Nach einigen Jahren Praxis und Behördenentscheidungen hat sich die anfängliche Befürchtung der Unternehmen bewahrheitet; bei gröberen Verstößen – ebenso bei anhaltendem datenschutzwidrigem Verhalten – verhängt die österreichische Datenschutzbehörde empfindliche Strafen, auch Geldbußen genannt. Abhängig davon gegen welche Bestimmung verstoßen wurde, sieht Art 83 DSGVO eine Bußgeldhöhe von 10 Mio EUR oder 2% des weltweiten erzielten Jahresumsatzes des vergangenen Geschäftsjahres oder 20 Mio EUR bzw. 4 % dessen vor. Geschäftsführung und Vorstand haben somit das verständliche Ziel sich rechtskonform zu verhalten, wobei dies mit einem gewissen organisatorischen Aufwand verbunden ist. Doch wie läuft so ein Verfahren ab und gegen wen werden die datenschutzrechtlichen Geldbußen verhängt? Nur gegen das Unternehmen oder auch gegen die Geschäftsführer bzw. Vorstände? Hat die Datenschutzbehörde hier überhaupt ein Ermessen?
Die Geldbußen wurden nicht „existenzbedrohend“, da sie zwar wirksam und abschreckend, aber eben auch verhältnismäßig sein müssen. Im Jahr 2024 hat die österreichische Datenschutzbehörde insgesamt 62 Bescheide erlassen, die eine Geldbuße vorsahen. Die Gesamtsumme betrug 1,6 Mio EUR. Das ist in Anbetracht der bislang höchsten Geldbuße in Höhe von 18 Mio EUR gegen ein Logistikunternehmen erstaunlich niedrig.
Bei Datenschutzwidrigem Verhalten – verhängt die österreichische Datenschutzbehörde empfindliche Strafen
Adressat der Geldbuße ist gemäß Art 83 iVm Art 4 Z 7 bzw 8 DSGVO der private (Behörden und öffentliche Stellen sind ausgenommen) Verantwortliche oder Auftragsverarbeiter. Die Einleitung des Strafverfahrens kann von Amts wegen erfolgen oder aufgrund einer Beschwerde eines Betroffenen. Die Datenschutzbehörde hat in diesen Fällen in einem Ermittlungsverfahren festzustellen, ob es zu Datenschutzverstößen gekommen ist. Schließlich wird der Strafbescheid erlassen, der neben der Feststellung allfälliger Datenschutzverstößen auch eine Geldbuße beinhalten kann. Dabei sind zahlreiche Elemente von der Behörde zu berücksichtigen, wie zB die Schwere und Art der Verletzung, frühere Verstöße, Grad der Verantwortung, Zusammenarbeit mit der Behörde und schließlich auch das Verschulden einer natürlichen Person. Dabei muss es sich nicht um einen Geschäftsführer oder Mitglied des Vorstandes handeln, es reicht, wenn eine Person ein schuldhaftes Verhalten setzt, das rechtswidrig war. Tatsächlich kann die Behörde zwischen der natürlichen Person, also dem Entscheidungsträger und der juristischen Person also der Gesellschaft (GmbH, Aktiengesellschaft, etc) wählen. Sofern nicht gegen beide eine Geldbuße verhängt wird. Das verbietet eine nationale Regelung.