DATENSCHUTZ: Sorgt Formalfehler für erhöhtes Risiko von Verantwortlichen wie Geschäftsführern und Vorständen?
Der sog. „POST-Bescheid“ aus 2019 samt „POST-Urteil“ aus 2020 sorgte für mehrere Erkenntnisse. Stand zuerst die Rekordstrafe im Mittelpunkt, führte der Freispruch folglich häufig zum „Schluss eines zahnlosen Datenschutzregimes“.
Was war nun der Grund für diesen Umbruch? Art 83 DSGVO versucht Verantwortliche zu gesetzeskonformen Abläufen zu bewegen. Ein Mittel dazu sind Strafen, die „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein sollen. In Österreich ist dieser Grundsatz im §30 DSG Abs 1 implementiert.
Der Bundesverwaltungsgerichtshof hat nun in seinem Teilerkenntnis zwar den „POST-Bescheid“ der DSB in der Sache bestätigt („…ist der Beschuldigten jedenfalls vorwerfbar“), das Verfahren aber eingestellt, weil keine natürlichen Personen als Schuldige bezeichnet wurden. Vorbild dafür ist die Finanzmarktaufsicht (FMA) samt §99d BWG. Dies wird auch in den Erläuterungen zu §30 DSG so ausdrücklich festgehalten: „Die Regelungen zur Verhängung von Geldbußen sind sehr ähnlich mit jenen des §99d BWG…“. Zu einer Bestrafung kommt es somit dann, wenn es einen Verstoß einer zur Vertretung der juristischen Person befugten Person gibt. Gemäß Gerichtshof ist die „genaue Umschreibung der Tathandlung der natürlichen Person“ für die Verfolgung der juristischen Person nötig. Gerade das war im „POST-Fall“ nicht gegeben.
Bedarf es somit immer des Schuldspruchs gegen die Führungskraft?
Nein, die natürliche Person wird wie die juristische Person zwar als Beschuldigter geführt, gemäß dem Erkenntnis des VwGH vom 29.03.2019, Ro 2018/02/0023 ist eine Verurteilung der natürlichen Person aber keine Voraussetzung für das Verfahren gegen die juristische Person.
Wird die natürliche Person automatisch bestraft, wenn die juristische Person bestraft wird?
Nein, gem. §30 Abs 3 DSG hat die DSB von der Bestrafung eines Verantwortlichen (iSv natürlicher Person) abzusehen, wenn bereits eine Verwaltungsstrafe gegen die juristische Person für das gleiche Vergehen verhängt wurde.
Fazit: Nachdem man aus Fehlern lernt (zumindest lernen sollte) ist zu erwarten, dass es bei künftigen Bußgeldbescheiden wohl regelmäßig eine natürliche Person geben wird, die gem. §30 DSG Abs 2 verfolgt wird. Die juristische Person wird wohl weiterhin die primäre Adresse für Geldbußen sein, es wird aber (häufig) ein Geschäftsführer, Vorstand oä mitbeschuldigt werden, da er/sie wegen unterlassener Aufsichtspflicht das Vergehen nicht verhindert hat.
Dadurch sollte die Motivation für eine regelmäßige, strukturierte Kontrolle eines ordentlichen unternehmerischen Datenschutzniveaus für Verantwortliche gehoben worden sein.
Insbesondere bei der Übernahme einer solchen Verantwortlichkeit (Bestellung zum/zur Geschäftsführer*in oder Vorstand) ist eine Überprüfung der ordnungsgemäßen Umsetzung und Kontrolle der Datenschutzmaßnahmen im Unternehmen dringend anzuraten, tritt man hier in dieses persönliche Mitbeschuldigtenrisiko ein.
Die ausscheidende Führungskraft sichert sich bestenfalls gegen verbleibende Risiken mit einer nachvollziehbaren Dokumentation der ordnungsgemäßen Wahrnehmung der Aufsichtspflicht ab.
Verfasser: Mag. Günther Zikulnig, DDSB.AT Beratung GmbH
04.07.2021
