privacy
Erste Millionenstrafe nach Inkrafttreten der DSGVO - aufgehoben!

Der Strafbescheid der Datenschutzbehörde gegen die Österreichische Post AG ging Herbst 2019 durch alle Medien. Die Post ermittelte die „Parteiaffinität“ von österreichischen Wählern und verkaufte diese Daten weiter. Das rief die zuständige Datenschutzbehörde auf den Plan. Sie verhängte aufgrund einiger Verstöße gegen die DSGVO ein Bußgeld von EUR 18 Millionen. Das Bundesverwaltungsgericht sieht das anders.

Wahlgeheimnis und politische Einstellungen sind in Österreich traditionell sensible Themen. Umso größer das Medienecho, als die Datenschutzbehörde (DSB) ermittelte, dass ein Unternehmen mittels Algorithmus eine „Affinität“ von Wählern zu politischen Parteien ermittelt hatte. Es handelte sich nicht um irgendein Unternehmen, sondern um die Österreichische Post AG – ein ehemals staatliches und nun börsenotiertes Großunternehmen.

Damit nicht genug: Die Informationen über die politische Affinität wurden gespeichert und an Dritte verkauft.

Die DSB warf der Post die Verarbeitung dieser Daten ohne Einwilligung der betroffenen Personen vor. Thema im Verfahren waren auch die – oft stiefmütterlich betrachteten – Nebenpflichten aus der DSGVO, wie Informationspflichten, die Pflicht zur Führung eines ordnungsgemäßen Verzeichnisses von Verarbeitungstätigkeiten oder die Durchführung einer Datenschutz-Folgenabschätzung.

Die DSB stellte fest, dass die Post ohne Einwilligung die Daten unrechtmäßig verarbeitet hatte, verhängte ein Bußgeld von EUR 18.000.000,00 und verpflichtete die Post zum Ersatz der Verfahrenskosten in Höhe von EUR 1.800.000,00.

Dagegen erhob die Post Beschwerde an das Bundesverwaltungsgericht (BVwG). Die Post argumentierte, dass es sich bei den „Parteiaffinitäten“ nicht um Daten handle, sondern lediglich um „wahrscheinlichkeitsbezogene Durchschnittsberechnungen“, die keiner Person zugerechnet werden können.

Das BVwG folgte den Argumenten der Post nicht und hielt im August 2020 fest, dass es sich bei den Parteiaffinitäten sehr wohl um „Daten“ handelt. Dieses Erkenntnis ist nicht rechtskräftig: Die finale Antwort auf die Frage, ob es sich um Daten handelt, wird wohl erst der Verwaltungsgerichtshof oder sogar der Europäische Gerichtshof geben.

Im November 2020 verkündete das BVwG dann den Paukenschlag in dieser Causa: Das Gericht stellte das Verfahren gegen die Post weitgehend ein und hob das Bußgeld auf. Die Post muss weder die Millionenstrafe noch die Verfahrenskosten bezahlen.

Was war der Grund?

Der DSB unterlief ein schwerwiegender Fehler im Ermittlungsverfahren. Im österreichischen Verwaltungsstrafrecht werden Strafen grundsätzlich nur gegen natürliche Personen verhängt. Das betrifft vor allem Geschäftsführer von Unternehmen.

Die DSGVO und das österreichische Datenschutzgesetz (DSG) sehen eine Ausnahme vor, nämlich dass Bußgelder auch direkt gegen juristische Personen verhängt werden können – wie eben die Österreichische Post AG.

Der Verwaltungsgerichtshof sagt: Das geht allerdings nur dann, wenn dieser juristischen Person ein „tatbestandsmäßiges, schuldhaftes und rechtswidriges Verhalten“ einer natürlichen Person zugerechnet werden kann. Diese Person muss namentlich bezeichnet werden und es müssen Ermittlungshandlungen gegen diese Person gesetzt werden.

Die DSB hätte im Ermittlungsverfahren und im Strafbescheid klarstellen müssen, dass das „Vorstandsmitglied X“ und/oder die „Verantwortliche Y“ schuldhaft gegen Datenschutzrecht verstoßen haben und dass dieses Verhalten der Post zurechenbar ist.

Die DSB hat das verabsäumt und Ermittlungshandlungen nur gegen das Unternehmen Österreichische Post AG gesetzt, nicht aber gegen deren Vorstandsmitglieder oder sonstige Verantwortliche. Aufgrund dieses Formalfehlers ist die verhängte Strafe hinfällig.

Der Fall zeigt, dass auch Behörden Fehler machen – die sich ganz gravierend auswirken. Er zeigt auch, dass präzise Ausführungen in Beschwerden oft Erfolg haben.

Unsere Tipps:

  • Setzen Sie ein risikobasiertes Datenschutzkonzept um. Beim KMU ist das Risiko meist überschaubar, beim Großunternehmen kann es komplexe Themen geben.

  • Schaffen Sie klare Zuständigkeiten und Verantwortlichkeiten im Unternehmen.

  • Der Fall „Post“ zeigt: Auch horrende Strafen können mit guten Argumenten erfolgreich bekämpft werden.

  • Vertrauen Sie auf unsere Expertise im IT-Bereich, Datenschutz und Verwaltungsrecht.

Veröffentlicht am