Verfassungsgericht bestätigt: Verwaltungsbehörden dürfen Geldstrafen in Millionenhöhe verhängen

Das neue österreichische Datenschutzregime sieht bekanntermaßen vor, dass die exorbitant hohen Geldstrafen von bis zu EUR 20 Mio bzw 4% des weltweiten Konzernumsatzes ab dem 25.5.2018 von der Datenschutzbehörde selbst verhängt werden sollen. Gegen diese neue Strafkompetenz gab es aufgrund der Strafhöhe massive verfassungsrechtliche Bedenken. Nun hat der Verfassungsgerichtshof (VfGH) allerdings in einem Parallelsachverhalt klargestellt, dass auch Behörden Geldstrafen in Millionenhöhe verhängen dürfen:

Wie das Datenschutzteam von DORDA bereits in der Vergangenheit berichtet hat (siehe zB hier), basiert das System der Verhängung von Geldbußen im neuen DSG 2018 (§ 30 DSG 2018 in der Fassung Datenschutz-Anpassungsgesetz 2018) auf der nahezu identischen Regelung des § 99d Bankwesengesetz (BWG). Diese sieht im Wesentlichen vor, dass die FMA bei Verstößen gegen das BWG Geldbußen bis zu 10% des Konzernjahresumsatzes und damit in Einzelfällen auch in Millionenhöhe verhängen kann. Bereits seit Ende 2016 war beim VfGH ein Verfahren zur Überprüfung der Verfassungsmäßigkeit dieser Regelung anhängig. Dabei ging es insbesondere um die Frage, ob die Verhängung derart hoher Strafen die Zuständigkeit der (Straf-)Gerichte (und eben nicht einer Verwaltungsbehörde) erfordert. In seiner älteren Rechtsprechung sprach der VfGH nämlich schon aus, dass bereits deutlich geringere Strafen – konkret ging es um rund EUR 145.000 – nur in einem ordentlichen Gerichtsverfahren verhängt werden dürfen (umgerechnet rund EUR 145.000,- im Jahr 1995: VfSlg 14.361/1995).
 
Nun hat der VfGH kurz vor dem Stichtag der Anwendbarkeit der DSGVO über die Zulässigkeit des § 99d BWG entschieden und weicht überraschenderweise gänzlich von seiner bisherigen Rechtsprechung ab: Demnach sei die Verhängung von Geldstrafen von bis zu mehreren Millionen Euro durch Verwaltungsbehörden zulässig (Volltext der Entscheidung hier). Das Höchstgericht begründet dies damit, dass die Höhe der angedrohten Sanktion alleine nicht maßgebend sei. Schließlich bestehe durch das 2014 eingeführte Rechtsmittel der Beschwerde gegen Strafbescheide erster Instanz ausreichender Rechtsschutz: So entscheidet nunmehr  in zweiter Instanz das Verwaltungsgericht durch unabhängige und weisungsfreie Richter. Damit sei das Strafensystem auch europarechtlich zulässig.
 
Damit hat der VfGH dem Grunde nach klargestellt, dass Verwaltungsbehörden rechtskonform Strafen in Millionenhöhe verhängen können. Die Entscheidung hat aufgrund der parallelen Situation unter dem neuen Datenschutzregime und der ausdrücklichen Bezugnahme des DSG 2018 auf § 99d BWG auch eine unmittelbare Auswirkung auf die Beurteilung der Strafkompetenz der Datenschutzbehörde. Es ist daher davon auszugehen, dass die Verhängung der Geldbußen nach der DSGVO bzw dem DSG 2018 in der vorgesehenen Behördenstruktur (also einer Verwaltungsbehörde, die gleichzeitig Ankläger und Richter ist) und in der vorgeschriebenen Höhe prinzipiell zulässig ist.
 
Dennoch sind mit der Grundsatzentscheidung nicht alle Bedenken gegen die Strafbestimmungen des neuen Datenschutzregimes ausgeräumt: Im Vergleich zum Bankenrecht beträgt der zukünftige Strafrahmen bei Datenschutzverstößen nämlich ganz unabhängig vom Konzernumsatz auch bei kleinen Gesellschaften (und sogar bei Einzelunternehmern) bis zu EUR 20 Millionen. Die Verhängung von umsatzunabhängigen und existenzbedrohenden Millionenstrafen durch die Datenschutzbehörde könnte daher – zumindest in Einzelfällen – unzulässig und damit in Summe verfassungswidrig sein.
 
Die Bestätigung der Zulässigkeit des Strafsystems verleiht der korrekten und zeitgerechten Umsetzung der notwendigen Maßnahmen unter der DSGVO zusätzliche Brisanz. Umso mehr ist darauf zu achten, die verbleibende Zeit effizient und zielgerichtet zu nutzen.

KEIN SCHUTZ VON DATEN JURISTISCHER PERSONEN NACH DER DSVGO

Just während sich die Unternehmen in der heißen Phase der Vorbereitung der Umsetzung der ab 25.5.2018 anwendbaren DSGVO befinden, gibt es aktuell Aufregung um die Frage, welche Daten überhaupt geschützt sind: Während das alte österreichische Datenschutzregime bis zum Inkrafttreten der DSGVO die Daten natürlicher und juristischer Personen unterschiedslos erfasst, behandelt die DSGVO wie berichtet rein Daten natürlicher Personen. Damit würde das österreichische Spezifikum, dass auch Daten von Unternehmen dem strengen Datenschutz unterliegen, entfallen. Die Erleichterung über diesen Umstand war in Österreich sehr groß, da im internationalen Vergleich die schärferen Bestimmungen oftmals ein Hemmschuh ohne Zusatznutzen waren: So war es angesichts der zahlreichen Veröffentlichungspflichten von Unternehmenskennzahlen überhaupt fraglich, an welchen Daten ein schutzwürdiges Geheimhaltungsinteresse bestehen kann. Dort, wo Unternehmen regelmäßig ein Schutzinteresse haben – nämlich Know-How – liegt in der Regel kein personenbezogenes Datum im Sinne des DSG vor. Dem berechtigten Geheimhaltungsinteresse an diesen Informationen wird zukünftig durch eine eigene, darauf zugeschnittene Richtlinie, nämlich die bis 9.6.2018 umzusetzende Geheimnisschutzrichtlinie, genüge getan. Damit besteht auch faktisch kein Bedarf an einem strengen Datenschutz für Daten juristischer Personen.
 
Durch eine Posse rund um die Erlassung des österreichischen Datenschutzgesetzes 2018, mit dem einerseits diverse Öffnungsklauseln der DSGVO umgesetzt und andererseits der nationale Rechtsrahmen an die neuen europäischen Vorgaben angepasst werden sollte, erhält die neue Struktur des Daten- und Geheimnisschutzes allerdings Risse: Der ursprüngliche Entwurf des DSG Neu sah eine komplette Neufassung des Gesetzes vor, bei der § 1 DSG 2000 – das Grundrecht auf Datenschutz – auf natürliche Personen eingeschränkt werden sollte. Wegen dem jähen Ende der alten Koalition konnte dieses Gesetz wie berichtet (siehe hier) mangels Verfassungsmehrheit so nicht umgesetzt werden. Stattdessen wurden mit der Novelle nur die einfachgesetzlich abänderbaren Bestimmungen des alten DSG 2000 angepasst. Das Grundrecht auf Datenschutz wurde nicht angefasst und verblieb in seiner bisherigen Formulierung als Recht für Jedermann – und damit auch juristische Personen – aufrecht. In einer sich wie ein Lauffeuer verbreitenden, informellen Einschätzung des Verfassungsdienstes leitet dieser nun daraus ab, dass das einfachgesetzliche Datenschutzregime auch zukünftig voll umfänglich auf Daten juristischer Personen anwendbar sein solle. Das ist freilich unrichtig:
 
Das DSG neu ordnet in keiner Bestimmung die Anwendung der DSGVO oder der einfachgesetzlichen Bestimmungen des DSG 2018 auf die Daten juristischer Personen an. Das wäre für die Ausdehnung des Schutzes aber erforderlich gewesen. Im Gegenteil hat der Gesetzgeber zum Ausdruck gebracht, rein die notwendigen Umsetzungsmaßnahmen für die DSGVO mit ihrem eingeschränkten Geltungsbereich setzen zu wollen. Zu guter Letzt ist der historische Wille des Gesetzgebers auf Einschränkung des Schutzes durch den ursprünglichen, rein an den realpolitischen Gegebenheiten gescheiterten Versuch der Einschränkung sogar des Grundrechts auf Datenschutz auf natürliche Personen belegt. Aus der rein faktischen, der realpolitischen Situation geschuldeten Aufrechterhaltung des weiteren Grundrechts auf Datenschutz kann daher nicht auch auf eine – analoge – Anwendung der strengeren Bestimmungen der DSGVO auf Daten juristischer Personen abgeleitet werden. Bei den Strafbestimmungen wäre eine solche Ausdehnung sogar verfassungsrechtlich unmöglich.
 
Freilich entfaltet der noch im Gesetz verbliebene Grundrechtsschutz eine eingeschränkte Wirkung in Form eines Datenschutz "light" für Daten juristischer Personen: Bei tatsächlich vorliegendem schutzwürdigem Geheimhaltungsinteresse ist ihre Verarbeitung nur unter den in § 1 DSG genannten Zulässigkeitsvoraussetzungen wie Vorliegen eines überwiegenden berechtigten Interesses, einer gesetzlichen Grundlage oder Einwilligung der juristischen Person zulässig. Auch stehen juristischen Personen die grundlegenden Betroffenenrechte zu. Die wesentlich weitergehenden Bestimmungen der DSGVO, wie die Pflicht zur Führung des Verarbeitungsverzeichnisses, die Datenschutz-Folgeabschätzung oder Melde- und Informationspflichten sind auf die Daten juristischer Personen dagegen nicht anwendbar, ebenso wenig wie juristische Personen die nach der DSGVO weitergehenden Betroffenenrechte ausüben können. Damit bleibt es trotz der realpolitischen Panne bei einer wesentlichen Erleichterung bei der Verarbeitung von Daten juristischer Personen und müssen diese bei den umfangreichen DSGVO-Projekten nicht auch noch berücksichtigt werden. Angesichts der Komplexität der Zusammenhänge und der dadurch aufgetretenen Verunsicherung bleibt aber zu hoffen, dass der Gesetzgeber nun rasch eingreift und dieses Thema auch legistisch sauber saniert.