Dieser Artikel wurde Ihnen von einem unserer Abonnenten zur Verfügung gestellt. Mit einem Abonnement der RdW erhalten Sie die Zeitschrift in Print und vollen digitalen Zugriff im Web, am Smartphone und Tablet. Mehr erfahren…
Testen Sie
ALLE 13 Zeitschriftenportale
30 Tage lang kostenlos.
Der Zugriff endet nach 30 Tagen automatisch.
Im vierten und letzten Teil der Ausführungen zur DSGVO sollen Fragen der Rechtsdurchsetzung und der Sanktionen näher untersucht werden.
Entsprechend dem Grundrecht auf Datenschutz in der Ausprägung des Art 8 EU-Grundrechtecharta sieht die DSGVO vor, dass die Mitgliedstaaten eine (oder mehrere) unabhängige Datenschutzaufsichtsbehörden eingerichtet haben müssen. Die Einrichtung der österreichischen Aufsichtsbehörde, der "Datenschutzbehörde", erfolgte durch § 18 DSG.
Den Aufsichtsbehörden kommen die in den Art 57 und 58 DSGVO aufgelisteten Kompetenzen (Aufgaben und Befugnisse) zu. Der 2. und 3. Abschnitt des 2. Hauptstücks des DSG enthält jene ergänzenden Regelungen zur DSGVO, die für Organisation und Verfahren der Datenschutzbehörde erforderlich sind.1 Die Datenschutzbehörde wendet - neben allfälligen besonderen Bestimmungen des DSG - als österreichische Verwaltungsbehörde hinsichtlich der Beschwerdeverfahren (sowie Genehmigungs-, Akkreditierungsverfahren und dgl) das AVG,2 hinsichtlich der Strafverfahren (insb auch im Verfahren zur Verhängung von Geldbußen) das VStG3 an.
Neben der Datenschutzbehörde sind durch das nationale Recht Gerichte zur Rechtsdurchsetzung in Datenschutzangelegenheiten zu berufen, um iSv Art 47 EU-Grundrechtecharta bzw Art 6 EMRK das Recht auf ein faires Verfahren durch "wirksamen gerichtlichen Rechtsschutz" zu gewährleisten.4 Art 79 DSGVO verlangt die Einrichtung eines wirksamen gerichtlichen Rechtsschutzes sogar "unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei der Aufsichtsbehörde gemäß Art 77" DSGVO.5
Zur Erhebung einer Beschwerde wegen einer behaupteten Verletzung der DSGVO durch die Verarbeitung von Daten des Beschwerdeführers ist gem Art 77 DSGVO und § 24 Abs 1 DSG jede betroffene Person - richtiger: jede Person, die behauptet betroffen zu sein - berechtigt. Dabei kann jede Verletzung der DSGVO unabhängig vom Ort des Ereignisses und des Ortes der Niederlassung des Beschuldigten bei der österreichischen Datenschutzbehörde anhängig gemacht werden.6 Enthält ein Beschwerdefall grenzüberschreitende Aspekte,7 ist ein Kooperationsverfahren nach Art 60 DSGVO mit allen anderen betroffenen Datenschutzbehörden zur gemeinsamen Erledigung des Falles durchzuführen.8
Im Falle der Geltendmachung eines Betroffenenrechtes nach den Art 15-22 DSGVO ist Voraussetzung der Anrufung der Datenschutzbehörde die vorherige Auseinandersetzung mit dem Verantwortlichen.9 Nur wenn dieser dem Begehren der betroffenen Person nicht oder nicht vollinhaltlich entsprochen hat, steht dem Betroffenen der Beschwerdeweg an die Datenschutzbehörde offen - mangels vorheriger Befassung des Verantwortlichen wäre die Beschwerde in diesen Fällen zurückzuweisen. Die vorherige Befassung des Verantwortlichen ist jedoch dann nicht erforderlich, wenn in einer Beschwerde kein Leistungsauftrag, sondern die Feststellung der Rechtswidrigkeit einer Datenverarbeitung verlangt wird.10
§ 24 Abs 4 DSG enthält auch eine Bestimmung über die Verjährung der Möglichkeit, Datenschutzverletzungen geltend zu machen: "Der Anspruch auf Behandlung einer Beschwerde erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt."
Der notwendige Inhalt einer Beschwerde ist in § 24 Abs 2 DSG näher geregelt. Die Datenschutzbehörde stellt Formulare für die Geltendmachung von Rechten der Betroffenen gegenüber einem Verantwortlichen sowie für die Erhebung einer Beschwerde an die Datenschutzbehörde auf ihrer Homepage zur Verfügung; diese Texte sind unverbindlich, geben aber wichtige Hinweise auf den notwendigen Inhalt solcher Anbringen.
In Übereinstimmung mit Art 78 DSGVO steht dem Einbringer einer Beschwerde ein Rechtsmittel sowohl gegen Entscheidungen als auch gegen Säumnis der Datenschutzbehörde11 in Form der Anrufung des Bundesverwaltungsgerichts zur Verfügung sowie in der Folge das Rechtsmittel der Revision an den Verwaltungsgerichtshof.12 Angesichts der vollen Überprüfbarkeit der Entscheidungen der Datenschutzbehörde durch das Bundesverwaltungsgericht, sowohl betreffend Sachverhalt als auch Rechtsfragen, wird den Erfordernissen des Art 78 DSGVO hinsichtlich eines "wirksamen gerichtlichen Rechtsschutzes" Rechnung getragen.13
Zur Frage, ob das DSG auch dem Art 79 DSGVO vollinhaltlich entspricht, wonach ein wirksamer gerichtlicher Rechtsschutz "unbeschadet ... des Rechts auf Beschwerde bei einer Aufsichtsbehörde" bestehen muss, hat der EuGH vor Kurzem im Fall Puskar14 die Auffassung vertreten, dass die zwingende Vorschaltung einer Verwaltungsbehörde vor einer Anrufung des Gerichtes nicht an sich gegen das Gebot eines wirksamen gerichtlichen Rechtsschutzes verstoße; Voraussetzung sei freilich, dass die wesentlichen Kriterien dieses Gebots eingehalten werden, dh, dass die Vorschaltung der Verwaltungsbehörde im Interesse der Effizienz der Rechtsprechung erfolgt und dass sich außerdem keine erheblichen zeitlichen Verzögerungen und keine ins Gewicht fallenden Zusatzkosten im Verhältnis zu einer unmittelbaren Befassung des zuständigen Gerichts ergeben. Angesichts der im relevanten Punkt (des bestehenden Rechts auf Beschwerde bei einer Aufsichtsbehörde) letztlich gleichartigen Formulierung von Art 22 DS-RL und Art 79 Abs 1 DSGVO ist wohl davon auszugehen, dass die im Fall Puskar geäußerte Rechtsmeinung des EuGH auch auf die Rechtslage nach Art 79 DSGVO anwendbar ist, sodass die im DSG vorgesehene Art der Rechtsdurchsetzung DSGVO-konform und vor allem konform mit dem Grundsatz des fairen Verfahrens nach Art 47 der EU Grundrechtecharta und Art 6 EMRK ist.
Zum Verhältnis zwischen Art 77 und Art 79 ist somit festzuhalten, dass
| - | eine betroffene Person gem Art 77 nach nationalem Verfahrensrecht in den von Art 58 geregelten Fällen jedenfalls die Datenschutzaufsichtsbehörde anrufen können muss, |
| - | dass die zwingende Möglichkeit, ein Gericht anrufen zu können, im nationalen Recht auch bloß konsekutiv eingeräumt werden darf (siehe den Fall Puskar), |
| - | dass aber auch eine nach nationalem Recht vorgesehene Möglichkeit der echt alternativen Anrufung einer Aufsichtsbehörde oder eines Gerichtes angesichts des Art 79 zulässig ist.15 |
Für Rechtsansprüche, für die Art 58 DSGVO keine Durchsetzungskompetenz der Aufsichtsbehörden vorsieht, muss vom nationalen Gesetzgeber hingegen jedenfalls eine unmittelbare Anrufung der Gerichte vorgesehen werden. Dies gilt vor allem für das in Art 82 ausgesprochene Recht auf Schadenersatz. Dementsprechend bestimmt § 29 DSG ausdrücklich, dass für Schadenersatzklagen die ordentlichen Gerichte zuständig sind. Ob dies auch für die häufig zusammen mit der Schadenersatzklage eingebrachte Unterlassungsklage gilt, ist hingegen weniger eindeutig beantwortbar, da fraglich ist, ob Art 58 Abs 2 DSGVO eine Abhilfebefugnis der Datenschutzbehörde enthält, die im Effekt dem Ergebnis einer erfolgreichen Unterlassungsklage gleichkäme, dh dem Betroffenen einen exekutionsfähigen Anspruch auf Unterlassung einer bestimmten Datenverarbeitungshandlung verschafft. Sollte dies nicht der Fall sein, weil es zwar ein Recht auf Löschung von Daten, aber kein Recht der betroffenen Person auf dauerhafte Einschränkung/Unterlassung der Verarbeitung gibt, wäre davon auszugehen, dass die Erhebung einer Unterlassungsklage bei Gericht nach wie vor zulässig ist. Diesbezüglich wird die Judikatur der ordentlichen Gerichte abzuwarten sein.
Auch unabhängig vom Vorliegen einer Beschwerde - und über die bloße Erledigung des Beschwerdebegehrens hinaus - sind die Datenschutzaufsichtsbehörden zur Bekämpfung der rechtswidrigen Verarbeitung von personenbezogenen Daten berufen
und haben hiefür alle in Art 58 DSGVO aufgezählten Untersuchungs- und Abhilfebefugnisse. Näherhin handelt es sich bei den Abhilfebefugnissen um die Befugnis,
| - | den Verantwortlichen oder Auftragsverarbeiter auf Unzukömmlichkeiten hinzuweisen und ihn insb zu warnen, dass ein Verarbeitungsvorgang voraussichtlich gegen die DSGVO verstößt (Art 58 Abs 2 lit a), |
| - | die Anordnung zu treffen, dass bestimmte Handlungen von einem Verantwortlichen oder Auftragsverarbeiter zu setzen oder zu unterlassen sind (Art 58 Abs 2 lit c-g und j), |
| - | den Widerruf von Akkreditierungen und Genehmigungen auszusprechen (Art 58 Abs 2 lit h), |
| - | eine Verwarnung zu erteilen, weil eine Verarbeitung gegen die DSGVO verstoßen hat (Art 58 Abs 2 lit b), |
| - | eine Geldbuße nach Art 83 zu verhängen (Art 58 Abs 2 lit i). |
Die Auswahl des oder der geeigneten Einwirkungsmittel obliegt der Datenschutzaufsichtsbehörde nach den Grundsätzen der Erforderlichkeit und der Verhältnismäßigkeit. Was die Verhängung von Strafen betrifft, kommen neben den in Art 83 vorgesehenen Geldbußen auch andere gem Art 84 DSGVO durch nationale Rechtsvorschriften geschaffene Sanktionen für Datenschutzverletzungen infrage, soweit die Anwendung dieser Sanktionen in den nationalen Rechtsvorschriften den Aufsichtsbehörden übertragen wurde.
Obwohl Geldbußen nach Art 83 DSGVO von einer Verwaltungsbehörde verhängt werden, ergibt sich aus der exorbitanten Höhe des Strafrahmens, dass diese Geldbußen im grundrechtlichen Sinne strafrechtliche Sanktionen darstellen: Nach Art 6 EMRK ist nicht die Bezeichnung der Sanktion oder die Bezeichnung der zu verhängenden Stelle maßgeblich, sondern vor allem der aus der Schwere der Strafe erkennbare repressive Zweck einer Sanktion.16 Dementsprechend müssen bei der Verhängung von Sanktionen nach Art 83 DSGVO die Garantien eines fairen Verfahrens im strafrechtlichen Bereich (Art 6 EMRK, "criminal limb") eingehalten werden.17
Daraus ergeben sich insb die folgenden Verteidigungsrechte: das Recht auf Unschuldsvermutung, auf Waffengleichheit, auf Anhörung, Akteneinsicht, Verbot des Zwangs zur Selbstbezichtigung, Verbot der Doppelbestrafung (ne bis in idem), Recht auf Begründung der Entscheidung und - von besonderer Bedeutung angesichts der Entscheidung durch eine Verwaltungsbehörde18 - das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, dh vor allem: Prüfung der Entscheidung auch hinsichtlich der Sachverhaltsfeststellungen und nicht nur hinsichtlich der Rechtsfragen.19 Die Notwendigkeit dieser Garantien wird in Art 78 DSGVO ("Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde") und in Art 83 Abs 8 wiederholt.
Die Verhängung von Geldbußen ist durch Art 58 und Art 83 DSGVO den Datenschutzaufsichtsbehörden vorbehalten. Dies wird in § 22 Abs 5 DSG für die österreichische Datenschutzbehörde wiederholt.20 Dass das VStG anzuwendende Verfahrensordnung ist, ergibt sich aus dem EGVG.21 Das DSG enthält einzelne Sonder-Verfahrensbestimmungen, insb in § 30.
Jene Tatbestände, die mit Geldbuße geahndet werden können, sind in Art 83 Abs 4-6 in Form des Verweises auf die Verletzung bestimmter Artikel der DSGVO beschrieben. Weiters wird in Art 83 Abs 4-6 das Ausmaß der jeweiligen Höchststrafe festgelegt sowie in Art 83 Abs 2 jene Kriterien, die bei der Strafbemessung "im Einzelfall gebührend berücksichtigt" werden müssen. Ziel ist die Festsetzung eines Strafausmaßes, das "verhältnismäßig, wirksam und abschreckend" ist.22 Nationale Rechtsvorschriften über die Strafbemessung oder über das Absehen von einer Strafe, wie sie in § 11 DSG oder § 33a VStG enthalten sind, müssen im Lichte des Art 83 Abs 1 und Abs 2 DSGVO ausgelegt werden und können die dort vorgesehene Strafbemessung nicht korrigieren.23
Hinsichtlich der zu Bestrafenden nennt Art 83 in den Absätzen 2 und 3 zunächst "Verantwortliche" und "Auftragsverarbeiter", in den Absätzen 4 und 5 aber auch "Unternehmen". Entgegen den Regelungen des § 9 VStG, wonach nur natürliche Personen bestraft werden können, eröffnet § 30 Abs 1 und 2 DSG der Datenschutzbehörde daher im Hinblick auf Art 83 die Möglichkeit, auch juristische Personen zu belangen, da "Unternehmen" als zu Bestrafende schon definitionsgemäß auch juristische Personen sein können.24 Aus § 30 DSG ergibt sich konkret Folgendes: Ist der Verantwortliche (oder der Auftragsverarbeiter) eine juristische Person, kann die Datenschutzbehörde entweder
| - | gem § 9 Abs 1 VStG den nach außen Vertretungsberechtigten (den Geschäftsführer) bzw den nach § 9 Abs 2 VStG allenfalls bestellten besonderen Verantwortlichen oder |
| - | gem § 30 Abs 1 oder Abs 2 DSG bei Vorliegen gewisser Voraussetzungen die juristische Person, die datenschutzrechtlicher Verantwortlicher oder Auftragsverarbeiter ist, bestrafen. |
In Abwandlung des Doppelbestrafungsverbots darf allerdings bei einer Datenschutzverletzung nicht sowohl nach § 30 DSG als auch nach § 9 VStG bestraft werden.25
Durch den Verweis auf den "weltweit erzielten Jahresumsatz" eines Unternehmens erhebt sich die Frage, ob bei Konzernunternehmen dies automatisch die Bestrafung "des Konzerns" - und nicht des einzelnen Konzernunternehmens - zur Folge hat. Hier ist zu berücksichtigen, dass Art 83 die Bestrafung "des Verantwortlichen" (bzw "des Auftragsverarbeiters") vorsieht, dh, dass geprüft werden muss, inwieweit für eine konkrete Datenschutzverletzung (nur) das einzelne Konzernunternehmen oder zusätzlich auch die Konzernspitze in Form entsprechender Einflussnahme verantwortlich ist, also gemeinsame Verantwortlichkeit vorliegt.
Gem § 30 Abs 5 DSG können "gegen Behörden und öffentliche Stellen, wie insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen, die im gesetzlichen Auftrag handeln, und gegen Körperschaften des öffentlichen Rechts ... keine Geldbußen verhängt werden". Aus dieser - reichlich unklaren - Formulierung wird gemeinhin geschlossen, dass die Ausnahme des öffentlichen Bereichs von der Anwendbarkeit des Art 83 auch für die Datenverarbeitung für privatwirtschaftliche Zwecke des öffentlichen Bereichs gilt.26
Eine weitere wichtige Besonderheit des Verfahrens zur Verhängung von Geldbußen ist der Umstand, dass entgegen der Bestimmung des § 22 Abs 2 VStG keine Kumulierung von Strafen erfolgt, sondern gem Art 83 Abs 3 bei mehreren Verstößen gegen die DSGVO im Zuge von "gleichen oder mit einander verbundenen Verarbeitungsvorgängen" nur die Geldbuße für den schwerstwiegenden Verstoß maßgeblich ist.
Insgesamt ist festzuhalten, dass das VStG, das als Verfahrensvorschrift für die Bestrafung von Tatbeständen mit minderem Unrechtsgehalt konzipiert ist, für die Verhängung von Strafen mit dem in Art 83 vorgesehenen extrem hohen Strafrahmen nicht ideal geeignet ist. Das zeigt sich bei ganz grundsätzlichen Systemkomponenten wie der Ersatzfreiheitsstrafe, die im vorliegenden Zusammenhang nicht sinnvoll angewendet werden kann;27 dies zeigt sich zB aber auch bei der Beweislastregelung des § 5 Abs 1 VStG28 oder auch bei der doch sehr kurzen Verfolgungsverjährungsfrist des § 31 Abs 1 VStG. Es ergeben sich hier Wertungswidersprüche, die möglicherweise über das hinausgehen, was im Wege der Rechtsprechung aufgelöst werden kann.
Wie bereits erwähnt, sieht Art 84 DSGVO vor, dass in Vorschriften der Mitgliedstaaten, abgesehen von den Geldbußen nach Art 83, "andere Sanktionen für Verstöße gegen diese Verordnung festgelegt werden".29 Im österreichischen DSG widmet sich das 4. Hauptstück unter dem Titel "Besondere Strafbestimmungen" diesem Thema und benennt weitere Fälle von Verwaltungsstrafdelikten (mit einem Strafrahmen bis zu 50.000 €)30 sowie ein dem bisher geltenden § 51 DSG31 2000 entsprechendes Bündel an gerichtlich strafbaren Tatbeständen,32 die mit Höchststrafe bis zu einem Jahr Freiheitsstrafe bzw Geldstrafe bis zu 720 Tagessätzen bedroht sind.33 Diese gerichtliche Strafbestimmung ist nicht nur deshalb problematisch, weil sie sich bei der Beschreibung der
Tatbilder einer Terminologie bedient, die der datenschutzrechtlichen Nomenklatur fremd ist, was zu Interpretationsschwierigkeiten führt, sondern auch, weil ein weiterer erheblicher Wertungswiderspruch dadurch auftritt, dass die Maximalstrafe für die gerichtlich strafbaren Datenschutzverletzungen nur 3,6 Mio € beträgt, während für die Verwaltungsstrafen des Art 83 Höchststrafen von 10 bzw 20 Mio € vorgesehen sind, die für Unternehmen bei entsprechendem Umsatz noch höher ausfallen können.
Für das Verhältnis zwischen Strafen nach Art 83 und Art 84 ist nochmals besonders auf das sich aus Art 6 EMRK und Art 47 EU-Grundrechtecharta ergebende Verbot der Doppelbestrafung hinzuweisen.
Gegen jede von der Datenschutzbehörde verhängte Strafe kann im Sinne des von Art 78 zwingend vorgeschriebenen wirksamen gerichtlichen Rechtsschutzes Beschwerde beim Bundesverwaltungsgericht34 und in der Folge Revision an den Verwaltungsgerichtshof35 erhoben werden.
Das Verfahren vor staatlichen Behörden ist vom Unionsrecht nicht harmonisierend geregelt. Es besteht daher autonome Regelungskompetenz der Mitgliedstaaten, soweit keine speziellen unionsrechtlichen Bestimmungen existieren. Grenzen autonomer verfahrensrechtlicher Regelungen sind freilich jedenfalls Art 47 der EU-Grundrechtecharta und Art 6 EMRK, die das Recht auf ein faires Verfahren garantieren. Auf die sich daraus ergebenden Verpflichtungen für den nationalen Gesetzgeber weist zB auch Art 83 Abs 8 DSGVO ausdrücklich hin.
Allgemeines Verwaltungsverfahrensgesetz 1991 - AVG BGBl 1991/51 (WV); betr Anwendung durch die Datenschutzbehörde vgl Art I Abs 1 Z 1 EGVG.
Verwaltungsstrafgesetz 1991 - VStG BGBl 1991/52 (WV); betr Anwendung durch die Datenschutzbehörde vgl Art I Abs 1 Z 2 EGVG.
Zu den Erfordernissen eines "fairen Verfahrens" vgl insb European Court of Human Rights: Guide on Article 6 of the European Convention on Human Rights http://www.echr.coe.int/Documents/Guide_Art_6
Näheres siehe dazu am Ende von Punkt 2.
Art 77 DSGVO sieht hier als "Mindeststandard" vor, dass nach nationalem Recht ein Betroffener zumindest am Ort seines Aufenthalts, Arbeitsplatzes oder des mutmaßlichen Verstoßes Beschwerde erheben können muss. Da das DSG keinerlei Einschränkungen in territorialer Hinsicht für die Zulässigkeit der Erhebung von Beschwerden an die Datenschutzbehörde vorsieht, muss davon ausgegangen werden, dass die österreichische Datenschutzbehörde auch Beschwerden entgegennehmen muss, die keinen Österreich-Bezug aufweisen, aber eine Datenschutzverletzung zum Inhalt haben, auf die die DSGVO sachlich und räumlich anzuwenden ist.
Vgl dazu die Definition in Art 4 Z 23 DSGVO, wonach eine Verarbeitung dann "grenzüberschreitend" ist, wenn sie entweder in Niederlassungen eines Verantwortlichen oder Auftragsverarbeiters in mehreren Mitgliedstaaten innerhalb der Union erfolgt, oder wenn sie Auswirkungen auf Betroffene in mehreren Mitgliedstaaten der Union hat.
Für die Verfahrensparteien ist besonders zu beachten, dass Beschlüsse des Europäischen Datenschutzausschusses (EDSA), die im grenzüberschreitenden Verfahren allenfalls ergehen, innerhalb von zwei Monaten nach ihrer Veröffentlichung auf der Homepage des EDSA beim EuGH bekämpft werden können; wird dies unterlassen, kann die Vorlage an den EuGH in einem späteren gerichtlichen Rechtsmittelverfahren nicht mehr mit verbindlicher Wirkung verlangt werden (vgl ErwGr 143).
Siehe auch § 24 Abs 3 DSG.
Dies gilt wohl auch bei einer behaupteten Verletzung der Informationspflicht des Verantwortlichen nach Art 13 und Art 14 DSGVO: Da die Informationspflicht eine "Bringschuld" ist, liegt die Datenschutzverletzung bereits vor, wenn keine Information angeboten wird, sodass dieser Umstand unmittelbar zum Gegenstand einer Beschwerde an die Datenschutzbehörde gemacht werden kann.
Siehe § 24 Abs 8 DSG und § 27 DSG ("Beschwerde an das Bundesverwaltungsgericht").
Wenn die Entscheidung der Sache von einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt (vgl Art 133 Abs 4 B-VG).
Siehe insb ECtHR’s Guide on Article 6 of the European Convention of Human Rights, part III A. 3.
C-73/16, ECLI:EU:C:2017:725; die Vorabentscheidung erging zur Vorläuferbestimmung des Art 79 DSGVO, nämlich Art 22 der Datenschutz-Richtlinie, die folgenden Wortlaut hatte: "Unbeschadet des verwaltungsrechtlichen Beschwerdeverfahrens, das vor Beschreiten des Rechtsweges insbesondere bei der in Artikel 28 genannten Kontrollstelle eingeleitet werden kann, sehen die Mitgliedstaaten vor, daß jede Person bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann."
Aus Praktikabilitätserwägungen werden in diesem Fall allerdings Kollisionsregelungen notwendig sein, wie etwa das Ende des Wahlrechts, sobald das Gericht angerufen wurde.
Dies ergibt sich aus den sogenannten "Engel-Kriterien" (EGMR in Engel v Netherlands, 1979/80) die - unabhängig von der formalen Einordnung/Bezeichnung einer Sanktion im nationalen Recht - einen objektiven Maßstab für die Qualifikation einer Sanktion als "strafrechtliche Sanktion" bieten. Für vergleichbare Fälle des Unionsrechts siehe zB EuGH C-501/11 P, Schindler RN 33 ff; siehe schon Rs C-235/92 P, Montecantini RN 176.
Vgl dazu insb European Court of Human Rights: Guide on Article 6 of the European Convention on Human Rights http://www.echr.coe.int/Documents/Guide_Art_6_criminal_ENG.pdf
Zum Problem, dass die Datenschutzaufsichtsbehörden - wie die EU-Kommission in Kartellsachen - zugleich Ankläger und Richter sind, vgl EuGH C-12/03 P, Tetra Laval RN 39; seitdem stRsp, zB Rs C-386/10 P, Chalkor RN 54; C-199/11, Otis RN 59; T-201/04, Microsoft RN 89.
Vgl zB auch EGMR in Menarini v Italien, 43509/08 RN 59 EuGH C-12/03 P, Tetra Laval RN 39.
"Der Datenschutzbehörde obliegt im Rahmen ihrer Zuständigkeit die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen."
Siehe Art I Abs 1 Z 2.
Art 83 Abs 1 DSGVO.
§ 11 DSG, wonach eine Verwarnung "insbesondere" bei erstmaligen Verstößen verhängt werden soll, ist daher so zu verstehen, dass eine Verwarnung dann vorzunehmen ist, wenn dies im konkreten Fall dem Grundsatz der Verhältnismäßigkeit entspricht. Die durch die VStG-Novelle BGBl 2018/57 in § 33a VStG ("Beratung") geschaffene Möglichkeit, bei Rechtsverletzungen andere Einwirkungsmittel als die Bestrafung zu verfügen, kann ebenfalls nur dann greifen, wenn dies im konkreten Fall verhältnismäßig ist (siehe auch die dort angeführten Kriterien für diese Beurteilung).
Art 4 Z 18 DSGVO: Ein "Unternehmen (ist) eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt …".
Im Initiativantrag 189/A 26. GP, mit dem das Datenschutz-Deregulierungs-Gesetz 2018 im Nationalrat eingebracht wurde, lautete der Entwurf für § 30 Abs 5 noch wie folgt: "(5) Gegen in Formen des öffentlichen Rechts eingerichtete Stellen, die in Vollziehung der Gesetze tätig werden, und gegen Körperschaften des öffentlichen Rechts sowie gegen in Formen des Privatrechts eingerichtete Stellen, die in Vollziehung der Gesetze tätig werden, können keine Geldbußen verhängt werden." Die im Laufe der parlamentarischen Behandlung bewirkten Textänderungen in § 30 Abs 5 können wohl nur so gedeutet werden, dass die ursprünglich beabsichtigte Beschränkung der Ausnahme auf die Hoheitsverwaltung aufgegeben wurde.
§ 16 VStG sieht die Festsetzung einer Freiheitsstrafe für den Fall der Uneinbringlichkeit der Geldstrafe vor, die aber das Ausmaß von zwei Wochen nicht übersteigen darf.
Diese Regelung gilt allerdings gemäß der Novelle zum VStG BGBl I 2018/57 ab 1. 1. 2019 nicht mehr, "wenn die Verwaltungsübertretung mit einer Geldstrafe von über 50 000 Euro bedroht ist".
Ob dies zwingend oder fakultativ gemeint ist, ist der Formulierung nicht mit Sicherheit zu entnehmen - wenn eine Festlegung zusätzlicher Sanktionen zwingend notwendig wäre, erhebt sich allerdings die Frage, warum die DSGVO diese zusätzlichen Fälle nicht selbst benennt.
Die praktische Bedeutung dieser Bestimmung war bisher allerdings gering, da kaum Verurteilungen nach dieser Bestimmung stattgefunden haben.
Die Anzahl der Tagessätze ist nach dem Schuldgehalt des Verhaltens des Verurteilten festzusetzen, die Höhe der Tagessätze (mindestens 4 € bis höchstens 5.000 €) nach den Einkommens- und Vermögensverhältnissen und der wirtschaftlichen Leistungsfähigkeit des Verurteilten zum Zeitpunkt des erstinstanzlichen Urteils (§ 19 StGB).
