DSG: Verwaltungsstrafe bis EUR 25.000,--

Auch bereits bei Geltung des Datenschutzgesetzes (bis 24.5.2018) gibt es Geldstrafen für Datenschutzverletzungen; der Strafrahmen ist jedoch (relativ) gering und reicht bis zu EUR 10.000,-- (für geringe Verstöße) oder bis zu EUR 25.000,-- (für gröbere Verstöße); es gibt auch gerichtlich strafbare Handlungen im DSG (§ 51: Datenverwendung in Gewinn- oder Schädigungsabsicht)

 

erste Geldstrafe durch die DSB in Österreich

 

Die DSB hat die erste Geldstrafe verhängt.

EUR 4.800,-- für eine nicht korrekt gekennzeichnete Videoüberwachung, die den öffentlichen Raum mitüberwachte.

 

mehr lesen

Straffreiheit in Österreich bei Datenschutzverletzungen?

 

Nach Medienberichten werden in Österreich Unternehmen nicht gestraft, wenn Mitarbeiter in untergeordneten Positionen die Bestimmungen der DSGVO verletzen.

 

 

 

Das ist mE so nicht korrekt.

 

 

 

§ 30 (2) DSG bleibt auch nach dem Datenschutz-DeregulierungsG unverändert:

 

 

 

(2) Juristische Personen können wegen Verstößen gegen Bestimmungen der DSGVO und des § 1 oder Artikel 2 1. Hauptstück auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 1 genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

 

 

 

 

 

Die in § 30 (1) genannten Personen sind folgende Personen:

 

1. Personen mit der Befugnis zur Vertretung der juristischen Person,

 

2. Personen mit der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder

 

3. Personen mit einer Kontrollbefugnis innerhalb der juristischen Person

 

 

Die datenschutzrechtlichen Normen regeln viele organisatorische Maßnahmen (zB Verzeichnis der Verarbeitungstätigkeiten, Informationspflichten (Transparenz), Speicherbegrenzung (Löschung), Rechtmäßigkeit und Zweckfestlegung/-bindung als Grundlage jeder Verarbeitungstätigkeiten), und damit werden die Verantwortlichen und Auftragsverarbeiter verpflichtet, Maßnahmen in den Organisationen zu setzen.

 

 

 

Auch „technische und organisatorische Maßnahmen“ (Datensicherheitsmaßnahmen) sind zu setzen und zu dokumentieren, und Art 32 (1) lit d normiert auch, dass ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzurichten ist.

 

 

 

Wenn daher die Maßnahmen vernachlässigt werden, dann führt eine „mangelnde Überwachung und Kontrolle“ dazu, dass die Tat (Verletzung datenschutzrechtlicher Bestimmunen) ermöglicht wird, und der juristischen Person droht eine Geldbuße (nach Maßgabe des neuen § 11 DSG).

 

 

 

Zu beachten ist auch, dass für die Frage der Verletzung der datenschutzrechtlichen Bestimmungen und die Strafbarkeit, kein „Erfolg“ eintreten muss, sondern es sich um ein sog. Ungehorsamsdelikt iSd (anwendbaren) § 5 VStG handelt.

 

 

 

Hier einige Rechtssätze des VwGH zum Thema „Kontrollsystem“ und „Überwachung“ sowie Ungehorsamsdelikte

 

 

 

GRS wie 2002/03/0191

 

Ausführungen dazu, dass bei den im vorliegenden Erkenntnis näher dargestellten Übertretungen des GGBG als Ungehorsamsdelikten gemäß § 5 Abs. 1 VStG Fahrlässigkeit anzunehmen ist, es sei denn, der Beschuldigte macht glaubhaft, dass ihn an der Verletzung der Verwaltungsvorschrift kein Verschulden trifft. Dies ist nach einschlägiger Judikatur des Verwaltungsgerichtshofes dann der Fall, wenn der Beschuldigte im Betrieb ein wirksames Kontrollsystem eingerichtet hat, sodass er unter den vorhersehbaren Verhältnissen mit gutem Grund die Einhaltung der gesetzlichen Vorschriften erwarten konnte (siehe das hg. Erkenntnis vom 18. November 2003, Zl. 2001/03/0322). Nur ein solches, durch den Beschuldigten eingerichtetes Kontrollsystem hätte daher exkulpierende Wirkung. Ein solches liegt aber nur dann vor, wenn dadurch die Überwachung des Zustandes aller im Betrieb eingesetzter Fahrzeuge jederzeit sichergestellt werden kann (vgl. das hg. Erkenntnis vom 17. Jänner 1990, Zl. 89/03/0165).

 

 

 

Rechtssatz (Entscheidung 2013/10/0236)

 

Wenn der Geschäftsführer, der zur Vertretung der Gesellschaft nach außen berufen ist und damit für die Einhaltung der Verwaltungsvorschriften Sorge zu tragen hat, die Besorgung einzelner Angelegenheiten anderen Personen selbstverantwortlich überlässt, obliegt es ihm, ein wirksames Kontrollsystem einzurichten, wobei er der Behörde bei einem Verstoß gegen die entsprechenden Vorschriften dieses System im Einzelnen darzulegen hat. Die bloße Erteilung von Weisungen reicht nicht hin, entscheidend ist, ob auch eine wirksame Kontrolle der vom Verantwortlichen erteilten Weisungen erfolgte, die unter den vorhersehbaren Verhältnissen die Einhaltung der gesetzlichen Vorschrift mit gutem Grund erwarten ließ (vgl. E 16. Februar 2011, 2011/08/0004).

 

 

 

Stammrechtssatz (Ra 2016/02/0137)

 

Im Rahmen eines funktionierenden Kontrollsystems kann es kein Vertrauen darauf geben, dass die eingewiesenen, laufend geschulten und ordnungsgemäß ausgerüsteten Arbeitnehmer die Arbeitnehmerschutzvorschriften einhalten. Vielmehr ist es für die Darstellung eines wirksamen Kontrollsystems erforderlich, unter anderem aufzuzeigen, welche Maßnahmen im Einzelnen der unmittelbar Übergeordnete im Rahmen des Kontrollsystems zu ergreifen verpflichtet war, um durchzusetzen, dass jeder in dieses Kontrollsystem eingebundene Mitarbeiter die arbeitnehmerschutzrechtlichen Vorschriften auch tatsächlich befolgt und welche Maßnahmen schließlich der an der Spitze der Unternehmenshierarchie stehende Anordnungsbefugte vorgesehen hat, um das Funktionieren des Kontrollsystems insgesamt zu gewährleisten, das heißt sicherzustellen, dass die auf der jeweils übergeordneten Ebene erteilten Anordnungen (Weisungen) zur Einhaltung arbeitnehmerschutzrechtlicher Vorschriften auch an die jeweils untergeordnete, zuletzt also an die unterste Hierarchie-Ebene gelangen und dort auch tatsächlich befolgt werden (vgl. B 13. April 2016, Ra 2016/02/0051).

 

 

 

 

 

Fazit:

 

  • Ein Verstoß gegen die datenschutzrechtlichen Vorschriften durch Mitarbeiter indiziert, dass das Kontrollsystem, welches im Unternehmen eingerichtet ist, nicht ausreichend ist, um Verstöße zu verhindern.

 

 

 

  • Das Unternehmen muss die Maßnahmen, die getroffen wurden, konkret darlegen und auch nachweisen, und diese müssen angemessen iSd Art 32 DSGVO sein.

 

 

 

  • Das Unternehmen muss nachweisen, dass das Kontrollsystem ausreichend ist, und der Verstoß den „Einzelfall“ darstellt, der passiert ist, und nicht vorhersehbar und nicht kontrollierbar ist.

 

 

 

  • Gelingt dieser Nachweis nicht, dann war das eingerichtete Kontrollsystem (oder die Maßnahmen zur „Überwachung und Kontrolle“ iSd § 30 (2) DSG) nicht ausreichend, und diese haben die Tatbegehung durch Mitarbeiter ermöglicht. Das Unternehmen setzt sich den Sanktionsdrohungen des Art 58 (2) DSGVO und damit auch – nach Maßgabe des § 11 DSG – auch Geldbußen aus.

 

Dr. Andrea Jelinek im Interview im Trend

Im Trend erschien vor Kurzem ein interessantes Interview mit der Leiterin der Österreichischen Datenschutzbehörde Fr. Dr. Andrea Jelinek mit dem Titel: Datenschutz: "Geldbußen müssen wirksam sein"

 

 

Hier der Link zum Nachlesen:

https://www.trend.at/branchen/digital/datenschutz-geldbussen-9251275

 

Im Entwurf des Datenschutz-Regulierungsgesetz werden nun auch Geldstrafen für Behörden und öffentliche Stellen vorgesehen, wenn diese nicht in Vollziehung der Gesetze tätig sind. Eine Information dazu finden Sie hier >>>

Geldbuße von EUR 15.000 in D für Datenschutzverletzung

Eine Kreditauskunftei hat nur aufgrund der Adresse einer Person einen Scoringwert erstellt und an einen Kunden übermittelt

mehr lesen

verhängte Geldstrafen in Österreich

Betrieb einer nicht angemeldeten Videoüberwachung:
Geldstrafe EUR 700,--; Bescheid durch den VwGH aufgehoben, da eine „Echtzeit-Überwachung“ und keine Videoüberwachung mit Speicherung gegeben war, sodass keine

 

Einsicht in die EKIS-Datei ohne Berechtigung:
4 Monatsbezüge als Disziplinarstrafe nach BDG

 

Verstoß gegen § 50d DSG (Verstoß gegen die Kennzeichnungspflicht bei Videoüberwachung:
Geldstrafe EUR 700,-- und
Verstoß gegen § 50c iVm §§ 17ff DSG (Verstoß gegen die
Meldepflicht bei Videoüberwachung):
Geldstrafe EUR 700,--

 

Verstoß gegen § 50c DSG iVm §§ 17 ff DSG (Verstoß gegen die Meldepflicht bei Videoüberwachung):
Geldstrafe EUR 700,-- und
Verstoß gegen § 50d DSG (
Kennzeichnungspflicht bei Videoüberwachung):
Geldstrafe EUR 700,--
die erste Instanz hatte je EUR 2.100,--, in Summe daher EUR 4.200,-- verhängt; es handelte sich um ein Verfahren gegen zwei Geschäftsführer einer GmbH, die als nach zur Vertretung nach außen Befugte iSd § 9 VStG haften.

 

Verstoß gegen § 50c Abs 1 DSG (Betrieb einer Videoüberwachung; Wildkamera im öffentlichen Bereich des Parkplatzes eines Gasthauses):
Geldstrafe EUR 150,--  
(aufgehoben durch den VwGH, Verfolgungsverjährung, da die Erhebung der Daten nicht aufgenommen wurde und in der ersten Instanz der Versuch nicht verfolgt wurde).

 

Verstoß gegen § 50c Abs 1 DSG (Durchführung einer Videoüberwachung durch gezieltes Fotografieren):
Geldstrafe EUR 1.000,--

 


Geldstrafen nach DSG bis EUR 10.000,--

  1. Datenverarbeitung ohne Erfüllung der Meldepflicht / Betrieb einer Datenanwendung außerhalb der Meldung

  2. Datenübermittlung/-überlassung ins (EU-)Ausland ohne erforderliche Genehmigung
  3. Nichteinhaltung von Zusagen gegenüber der DSB oder von Auflagen der DSB
  4. Verletzung der Offenlegungs- oder Informationspflichten nach §§ 23 (Informationspflicht zur Offenlegung nicht-meldepflichtiger Datenanwendungen), 24 (Informationspflicht des Auftraggebers), 25 (Pflicht zur Offenlegung der Identität des Auftraggebers) sowie  50d (Information durch Kennzeichnung bei Videoüberwachungen)
  5. gröbliche Außerachtlassung der Datensicherheitsmaßnahmen (nach § 14 DSG).
  6. Außerachtlassung der Sicherheitsmaßnahmen bei Videoüberwachungen
  7. Unterlassung der Löschung von Videoaufzeichnungen nach der Löschungsfrist

 


Geldstrafen nach DSG bis EUR 25.000,--

  1. vorsätzliche Verletzung des Datengeheimnisses durch Übermittlung von Daten, insbes. die Verwendung von Daten, die ihm gemäß §§ 46 oder 47 anvertraut wurden, für andere Zwecke verwendet

  2. Datenverwendung entgegen einem rechtskräftigen Urteil oder Bescheid verwendet oder Nichtbefolgung einer Entscheidung zur Beauskunftung, Richtigstellung oder Löschung von Daten

  3. vorsätzliche Datenlöschung bei einer Anfrage zur Datenauskunft nach § 26 DSG

  4. vorsätzliche Verschaffung von Daten gem. § 48 DSG unter Vortäuschung falscher Tatsachen

 


gerichtlich strafbare Handlung nach DSG

Datenverwendung in Gewinn- oder Schädigungsabsicht

 

§ 51. Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen.