Das Bundesverwaltungsgericht (BVwG) hat im Verfahren der Datenschutzbehörde (DSB) gegen die Post in drei Teilerkenntnissen entschieden: BVWG_W258 2217446-1; W258 2217446-1; BVG_W258 2227269-1.
Die DSB hatte mit Bescheid vom 23.10.2019, GZ DSB-D550.148/0017-DSB/2019 gegen die Post eine Geldbuße in der Höhe von 18 Millionen Euro verhängt. Dieses Erkenntnis wurde nun (teilweise) aufgehoben. Die Post muss die Strafe also nicht zahlen – eine außerordentliche Revision dürfte von der DSB nicht erhoben werden. Das BVwG hat in diesem Verfahren schon in zwei weiteren Teilerkenntnissen entschieden.
Die Post hatte Daten über die wahrscheinliche Parteiaffinität von natürlichen Personen gespeichert und damit unter dem Gewerbe Adresshandel (§ 151 GewO) gehandelt bzw. diese weiterverkauft (Listbrokering).
Das BVwG hat die Strafe im dritten der drei Teilerkenntnisse aufgehoben, weil die DSB das Verfahren formal nicht richtig geführt habe. Die DSB hätte, so das BVwG, die natürlichen Personen, die die Verletzung verschuldet haben, identifizieren und ausfindig machen, sowie eine Zurechnung zur juristischen Person Post herstellen müssen, um diese der Post als juristische Person zuzurechnen, um dann die Geldbuße gegen die Post zu verhängen. Erst jüngst hatte der VwGH in einem anderen, jedoch grundsätzlich vergleichbaren, Verfahren (12.05.2020, Ro 2019/04/0229) bestätigt, dass andernfalls eine Geldbuße gegen eine juristische Person nicht wirksam verhängt werden kann.
Bemerkenswert ist, dass das BVwG sehr klare und harte Worte zur materiellen Rechtsfrage bzw. zur Verletzung des Datenschutzrechts der Betroffenen und die postinterne rechtliche Analyse dazu findet. Die Informationen über die Parteiaffinität sind – selbst wenn sie (nur) Wahrscheinlichkeitsinformationen sind – nach Ansicht des BVwG (und auch zuvor der DSB) Daten besonderer Kategorie gemäß Artikel 9 Abs 1 DSGVO. Das BVwG vermisst die notwendigen Voraussetzungen, die die DSGVO für die Verarbeitung dieser Daten einfordert (Einwilligung etc).
Das BVwG geht darüber hinaus auch auf die beteiligten Personen bei der Post und den diesen konkret vorwerfbaren Handlungen in dem Fall ein, nämlich die Datenschutzbeauftragte, die Leiterin der Rechtsabteilung und auch den Vorstand. Alle hätten grob fahrlässig gehandelt. Es sei zwar eine Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO durchgeführt worden. Dabei hätte die Datenschutzbeauftragte eine falsche rechtliche Beurteilung getroffen (Parteiaffinität sind unbedenkliche Informationen), sie hätte sich dazu der internen Rechtsabteilung bzw. einer externen Beratung bedienen müssen. Und weil sie das nicht getan hat, hätte es die Leiterin der Rechtsabteilung tun müssen.
Was lässt sich für die Praxis von Unternehmen und von Datenschutzbeauftragten daraus konkret ableiten?
Was lässt sich für die Praxis von Unternehmen und von Datenschutzbeauftragten daraus konkret ableiten?
- Sie müssen sich immer mit allen Fragen rund um eine Datenverarbeitung fundiert, schriftlich und nachvollziehbar auseinandersetzen.
- Datenschutzbeauftragte haben dabei eine wichtige Rolle, sie müssen kompetent sein und eine rechtlich belastbare Einschätzung vornehmen. Sie müssen aber auch ihre Grenzen kennen und sich internen oder externen Rat einholen, wenn es um schwierige Sachverhalte geht, die an ihre fachlichen Grenzen stoßen.
- Inwieweit dem Datenschutzbeauftragten selbst eine “Verantwortung” zukommt, wird in dem Teilerkenntnis nicht abschließend gesagt. Bisher geht man in Österreich davon aus, dass dem Datenschutzbeauftragten keine inhaltliche Verantwortung zukommt und er auch keine Verantwortung gemäß § 9 VStG tragen kann.
Diese Ansicht könnte durch diese Erkenntnis erschüttert sein. Jedenfalls ist zu bedenken, dass die DSGVO in Artikel 35 DSGVO klar vorschreibt, dass der Datenschutzbeauftragte bei Datenschutz-Folgenabschätzungen beizuziehen ist. Insofern kommt dem Datenschutzbeauftragten schon auch eine inhaltliche Rolle zu. Lässt sich daraus eine inhaltliche Verantwortung ableiten?
Es wird wohl (aus zivilrechtlicher Sicht) eine Art Sachverständigenhaftung nach §§ 1299 f ABGB in Betracht kommen (bei internen DSBA ist hier auch das Dienstnehmerhaftpflichtgesetz zu berücksichtigen), wird doch von einem Datenschutzbeauftragten eine gewisse rechtliche Expertise erwartet, wenn die DSGVO dessen Einbeziehung fordert, um eine risikoreiche Datenverarbeitung mittels DSFA gemäß DSGVO aufzusetzen. - Hier wurde eine Datenschutz-Folgenabschätzung durchgeführt, wobei es zu einer unrichtigen rechtlichen Beurteilung gekommen ist. Das bedeutet, dass man sich sehr genau die einzelnen Datenarten in Bezug auf den konkreten Zweck ansehen muss und fundiert begründen muss, zu welchen rechtlichen Einschätzungen man kommt.
Datenschutz-Folgenabschätzungen sind eigentlich dafür da, um eine Risikobewertung und in der Folge risikominimierende Maßnahmen vorzunehmen. Hier scheiterte es aber bereits an der rechtlichen Beurteilung der Sensibilität der Datenarten, wodurch eine entsprechende Risikobewertung einfach nicht stattfand.