Das österreichische Bundesverwaltungsgericht hatte sich mit einem Fall aus dem Email-Marketing zu beschäftigen und reduzierte die ursprüngliche Strafe von 4 Millionen Euro, die von der Datenschutzaufsichtsbehörde verhängt wurde auf nur noch 50.000,- Euro (Urteil vom 26.3.2024 W 1372241630 -1/48E).
Sachverhalt
Das Bundesverwaltungsgericht (BVwG) befasste sich mit einer Beschwerde gegen das Straferkenntnis der Datenschutzbehörde, das eine Geldbuße wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) verhängte. Der Fall drehte sich um eine Bank, die aufgrund eines menschlichen Fehlers eine E-Mail mit einer Excel-Liste, die persönliche Daten von fast 6.000 Kunden enthielt, an 234 Personen verschickte. Diese Datenpanne wurde umgehend der Datenschutzbehörde gemeldet, und es wurden sofortige Maßnahmen zur Schadensbegrenzung eingeleitet, einschließlich der Aufforderung an die Empfänger, die E-Mail zu löschen und die Löschung zu bestätigen.
Entscheidung des Gerichts
Das BVwG bestätigte die Feststellung eines Verstoßes gegen die DSGVO durch die Datenschutzbehörde, sah jedoch eine übermäßige Strafhöhe. Das Gericht reduzierte das ursprüngliche Bußgeld signifikant. In seiner Entscheidung wertete das Gericht das proaktive Handeln der Bank, ihre Kooperationsbereitschaft während des Verfahrens und die effektiven Maßnahmen zur Minimierung des Schadens als mildernde Umstände. Besonders betont wurde, dass die Bank nach Bekanntwerden des Vorfalls umgehend handelte, indem sie die Daten pseudonymisierte und die Aufsichtsbehörden informierte.
Die wesentliche juristische Feststellung des BVwG lag in der Anerkennung der indirekten Verantwortlichkeit der Bank als juristische Person. Es wurde festgestellt, dass die Geldbuße auch ohne direkte Kenntnis oder direktes Verschulden der obersten Führungsebene verhängt werden kann, was eine wichtige Klärung für die Anwendung der DSGVO auf juristische Personen darstellt.
Auswirkungen für die Praxis
Dieses Urteil hat wesentliche Implikationen für alle Unternehmen, die personenbezogene Daten verarbeiten. Es verdeutlicht, dass die Datenschutzbehörden und Gerichte eine strenge Linie verfolgen können, wenn es um den Schutz personenbezogener Daten geht, auch wenn letztlich eine gerechte Strafe unter Berücksichtigung aller Umstände verhängt wird. Unternehmen sind somit angehalten, ihre Datenschutzrichtlinien regelmäßig zu überprüfen und sicherzustellen, dass sie den rechtlichen Anforderungen entsprechen. Zudem zeigt das Urteil, dass Transparenz und proaktives Management nach einer Datenpanne wesentlich zur Reduzierung von Strafen beitragen können.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530