Mit der Entscheidung Ro 2019/04/0229 vom 12.5.2020 hat sich der VwGH erstmals mit den Voraussetzungen der Strafbarkeit juristischer Personen bei Datenschutzverstößen nach dem neuen Regime der DSGVO bzw dem DSG auseinandergesetzt. Die Entscheidung konkretisiert nicht nur den Verfolgungsumfang der DSB, sondern klärt die Frage der Zurechenbarkeit von schuldhaften, DSGVO-widrigen Verhalten im Unternehmen:
Ausgangslage
Die DSB hat gegen einen Verantwortlichen einer Videoüberwachungsanlage aufgrund von DSG-Verstößen eine Verwaltungsstrafe verhängt. Aus dem Erkenntnis der DSB ging aber laut VwGH nicht konkret hervor, (i) welche natürliche Person das schuldhafte Verhalten gesetzt hat und (ii) ob dieses Verhalten dem Verantwortlichen zugerechnet wird.
Der Verantwortliche erhob daher Beschwerde beim Bundesverwaltungsgericht und brachte vor, dass die ihm angelastete Tat nicht ausreichend konkretisiert sei. Er hätte damit gar keine Möglichkeit gehabt, seine Verteidigungsrechte wahrzunehmen. Das Bundesverwaltungsgericht gab ihm Recht und hob das Straferkenntnis auf. Daraufhin legte die DSB Revision beim VwGH ein. Sie stützte sich dabei auf Art 83 DSGVO, der ein Verbandsverantwortlichkeitsmodell sui generis in Anlehnung an das EU-Wettbewerbsrecht vorsehe. Daher würde die Feststellung des Verstoßes bereits ausreichen. Der VwGH wies die Revision ab und folgte dem Bundesverwaltungsgericht:
Entscheidungsgründe des VwGH
Art 83 DSGVO begründet keine Sonderform der Verbandsverantwortlichkeit, sondern ermöglicht bloß die Verhängung von Geldbußen gegen juristische wie auch natürliche Personen. Da das VStG aber lediglich für natürliche Personen gilt, greifen die Zurechnungsregeln des § 30 DSG ein:
Juristische Personen können per se nicht selbst handeln. Ihre Bestrafung setzt daher voraus, dass (i) eine natürliche Person tatbestandsmäßig handelt und (ii) entweder eine Führungsposition bekleidet (§ 30 Abs 1 DSG) oder aufgrund eines Überwachungs- oder Organisationsverschulden des Verantwortlichen erst zur Begehung der Tat in der Lage war (§ 30 Abs 2 DSG). Liegt dies vor, wird das Verhalten der natürlichen Person dem Verantwortlichen zugrechnet. Für eine Verhängung einer Verwaltungsstrafe reicht ein pauschales Abstellen auf das Fehlverhalten der juristischen Person daher nicht aus. Vielmehr muss die natürliche, einen Verstoß setzende Person von der Verwaltungsstrafbehörde konkret bestimmt werden. Hierfür müssen die erforderlichen Feststellungen getroffen und im Spruch des Straferkenntnisses die Elemente für die Zurechnung des Verhaltens einer natürlichen Person enthalten sein.
Lessons learned
Eine Bestrafung einer juristischen Person wegen Datenschutzverstößen setzt somit zwingend die Zurechnung des tatbestandsmäßigen Verhaltens einer konkret zu benennenden natürlichen Person voraus. Dabei ist nach § 30 DSG zu unterscheiden:
- Abs 1 stellt auf Führungspersonen ab. Diesen kommt klassischerweise die Vertretungs-, Entscheidungs- oder Kontrollbefugnis innerhalb der Organisation des Verantwortlichen zu. In der Praxis sind davon daher regelmäßig der Vorstand, die Geschäftsführung, der Aufsichtsrat, die interne Revision und Prokuristen umfasst, nicht aber der Datenschutzbeauftrage. Letzterer hat schließlich eine rein beratende Funktion. Kommt es im worst case durch die Zurechnung zur Bestrafung der juristischen Person, schließt dies eine Doppelbestrafung der vertretungsbefugten Organmitglieder oder gewerberechtlichen Verantwortlichen nach § 9 VStG allerdings aus (§ 30 Abs 3 DSG).
- Abs 2 stellt auf fehlende Kontroll- und Überwachungsmaßnahmen ab. In der Praxis ist es daher besonders wichtig, entsprechende Weisungen, laufende Kontrollaktivitäten oder Schulungen nachvollziehbar zu dokumentieren, um sie im Anlassfall sauber nachweisen zu können.