Entscheidende Behörde

Datenschutzbehörde

Entscheidungsdatum

12.02.2021

Geschäftszahl

2020-0.582.166

Anfechtung beim BVwG/VwGH/VfGH

Dieses Straferkenntnis ist rechtskräftig.

Text

GZ: 2020-0.582.166 vom 12. Februar 2021 (Verfahrenszahl: DSB-D550.215)

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

Straferkenntnis

Beschuldigte: A*** GmbH (FN: xxx)

Die A*** GmbH mit Sitz in xxx hat als Verantwortliche im Sinne des Artikel 4, Ziffer 7, der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016, S. 1, folgende Verwaltungsübertretung(en) begangen:

Die Beschuldigte hat jedenfalls im Zeitraum vom 15.05.2019 bis 19.11.2019 in xxx als datenschutzrechtlich Verantwortliche gegen ihre Pflicht gemäß Artikel 31, DSGVO zur Zusammenarbeit mit der Datenschutzbehörde als Aufsichtsbehörde auf Anfrage verstoßen, indem sie im Tatzeitraum in drei separaten Beschwerdeverfahren vor der Datenschutzbehörde (GZ: DSB-D124.289; DSB-D124.286; DSB-D124.285) als Beschwerdegegnerin und datenschutzrechtlich Verantwortliche beteiligt war und trotz Urgenz durch die Datenschutzbehörde sich nicht bzw. erst verspätet an den Verfahren beteiligt hat.

Sie hat sich in zwei Fällen überhaupt nicht und in einem Fall erst stark verspätet zum Vorbringen der jeweiligen Beschwerdeführer geäußert.

Sie ist dadurch ihrer Verpflichtung zur Zusammenarbeit mit der Aufsichtsbehörde auf Anfrage in zwei Fällen nicht und in einem Fall nur unzureichend nachgekommen.

Dies wurde dadurch ermöglicht, dass der im Tatzeitraum zur Vertretung nach außen berufene und intern mit der Kontrolle und Überwachung sämtlicher datenschutzrechtlicher Angelegenheiten betraute Geschäftsführer B***, geb. am xxx, durch Außerachtlassung der gebotenen Sorgfalt sowie aufgrund mangelnder Kontrolle und Überwachung, die oben dargestellte Verwaltungsübertretung zu verantworten hat. Der Geschäftsführer hat es jedenfalls verabsäumt, ein wirksames internes Kontrollsystem in Form geeigneter Maßnahmen für ein operatives Tagesgeschäft zu implementieren. Dies führte im Ergebnis dazu, dass die Beschuldigte in zwei Fällen den Aufforderungen zur Stellungnahme der Datenschutzbehörde gar nicht und in einem Fall erst nach Verstreichen der Frist entsprochen und dadurch gegen ihre Pflicht zur Zusammenarbeit mit Aufsichtsbehörden nach Artikel 31, DSGVO verstoßen hat.

Das rechtswidrige und schuldhafte Verhalten des oben namentlich genannten Geschäftsführers wird im Hinblick auf Paragraph 30, Absatz eins und Absatz 2, Datenschutzgesetz (im Folgenden „DSG“) der A*** GmbH als beschuldigter juristischer Person und datenschutzrechtlich Verantwortlicher im Sinne von Artikel 4, Ziffer 7, DSGVO zugerechnet.

Die Beschuldigte hat dadurch folgende Rechtsvorschrift(en) verletzt:

Artikel 31, in Verbindung mit Artikel 83, Absatz 4, Litera a, DSGVO

Wegen dieser Verwaltungsübertretung(en) wird folgende Strafe verhängt:

Geldstrafe von Euro

gemäß

€ 3.000,00

Artikel 31, in Verbindung mit Artikel 83, Absatz 4, Litera a, DSGVO

Ferner haben Sie gemäß Paragraph 64, des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen:

300,00

Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro (ein Tag Freiheitsstrafe gleich 100 Euro);

     

Euro als Ersatz der Barauslagen für

     

Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher

3.300,00

Euro

Zahlungsfrist:

Wird keine Beschwerde erhoben, ist dieses Straferkenntnis sofort vollstreckbar. Der Gesamtbetrag ist in diesem Fall binnen zwei Wochen nach Eintreten der Rechtskraft auf das Konto BAWAG P.S.K., Georg-Coch-Platz 2, 1018 Wien, IBAN: AT460100000005490031, BIC: BAWAATWW, lautend auf die Datenschutzbehörde, einzuzahlen. Als Verwendungszweck möge die Geschäftszahl sowie das Erledigungsdatum angegeben werden.

Erfolgt binnen dieser Frist keine Zahlung, kann der Gesamtbetrag eingemahnt werden. In diesem Fall ist ein pauschalierter Kostenbeitrag in der Höhe von fünf Euro zu entrichten. Erfolgt dennoch keine Zahlung, wird der ausstehende Betrag vollstreckt und im Fall seiner Uneinbringlichkeit die diesem Betrag entsprechende Ersatzfreiheitsstrafe vollzogen.

Begründung:

I.        Folgender entscheidungsrelevanter Sachverhalt steht auf Grund des durchgeführten Beweisverfahrens fest:

Zum Verfahrensgang:

1.        Drei Arbeitnehmer der Beschuldigten (im Folgenden: betroffene Personen) haben gegen die Beschuldigte jeweils eine Beschwerde wegen Verletzung des Rechts auf Geheimhaltung nach Art. 77 DSGVO iVm §§ 1 und 24 DSG eingebracht, da die Beschuldigte Gesundheitsdaten sowie sonstige Daten dieser betroffenen Personen im Zusammenhang mit Arbeitsunfähigkeitsmeldungen im Rahmen einer im Nachrichtendienst „WhatsApp“ gegründeten und von der Beschuldigten betriebenen Gruppe „A*** GmbH“ mit anderen Arbeitnehmern geteilt haben soll. Die Betroffenen bemängelten die fehlende Rechtsgrundlage für die konkrete Verarbeitung und beantragten daher die Feststellung der Verletzung im Recht auf Geheimhaltung.

2.        Im Beschwerdeverfahren zur GZ: DSB-D124.289 hat die Datenschutzbehörde zunächst mit Verfahrensanordnung vom 22.03.2019 (GZ: DSB-D124.289/0002-DSB/2019 – Zustellung erfolgte mittels unbescheinigter Briefsendung) und dann mit Urgenzschreiben vom 17.04.2019 (GZ. DSB-D124.289/0003-DSB/2019), unter Anschluss einer Kopie der ersten Verfahrensanordnung und versehen mit einem Hinweis auf mögliche verwaltungsstrafrechtliche Folgen eines Verstoßes gegen Art. 31 DSGVO, jeweils unter Setzung einer zweiwöchigen Frist die Beschuldigte zur Stellungnahme aufgefordert. Die Zustellung der Verfahrensanordnung vom 17.04.2019 am 30.04.2019 ist urkundlich nachgewiesen (Rückschein). Die Beschuldigte hat zunächst keinerlei Stellungnahme abgegeben. Erst am 20.11.2019 sowie 22.11.2019 hat die Beschuldigte zwei Stellungnahmen zum Vorbringen des Beschwerdeführers eingebracht. Im Zuge dieser zwei Stellungnahmen brachte die Beschuldigte weitere Sachverhaltselemente im Zusammenhang mit der Offenlegung der Arbeitsunfähigkeitsmeldung im Rahmen der Whatsapp-Gruppe vor. Im Hinblick auf die rechtliche Beurteilung wendete die Beschuldigte die mangelnde Passivlegitimation ein. Zudem sei die Frist gemäß § 73 Abs. 1 AVG bereits abgelaufen und der Grundsatz „ne bis in idem“ (Verbot der Doppelbestrafung) sei hier – mit Verweis auf das mit Vergleich abgeschlossene arbeitsgerichtliche Verfahren – ebenfalls zu berücksichtigen

Beweis: Einsicht in die Aktenunterlagen des Beschwerdeverfahrens vor der Datenschutzbehörde zur GZ: DSB-D124.289, erledigt mit Bescheid der DSB vom 23.12.2019

3.        Gegenstand des Beschwerdeverfahrens zur GZ: DSB-D124.286 war ebenfalls die behauptete Verletzung im Recht auf Geheimhaltung durch die Beschuldigte aufgrund der Offenlegung von Gesundheitsdaten und sonstiger Daten im Rahmen der Whatsapp-Gruppe „A*** GmbH“, das von der Beschuldigten zum Zwecke der unmittelbaren und effizienten Kommunikation zwischen den Mitarbeitern der Beschuldigten betrieben wird. Die Whatsapp-Gruppe wird unter anderem auch zur Übermittlung von Dienstanweisungen, Änderungen der Tagesarbeitszeiten und Schichten verwendet. In diesem Verfahren wurde die Beschuldigte mit Erledigung vom 1. April 2019 per Brief zur Stellungnahme aufgefordert, gab jedoch keine Stellungnahme ab. Die Abfertigung und der postalische Versand sind dokumentiert. Die Beschuldigte wurde durch die Datenschutzbehörde mit weiterer Erledigung vom 6. Juni 2019 per RSb-Zustellung zur Stellungnahme aufgefordert, gab jedoch erneut keine Stellungnahme ab. Eine entsprechende Übernahmebestätigung liegt dem jeweiligen Akt bei, aus welcher hervorgeht, dass die Erledigung der Datenschutzbehörde am 26. Juni 2019 persönlich übernommen wurde.

Beweis: Einsicht in die Aktenunterlagen des Beschwerdeverfahrens vor der Datenschutzbehörde zur GZ: DSB-D124.286, erledigt mit Bescheid der DSB vom 07.10.2019.

4.        Auch im Beschwerdeverfahren zur GZ: DSB-D124.285 war die behauptete Verletzung im Recht auf Geheimhaltung durch die Beschuldigte aufgrund der Offenlegung von Gesundheitsdaten und sonstiger Daten im Rahmen der Whatsapp-Gruppe „A*** GmbH“ verfahrensgegenständlich. In diesem Verfahren wurde die Beschuldigte durch die Datenschutzbehörde mit Erledigung vom 1. April 2019 per Brief zur Stellungnahme aufgefordert, gab jedoch keine Stellungnahme ab. Die Abfertigung und der postalische Versand sind dokumentiert. Die Beschuldigte wurde daraufhin mit weiterer Erledigung vom 6. Juni 2019 per RSb zur Stellungnahme aufgefordert, gab jedoch erneut keine Stellungnahme ab. Eine entsprechende Übernahmebestätigung liegt dem jeweiligen Akt bei, aus welcher hervorgeht, dass die Erledigung der Datenschutzbehörde am 26. Juni 2019 persönlich übernommen wurde.

Beweis: Einsicht in die Aktenunterlagen des Beschwerdeverfahrens vor der Datenschutzbehörde zur GZ: DSB-D124.285, erledigt mit Bescheid der DSB vom 07.10.2019.

5.        Die Datenschutzbehörde leitete daraufhin ein Verwaltungsstrafverfahren gegen die Beschuldigte sowie im weiteren Verlauf durch eine ergänzende Aufforderung zur Rechtfertigung auch gegen die zur Tatzeit - im Firmenbuch ausgewiesenen - nach außen vertretungsbefugten natürlichen Personen (Geschäftsführer: B***, C***, D***) ein. Die Beschuldigte kam sämtlichen Aufforderung im Verwaltungsstrafverfahren rechtzeitig nach und hat zur Wahrheitsfindung beigetragen.

6.        Die Beschuldigte hat sich durch die Beschuldigtenvertreterin, RA Dr. A*** N***, geb. am xxx, im Rahmen ihrer Vernehmung am 03.08.2020 um 11:15 vertreten lassen.

Zur organisatorischen Struktur der Beschuldigten

7.        Die Beschuldigte hat drei im Firmenbuch ausgewiesene Geschäftsführer, namentlich:

a.     B***, geb. am xxx (vertritt seit xxx selbständig)

b.     C***, geb. am xxx (vertritt seit xxx selbständig)

c.     D***, geb. am xxx (vertritt seit xxx selbständig)

Alle Geschäftsführer sind in xxx, Spanien, ansässig.

8.        Der Geschäftsführer B*** ist intern mit der Kontrolle und Überwachung sämtlicher datenschutzrechtlicher Angelegenheiten betraut und somit unter anderem auch für die anhängigen Beschwerdeverfahren vor der Datenschutzbehörde zuständig. Das operative Tagesgeschäft der Beschuldigten in Österreich wird vom Betriebsleiter E*** geführt. Dieser verrichtet seine Tätigkeit in der Steiermark im Logistikzentrum O***., das ebenfalls von der Beschuldigten betrieben wird. Zudem verrichtet der Betriebsleiter seine Tätigkeit auch in Deutschland R***) und pendelt daher immer zwischen O***. und R***. Am Firmensitz der Beschuldigten in xxx befindet sich kein Mitarbeiter der Beschuldigten. Die Tagespost am Firmensitz wird von der Beschuldigtenvertreterin und ihren Mitarbeitern behoben und unmittelbar (ungeöffnet) an das Logistikzentrum in O*** weitergeleitet. Im Logistikzentrum gibt es keine Büroräumlichkeiten. Die Firmensitzadresse fungierte daher im Tatzeitraum nur als Postanschrift. In xxx führt die Beschuldigte jedenfalls kein operatives Geschäft. Der Betriebsleiter E*** war zur Tatzeit unmittelbar der Geschäftsführung in organisatorischer Hinsicht unterstellt und berichtete in regelmäßigen Abständen der Geschäftsführung über das operative Geschäft in Österreich und Deutschland in englischer Sprache.

9.        Bevor die betroffenen Personen eine Beschwerde wegen behaupteter Verletzung im Recht auf Geheimhaltung bei der Datenschutzbehörde eingebracht haben, gab es drei separate arbeitsrechtliche Verfahren (GZ: xxx) vor dem Landesgericht für Zivilrechtssachen Graz als Arbeits- und Sozialgericht (im Folgenden: LG Graz). Die betroffenen Personen (vertreten durch xxx) begehrten - aufgrund der Verletzung ihres Rechts auf Geheimhaltung durch die Offenlegung der Daten im Whatsapp-Gruppenchat „A*** GmbH“, das von der Beschuldigten zum Zwecke der unmittelbaren und effizienten Kommunikation zwischen den Mitarbeitern sowie der Erteilung von Anweisungen an die Mitarbeiter betrieben wird - Schadenersatz, jeweils in der Höhe von EUR 3.000,00 sowie den Ersatz sämtlicher Verfahrenskosten. Die Beschuldigte schloss in diesen drei Verfahren mit den betroffenen Personen einen Vergleich ab. Die Beschuldigte verpflichtet sich, den Betroffenen jeweils einen Betrag von EUR 1.585,50 zu bezahlen sowie den Ersatz der Hälfte der Gerichtskosten zu übernehmen. Dieser Betrag wurde über xxx bereits den betroffenen Personen ausbezahlt.

10.      Der für die datenschutzrechtlichen Angelegenheiten intern zuständige Geschäftsführer B*** ging davon aus, dass bereits alle entscheidungsrelevanten Informationen und Dokumente im Zuge der Beschwerdeeinbringung durch die betroffenen Personen vorgelegt wurden und dass es keiner weiteren Stellungnahme seitens der Beschuldigten bedarf. Die Aufforderungen der Datenschutzbehörde konnte zudem sachlich nicht korrekt eingeordnet werden und wurde den arbeitsrechtlichen Verfahren vor dem LG Graz, die bereits mit Vergleich abgeschlossen worden waren, zugeordnet. Die Aufforderungen der Datenschutzbehörde wurden daher als gegenstandslos betrachtet. Es erfolgte – trotz Urgenz – keinerlei Reaktion auf die Aufforderungen zur Rechtfertigung.

11.      Die Beschuldigte weist in ihrer Gewinn- und Verlustrechnung für den Zeitraum 01.01.2019 bis 31.12.2019 im Jahr 2019 einen Jahresumsatz von EUR 86n.nnn,nn und sonstige betriebliche Erträge in der Höhe von EUR 7.nnn,nn aus. Das Betriebsergebnis wird mit EUR 34.nnn,nn beziffert. Im Jahr 2019 ergibt sich ein Bilanzverlust in der Höhe von EUR 79.nnn,nn.

II.      Die Feststellungen werden auf Grund folgender Beweiswürdigung getroffen:

1.        Die Datenschutzbehörde legt folgende Unterlagen/Dokumente ihren Sachverhaltsdarstellungen zugrunde (Beweise):

a.        Den Akteninhalt des Beschwerdeverfahrens vor der Datenschutzbehörde zur GZ: DSB-D124.289, erledigt mit Bescheid der DSB vom 23.12.2019,

b.        den Akteninhalt des Beschwerdeverfahrens vor der Datenschutzbehörde zur GZ: DSB-D124.286, erledigt mit Bescheid der DSB vom 07.10.2019,

c.        den Akteninhalt des Beschwerdeverfahrens vor der Datenschutzbehörde zur GZ: DSB-D124.285, erledigt mit Bescheid der DSB vom 07.10.2019,

d.        die Niederschrift über die Vernehmung der Vertreterin der Beschuldigten vom 03.08.2020 im gegenständlichen Verfahren,

e.        schriftliche Stellungnahme der Beschuldigten im gegenständlichen Verfahren vom 03.08.2020 (samt Beilagen) zum vorgeworfenen Tatvorwurf und in Entsprechung der Aufforderung zur Rechtfertigung vom 18.02.2020,

f.        Firmenbuchauszug zum Stichtag 03.08.2020 zu FN xxx (A*** GmbH),

g.        Gewinn- und Verlustrechnung der Beschuldigten für den Zeitraum 01.01.2019 bis 31.12.2019,

h.        schriftliche Stellungnahme der Beschuldigten im gegenständlichen Verfahren vom 10.09.2020 in Entsprechung der ergänzenden Aufforderung zur Rechtfertigung der Datenschutzbehörde vom 04.08.2020,

i.        Vergleichsausfertigung zum Verfahren vor dem Landesgericht für Zivilrechtssachen Graz als Arbeits- und Sozialgericht (GZ: xxx),

j.        Vergleichsausfertigung zum Verfahren vor dem Landesgericht für Zivilrechtssachen Graz als Arbeits- und Sozialgericht (GZ: xxx),

k.        Vergleichsausfertigung zum Verfahren vor dem Landesgericht für Zivilrechtssachen Graz als Arbeits- und Sozialgericht (GZ: xxx).

An der Echtheit der Unterlagen bestehen keine begründeten Zweifel.

2.        Die Feststellungen zur mangelnden Zusammenarbeit der Beschuldigten mit der Datenschutzbehörde als Aufsichtsbehörde bzw. die Nichtbeachtung der Aufforderungen zur Stellungnahme in den drei Beschwerdeverfahren vor der Datenschutzbehörde beruhen auf dem schlüssig dokumentierten Akteninhalt zu den jeweiligen Verfahren (siehe oben Beweis 1. a, b und c). Außerdem räumt die Beschuldigte die Nichtbeachtung der Aufforderungen zur Stellungnahme der Datenschutzbehörde im Zuge ihrer schriftlichen Rechtfertigung vom 10.09.2020 (siehe oben Beweis 1. h) ein. Auch im Rahmen der ersten schriftlichen Rechtfertigung der Beschuldigten vom 03.08.2020 (siehe oben Beweis 1. e) räumt die Beschuldigte die Nichtbeachtung der Aufforderungen ein: „Die Datenschutzbehörde forderte die Beschuldigte zur Stellungnahme auf. Eine Stellungnahme gab die Beschuldigte als Beschwerdegegnerin nicht ab“.

3.        Die Feststellung zu Punkt I.7 (Zusammenstellung der Geschäftsführung der Beschuldigten) ergibt sich aus dem Firmenbuchauszug zum Stichtag 03.08.2020 (siehe oben Beweis 1. f). Die Feststellung, dass alle Geschäftsführer in Spanien ansässig sind, beruht auf der Stellungnahme der Beschuldigten vom 03.08.2020 (siehe oben Beweis 1. e).

4.        Die Feststellungen zur organisatorischen Struktur, der Einrichtung sowie der Verwaltung des operativen Tagesgeschäfts in Österreich und zur internen Aufgabenverteilung (Feststellung zu Punkt I.8) beruhen im Wesentlichen auf der Niederschrift zur Vernehmung der Vertreterin der Beschuldigten vom 03.08.2020 sowie auf den schriftlichen Rechtfertigungen der Beschuldigten vom 03.08.2020 und 10.09.2020 (siehe oben Beweise 1. d, e und h).

5.        Die Feststellung zu Punkt I.10 (letzter Satz) im Hinblick darauf, dass die Aufforderungen zur Stellungnahme der Datenschutzbehörde sachlich nicht korrekt zugeordnet werden konnten und missverständlich davon ausgegangen wurde, dass diese Schreiben im Zusammenhang mit den bereits abgeschlossen arbeitsrechtlichen Verfahren vor dem LG Graz stehen, ergibt sich aus den eigenen Ausführungen der Vertreterin der Beschuldigten im Rahmen ihrer Vernehmung am 03.08.2020 (siehe oben Beweis 1. d). Die Vertreterin führte Folgendes aus: „In weiterer Folge wurden die Aufforderungen der Datenschutzbehörde sachlich nicht korrekt eingeordnet. Diese Schreiben wurden in Wien seitens meiner Kanzleimitarbeiter behoben und direkt (ungeöffnet) an das Logistikzentrum in O*** weitergeleitet. Im Anschluss daran wurden diese Schreiben der Datenschutzbehörde in O*** vom Betriebsleiter als gegenstandslos betrachtet, da die arbeitsrechtlichen Rechtsstreitigkeiten als abgeschlossen angesehen wurden“.

6.        Jegliche Feststellungen in Bezug auf die Ereignisse vor der Beschwerdeerhebung durch die Betroffenen (Hintergrund der Beschwerden = Offenlegung von Gesundheitsdaten sowie sonstiger Daten im Whatsapp-Gruppenchat der Beschuldigten) sowie den Verfahrensverlauf vor dem LG Graz als Arbeits- und Sozialgericht beruhen auf den von der Beschuldigten vorgelegten Vergleichsausfertigungen zu den jeweiligen Verfahren mit den Betroffenen (siehe oben Beweise 1. i, j und k), der schriftlichen Rechtfertigung der Beschuldigten vom 03.08.2020 (siehe oben Beweis 1. e) und den Akteninhalten zu den jeweiligen Beschwerdeverfahren vor der Datenschutzbehörde (siehe oben Beweise 1. a, b und c).

7.        Die Feststellungen zum Jahresumsatz, zu sonstigen betrieblichen Erträge und zum Betriebsergebnis (Punkt I.11) ergeben sich aus der Gewinn- und Verlustrechnung der Beschuldigten für das Jahr 2019 (siehe oben Beweis 1. g)

III.    Rechtlich folgt daraus:

1.        Art. 83 Abs. 4 lit. a DSGVO legt fest, dass bei Verstößen gegen die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Art. 8, 11, 25 bis 39, 42 und 43 DSGVO Geldbußen von bis zu 10 Millionen Euro oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können, je nachdem, welcher der Beträge höher ist. Nach § 22 Abs. 5 DSG liegt die Zuständigkeit für die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen für Österreich als nationaler Aufsichtsbehörde bei der Datenschutzbehörde.

Zum Spruch

Zur Erfüllung des objektiven Tatbestands

2.        Die Beschuldigte brachte im Hinblick auf die rechtliche Beurteilung des gegenständlichen Sachverhalts im Wesentlichen vor, dass sich weder aus Art. 31 DSGVO noch aus dem AVG eine Pflicht zur Abgabe einer Stellungnahme in einem kontradiktorischen Verfahren ableiten lässt. Der Datenschutzbehörde wären alle erforderlichen Dokumente und Informationen für eine Entscheidung vorgelegen, die Arbeiterkammer hätte der Datenschutzbehörde bereits alle relevanten Informationen übermittelt. Die Beschuldigte hätte jedenfalls nichts mehr zum Verfahren beitragen können. Dieser Ansicht kann rechtlich gesehen nicht gefolgt werden und ist Folgendes entgegenzuhalten:

3.        Eingangs ist zunächst festzuhalten, dass die Beschuldigte aufgrund der Feststellungen im gegenständlichen Fall sowie anhand der Feststellungen in den jeweiligen Beschwerdeverfahren zweifelsfrei als Betreiberin und somit Verantwortliche im Sinne des Art. 4 Z 7 DSGVO für die Verarbeitung der personenbezogenen Daten und Gesundheitsdaten (Arbeitsunfähigkeitsmeldungen) im Rahmen der Whatsapp-Gruppe „A*** GmbH“ zu qualifizieren ist. Die Rolle als Betreiberin der Whatsapp-Gruppe und dessen Zweck (unmittelbare und effiziente Kommunikation zwischen den Mitarbeitern der Beschuldigten sowie zur Übermittlung von Dienstanweisungen, Änderungen der Tagesarbeitszeiten und Schichten) werden von der Beschuldigten im gegenständlichen Fall nicht bestritten. Die Beschuldigte räumt sogar diese Rolle und dessen Zweck in ihrer Rechtfertigung vom 03.08.2020 ein (siehe Seite 2, Punkt I. dritter Gedankenstrich). Gegenstand der jeweiligen Beschwerdeverfahren bei der Datenschutzbehörde war die Frage, ob die Beschuldigte die Betroffenen in ihrem Recht auf Geheimhaltung nach § 1 DSG verletzt hat, indem sie Gesundheitsdaten sowie sonstige Daten in dieser Whatsapp-Gruppe gegenüber anderen Mitarbeitern offengelegt hat. Die Beschuldigte war somit in ihrer Funktion als datenschutzrechtliche Verantwortliche im Sinne des Art. 4 Z 7 DSGVO und damit als Beschwerdegegnerin nach § 24 Abs. 2 Z 2 DSG in den jeweiligen Beschwerdeverfahren beteiligt.

4.        Als Verantwortliche ist die Beschuldigte – auf Anfrage – gemäß Art. 31 DSGVO zur Zusammenarbeit mit einer Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben verpflichtet. Die Datenschutzbehörde ist Aufsichtsbehörde im Sinne des Art. 51 DSGVO (siehe auch § 18 Abs. 1 DSG). Die Aufgaben einer Aufsichtsbehörde werden in Art. 57 DSGVO festgelegt. Nach Art. 57 Abs. 1 lit. f DSGVO muss jede Aufsichtsbehörde in ihrem jeweiligen Hoheitsgebiet sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Art. 80 DSGVO befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist. Es besteht eine Behandlungspflicht einlangender Beschwerden im Umfang des Art. 57 Abs. 1 lit. f DSGVO. Die Aufsichtsbehörde muss eine solche Beschwerde mit aller gebotenen Sorgfalt bearbeiten (siehe dazu das Urteil des EuGH vom 16. Juli 2020, C-311/18, Rz 109). Die Befugnisse einer Aufsichtsbehörde sind in Art. 58 DSGVO geregelt. Nach Art. 58 Abs. 1 lit. a DSGVO hat eine Aufsichtsbehörde die Befugnis, den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Aus dieser Bestimmung ist bereits eine Mitwirkungsobliegenheit der Normadressaten ableitbar (vgl. Bogendorfer in Knyrim, DatKomm Art 31 DSGVO Rz 4). Nach § 22 Abs. 1 DSG kann die Datenschutzbehörde vom Verantwortlichen oder Auftragsverarbeiter der überprüften Datenverarbeitung insbesondere alle notwendigen Aufklärungen verlangen sowie Einschau in die Datenverarbeitung und diesbezügliche Unterlagen begehren. Zudem hat eine Behörde nach § 37 AVG im Ermittlungsverfahren den maßgeblichen Sachverhalt zu erforschen (materielle Wahrheit) und muss hiefür die erforderlichen Ermittlungsmaßnahmen nach § 39 AVG amtswegig setzen. Der Grundsatz der materiellen Wahrheit besagt, dass die Behörde den wirklichen Sachverhalt von Amts wegen ermitteln muss und nicht an das Vorbringen der Parteien in einem kontradiktorischen Verfahren gebunden ist.

5.        Es kann somit als Zwischenergebnis festgehalten werden, dass die gegenständlichen Aufforderungen zur Stellungnahme an die Beschuldigte in den jeweiligen Beschwerdeverfahren jedenfalls von den Befugnissen im Unionsrecht sowie den Erfordernissen nach nationalem Recht gedeckt sind und dass die angemessene Untersuchung des Beschwerdegegenstands eine - im Aufgabenkatalog des Art. 58 DSGVO – unionsrechtlich festgelegte Verpflichtung der Datenschutzbehörde als Aufsichtsbehörde darstellt. Zudem muss die Behörde nach §§ 37 und 39 AVG von Amts wegen den maßgeblichen Sachverhalt erforschen und ist eine Verfahrenspartei auch verpflichtet, an der Feststellung des maßgeblichen Sachverhaltes mitzuwirken (vgl. dazu das Erkenntnis des VwGH vom 27. Mai 2019, Ra 2019/14/0153). Schon aus diesem Grund kommt dem Einwand der Beschuldigten, sie sei nicht verpflichtet gewesen, eine Stellungnahme abzugeben, keine Berechtigung zu.

6.        Aber selbst wenn man davon ausgehen wollte, dass keine Mitwirkungspflicht in einem kontradiktorischen Verfahren besteht und ein allfälliges Unterlassen zulasten der nicht mitwirkenden Partei geht, kommt dem Einwand der Beschuldigten keine Berechtigung zu:

7.        Die Normadressaten des Art. 31 DSGVO haben nämlich auf Anfrage der Aufsichtsbehörde mit ihr zusammenzuarbeiten. Sie müssen daher nicht von sich aus tätig werden, es sei denn, die DSGVO sieht dies in einer Bestimmung besonders vor (so etwa in Art 33 und 36 DSGVO). Die Anfrage der Aufsichtsbehörde muss inhaltlich so hinreichend bestimmt sein, dass der Normadressat nachvollziehen kann, was von ihm verlangt wird, weshalb zumindest der Gegenstand der Anfrage und der Zweck anzugeben sein wird (vgl. Kastelitz in Gantschacher/Jelinek/Schmidl/Spanberger [Hrsg.], DSGVO Art. 31 Anm 3; Bogendorfer in Knyrim, DatKomm Art. 31 DSGVO Rz 14).

8.        Die gegenständlichen Aufforderungen zur Stellungnahme in den jeweiligen Beschwerdeverfahren waren inhaltlich hinreichend bestimmt und die Beschuldigte konnte jedenfalls nachvollziehen, was von ihr verlangt wird. Sie waren auch notwendig, um den maßgeblichen Sachverhalt festzustellen und insbesondere die Beschuldigte zu den erhobenen Vorwürfen zu hören und ihr Gelegenheit zur Darlegung des eigenen Standpunktes zu geben. Das Ergebnis eines kontradiktorischen Verfahrens hängt bereits seinem Wesen nach davon ab, ob den Ausführungen der Verfahrensparteien Berechtigung zukommt oder nicht, weil es letztlich nur eine obsiegende Partei geben kann. Den Ausführungen der Beschuldigten im Zuge der Einvernahme vom 03.08.2020 sowie den schriftlichen Rechtfertigungen vom 03.08.2020 und 10.09.2020 ist zu entnehmen, dass die Beschuldigte durchaus den Gegenstand und Zweck der Aufforderungen zur Stellungnahme nachvollziehen konnte. Sie war jedoch der Ansicht, dass ihre Stellungnahme nicht mehr erforderlich sei, da die Datenschutzbehörde alle relevanten Informationen hätte. Deshalb wurde auch keine Stellungnahme - trotz Urgenz - eingebracht. Die Aufforderungen zur Stellungnahmen sind daher jedenfalls als ordnungsgemäße „Anfragen einer Aufsichtsbehörde“ zu qualifizieren.

9.        Als Ergebnis kann daher festgehalten werden, dass bereits aufgrund des Wortlauts des Art. 31 DSGVO die Beschuldigte die objektive Tatseite der Verwaltungsübertretung des Art. 83 Abs. 4 lit. a DSGVO zu verantworten hat, indem sie als Verantwortliche auf die mehrfachen Aufforderungen zur Stellungnahme in den jeweiligen Beschwerdeverfahren nicht reagiert hat und dadurch ihrer Pflicht zur Zusammenarbeit mit der Datenschutzbehörde nicht nachgekommen ist. Die Pflicht zur Zusammenarbeit ist auch daraus ableitbar, dass einer Aufsichtsbehörde nicht von vornherein unterstellt werden kann, sinnlose Anfragen zu stellen, die in keinem Zusammenhang mit ihrer Vollzugstätigkeit stehen.

10.      Der Behauptung der Beschuldigten, sie hätte deshalb keine Stellungnahmen mehr eingebracht, da sie nichts mehr zum Verfahren beitragen hätte können, da ja die Datenschutzbehörde sowieso schon alle relevanten Informationen hatte, ist zudem noch Folgendes entgegenzuhalten:

11.      Die Beschuldigte widerspricht durch diese Behauptung in ihrer eigenen Argumentation, da sie in einem der drei Beschwerdeverfahren (zur GZ: D124.289) - wenn auch deutlich nach der vorgegebenen Frist, jedoch noch vor Bescheiderlassung - zwei Stellungnahmen hintereinander am 20.11.2019 und 22.11.2019 eingebracht hat. Im Zuge dieser Stellungnahmen hat die Beschuldigte, wie im Sachverhalt festgestellt, weitere Sachverhaltselemente im Zusammenhang mit der Offenlegung der Arbeitsunfähigkeitsmeldung im Rahmen der Whatsapp-Gruppe sowie einige Argumente im Hinblick auf die rechtliche Beurteilung des Sachverhalts vorgebracht (z.B. die mangelnde Passivlegitimation). Allein daraus ergibt sich, dass die Datenschutzbehörde nicht alle relevanten Informationen durch die Beschwerdeführer vorgelegt bekommen hat. Die Stellungnahmen waren zwar deutlich verspätet, jedoch wurde bis dahin noch kein Bescheid erlassen, weshalb die Stellungnahmen der Beschuldigten jedenfalls noch im Ermittlungsverfahren aufgenommen und in weiterer Folge auch im Bescheid thematisiert wurden. Die Stellungnahmen der Beschuldigten haben somit zur Feststellung des maßgebenden Sachverhalts beigetragen. Somit kann der Ansicht der Beschuldigten überhaupt nicht gefolgt werden, dass sie nichts mehr zu den Verfahren beitragen konnte (vgl. dazu nochmals das bereits zitierte Erkenntnis des VwGH vom 27. Mai 2019).

12.      Zum rechtswidrigen und schuldhaften Verhalten der Geschäftsführung und Zurechnung des Verhaltens an die juristische Person

Die Beschuldigte bringt im Zuge ihrer schriftlichen Rechtfertigung vom 10.09.2020 in Bezug auf das Verschulden des Geschäftsführers B*** zusammengefasst vor, dass jedenfalls kein Verschulden seitens des Geschäftsführers vorliegt. Sollte die Datenschutzbehörde dennoch von einem Verschulden ausgehen, liegt nur ein Verschulden „minderen Grades“ vor. Das einzige Fehlverhalten, dass dem Geschäftsführer vorgeworfen werden könnte, ist die Tatsache, dass er es unterlassen hat, sich über den weiteren Verlauf des Verfahrens bei der Datenschutzbehörde zu informieren. Dies sei auf den Wohnsitz des Beschuldigten in xxx, Spanien, zurückzuführen. Dieser Ansicht der Beschuldigten ist in rechtlicher Hinsicht nicht zu folgen und wird nachstehend näher erläutert:

13.      Nach § 30 Abs. 2 DSG können juristische Personen wegen Verstößen gegen Bestimmungen der DSGVO und des § 1 oder Artikel 2 1. Hauptstück des DSG verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in § 30 Abs. 1 DSG genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat. Entscheidend ist hierbei die Frage, ob ein wirksames internes Kontrollsystem bei der Beschuldigten implementiert wurde, hier insbesondere dafür, um das operative Tagesgeschäft in Österreich von Spanien aus zu überwachen.

14.      Im Rahmen der rechtlichen Beurteilung, ob im gegenständlichen Fall ein wirksames Kontrollsystem eingerichtet war, sind folgende Erwägungen aus der Judikatur des VwGH jedenfalls zu berücksichtigen:

15.      Zu einem wirksamen Kontrollsystem gehört, dass in systematischer Weise möglichen Verstößen nachgegangen wird, diese Verstöße dokumentiert werden und zu entsprechenden Konsequenzen (beispielsweise zu einer Verbesserung der Anleitungen oder Schulungen, allenfalls auch zu disziplinären Maßnahmen) führen, sodass im Ergebnis mit gutem Grund erwartet werden kann, dass die Einhaltung von Vorschriften gewährleistet ist (vgl. VwGH 07.03.2016, Ra 2016/02/0030, mwH).

16.      Bei der Darstellung eines wirksamen Kontrollsystems ist es derart erforderlich, unter anderem aufzuzeigen, welche Maßnahmen im Einzelnen der unmittelbar Übergeordnete im Rahmen des Kontrollsystems zu ergreifen verpflichtet war, um durchzusetzen, dass jeder in dieses Kontrollsystem eingebundene Mitarbeiter den maßgebenden Vorschriften auch tatsächlich entspricht und welche Maßnahmen schließlich der an der Spitze der Unternehmenshierarchie stehende Anordnungsbefugte vorgesehen hat, um das Funktionieren eines Kontrollsystems insgesamt zu gewährleisten, d.h. insbesondere durchzusetzen bzw. sicherzustellen, dass die auf der jeweils übergeordneten Ebene erteilten Anordnungen (Weisungen) zur Einhaltung der Vorschriften sowie die einschlägigen Schulungen auch an die jeweils untergeordnete, zuletzt also an die unterste Hierarchieebene gelangen und dort auch tatsächlich befolgt werden (vgl. aus der ständigen Rechtsprechung etwa VwGH 9.6.2017, Ra 2017/02/0068; 7.3.2016, Ra 2016/03/0030).

17.      Im Kontext der Umsetzung der gegenüber Mitarbeiterinnen und Mitarbeitern bestehender Kontrollpflichten darf nicht außer Acht gelassen werden, dass gerade für den Fall eigenmächtiger Handlungen von Arbeitnehmern ein entsprechendes Kontrollsystem Platz greifen muss, kann doch nicht völlig darauf vertraut werden, dass eingewiesene, laufend geschulte und ordnungsgemäß ausgerüstete Mitarbeiterinnen und Mitarbeiter jedenfalls den Rechtsvorschriften Genüge leisten (vgl. VwGH 20.03.2018, Ra 2017/03/0092). Ein wirksames Kontrollsystem verlangt jedoch nicht die ständige Beaufsichtigung jedes Arbeitnehmers, sondern das Treffen von Maßnahmen, die unter den vorhersehbaren Verhältnissen die Einhaltung der gesetzlichen Vorschriften mit gutem Grund erwarten lassen (vgl. VwGH 9.2.2015, Ra 2015/02/0014). Dabei ist es auch nicht Aufgabe der Datenschutzbehörde, Anleitungen dahingehend zu geben, wie ein funktionierendes Kontrollsystem in einem Unternehmen bzw. Betrieb konkret zu gestalten ist, sondern zu überprüfen, ob auf dem Boden der Darlegungen der betroffenen Partei überhaupt ein Kontrollsystem im genannten Sinn gegeben ist bzw. ob das aufgezeigte Kontrollsystem hinreichend beachtet wurde, um mangelndes Verschulden glaubhaft zu machen (vgl. VwGH 12.2.2020, Ra 2020/02/0005; 7.3.2016, Ra 2016/02/0030, mwH).

18.      Umgelegt auf den gegenständlichen Sachverhalt kann daher, unter Berücksichtigung der ständigen Rechtsprechung des VwGH zum wirksamen Kontrollsystem im Zusammenhang mit dem Verschulden der verantwortlichen Person Folgendes festgehalten werden:

19.      Der intern mit der Kontrolle und Überwachung sämtlicher datenschutzrechtlicher Angelegenheiten betraute Geschäftsführer B*** sowie die Beschuldigte konnten im Ergebnis kein wirksames Kontrollsystem für den Betrieb des operativen Tagesgeschäfts in Österreich, insbesondere für den Verkehr mit Behörden und das Erkennen relevanter Schriftstücke, darlegen. Für das gesamte operative Tagesgeschäft der Beschuldigten am Standort Österreich ist lediglich ein Betriebsleiter bestellt. Am Sitz der Beschuldigten in xxx sind keine Mitarbeiter beschäftigt. Der Unternehmenssitz bzw. die Geschäftsadresse der Beschuldigten fungierte im Tatzeitraum, wie festgestellt bzw. von der Beschuldigten angegeben, nur als reine Postanschrift. Am Sitz selbst wurde jedoch kein operatives Tagesgeschäft geführt. Die Post (im gegenständlichen Fall die Aufforderungen zur Rechtfertigung der Datenschutzbehörde) wurde von der Beschuldigtenvertreterin entgegengenommen und unmittelbar (ungeöffnet) an den Betriebsleiter am Standort in O*** (Logistikzentrum der Beschuldigten in Österreich) weitergeleitet. Der Betriebsleiter war jedoch nicht nur für das Logistikzentrum in O*** zuständig, sondern auch für jenes in Deutschland (R***) und pendelte daher immer zwischen R*** und O***. Am Standort in O*** gibt es zudem keine Büroräumlichkeiten.

20.      Der Betriebsleiter in Österreich ist - in organisatorischer Hinsicht - der Geschäftsführung der Beschuldigten unmittelbar unterstellt und berichtet zwar in englischer Sprache regelmäßig der Geschäftsführung über das operative Tagesgeschäft in Österreich und somit auch über den Status der laufenden gerichtlichen und behördlichen Verfahren, jedoch hat er die gegenständlichen Aufforderungen zur Stellungnahme der Datenschutzbehörde fälschlicherweise nicht richtig behandelt, indem er sie als gegenstandlos betrachtet hat, da die arbeitsrechtlichen Verfahren bereits mit einem Vergleich abgeschlossen wurden. Dies ist unter anderem darauf zurückzuführen, dass der Betriebsleiter ein breites Aufgabenfeld hat, da er für das gesamte operative Tagesgeschäft in Österreich und Deutschland (Logistikzentrum in R***) zuständig ist und zudem regelmäßig zwischen den Logistikzentren in O*** und R*** pendeln muss. Der Betriebsleiter ist somit nicht ausschließlich für die Überwachung bzw. laufende Kontrolle der anhängigen gerichtlichen sowie behördlichen Verfahren zuständig. Eine verwaltungsstrafrechtlich verantwortliche Person iSd § 9 VStG wird sich angesichts der betrieblichen arbeitsteiligen Aufgabenerfüllung regelmäßig zur Erfüllung ihrer rechtlichen Verpflichtungen auch ihrer Anordnungskompetenz unterworfener nachgeordneter Hilfspersonen bedienen. Um die Einhaltung der sie treffenden Verpflichtungen zu sichern, liegt es an der verwaltungsstrafrechtlich verantwortlichen Person iSd § 9 VStG, zur Umsetzung ihrer gegenüber ihren Mitarbeiterinnen und Mitarbeitern bestehende Kontrollpflichten ein wirksam begleitendes Kontrollsystem einzurichten, durch welches die Einhaltung der einschlägigen Vorschriften jederzeit sichergestellt werden kann (vgl. VwGH 8.11.2016, Ra 2016/11/0144; 20.03.2018, Ra 2017/03/0092). Der Geschäftsführer hätte hier jedenfalls zumindest die rechtsfreundliche Vertretung der Beschuldigten (im gegenständlichen Fall die Beschuldigtenvertreterin) stärker im Rahmen der laufenden Kontrolle von anhängigen Verfahren einbinden und ihr zumindest auch eine Kontrollfunktion einräumen müssen, damit der Betriebsleiter – neben seinen anderen Aufgaben – nicht alleine die Verfahren überwachen muss. Vor allem war die Beschuldigtenvertreterin auch die Rechtsvertretung der Beschuldigten im Rahmen der jeweiligen arbeitsrechtlichen Verfahren vor dem LG Graz und kannte daher den Sachverhalt und wäre ihr als rechtskundiger Parteienvertretern sicherlich aufgefallen, dass es sich bei den Verfahren vor der Datenschutzbehörde um gesonderte, in keinem Zusammenhang mit den arbeitsrechtlichen Verfahren stehende Verfahren handelte.

21.      Ein wirksam begleitendes Kontrollsystem beinhaltet einen von den verwaltungsstrafrechtlich verantwortlichen Personen zu beachtenden objektiven Sorgfaltsmaßstab, dessen Nichtbeachtung jedenfalls eine fahrlässige Vorgangsweise indiziert. Die notwendige Beachtung dieses Sorgfaltsmaßstabs umfasst dabei einerseits die Einrichtung eines wirksamen Kontrollsystems, andererseits die Beachtung dieses Kontrollsystems im Einzelfall. In Ermangelung einschlägiger ausdrücklicher Vorschriften richtet sich das Maß der einzuhaltenden objektiven Sorgfalt insbesondere nach dem, was von einem sich seiner Pflichten gegen die Mitwelt bewussten, dem Verkehrskreis des Täters angehörenden Menschen billigerweise verlangt werden kann (vgl. VwGH 20.03.2018, Ra 2017/03/0092). Ausgehend von der ständigen Rechtsprechung des VwGH (vgl. etwa VwGH 16.02.2011, Ra 2011/08/0004) obliegt es dem Geschäftsführer - der zur Vertretung der einer GmbH nach außen berufen ist und für die Einhaltung der Verwaltungsvorschriften Sorge zu tragen hat – ein wirksames Kontrollsystem einzurichten, wenn er die selbstverantwortliche Besorgung einzelner Angelegenheiten (wie beispielsweise hier die Kontrolle von anhängigen Verfahren bzw. das Führen des operativen Tagesgeschäfts) anderen Personen überlässt (vgl. auch VwGH 12.10.2017, Ra 2015/08/0082). Die bloße Erteilung von Weisungen reicht nicht, um von einem wirksamen Kontrollsystem ausgehen zu können. Entscheidend ist, ob auch eine wirksame Kontrolle der vom Verantwortlichen erteilten Weisungen erfolgte, die unter den vorhersehbaren Verhältnissen die Einhaltung der gesetzlichen Vorschrift mit gutem Grund erwarten ließ (vgl. VwGH 16.12.2015, Ra 2013/10/0236).

22.      Es ist zwar den Ausführungen der Beschuldigten zu folgen, dass die Überwachung des täglichen operativen Tagesgeschäfts durch eine in Spanien ansässige Geschäftsführung keine leichte Aufgabe darstellt, jedoch ist, unter Berücksichtigung der oben angeführten Umstände, in Bezug auf das gegenständliche Kontrollsystem der Beschuldigten festzuhalten, dass der Geschäftsführer dennoch objektiv sorgfaltswidrig gehandelt hat, indem er kein wirksames internes Kontrollsystem im Sinne der Judikatur des VwGH für das tägliche operative Tagesgeschäft in Österreich implementiert hat. Der Geschäftsführer hätte jedenfalls die Rechtsvertretung der Beschuldigten im Zusammenhang mit der Kontrolle der anhängigen Verfahren in Österreich stärker einbeziehen müssen. Zudem ist die sonstige Einrichtung bzw. Konzeption des internen Kontrollsystems der Beschuldigten für das operative Tagesgeschäft in Österreich mit einer wesentlichen Fehleranfälligkeit behaftet (Sitz in xxx ist reine Postanschrift, keine Mitarbeiter dort beschäftigt; die Post wird nach O*** an den Betriebsleiter geschickt, dieser ist jedoch nicht immer anwesend, da er zwischen O*** und R*** pendelt; der Standort in O*** hat keine Büroräumlichkeiten, die die Verwaltung solcher Angelegenheiten erleichtern würde, etc.). Gerade von einem Geschäftsführer, der nicht in Österreich aufhältig ist, der Landessprache nicht mächtig ist und die Geschäfte „aus der Ferne führt“, ist zu erwarten, dass er für eine Niederlassung in einem anderen Mitgliedstaat Personen bestellt, die imstande sind, mit Behörden auf Anfrage zu kommunizieren. Andernfalls könnte sich ein Unternehmen – wie die Beschuldigte – sich einer effektiven Rechtsverfolgung konsequent entziehen.

23.      Ergebnis

Im Ergebnis kann daher zusammengefasst festgehalten werden, dass der Geschäftsführer der Beschuldigten B*** für die Einhaltung der datenschutzrechtlichen Bestimmungen der DSGVO und des DSG durch die beschuldigte juristische Person - im verwaltungsstrafrechtlichen Sinne - verantwortlich war und dass er im Rahmen des operativen Tagesgeschäfts in Österreich mehrere Angelegenheiten einer anderen Person (dem Betriebsleiter E***) selbstverantwortlich überlassen hat. Demnach musste der Geschäftsführer ein wirksames Kontrollsystem für die Kontrolle des operativen Tagesgeschäfts in Österreich implementieren bzw. einrichten. Das hier dargestellte Kontrollsystem war erwiesenermaßen nicht wirksam bzw. nicht dafür geeignet, um die Einhaltung der entsprechenden Vorschriften sicherzustellen bzw. das operative Tagesgeschäft in Österreich (vor allem die anhängigen Verfahren) zu kontrollieren. Der Geschäftsführer hat jedenfalls - im Rahmen seiner Funktion - objektiv sorgfaltswidrig gehandelt und es liegt Verschulden in Form von Fahrlässigkeit vor. Das rechtswidrige und schuldhafte Verhalten des Geschäftsführers wird gemäß Paragraph 30, Abs. und 2 DSG der Beschuldigten als juristische Person zugerechnet.

24.      Zur Ausschließung der Strafbarkeit der Geschäftsführung der Beschuldigten

Gemäß Paragraph 30, Absatz 3, DSG hat die Datenschutzbehörde von der Bestrafung eines Verantwortlichen gemäß Paragraph 9, des Verwaltungsstrafgesetzes 1991 – VStG, Bundesgesetzblatt Nr. 52 aus 1991,, abzusehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wurde. Die persönliche verwaltungsstrafrechtliche Verfolgung und Bestrafung des Geschäftsführers der Beschuldigten war aufgrund der Ausschlussnorm des Paragraph 30, Absatz 3, DSG somit – aus rechtlichen Gründen – nicht zulässig.

IV.      Zur Strafzumessung ist Folgendes festzuhalten:

1.        Gemäß Art. 83 Abs. 1 DSGVO hat die Datenschutzbehörde sicherzustellen, dass die Verhängung von Geldbußen für Verstöße gemäß den Abs. 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Näherhin bestimmt Abs. 2 leg. cit., dass bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall Folgendes gebührend zu berücksichtigen ist:

a)           Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b)          Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c)          jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

d)           Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Art. 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

e)          etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;

f)          Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

g)          Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h)           Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;

i)           […]

j)           […]

k)           jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

2.        Gemäß § 19 Abs. 1 VStG sind die Grundlagen für die Bemessung der Strafe die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat. Überdies sind nach dem Zweck der Strafdrohung die in Betracht kommenden Erschwerungs- und Milderungsgründe, soweit sie nicht schon die Strafdrohung bestimmen, gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechtes sind die §§ 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens- und Vermögensverhältnisse und allfällige Sorgepflichten des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen (dies gilt naturgemäß nur für natürliche Personen, ist aber sinngemäß auf juristische Personen zu übertragen); dies allerdings nur in dem Ausmaß, als nicht die unmittelbar zur Anwendung gelangenden Bestimmungen der DSGVO die Bestimmungen des VStG verdrängen und in dem Umfang, welcher von Art. 83 Abs. 8 DSGVO und Erwägungsgrund 148 im Hinblick auf die zu gewährleistenden Verfahrensgarantien angeordnet wird.

3.        Mit Art. 83 Abs. 3 DSGVO wird in Abweichung zu dem mit § 22 Abs. 2 VStG normierten Kumulationsprinzip angeordnet, dass in Fällen gleicher oder miteinander verbundener Verarbeitungsvorgänge, durch die vorsätzlich oder fahrlässig gegen mehrere Bestimmungen der DSGVO verstoßen wird, der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß übersteigt. Somit gilt im Anwendungsbereich der DSGVO – wie im vorliegenden Fall zur Anwendung gebracht – das Absorptionsprinzip des Art. 83 Abs. 3 DSGVO.

4.        Gemäß Art. 83 Abs. 4 werden im Falle der dort genannten Verstöße, im Einklang mit Abs. 2, Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. Der Begriff Umsatz im Sinne von Art. 83 Abs. 4 und 5 DSGVO ist im Sinne des Nettoumsatzerlöses der Richtlinie 2013/34/EU zu verstehen. Danach sind Nettoumsatzerlöse die Beträge, die sich aus dem Verkauf von Produkten und der Erbringung von Dienstleistungen nach Abzug von Erlösschmälerungen und der Mehrwertsteuer sowie sonstigen direkt mit dem Umsatz verbundenen Steuern ergeben (Art. 2 Z 5 RL 2013/34/EU).

5.        Die Umsatzerlöse werden im Rahmen der Gewinn- und Verlustrechnung für das Jahr 2019, wie festgestellt, mit EUR 86n.nnn,nn beziffert.

6.        Bezogen auf den vorliegenden Sachverhalt wurde bei der Strafzumessung Folgendes erschwerend berücksichtigt:

a.        Art, Schwere, Umfang und Dauer des Verstoßes:
Die Beschuldigte wurde im Rahmen mehrerer Beschwerdefahren mehrmals zur Stellungnahme durch die Datenschutzbehörde aufgefordert. Die Beschuldigte hat – trotz Urgenz und Zustellung per RSb – wiederholt nicht auf die Aufforderungen reagiert, obwohl ihr spätestens mit den Urgenzschreiben klar sein musste, dass ihre Mitwirkung am Verfahren erforderlich war. Es erfolgte nur eine eingeschränkte Reaktion im Rahmen eines von drei Beschwerdeverfahren. Es wäre jedenfalls möglich gewesen, die Datenschutzbehörde darüber zu informieren, dass keine Stellungnahme eingebracht wird, da nach Meinung der Beschuldigten bereits alle Informationen der Behörde vorliegen. Eine gänzlich fehlende bzw. die erst verspätet erfolgte Reaktion führte jedoch zu einer deutlichen Verzögerung des Verfahrens und hat die Behörde bei der Erfüllung ihrer Aufgaben behindert.

7.        Bezogen auf den vorliegenden Sachverhalt wurde bei der Strafzumessung Folgendes mildernd berücksichtigt:

a.        Da die Datenschutzbehörde in Bezug auf die im Spruch geahndeten Verstöße gegen die Pflicht zur Zusammenarbeit mit Aufsichtsbehörden nicht von vorsätzlicher, sondern von fahrlässiger Begehung ausgeht, wurde dies im Verhältnis zu möglichen Höchststrafe deutlich strafmildernd in Ansatz gebracht;

b.        Gegen die Beschuldigte liegen bei der Datenschutzbehörde keinerlei einschlägige frühere Verstöße gegen die DSGVO vor, dies wurde ebenfalls als strafmildernd berücksichtigt;

c.        Zudem hat die Beschuldigte im Rahmen des gegenständlichen Ermittlungsverfahrens vor der Datenschutzbehörde sehr kooperativ mitgewirkt und dadurch einen wesentlichen Beitrag zur Wahrheitsfindung beigetragen;

d.        Bei der Beschuldigten handelt es sich nach der Empfehlung der EU-Kommission 2003/61 (KMU-Definition der Europäischen Kommission) um ein Kleinunternehmen (der Personalaufwand im Rahmen der Gewinn- und Verlustrechnung für das Jahr 2019 stellt eine Mitarbeiterzahl von mehr als 9 Mitarbeiter, jedoch jedenfalls weniger als 49 dar und der Umsatz übersteigt nicht die Grenze von EUR 10.000.000). Dies wird ebenfalls vor allem im Sinne der Verhältnismäßigkeit als deutlich mildernd berücksichtigt;

e.        Der Umstand, dass die Beschuldigte laut der Gewinn- und Verlustrechnung für das Jahr 2019 einen Bilanzverlust in der Höhe von EUR 79.nnn,nn erzielt hat.

f.        Hinsichtlich der finanziellen Situation der Beschuldigten wird - im Sinne der Verhältnismäßigkeit - auch die aktuelle COVID-19 Pandemie als strafmildernd berücksichtigt.

8.        Die konkret verhängte Strafe in der Höhe von EUR 3.000,00 erscheint daher im Hinblick auf den verwirklichten Tatunwert, gemessen am zur Verfügung stehenden Strafrahmen des Art. 83 Abs. 4 DSGVO tat- und schuldangemessen und befindet sich aufgrund der vorliegenden Milderungsgründe am untersten Ende des zur Verfügung stehenden Strafrahmens. Die Verhängung ist jedenfalls im generalpräventiven Sinne erforderlich, um Verantwortliche und Auftragsverarbeiter hinsichtlich ihrer Pflicht zur Zusammenarbeit mit der Datenschutzbehörde als Aufsichtsbehörde dahingehend zu sensibilisieren, dass den Aufforderungen zur Mitwirkung an Verfahren vor der Datenschutzbehörde fristgerecht entsprochen wird, um allfällige Verzögerungen zu vermeiden. Die konkret verhängte Strafe ist somit für den gegenständlichen Fall wirksam, verhältnismäßig und abschreckend im Sinne des Art. 83 Abs. 1 DSGVO.

European Case Law Identifier

ECLI:AT:DSB:2021:2020.0.582.166