Aufmerksamen Lesern des Blog wird nicht entgangen sein, dass es gar nicht so einfach für die Datenschutzbehörde eine juristische Person wegen des Verstoßes gegen die DSGVO zu verurteilen und eine DSGVO-Strafe iSd Art 83 DSGVO zu verhängen. Dies liegt am österreichischen Prozessrecht, dem Verwaltungstrafgesetz (VStG)
Die Rechtssatzkette der Entscheidung zur Strafbarkeit der juristischen Person nach Art 83
DSGVO
Die RS-Kette der Entscheidung des VwGH zum Thema der „Verbandshaftung für Geldstrafen nach DSGVO“ (Ro 2019/04/0229 vom 12.05.2020) in der Angelegenheit „Videoüberwachung Wettlokal“ (die erste Geldstrafe der DSB im Herbst 2018 und in Europa überhaupt nach der DSGVO, aufgehoben durch das BVwG am 19.08.2019) veranschaulicht die Thematik, wobei die Hervorhebungen vom Verfasser stammen:
1. „Bis zum Inkrafttreten der DSGVO und deren (unmittelbare) Geltung sowie des DSG traf juristische Personen für Verstöße von ihnen zurechenbaren natürlichen
Personen gegen das bis dahin geltende DSG 2000 keine direkte strafrechtliche Verantwortlichkeit und Sanktionsmöglichkeit.
Es bestand lediglich das Konzept der Verantwortlichkeit für juristische Personen nach § 9 VStG mit der Haftung für die über die zur Vertretung nach außen Berufenen oder über einen verantwortlichen Beauftragten verhängten
Geldstrafen und die Verfahrenskosten nach § 9 Abs. 7 leg. cit. zur ungeteilten Hand als vom rechtskräftigen und vollstreckbaren Strafausspruch gegen diese natürlichen Personen abhängige
"kriminelle Bürgschaft" und nicht als Strafe (vgl. VwGH 22.5.2019, Ra 2018/04/0074, 0075, Rn. 9, mwN). Wie in den Gesetzesmaterialien zum DSG, BGBl. I Nr. 120/2017, (ErläutRV 1664
BlgNR 25. GP 10), dargelegt, war somit unter anderem eine Regelung, unter welchen Voraussetzungen Geldbußen gegen juristische Personen verhängt werden können, erforderlich.
Dabei orientiert sich die in § 30 DSG geregelte Verhängung von Geldbußen gegen juristische Personen an der Regelung des § 99d des Bankwesengesetzes (BWG), BGBl. Nr. 532/1993.“
Bis zum 25.05.2018 kannte man in Österreich daher keine Verwaltungsstrafe wegen Verletzung datenschutzrechtlicher Vorschriften. Wie bei anderen Verwaltungsübertretungen zB StVO, Überladungen von LKW, Arbeitszeitverletzungen, Unterentlohnung, Verletzung von gewerberechtlichen Vorschriften, kam es bei Verletzungen des DSG 2000 daher auch zu Verwaltungsstrafen gegen den/die (zuständigen) Geschäftsführer oder Vorstände bzw. etwaige sog. verantwortliche Beauftragte iSd § 9 VStG, die für die Überwachung der konkreten Rechtsvorschriften bei der juristischen Person explizit (intern) benannt bzw. bestellt waren.
2. „Auf das behördliche Verfahren der Datenschutzbehörde für die Verhängung von Geldbußen nach Art. 83 DSGVO findet
gemäß Art. I Abs. 1 und Abs. 2 Z 2 iVm Art. II EGVG das VStG Anwendung. Dies gilt insoweit, als die DSGVO nicht speziellere Regelungen vorsieht.
Die Bestimmungen des § 30 Abs. 1 bis 3 DSG sind erforderlich, um die vollständige Durchsetzung des Art. 83 DSGVO im nationalen Recht sicherzustellen, weil das VStG nur das Verfahren für die Strafbarkeit natürlicher Personen regelt;
Art. 83 DSGVO unterscheidet hingegen nicht zwischen von juristischen und von natürlichen Personen begangenen Verstößen (vgl.
Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG (2018), Seite 210; Illibauer in Knyrim (Hrsg.), DatKomm Art. 83 Rz 124 (Stand Oktober 2018)).
§ 30 Abs. 1 und 2 DSG beinhalten keine Verfahrensnormen, sondern an § 99d BWG orientierte Zurechnungsregeln für die Verhängung von Geldbußen nach der DSGVO gegen juristische Personen. Insofern bezieht sich § 30 DSG nicht auf Art. 83 Abs. 8 DSGVO, wonach die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß dieser Bestimmung angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen muss.“
Art 83 DSGVO sieht vor, dass die „juristische Person“ selbst eine Geldstrafe erhalten kann. Dies ist zwar für das österreichische Verwaltungsverfahren nicht neu, da es eine ähnliche Art der Verantwortlichkeit auch im BWG.
3. „Anders als die Verbandsverantwortlichkeit nach dem VbVG, das in § 3 die Verantwortlichkeit eines Verbandes für von einem seiner Entscheidungsträger (Abs. 2) bzw. von einem seiner Mitarbeiter begangenen Straftaten regelt, sind § 30 DSG sowie § 99d BWG nicht von verfahrensrechtlichen Bestimmungen flankiert und findet sich auch sonst kein besonderes Verfahrensrecht für das Verwaltungsstrafverfahren gegen juristische Personen (vgl. VwGH 29.3.2019, Ro 2018/02/0023, Rn. 16 und 17, zu § 99d BWG).“
Die DSGVO enthält keine Verfahrensvorschriften zur Verhängung von Geldbußen gegen juristische Personen und auch in § 30 DSG sind keine besonderen Verfahrensvorschriften genannt, sodass die Verfahrensvorschriften aus dem VStG gelten. § 30 DSG ist nur eine Zurechnungsregelung.
Anders ist das im Verbandsverantwortlichkeitsgesetz, das die strafrechtliche Verantwortung von „Verbänden“, zB auch juristischen Personen regelt.
Im VStG ist jedoch der Tatvorwurf immer einer bestimmten Person zu machen, die die Tat entweder selbst begangen hat, oder der ein gewisses Organisationsverschulden zur Last gelegt werden kann, das zur Tat geführt hat.
4. „Auf die Verhängung von Geldbußen gemäß Art. 83 DSGVO findet das VStG insofern Anwendung, als die DSGVO
im Rahmen des Anwendungsvorranges nicht speziellere Regelungen vorsieht.“
5. „Die vom Verwaltungsgerichtshof zur Bestimmung des § 99d Abs. 1 und 2 BWG (die die Strafbarkeit juristischer Personen für ihr zurechenbares Verhalten von natürlichen Personen
weitgehend ident mit § 30 Abs. 1 und 2 DSG regelt) ergangene Rechtsprechung vom 29. März 2019, Ro 2018/02/0023, betreffend die
Bestimmtheit der Verfolgungshandlung iSd §§ 31 und 32 VStG bzw. der Bestrafung iSd § 44a VStG ist auch für die Rechtsfrage, inwiefern für die Bestrafung einer juristischen Person wegen
Verstößen gegen die DSGVO bzw. das DSG gemäß § 30 DSG die zur Beurteilung eines tatbestandsmäßigen, rechtswidrigen und schuldhaften
Verhaltens erforderlichen Feststellungen zu treffen sind und im Spruch gemäß § 44a VStG tatbestandsmäßiges, rechtswidriges und schuldhaftes Verhalten einer namentlich genannten natürlichen Person
aufzunehmen ist, heranzuziehen.“
6. „Im Gegensatz zur Verhängung von Geldbußen wegen Verstößen gegen unionsrechtliche Wettbewerbsregeln handelt es sich bei den von der Aufsichtsbehörde eines
Mitgliedstaates für Verstöße gegen die DSGVO gemäß Art. 83 Abs. 4 bis 6 DSGVO zu verhängenden Geldbußen um strafrechtliche Sanktionen
(vgl. Erwägungsgrund 150 der DSGVO). Überdies muss gemäß Art. 83 Abs. 8 DSGVO anders als hinsichtlich der Befugnis der Europäischen Kommission
zur Verhängung von Geldbußen für Verstöße gegen das Wettbewerbsrecht der Europäischen Union die Ausübung der Sanktionsbefugnis der Aufsichtsbehörde des einzelnen Mitgliedstaates nicht nur
angemessenen Verfahrensgarantien des Unionsrechts (etwa der GRC), sondern auch solchen des Rechts der Mitgliedstaaten unterliegen. Insofern ist die Verhängung von Geldbußen durch die
Europäische Kommission wegen Verstößen gegen das Wettbewerbsrecht der Europäischen Union nicht vergleichbar mit der Verhängung von Geldbußen durch die Aufsichtsbehörde eines Mitgliedstaates wegen
Verstößen gegen die DSGVO gemäß Art. 83 Abs. 4 bis 6 DSGVO.“
Da die Geldbuße nach Art 83 DSGVO nicht von einer EU-Behörde selbst (wie der
EU-Kommission im Falle von Werbewerbsverstößen) verhängt wird, und die Strafe tatsächlich Sanktionscharakter (Strafcharakter) hat, sind nicht nur die angemessenen Verfahrensgarantien des
Unionsrechts selbst, sondern auch die nationalen, besonderen Verfahrensregeln für verwaltungsstrafrechtliche Verfahren als Grundlage der Art und Weise heranzuziehen, wie in einem
Mitgliedstaat Geldbußen gegen juristische Personen verhängt werden können.
7. „Vorliegend hat die Datenschutzbehörde im Spruch des Straferkenntnisses die natürliche Person, deren Verstoß gegen die DSGVO bzw. das DSG der im Sinne des
Art. 4 Z 7 DSGVO verantwortlichen GmbH zugerechnet werden soll, nicht benannt.
Damit würde im Verwaltungsstrafverfahren gegen die juristische Person die Konkretisierung der natürlichen Person, für deren tatbestandsmäßiges Verhalten die juristische Person zur Verantwortung
gezogen wird, erst im Beschwerdeverfahren eine unzulässige Änderung des Tatvorwurfs und der Sache des Verfahrens im Sinne des § 50 VwGVG darstellen. Die DSGVO hat auch einen „extraterritorialen“
Anwendungsbereich, sofern durch Verantwortliche außerhalb der EU Verarbeitungen von personenbezogenen Daten von betroffenen Personen erfolgen.“
Wenn im gesamten Verfahren keine natürliche Person durch die Behörde „ausgemacht“ wird, die für die Tatbegehung iSd § 30 DSG verantwortlich ist, und diese auch als Beschuldigter (mit allen Rechten und auch Pflichten, die sich daraus ergeben) im Verfahren geführt wird, dann ist es nicht möglich, in der nächsten Instanz dies „nachzuholen“.
Wenn ein Bescheid auf einem Ermittlungsverfahren beruht, und keine natürliche Person als „Täter“ oder „Verantwortlicher“ identifiziert wurde, und dennoch ein Bescheid mit der Verhängung der Geldstrafe gegen die juristische Person erlassen wird, dann ist dieser rechtswidrig und (in der nächsten Instanz) aufzuheben.
11.06.2021, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben