Formfehler erspart Österreichs Post 20 Millionen Euro Datenschutzstrafe
Die "Parteiaffinität" von Millionen Österreichern konnte man gegen Entgelt bei der Post AG erfragen. Sie geht aber straffrei aus. Im Bescheid fehlte ein Name.
Das Bild zeigte einen historischen Briefkasten des K. K. Post- und Telegrafenamtes des österreichischen Kaiserreichs. Dieser Briefkasten wurde damals bis zu 14 mal pro Tag geleert.
(Bild: Daniel AJ Sokolov)
Seit Jahren verdient die Österreichische Post mit Datenhandel. Bis Anfang 2019 gehörten dazu auch Angaben über angebliche Affinität zu politischen Parteien. Weil die 2,2 Millionen betroffenen Österreicher dem nicht zugestimmt hatten, verhängte die Datenschutzbehörde eine Geldstrafe über die Post: 18 Millionen Euro zuzüglich 1,8 Millionen Euro Verfahrenskosten. Tatsächlich zahlen muss die Österreichische Post AG aber gar nichts.
Das liegt an einem Formfehler, wie das von der Post angerufene Bundesverwaltungsgericht Ende November entschieden hat: Die Datenschutzbehörde hatte in ihrem Bescheid zwar mehrere Schlüsselbedienstete der Post erwähnt, darunter die Datenschutzbeauftragte, Mitarbeiter der Rechtsabteilung und den Vorstand, aber keinen bestimmten Menschen als letztlich verantwortlich bezeichnet.
"Da juristische Personen nicht selbst handeln können, ist ihre Strafbarkeit Folge des Handelns einer natürlichen Person. Kommt ein bestimmter Kreis natürlicher Personen in Frage (...) reicht es nach der Rechtsprechung des Verwaltungsgerichtshofs (...) nicht, festzustellen, dass irgendeine Person aus diesem Kreis die Tat begangen hat (...), es muss die handelnde Person konkret bestimmt sei", urteilt das Bundesverwaltungsgericht. Eine nachträgliche Korrektur des Strafbescheids lässt es nicht zu.
Neue Rechtsprechung, kein EuGH-Verfahren
Die angesprochene Rechtsprechung des höchstgerichtlichen Verwaltungsgerichtshofs ist allerdings neu und war im Oktober 2019, als die Datenschutzbehörde den Strafbescheid gegen die Post erlassen hat, noch nicht bekannt. In einem anderen Verfahren hatte die Datenschutzbehörde ein Wettlokal für Videoüberwachung öffentlichen Straßenraumes bestraft. Weil in dem Bescheid nur die betreibende GmbH aber nicht der Chef des Wettlokals verantwortlich gemacht wurden, hob der Verwaltungsgerichtshof die Strafe im Mai 2020 auf. Das gleiche Schicksal ereilt nun den zuvor erlassenen Strafbescheid gegen die Post.
Lesen Sie zur bisherigen Berichterstattung heise onlines über den von epicenter.works aufgedeckten Datenskandal:
Die Datenschutzbehörde hatte sich auf Rechtsprechung des EuGH berufen, wonach Strafbescheide auch direkt gegen juristische Personen erlassen werden können, ohne Menschen verantwortlich zu machen. Das überzeugte die österreichischen Richter nicht, weil diese EuGH-Rechtsprechung zu anderen Materien und aufgrund EU-rechtlicher Bestimmungen ergangen ist, nicht aufgrund des österreichischen Datenschutzgesetzes. Dem Antrag der Datenschutzbehörde, die Sache dem EuGH vorzulegen, ist das Bundesverwaltungsgericht nicht nachgekommen.
Post bleibt unbescholten
Damit entgeht die Post nicht nur der Strafe von fast 20 Millionen Euro, sondern auch der Feststellung, ob ihr Verhalten tatsächlich eine Verletzung von Datenschutzrecht war, nämlich der Handel mit angeblichen politischen Affinitäten ohne Zustimmung Betroffener, eine möglicherweise mangelhafte Datenschutz-Folgeabschätzung sowie ein womöglich fehlerhaftes Verzeichnis der Datenverarbeitung. Die Post vertritt den Standpunkt, dass die von ihr feilgebotenen politischen Affinitätsangaben zu 2,2 Millionen namentlich genannten Österreichern keine personenbezogenen Daten seien, weil sie nur auf statistischen Hochrechnungen beruhten.
Außerdem meinte die Post, sie sollte selbst bei rechtswidrigem Verhalten nicht bestraft werden. Sie habe ein Recht auf Verwarnung, Beratung oder Ermahnung. Darauf könnte sie sich in einem zukünftigen Verfahren vielleicht tatsächlich berufen, hat Österreich dem neuen Datenschutz doch die Zähne gezogen.
Nicht mehr nehmen kann man der Österreichischen Post AG allerdings den österreichischen Big Brother Award 2019.
(ds)
