Anzahl der tatsächlich betroffenen Personen nicht relevant ist, und daher dies als Milderungsgrund nicht in Frage kommt.
Das BVwG betont auch den generalpräventiven Charakter der Geldstrafe und verweist dazu auf ErwG 11 und die Verschärfung der Verpflichtungen für die Organisationen, die personenbezogene Daten verarbeiten.
„Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollen bei Verstößen gegen diese Verordnung auch Geldbußen verhängt werden (Erwägungsgrund 148) und sollen diese Geldbußen u.a. den verwaltungsrechtlichen Sanktionen mehr Wirkung verleihen (Erwägungsgrund 150).“
Das BVwG bestätigt die Ansicht der DSB im Hinblick auf den generalpräventiven Charakter von Geldstrafen und führte aus, dass die Geldstrafe auch „als Mittel zur Bekräftigung des Geltungsanspruches der DSGVO und zwar sowohl unter dem Gesichtspunkt der Aufrechterhaltung des Vertrauens der Bevölkerung auf die Durchsetzung des Datenschutzrechtes, als auch zur Erhaltung und Stärkung der Normentreue in Ansehung potentieller "Täter" in ähnlicher Lage gewertet und dementsprechend als erschwerend berücksichtigt hat.“
Das BVwG verweist jedoch darauf, dass der Verantwortliche sich einsichtig gezeigt hat, und dieser die Verstöße auch beseitigt hat, sodass spezialpräventive Gründe für die Strafbemessung nicht herangezogen werden können. Wenn sich der Verantwortliche normgetreu verhält, die Verstöße beseitigt, dann wird ihn auch eine verhängte Geldstrafe nicht mehr zu normgerechtem Verhalten anhalten. Wenn eine Gefahr der Tatwiederholung oder -fortsetzung für die Behörde nicht erkennbar ist, sind daher spezialpräventive Aspekte nicht in der Strafzumessung zu berücksichtigen.
Das BVwG führte auch aus, dass es keine Anhaltspunkte gäbe, dass das fahrlässige Verhalten des Verantwortlichen erschwerend zu berücksichtigen sei. Es gäbe keine Feststellung, dass dem Verantwortlichen auffallend sorgloses oder grob fahrlässiges Verhalten vorzuwerfen sei. Aufgrund der Erkundigungen bei der Ärztekammer kann dem Verantwortlichen kein besonders schwerer Grad des Verschuldens angelastet werden.
Die Erkundigungen sind jedoch nicht geeignet, das Verschulden des Verantwortlichen iSe Rechtsirrtums auszuschließen:
Umgekehrt sind die oben angeführten Erkundigungen aber auch nicht geeignet, einen - von der Beschwerdeführerin im Übrigen lediglich angedeuteten - Milderungsgrund nach dem Vorbild des § 34 Z. 12 Strafgesetzbuch BGBl 1974/60 idF BGBl I 2019/111 (im Folgenden: "StGB") (Begehung der Tat in einem der Schuld nicht ausschließenden Rechtsirrtum) zu begründen, weil weder die Ärzte-, noch die Wirtschaftskammer zur Vollziehung des Datenschutzgesetzes zuständig und damit als geeignete Stellen anzusehen sind (siehe dazu VwGH 27.4.1994, 94/09/0102; VwGH 24.6.2014, 2013/17/0507, wonach im Falle fehlender Nachforschungen [bei der zuständigen Stelle] der Milderungsgrund des § 34 Z. 12 StGB nicht zum Tragen kommt; siehe zur zuständigen Stelle [im Falle des Ausländerbeschäftigungsgesetzes] näher VwGH 12.11.2013, 2012/09/0133). Dass die Beschwerdeführerin Nachforschungen bei der hier zuständigen belangten Behörde oder ansonsten von geeigneten Stellen eingeholt hätte, wurde von der Beschwerdeführerin im gesamten Verfahren und im Übrigen auch im Beschwerdeverfahren jedenfalls nicht behauptet.
Das BVwG führt daher aus, dass der Gedanke der Spezialprävention sowie die Fahrlässigkeit bei der Strafzumessung unzulässigerweise als Erschwerungsgründe von der DSB berücksichtigt wurden. Die DSB hat es aber nach Ansicht des BVwG auch verabsäumt, die Begehung mehrerer strafbarer Handlungen als erschwerendes Kriterium bei der Strafzumessung einzubeziehen.
Das BVwG anerkennt auch die Tatsache an, dass der Verantwortliche die Verstöße beseitigt hat, und verweist auf die bisherige Unbescholtenheit des Verantwortlichen, und nimmt auf diese Aspekte besonders Bedacht.
Der Verantwortliche hat sich jedoch trotz der Tatsache, dass er Gesundheitsdaten verarbeitet, mit den datenschutzrechtlichen Vorgaben nicht ausreichend auseinandergesetzt. Dies ist in Zusammenhang mit der großen Anzahl an betroffenen Personen als „schwerer Verstoß“ zu werten.
Das BVwG geht daher davon aus, dass 1 % des Jahresumsatzes als Geldstrafe schuld- und tatangemesen ist, und verhängte daher eine Geldstrafe von EUR 25.000,--.
Auf andere bei der DSB geführte Verwaltungsstrafverfahren ist nach Ansicht des BVwG nicht Rücksicht zu nehmen.
Entscheidend ist vielmehr allein, ob die Behörde bei der Strafzumessung von dem ihr eingeräumten Ermessen iSd Gesetzes Gebrauch macht, nicht aber, ob die verhängte Strafe in ihrer Höhe jener entspricht, die in einem vergleichbaren Fall tatsächlich verhängt wurde (vgl. VwGH 19.2.2014, 2013/10/0206).
4.9.2020, Autor
Michael Schweiger, zert DSBA
Kommentar schreiben