Gericht

Bundesverwaltungsgericht

Entscheidungsdatum

26.11.2020

Geschäftszahl

W258 2227269-1

Spruch

W258 2227269-1/14E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch den Richter Mag. Gerold PAWELKA-SCHMIDT als Vorsitzenden und die fachkundigen Laienrichter Dr. Gerd TRÖTZMÜLLER und Gerhard RAUB als Beisitzer über die Beschwerde der XXXX , vertreten durch Schönherr Rechtsanwälte GmbH, 1010 Wien, gegen das Straferkenntnis der Datenschutzbehörde vom 23.10.2019, GZ DSB-D550.148/0017-DSB/2019, in nichtöffentlicher Sitzung zu Recht erkannt: Das Bundesverwaltungsgericht hat durch den Richter Mag. Gerold PAWELKA-SCHMIDT als Vorsitzenden und die fachkundigen Laienrichter Dr. Gerd TRÖTZMÜLLER und Gerhard RAUB als Beisitzer über die Beschwerde der römisch 40 , vertreten durch Schönherr Rechtsanwälte GmbH, 1010 Wien, gegen das Straferkenntnis der Datenschutzbehörde vom 23.10.2019, GZ DSB-D550.148/0017-DSB/2019, in nichtöffentlicher Sitzung zu Recht erkannt:

A)

I. Der Beschwerde wird Folge gegeben, das angefochtene Straferkenntnis behoben und das Verfahren gemäß § 45 Abs 1 Z 3 VStG eingestellt.römisch eins. Der Beschwerde wird Folge gegeben, das angefochtene Straferkenntnis behoben und das Verfahren gemäß Paragraph 45, Absatz eins, Ziffer 3, VStG eingestellt.

II. Gemäß § 52 Abs 8 VwGVG hat die Beschwerdeführerin keine Kosten zu tragen.römisch II. Gemäß Paragraph 52, Absatz 8, VwGVG hat die Beschwerdeführerin keine Kosten zu tragen.

B)

Die Revision ist gemäß Art 133 Abs 4 B-VG nicht zulässig.Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.

Text

Entscheidungsgründe:

I. Verfahrensgang:römisch eins. Verfahrensgang:

1. Auf Grund von Medienberichten über den angeblichen Verkauf personenbezogener Daten, insbesondere von Informationen über die „politische Affinität“ bestimmter Personen, hat die belangte Behörde am 08.01.2019 ein amtswegiges Prüfverfahren gegen die Beschwerdeführerin eingeleitet, das mit Bescheid vom 11.02.2019 zur GZ DSB-D213.747/0002-DSB/2019 beendet worden ist.

2. Aufgrund der Ermittlungsergebnisse des amtswegigen Prüfverfahrens leitete die belangte Behörde ein Verwaltungsstrafverfahren gegen die Beschwerdeführerin ein und hat ihr mit Aufforderung zur Rechtfertigung vom 20.02.2019 die folgenden Verwaltungsübertretungen zu Last gelegt: Die Beschwerdeführerin stehe im Verdacht

1.           besondere Kategorien personenbezogener Daten gemäß Art 9 DSGVO („Parteiaffinitäten“) im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“ unrechtmäßig verarbeitet zu haben, indem sie keine Einwilligung der betroffenen Personen eingeholt habe und die Datenverarbeitung auch sonst auf keinen der in Art 9 DSGVO abschließend aufgezählten Tatbestände gestützt werden könne,1.           besondere Kategorien personenbezogener Daten gemäß Artikel 9, DSGVO („Parteiaffinitäten“) im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“ unrechtmäßig verarbeitet zu haben, indem sie keine Einwilligung der betroffenen Personen eingeholt habe und die Datenverarbeitung auch sonst auf keinen der in Artikel 9, DSGVO abschließend aufgezählten Tatbestände gestützt werden könne,

2.           personenbezogene Daten wie bspw.

-             Spendenaffinität

-             Bioaffinität

-             Partnerschaft

-             Jahreseinkommen

-             Erwerbsart

-             Qualifikation

-             Konsumorientierte Basis

-             Nachtschwärmer

-             Paketfrequenz (Anzahl der Pakete in einem bestimmten Zeitraum)

-             Umzugsaffin

-             Investmentaffin

-             Lebensphase

im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“ unrechtmäßig verarbeitet zu haben (Speicherung und Verkauf an Dritte), indem sie keine Einwilligung der betroffenen Personen eingeholt habe und die Datenverarbeitung auch sonst auf keinen der in Art 6 Abs 1 DSGVO abschließend aufgezählten Rechtmäßigkeitstatbestände gestützt werden könne,im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“ unrechtmäßig verarbeitet zu haben (Speicherung und Verkauf an Dritte), indem sie keine Einwilligung der betroffenen Personen eingeholt habe und die Datenverarbeitung auch sonst auf keinen der in Artikel 6, Absatz eins, DSGVO abschließend aufgezählten Rechtmäßigkeitstatbestände gestützt werden könne,

3.           dadurch gegen ihre Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung betreffend die Anwendung „ XXXX -Zielgruppenadressen“ (Anm.: XXXX steht für XXXX ) verstoßen zu haben, indem die Datenschutz-Folgenabschätzung entgegen den zeitlichen Angaben in der Datenschutz-Folgenabschätzung nicht im Zeitraum März bis Juni 2018, sondern zu einem späteren Zeitpunkt, jedenfalls aber nach dem 25.05.2018, durchgeführt worden sei,3.           dadurch gegen ihre Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung betreffend die Anwendung „ römisch 40 -Zielgruppenadressen“ Anmerkung, römisch 40 steht für römisch 40 ) verstoßen zu haben, indem die Datenschutz-Folgenabschätzung entgegen den zeitlichen Angaben in der Datenschutz-Folgenabschätzung nicht im Zeitraum März bis Juni 2018, sondern zu einem späteren Zeitpunkt, jedenfalls aber nach dem 25.05.2018, durchgeführt worden sei,

4.           die Datenschutz-Folgenabschätzung zur Anwendung „ XXXX – Zielgruppenadressen“ fehlerhaft erstellt zu haben, weil in ihr die Verarbeitung von besonderen Kategorien personenbezogener Daten verneint werde, obwohl laut Anhang 2D die „Parteiaffinität“ errechnet werde, und als Ergebnis das Vorliegen eines hohen Risikos daher jedenfalls verneint werde,4.           die Datenschutz-Folgenabschätzung zur Anwendung „ römisch 40 – Zielgruppenadressen“ fehlerhaft erstellt zu haben, weil in ihr die Verarbeitung von besonderen Kategorien personenbezogener Daten verneint werde, obwohl laut Anhang 2D die „Parteiaffinität“ errechnet werde, und als Ergebnis das Vorliegen eines hohen Risikos daher jedenfalls verneint werde,

5.           das Verzeichnis zur Verarbeitungstätigkeit „ XXXX – Zielgruppenadressen“ fehlerhaft erstellt zu haben, weil darin5.           das Verzeichnis zur Verarbeitungstätigkeit „ römisch 40 – Zielgruppenadressen“ fehlerhaft erstellt zu haben, weil darin

-             a. eine Verarbeitung besonders schutzwürdiger Daten, darunter auch die politische Meinung, sowie

-             b. eine umfangreiche Verarbeitung von sensiblen Daten

verneint werde,

6.           das Verzeichnis zur Verarbeitungstätigkeit „ XXXX – Zielgruppenadressen“ mangelhaft erstellt zu haben, weil darin nicht alle tatsächlich verarbeiteten Datenkategorien angeführt seien,6.           das Verzeichnis zur Verarbeitungstätigkeit „ römisch 40 – Zielgruppenadressen“ mangelhaft erstellt zu haben, weil darin nicht alle tatsächlich verarbeiteten Datenkategorien angeführt seien,

7.           die Vornahme einer Konsultation gemäß Art 36 DSGVO unterlassen zu haben und7.           die Vornahme einer Konsultation gemäß Artikel 36, DSGVO unterlassen zu haben und

8.           ihre Pflichten nach Art 14 DSGVO nicht erfüllt zu haben, indem sie Betroffene nicht im erforderlichen Ausmaß darüber informiert habe, welche nicht direkt beim Betroffenen erhobenen Daten von wem und auf welche Weise erhoben und im Anschluss an Dritte übermittelt – bspw. verkauft oder auf andere Weise zur Verfügung gestellt – werden,8.           ihre Pflichten nach Artikel 14, DSGVO nicht erfüllt zu haben, indem sie Betroffene nicht im erforderlichen Ausmaß darüber informiert habe, welche nicht direkt beim Betroffenen erhobenen Daten von wem und auf welche Weise erhoben und im Anschluss an Dritte übermittelt – bspw. verkauft oder auf andere Weise zur Verfügung gestellt – werden,

sohin Verwaltungsübertretungen gemäß

Zu 1): Art 5 Abs 1, Art 9 iVm Art 83 Abs 5 lit a DSGVOZu 1): Artikel 5, Absatz eins,, Artikel 9, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO

Zu 2): Art 5 Abs 1, Art 6 Abs 1 iVm Art 83 Abs 5 lit a DSGVOZu 2): Artikel 5, Absatz eins,, Artikel 6, Absatz eins, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO

Zu 3) + 4): Art 35 iVm Art 83 Abs 4 lit a DSGVOZu 3) + 4): Artikel 35, in Verbindung mit Artikel 83, Absatz 4, Litera a, DSGVO

Zu 5 + 6): Art 30 iVm Art 83 Abs 4 lit a DSGVOZu 5 + 6): Artikel 30, in Verbindung mit Artikel 83, Absatz 4, Litera a, DSGVO

Zu 7): Art 36 iVm Art 83 Abs 4 lit a DSGVOZu 7): Artikel 36, in Verbindung mit Artikel 83, Absatz 4, Litera a, DSGVO

Zu 8): Art 14 iVm Art 83 Abs 5 lit b DSGVOZu 8): Artikel 14, in Verbindung mit Artikel 83, Absatz 5, Litera b, DSGVO

begangen zu haben.

4. Nach Durchführung eines Beweisverfahrens und einer mündlichen Verhandlung am 23.09.2019, sprach die die belangte Behörde mit Straferkenntnis vom 23.10.2019 aus,

die Beschuldigte habe als Verantwortliche im Sinne des Art 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016, S 1, Folgendes zu verantworten:die Beschuldigte habe als Verantwortliche im Sinne des Artikel 4, Ziffer 7, der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016, S 1, Folgendes zu verantworten:

zu I.: von 25.05.2018 bis 21.02.2019,zu römisch eins.: von 25.05.2018 bis 21.02.2019,

zu II.: ab dem 25.05.2018,zu römisch II.: ab dem 25.05.2018,

zu IV.: ab dem 25.05.2018,zu römisch IV.: ab dem 25.05.2018,

zu V.: ab dem 25.05.2018 und zu römisch fünf.: ab dem 25.05.2018 und

zu VI.: ab dem 25.05.2018,zu römisch VI.: ab dem 25.05.2018,

I. die unrechtmäßige Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art 9 DSGVO („Parteiaffinitäten“) im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“; dies, indem keine Einwilligung der betroffenen Personen eingeholt wurde und die Datenverarbeitung auch sonst auf keinen der in Art 9 DSGVO abschließend aufgezählten Tatbestände gestützt werden kann;römisch eins. die unrechtmäßige Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9, DSGVO („Parteiaffinitäten“) im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“; dies, indem keine Einwilligung der betroffenen Personen eingeholt wurde und die Datenverarbeitung auch sonst auf keinen der in Artikel 9, DSGVO abschließend aufgezählten Tatbestände gestützt werden kann;

II.römisch II.

a) die unrechtmäßige Weiterverarbeitung personenbezogener Daten, namentlich die Anzahl empfangener Pakete während eines bestimmten Zeitraumes (Paketfrequenz) und die Häufigkeit von Umzügen betroffener Personen im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“; dies, indem keine Einwilligung der betroffenen Personen eingeholt wurde und die Datenverarbeitung auch sonst auf keinen der in Art 6 Abs 1 DSGVO abschließend aufgezählten Rechtmäßigkeitstatbestände gestützt werden kann und die Daten betreffend die Paketfrequenz und die Umzugshäufigkeit einer nicht von Art 6 Abs 4 DSGVO gedeckten Zweckänderung zugeführt wurden;a) die unrechtmäßige Weiterverarbeitung personenbezogener Daten, namentlich die Anzahl empfangener Pakete während eines bestimmten Zeitraumes (Paketfrequenz) und die Häufigkeit von Umzügen betroffener Personen im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“; dies, indem keine Einwilligung der betroffenen Personen eingeholt wurde und die Datenverarbeitung auch sonst auf keinen der in Artikel 6, Absatz eins, DSGVO abschließend aufgezählten Rechtmäßigkeitstatbestände gestützt werden kann und die Daten betreffend die Paketfrequenz und die Umzugshäufigkeit einer nicht von Artikel 6, Absatz 4, DSGVO gedeckten Zweckänderung zugeführt wurden;

IV. die Fehlerhaftigkeit der Datenschutz-Folgenabschätzung zur Anwendung „ XXXX – Zielgruppenadressen“, da in dieser die Verarbeitung von besonderen Kategorien personenbezogener Daten verneint worden sei, obwohl die „Parteiaffinität“ errechnet und verarbeitet worden sei, und dennoch im Ergebnis das Vorliegen eines hohen Risikos jedenfalls verneint worden sei,römisch IV. die Fehlerhaftigkeit der Datenschutz-Folgenabschätzung zur Anwendung „ römisch 40 – Zielgruppenadressen“, da in dieser die Verarbeitung von besonderen Kategorien personenbezogener Daten verneint worden sei, obwohl die „Parteiaffinität“ errechnet und verarbeitet worden sei, und dennoch im Ergebnis das Vorliegen eines hohen Risikos jedenfalls verneint worden sei,

V. die Fehlerhaftigkeit des Verzeichnisses zur Verarbeitungstätigkeit „ XXXX – Zielgruppenadressen“, da laut diesemrömisch fünf. die Fehlerhaftigkeit des Verzeichnisses zur Verarbeitungstätigkeit „ römisch 40 – Zielgruppenadressen“, da laut diesem

a) eine Verarbeitung besonders schutzwürdiger Daten, darunter auch die politische Meinung, sowie

b) eine umfangreiche Verarbeitung von sensiblen Daten verneint werde und

VI. die Mangelhaftigkeit des Verzeichnisses zur Verarbeitungstätigkeit „ XXXX – Zielgruppenadressen“, da darin nicht alle tatsächlich verarbeiteten Datenkategorien angeführt worden seien und dieses sohin nicht ausreichend detailliert erstellt worden sei.römisch VI. die Mangelhaftigkeit des Verzeichnisses zur Verarbeitungstätigkeit „ römisch 40 – Zielgruppenadressen“, da darin nicht alle tatsächlich verarbeiteten Datenkategorien angeführt worden seien und dieses sohin nicht ausreichend detailliert erstellt worden sei.

Das pflichtwidrige Verhalten werde der juristischen Person „ XXXX “ zugerechnet, weil die für die Zuwiderhandlungen verantwortlichen natürlichen Personen zu der wirtschaftlichen Einheit gehören würden, die durch die Verantwortliche als juristische Person gebildet werde.Das pflichtwidrige Verhalten werde der juristischen Person „ römisch 40 “ zugerechnet, weil die für die Zuwiderhandlungen verantwortlichen natürlichen Personen zu der wirtschaftlichen Einheit gehören würden, die durch die Verantwortliche als juristische Person gebildet werde.

Die Verantwortliche habe dadurch folgende Rechtsvorschrift(en) verletzt:

Zu I.: Art. 5 Abs. 1 lit. a, Art. 9 iVm Art. 83 Abs. 5 lit. a DSGVOZu römisch eins.: Artikel 5, Absatz eins, Litera a,, Artikel 9, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO

Zu II.a): Art. 5 Abs. 1 lit. a und lit. b, Art. 6 Abs. 1 und Abs. 4 iVm Art. 83 Abs. 5 lit. a DSGVOZu römisch II.a): Artikel 5, Absatz eins, Litera a und Litera b,, Artikel 6, Absatz eins und Absatz 4, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO

Zu IV.: Art. 35 iVm Art. 83 Abs. 4 lit. a DSGVOZu römisch IV.: Artikel 35, in Verbindung mit Artikel 83, Absatz 4, Litera a, DSGVO

Zu V. und VI.: Art. 30 iVm Art. 83 Abs. 4 lit. a DSGVO.Zu römisch fünf. und römisch VI.: Artikel 30, in Verbindung mit Artikel 83, Absatz 4, Litera a, DSGVO.

Über sie werde daher gemäß Art 83 Abs 5 lit a DSGVO eine Geldbuße in Höhe von EUR 18.000.000,00 verhängt und der Ersatz der Verfahrenskosten in Höhe von EUR 1.800.000,00 auferlegt.Über sie werde daher gemäß Artikel 83, Absatz 5, Litera a, DSGVO eine Geldbuße in Höhe von EUR 18.000.000,00 verhängt und der Ersatz der Verfahrenskosten in Höhe von EUR 1.800.000,00 auferlegt.

Hingegen werde das Verfahren in Bezug auf den Tatvorwurf,

II b) der unrechtmäßigen Verarbeitung durch die Speicherung und den Verkauf personenbezogener Daten der Kategorienrömisch II b) der unrechtmäßigen Verarbeitung durch die Speicherung und den Verkauf personenbezogener Daten der Kategorien

- Spendenaffinität

- Bioaffinität

- Partnerschaft

- Jahreseinkommen

- Erwerbsart

- Qualifikation

- Konsumorientierte Basis

- Nachtschwärmer

- Investmentaffinität

- Lebensphase,

III. die Beschuldigte habe dadurch gegen ihre Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung betreffend die Anwendung „ XXXX -Zielgruppenadressen“ verstoßen, indem die Datenschutz-Folgenabschätzung nicht im Zeitraum März bis Juni 2018, sondern zu einem späteren Zeitpunkt, jedenfalls aber nach dem 25. Mai 2018, durchgeführt wurde, römisch III. die Beschuldigte habe dadurch gegen ihre Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung betreffend die Anwendung „ römisch 40 -Zielgruppenadressen“ verstoßen, indem die Datenschutz-Folgenabschätzung nicht im Zeitraum März bis Juni 2018, sondern zu einem späteren Zeitpunkt, jedenfalls aber nach dem 25. Mai 2018, durchgeführt wurde,

VII. wonach die Beschuldigte die Vornahme einer Konsultation gemäß Art 36 DSGVO (zu Unrecht) unterlassen habe,römisch VII. wonach die Beschuldigte die Vornahme einer Konsultation gemäß Artikel 36, DSGVO (zu Unrecht) unterlassen habe,

VIII. wonach die Beschuldigte ihre Pflichten nach Art. 14 DSGVO nicht erfüllt habe, indem sie Betroffene nicht im erforderlichen Ausmaß darüber informiert habe, welche nicht direkt beim Betroffenen erhobenen Daten von wem und auf welche Weise erhoben und im Anschluss an Dritte übermittelt – bspw. verkauft oder auf andere Weise zur Verfügung gestellt – werden, römisch VIII. wonach die Beschuldigte ihre Pflichten nach Artikel 14, DSGVO nicht erfüllt habe, indem sie Betroffene nicht im erforderlichen Ausmaß darüber informiert habe, welche nicht direkt beim Betroffenen erhobenen Daten von wem und auf welche Weise erhoben und im Anschluss an Dritte übermittelt – bspw. verkauft oder auf andere Weise zur Verfügung gestellt – werden,

jeweils gemäß § 45 Abs. 1 Z 1 (1. Fall) VStG eingestellt.jeweils gemäß Paragraph 45, Absatz eins, Ziffer eins, (1. Fall) VStG eingestellt.

5. Gegen dieses Erkenntnis wendet sich die gegenständliche Beschwerde vom 25.11.2019 wegen Feststellungsmängeln, unrichtiger rechtlicher Beurteilung, rechtswidriger Verschuldenszumessung und Bemessung der Strafhöhe und beantragte mit näherer Begründung das Straferkenntnis ersatzlos zu beheben und das Verfahren gemäß § 38 VwGVG iVm § 45 Abs 1 VStG einzustellen, in eventu das Verfahren gemäß § 38 VwGVG iVm § 45 Abs 1 Z 4 VStG iVm § 11 DSG unter Erteilung einer Verwarnung oder iVm § 33a VStG durch Beratung oder iVm § 45 Abs 1 Z 1 VStG unter Ermahnung einzustellen in eventu die Strafhöhe auf ein tat- und schuldangemessenes Maß herabzusetzen. Ua sei es für die Verhängung einer Geldbuße nach der DSGVO gegen eine juristische Person, wie der Betroffenen, nicht ausreichend, einen Straftatbestand zu erfüllen, es muss ihr als juristische Person, die nicht selbst handeln kann, auch das Handeln einer natürlichen Person zugerechnet werden. Diese gemäß § 30 DSG vorzunehmende Zurechnung habe die belangte Behörde unterlassen. 5. Gegen dieses Erkenntnis wendet sich die gegenständliche Beschwerde vom 25.11.2019 wegen Feststellungsmängeln, unrichtiger rechtlicher Beurteilung, rechtswidriger Verschuldenszumessung und Bemessung der Strafhöhe und beantragte mit näherer Begründung das Straferkenntnis ersatzlos zu beheben und das Verfahren gemäß Paragraph 38, VwGVG in Verbindung mit Paragraph 45, Absatz eins, VStG einzustellen, in eventu das Verfahren gemäß Paragraph 38, VwGVG in Verbindung mit Paragraph 45, Absatz eins, Ziffer 4, VStG in Verbindung mit Paragraph 11, DSG unter Erteilung einer Verwarnung oder in Verbindung mit Paragraph 33 a, VStG durch Beratung oder in Verbindung mit Paragraph 45, Absatz eins, Ziffer eins, VStG unter Ermahnung einzustellen in eventu die Strafhöhe auf ein tat- und schuldangemessenes Maß herabzusetzen. Ua sei es für die Verhängung einer Geldbuße nach der DSGVO gegen eine juristische Person, wie der Betroffenen, nicht ausreichend, einen Straftatbestand zu erfüllen, es muss ihr als juristische Person, die nicht selbst handeln kann, auch das Handeln einer natürlichen Person zugerechnet werden. Diese gemäß Paragraph 30, DSG vorzunehmende Zurechnung habe die belangte Behörde unterlassen.

6. Mit Aktenvorlage vom 07.01.2020, hg eingelangt am 16.04.2020, legte die belangte Behörde dem Bundesverwaltungsgericht die Beschwerde unter Anschluss des Verwaltungsakts vor, bestritt das Beschwerdevorbringen und beantragte unter näherer Begründung die Beschwerde abzuweisen. Ua führte die belangte Behörde aus, da es sich bei Geldbußen nach DSGVO um ein Verbandsverantwortlichkeitsmodell eigener Art handle, durch das grundrechtlich geforderte Verfahrensgarantien nicht geschmälert werden würden, bliebe für eine Zurechnungsregelung wie § 30 DSG kein Raum.6. Mit Aktenvorlage vom 07.01.2020, hg eingelangt am 16.04.2020, legte die belangte Behörde dem Bundesverwaltungsgericht die Beschwerde unter Anschluss des Verwaltungsakts vor, bestritt das Beschwerdevorbringen und beantragte unter näherer Begründung die Beschwerde abzuweisen. Ua führte die belangte Behörde aus, da es sich bei Geldbußen nach DSGVO um ein Verbandsverantwortlichkeitsmodell eigener Art handle, durch das grundrechtlich geforderte Verfahrensgarantien nicht geschmälert werden würden, bliebe für eine Zurechnungsregelung wie Paragraph 30, DSG kein Raum.

7. Mit Parteiengehör vom 17.07.2020 wurde der belangten Behörde das zwischenzeitlich ergangene Erkenntnis des Verwaltungsgerichtshofs vom 12.05.2020, Ro 2019/04/0229, vorgehalten, wonach es für die Verhängung einer Geldbuße gegen eine juristische Person nach der DSGVO erforderlich sei, ein tatbestandsmäßiges, rechtswidriges und schuldhaftes Verhalten einer natürlichen Person darzutun, das der juristischen Person zugerechnet werden soll und ein solcher Mangel vom Verwaltungsgericht nicht behebbar sei, wenn die natürlichen Personen, für deren tatbestandsmäßiges Verhalten die juristische Person zur Verantwortung gezogen werden sollen, erstmalige im Beschwerdeverfahren konkretisiert würden.

8. Mit Stellungnahmen vom 29.07.2020, 13.08.2020 und 12.11.2020 brachte die belangte Behörde vor, aus dem Straferkenntnis ergebe sich, dass der Vorstand bzw seine Mitglieder, somit Vertreter iSd § 9 VStG, über datenschutzrechtliche Vorgänge informiert gewesen sei und verwies diesbezüglich auf die Feststellungen unter Punkt 4.7 des Straferkenntnisses, wonach das Projekt „Fitness für die DSGVO“ vom Vorstand beschlossen worden sei, dem Vorstand über alle datenschutzrechtlich relevanten Aspekte von den maßgeblichen natürlichen Personen in Leitungsfunktion berichtet worden sei und auf Seiten des Vorstands demnach XXXX zuständig gewesen sei.8. Mit Stellungnahmen vom 29.07.2020, 13.08.2020 und 12.11.2020 brachte die belangte Behörde vor, aus dem Straferkenntnis ergebe sich, dass der Vorstand bzw seine Mitglieder, somit Vertreter iSd Paragraph 9, VStG, über datenschutzrechtliche Vorgänge informiert gewesen sei und verwies diesbezüglich auf die Feststellungen unter Punkt 4.7 des Straferkenntnisses, wonach das Projekt „Fitness für die DSGVO“ vom Vorstand beschlossen worden sei, dem Vorstand über alle datenschutzrechtlich relevanten Aspekte von den maßgeblichen natürlichen Personen in Leitungsfunktion berichtet worden sei und auf Seiten des Vorstands demnach römisch 40 zuständig gewesen sei.

Weiters brachte die belangte Behörde vor, es läge kein „acte claire“ iSd Rechtsprechung des EuGH vor, weil in Abweichung von der Entscheidung des österreichischen Verwaltungsgerichtshofs der Conseil d’État, das oberste französische Verwaltungsgericht, in seiner Entscheidung vom 19.06.2020, N° 430810, davon ausgehe, dass es für die Verhängung von Geldbußen nach der DSGVO gegenüber juristischen Personen nicht erforderlich sei, natürliche Personen, deren Verhalten der juristischen Person zugerechnet werden, namentlich zu benennen. Auf Grund der unterschiedlichen Meinungen zweier Höchstgerichte aus verschiedenen Mitgliedstaaten sei diese Frage daher zwingend durch den EuGH auszulegen. Weiters verwies die belangt Behörde auf ein – mündlich verkündetes aber noch nicht ausgefertigtes – Urteil des Landgerichts Bonn vom 11.11.2020, GZ 29 OWi-430 Js-OWi 366/20-1/20 LG, in dem § 30 dtOrdnungswidrigkeitengesetz – OWiG, eine dem § 30 DSG vergleichbare Regelung, wonach es für die Verhängung einer Geldbuße gegenüber einer juristischen Person die Zurechnung des Handelns einer natürlichen Person bedürfe, mit der Verhängung von Geldbußen nach Art 83 DSGVO zum Teil unvereinbar sei und die Behörde nicht konkret feststellen müsse, welcher Mitarbeiter Tathandlungen gesetzt hat.Weiters brachte die belangte Behörde vor, es läge kein „acte claire“ iSd Rechtsprechung des EuGH vor, weil in Abweichung von der Entscheidung des österreichischen Verwaltungsgerichtshofs der Conseil d’État, das oberste französische Verwaltungsgericht, in seiner Entscheidung vom 19.06.2020, N° 430810, davon ausgehe, dass es für die Verhängung von Geldbußen nach der DSGVO gegenüber juristischen Personen nicht erforderlich sei, natürliche Personen, deren Verhalten der juristischen Person zugerechnet werden, namentlich zu benennen. Auf Grund der unterschiedlichen Meinungen zweier Höchstgerichte aus verschiedenen Mitgliedstaaten sei diese Frage daher zwingend durch den EuGH auszulegen. Weiters verwies die belangt Behörde auf ein – mündlich verkündetes aber noch nicht ausgefertigtes – Urteil des Landgerichts Bonn vom 11.11.2020, GZ 29 OWi-430 Js-OWi 366/20-1/20 LG, in dem Paragraph 30, dtOrdnungswidrigkeitengesetz – OWiG, eine dem Paragraph 30, DSG vergleichbare Regelung, wonach es für die Verhängung einer Geldbuße gegenüber einer juristischen Person die Zurechnung des Handelns einer natürlichen Person bedürfe, mit der Verhängung von Geldbußen nach Artikel 83, DSGVO zum Teil unvereinbar sei und die Behörde nicht konkret feststellen müsse, welcher Mitarbeiter Tathandlungen gesetzt hat.

Die belangte Behörde beantrage daher die Beischaffung des zitierten Urteils des Landgerichts Bonn sowie beim EuGH eine Vorabentscheidung gemäß Art 267 AEUV zur Frage einzuholen, ob in einer Entscheidung, mit der eine Geldbuße nach Art 83 DSGVO gegen eine juristische Person verhängt werde, ein tatbestandsmäßiges, rechtswidriges und schuldhaftes Verhalten einer natürlichen Person darzutun sei, das der juristischen Person zugerechnet werden solle.Die belangte Behörde beantrage daher die Beischaffung des zitierten Urteils des Landgerichts Bonn sowie beim EuGH eine Vorabentscheidung gemäß Artikel 267, AEUV zur Frage einzuholen, ob in einer Entscheidung, mit der eine Geldbuße nach Artikel 83, DSGVO gegen eine juristische Person verhängt werde, ein tatbestandsmäßiges, rechtswidriges und schuldhaftes Verhalten einer natürlichen Person darzutun sei, das der juristischen Person zugerechnet werden solle.

9. Mit Stellungnahme vom 04.09.2020 replizierte die Beschwerdeführerin zusammengefasst ua, dass auch mit dem ergänzenden Vorbringen der belangten Behörde kein tatbestandsmäßiges, schuldhaftes und rechtswidriges Verhalten einer natürlichen Person dargetan werde, das ihr als juristische Person zugerechnet werden könne. Mit der Anregung auf Vorabentscheidung durch den EuGH verlange die belangte Behörde vom EuGH eine unzulässige Auslegung einer nationalen Rechtsnorm, § 30 DSG, und Überprüfung der Rechtsprechung des VwGH. Die Umsetzung der Sanktionsnorm des Art 83 DSGVO sei – unter Verweis auf die Rechtsprechung des VwGH und weiterer näherer Begründung – dem nationalen Recht überlassen, weshalb es zu Unterschieden zwischen einzelnen Mitgliedstaaten kommen könne. Auch das strafrechtliche Beschleunigungsgebot spreche gegen eine Vorlage an den EuGH.9. Mit Stellungnahme vom 04.09.2020 replizierte die Beschwerdeführerin zusammengefasst ua, dass auch mit dem ergänzenden Vorbringen der belangten Behörde kein tatbestandsmäßiges, schuldhaftes und rechtswidriges Verhalten einer natürlichen Person dargetan werde, das ihr als juristische Person zugerechnet werden könne. Mit der Anregung auf Vorabentscheidung durch den EuGH verlange die belangte Behörde vom EuGH eine unzulässige Auslegung einer nationalen Rechtsnorm, Paragraph 30, DSG, und Überprüfung der Rechtsprechung des VwGH. Die Umsetzung der Sanktionsnorm des Artikel 83, DSGVO sei – unter Verweis auf die Rechtsprechung des VwGH und weiterer näherer Begründung – dem nationalen Recht überlassen, weshalb es zu Unterschieden zwischen einzelnen Mitgliedstaaten kommen könne. Auch das strafrechtliche Beschleunigungsgebot spreche gegen eine Vorlage an den EuGH.

Beweise wurden erhoben durch Einsichtnahme in den Verwaltungsakt und in die Entscheidung des Conseil d’État vom 19.06.2020, N° 430810.

II. Das Bundesverwaltungsgericht hat erwogen:römisch II. Das Bundesverwaltungsgericht hat erwogen:

1. Der folgende Sachverhalt steht fest:

1.1. Die belangte Behörde hat zur AZ DSB-D550.148 ein Verwaltungsstrafverfahren gegen die Beschwerdeführerin, eine juristische Person, die in der Rechtsform einer Aktiengesellschaft eingerichtet ist, geführt.

1.2. In diesem Verfahren wurden

●             abgesehen von Zeugenladungen Schreiben der belangten Behörde an die Beschwerdeführerin, zHd von XXXX , adressiert,●             abgesehen von Zeugenladungen Schreiben der belangten Behörde an die Beschwerdeführerin, zHd von römisch 40 , adressiert,

●             die verwaltungsrechtlichen Verstöße ausschließlich der Beschwerdeführerin vorgeworfen und

●             Frau XXXX als Vertreterin der Beschuldigten als Beschuldigte einvernommen und alle anderen einvernommen natürlichen Personen als Zeugen einvernommen.●             Frau römisch 40 als Vertreterin der Beschuldigten als Beschuldigte einvernommen und alle anderen einvernommen natürlichen Personen als Zeugen einvernommen.

1.4. Im gegenständlichen Straferkenntnis der belangten Behörde vom 23.10.2019, GZ DSB-D550.148/0017-DSB/2019, wird soweit verfahrensrelevant wie folgt ausgeführt:

„Beschuldigte: XXXX (FN XXXX )„Beschuldigte: römisch 40 (FN römisch 40 )

Die XXXX mit Sitz in XXXX , XXXX , hat […]Die römisch 40 mit Sitz in römisch 40 , römisch 40 , hat […]

als Verantwortliche im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016, S 1, Folgendes zu verantworten:als Verantwortliche im Sinne des Artikel 4, Ziffer 7, der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016, S 1, Folgendes zu verantworten:

[…]

Das pflichtwidrige Verhalten wird der juristischen Person „ XXXX “ zugerechnet, weil die für die Zuwiderhandlungen verantwortlichen natürlichen Personen zu der wirtschaftlichen Einheit gehören, die durch die Verantwortliche als juristische Person gebildet wird. Das pflichtwidrige Verhalten wird der juristischen Person „ römisch 40 “ zugerechnet, weil die für die Zuwiderhandlungen verantwortlichen natürlichen Personen zu der wirtschaftlichen Einheit gehören, die durch die Verantwortliche als juristische Person gebildet wird.

[…]

Begründung:

I. Folgender entscheidungsrelevanter Sachverhalt steht auf Grund des durchgeführten Beweisverfahrens fest: […]römisch eins. Folgender entscheidungsrelevanter Sachverhalt steht auf Grund des durchgeführten Beweisverfahrens fest: […]

1.1. Die XXXX (im Folgenden: XXXX ) betreibt seit XXXX das Gewerbe der Adressverlage und Direktmarketingunternehmen und verkauft im Rahmen des Produktes „ XXXX “ personenbezogene Daten, die sie von Adresshändlern übermittelt bekommt oder die sie selbst erhoben hat.1.1. Die römisch 40 (im Folgenden: römisch 40 ) betreibt seit römisch 40 das Gewerbe der Adressverlage und Direktmarketingunternehmen und verkauft im Rahmen des Produktes „ römisch 40 “ personenbezogene Daten, die sie von Adresshändlern übermittelt bekommt oder die sie selbst erhoben hat.

[…]

2.1. Ab Jänner 2016 erfolgte innerhalb des Geschäftsbereiches „Adressverlage und Direktmarketing“ eine namentliche Zuordnung von sog „ XXXX “.“2.1. Ab Jänner 2016 erfolgte innerhalb des Geschäftsbereiches „Adressverlage und Direktmarketing“ eine namentliche Zuordnung von sog „ römisch 40 “.“

[…]

3.1. Die XXXX übermittelt personenbezogene Echtdaten, die aus dem Geschäftsbereich der XXXX , nämlich dem Bereich des XXXX , an den Geschäftsbereich „Adressverlage und Direktmarketing“, um dort das Selektionskriterium der XXXX einzelnen Personen namentlich zuzuordnen und in Folge zu vermarkten.3.1. Die römisch 40 übermittelt personenbezogene Echtdaten, die aus dem Geschäftsbereich der römisch 40 , nämlich dem Bereich des römisch 40 , an den Geschäftsbereich „Adressverlage und Direktmarketing“, um dort das Selektionskriterium der römisch 40 einzelnen Personen namentlich zuzuordnen und in Folge zu vermarkten.

[…]

4. Zu den unternehmensinternen Verantwortlichkeiten:

4.1. Auf Seiten des Vorstandes war XXXX bis zum XXXX , danach XXXX für den Geschäftsbereich des Adressverlages und Direktmarketing zuständig. Unterhalb der Vorstandsebene ist sodann XXXX als Bereichsleiter des Geschäftsbereichs XXXX verantwortlich; es handelt sich hierbei um jenen Bereich, in dem alle Geschäftstätigkeiten im Zusammenhang mit adressierter Werbung stattfinden. XXXX sind circa 800 Mitarbeiterinnen und Mitarbeiter der XXXX und von Abteilungen, die in ausgegliederten Unternehmen und Konzerntöchtern beschäftigt sind, unterstellt. Darunter auch der Leiter der Fachabteilung „ XXXX “ (kurz: XXXX , XXXX -interne Bezeichnung für jenen Fachbereich, der sich mit dem Adress- und Direktmarketing befasst)), Herr XXXX . Letzterer hat diese Funktion seit XXXX inne, davor leitete XXXX bis zum XXXX diese Abteilung. Das Gewerbe „Adress- und Direktmarketing“ iSd § 151 GewO ist bei der XXXX im Fachbereich „ XXXX “ angesiedelt. Dieser Fachbereich gehört zum Bereich der „ XXXX “.4.1. Auf Seiten des Vorstandes war römisch 40 bis zum römisch 40 , danach römisch 40 für den Geschäftsbereich des Adressverlages und Direktmarketing zuständig. Unterhalb der Vorstandsebene ist sodann römisch 40 als Bereichsleiter des Geschäftsbereichs römisch 40 verantwortlich; es handelt sich hierbei um jenen Bereich, in dem alle Geschäftstätigkeiten im Zusammenhang mit adressierter Werbung stattfinden. römisch 40 sind circa 800 Mitarbeiterinnen und Mitarbeiter der römisch 40 und von Abteilungen, die in ausgegliederten Unternehmen und Konzerntöchtern beschäftigt sind, unterstellt. Darunter auch der Leiter der Fachabteilung „ römisch 40 “ (kurz: römisch 40 , römisch 40 -interne Bezeichnung für jenen Fachbereich, der sich mit dem Adress- und Direktmarketing befasst)), Herr römisch 40 . Letzterer hat diese Funktion seit römisch 40 inne, davor leitete römisch 40 bis zum römisch 40 diese Abteilung. Das Gewerbe „Adress- und Direktmarketing“ iSd Paragraph 151, GewO ist bei der römisch 40 im Fachbereich „ römisch 40 “ angesiedelt. Dieser Fachbereich gehört zum Bereich der „ römisch 40 “.

4.2. Innerhalb dieses Bereiches ist wiederum Frau XXXX Leiterin des Bereiches Produkt- und Qualitätsmanagement; im Zuge dessen ist Frau XXXX auch gewerberechtliche Geschäftsführerin für das Gewerbe Adressverlage und Direktmarketing gemäß § 151 GewO. Zu ihren Aufgaben gehören u.a. Produktentwicklung, Prozesskontrolle und die Beantwortung von Datenschutzanfragen von Betroffenen. Zudem ist Frau XXXX für die Abstimmung mit der Datenschutzbeauftragten der XXXX verantwortlich. Die Position von Frau XXXX wird innerhalb der Unternehmensstruktur als „Datenschutzmanager“ bezeichnet. Als Datenschutzbeauftragte für die XXXX ist unternehmensweit Frau XXXX tätig. Darüber hinaus gibt es in jedem Geschäftsbereich die vorgenannten Datenschutzmanager.4.2. Innerhalb dieses Bereiches ist wiederum Frau römisch 40 Leiterin des Bereiches Produkt- und Qualitätsmanagement; im Zuge dessen ist Frau römisch 40 auch gewerberechtliche Geschäftsführerin für das Gewerbe Adressverlage und Direktmarketing gemäß Paragraph 151, GewO. Zu ihren Aufgaben gehören u.a. Produktentwicklung, Prozesskontrolle und die Beantwortung von Datenschutzanfragen von Betroffenen. Zudem ist Frau römisch 40 für die Abstimmung mit der Datenschutzbeauftragten der römisch 40 verantwortlich. Die Position von Frau römisch 40 wird innerhalb der Unternehmensstruktur als „Datenschutzmanager“ bezeichnet. Als Datenschutzbeauftragte für die römisch 40 ist unternehmensweit Frau römisch 40 tätig. Darüber hinaus gibt es in jedem Geschäftsbereich die vorgenannten Datenschutzmanager.

4.3. Innerhalb der XXXX wurde im Jahr 2017 mit Vorbereitungsmaßnahmen auf das In-Geltung-Treten der DSGVO begonnen. Dieses Projekt intensivierte sich im Herbst 2017 und wurde auch ein externes, international agierendes, Beratungsunternehmen beigezogen. Diese Vorbereitungsmaßnahmen wurde von XXXX als DSGVO-Projekt „Fitness für die DSGVO“ bezeichnet. Ab Dezember 2017 fanden regelmäßig sogenannte „Lenkungsausschüsse“ statt:4.3. Innerhalb der römisch 40 wurde im Jahr 2017 mit Vorbereitungsmaßnahmen auf das In-Geltung-Treten der DSGVO begonnen. Dieses Projekt intensivierte sich im Herbst 2017 und wurde auch ein externes, international agierendes, Beratungsunternehmen beigezogen. Diese Vorbereitungsmaßnahmen wurde von römisch 40 als DSGVO-Projekt „Fitness für die DSGVO“ bezeichnet. Ab Dezember 2017 fanden regelmäßig sogenannte „Lenkungsausschüsse“ statt:

4.4. Projektauftraggeber war der Vorstand von XXXX ( XXXX ). Der Lenkungsausschuss selbst setzte sich aus folgenden Personen zusammen:4.4. Projektauftraggeber war der Vorstand von römisch 40 ( römisch 40 ). Der Lenkungsausschuss selbst setzte sich aus folgenden Personen zusammen:

- XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX - römisch 40
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX

Der erweiterte Lenkungsausschuss umfasste zusätzlich noch die Vorstandsmitglieder.

4.5. Die Projektleitung oblag der Datenschutzbeauftragten von XXXX , Frau XXXX .4.5. Die Projektleitung oblag der Datenschutzbeauftragten von römisch 40 , Frau römisch 40 .

4.6. Es fanden sog. Projektteam-Jour-Fixes, Projektleitungs-Jour-Fixes jeweils wöchentlich, Lenkungsausschuss-Sitzungen jedenfalls monatlich und erweiterte Lenkungsausschuss-Sitzungen zweimonatlich statt, wobei letztere ab März 2018 monatlich stattfanden. Zudem wurden anlassfallbezogen Themen in Vorstandssitzungen behandelt. An den Projektleitungs-Jour-Fixes nahmen XXXX teil.4.6. Es fanden sog. Projektteam-Jour-Fixes, Projektleitungs-Jour-Fixes jeweils wöchentlich, Lenkungsausschuss-Sitzungen jedenfalls monatlich und erweiterte Lenkungsausschuss-Sitzungen zweimonatlich statt, wobei letztere ab März 2018 monatlich stattfanden. Zudem wurden anlassfallbezogen Themen in Vorstandssitzungen behandelt. An den Projektleitungs-Jour-Fixes nahmen römisch 40 teil.

4.7. Zusammengefasst war nach Aussagen von XXXX Ziel dieses Projektes, die Voraussetzungen für eine ganzheitliche Umsetzung der DSGVO durch eine risikoorientierte Priorisierung in mehreren Phasen zu schaffen. Dieser Projektauftrag wurde vom Vorstand und vom Lenkungsausschuss beschlossen und umgesetzt. Für die Projekt-Umsetzung wurde eine Projektsteuerung aus Vertretern der Rechtsabteilung und Revision eingesetzt. Die regelmäßige Berichterstattung zum Projektfortschritt erfolgte an den Vorstand und die Unternehmensführung.4.7. Zusammengefasst war nach Aussagen von römisch 40 Ziel dieses Projektes, die Voraussetzungen für eine ganzheitliche Umsetzung der DSGVO durch eine risikoorientierte Priorisierung in mehreren Phasen zu schaffen. Dieser Projektauftrag wurde vom Vorstand und vom Lenkungsausschuss beschlossen und umgesetzt. Für die Projekt-Umsetzung wurde eine Projektsteuerung aus Vertretern der Rechtsabteilung und Revision eingesetzt. Die regelmäßige Berichterstattung zum Projektfortschritt erfolgte an den Vorstand und die Unternehmensführung.

4.8. Leiterin der konzernweiten Rechtsabteilung der XXXX ist XXXX , diese ist Prokuristin der XXXX . In dieser Funktion ist sie auch im Innenverhältnis konzernweit für die Einhaltung des Datenschutzrechts verantwortlich.4.8. Leiterin der konzernweiten Rechtsabteilung der römisch 40 ist römisch 40 , diese ist Prokuristin der römisch 40 . In dieser Funktion ist sie auch im Innenverhältnis konzernweit für die Einhaltung des Datenschutzrechts verantwortlich.

[…]

4.9. Die jeweilige Produktverantwortung liegt bei den jeweiligen Leitern der betreffenden Fachbereiche. Bei rechtlichen Fragen wird die Rechtsabteilung befasst und sind rechtserhebliche Dokumente (bspw. Eingaben und Anträge an Behörden und Gerichte) von der Leiterin der Rechtsabteilung zu genehmigen.

4.10. Hinsichtlich der Verarbeitung von Daten betreffend die „Parteiaffinitäten“ wurde auf Seiten der Fachbereichsleiter, der Leiterin der Rechtsabteilung und der Datenschutzbeauftragten kein rechtliches Risiko im Hinblick auf das In-Geltung-Treten der DSGVO mit 25.05.2018 erkannt; dies deshalb nicht, weil – entgegen der eigenen Praxis im Falle von Auskunftsbegehren nach Art 15 DSGVO – davon ausgegangen wurde, dass es sich nicht um personenbezogene Daten, sondern um statistische Hochrechnungen handelt. Für den Bereich des Direktmarketings wurde Frau XXXX als Datenschutzmanager (DSM) eingesetzt, nach Einschätzung der XXXX verfügt diese über eine datenschutzrechtliche Expertise und wurde die Datenverarbeitung von ihr als unkritisch beurteilt. Folglich wurde auf die Einholung einer unabhängigen externen rechtlichen Beurteilung verzichtet.4.10. Hinsichtlich der Verarbeitung von Daten betreffend die „Parteiaffinitäten“ wurde auf Seiten der Fachbereichsleiter, der Leiterin der Rechtsabteilung und der Datenschutzbeauftragten kein rechtliches Risiko im Hinblick auf das In-Geltung-Treten der DSGVO mit 25.05.2018 erkannt; dies deshalb nicht, weil – entgegen der eigenen Praxis im Falle von Auskunftsbegehren nach Artikel 15, DSGVO – davon ausgegangen wurde, dass es sich nicht um personenbezogene Daten, sondern um statistische Hochrechnungen handelt. Für den Bereich des Direktmarketings wurde Frau römisch 40 als Datenschutzmanager (DSM) eingesetzt, nach Einschätzung der römisch 40 verfügt diese über eine datenschutzrechtliche Expertise und wurde die Datenverarbeitung von ihr als unkritisch beurteilt. Folglich wurde auf die Einholung einer unabhängigen externen rechtlichen Beurteilung verzichtet.

4.11. Auch die Datenschutzbeauftragte, Frau XXXX , hatte in Bezug auf das rechtliche Risiko betreffend die Datenverarbeitung zur Erstellung und dem Verkauf des Selektionskriteriums der „Parteiaffinitäten“ im Rahmen des Vorbereitungsprojektes auf die DSGVO keine Bedenken geäußert. Gleiches gilt für die Leiterin der konzernweiten Rechtsabteilung der XXXX .4.11. Auch die Datenschutzbeauftragte, Frau römisch 40 , hatte in Bezug auf das rechtliche Risiko betreffend die Datenverarbeitung zur Erstellung und dem Verkauf des Selektionskriteriums der „Parteiaffinitäten“ im Rahmen des Vorbereitungsprojektes auf die DSGVO keine Bedenken geäußert. Gleiches gilt für die Leiterin der konzernweiten Rechtsabteilung der römisch 40 .

4.12. Im Rahmen des gesamten Ermittlungsverfahrens vor der Datenschutzbehörde wurden seitens der XXXX keinerlei Unterlagen vorgelegt, aus denen sich eine eingehende rechtliche Auseinandersetzung und Prüfung der Rechtsfrage, ob die Datenverarbeitungen im Zusammenhang mit der Erstellung und dem Verkauf des Selektionskriteriums der „Parteiaffinitäten“ im Rahmen des Produktangebotes des Gewerbes „Adressverlage und Direktmarketing“ mit Blick auf das In-Geltung-Treten der DSGVO mit dieser in Einklang stehen bzw. in Einklang gebracht werden können. Es liegen keine diesbezüglichen Sitzungsprotokolle zu den oben genannten Vorbereitungssitzungen auf die DSGVO vor, da solche von den maßgebenden Leitungspersonen der Fachbereiche der XXXX nicht angefertigt wurden. Bei den bezughabenden Sitzungen wurden demnach PowerPoint Präsentationen erstellt und individuelle Mitschriften angefertigt. Offene Punkte wurden in der jeweils nächsten Sitzung angesprochen.4.12. Im Rahmen des gesamten Ermittlungsverfahrens vor der Datenschutzbehörde wurden seitens der römisch 40 keinerlei Unterlagen vorgelegt, aus denen sich eine eingehende rechtliche Auseinandersetzung und Prüfung der Rechtsfrage, ob die Datenverarbeitungen im Zusammenhang mit der Erstellung und dem Verkauf des Selektionskriteriums der „Parteiaffinitäten“ im Rahmen des Produktangebotes des Gewerbes „Adressverlage und Direktmarketing“ mit Blick auf das In-Geltung-Treten der DSGVO mit dieser in Einklang stehen bzw. in Einklang gebracht werden können. Es liegen keine diesbezüglichen Sitzungsprotokolle zu den oben genannten Vorbereitungssitzungen auf die DSGVO vor, da solche von den maßgebenden Leitungspersonen der Fachbereiche der römisch 40 nicht angefertigt wurden. Bei den bezughabenden Sitzungen wurden demnach PowerPoint Präsentationen erstellt und individuelle Mitschriften angefertigt. Offene Punkte wurden in der jeweils nächsten Sitzung angesprochen.

4.13. Produkte des XXXX wurden im Rahmen der DSGVO-Vorbereitung nicht thematisiert. Ziel war nach Angabe der Leiterin der Rechtsabteilung eine generelle Information des Vorstandes über die DSGVO mit dem Auftrag, dass die jeweiligen Organisationseinheiten sich damit auseinandersetzten und gegebenenfalls erforderlichen Änderungsbedarf melden. Es wurden Rahmenbedingungen vorgegeben wie z.B.: das Verzeichnis der Verarbeitungstätigkeiten und regelmäßige Jour Fixe der Datenschutzmanager. Hinsichtlich des XXXX in Bezug auf Parteiaffinitäten lautete die Beurteilung, dass kein Änderungsbedarf besteht. Ein Änderungsbedarf wäre dem Vorstand gemeldet worden; dies beispielsweise dann, wenn eine Änderung voraussichtliche Auswirkungen auf den Umsatz gehabt hätte oder ein Investitionsbedarf bestanden hätte.4.13. Produkte des römisch 40 wurden im Rahmen der DSGVO-Vorbereitung nicht thematisiert. Ziel war nach Angabe der Leiterin der Rechtsabteilung eine generelle Information des Vorstandes über die DSGVO mit dem Auftrag, dass die jeweiligen Organisationseinheiten sich damit auseinandersetzten und gegebenenfalls erforderlichen Änderungsbedarf melden. Es wurden Rahmenbedingungen vorgegeben wie z.B.: das Verzeichnis der Verarbeitungstätigkeiten und regelmäßige Jour Fixe der Datenschutzmanager. Hinsichtlich des römisch 40 in Bezug auf Parteiaffinitäten lautete die Beurteilung, dass kein Änderungsbedarf besteht. Ein Änderungsbedarf wäre dem Vorstand gemeldet worden; dies beispielsweise dann, wenn eine Änderung voraussichtliche Auswirkungen auf den Umsatz gehabt hätte oder ein Investitionsbedarf bestanden hätte.

[…]

III. Rechtlich folgt daraus: römisch III. Rechtlich folgt daraus:

[…]

2.17. […] Konkret besteht das subjektiv vorwerfbare Verhalten der Beschuldigten darin, dass es keinerlei rechtlich eingehende und fundierte Auseinandersetzung mit allfälligen rechtlichen Risiken im Zusammenhang mit dem Produktangebot dieses Geschäftsbereiches im Allgemeinen und dem an politische Gruppierungen entgeltlich bereitgestellten Selektionskriterium der vermeintlichen Parteiaffinitäten im Besonderen und den strengen Vorgaben der DSGVO – näherhin deren Begriffsverständnis, den Verarbeitungsgrundsätzen in Art. 5 und dem Verarbeitungsverbot in Art. 9 Abs. 1 – mit dem Ziel gegeben hat, sämtliche Verarbeitungsvorgänge in Einklang mit den datenschutzrechtlichen Vorgaben zu bringen.2.17. […] Konkret besteht das subjektiv vorwerfbare Verhalten der Beschuldigten darin, dass es keinerlei rechtlich eingehende und fundierte Auseinandersetzung mit allfälligen rechtlichen Risiken im Zusammenhang mit dem Produktangebot dieses Geschäftsbereiches im Allgemeinen und dem an politische Gruppierungen entgeltlich bereitgestellten Selektionskriterium der vermeintlichen Parteiaffinitäten im Besonderen und den strengen Vorgaben der DSGVO – näherhin deren Begriffsverständnis, den Verarbeitungsgrundsätzen in Artikel 5 und dem Verarbeitungsverbot in Artikel 9, Absatz eins, – mit dem Ziel gegeben hat, sämtliche Verarbeitungsvorgänge in Einklang mit den datenschutzrechtlichen Vorgaben zu bringen.

Im Zuge des Ermittlungsverfahrens konnten weder von der Datenschutzbeauftragten, noch von der Leiterin der Rechtsabteilung (einer Prokuristin des Unternehmens), dem Leiter des Geschäftsbereiches „ XXXX “ oder der Leiterin der Fachabteilung für Produkt- und Qualitätsmanagement innerhalb dieses Geschäftsbereiches (bei ihr handelt es sich um die langjährige gewerberechtliche Geschäftsführerin für das Gewerbe des § 151 GewO), schriftliche Belege erbracht werden, aus denen eine – der Unternehmensgröße und der enormen Anzahl an verarbeiteten Datensätzen entsprechende sowie in Anbetracht der großen Anzahl an potenziell Betroffenen hiervon – angemessene rechtliche Analyse dieses Geschäftsbereiches ableitbar gewesen wäre.Im Zuge des Ermittlungsverfahrens konnten weder von der Datenschutzbeauftragten, noch von der Leiterin der Rechtsabteilung (einer Prokuristin des Unternehmens), dem Leiter des Geschäftsbereiches „ römisch 40 “ oder der Leiterin der Fachabteilung für Produkt- und Qualitätsmanagement innerhalb dieses Geschäftsbereiches (bei ihr handelt es sich um die langjährige gewerberechtliche Geschäftsführerin für das Gewerbe des Paragraph 151, GewO), schriftliche Belege erbracht werden, aus denen eine – der Unternehmensgröße und der enormen Anzahl an verarbeiteten Datensätzen entsprechende sowie in Anbetracht der großen Anzahl an potenziell Betroffenen hiervon – angemessene rechtliche Analyse dieses Geschäftsbereiches ableitbar gewesen wäre.

So konnte beispielsweise kein (wenn auch internes) Rechtsgutachten oder ein rechtlicher Problemaufriss vorgelegt werden, der sich mit der von der Beschuldigten vertretenen Rechtsauffassung hierzu auseinandersetzte.

[…]

Hierin drückt sich aber das subjektiv vorwerfbare Verhalten auf Seiten der Beschuldigten aus und wäre im Hinblick auf ein rechtmäßiges Alternativverhalten Folgendes angezeigt gewesen:

- Die Datenschutzbeauftragte hätte, gegebenenfalls unter Konsultierung einer unabhängigen externen Datenschutzexpertise das Produktangebot der Parteiaffinitäten – aber auch die übrigen Produktangebote der fraglichen Geschäftsbereiche im Zusammenhang mit dem Direktmarketing – einer eingehenden Prüfung unterziehen und den Überlegungen des Projektes „Fit für die DSGVO“ zu Grunde legen müssen;

- in Ermangelung einer solchen hätte die Leiterin der Rechtsabteilung sowie der Leiter des Geschäftsbereiches „ XXXX “ eine solche Prüfung vornehmen oder veranlassen müssen;- in Ermangelung einer solchen hätte die Leiterin der Rechtsabteilung sowie der Leiter des Geschäftsbereiches „ römisch 40 “ eine solche Prüfung vornehmen oder veranlassen müssen;

- in letzter Konsequenz hätte der Vorstand eine derartige Prüfung mit dem Ziel veranlassen müssen, einen datenschutzrechtskonformen Zustand sämtlicher fraglichen Geschäftsbereiche der XXXX sicherzustellen.- in letzter Konsequenz hätte der Vorstand eine derartige Prüfung mit dem Ziel veranlassen müssen, einen datenschutzrechtskonformen Zustand sämtlicher fraglichen Geschäftsbereiche der römisch 40 sicherzustellen.

Die Unterlassung all dessen ist, in Bezug auf den Umfang der Datenverarbeitungen, der Anzahl an Betroffenen und der für diese potenziell hieraus resultierenden Gefahren für deren grundrechtlich geschützten Rechtspositionen, als grob fahrlässiges Verhalten anzusehen.

2.18. Zusammengefasst wäre es der Beschuldigten – schon allein aufgrund ihrer Größe, ihrer Marktstellung, dem zur Verfügung stehenden Wissen und den verfügbaren Humankapazitäten – jedenfalls zumutbar gewesen, sich substanziell mit der Rechtsfrage nach der datenschutzrechtlichen Qualifikation der von ihr vermarkteten Parteiaffinitäten zu befassen und im Ergebnis das Produktangebot des Geschäftsbereiches „Adressverlage und Direktmarketing“ mit den rechtlichen Vorgaben der DSGVO in Einklang zu bringen. Die schlichte Annahme, es bestehe kein datenschutzrechtliches Problem bzw. das Nichterkennen eines solchen ist der Beschuldigten jedenfalls vorwerfbar. […]

3. Zu Spruchpunkt II.a):3. Zu Spruchpunkt römisch II.a):

[…]

3.12. Zur subjektiven Tatseite kann sinngemäß auf die diesbezügliche Begründung zu Spruchpunkt I. verwiesen werden. Zusammengefasst wäre es den unter Pkt. I.4. bezeichneten Verantwortungsträgern der Beschuldigten jedenfalls auch diesfalls zumutbar gewesen, sich substanziell mit der Rechtsfrage nach der datenschutzrechtlichen Zulässigkeit der von ihr vorgenommenen (Weiter-)Verarbeitungsvorgänge zu befassen und im Ergebnis das Produktangebot des Geschäftsbereiches „Adressverlage und Direktmarketing“ mit den rechtlichen Vorgaben der DSGVO in Einklang zu bringen.3.12. Zur subjektiven Tatseite kann sinngemäß auf die diesbezügliche Begründung zu Spruchpunkt römisch eins. verwiesen werden. Zusammengefasst wäre es den unter Pkt. römisch eins.4. bezeichneten Verantwortungsträgern der Beschuldigten jedenfalls auch diesfalls zumutbar gewesen, sich substanziell mit der Rechtsfrage nach der datenschutzrechtlichen Zulässigkeit der von ihr vorgenommenen (Weiter-)Verarbeitungsvorgänge zu befassen und im Ergebnis das Produktangebot des Geschäftsbereiches „Adressverlage und Direktmarketing“ mit den rechtlichen Vorgaben der DSGVO in Einklang zu bringen.

[…]

6. Zu Spruchpunkt IV.: […]6. Zu Spruchpunkt römisch IV.: […]

6.2. Die Beschuldigte verneint in der Datenschutz-Folgenabschätzung die Verarbeitung von besonderen Kategorien personenbezogener Daten, insbesondere der potentiellen politischen Meinung, obwohl die „Parteiaffinität“ in Anhang 2D genannt wird. Folglich wurde dieses Datum nicht in die Beurteilung einbezogen.

6.3. Dadurch, dass die Beschuldigte in der Datenschutz-Folgenabschätzung zum Schluss kommt, dass keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeitet werden und insofern die Risikobewertung im Sinne des Art. 35 Abs. 7 lit. c DSGVO falsch vorgenommen wurde, ist die Datenschutz-Folgenabschätzung „ XXXX Zielgruppenadressen“ fehlerhaft. Die Beschuldigte hat hierdurch die objektive Tatseite der Sanktionsnorm des Art. 83 Abs. 4 lit. a DSGVO erfüllt.6.3. Dadurch, dass die Beschuldigte in der Datenschutz-Folgenabschätzung zum Schluss kommt, dass keine besonderen Kategorien personenbezogener Daten im Sinne des Artikel 9, DSGVO verarbeitet werden und insofern die Risikobewertung im Sinne des Artikel 35, Absatz 7, Litera c, DSGVO falsch vorgenommen wurde, ist die Datenschutz-Folgenabschätzung „ römisch 40 Zielgruppenadressen“ fehlerhaft. Die Beschuldigte hat hierdurch die objektive Tatseite der Sanktionsnorm des Artikel 83, Absatz 4, Litera a, DSGVO erfüllt.

6.4. Dieser Verstoß ist der Beschuldigten auch subjektiv vorwerfbar: Es wäre die Pflicht der Datenschutzbeauftragten und der sonstigen in Pkt. I.4. genannten Verantwortungsträger gewesen, eine korrekte datenschutzrechtliche Einschätzung der Datenqualität in Bezug auf die Parteiaffinität vorzunehmen und in die Risikobewertung nach Art. 35 Abs. 7 DSGVO einfließen zu lassen und hieraus die erforderlichen Schlussfolgerungen abzuleiten. In Bezug auf den Verschuldensgrad wird in diesem Zusammenhang von schlicht fahrlässigem Verhalten ausgegangen, da das diesbezügliche Verhalten eine Folge der generellen Fehleinschätzung der Parteiaffinitäten ist, wonach diese nicht den von Art 9 Abs. 1 DSGVO aufgezählten besonderen Datenarten zuzurechnen seien.6.4. Dieser Verstoß ist der Beschuldigten auch subjektiv vorwerfbar: Es wäre die Pflicht der Datenschutzbeauftragten und der sonstigen in Pkt. römisch eins.4. genannten Verantwortungsträger gewesen, eine korrekte datenschutzrechtliche Einschätzung der Datenqualität in Bezug auf die Parteiaffinität vorzunehmen und in die Risikobewertung nach Artikel 35, Absatz 7, DSGVO einfließen zu lassen und hieraus die erforderlichen Schlussfolgerungen abzuleiten. In Bezug auf den Verschuldensgrad wird in diesem Zusammenhang von schlicht fahrlässigem Verhalten ausgegangen, da das diesbezügliche Verhalten eine Folge der generellen Fehleinschätzung der Parteiaffinitäten ist, wonach diese nicht den von Artikel 9, Absatz eins, DSGVO aufgezählten besonderen Datenarten zuzurechnen seien.

7. Zu den Spruchpunkten V. und VI.:7. Zu den Spruchpunkten römisch fünf. und römisch VI.:

[…]

7.6. Auf Grund der mangelhaften Führung des Verzeichnisses von Verarbeitungstätigkeiten wurde von der Beschuldigten die objektive Tatseite der Sanktionsnorm des Art. 83 Abs. 4 lit. a DSGVO erfüllt.7.6. Auf Grund der mangelhaften Führung des Verzeichnisses von Verarbeitungstätigkeiten wurde von der Beschuldigten die objektive Tatseite der Sanktionsnorm des Artikel 83, Absatz 4, Litera a, DSGVO erfüllt.

7.7. Dieses Verhalten ist der Beschuldigten auch subjektiv vorwerfbar, da die Verantwortungsträger die Einhaltung der Erfordernisse eines mangelfreien und vollständigen Verzeichnisses von Verarbeitungstätigkeiten hätten sicherstellen müssen. In Bezug auf Spruchpunkt V. wird von grob fahrlässigem Verhalten ausgegangen. Das Versäumnis der nicht ausreichend detaillierten Aufzählung der Kategorien personenbezogener Daten wird als schlicht fahrlässiges Verhalten gewertet.7.7. Dieses Verhalten ist der Beschuldigten auch subjektiv vorwerfbar, da die Verantwortungsträger die Einhaltung der Erfordernisse eines mangelfreien und vollständigen Verzeichnisses von Verarbeitungstätigkeiten hätten sicherstellen müssen. In Bezug auf Spruchpunkt römisch fünf. wird von grob fahrlässigem Verhalten ausgegangen. Das Versäumnis der nicht ausreichend detaillierten Aufzählung der Kategorien personenbezogener Daten wird als schlicht fahrlässiges Verhalten gewertet.

8. Zur Zurechenbarkeit der Zuwiderhandlungen zur Beschuldigten:

[…]

8.6. Für den vorliegenden Sachverhalt bedeutet dies Folgendes: Die vorgeworfenen Zuwiderhandlungen sind jedenfalls der Beschuldigten zurechenbar. Sie wurden von natürlichen Personen begangen, die für die juristische Person handlungsbefugt waren und folglich Handlungen in ihrem Namen setzen konnten. Es kann auch nicht gesagt werden, dass die Verantwortungsträger der Beschuldigten nichts davon wussten; dies ergibt sich aus den hierzu umfassend geführten Ermittlungen und den daraus unter Pkt. I.4. dargelegten Feststellungen. Demnach waren sowohl der Vorstand, als auch die Prokuristen und sämtliche sonstigen Führungskräfte bis hin zur Datenschutzbeauftragten in voller Kenntnis sämtlicher Datenverarbeitungsvorgänge, und waren diese auch in das speziell hierzu durchgeführte Arbeitsprojekt zur Vorbereitung auf das In-Geltung-Treten der DSGVO einbezogen. Letztlich wäre es im Kompetenzbereich des Vorstandes gelegen, einen mit dem geltenden Datenschutzrecht zu vereinbarenden Geschäftsbetrieb sicherzustellen.8.6. Für den vorliegenden Sachverhalt bedeutet dies Folgendes: Die vorgeworfenen Zuwiderhandlungen sind jedenfalls der Beschuldigten zurechenbar. Sie wurden von natürlichen Personen begangen, die für die juristische Person handlungsbefugt waren und folglich Handlungen in ihrem Namen setzen konnten. Es kann auch nicht gesagt werden, dass die Verantwortungsträger der Beschuldigten nichts davon wussten; dies ergibt sich aus den hierzu umfassend geführten Ermittlungen und den daraus unter Pkt. römisch eins.4. dargelegten Feststellungen. Demnach waren sowohl der Vorstand, als auch die Prokuristen und sämtliche sonstigen Führungskräfte bis hin zur Datenschutzbeauftragten in voller Kenntnis sämtlicher Datenverarbeitungsvorgänge, und waren diese auch in das speziell hierzu durchgeführte Arbeitsprojekt zur Vorbereitung auf das In-Geltung-Treten der DSGVO einbezogen. Letztlich wäre es im Kompetenzbereich des Vorstandes gelegen, einen mit dem geltenden Datenschutzrecht zu vereinbarenden Geschäftsbetrieb sicherzustellen.

8.7. Die handelnden natürlichen Personen gehörten im Tatzeitraum zur wirtschaftlichen Einheit, die durch die Beschuldigte gebildet wird. Die Beschuldigte hat dies zu keinem Zeitpunkt im Verfahren vor der Datenschutzbehörde bestritten.

8.8. Folglich liegt ein hinreichender Konnex zwischen den handelnden natürlichen Personen und der juristischen Person vor, der es erlaubt, ihr das rechtswidrige und schuldhafte Verhalten zuzurechnen.

8.9. Eine konkrete Benennung der natürlichen Personen, die innerhalb der Beschuldigten schuldhaft gehandelt haben oder für die möglicherweise fehlerhafte Organisation der Beschuldigten hätten verantwortlich gemacht werden müssen, ist nicht erforderlich, um eine Geldbuße gegen eine juristische Person zu verhängen. […]“

1.5. Weitere Ausführungen zum Handeln natürlicher Personen finden sich im Straferkenntnis nicht.

2. Die Feststellungen ergeben sich aus der folgenden Beweiswürdigung:

Die Feststellungen gründen auf dem unbedenklichen Verwaltungsakt.

3. Rechtlich folgt daraus:

3.1. Die zulässige Beschwerde ist berechtigt.

3.2. Die Beschwerdeführerin bringt gegen das Straferkenntnis ua sinngemäß vor, es sei für die Verhängung einer Geldbuße nach der DSGVO gegen eine juristische Person, wie der Betroffenen, nicht ausreichend, einen Straftatbestand zu erfüllen, es muss ihr als juristische Person, die nicht selbst handeln kann, auch das Handeln einer natürlichen Person zugerechnet werden. Diese gemäß § 30 DSG vorzunehmende Zurechnung habe die belangte Behörde unterlassen. Mit diesem Vorbringen ist die Beschwerdeführerin im Recht:3.2. Die Beschwerdeführerin bringt gegen das Straferkenntnis ua sinngemäß vor, es sei für die Verhängung einer Geldbuße nach der DSGVO gegen eine juristische Person, wie der Betroffenen, nicht ausreichend, einen Straftatbestand zu erfüllen, es muss ihr als juristische Person, die nicht selbst handeln kann, auch das Handeln einer natürlichen Person zugerechnet werden. Diese gemäß Paragraph 30, DSG vorzunehmende Zurechnung habe die belangte Behörde unterlassen. Mit diesem Vorbringen ist die Beschwerdeführerin im Recht:

3.3. Gemäß § 30 Abs 1 DSG kann die belangte Behörde Geldbußen gegen juristische Personen ua verhängen, wenn Verstöße gegen Bestimmungen der DSGVO durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund der Befugnis zur Vertretung der juristischen Person, der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder einer Kontrollbefugnis innerhalb der juristischen Person innehaben.3.3. Gemäß Paragraph 30, Absatz eins, DSG kann die belangte Behörde Geldbußen gegen juristische Personen ua verhängen, wenn Verstöße gegen Bestimmungen der DSGVO durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund der Befugnis zur Vertretung der juristischen Person, der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder einer Kontrollbefugnis innerhalb der juristischen Person innehaben.

Juristische Personen können gemäß § 30 Abs 2 DSG wegen Verstößen gegen Bestimmungen der DSGVO und des § 1 oder Artikel 2 1. Hauptstück auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs 1 genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.Juristische Personen können gemäß Paragraph 30, Absatz 2, DSG wegen Verstößen gegen Bestimmungen der DSGVO und des Paragraph eins, oder Artikel 2 1. Hauptstück auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Absatz eins, genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

3.4. Für eine Verhängung einer Geldbuße nach der DSGVO über eine juristischen Person sind im Straferkenntnis die zur Beurteilung eines tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens, das auch allfälligen zusätzlichen Voraussetzungen der Strafbarkeit genügt, erforderlichen Feststellungen zu treffen und im Spruch alle notwendigen Elemente für eine Bestrafung der natürlichen Person aufzunehmen (§ 44a VStG), mit dem Zusatz, dass das Verhalten der natürlichen Person der juristischen Person zugerechnet werde. (VwGH 12.05.2020, Ro 2019/04/0229 unter Verweis auf VwGH 29.03.2019, Ro 2018/02/0023)3.4. Für eine Verhängung einer Geldbuße nach der DSGVO über eine juristischen Person sind im Straferkenntnis die zur Beurteilung eines tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens, das auch allfälligen zusätzlichen Voraussetzungen der Strafbarkeit genügt, erforderlichen Feststellungen zu treffen und im Spruch alle notwendigen Elemente für eine Bestrafung der natürlichen Person aufzunehmen (Paragraph 44 a, VStG), mit dem Zusatz, dass das Verhalten der natürlichen Person der juristischen Person zugerechnet werde. (VwGH 12.05.2020, Ro 2019/04/0229 unter Verweis auf VwGH 29.03.2019, Ro 2018/02/0023)

3.5. Angewendet auf den konkreten Sachverhalt bedeutet das:

3.6. Die belangte Behörde hat im Spruch des Straferkenntnisses die natürliche Person, deren Verstoß gegen die DSGVO der Beschwerdeführerin zugerechnet werden soll, nicht benannt. Das Straferkenntnis erweist sich daher als rechtswidrig.

3.7. Eine Heilung dieses Mangels ist dem Verwaltungsgericht verwehrt. Zwar ist das Verwaltungsgericht befugt und verpflichtet einen fehlerhaften Spruch zu korrigieren und allenfalls fehlende Feststellungen zu treffen, es darf dabei aber die vorgeworfene Tat nicht austauschen.

Ein unzulässiges Austauschen des Tatvorwurfs stellt eine im Beschwerdeverfahren durch das Verwaltungsgericht vorgenommene Erweiterung des Tatvorwurfs bzw die Heranziehung eines anderen als des ursprünglich der Bestrafung zu Grunde gelegten Sachverhalts dar. Eine Befugnis der Verwaltungsgerichte zur Ausdehnung des Gegenstands des Verfahrens über die Sache des Verwaltungsstrafverfahrens im Sinn des § 50 VwGVG hinaus besteht nicht. Wenn sich der Tatvorwurf gegen die Beschwerdeführerin als juristische Person richtet, ist – wegen der Abhängigkeit der Strafbarkeit der juristischen Person von der Übertretung der ihr zurechenbaren natürlichen Person – darin auch der Vorwurf gegen die darin zu nennende natürliche Person enthalten. (zum Ganzen siehe VwGH 12.05.2020 Ro 2019/04/0229)Ein unzulässiges Austauschen des Tatvorwurfs stellt eine im Beschwerdeverfahren durch das Verwaltungsgericht vorgenommene Erweiterung des Tatvorwurfs bzw die Heranziehung eines anderen als des ursprünglich der Bestrafung zu Grunde gelegten Sachverhalts dar. Eine Befugnis der Verwaltungsgerichte zur Ausdehnung des Gegenstands des Verfahrens über die Sache des Verwaltungsstrafverfahrens im Sinn des Paragraph 50, VwGVG hinaus besteht nicht. Wenn sich der Tatvorwurf gegen die Beschwerdeführerin als juristische Person richtet, ist – wegen der Abhängigkeit der Strafbarkeit der juristischen Person von der Übertretung der ihr zurechenbaren natürlichen Person – darin auch der Vorwurf gegen die darin zu nennende natürliche Person enthalten. (zum Ganzen siehe VwGH 12.05.2020 Ro 2019/04/0229)

3.8. Die belangte Behörde hat weder im verwaltungsbehördlichen Beweisverfahren noch im Spruch eine natürliche Person benannt, deren Verhalten der Beschwerdeführerin zugerechnet werden hätte sollen. Auch in der Begründung des Straferkenntnisses, das zur Interpretation des Spruches herangezogen werden könnte, wird kein tatbestandsmäßiges, rechtswidriges und schuldhaftes Verhalten einer natürlichen Person dargelegt, das der juristischen Person zugerechnet werden soll. Zwar stellt die belangte Behörde diverse Verantwortlichkeiten fest; es finden sich aber keine Feststellungen, wer letztlich die Entscheidung getroffen hat, die als rechtswidrig erkannten Datenverarbeitungen durchzuführen oder die Datenschutz-Folgenabschätzung und das Verzeichnis der Verarbeitungstätigkeiten in der als rechtswidrig erkannten Art zu erstellen bzw welche mangelnde Überwachung oder Kontrolle die Rechtswidrigkeiten ermöglicht haben soll.

3.9. Damit würde im Verwaltungsstrafverfahren gegen die juristische Person die Konkretisierung der natürlichen Person, für deren tatbestandsmäßiges Verhalten die juristische Person zur Verantwortung gezogen wird, erst im Beschwerdeverfahren eine unzulässige Änderung des Tatvorwurfs und der Sache des Verfahrens im Sinne des § 50 VwGVG darstellen.3.9. Damit würde im Verwaltungsstrafverfahren gegen die juristische Person die Konkretisierung der natürlichen Person, für deren tatbestandsmäßiges Verhalten die juristische Person zur Verantwortung gezogen wird, erst im Beschwerdeverfahren eine unzulässige Änderung des Tatvorwurfs und der Sache des Verfahrens im Sinne des Paragraph 50, VwGVG darstellen.

3.10. Da die fehlende Konkretisierung des Tatvorwurfs ein prozessuales Hindernis einer Überprüfung durch das Bundesverwaltungsgericht darstellt (vgl Honeder/ Praschl-Bischler, Sache und Sachentscheidung bei unkonkretem Spruch im Verwaltungsstrafverfahren, ZVG 2016, 294), war das gegenständliche Strafverfahren einzustellen.3.10. Da die fehlende Konkretisierung des Tatvorwurfs ein prozessuales Hindernis einer Überprüfung durch das Bundesverwaltungsgericht darstellt vergleiche Honeder/ Praschl-Bischler, Sache und Sachentscheidung bei unkonkretem Spruch im Verwaltungsstrafverfahren, ZVG 2016, 294), war das gegenständliche Strafverfahren einzustellen.

3.11.Der Anregung der belangten Behörde, dem EuGH die Frage zur Vorabentscheidung vorzulegen, ob für die Verhängung einer Geldbuße nach DSGVO ein tatbestandsmäßiges, rechtswidriges und schuldhaftes Verhalten einer natürlichen Person dargetan werden müsse, war nicht zu entsprechen. So vermögen die zitierten Entscheidungen des französischen Conseil d’État und des Landgerichts Bonn keine uneinheitliche Anwendung des Europarechts in den einzelnen Mitgliedsstaaten darzulegen:

So sind gemäß Art 83 Abs 8 DSGVO bei der Verhängung von Geldbußen auch die Verfahrensvorschriften der Mitgliedstaaten zu beachten. So sind gemäß Artikel 83, Absatz 8, DSGVO bei der Verhängung von Geldbußen auch die Verfahrensvorschriften der Mitgliedstaaten zu beachten.

Das Erfordernis für die Verhängung einer Geldbuße über eine juristische Person, eine natürliche Person konkret zu benennen, deren Verhalten der juristischen Person zugerechnet werden soll, gründet in einer solchen verfahrensrechtlichen Bestimmung, nämlich § 44a Z 1 VStG.Das Erfordernis für die Verhängung einer Geldbuße über eine juristische Person, eine natürliche Person konkret zu benennen, deren Verhalten der juristischen Person zugerechnet werden soll, gründet in einer solchen verfahrensrechtlichen Bestimmung, nämlich Paragraph 44 a, Ziffer eins, VStG.

Gemäß § 44a Z 1 VStG ist es rechtlich geboten, die Tat hinsichtlich des Täters und der Tatumstände so genau zu umschreiben, dass die Zuordnung des Tatverhaltens zur Verwaltungsvorschrift, die durch die Tat verletzt worden ist, in Ansehung aller Tatbestandsmerkmale ermöglicht wird (VwGH 13.12.2019 Ra 2019/02/0184). Da juristische Personen nicht selbst handeln können, ist ihre Strafbarkeit Folge des Handelns einer natürlichen Person. Kommt ein bestimmter Kreis natürlicher Personen in Frage, deren Verhalten die Strafbarkeit der juristischen Person begründen könnte, reicht es nach der Rechtsprechung des Verwaltungsgerichtshofs in Hinblick auf § 44a Z 1 VStG nicht, festzustellen, dass irgendeine Person aus diesem Kreis die Tat begangen hat – etwa irgendeine Führungsperson –, es muss die handelnde Person konkret bestimmt sein (vgl zu § 99d BWG VwGH 29.03.2019 Ro 2018/02/0023 und zu § 30 DSG VwGH 12.05.2020 Ro 2019/04/0229). Gemäß Paragraph 44 a, Ziffer eins, VStG ist es rechtlich geboten, die Tat hinsichtlich des Täters und der Tatumstände so genau zu umschreiben, dass die Zuordnung des Tatverhaltens zur Verwaltungsvorschrift, die durch die Tat verletzt worden ist, in Ansehung aller Tatbestandsmerkmale ermöglicht wird (VwGH 13.12.2019 Ra 2019/02/0184). Da juristische Personen nicht selbst handeln können, ist ihre Strafbarkeit Folge des Handelns einer natürlichen Person. Kommt ein bestimmter Kreis natürlicher Personen in Frage, deren Verhalten die Strafbarkeit der juristischen Person begründen könnte, reicht es nach der Rechtsprechung des Verwaltungsgerichtshofs in Hinblick auf Paragraph 44 a, Ziffer eins, VStG nicht, festzustellen, dass irgendeine Person aus diesem Kreis die Tat begangen hat – etwa irgendeine Führungsperson –, es muss die handelnde Person konkret bestimmt sein vergleiche zu Paragraph 99 d, BWG VwGH 29.03.2019 Ro 2018/02/0023 und zu Paragraph 30, DSG VwGH 12.05.2020 Ro 2019/04/0229).

Fraglich könnte vor einem Verfahren vor dem EuGH nun vor dem Hintergrund der Entscheidung des Landgerichts Bonn – für den Fall ihrer höchstgerichtlichen Bestätigung – zwar sein, ob eine materiellrechtliche Bestimmung wie der § 30 DSG, die das Verhalten natürlicher Personen der zu bestrafenden juristischen Person zurechnet, in Einklang mit dem unmittelbar in den Mitgliedstaaten anwendbaren Art 83 DSGVO steht.Fraglich könnte vor einem Verfahren vor dem EuGH nun vor dem Hintergrund der Entscheidung des Landgerichts Bonn – für den Fall ihrer höchstgerichtlichen Bestätigung – zwar sein, ob eine materiellrechtliche Bestimmung wie der Paragraph 30, DSG, die das Verhalten natürlicher Personen der zu bestrafenden juristischen Person zurechnet, in Einklang mit dem unmittelbar in den Mitgliedstaaten anwendbaren Artikel 83, DSGVO steht.

Aber auch durch eine Nichtanwendbarkeit des § 30 DSG wäre dem Standpunkt der belangten Behörde nicht geholfen. Diesfalls würde – im gegenständlichen Fall – die Zurechnung des Verhaltens natürlicher Personen zur juristischen Person davon abhängen, ob durch die Handlungen einer oder mehrerer natürlicher Personen, die juristische Person als Verantwortlicher iSd Art 4 Z 7 DSGVO oder allenfalls als Auftragsverarbeiter iSd Art 4 Z 8 DSGVO zu qualifizieren ist oder nicht.Aber auch durch eine Nichtanwendbarkeit des Paragraph 30, DSG wäre dem Standpunkt der belangten Behörde nicht geholfen. Diesfalls würde – im gegenständlichen Fall – die Zurechnung des Verhaltens natürlicher Personen zur juristischen Person davon abhängen, ob durch die Handlungen einer oder mehrerer natürlicher Personen, die juristische Person als Verantwortlicher iSd Artikel 4, Ziffer 7, DSGVO oder allenfalls als Auftragsverarbeiter iSd Artikel 4, Ziffer 8, DSGVO zu qualifizieren ist oder nicht.

Da es aber nach der Rechtsprechung des VwGH gemäß § 44a Z 1 VStG erforderlich ist, die natürliche Person, deren Verhalten der juristischen Person zugerechnet werden soll, genau zu bestimmen und ein Verweis auf einen potentiellen Kreis möglich handelnder natürlicher Personen selbst dann nicht ausreichen würde, wenn alle Personen aus dem Kreis für die juristische Person tätig wären, wäre es auch im Fall der Nichtanwendbarkeit von § 30 DSG auf Grund der gemäß Art 83 Abs 8 DSGVO europarechtlich zulässigen nationalen verfahrensrechtlichen Vorschrift des Art 44a Z 1 VStG erforderlich, die für die juristische Person handelnden Personen konkret zu benennen.Da es aber nach der Rechtsprechung des VwGH gemäß Paragraph 44 a, Ziffer eins, VStG erforderlich ist, die natürliche Person, deren Verhalten der juristischen Person zugerechnet werden soll, genau zu bestimmen und ein Verweis auf einen potentiellen Kreis möglich handelnder natürlicher Personen selbst dann nicht ausreichen würde, wenn alle Personen aus dem Kreis für die juristische Person tätig wären, wäre es auch im Fall der Nichtanwendbarkeit von Paragraph 30, DSG auf Grund der gemäß Artikel 83, Absatz 8, DSGVO europarechtlich zulässigen nationalen verfahrensrechtlichen Vorschrift des Artikel 44 a, Ziffer eins, VStG erforderlich, die für die juristische Person handelnden Personen konkret zu benennen.

Etwaige unterschiedliche Voraussetzungen unter denen Geldbußen über juristische Personen in den einzelnen Mitgliedstaaten verhängt werden können, sind somit der europarechtlichen Zulässigkeit unterschiedlicher Verfahrensrechte geschuldet. Die von der belangten Behörde zitierten Judikate anderer Mitgliedstaaten, die vermeintlich im Widerspruch zur hier maßgeblichen Entscheidung des Verwaltungsgerichtshofs vom 12.05.2020, Ro 2019/04/0229, stehen, konnten daher keine widersprüchliche Anwendung der DSGVO in den einzelnen Mitgliedstaaten aufzeigen, die durch den EuGH geklärt werden müsste.

3.12. Es war daher spruchgemäß zu entscheiden.

3.13. Von der Durchführung einer Verhandlung konnte gemäß § 44 Abs 2 VwGVG abgesehen werden.3.13. Von der Durchführung einer Verhandlung konnte gemäß Paragraph 44, Absatz 2, VwGVG abgesehen werden.

Zu Spruchpunkt B) Unzulässigkeit der Revision:

Gemäß § 25a Abs 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art 133 Abs 4 B-VG zulässig ist. Dieser Ausspruch ist kurz zu begründen.Gemäß Paragraph 25 a, Absatz eins, VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Artikel 133, Absatz 4, B-VG zulässig ist. Dieser Ausspruch ist kurz zu begründen.

Die Revision ist unzulässig, weil keine Rechtsfragen zu lösen waren, denen grundsätzliche Bedeutung im Sinne des Art 133 Abs 4 B-VG zukommen. Zur Frage, ob es für die Verhängung einer Geldbuße nach Art 83 DSGVO über eine juristische Person erforderlich ist, ein tatbestandmäßiges, rechtswidriges und schuldhaftes Verhalten einer ihr zuzurechnenden natürlichen Person darzutun und in den Spruch des Straferkenntnisses aufzunehmen, und unter welchen Voraussetzungen ein solcher Mangel im verwaltungsgerichtlichen Verfahren geheilt werden kann, besteht die jeweils zitierte Rechtsprechung des Verwaltungsgerichtshofs. Die Revision ist unzulässig, weil keine Rechtsfragen zu lösen waren, denen grundsätzliche Bedeutung im Sinne des Artikel 133, Absatz 4, B-VG zukommen. Zur Frage, ob es für die Verhängung einer Geldbuße nach Artikel 83, DSGVO über eine juristische Person erforderlich ist, ein tatbestandmäßiges, rechtswidriges und schuldhaftes Verhalten einer ihr zuzurechnenden natürlichen Person darzutun und in den Spruch des Straferkenntnisses aufzunehmen, und unter welchen Voraussetzungen ein solcher Mangel im verwaltungsgerichtlichen Verfahren geheilt werden kann, besteht die jeweils zitierte Rechtsprechung des Verwaltungsgerichtshofs.

European Case Law Identifier

ECLI:AT:BVWG:2020:W258.2227269.1.00