Takea­ways (AI):
  • Die DSB Öster­reichs ver­häng­te eine Bus­se von EUR 9’500 wegen fahr­läs­si­ger Ver­let­zung von Per­so­nen­da­ten.
  • Der Ent­scheid basiert auf der EuGH-Recht­spre­chung, wel­che die Haf­tung für Ver­stö­sse ohne indi­vi­du­el­le Zurech­nung ermöglicht.
  • Unter­neh­men soll­ten Betrof­fe­nen­rech­te schnellst­mög­lich respek­tie­ren, um Bus­se zu ver­mei­den und die Zusam­men­ar­beit mit Behör­den zu fördern.

Die Daten­schutz­be­hör­de (DSB) Öster­reichs hat ein Unter­neh­men mit einer Bus­se von EUR 9’500 bestraft, weil das Unter­neh­men ein Aus­kunfts­be­geh­ren zuerst lie­gen­ge­las­sen und die Per­so­nen­da­ten dann gelöscht statt beaus­kunftet hat­te, anschei­nend aber nicht vor­sätz­lich, son­dern fahrlässig.

Die­ser Ent­scheid stützt sich direkt auf die Deut­sche-Woh­nen-Recht­spre­chung des EuGH, wonach die Mit­glied­staa­ten eine Bus­se nach der DSGVO nicht davon abhän­gig machen kön­nen, dass der Ver­stoss einer bestimm­ten Per­son zuge­rech­net wird; juri­sti­sche Per­so­nen sol­len viel­mehr für alle Ver­stö­ssen haf­ten, die im Rah­men der unter­neh­me­ri­schen Tätig­keit began­gen wur­den. § 30 des öster­rei­chi­schen Daten­schutz­ge­set­zes sieht vor, dass eine Bus­se gegen eine juri­sti­sche Per­son die Zurech­nung der Ver­let­zung zu einer bestimm­ten und genann­ten natür­li­chen Per­son vor­aus­setzt. Auf­grund des EuGH-Ent­scheids wen­det die DSB die­se Bestim­mung nun nicht mehr an.

Bei der Zumes­sung der Bus­se waren u.a. fol­gen­de Fak­to­ren relevant:

  • Der Kon­zern­um­satz, hier rund EUR 98 Mio.;
  • es lagen kei­ne frü­he­ren Ver­stö­sse gegen die DSGVO vor;
  • das Unter­neh­men hat­te mit der DSB zusam­men­ge­ar­bei­tet, “indem sie ins­be­son­de­re den vor­ge­wor­fe­nen Sach­ver­halt nicht in Abre­de stell­te, ihr Fehl­ver­hal­ten ein­räum­te und sich nach Zustel­lung der Auf­for­de­rung zur Recht­fer­ti­gung ein­sich­tig zeig­te. Die Beschul­dig­te zeig­te sich reu­ig und die DSB geht davon aus, dass sie künf­tig eine der­ar­ti­ge Ver­let­zung von Rech­ten einer betrof­fe­nen Per­son nicht vor­neh­men wird”;
  • das Unter­neh­men hat­te im Beschwer­de­ver­fah­ren Aus­kunft über die noch vor­han­de­nen Daten erteilt.

Unter­neh­men soll­ten Betrof­fe­nen­rech­te zur Risi­ko­min­de­rung bzw. zur Sen­kung der Bus­se also bes­ser spät als nie erfül­len, auch wenn schon eini­ges schief­ge­gan­gen ist, und selbst­ver­ständ­lich hilft es, mit Behör­den in einem ver­nünf­ti­gen Rah­men zu kooperieren.

AI-generierte Takeaways können falsch sein.