Eine Konzernobergesellschaft haftet nicht, wenn strategische Entscheidungen getroffen werden, die dann datenschutzwidrig von anderen Konzerngesellschaften umgesetzt werden, da keine gemeinsame Verantwortlichkeit iSd DSGVO besteht.
Die beiden Entscheidungen des Bundesverwaltungsgerichts (BVwG) vom 28.05.2024 und des Verwaltungsgerichtshofs (VwGH) vom 14.04.2026 betreffen denselben prominenten Fall: Ein Konzern mit einer Holding („XXXX“/R AG) und einer operativen Tochter (U GmbH) betreibt ein groß angelegtes Kundenbindungsprogramm („B Club“) mit Profiling von über zwei Millionen Betroffenen.
Die Datenschutzbehörde (DSB) verhängte eine Rekordgeldgeldstrafe gem. Art 83 DSGVO von 8.000.000 EUR plus 800.000 EUR Kosten gegen die Konzernobergesellschaft wegen angeblicher gemeinsamer Verantwortlichkeit mit der Tochtergesellschaft.
Das BVwG hob diese Strafe auf; der VwGH bestätigte diese Linie, indem er die außerordentliche Revision der DSB zurückwies.
Die Entscheidungen sind für Datenschutz- und Compliance-Praxis deshalb bedeutsam, weil sie:
· die Schwelle für joint controllership nach Art. 4 Z 7, Art. 26, Art. 83 DSGVO im Konzernkontext konkretisieren,
· klarstellen, dass strategische Konzernsteuerung und Finanzierung alleine keine Verantwortlichkeit begründen, wenn die operative Datenverarbeitung separiert ist,
·
und die Anforderungen an schuldhafte Pflichtverletzung und Zurechnung nach österreichischem Verwaltungsstrafrecht (VStG, DSG) in Bußgeldverfahren gegen Holdings präzisieren.
Verfahrensgang: Von der DSB-Strafe zur VwGH-Entscheidung
1. Verwaltungsstrafe der DSB
Ausgangspunkt war ein amtswegiges Prüfverfahren der DSB gegen die operative U GmbH, die als ausgewiesene datenschutzrechtliche Verantwortliche das Kundenbindungsprogramm „B Club“ betreibt. Es ging insbesondere um Profiling basierend auf umfassenden Kundendaten und die Wirksamkeit der verwendeten Einwilligungsformulare.
Parallel leitete die DSB ein Verwaltungsstrafverfahren gegen die Konzernobergesellschaft (Holding) ein und warf ihr vor, für die im Verfahren gegen die U GmbH festgestellten Verstöße als gemeinsam Verantwortliche mitverantwortlich zu sein.
Im Straferkenntnis vom 26.07.2021 setzte die DSB gegen die Holding eine Geldstrafe von 8.000.000 EUR sowie Kosten in Höhe von 800.000 EUR fest. Grundlage waren u.a.
Verstöße gegen Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1, Art. 7, Art. 83 Abs. 5 lit. a DSGVO.
2. Beschwerde an das BVwG
Die Holding erhob Beschwerde an das BVwG. Sie bestritt insbesondere:
· eine gemeinsame Verantwortlichkeit für die Datenverarbeitung im B Club,
· eine operative Einflussnahme auf Profilingprozesse und Einwilligungsdesign,
· sowie das Vorliegen der für eine Verwaltungsstrafe notwendigen schuldhaften Pflichtverletzung nach VStG und DSG.
3. Entscheidung des BVwG vom 28.05.2024
Das BVwG gab der Beschwerde statt, hob das Straferkenntnis der DSB auf und stellte das Verwaltungsstrafverfahren ein.
Es verneinte eine gemeinsame Verantwortlichkeit der Holding und sah die strafrechtliche Zurechnungsvoraussetzungen als nicht erfüllt. Eine Revision erklärte das BVwG
gemäß Art. 133 Abs. 4 B-VG für unzulässig.
4. Außerordentliche Revision der DSB
Die DSB erhob daraufhin außerordentliche Revision an den VwGH. Sie machte insbesondere geltend:
· das Fehlen höchstgerichtlicher Rechtsprechung zur Verantwortlichkeit einer Konzernobergesellschaft, die Gründung, Finanzierung und Förderung eines Kundenbindungsprogramms übernimmt, aber operativ nicht eingebunden ist,
·
sowie eine angebliche Fehlanwendung bzw. Nichtberücksichtigung der EuGH-Judikatur zur gemeinsamen Verantwortlichkeit, insbesondere C‑683/21 Nacionalinis
visuomenės sveikatos centras.
5. Entscheidung des VwGH vom 14.04.2026
Der VwGH wies die außerordentliche Revision gemäß § 34 Abs. 1 und 3 VwGG zurück:
Er sah keine Rechtsfrage von grundsätzlicher Bedeutung iSd Art. 133 Abs. 4 B‑VG, bestätigte, dass die Kriterien der (gemeinsamen) Verantwortlichkeit durch EuGH und eigene Vorjudikatur ausreichend geklärt sind, und sah keine gravierende Fehlbeurteilung des BVwG.
Zugleich sprach der VwGH der mitbeteiligten Partei (Holding) Aufwandersatz in Höhe von 1.106,40 EUR binnen 14 Tagen
zu.
Konzernstruktur und Rollenverteilung: Holding vs. operative Tochter
Struktur des Konzerns
Die operative U GmbH betreibt als Servicegesellschaft das Kundenbindungsprogramm „B Club“. Unternehmensgegenstand ist u.a. der Betrieb eines Kundenbindungsprogramms
mittels Rabatten und Hilfsdienstleistungen. Die U GmbH gehört zu 100 % einer Konzerndienstleistungsgesellschaft, die wiederum im Eigentum der Konzernobergesellschaft (Holding)
steht. Die Holding selbst hat als Unternehmensgegenstand u.a. das Halten und Verwalten von Beteiligungen an Handels- und Touristikunternehmen sowie an
Unternehmen im Bereich Werbung und handelssektorale Dienstleistungen.
Rolle der Holding
Aus den Feststellungen ergibt sich: Die Holding war in der Konzeptionsphase (ab 2017) maßgeblich involviert: Sie initiierte das Projekt, traf Entscheidung zur Errichtung eines branchenunabhängigen Multipartner-Kundenbindungsprogramms und strukturierte dieses strategisch im Konzern. Sie gründete und finanzierte die U GmbH als operative Trägerin des Programms. Im Konzern bestand ein Konzerndatenschutzbeauftragter, der in einem Dienstverhältnis zur Dienstleistungsgesellschaft stand; dieser war u.a. in die internen Datenschutzüberlegungen einbezogen.
Personelle Verflechtungen in Leitungsorganen zwischen Holding und operativer Servicegesellschaft bestanden nach den Feststellungen nicht; die Geschäftsführer der U
GmbH wurden von deren unmittelbarer Muttergesellschaft bestellt.
Rolle der U GmbH (B Club)
Spätestens ab 2. Mai 2019 übernahm die U GmbH den operativen Geschäftsbetrieb des Kundenbindungsprogramms und die damit verbundenen Datenverarbeitungen, insbesondere:
· die Erhebung von Kundendaten im Rahmen der Teilnahme am B Club,
· die Profilbildung (Profiling) auf Basis verschiedener Datensätze,
·
die Gestaltung und Umsetzung der Einwilligungsprozesse, einschließlich Einwilligungsformulare und Oberflächen, über die Einwilligungen eingeholt wurden.
Rechtsfrage: Gemeinsame Verantwortlichkeit nach DSGVO im Konzern
Normativer Rahmen
Zentral ist der Begriff des „Verantwortlichen“ nach Art. 4 Z 7 DSGVO und die Regelung der gemeinsamen Verantwortlichkeit in Art. 26 DSGVO. Verantwortlicher ist, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet.
Die Entscheidungen stehen im Kontext der einschlägigen EuGH‑Judikatur, insbesondere:
· C‑25/17 Jehovan todistajat (Zeugen Jehovas): Ausweitung des Verantwortlichenbegriffs auf Organisationen, die im Rahmen von Tätigkeiten ihrer Mitglieder faktisch Einfluss auf die Verarbeitung haben.
· C‑40/17 Fashion ID: Mitverantwortlichkeit des Website-Betreibers mit einem Plug-in-Anbieter, wenn der Betreiber durch Einbindung des Plug-ins die Datenverarbeitung mitverursacht.
· Facebook Fanpages (C‑210/16): Joint controllership zwischen Facebook und Fanpage-Betreiber aufgrund gemeinsamer Einflussnahme auf Zwecke und Mittel bestimmter Verarbeitungen.
· C‑807/21 Deutsche Wohnen: Anforderungen an die Zurechnung datenschutzrechtlicher Verstöße zu juristischen Personen und die Auslegung von Art. 83 DSGVO.
· C‑683/21 Nacionalinis visuomenės sveikatos centras: Verantwortlichkeit einer öffentlichen Stelle, die ein System einführen lässt und Einfluss auf dessen Gestaltung nimmt.
· C‑604/22 IAB Europe: Rolle eines Branchenverbands als (Mit-)Verantwortlicher für ein standardisiertes Einwilligungs-Framework.
Der EuGH betont, dass jede Person, die aus Eigeninteresse auf die Verarbeitung Einfluss nimmt und an der Entscheidung über Zwecke und Mittel mitwirkt, als Verantwortlicher anzusehen
ist.
Kernfrage im konkreten Fall
Die zentrale Rechtsfrage lautet: Reicht es für eine (gemeinsame) Verantwortlichkeit der Holding aus, dass sie:
· das Kundenbindungsprogramm konzipiert, gegründet und finanziert hat,
· Konzerninteressen verfolgt (Marketing, Kundenbindung, wirtschaftlicher Mehrwert),
· und konzernintern (strategisch) mit Datenschutzfragen befasst war,
obwohl die konkrete operative Datenverarbeitung, einschließlich Profiling und Einwilligungsdesign, ausschließlich in der U GmbH organisiert und umgesetzt wurde?
Argumentation des BVwG: Keine gemeinsame Verantwortlichkeit der Holding
Abgrenzung strategische vs. operative Verantwortung
Das BVwG stellt zunächst klar, dass die DSGVO‑Pflichten primär an den Verantwortlichen adressiert sind, dessen Verantwortung sich auf die Verarbeitung „durch ihn oder in seinem Namen“ erstreckt.
Auf Basis der Feststellungen zum Konzernsetup kommt das Gericht zu folgendem Kernbefund:
Die Holding hat das Konzept des Kundenbindungsprogramms im Konzern entwickelt und die U GmbH als Servicegesellschaft gegründet und finanziert. Mit Aufnahme des operativen Betriebs durch die U GmbH lag die tatsächliche Entscheidungshoheit über Zwecke und Mittel der Datenverarbeitung bei der U GmbH. Die Holding war nicht operativ in die Ausgestaltung der konkreten Verarbeitungsvorgänge (Profiling-Logik, Datenflüsse, Einwilligungsformulare, Frontends) eingebunden.
Damit unterscheidet das BVwG zwischen strategischer Konzernkonzeption und Finanzierung des Programms, und konkreter Bestimmung von Zweck und Mitteln
der Datenverarbeitung. Nur Letzteres begründet Verantwortlichkeit nach Art. 4 Z 7 DSGVO.
Anwendung der EuGH-Judikatur
Das BVwG setzt sich mit den vom EuGH entwickelten Kriterien auseinander:
Eine gemeinsame Verantwortlichkeit erfordert eine tatsächliche Mitwirkung an der Entscheidung über Zwecke und Mittel spezifischer Verarbeitungen, nicht bloß
ein wirtschaftliches Interesse oder eine allgemeine Konzernsteuerung. Anders als in Fashion ID oder Facebook Fanpages fehlte es an einer Situation, in der die Holding durch eigene
Handlungen (etwa Einbindung von Tools, gemeinsame Plattformen) selbst Datenverarbeitungsvorgänge auslöst oder mitgestaltet. Anders als in IAB Europe oder Nacionalinis visuomenės
sveikatos centras gab es keine Standardsetzung oder zentral gesteuerte technische Infrastruktur der Holding, die die operative Verarbeitung determiniert hätte.
Das Gericht betont sinngemäß, dass konzerninterne Sorgfaltspflichten und ein legitimes Eigeninteresse am wirtschaftlichen Erfolg des Programms nicht automatisch in eine joint controllership münden, solange die Holding keine konkrete operative Einflussnahme auf die umstrittenen Verarbeitungsvorgänge ausübt.
Verwaltungsstrafrechtliche Dimension (VStG, DSG)
In verwaltungsstrafrechtlicher Hinsicht wendet das BVwG die Grundsätze des österreichischen Verwaltungsstrafrechts an:
Eine Geldstrafe gegen eine juristische Person setzt – im Zusammenspiel mit Art. 83 DSGVO – eine zurechenbare, schuldhafte Pflichtverletzung voraus. Bei der Holding fehlt es bereits an einer Pflichtadressierung im Sinne der DSGVO, weil sie nicht Verantwortliche für die konkrete Verarbeitungstätigkeit ist. Mangels Verantwortlichkeit kann auch kein vorsätzliches oder fahrlässiges Unterlassen im Sinne des VStG konstruiert werden.
Damit scheitert die Verhängung einer Geldstrafe im konkreten Fall doppelt: sowohl materiell-datenschutzrechtlich (kein Verantwortlicher) als auch strafrechtlich
(keine zurechenbare Tat). Die außerordentliche Revision der DSB und die Antwort des VwGH
Argumente der DSB in der Revision
Die DSB sah durch das BVwG-Erkenntnis grundlegende Rechtsfragen als offen und argumentierte im Wesentlichen:
Es gebe keine VwGH-Rechtsprechung zur Frage, ob die Gründung, Finanzierung und Förderung eines Kundenbindungsprogramms durch eine Konzernobergesellschaft einen hinreichenden Einfluss auf die Datenverarbeitung begründe, auch wenn die Gesellschaft operativ nicht involviert sei. Das BVwG habe die jüngere EuGH-Rechtsprechung, insbesondere C‑683/21 Nacionalinis visuomenės sveikatos centras, nicht oder falsch angewendet und wäre bei richtiger Anwendung zu einer Verantwortlichkeit der Holding gelangt.
Damit versuchte die DSB, eine Rechtsfrage von grundsätzlicher Bedeutung iSd Art. 133 Abs. 4 B‑VG zu begründen.
Erwägungen des VwGH: Keine Rechtsfrage von grundsätzlicher Bedeutung
Der VwGH knüpft an seine eigene und die EuGH‑Judikatur an:
Er verweist auf die gefestigte Linie, wonach jede natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über Zwecke und Mittel mitwirkt, als Verantwortlicher gilt. Die vom EuGH entwickelten Kriterien zur gemeinsamen Verantwortlichkeit (Zeugen Jehovas, Fashion ID, Facebook Fanpages, IAB Europe, Nacionalinis visuomenės sveikatos centras) seien hinreichend klar; einer weiteren Klärung bedürfe es nicht.
Im Lichte dieser Vorgaben prüft der VwGH, ob das BVwG die Kriterien vertretbar angewendet hat. Er kommt zum Ergebnis: Das BVwG habe auf Basis der festgestellten Tatsachen vertretbar angenommen, dass die Holding keine Mitentscheidung über die konkreten Zwecke und Mittel der hier relevanten Verarbeitungen (Profiling, Einwilligungsgestaltung) getroffen habe. Die bloße Gründung und Finanzierung des Programms sowie ein allgemeines Konzerninteresse genügen nicht, um Verantwortlichkeit zu begründen, solange keine weitergehende Einflussnahme auf die operative Datenverarbeitung festgestellt ist. Ein Widerspruch zu C‑683/21 liege nicht vor; diese Entscheidung betreffe Konstellationen, in denen eine zentrale Stelle maßgeblich die Gestaltung des Systems und damit die Datenverarbeitung prägt.
Da damit keine klärungsbedürftige Grundsatzfrage verbleibt und das BVwG keine qualifizierte Fehlbeurteilung begangen hat, weist der VwGH die außerordentliche Revision zurück.
Kernaussagen (Leitsätze) aus beiden Entscheidungen
Zur besseren Übersicht eine komprimierte Darstellung wesentlicher Kernaussagen:
|
Thema |
Kernaussage BVwG |
Kernaussage VwGH |
|
Joint controllership |
Strategische Konzeption und Finanzierung eines Kundenbindungsprogramms durch die Holding begründen für sich genommen keine gemeinsame Verantwortlichkeit, wenn die operative Tochter allein die konkreten Zwecke und Mittel der Datenverarbeitung bestimmt.
|
Die Kriterien der gemeinsamen Verantwortlichkeit sind durch EuGH und nationale Rechtsprechung geklärt; die Anwendung durch das BVwG, wonach im konkreten Fall keine Verantwortlichkeit der Holding vorliegt, ist nicht rechtsfehlerhaft. |
|
Einflussnahme |
Verantwortlichkeit setzt eine tatsächliche Mitwirkung an der Entscheidung über Zwecke und Mittel voraus; ein wirtschaftliches Eigeninteresse oder allgemeine Konzernsteuerung reichen nicht.
|
Eine bloße Gründung, Finanzierung und Förderung eines Programms ohne operative Einbindung in die konkrete Datenverarbeitung begründet keine Verantwortlichkeit. |
|
Verwaltungsstrafrecht |
Ohne Verantwortlichkeit im Sinne der DSGVO fehlt die Grundlage für eine strafrechtliche Zurechnung nach VStG/DSG; eine Verwaltungsstrafe gegen die Holding ist daher unzulässig.
|
Bestätigung: Die Ablehnung der Haftung der Holding durch das BVwG verletzt kein einfaches Recht; keine grundlegende Rechtsfrage. |
|
EuGH-Judikatur |
EuGH-Entscheidungen zu joint controllership sind zu berücksichtigen, führen aber nicht dazu, jede konzernverbundene Gesellschaft automatisch als (Mit-)Verantwortliche anzusehen. |
Kein Widerspruch zur EuGH-Rechtsprechung (insbes. C‑683/21); keine Vorlagepflicht an den EuGH, da Rechtslage geklärt. |
Bedeutung für die Bußgeldpraxis gegen Konzernobergesellschaften
Anforderungen an den Nachweis der (gemeinsamen) Verantwortlichkeit
Für die Praxis der DSB und anderer Aufsichtsbehörden in der EU lassen sich mehrere Konsequenzen ableiten:
1.
Kein Automatismus „Konzern = joint controller“
Die Beteiligung an einem Konzern und die wirtschaftliche Nutznießung eines Kundenbindungsprogramms begründen nicht automatisch eine Verantwortlichkeit. Es
bedarf eines konkreten Nachweises, dass die Holding an der Entscheidung über Zwecke und Mittel der konkret beanstandeten Verarbeitungen mitgewirkt hat.
2.
Fokus auf faktische Einflussnahme
Behörden müssen detailliert ermitteln und darlegen:
Reine Konzernrichtlinien oder Budgetentscheidungen genügen für sich nicht, um joint controllership zu begründen.
a. Wer entscheidet tatsächlich über Zweck(e) (z.B. welche Profiling-Use-Cases, welche Marketingmaßnahmen)?
b. Wer bestimmt die Mittel (z.B. Systeme, Algorithmen, Datenquellen, Einwilligungsmechanismen)?
c.
Welche Rolle spielen Konzernfunktionen (Legal, Datenschutz, Marketing) bei diesen Entscheidungen?
3.
Abgrenzung zu EuGH-Konstellationen
Die Entscheidungen zeigen, dass EuGH-Fälle wie Fashion ID, Facebook Fanpages oder IAB Europe spezifische Konstellationen betreffen (gemeinsame
Plattformen, standardisierte Frameworks, unmittelbare technische Mitverantwortung). Diese Judikatur kann nicht schematisch auf jede Konzern-Holding übertragen werden.
Anforderungen an schuldhafte Pflichtverletzung (Art. 83 DSGVO iVm VStG/DSG)
Für Geldstrafen / Verwaltungsstrafverfahren gegen Konzernobergesellschaften folgt:
Neben der Verantwortlichkeit muss eine schuldhafte Pflichtverletzung nachgewiesen werden. Dies setzt voraus, dass die Holding adressierte Pflichten verletzt hat (z.B. fehlende Implementierung angemessener Maßnahmen als Verantwortliche).
Eine „Überwachungs- oder Kontrollpflicht“ der Holding gegenüber der operativen Gesellschaft kann nicht ohne weiteres aus Art. 5 Abs. 2 DSGVO oder aus
allgemeinen Konzerninteressen abgeleitet werden, solange die Holding nicht selbst Verantwortliche der konkreten Verarbeitung ist. Die Entscheidungen setzen damit einem vorschnellen „Durchgriff“
auf Konzernobergesellschaften in Bußgeldverfahren Grenzen, ohne sie generell auszuschließen. Entscheidend bleibt die tatsächliche Rolle im
Einzelfall.
Praktische Takeaways für Unternehmensgruppen
Aus den Entscheidungen ergeben sich wichtige Handlungsempfehlungen für Holdings und operative Gesellschaften – insbesondere beim Aufbau von Kundenbindungsprogrammen
mit Profiling und komplexem Einwilligungsmanagement.
1. Rollen und Verantwortlichkeiten sauber definieren
Klare Zuordnung der Verantwortlichkeit:
Es sollte dokumentiert werden, welche Gesellschaft Verantwortliche für welche Verarbeitungen ist (z.B. U GmbH für B‑Club‑Profiling). Diese Zuordnung sollte sich in internen Richtlinien, Verträgen (z.B.
Serviceverträge innerhalb des Konzerns), und Datenschutzinformationen/Datenschutzerklärungen widerspiegeln.
Joint controllership nur dort, wo tatsächlich gemeinsam entschieden wird:
Wo mehrere Konzerngesellschaften faktisch gemeinsam über Zwecke und Mittel entscheiden (z.B. gemeinsame Plattform, gemeinsame Zielgruppenbestimmung), sollte ein
Art. 26‑Abkommen geschlossen und transparent gemacht
werden.
2. Governance-Strukturen: Operative Kontrolle vs. strategische Steuerung
Operative Verantwortung bei der Servicegesellschaft:
Wenn – wie im vorliegenden Fall – eine Servicegesellschaft die operative Datenverarbeitung verantworten soll, ist darauf zu achten, dass operative Entscheidungen
(Systemauswahl, Profiling-Logik, Einwilligungsdesign) formell und nachweisbar bei dieser Gesellschaft liegen, Protokolle, Beschlüsse und Verantwortlichkeitsmatrizen dies dokumentieren.
Rolle der Holding bewusst begrenzen (wenn gewollt):
Holdings, die nicht Verantwortliche sein wollen, sollten direkte Einflussnahme auf Verarbeitungen vermeiden. Strategische Ziele (z.B. Umsatzsteigerung,
Kundenbindung) können weiterhin konzernweit vorgegeben werden; sie sollten aber nicht mit konkreten Weisungen zur operativen Datenverarbeitung vermengt werden.
Die Holding soll vermeiden, verbindliche Vorgaben zu konkreten Datenverarbeitungszwecken und -mitteln zu machen oder operative Entscheidungen zu „übernehmen“ oder zu
dominieren.
3. Dokumentation: Nachweis fehlender operativer Verantwortlichkeit
Um im Streitfall die eigene Rolle plausibel darzustellen, empfiehlt sich eine strukturierte Dokumentation:
Organigramme und RACI-Matrizen (Responsible, Accountable, Consulted, Informed) für Datenverarbeitungen im Programm. Service- und SLA‑Verträge zwischen Holding und operativer Gesellschaft, in denen die Verantwortung für Datenschutz-Compliance explizit der operativen Einheit zugewiesen wird. Protokolle des Datenschutz- und Compliance‑Komitees, die zeigen, dass Entscheidungen zu Profiling, Einwilligungstexten und -mechanismen durch die operative Gesellschaft getroffen werden, ggf. unter Einbindung des (konzernweit bestellten) Datenschutzbeauftragten, aber ohne inhaltliche Weisungen durch die Holding.
4. Einwilligungsmanagement und Profiling professionell aufsetzen
Auch wenn die Holding im konkreten Fall nicht als Verantwortliche angesehen wurde, bleibt das Risiko für die operative Gesellschaft hoch:
Einwilligungsgestaltung: Einwilligungserklärungen müssen die Anforderungen des Art. 4 Z 11, Art. 7 DSGVO erfüllen (freiwillig, informiert, spezifisch, eindeutig). Die DSB hatte gerade hier Mängel gesehen. Eine saubere, dokumentierte Entwicklung der Formulare und Prozesse ist zentral.
Profiling-Transparenz: Betroffene müssen über Art, Umfang und Folgen des Profilings informiert werden. Die dokumentierte Abwägung, ob und wie Profiling auf Einwilligung gestützt wird, ist wichtig – einschl. Evaluierung der EuGH‑Rechtsprechung.
Technische und organisatorische Maßnahmen (TOMs): Gerade bei Profiling mit mehr als zwei Millionen Betroffenen sind robuste TOMs (Art. 32 DSGVO) unerlässlich;
ihre Konzeption und Umsetzung sollten bei der operativen Gesellschaft angesiedelt und dokumentiert sein.
5. Konzernweite Datenschutz-Governance sinnvoll, aber bewusst gestaltet
Konzerndatenschutzbeauftragter: Ein zentraler Datenschutzbeauftragter (wie im entschiedenen Fall) kann konzernweit beraten, ohne die operative Verantwortlichkeit zu „verschieben“. Wichtig ist, seine Rolle klar als beratend und überwachend, nicht als entscheidend für Zwecke und Mittel, zu kennzeichnen.
Konzernrichtlinien: Konzernweite Datenschutzrichtlinien sollten Mindeststandards setzen, ohne im Detail spezifische Verarbeitungen so zu determinieren, dass der Eindruck einer zentralen Steuerung aller Datenverarbeitungen entsteht, sofern dies nicht gewollt ist.
6. Umgang mit der Aufsichtsbehörde im Bußgeldverfahren
Frühe Klarstellung der Rollen: Im Verfahren sollte frühzeitig und anhand von Dokumenten erläutert werden, welche Gesellschaft für welche Verarbeitung verantwortlich ist und welche Rolle die Holding tatsächlich spielt.
Kooperation und Transparenz: Auch wenn die Entscheidungen der Gerichte in diesem Fall letztlich zugunsten der Holding ausgingen, bleibt Kooperation ein wichtiger Milderungsgrund (Art. 83 Abs. 2 DSGVO). Sorgfältige, konsistente Darstellung der Governance-Struktur kann Bußgelder abwenden oder reduzieren.
Fazit
Die Entscheidungen des BVwG (28.05.2024) und des VwGH (14.04.2026) bringen wichtige Klarheit in die Diskussion um gemeinsame Verantwortlichkeit und Konzernhaftung nach DSGVO:
Konzernobergesellschaften sind nicht schon deshalb (Mit-)Verantwortliche, weil sie Konzepte entwickeln, Servicegesellschaften gründen und Programme finanzieren. Entscheidend ist die faktische Mitwirkung an der Entscheidung über Zwecke und Mittel der konkreten Datenverarbeitungen.
Die EuGH‑Judikatur zu joint controllership bleibt richtungsweisend, aber sie führt nicht zu einer generellen „Konzernhaftung um jeden Preis“. Es bleibt eine sorgfältige Einzelfallprüfung erforderlich. Für die Praxis bei Verwaltungsstrafverfahren bedeutet dies: Aufsichtsbehörden müssen Verantwortlichkeit und Schuld präzise nachweisen; pauschale Durchgriffe auf Holdings sind rechtlich angreifbar.
Für Unternehmensgruppen bedeutet es umgekehrt: Wer Rollen und Verantwortlichkeiten sauber strukturiert und dokumentiert, kann das Risiko von Bußgeldern auf Holding-Ebene deutlich reduzieren – trägt aber zugleich Verantwortung dafür, dass operative Gesellschaften die hohen Anforderungen der DSGVO, insbesondere bei Profiling und Einwilligungen, tatsächlich erfüllen.
Für Datenschutz- und Compliance‑Praktiker:innen zeigt der Fall, wie eng materielles Datenschutzrecht, Konzernrecht und Verwaltungsstrafrecht im Bußgeldkontext ineinandergreifen – und wie wichtig eine durchdachte, dokumentierte Governance-Struktur für große Datenverarbeitungsprojekte im Konzern ist.
Kommentar schreiben