Damit Sie nicht enden wie die Panzerknacker

Damit Sie nicht enden wie die Panzerknacker

Last Updated on 2018-09-20

Dr. Beata Mangelberger

Wer die Geldbußen nach der DS-GVO zahlt, wird letztlich erst die Praxis zeigen.

Vor einigen Monaten hat das Inkrafttreten der Datenschutz-Grund-Verordnung (kurz: DS-GVO) noch zu geschäftigem Treiben in der Beratungsbranche geführt. Viele Unternehmen, Vereine und Organisationen waren – trotz Übergangsfrist von zwei Jahren – nicht auf die Konsequenzen der neuen Regelungen vorbereitet. Doch tatsächlich besteht in Österreich bereits seit 1978 ein strenges Datenschutzrecht und auch die europäische Datenschutz-Richtlinie hat schon einige grundlegende Bestimmungen (so wurde in Dt. bereits der Datenschutzbeauftragte eingeführt) gebracht; die große Neuerung allerdings besteht in der Höhe der Strafen.

Art 83 DSGVO sieht nämlich abhängig davon, gegen welche Bestimmung verstoßen wurde, Geldbußen von bis zu zehn Millionen Euro oder zwei Prozent des weltweit erzielten Unternehmensumsatzes des vorangegangenen Geschäftsjahres oder zwanzig Millionen Euro bzw. bis zu vier Prozent des genannten Umsatzes vor, je nachdem welcher der Beträge höher ist. Geschäftsführung und Vorstand haben somit das verständliche Ziel, sich rechtskonform zu verhalten, wobei dies mit immer größerem Aufwand verbunden ist. Nach meiner Erfahrung kann auch das Erreichen einer DSGVO-compliance mit erheblichen – aber nicht immer erforderlichen – Management-Maßnahmen einhergehen.

Wer haftet nun für die Geldbußen?

1. Der Datenschutzbeauftragte?

Ein Datenschutzbeauftragte ist ein Beratungs- und Kontrollorgan und daher nicht für die Einhaltung der DS-GVO in der Organisation verantwortlich. Unabhängig davon, ob ein externer oder interner Datenschutzbeauftragter (kurz: DSBA) bestellt wurde und auch unabhängig davon, ob dies auf freiwilliger Basis erfolgt ist oder zwingend gesetzlich vorgesehen, haftet der DSBA nicht für die Geldbußen. Anderes gilt nur, wenn der DSBA Durchsetzungsbefugnisse über Art 39 Abs 1 DS-GVO hinaus hat und ihm/ihr die verwaltungsstrafrechtliche Verantwortlichkeit ausdrücklich übertragen wird (Näheres dazu Horn, Die neue Rolle des Datenschutzbeauftragten nach der DS-GVO, in Bergauer/Jahnel/Mader/Staudegger (Hrsg.), jusIT Spezial: DS-GVO, 139.).

2. Die Organe der Gesellschaft: Geschäftsführer & Vorstände?

Die DS-GVO definiert den datenschutzrechtlichen Verantwortlichen in Art 4 Z 7 als natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über den Zweck und die Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Verantwortliche steht für die Einhaltung der Datenschutzgrundsätze ein und haftet für die Geldbußen. Davon ausgenommen sind nur Behörden und öffentliche Stellen, gegen die nach § 30 Abs 5 DSG keine Geldbußen verhängt werden können.

3. Das Unternehmen selbst?

Noch vor wenigen Jahren war die Verhängung von Verwaltungsstrafen gegen juristische Personen (also GmbH, AG, Vereine, etc.) undenkbar. Zwar besteht bereits seit 2006 das Verbandsverantwortlichkeitsgesetz, jedoch gilt dies nur für Straftaten, also für strafbare Handlungen, die mit gerichtlicher Strafe bedroht sind. Verwaltungsstrafen für juristische Personen gab es jüngst im Börsegesetz, im BWG und eben im DSG. § 30 Abs 1 DSG sieht vor, dass die Datenschutzbehörde Geldbußen gegen eine juristische Person verhängen kann, wenn ein Datenschutzverstoß von einer (natürlichen) Person begangen wurde, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt hat und eine Führungsposition innerhalb der juristischen Person aufgrund

1. der Befugnis zur Vertretung der juristischen Person,

2. der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen oder

3. einer Kontrollbefugnis innerhalb der juristischen Person

inne hat. Ebenso kann eine juristische Person bestraft werden, wenn mangelnde Überwachung oder Kontrolle der in Abs 1 genannten Personen den Datenschutzverstoß ermöglicht hat. Grundsätzlich wird dadurch die gleichzeitige Verantwortlichkeit der natürlichen Person wegen derselben Tat nicht ausgeschlossen, allerdings sieht § 30 Abs 3 DSG vor, dass die Datenschutzbehörde von der Bestrafung eines Verantwortlichen gem § 9 VStG abzusehen hat, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wird. Gestützt auf eine unionskonforme Auslegung gehen nun  Funk-Leisch/Weber/Wildmoser (ZFR 2018/187) davon aus, dass der Behörde hinsichtlich der parallelen Bestrafung des Unternehmens und der verantwortlichen natürlichen Person kein Ermessen mehr zukommt. Wenn daher gegen eine juristische Person eine Geldbuße verhängt wurde, kann nicht gleichzeitig gegen ein Organ, also die natürliche Person, eine solche verhängt werden.

Wie so oft, wird die Praxis – und vor allem die ersten Entscheidungen – zeigen, wie die Datenschutzbehörde tatsächlich damit umgeht.

 

Dr. Beata Mangelberger promovierte im Datenschutzrecht bei Prof. Jahnel an der Universität Salzburg und absolvierte den Lehrgang zum zertifizierten Datenschutzmanager an der Donau-Uni Krems. Sie war mehrere Jahre in Wirtschaftskanzleien in Salzburg und Wien tätig und hat die Rechtsanwaltsprüfung abgeschlossen. Derzeit ist sie Inhaberin des Unternehmensberatungsunternehmens lexetdata e.U. (Mitglied der Fachgruppe UBIT – Unternehmensberatung und Informationstechnologie), Autorin und Vortragende zum Thema DSGVO und deren Umsetzung im In- und Ausland. www.lexetdata.at

mb Fotocredit: Privat