Am 28. Januar 2021 war der europäische Datenschutztag. Rückblickend darauf, schrieb Sabine Proßnegg, Lehrende am Institut “Internet-Technologien & -Anwendungen” einen Blogbeitrag mit dem Thema “Die Post bringt allen was … “.
Die Post bringt allen was ...
Kürzlich war in einigen Medien (etwa im online Format DerStandard, eingesehen am 27.01.2021) zu lesen, dass die Post nun keine Strafe in Höhe von 18 Mio. zuzüglich Verfahrenskosten wegen der – doch schwerwiegenden – Datenschutzverletzungen zu befürchten hat. Im Artikel heißt es weiter, dass das Bundesverwaltungsgericht zur Ansicht gelangt war, dass nur eine natürliche Person als Täterin rechtswidrig und schuldhaft, sowie der juristischen Person zurechenbar gehandelt haben kann. Die Behörde ist hingegen (nur) gegen das Unternehmen selbst und damit gegen eine juristische Person vorgegangen.
Neues Denken in vielerlei Hinsicht
Tatsächlich bringt das Datenschutzrecht ein völlig neues Denken in vielerlei Hinsicht. Eine umfassende Risikoabwägung etwa, ein Umdenken im gesamten Unternehmen in Hinblick auf Datenschutz, da nicht nur rechtliche, sondern auch organisatorische, prozessuale und vor allem technische Maßnahmen (Stichwort TOMs) umzusetzen sind. Datenschutz als ein - immer wichtiger werdendes - Grundrecht ist mehrfach genannt, im Artikel 8 Abs 1 der Charta der Grundrechte der Europäischen Union, im Artikel 1 der Datenschutzgrundverordnung der EU (DSGVO) einschließlich der Erwägungsgründe 1 bis 4 und auch im § 1 des österreichischen Datenschutzgesetzes (DSG). Datenschutz hat einen neuen Stellenwert erlangt, so zumindest die Annahme. Personenbezogene Daten genießen also, insbesondere laut DSGVO, einen umfangreichen Schutz vor unberechtigter Verarbeitung, die Einwilligung im Sinne einer digitalen Souveränität als Teil unseres Persönlichkeitsschutzes ist die zentrale Voraussetzung geworden, dass vor allem Unternehmen und Vereine solche Daten überhaupt verarbeiten dürfen. Angesprochen ist hier auch das Vertrauen, eine Grundvoraussetzung dafür, dass die digitale Transformation in der angestrebten Geschwindigkeit und Tiefe vollzogen werden kann.
Nun ist der Sachverhalt bei der Post klar und unbestritten
Die Vorgangsweise derselben hat zweifellos große Empörung ausgelöst: ein teilstaatliches Unternehmen, ein ehemaliger staatlicher Monopolist, wertet personenbezogene Daten wie Spendenaffinität, Bioaffinität, Partnerschaft, Jahreseinkommen, Erwerbsart, Qualifikation, Konsumorientierte Basis, Nachtschwärmer, Paketfrequenz (Anzahl der Pakete in einem bestimmten Zeitraum), Umzugsaffin, Investmentaffin, Lebensphase im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“ unrechtmäßig und im großen Stile aus. Aber nicht nur „normale“ personenbezogene Daten wurden verarbeitet, auch Daten, die unter die besondere Kategorie, und damit unter besonders schützenswerte personenbezogene Daten gemäß Art 9 DSGVO fallen, wie die „Parteiaffinitäten“ wurden im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“ unrechtmäßig verarbeitet und damit Erlöse lukriert, siehe BVwGer vom 16.11.2020, W258 2227269-1/14E. Daher wurde die Strafe der Datenschutzbehörde Straferkenntnis vom 12.9.2018, DSB-D550.038/0003-DSB/2018 von DatenschützerInnen (DSB) als erster Meilenstein unserer sonst im Europäischen Vergleich eher unterbesetzen (siehe Bericht der Datenschutzbehörde) und nicht geraden „lauten“ Datenschutzbehörde gefeiert. Allerdings war die Freude verfrüht. Ein Formalfehler beendete die vermeintliche Erfolgsgeschichte. Die DSGVO sieht zwar ein Vorgehen gegen juristische und natürlich Personen vor, der österreichische Verwaltungsgerichtshof (VwGH) hat aber im Mai 2020 mit Erkenntnis vom 12.05.2020, Ro2019/04/0229 entschieden, dass die juristische Person nicht zur Verantwortung gezogen werden kann, da es die DSB im Verwaltungsstrafverfahren unterlassen habe, jeweils einen Tatvorwurf gemäß § 30 Absatz 1 und 2 DSG gegen konkrete Personen mit zu richten, die maßgeblicher Einfluss auf die Geschäfte der juristischen Person zukomme (Führungspersonen) und deren eigenes schuldhaftes Handeln (Tun, Unterlassen oder mangelnde Überwachung) sich die juristische Person zurechnen lassen müsse. Das hat nun weitreichende Folgen für die Vollziehung der Strafbestimmungen der DSGVO. Das BVwG beruft sich dabei auf jüngste Rechtsprechung des VwGH zu §99d des Bankwesengesetzes (BWG) (Erkenntnis vom 29.3.2019, Ro2018/02/0023) (Michael Suda, Stand: 08.06.2020, Gastbeitrag - VwGH zur Strafbarkeit der juristischen Person, eingesehen am 27.01.2021)
War dieses Ergebnis zwingend?
Wohl nicht (siehe auch Michael Suda, Stand: 08.06.2020, Gastbeitrag - VwGH zur Strafbarkeit der juristischen Person, eingesehen am 27.01.2021). Das Gericht hätte auch der Argumentation der DSB mit dem Verweis auf das Wettbewerbsrecht folgen können, wonach auch gegen eine juristische Personen Geldbußen verhängt werden können, wobei es laut Rechtsprechung des EuGH (insbesondere Urteil vom 18.9 2003, C-33 8/00P, Volkswagen/Kommission) dort nicht erforderlich ist, einer konkret benannten natürlichen Person ein Fehlverhalten vorzuwerfen oder nachzuweisen. Auch dem Argument des Verbandsverantwortlichkeitsmodell „sui generis“ (Illibauerin in Knyrim (Hg) DatKomm Art83 DSGVO (Stand 1.10.2018, rdb.at), Randnummer20, mwN), wonach §30 DSG mangels Öffnungsklausel unangewendet bleiben müsse wurde nicht gefolgt. Nicht einmal eine Vorabentscheidung gemäß Artikel 267 AEUV (Vertrag zur Arbeitsweise der EU) an den Europäischen Gerichtshof (EuGH) wurde gestellt, obwohl es in anderen Mitgliedsstaaten der EU durchaus wie in Frankreich (https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042040546/, eingesehen am 27.01.2021) oder auch in Deutschland (LG Bonn, Urteil vom 8.12.2020) anders gehandhabt wird. Gerade im Datenschutz als zentrales Grundrecht ist und Kern eines digitalen Europas ist größtmögliche Einheitlichkeit, angestrebt gerade durch die Verordnung (im Gegensatz zur vorangegangenen Richtlinie) unabdingbar.
Wie vorab angeführt, betrifft Datenschutzrecht immer das gesamte Unternehmen bzw. die gesamte Organisation. Die Sorge, dass nun wieder genau die großen und undurchsichtigen Unternehmen mit unklaren Strukturen und Verantwortlichkeiten davon am meisten profitieren werden, ist nicht unberechtigt. Die weitere Entwicklung hier in Österreich bleibt abzuwarten. Hoffen wir, dass es nicht nur ein weiteres Mosaikteilchen bei der Aushöhlung des Datenschutzrechts in Österreich ist.
Sie sind an weiteren Blogartikeln von Sabine Proßnegg interessiert? Dann schauen Sie sich doch die Beiträge zu den Themen "Corona-App – harmlos oder beängstigend?" und "Datenschutz Seekabel von Europa nach Amerika" an.
Bewirb dich jetzt, dank des flexiblen Aufnahmeverfahrens, für das nächste Studienjahr.
Mehr zum Studium "IT-Recht und Management" erfahren Sie auf der Studiengangsseite.