Datenschutzstrafe auch ohne Schuld?
Das österreichische und das europäische Strafrecht sind vom Verschuldensprinzip geprägt. Ein Verfahren vor dem EuGH eröffnet die Möglichkeit, dass es bei Verstößen gegen die DSGVO darauf in Zukunft nicht mehr ankommt.
Nicht jedes rechtswidrige Verhalten ist zu bestrafen. Eine Strafe kann nur dann verhängt werden, wenn einer Person das rechtswidrige Verhalten auch persönlich zum Vorwurf gemacht werden kann, also wenn die Person zumindest fahrlässig oder sogar vorsätzlich handelt. Eine der regelmäßig auftretenden Kernfragen in Verwaltungsstrafverfahren in Zusammenhang mit der DatenschutzGrundverordnung lautet, ob ein Unternehmen, das einen Verstoß gegen die DSGVO verursacht hat, diesen auch zumindest fahrlässig verursacht hat.
Einem Unternehmen sind die Handlungen seiner Geschäftsführung in Ausübung ihrer Führungsposition zuzurechnen. Vorwerfbares Verhalten, das zur Bestrafung führen kann, liegt vor, wenn die Geschäftsführung selbst einen DSGVO-Verstoß vorsätzlich oder fahrlässig herbeiführt sowie wenn DSGVO-Verstöße aufgrund mangelnder Überwachung und Kontrolle der Einhaltung datenschutzrechtlicher Verpflichtungen im Unternehmen begangen werden.
Die Einrichtung eines Datenschutz-Compliance-Programms, mit dem die Bestimmungen der DSGVO im Unternehmen umgesetzt werden und die damit eingerichteten Prozesse
ENTSCHEIDUNGEN Anwalt darf sensible Daten von Gegner vorlegen
Wien – Ein Anwalt legte vor Gericht einen Arztbrief vor, der dem Prozessgegner Kokainkonsum bescheinigte. Wie der Anwalt zu den sensiblen Daten gekommen war, wollte er nicht bekanntgeben. Der Betroffene brachte daher eine Datenschutzbeschwerde gegen ihn ein, blieb allerdings erfolglos. Der Rechtsanwalt darf sich auf seine Verschwiegenheitspflicht berufen. (DSB 6.12.2021, 2020-0.774.665)
Inkassobüro muss Daten zu Verkehrsstrafe löschen
Pisa/Klagenfurt – Ein Kärntner war in Pisa zu schnell mit dem Auto unterwegs. Italien brummte ihm eine Verkehrsstrafe auf und beauftragte ein privates Inkassounternehmen mit der Eintreibung des Geldes in Österreich. Nach aktueller Rechtslage kommt das aber nicht mehr in Betracht. Das private Inkassobüro muss die Daten bezüglich der italienischen Verkehrsstrafe daher löschen. (DSB 11.6.2021, 2021-0.293.288)
und Kontrollmechanismen die Einhaltung der DSGVO mit gutem Grund erwarten lassen, ist somit unumgänglich. Eine ausreichende Datenschutz-Compliance-Organisation schließt die Annahme von Verschulden aus.
Nun könnte alles anders kommen. Das Kammergericht Berlin hat dem Europäischen Gerichtshof im Fall Deutsches Wohnen die Frage zur Vorabentscheidung vorgelegt, ob Verschulden für die Verhängung von DSGVO-Geldbußen relevant sein soll oder nicht. Der Immobilienkonzern soll Mieterdaten unrechtsmäßig gespeichert haben.
Kein Nachweis, keine Strafe
Bisher haben die europäischen Datenschutzbehörden – darunter auch die österreichische Datenschutzbehörde – DSGVO-Strafen nur dann verhängt, wenn das Unternehmen auch schuldhaft, also fahrlässig oder vorsätzlich, gegen die DSGVO verstoßen hatte. Das galt insbesondere bei unzureichender Datenschutz-Compliance-Organisation.
Nach dem Grundsatz der Unschuldsvermutung haben Datenschutzbehörden genauso wie Strafgerichte zum Verschulden entsprechende Ermittlungen anzustellen. Gelingt der Datenschutzbehörde ein derartiger Nachweis nicht, so ist das Verfahren nach dem allgemeinen Grundsatz „im Zweifel für den Angeklagten“einzustellen.
Damit könnte jetzt Schluss sein. Aus Anlass des Vorabentscheidungsverfahrens wurden auch in Österreich viele anhängige DSGVOVerwaltungsstrafverfahren bis zur Entscheidung des EuGH unterbrochen. Die Datenschutzbehörde wie auch die Gerichte warten ab, wie der EuGH urteilen wird.
Dass diese Frage überhaupt an den EuGH herangetragen wurde, verwundert. Die DSGVO geht sehr klar im Einklang mit dem in der EU vorherrschenden Verschuldensprinzip
von Verschulden als Voraussetzung für die Verhängung einer DSGVOGeldbuße aus. Es bedarf schon einiger juristischer Verrenkungen, um der DSGVO eine Abkehr vom Verschuldensprinzip zu unterstellen. Die vom Berliner Gericht im Zuge seiner Vorlage an den EuGH vorgebrachten Argumente, die für eine Abweichung vom Verschuldensprinzip sprechen sollen, finden weder eine Basis im Normtext, noch kann eine derartige Abweichung dem EU-Gesetzgeber unterstellt werden.
Würde der EuGH bejahen, dass es für die Verhängung einer DSGVOGeldbuße auf die Vorwerfbarkeit des konkreten Verstoßes nicht mehr ankommen würde, würden Ermittlungen und Feststellungen zur Schuldfrage vor der Datenschutzbehörde zulasten der Unschuldsvermutung nicht mehr benötigt werden. Die Feststellung des DSGVOVerstoßes würde zur Bestrafung bereits ausreichen. Auf die Frage, ob der DSGVO-Verstoß auch gewollt war oder aufgrund von vorwerfbarer Nachlässigkeit entstanden ist, würde es nicht mehr ankommen.
Folgen für die Verteidigung
Ob ein Unternehmen eine ausreichende Datenschutz-ComplianceOrganisation und entsprechende Datenschutzprozesse eingerichtet hat, wäre dann nur noch für die Höhe der Strafe relevant, nicht aber für die Grundsatzfrage, ob es überhaupt zu einer Bestrafung kommt. Sollte der EuGH zu dem Ergebnis gelangen, dass auch unverschuldete DSGVOVerstöße zu Geldbußen führen können, hat das nicht nur Auswirkungen auf Datenschutz-Compliance-Bemühungen von Unternehmen, sondern auch generell auf die Verteidigungsstrategie in DSGVO-Verfahren.
Zudem würde das bedeuten, dass auch schuldunfähige Personen – also Personen, für die ein Erwachsenenvertreter bestellt wurde, oder Kinder unter 14 Jahren – wegen
Datenschutzverletzungen bestraft werden könnten, obwohl diese das Unrecht ihrer Tat regelmäßig gar nicht einsehen können und es ihnen daher auch gar nicht zum Vorwurf gemacht werden kann.
Es ist noch nicht absehbar, in welche Richtung der EuGH entscheiden wird. Unternehmen sind jedenfalls gut beraten, ihre Datenschutz-Compliance-Organisation und die eingerichteten Datenschutz-Prozesse zu überprüfen und identifizierte Lücken zeitnah zu schließen.