VfGH berät über "hohe" Verwaltungsstrafen. Auch nach DSG/DSGVO werden die hohen Geldbußen von der DSB verhängt

 

Das Bundesverwaltungsgericht (BVwG) hat im Jahr 2016 einen Antrag an den Verfassungsgerichtshof (VfGH) gerichtet, da es Bedenken hegt, dass "hohe" Verwaltungsstrafen nicht von einer Verwaltungsbehörde verhängt werden dürfen.

 

"Hohe" Strafen haben in Österreich Gerichte zu verhängen (siehe insbes. Art 91 B-VG). 

 

Der Verfassungsgerichtshof wird vermutlich im Dezember 2017 darüber entscheiden

 

 

 

 

Die Strafbestimmungen im Bankwesengesetz (BWG) sind den neuen Bestimmungen im Datenschutzgesetz (DSG) sehr ähnlich.

 

§ 99d. (1) Die FMA kann Geldstrafen gegen juristische Personen verhängen, wenn Personen, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund

1.

der Befugnis zur Vertretung der juristischen Person,

2.

der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder

3.

einer Kontrollbefugnis innerhalb der juristischen Person

innehaben, gegen die in § 98 Abs. 1, Abs. 2 Z 7 und 11, Abs. 5, Abs. 5a oder § 99 Abs. 1 Z 3 oder 4 angeführten Verpflichtungen verstoßen haben, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

(2) Juristische Personen können wegen Verstößen gegen die in § 98 Abs. 1, Abs. 2 Z 7 und 11, Abs. 5, Abs. 5a oder § 99 Abs. 1 Z 3 oder 4 angeführten Pflichten auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 1 genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

(3) Die Geldstrafe gemäß Abs. 1 oder 2 beträgt bis zu 10 vH des jährlichen Gesamtnettoumsatzes gemäß Abs. 4 oder bis zu dem Zweifachen des aus dem Verstoß gezogenen Nutzens, soweit sich dieser beziffern lässt.

(4) Der jährliche Gesamtnettoumsatz gemäß Abs. 3 ist bei Kreditinstituten der Gesamtbetrag aller in Z 1 bis 7 der Anlage 2 zu § 43 angeführten Erträge abzüglich der dort angeführten Aufwendungen; handelt es sich bei dem Unternehmen um eine Tochtergesellschaft, ist auf den jährlichen Gesamtnettoumsatz abzustellen, der im vorangegangenen Geschäftsjahr im konsolidierten Abschluss der Muttergesellschaft an der Spitze der Gruppe ausgewiesen ist. Bei sonstigen juristischen Personen ist der jährliche Gesamtumsatz maßgeblich. Soweit die FMA die Grundlagen für den Gesamtumsatz nicht ermitteln oder berechnen kann, hat sie diese zu schätzen. Dabei sind alle Umstände zu berücksichtigen, die für die Schätzung von Bedeutung sind.

(5) Die FMA kann von der Bestrafung eines Verantwortlichen gemäß § 9 VStG absehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen.“

 

Die Geldstrafe richtet sich primär gegen das Unternehmen und es kann von der Bestrafung der verantwortlichen Person iSd § 9 VStG abgesehen werden. 

 

Die Höhe der Geldstrafe ist ein Prozentsatz.

 

Das erinnert an § 30 DSG (neu) und der Strafrahmen von bis zu 4 % / EUR 20.000.000,-- bzw. 2 % / EUR 10.000.000,-- (siehe Art 83 DSGVO) eist ebenfalls in ähnlicher Art und Weise normiert.: 

 

 

 

§ 30. (1) Die Datenschutzbehörde kann Geldbußen gegen eine juristische Person verhängen, wenn Verstöße gegen Bestimmungen der DSGVO und des § 1 oder Artikel 2 1. Hauptstück durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund

1. der Befugnis zur Vertretung der juristischen Person,

2. der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder

3. einer Kontrollbefugnis innerhalb der juristischen Person

innehaben.

 

(2) Juristische Personen können wegen Verstößen gegen Bestimmungen der DSGVO und des § 1 oder Artikel 2 1. Hauptstück auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 1 genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat, sofern die Tat nicht den Tatbestand einer in die Zuständigk eit der Gerichte fallenden strafbaren Handlung bildet.