Das neue österreichische Datenschutzregime sieht bekanntermaßen vor, dass die exorbitant hohen Geldstrafen von bis zu EUR 20 Mio bzw 4% des weltweiten Konzernumsatzes ab dem 25.5.2018 von der Datenschutzbehörde selbst verhängt werden sollen. Gegen diese neue Strafkompetenz gab es aufgrund der Strafhöhe massive verfassungsrechtliche Bedenken. Nun hat der Verfassungsgerichtshof (VfGH) allerdings in einem Parallelsachverhalt klargestellt, dass auch Behörden Geldstrafen in Millionenhöhe verhängen dürfen:

Wie das Datenschutzteam von DORDA bereits in der Vergangenheit berichtet hat (siehe zB hier), basiert das System der Verhängung von Geldbußen im neuen DSG 2018 (§ 30 DSG 2018 in der Fassung Datenschutz-Anpassungsgesetz 2018) auf der nahezu identischen Regelung des § 99d Bankwesengesetz (BWG). Diese sieht im Wesentlichen vor, dass die FMA bei Verstößen gegen das BWG Geldbußen bis zu 10% des Konzernjahresumsatzes und damit in Einzelfällen auch in Millionenhöhe verhängen kann. Bereits seit Ende 2016 war beim VfGH ein Verfahren zur Überprüfung der Verfassungsmäßigkeit dieser Regelung anhängig. Dabei ging es insbesondere um die Frage, ob die Verhängung derart hoher Strafen die Zuständigkeit der (Straf-)Gerichte (und eben nicht einer Verwaltungsbehörde) erfordert. In seiner älteren Rechtsprechung sprach der VfGH nämlich schon aus, dass bereits deutlich geringere Strafen – konkret ging es um rund EUR 145.000 – nur in einem ordentlichen Gerichtsverfahren verhängt werden dürfen (umgerechnet rund EUR 145.000,- im Jahr 1995: VfSlg 14.361/1995).

Nun hat der VfGH kurz vor dem Stichtag der Anwendbarkeit der DSGVO über die Zulässigkeit des § 99d BWG entschieden und weicht überraschenderweise gänzlich von seiner bisherigen Rechtsprechung ab: Demnach sei die Verhängung von Geldstrafen von bis zu mehreren Millionen Euro durch Verwaltungsbehörden zulässig (Volltext der Entscheidung hier). Das Höchstgericht begründet dies damit, dass die Höhe der angedrohten Sanktion alleine nicht maßgebend sei. Schließlich bestehe durch das 2014 eingeführte Rechtsmittel der Beschwerde gegen Strafbescheide erster Instanz ausreichender Rechtsschutz: So entscheidet nunmehr in zweiter Instanz das Verwaltungsgericht durch unabhängige und weisungsfreie Richter. Damit sei das Strafensystem auch europarechtlich zulässig.

Damit hat der VfGH dem Grunde nach klargestellt, dass Verwaltungsbehörden rechtskonform Strafen in Millionenhöhe verhängen können. Die Entscheidung hat aufgrund der parallelen Situation unter dem neuen Datenschutzregime und der ausdrücklichen Bezugnahme des DSG 2018 auf § 99d BWG auch eine unmittelbare Auswirkung auf die Beurteilung der Strafkompetenz der Datenschutzbehörde. Es ist daher davon auszugehen, dass die Verhängung der Geldbußen nach der DSGVO bzw dem DSG 2018 in der vorgesehenen Behördenstruktur (also einer Verwaltungsbehörde, die gleichzeitig Ankläger und Richter ist) und in der vorgeschriebenen Höhe prinzipiell zulässig ist.

Dennoch sind mit der Grundsatzentscheidung nicht alle Bedenken gegen die Strafbestimmungen des neuen Datenschutzregimes ausgeräumt: Im Vergleich zum Bankenrecht beträgt der zukünftige Strafrahmen bei Datenschutzverstößen nämlich ganz unabhängig vom Konzernumsatz auch bei kleinen Gesellschaften (und sogar bei Einzelunternehmern) bis zu EUR 20 Millionen. Die Verhängung von umsatzunabhängigen und existenzbedrohenden Millionenstrafen durch die Datenschutzbehörde könnte daher – zumindest in Einzelfällen – unzulässig und damit in Summe verfassungswidrig sein.

Die Bestätigung der Zulässigkeit des Strafsystems verleiht der korrekten und zeitgerechten Umsetzung der notwendigen Maßnahmen unter der DSGVO zusätzliche Brisanz. Umso mehr ist darauf zu achten, die verbleibende Zeit effizient und zielgerichtet zu nutzen.

30.1.2018
Autoren: Dr. Axel Anderl, LL.M.
MMag. Dr. Felix Hörlsberger
Mag. Nino Tlapak, LL.M.
Mag. Dominik Schelling
DORDA Rechtsanwälte GmbH / www.dorda.at