Geldstrafe nach DSGVO & juristische Personen: EuGH anders als VwGH und BVwG

Die österreichischen Gerichte sind bisher davon ausgegangen, dass es für die Verhängung einer Geldbuße über eine juristische Person erforderlich sei, ein tatbestandsmäßiges, rechtswidriges und schuldhaftes Verhalten einer natürlichen Person, das der juristischen Person zugerechnet werden kann, darzutun und in den Spruch aufzunehmen.

Der österreichische „Post-Parteiaffinitäten-Fall“ 

Das Bundesverwaltungsgericht (BVwG) hat im Jahr 2020 zwar einerseits den (Feststellungs)Bescheid der Datenschutzbehörde (DSB) bestätigt, wonach die Verarbeitung der Datenart „Parteiaffinität“ ohne Einwilligung der Betroffenen rechtswidrig war und die Verarbeitung der „Parteiaffinitäten“ zu unterlassen ist (BVwG-Teilerkenntnisse vom 20.08.2020, W258 2217446-1/15E [Link] und vom 26.11.2020, W258 2217446-1/35E [Link]), aber andererseits das Straferkenntnis der DSB, mit dem eine Geldbuße von 18 Millionen Euro gegen die Post AG verhängt wurde, aufgehoben und das Strafverfahren beendet. Ausschlaggebend für diese BVwG-Entscheidung war ein höchstgerichtliches Erkenntnis in Kombination mit einem (angeblichen) Formfehler: So hatte der Verwaltungsgerichtshof (VwGH) in seinem Erkenntnis vom 12.05.2020, Ro 2019/04/0229 [Link], ausgesprochen, dass es für die Verhängung einer Geldbuße über eine juristische Person erforderlich ist, ein tatbestandsmäßiges, rechtswidriges und schuldhaftes Verhalten einer natürlichen Person, das der juristischen Person zugerechnet werden soll, darzutun und in den Spruch aufzunehmen. Die DSB habe dies verabsäumt und in ihrem Spruch keine natürliche Person genannt, der das schuldhafte Verhalten der Post AG zuzurechnen war (BVwG-Erkenntnis vom 26.11.2020, W258 2227269-1/14E [Link]).

Der EuGH zu „Deutsche Wohnen“

Der EuGH sah das nun anders (EuGH 05.12.2023, C-807/21 – Deutsche Wohnen [Link]): Zwar ist Voraussetzung für die Verhängung einer Geldbuße wegen eines Verstoßes nach Art 83 Abs 4 bis 6 DSGVO, dass der Verantwortliche (hier: juristische Personen und Unternehmen) den Verstoß vorsätzlich oder fahrlässig begangen hat. Handelt es sich bei dem Verantwortlichen um eine juristische Person, setzt die Anwendung des Art. 83 DSGVO kein Handeln oder gar eine Kenntnis des Leitungsorgans dieser juristischen Person voraus. Eine juristische Person haftet daher nicht nur für Verstöße, die von ihren Vertretern, Leitern oder Geschäftsführern begangen werden, sondern auch für Verstöße, die von jeder anderen Person begangen werden, die im Rahmen der Geschäftstätigkeit und im Namen der juristischen Person handelt. Eine Geldbuße wegen eines Verstoßes nach Art. 83 Abs. 4 bis 6 DSGVO kann gegen eine juristische Person als Verantwortliche auch dann verhängt werden, wenn der Verstoß keiner bestimmten natürlichen Person zugerechnet werden kann. Diese Frage sei nämlich in Art. 58 Abs. 2 und Art. 83 Abs. 1 bis 6 DSGVO abschließend geregelt.

Ist der Adressat der Geldbuße ein Unternehmen im Sinne der Art. 101 und 102 AEUV oder gehört er einem solchen an, wird der Höchstbetrag der Geldbuße gemäß Art. 83 Abs. 4 bis 6 DSGVO auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des Unternehmens im vorausgegangenen Geschäftsjahr berechnet. Bei der Verhängung einer Geldbuße ist die Aufsichtsbehörde nach Art 83 im Lichte des 150. Erwägungsgrundes der DSGVO verpflichtet, bei der Bemessung der Geldbuße den Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV zugrunde zu legen.