Österreichisches Bundesverwaltungsgericht konkretisiert den datenschutzrechtlichen Unternehmensbegriff

Die sachgerechte Verteidigung gegen ein datenschutzrechtliches Bußgeld kann nicht nur das Bußgeld selbst angreifen, sondern muss auch Argumente für den Fall vorbereiten, dass die Behörde bzw. das Gericht das Bußgeld in der Sache aufrechterhält. Dann ist es das Ziel der Verteidigung, die Höhe des Bußgelds so weit wie möglich zu reduzieren. Verteidigung und Behörde streiten dabei regelmäßig über die Berechnungsgrundlage des Bußgelds, das sich an dem weltweit erzielten Vorjahresgesamtumsatz des verantwortlichen Unternehmens ausrichtet (vgl. Art. 83 DSGVO).

In seiner Entscheidung „Deutsche Wohnen SE“ (Urteil vom 5. Dezember 2023 – C-807/21), hat der EuGH klargestellt, dass der Begriff des „Unternehmens“ nicht gesellschaftsrechtlich zu bestimmen ist, sondern die Wortbedeutung zugrunde gelegt werden muss, die auch im Kartellrecht nach Art. 101, 102 AEUV gilt. Maßgeblich ist danach ein funktional-wirtschaftliches Verständnis, das der EuGH in seiner Entscheidung jedoch nicht näher ausgeführt hat.

Das österreichische Bundesverwaltungsgericht hat in einer bisher noch kaum beachteten Entscheidung (Erkenntnis vom 26.03.2024 – W 1372241630 – 1/48 E, BeckRS 2024, 9808) hieran angeknüpft und überzeugend Ausführungen dazu getätigt, wie der kartellrechtlich geprägte Unternehmensbegriff auf das Datenschutzbußgeldrecht transferiert werden kann. Aber nicht nur aus diesem Grund handelt es sich um ein beachtenswertes Urteil, denn die Entscheidung unterstreicht einmal mehr den Wert der Bußgeldverteidigung. Das Gericht reduzierte das Bußgeld auf die Beschwerde der Bank hin beträchtlich: während die Datenschutzbehörde noch einen Betrag von EUR 4 Mio. in Ansatz brachte, verringerte das Gericht diesen Betrag auf EUR 50.000,00.

Was ist geschehen?

Der anlassgebende Sachverhalt ist kurz erklärt: Betroffene ist eine konzernangehörige Bank, die ein Filialnetz in Österreich betreibt. Aufgrund eines Versehens wurde in einer E-Mail an 234 Kunden und Kundinnen dieser Bank nicht nur die beabsichtigte Einladung zum Weltspartag versandt, sondern im Anhang der E-Mail fand sich zudem eine Excel-Liste mit Datensätzen von fast 6.000 Kunden und Kundinnen der Bank. Die Datei enthielt u.a. die E-Mail-Adressen, das Einkommen, den Kontostand sowie das Alter der betroffenen Kunden. Die Kunden konnten mittels eines einfach zu verstehenden Personenkürzels – [Nachname] + [Ersten zwei Buchstaben des Vornamens] + [Zahl] – identifiziert werden. Eine Sicherung der Datei, etwa durch eine Verschlüsselung, gab es nicht.

Die Bank reagierte umgehend. Sie meldete den Vorfall der Datenschutzbehörde (vgl. Art. 33 DSGVO), veranlasste technische Maßnahmen zur Rückholung der E-Mails und setzte sich mit den Empfängern der E-Mail in Kontakt, die sie zur Löschung aufforderte und die Löschung bestätigen ließ. Spätestens nach 14 Tagen hatte die Bank von sämtlichen Empfängern der E-Mail die Bestätigung erhalten, dass die E-Mails gelöscht worden seien.

Verhängung eines „Straferkenntnisses“ in Höhe von EUR 4 Mio.

Auf die Beschwerde einer Bankkundin hin, eröffnete die Datenschutzbehörde ein Verfahren gegen die Bank, in der sie dem Verdacht nachging, dass die versehentliche Verbreitung der Excel-Datei die Folge einer Verletzung von datenschutzrechtlichen Pflichten der Bank gewesen sei. Die Behörde berief sich dabei auf die Pflicht der Bank sowohl die Vertraulichkeit und Integrität der von ihr verarbeiteten Kundendaten zu gewährleisten (vgl. Art. 5 Abs. 1 lit. f DSGVO) als auch auf die Pflichten bezüglich der Sicherheit der Datenverarbeitung durch Anwendung angemessener technischer und organisatorischer Maßnahmen (vgl. Art. 32 DSGVO). Im weiteren Verlauf des Verfahrens, weitete die österreichische Behörde den Vorwurf auf zwei Vorstandsmitglieder der Bank aus, die zumindest durch Außerachtlassung der gebotenen Sorgfalt, auf Grund mangelnder Kontrolle und Überwachung für die Datenschutzverletzungen verantwortlich seien.

Die Behörde verhing schließlich ein sog. „Straferkenntnis“ (vergleichbar mit einem deutschen Bußgeldbescheid) gegen die Bank über EUR 4 Mio., inklusive eines Kostenbeitrags von EUR 400.000. Rechtsgrundlage für dieses Bußgeld war Art. 83 Abs. 4 lit. a DSGVO, wonach Geldbußen von bis zu EUR 10 Mio. oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können, je nachdem, welcher der Beträge höher ist. Als Bemessungsgrundlage für dieses Bußgeld nahm die Behörde den Jahresgesamtumsatz der Muttergesellschaft der Bank, der EUR 6.188,9 Mio. betrug.

Maßgeblich für dieses Bußgeld war, dass die Kundendaten auf Filialebene als Excel-Datei völlig ungeschützt gewesen seien und es an einer den datenschutzrechtlichen Risiken angemessenen und allen Filialbediensteten bekannten IT-Strategie genauso gefehlt habe wie an am Stand der Technik orientierten technischen und organisatorischen Sicherheitsmaßnahmen. Bei der Bemessung des Bußgelds seien darum erschwerend Art, Schwere und Dauer des Verstoßes, die fast unveränderte Wiedereinführung der Excel-Datei sowie die grobe Fahrlässigkeit der Vorstandsmitglieder zu werten; mildernd hat die Behörde berücksichtigt, dass dies der erste bußgeldbewehrte Verstoß der Bank gewesen war und sich die Bank zudem kooperativ verhalten habe.

Die Bank erhob gegen das Straferkenntnis Beschwerde beim österreichischen Bundesverwaltungsgericht.

Die wesentlichen Aussagen des Gerichts zur Verhängung des Bußgelds

Die Entscheidung des Gerichts ist äußerst umfangreich ausgefallen. Das Gericht musste u.a. zu einigen Grundsatzfragen des Datenschutzbußgeldrechts Stellung beziehen. So stellte das Gericht etwa klar, dass das Datenschutzbußgeldrecht von dem „Modell der unmittelbaren Verbandshaftung“ ausgeht und die Bank damit datenschutzrechtlich für ihre Filialmitarbeiter verantwortlich ist, soweit diese nicht eindeutig außerhalb ihrer Aufgaben und damit im Exzess tätig waren. Dies sei vorliegend aber nicht der Fall gewesen, obgleich die Massenversendung der Excel-Datei eine individuelle Fahrlässigkeit war.

Das Gericht äußerte sich zudem zu dem Verhältnis und der Auslegung von Art. 5 Abs. 1 lit. f DSGVO und Art. 32 DSGVO. Beachtenswert ist insofern, dass das Gericht Art. 32 DSGVO als Ausgestaltung von Art. 5 Abs. 1 lit. f DSGVO bezeichnet hat und wohl aus diesem Grund nur einen bußgeldbewehrten Verstoß gegen Art. 32 DSGVO angenommen hat. Dies ist für die Betroffene durchaus vorteilhaft, denn ein Verstoß gegen Art. 5 DSGVO unterläge dem doppelten Bußgeldrahmen von bis zu EUR 20 Mio. bzw. 4 % des gesamten Unternehmensumsatzes des Vorjahres (vgl. Art. 83 Abs. 5 lit. a DSGVO).

In der Sache argumentierte das Gericht, dass eine Verletzung von Art. 32 DSGVO gegeben sei, denn die Sicherheitsmaßnahmen seien nicht „state of the art“ gewesen, wobei es ohne Bedeutung sei, ob andere Finanzinstitute ähnlich verfuhren. Die Excel-Datei hätte durch einfache Maßnahmen (Streichung der E-Mail-Adresse und Pseudonymisierung der Daten) abgesichert werden können – dass die Bank dies nicht von Vornherein getan hatte, sei als Datenschutzverstoß zu qualifizieren. Hierin läge zudem auch ein Verschulden der Bank, da sie das Risiko einer unbeabsichtigten Offenlegung der nicht abgesicherten Excel-Datei erkennen musste. Das Gericht ging jedoch, im Gegensatz zur Behörde, nur von einer leichten Fahrlässigkeit aus und hielt der Bank die Durchführung interner Schulungen zum Datenschutzrecht sowie Ablaufregeln zugute. Dass die Filialmitarbeitenden hiergegen verstießen, sei ihnen klar gewesen.

Beträchtliche Reduzierung des Bußgelds durch das Gericht

Obgleich das Gericht das Straferkenntnis nicht aufhob, war die Entscheidung des Bundesverwaltungsgerichts ein Erfolg für die Verteidigung der betroffenen Bank – das Bundesverwaltungsgericht reduzierte das Bußgeld beträchtlich. Das Gericht stellte hierzu fest, dass der Verstoß der Bank nur einen geringen Schweregrad aufweist, wobei sich das Gericht im Rahmen der Abwägung der Leitlinien 04/2022 des Europäischen Datenschutzausschusses zur Bußgeldbemessung bediente.

Ein besonders starker Hebel für die Reduzierung der Bußgelds war außerdem die durch das Gericht vorgenommene Anpassung der Bemessungsgrundlage. Das Gericht erklärte, dass in diesem Fall nicht der weltweite Gesamtumsatz der Konzernmutter der betroffenen Bank die Bemessungsgrundlage darstellen kann, sondern ausschließlich der Gesamtumsatz der österreichischen Bank: die Bemessungsgrundlage wurde hierdurch von EUR 6.188,9 Mio. auf EUR 146,6 Mio. verringert.

Bemessungsgrundlage ist der Unternehmensumsatz

Die Begründung des Gerichts für diese Anpassung ist nicht nur aufgrund der beträchtlichen Reduzierung beachtenswert, sondern auch aus datenschutzrechtlicher Sicht einsichtsvoll. Das Gericht folgte hier der Rechtsprechung des EuGH, wonach das Unternehmen, dessen Umsatz die Bemessungsgrundlage darstellt, nicht mit der juristischen Person gleichzusetzen ist. Stattdessen gelten die im Kartellrecht entwickelten Grundsätze entsprechend, wonach auch mehrere juristische Personen ein Unternehmen darstellen können, wenn sie als wirtschaftliche Einheit am Markt tätig sind. Das soll der Fall sein, wenn die Tochtergesellschaft Weisungen der Muttergesellschaft befolgt und enge wirtschaftliche, organisatorische und rechtliche Beziehungen bestehen, die die beiden Rechtssubjekte verbinden. Dieses funktionale Verständnis überlagert in diesem Fall die gesellschaftsrechtliche Trennung der juristischen Personen. Grundsätzlich liegt es bei der Bußgeldbehörde das Vorliegen einer solchen wirtschaftlichen Einheit darzulegen und zu beweisen, soweit jedoch eine (nahezu) hundertprozentige Beteiligung der Muttergesellschaft an der Tochter besteht, wird widerlegbar vermutet, dass diese Beteiligung mit einer funktionalen Bestimmung über die Tätigkeit der Tochter einhergeht. Es liegt dann an der Tochtergesellschaft zu beweisen, dass sie eigenständig am Markt auftritt und selbstbestimmt handelt.

Konkretisierung des datenschutzrechtlichen Unternehmens

Die wesentliche Erkenntnis des österreichischen Gerichts ist, dass diese Grundsätze nicht nur auf das Datenschutzrecht transferiert werden, sondern auch im Lichte des konkreten Datenschutzverstoßes angewendet werden müssen. Das Gericht kam damit im konkreten Fall zu einer Widerlegung der genannten 100%-Vermutung, wobei es sowohl organisatorische und wirtschaftliche Argumente als auch die Umstände des das Verfahren auslösenden Vorfalls miteinbezogen hat. Dabei übernahm das Gericht etwa eine Formulierung in der Fachliteratur, wonach für den datenschutzrechtlichen Unternehmensbegriff maßgeblich sei, „ob und in welchem Ausmaß eine Konzernmutter Einfluss auf Datenverarbeitungsstrategien der Töchter nimmt.“ So sei eine reine Investmentgesellschaft ohne operative Mitwirkung nicht der betroffenen Gesellschaft zuzurechnen.

Das Gericht nahm insofern eine umfassende Prüfung sämtlicher datenschutzrechtlich relevanter Indizien vor und kam insgesamt dazu, dass nicht von einer funktionalen Abhängigkeit der Bank von ihrer Konzernmutter im hier relevant Bereich auszugehen sei. Dazu führte das Gericht etwa aus, dass die Bank über eine eigene Führungsebene verfügte, die in dem vorliegen relevanten Geschäftsbereich die strategischen Entscheidungen selbst treffen konnte. Zudem sei relevant, dass der Konzern zwar einen gemeinsamen Datenschutzbeauftragten habe, jedoch seien auch Beauftrage für den Bereich „Datenschutz“ auf Filialebene durch die Bank installiert worden. Außerdem verfügte die Bank über ein eigenes Filialnetz und trat am Markt eigenständig auf.

Als ausschlaggebendes Argument nahm das Gericht jedoch das den Verfahren auslösende Geschehen selbst in den Blick. Das Gerichte führte hierzu aus: „Auslöser des gegenständlichen Verfahrens war ein individueller Fehler auf Filialebene in Verbindung mit einer datenschutzrechtlich problematischen Datei, die ein eigenständiges Produkt der Beschwerdeführerin war – somit die reine Unternehmensebene betrifft – und in keinem Zusammenhang mit der Muttergesellschaft steht“. Das Gericht formuliert damit einen Unternehmensbegriff, den es direkt an den konkreten Datenverstoß anknüpft und konkretisiert die „datenschutzrechtliche Einheit“ für das Datenschutzbußgeldrecht.

Schlussfolgerung

Die Entscheidung des österreichischen Gerichts konkretisiert den für die Bußgeldbemessung entscheidenden Unternehmensbegriff. Obwohl es sich dabei um einen Kernbegriff des Art. 83 DSGVO handelt, war die Auslegung des Unternehmensbegriffs sehr umstritten und wurde auch vom EuGH in der Entscheidung „Deutsche Wohnen SE“ nur im Grundsatz klargestellt.

Insbesondere führt die Rechtsprechung zu einer deutlichen Aufweichung der mitunter als nahezu unangreifbar wahrgenommenen 100%-Vermutung. Durch die klare Inbezugnahme des konkreten Datenschutzverstoßes kann die Vermutung durch Argumente in der Sache nachvollziehbar widerlegt werden und eröffnet weitere Verteidigungsmöglichkeiten auf der Ebene der Bußgeldbemessung.