DSGVOMillionenstrafe gegen Österreichische Post AG aufgehoben

Die Österreichische Post AG legte illegal Profile mit angeblichen politischen Vorlieben von Millionen Menschen an und vermarktete sie an Parteien. Die Datenschutzbehörde brummte dem Konzern dafür eine Strafe von 18 Millionen Euro auf – doch nun kommt er überraschend ungeschoren davon.

Österreichische Post AG
In Österreich heißt es „Postkasten“, der Konzern dahinter ging leider etwas leichtsinnig mit persönlichen Daten um CC-BY 4.0 Johann Jaritz

Die österreichische Datenschutzbehörde muss eine krachende juristische Niederlage einstecken: Das Bundesverwaltungsgericht in Wien hat am Mittwoch eine 18-Millionen-Euro-Strafe für die österreichische Post wieder aufgehoben. Damit kommt der Konzern überraschenderweise ungeschoren aus einem Datenskandal davon.

Die Post hatte widerrechtlich die Adressen von Millionen Menschen in Österreich mit Angaben über ihre angebliche politische „Affinität“ angereichert, die sie für Werbezwecke politischen Parteien zur Verfügung stellte. Die Profile enthielten auch Daten zu vermeintlichen Interessen und andere Kontaktinformationen. Das Investigativmedium Addendum berichtete Anfang 2019 darüber und sorgte damit über Österreich hinaus für Empörung. Die Datenschutzbehörde teilte für die Sammlung und Weitergabe sensibler Daten eine Verwaltungsstrafe in Rekordhöhe aus.

Aufhebung wegen eines Formfehlers

Das Bundesverwaltungsgericht bestätigte nun zwar grundsätzlich, dass das Verhalten der Post illegal gewesen sei. Doch entdeckte das Gericht im Strafbescheid gegen die Post einen Formfehler. Die Datenschutzbehörde hätte das strafbare Verhalten nicht nur der Österreichische Post AG als juristischer Person vorwerfen müssen, sondern auch konkreten natürlichen Personen wie den Vorstandsmitgliedern und Geschäftsführern des Konzerns. Das Gericht beruft sich dabei auf eine Grundsatzentscheidung des österreichischen Verwaltungsgerichtshofes aus dem Mai 2020, wie die Zeitungen Kurier, Heute und der Standard berichteten.

Diese Grundsatzentscheidung zur Interpretation der Datenschutzgrundverordnung (DSGVO) stamme vom Mai 2020 und sei damit lange nach dem Strafbescheid gegen die Post getroffen worden, sagt Datenschutzbehördenchefin Andrea Jelinek gegenüber netzpolitik.org. Ihre Mittel gegen den Konzern als juristische Person seien ausgeschöpft. „Eine Neuerlassung des Straferkenntnisses gegen die Post kommt nicht mehr in Betracht, weil bereits Verjährung eingetreten ist“, schreibt Jelinek in einer E-Mail an uns.

Zwar weist der Datenschutzjurist Andreas Rohner darauf hin, dass die DSGVO sehr wohl eine direkte Haftung juristischer Personen vorsehe. Doch das Bundesverwaltungsgericht hat laut dem Standard das Begehren der Datenschutzbehörde abgelehnt, den Fall dem Europäischen Gerichtshof (EuGH) vorzulegen. Damit gibt es keine Strafe gegen die Post AG.

Behördenchefin Jelinek will nun neue Wege gehen. Ihre Behörde werfe seit der Grundsatzentscheidung des Gerichts im Mai „ein vermeintlich strafbares Verhalten auch vertretungsbefugten natürlichen Personen vor“, betont sie. Kurzum: Bei künftigen Verwaltungsstrafverfahren wird die Behörde auch einzelne Verantwortliche ins Visier nehmen, die dann ihrerseits hohe Geldstrafen erhalten könnten.

Korrektur vom 3. Dezember 2021: Bei einem Verweis auf die „Grundsatzentscheidung“ im 3. Absatz wurde nachträglich klargestellt, dass es sich um eine Entscheidung der obersten Instanz handelt, des Verwaltungsgerichtshofs. Die entsprechende Entscheidung ist nun verlinkt. Dank an Leser Michael Suda.

6 Ergänzungen

  1. Überall in Europa sind die Datenschutzbehörden unterbesetzt, unterfinanziert und offensichtlich fachlich überfordert. Das wird sich erst ändern, wenn die Bürger mehr Druck machen, dass die Beachtung des Datenschutzes endlich mehr Aufmerksamkeit von der Politik erhält.

  2. Warum kann die Klage nicht erneut eingereicht werden? Sollte doch kein Problem hier verantwortliche natürliche Personen zu benennen.

    1. Im Artikel steht: „“Eine Neuerlassung des Straferkenntnisses gegen die Post kommt nicht mehr in Betracht, weil bereits Verjährung eingetreten ist“, schreibt Jelinek in einer E-Mail an uns.“

      1. Klingt als müßte die EU bei der Verjährung nachbessern, die bei DSGVO-Vergehen greift. Oder ist das eine von der Wirtschaft gewünschte Gesetzeslücke? Danke für deine Antwort Alexander und gundsätzlich für eure tolle Arbeit. ❤️

  3. Die „Grundsatzentscheidung“, auf die der Artikel Bezug nimmt, stammt nicht vom Bundesverwaltungsgericht (BVwG = mittlere Instanz) sondern vom zuständigen Höchstgericht, dem öster. Verwaltungsgerichtshof (VwGH). Gegen dessen Entscheidung gibt es kein Rechtsmittel. Man kann zwar versuchen, den VwGH in der Post-Sache noch einmal zu befassen, aber ich nehme Wetten an, dass die Höchstrichter das Rechtsmittel in diesem Fall mit dem Argument „keine neue Rechtsfrage“ gar nicht zulassen werden.
    Der VwGH sieht das mit den Voraussetzungen der Strafbarkeit einer juristischen Person so: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWR_2019040229_20200512J05/JWR_2019040229_20200512J05.html
    Diese Auslegung von Art. 83 DSGVO iVm insbesondere § 30 (öster.) DSG wurde ohne Befassung des EuGH festgeschrieben und bindet das BVwG ebenso wie die Datenschutzbehörde.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.