Die Post hat die Parteienaffinität nach Ansicht der DSB (Bescheid vom 11.2.2019) unzulässigerweise verarbeitet. Das LG Feldkirch hat Anfang August 2019 EUR 800,-- an Schadenersatz zugesprochen (nicht rechtskräftig). Doch wie hoch könne eine Geldstrafe nach den Berechnungskriterien der deutschen DSK ausfallen?

Umsatz der Österreichischen Post AG im Jahr 2018

Der Umsatz des Konzerns (der Unternehmensgruppe) im Vorjahr ist die Bezugsgröße, nach der sich die Geldstrafe iSd Art 83 DSGVO richtet. Die „Obergrenze“ für „schwere Verstöße“ liegt bei 4 % des Jahresumsatzes bzw. EUR 20.000.000,-- (je nachdem welcher Betrag höher ist).

Der Umsatz der Österreichischen Post AG (ohne trans of flex; wurde mW 2018 verkauft) betrug laut Geschäftsbericht im Jahr 2018: 1.968.500.000,-- EUR.

Berechnung eines sog. Tagsatzes bzw. des wirtschaftlichen Grundwertes:

Bei juristischen Personen wird aus dem Vorjahresumsatz durch Division durch 360 ein sog. wirtschaftlicher Grundwert errechnet, der sich bei der Post daher auf 5.468.055,56 EUR beläuft (!).

Bei natürlichen Personen wird dieser Wert als „Tagsatz“ bezeichnet und aus dem monatlichen verfügbaren Nettoeinkommen und Division durch 30 errechnet.

In diesem Zusammenhang ist festzuhalten, dass in Österreich zwar in gerichtlichen Strafverfahren, nicht aber in Verwaltungsstrafverfahren die Strafzumessung nach Tagsätzen erfolgt.

Bußgeldkorridor nach Schwere der objektiven Tat

Aus dem Tagsatz bzw wirtschaftlichen Grundwert wird anhand der Schwere der objektiven Tathandlung ein sog. „Bußgeldkorridor“ ermittelt, der bei  einem

·         leichten Verstoß bis zum vom einfachen Tagsatz von 5.468.055,56 EUR bis zum 4-fachen des Tagsatzes, dh  21.872.222,22 EUR reicht.
 

·         Bei einem mittleren Verstoß geht der Bußgeldkorridor von 21.872.222,22 EUR bis zu   43.744.444,44 EUR

·         und einem schweren Verstoß eben dann von der Obergrenze des mittleren Verstoßes, dh von 43.744.444,44 EUR bis  65.616.666,67 EUR geht,

·         um dann bei sehr schweren Verstößen diesen Wert  von 65.616.666,67 EUR als Untergrenze zu definieren, und bei der Obergrenze von 78.740.000,00 EUR (= 4% des Umsatzes) endet.

Die Schwere der konkreten Tathandlung und die Anpassung des Schweregrades

Die Schwere der konkreten Tathandlung ist zu beurteilen, und dann uU aufgrund der konkreten Tat einzuordnen bzw. anzupassen, wobei folgende Kategorien zur Verfügung stehen:

·        Leichter Verstoß: geringfügige Nachteile für die betroffenen Personen, zB unzulässiges Werbmail, geringfügig verspätete Beantwortung von Betroffenenanträgen, Verwendung von unverschlüsselten Formularen auf einer Website      

·        Mittlerer Verstoß: spürbare Nachteile für die betroffenen Personen oder Verstoß gegen wichtige Informations- oder Dokumentationspflichten, zB keine Datenschutzinformation auf der Website, fehlende Auftragsverarbeitungsverträge, kein Verzeichnis von Verarbeitungstätigkeiten 

·        Schwerer Verstoß: Verstoß gegen zentrale Datenschutzvorschriften oder mögliche schwere Folgen für die betroffenen Personen zB unerlaubte Überwachung von Mitarbeiter*Innen mittels Videoaufzeichnung oder GPS-Tracking, unerlaubter Verkauf von Kundendaten durch Adresshändler

·        sehr schwerer Verstoß: Verstoß gegen zentrale Datenschutzvorschriften und besondere moralische Verwerfbarkeit zB unerlaubter Handel mit Daten über sexuelle Präferenzen oder die Gesundheit

Ausgehend von der objektiven Tathandlung, der Erhebung von besonderen Datenkategorien zum Adresshandel ist mE von einer mittelschweren Tat auszugehen.

Einordnung in Schweregrade bzw. Anpassung:

Der Schweregrad der Tat wird an Hand von folgenden Kriterien in Bezug auf die konkrete Tat angepasst, wobei es für jedes der Kriterien 0 bis 4 Punkte gibt, und die Punkte dann addiert werden, sodass eine Einordnung in den Bußgeldkorridor (je nach Schwere) erfolgt.

Die Schwere selbst wird an Hand

·        der Dauer (sehr kurz bis sehr lange),

·        Art, Umfang und Zweck der Verarbeitung,

·        Anzahl der betroffenen Personen (sehr wenig bis mehr als 100.000) sowie

·        des Ausmaßes des erlittenen Schadens (sehr gering bis sehr schwer)

jeweils mit bis zu vier Punkten beurteilt. Die Addition ergibt dann den entweder eine Abweichung in Form einer Senkung oder Erhöhung des Schweregrad der Tat, oder der Schweregrad bleibt unverändert.

Bei der Zuordnung der Parteiaffinität im Rahmen einer Marketingklassifikation über einen längeren Zeitraum ist davon auszugehen, dass für die verhältnismäßig lange Dauer der Verarbeitung dieser Daten 3 Punkte, sowie die sehr große der Personen (mutmaßlich ca. 2.200.000) 4 Punkte „zu vergeben“ sind. Der „Schaden“ ist mE eher als gering einzustufen (1 Punkt) (siehe auch das Urteil des LG Feldkirch vom 05.08.2019, nicht rechtskräftig) und auch die Art der Verarbeitung der Daten, Umfang bzw. der Zweck nämlich eine Marketingdatenbank im Rahmen des Adresshandels ergibt mE 2 weitere Punkte.

Daraus ergeben sich 10 Punkte, sodass sich bei einem mittelschweren Verstoß keine Anpassung des Schweregrades ergibt.

Der Bußgeldkorridor errechnet sich daher von 21.872.222,24 EUR bis 43.744.444,48 EUR mit einem Mittelwert von 32.808.333,36 EUR.

Der Mittelwert oder „Basiswert“ als weitere Grundlage

Dieser Mittelwert von 32.808.333,36 EUR wird für die weitere Berechnung (in Deutschland) der Geldstrafe gegen die Österreichische Post AG herangezogen.

Bei einer Bewertung mit 7 Punkten bleibt dieser Mittelwert als Berechnungsgrundlage.

Bei 0 bis 5 Punkten wird der Schweregrad gesenkt, und bei 11 bis 16 Punkten nimmt die Aufsichtsbehörde eine Erhöhung vor. So errechnet sich ein neuer „Basiswert“ für die Bußgeldberechnung als neuer anzunehmender Wert.

Bei leichten Verstößen kann es nicht zu einer Verringerung des Schweregrades kommen, wenn sich aber eine Gesamtbewertung mit 0 Punkten ergibt, dann wird die Aufsichtsbehörde vermutlich eine Verwarnung aussprechen. Ebenso kann sich das Bußgeld um bis zu 100 % erhöhen.

Milderungs- und Erschwernisgründe

Anhand der „Strafzumessungsgründe“ des Art 83 Abs 2 DSGVO wird dann der Basiswert um bestimmte prozentuelle Veränderungen vermindert (Milderungsgründe) oder erhöht (Erschwerungsgründe).

Die Art und Weise der Ermittlung der Strafzumessung mit mildernden und erschwerenden Umständen ist relativ komplex.

Jedenfalls ist festzuhalten, dass die Datenkategorie eine Rolle spielt, sodass bei der Verarbeitung der Parteienaffinität als „politischer Meinung“ die Verarbeitung von Art 9 DSGVO Daten zu einer Erhöhung um 25 % kommt und auch die Tatsache, dass der Verstoß der Aufsichtsbehörde nicht durch eine Mitteilung des Verantwortlichen selbst, sondern durch die Medien eine Erhöhung von 10 % mit sich bringt.

Die Art und Weise der Zusammenarbeit mit der Aufsichtsbehörde wirkt sich bei besonders guter Zusammenarbeit mildernd (- 25 %) und bei keiner oder schlechter Kooperation erschwerend (+ 25 %) aus. Da die Post umgehend reagiert hat, und angekündigt hat, diese Art und Weise der Datenerhebung und –verarbeitung zu beenden, ist wohl von einer guten Zusammenarbeit, daher minus 25 % auszugehen.

Da es noch keine einschlägigen Verstöße gab, kommt es in diesem Punkt zu keiner Erhöhung, wobei die Aufsichtsbehörden es als erschwerend ansehen, wenn es einen einschlägigen Verstoß gab (+ 50 %), bei zwei einschlägigen Verstößen kommt es zu einer Erhöhung um 150 % und bei drei oder mehr einschlägigen Verstößen sogar um 300 %.

Schwer einzuschätzen ist, ob sich die Tatsache, dass es zwar Verhaltensregeln für Direktmarketing gegeben hat, aber uU die Post diese nicht eingehalten hat. Dies führt zu einer Erhöhung um 25 %, da für die Verarbeitung der Parteienaffinität als „politische Meinung“ keine Einwilligung vorlag (siehe § 4.3. der Verhaltensregeln).

Daraus ist abzuleiten, dass der Mittelwert oder Basiswert von 32.808.333,36 EUR um 25 % erhöhen ist, sodass sich ein Bußgeld für die Österreichische Post AG auf Basis dieser Kriterien - die von der deutschen Datenschutzkonferenz diskutiert und auch dem Europäischen Datenschutzausschuss so vorgestellt werden sollen - von 41.010.416,67 EUR errechnen würde.

Abschließende, individuelle Bewertung durch die Aufsichtsbehörde

Eine Geldstrafe muss nach Art 82 Abs 1 DSGVO wirksam, verhältnismäßig und abschreckend sein. Nach § 19 VStG sind die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat. Eine Geldstrafe muss tat- und schuldangemessen sein.

Wenn daher die Geldstrafe in Höhe von 41.010.416,67 EUR der Aufsichtsbehörde als unangemessen hoch erscheint, dann wird sie diese noch herabsenken. Bedenkt man jedoch, dass der Strafrahmen bei bis zu 4 % des Umsatzes, daher 78.740.000 EUR liegt, dann ist dies ca 52 % der Höchststrafe.

Im Hinblick darauf, dass es sich um die „Ersttat“ handelt, wird das mE aus österreichischer Sicht als sehr hoch gegriffen angesehen werden, und vermutlich wird eine Geldstrafe in diesem Fall wohl eher bei 15 % bis max 20 % des Höchstwertes, dh bei 11.811.000 EUR bis 15.748.000 EUR einzuordnen sein, wenn nicht bei 10 %, ds dann 7.740.000 EUR liegen.

Diesen Wert wird die Geldstrafe jedoch mE erreichen müssen, um auch wirksam und abschreckend zu sein, wobei es wohl auch darauf ankommen wird, welche Kriterien die Aufsichtsbehörde dafür anwendet, dass die Österreichische Post AG mit den als unzulässig verarbeiteten Daten Umsatz generiert hat, und welchen Umsatz sie dadurch erreicht hat.

In den Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der VO 2016/679 (WP 17/DE WP 253) findet sich dazu folgende Ausführung, und es ist wohl davon auszugehen, dass bei finanziellen Vorteilen, die durch die unrechtmäßige Verarbeitung erlangt werden, jedenfalls eine Geldstrafe auszusprechen ist: