Die Datenschutzbehörde berichtet im Newsletter 4/2019 von einer DSGVO-Strafe (Bescheid vom 12.8.2019; nicht rechtskräftig) in Höhe von EUR 50.000,-- gegen eine Krankenanstalt, die keinen DSBA bestellt und auch keine DSFA durchgeführt hatte sowie noch gegen andere datenschutzrechtliche Bestimmungen verstoßen hat.

 

Die Verantwortliche hat sich im Verwaltungsstrafverfahren darauf berufen, dass ein Rechtsirrtum bestanden hätte. Dieser schloss nach Ansicht der DSB die Strafbarkeit jedoch nicht aus.

 

 

 

 

Der ursprüngliche Feststellungsbescheid

 

Die DSB hat in einem Bescheid im Jahr 2018 (DSB-D213.692/0001-DSB/2018, 16.11.2018) nach einem amtswegigen Prüfungsverfahren, das nach zwei Beschwerden von der DSB eingeleitet wurde, mehrfache Verletzungen der DSGVO und des DSG festgestellt:

 

 

1.    Die Verantwortliche hat gegen die Pflicht zur Bestellung eines Datenschutzbeauftragten verstoßen.

 

 

2.    Die Verantwortliche verpflichtet betroffene Personen mit dem Formular „Einwilligungserklärung zur Datenverarbeitung – Datenschutz-Gesetz“ ... zu einer gesetzwidrigen Einwilligung, indem [...}

 

 

3.    Die Verantwortliche hat gegen die Informationspflichten verstoßen, [...]

 

 

4.    Die Verantwortliche hat gegen die Pflicht zur Prüfung der Notwendigkeit einer Durchführung von Datenschutz-Folgenabschätzungen betreffend die Verarbeitungstätigkeiten [...] indem sie in unzutreffender Weise davon ausging, dass jedenfalls keine Datenschutz-Folgenabschätzungen durchzuführen sind.

 

 

 

DSGVO-Strafe EUR 50.000,-- = 2,5% des Umsatzes

 

Aus dem aktuellen Newsletter der DSB ergibt sich, dass gegen die Verantwortliche wegen der mehrfachen Gesetzesverstöße eine DSGVO-Strafe von EUR 50.000,-- verhängt wurde, und diese auch die Verfahrenskosten in Höhe von 10 % der Geldstrafe, daher EUR 5.000,-- zu tragen hat.

 

Nach unveröffentlichten Informationen soll die Verantwortliche einen Umsatz von ca. 2 Mio erwirtschaften, sodass sich die Geldstrafe auf 2,5 % des Umsatzes beläuft.

 

 

 

 

 

 

Rechtsirrtum und dennoch Strafe

 

Die DSB hat in einem Bescheid im Jahr 2018 (DSB-D213.692/0001-DSB/2018, 16.11.2018) die Übertretungen rechtskräftig festgestellt.

 

Darin findet sich auch folgende Passage:

 

„Ad Datenschutzbeauftragter:
wir haben die Informationen (u.a. der Ärztekammer und WKO) vor dem 25.Mai 2018 so verstanden, dass Ärzte aufgrund der Kerntätigkeit keinen Datenschutzbeauftragten verpflichtend benötigen, aber freiwillig einen nehmen können. Mittlerweile lesen wir auf https://www.wko.at/service/unternehmensfuehrung-finanzierung-foerderungen/eu-dsgvo-datenschutzbeauftragter-faq.html#11 und http://www.aekwien.at/datenschutzgrundverordnung, dass wir wegen unserer Mitarbeiteranzahl wohl eher einen nehmen müssen. Wie ist hier die aktuelle Empfehlung des DSB? Benötigen wir verpflichtend einen? Wenn ja, werden wir dies klarerweise umgehend ändern. Bitte um Ihre Rückmeldung.“

 

 

 

Im Newsletter 4/2019 der DSB ist ausgeführt:

 

Die Beschuldigte hat sich im Rahmen ihrer Vernehmung (vgl. § 40 VStG) im Wesentlichen damit gerechtfertigt, dass sie auf (Fehl-)Informationen Dritter vertraut hätte bzw. sei sie bestrebt gewesen, Informationen in kurzer und prägnanter Form zur Verfügung zu stellen, um Patienten durch überbordende Informationen nicht zu überfordern.

 

Die DSB hat zum implizit geltend gemachten Rechtsirrtum festgestellt, dass dieser der Verantwortlichen vorwerfbar war, da sich diese – trotz Veranlassung

 

hiezu – über den Inhalt der einschlägigen Normen nicht näher informiert hat.

 

Eine diesbezügliche Erkundigungspflicht hat sich im vorliegenden Fall jedenfalls aus dem Unternehmensgegenstand der Beschuldigten, nämlich dem Betrieb eines medizinischen Ambulatoriums, ergeben. Die sich aus der Verarbeitung personenbezogener Daten ergebenden Pflichten ergeben sich aus der DSGVO und ist für deren Einhaltung jeder Verantwortliche selbst verantwortlich (vgl Art. 5 Abs 2 DSGVO).

 

 

 

Die beschuldigte Verantwortliche hat sich daher darauf berufen, dass sie sich auf einen Rat eines Dritten verlassen hat, und daher „kein Verschulden“ hat. 

 

§ 5 VStG legt fest, dass für eine Verwaltungsstrafe Verschulden des Verantwortlichen gegeben sein muss, und lautet:

 

 

 

§ 5. (1) Wenn eine Verwaltungsvorschrift über das Verschulden nicht anderes bestimmt, genügt zur Strafbarkeit fahrlässiges Verhalten. Fahrlässigkeit ist bei Zuwiderhandeln gegen ein Verbot oder bei Nichtbefolgung eines Gebotes dann ohne weiteres anzunehmen, wenn zum Tatbestand einer Verwaltungsübertretung der Eintritt eines Schadens oder einer Gefahr nicht gehört und der Täter nicht glaubhaft macht, daß ihn an der Verletzung der Verwaltungsvorschrift kein Verschulden trifft.

 

(1a) Abs. 1 zweiter Satz gilt nicht, wenn die Verwaltungsübertretung mit einer Geldstrafe von über 50 000 Euro bedroht ist.

 

(2) Unkenntnis der Verwaltungsvorschrift, der der Täter zuwidergehandelt hat, entschuldigt nur dann, wenn sie erwiesenermaßen unverschuldet ist und der Täter das Unerlaubte seines Verhaltens ohne Kenntnis der Verwaltungsvorschrift nicht einsehen konnte.

 

 

 

 

Kann man sich auf den Rat eines Dritten verlassen?

 

 

Die Antwort: es kommt darauf an!

 

 

Die DSB ging offensichtlich nicht davon aus, dass die Verantwortliche ihrer Erkundigungspflicht ausreichend nachgekommen ist, und sich auf einen tauglichen Ratschlag einer dritten Person, die über die ausreichende Sachkenntnis verfügt, verlassen hat.

 

 

Es sind in diesem Zusammenhang zwei unterschiedliche Verpflichtungen bzw. Sachverhalte maßgeblich.

 

 

Einerseits muss sich jeder Normunterworfene, dh jeder Verantwortliche, der von den Bestimmungen der DSGVO und des DSG insofern betroffen ist, als diese ihm/ihr Handlungspflichten oder Unterlassungspfilchten auferlegen, erkundigen, welche konkreten Handlungen und/oder Unterlassungen er/sie vorzunehmen hat.

Tut er/sie dies nicht, dann handelt er/sie jedenfalls fahrlässig. Jeder muss sich mit den ihn betreffenden Rechtsmaterien vertraut machen, und nach diesen auch handeln!

 

 

Wenn der Verantwortliche der Erkundigungspflicht nachkommt, und uU einen Dritten um eine Stellungnahme fragt, entschuldigt aber auch nicht jedes Vertrauen auf die Richtigkeit dieser Stellungnahme, sondern lediglich Vertrauen auf

 

•   die ständige höchstgerichtliche Judikatur
•   die (mitgeteilte) Verwaltungspraxis der zuständigen Behörde sowie
•  sonstige verlässliche Auskünfte sachkundiger Personen oder Institutionen auf Grundlage vollständiger Sachverhaltsinformation.

 

 

Bei Auskünften von „sachkundigen Personen“ ist jedoch uU auch Vorsicht geboten, da zB der VwGH in einem Verfahren eine Stellungnahme der Lebensmittelbegutachtungsstelle LVA für die Kennzeichnung von Lebensmitteln nicht als ausreichend beurteilt hat, und diesbezüglich judiziert hat: 

 

Vom verantwortlichen Beauftragten eines österreichweit tätigen Lebensmittel-Handelsunternehmens ist im Rahmen der nach seinen Verhältnissen erforderlichen Sorgfalt zu fordern, sich bei der Rechtsfrage, welches Verhalten eine einschlägige unionsrechtliche Bestimmung verlangt bzw. verbietet, nicht bloß auf die nicht begründete Auskunft eines Sachverständigen aus einem naturwissenschaftlichen Fach zu verlassen, sondern sich entsprechend juristisch fundierte Auskunft einzuholen. Bereits darin, dass der Beschwerdeführer dies unterlassen hat, liegt nach den obigen Ausführungen ein fahrlässiges Verhalten.

 

 

 

Es kommt daher bei der Erfüllung der Erkundigungspflicht auch darauf an, bei wem sich der Verantwortliche erkundigt, wenn er sich auf die Stellungnahme eines Dritten verlassen will.

 

 

Da das Datenschutzrecht in vielen Fällen europarechtlich geprägt ist, und schon die DSGVO in vielen Punkten auslegungsbedürftig ist, muss eine „entsprechend juristisch fundierte Auskunft“ eingeholt werden, die dann den Verantwortliche exkulpiert.

 

 

Andere Auskünfte erfüllen den notwendigen Standard nicht, und dem Verantwortlichen wird weiter vorgeworfen werden, dass er seiner Erkundigungspflicht nicht ausreichend nachgekommen ist.

 

 

8.12.2019, Autor:

 

Michael Schweiger, zert DSBA