Datenschutzbehörde nimmt Geschäftsführer und Vorstände direkt in die Verantwortung
Beitrag verfasst von Dr. Rainer Knyrim. – KTR-Newsletter August 2020
Wir dürfen Ihnen von der neuen Vorgehensweise der Datenschutzbehörde berichten:
Der Verwaltungsgerichtshof hat in seiner Entscheidung Ro 2019/04/0229 vom 12.5.2020 zur Zurechenbarkeit von Verwaltungsstrafen an eine Gesellschaft die erste Geldbuße der Datenschutzbehörde nach der DSGVO in Höhe von EUR 4.800,00 gegen eine GmbH wegen einer unzulässigen Videoüberwachung aufgehoben. Nach Ansicht des VwGH hatte die DSB es unterlassen, jeweils einen Tatvorwurf gegen konkrete Personen zu richten, denen ein maßgeblicher Einfluss auf die Geschäfte der Beschuldigten zukomme. Die DSB hatte dieses Argument im Verfahren mit dem Hinweis verworfen, eine Geldbuße sei auch im europäischen Wettbewerbsrecht gegen eine juristische Person möglich. Dieses Argument wurde vom VwGH ebenso abgelehnt, wie die Vorstellung der DSB, dass Art 83 DSGVO ein Verbandsverantwortlichkeitsmodell sui generis beinhalte.
Wir konnten im Juli eine Verhandlung vor dem Bundesverwaltungsgericht miterleben, in welcher der Richter sich sehr eingehend mit der Frage der persönlichen Verantwortung des zuständigen Geschäftsführers befasste und auch explizit auf die oben genannte Entscheidung verwies.
Als Konsequenz daraus legt die Datenschutzbehörde nunmehr großen Wert in Verwaltungsstrafverfahren, die Datenschutzverletzung den nach § 9 VStG nach außen zur Vertretung befugten Organen bei Verfolgungshandlungen in Verwaltungsstrafverfahren zuzurechnen. Sie geht dabei so weit, dass sie diese Organe – also Geschäftsführer oder Vorstände – selbst als Beschuldigte führt und Ihnen somit auch die der Gesellschaft zur Last gelegten Verletzungen persönlich vorwirft. Diese angeblich datenschutzwidrig agierende Gesellschaft muss dabei jedoch nicht jene sein, für die diese Organe tätig sind: Uns wurde erst kürzlich eine Aufforderung zur Rechtfertigung gerichtet an eine Gesellschaft und alle ihre Vorstände übermittelt, in der diesen eine Datenschutzverletzung zur Last gelegt wird, die der Enkeltochter der von diesen gemanagten Gesellschaft vorgeworfen wird. Der Vorwurf an die Vorstände lautet, für kein ausreichendes Datenschutz-Compliance-System im Konzern Sorge getragen zu haben.
Es ist daher vor diesem Hintergrund insbesondere Organen von Leitungsgesellschaften eines Konzernverbunds zu empfehlen, für eine konzernweite Datenschutz-Compliance Sorge zu tragen. Dies also nicht mehr „nur“ deswegen, da die Gesellschaft eine Geldbuße treffen könnte, sondern auch, weil sie persönlich zum Beschuldigten in einem Verwaltungsstrafverfahren werden könnten.
Datenschutzverantwortlichen und -koordinatoren kann daher nur empfohlen werden, den restlichen Sommer zu nützen um zu überlegen, ob die eigene Datenverarbeitung wirklich DSGVO-konform ist, beginnend ua mit den nach außen (für Kunden und die Datenschutzbehörde) ersichtlichen Datenschutzinformationen und Einwilligungserklärungen auf der eigenen Webseite. Denn wenn man zu den eigenen Geschäftsführern oder Vorständen zitiert wird, weil diese eine Vorladung der Datenschutzbehörde erhalten haben, diese womöglich auch noch direkt an die Privatadresse, weil diese im Firmenbuch eingetragen war, dann könnte die Urlaubserholung rasch wieder vorbei sein.
In diesem Sinn verweisen wir auch besonders auf das untenstehende Seminar zum EuGH – Urteil „Schrems II“: Wer sich als Datenschutzverantwortlicher oder -koordinator nun nicht mit dem internationalen Datenverkehr im Unternehmen befasst oder dieses neue Problemthema als Datenschutzbeauftragter übersieht, könnte möglicher Weise auch unternehmensintern Probleme bekommen – nämlich eben dann, wenn sein Geschäftsführer oder Vorstand eine Ladung von der Datenschutzbehörde bekommt.
