Bundesverwaltungsgericht Österreich: Falsche Einschätzung des Datenschtzbeauftragten wird dem Verantwortlichen im Bußgeldverfahren zugerechnet

Das Bundesverwaltungsgericht Österreich musste sich in seiner Entscheidung vom 27. Dezember 2024 (Aktenzeichen W258 2227269-1/39E) mit der Rechtmäßigkeit des Verkaufs personenbezogener Daten, darunter auch Angaben zu politischen Affinitäten der betroffenen Personen befassen. Eine wichtige Frage war hier, ob bestimmte Informationen „personenbezogene Daten“ darstellen.


Sachverhalt
Im Jahr 2019 leitete die österreichische Aufsichtsbehörde eine Untersuchung ein, nachdem Medienberichte behauptet hatten, ein Unternehmen habe personenbezogene Daten, einschließlich Angaben zu „politischen Affinitäten“, verkauft. Daraufhin wurde ein Verwaltungsstrafverfahren wegen des Verdachts der unrechtmäßigen Verarbeitung besonderer Kategorien personenbezogener Daten ohne Einwilligung, weiterer rechtswidriger Verarbeitungen, Versäumnissen bei der Datenschutz-Folgenabschätzung, sowie unzureichender Transparenz eingeleitet. Nachdem gegen das Unternehmen eine Geldbuße verhängt wurde, legte es Rechtsmittel gegen den Bescheid beim Bundesverwaltungsgericht ein, welches die Entscheidung zunächst aufhob. Diese Aufhebung kassierte allerdings der österreichische Verwaltungsgerichtshof unter Verweis auf das EuGH-Urteil in der Rechtssache C-807/21. Damit landete der Fall wieder beim Bundesverwaltungsgericht.


Entscheidung
Das Urteil ist insbesondere in Bezug auf die Haftung des Verantwortlichen für Fehleinschätzungen des eigenen Datenschutzpersonals und des Datenschutzbeauftragten bemerkenswert.

Im Rahmen der subjektiven Voraussetzungen zur Verhängig einer Geldbuße gemäß Art. 83 DSGVO ist es erforderlich, dass der Verantwortliche einen in Art. 83 Abs 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat. Das BVwG geht hier von einem fahrlässigen Verhalten aus, welches u.a. aus den Fehleinschätzungen der Datenschutzmanagerin und der Datenschutzbeauftragten abgeleitet wird.

Kein Ausschluss der Zurechnung durch das existierende Kontrollsystem

Zwar geht das BVwG davon aus, dass sich das Unternehmen auf organisatorischer Seite mit beachtlichen Ressourcen-Aufwand auf die Anwendbarkeit der DSGVO vorbereitet hat.

So wurde intern die datenschutzrechtliche Bewertung wie folgt gegliedert:

  • Erstbeurteilung einer Datenverwendung in dem jeweiligen Fachbereich einerseits.
  • Verpflichtenden Einbindung der Datenschutzbeauftragten andererseits.

Dieses System scheint nach Auffassung des BVwG auf den ersten Blick zweckmäßig zu sein, zumal die Fachbereiche den besten Einblick in die von Ihnen vorgenommenen Datenverwendung haben und die Datenschutzbeauftragte eine rechtlich unabhängige Kontrolle ermöglichen sollte.

„Im konkreten Fall gestaltet sich diese Aufteilung allerdings als problematisch, weil die Erstbeurteilung damit Personen auferlegt worden ist, die – wenngleich datenschutzrechtlich ausgebildeten – juristischen Laien sein konnten/bzw waren und – als aus dem Fachbereich kommend – ein starkes Interesse an der Durchführung der geplanten „eigenen“ Datenverarbeitungen haben können.“

Hieraus folgte nach Ansicht des Gerichts „die beachtliche Gefahr grundlegender juristischer Fehlinterpretationen aufgrund fehlender allgemeiner juristischer Kenntnisse„.

Das BVwG geht daher hinsichtlich des Kontrollsystemens davon aus, dass dies nicht ausreichend war.

„entgegen ihrer Meinung lag damit auch kein wirksames Überwachungs- und Kontrollsystem vor, dass eine verschuldensbegründende Zurechnung an die Beschwerdeführerin ausschließen könnte“

Fehlerhafte Einschätzungen der Mitarbeiter

Hinsichtlich der Datenverarbeitungen sind die Datenschutzmanagerin und die Datenschutzbeauftragte davon ausgegangen, dass es sich bei statistischen Werten nicht um personenbezogene Daten handelt, und zwar auch dann, wenn sie konkreten Personen zugeschrieben werden.

Nach Auffassung des BVwG war diese Rechtsansicht

„insbesondere vor dem Hintergrund der bereits vor Anwendbarkeit der DSGVO zur in diesen Aspekten vergleichbaren Datenschutz-Richtlinie (95/46/EG) und dem DSG 2000 vorliegenden Judikatur der Datenschutzkommission, der Datenschutzbehörde (…) und des EuGH (EuGH 22.06.2017, C-434/16, Nowak) unvertretbar“

Das Gericht geht in seiner Begründung danach u.a. darauf ein, welches Verhalten den beteiligten Personen vorzuwerfen ist.

„Der Datenschutzmanagerin ist vorzuwerfen, dass sie bei ihrer Meinungsbildung auffallend sorglos war, zumal sie eine einschlägige datenschutzrechtliche Entscheidung denkunmöglich interpretiert…“

„Die weiteren von der Datenschutzmanagerin ergriffen Recherchetätigkeiten waren ungeeignet ihren Fehler aufzudecken,…“

„Der Datenschutzbeauftragten ist vorzuwerfen, dass sie sich – in offenbarer Unkenntnis der bestehenden Rechtsprechung sowie trotz einer neuen Rechtslage – auf ihre bestehende (irrige) Meinung verlassen hat, dass es sich bei statistischen Daten auch dann um keine personenbezogenen Daten handelt, wenn sie konkreten Personen zugeschrieben werden, und keine eigenen relevanten Recherchen durchgeführt hat.“

Die führte im Ergebnis dazu, dass das Unternehmen die „ XXXX -Affinitäten“ nicht weiter dahingehend überprüft hat, ob es sich tatschlich um eine besondere Kategorie von Daten nach Art. 9 Abs. 1 DSGVO handelt und ob und unter welchen Voraussetzungen ihre Verarbeitung zulässig sein könnte.

Hieraus folgert das BVwG:

„Dieses fahrlässige Verhalten muss sich die Beschwerdeführerin zurechnen lassen; eine Handlung oder Kenntnis eines Leitungsorgans der Beschwerdeführerin, ist hierfür nicht erforderlich (EuGH 05.12.2023, C-807/21, Deutsche Wohnen SE, Rz 77).“

Bedeutung für die Praxis
Die Entscheidung zeigt, dass Verantwortliche auch für fehlerhafte Einschätzungen bzw. Handlungen ihrer Datenschutzbeauftragten haften müssen. Bereits in der Entscheidung C-807/21 (Deutsche Wohnen) hat der EuGH klargestellt, dass Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans des Verantwortlichen voraussetzt. Diese Position wurde vom Kammergericht Berlin in seiner Entscheidung vom 22. Januar 2024 bestätigt. Die vorliegende Entscheidung folgt dem Ansatz, dass die Unternehmen auch für solche Verstöße haften, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Person gehandelt hatte.

Das BVwG geht sogar noch einen Schritt weiter: Trotz der (zumindest teilweise) unabhängigen Stellung der Datenschutzbeauftragten haften die Unternehmen auch für deren Verstöße, zumindest solange diese Verstöße in den Bereich ihrer gesetzlichen Pflichten gem. Art. 39 DSGVO fallen.

Geht es um Rechtsansichten (wie hier, bei der Auslegung und Anwendung der DSGVO), sollten Verantwortliche und Auftragsverarbeiter daher darauf achten, internes Personal entsprechend zu qualifizieren oder extern spezialisierten Fachrat einzuholen.

Zudem sind die Ansichten des BVwG zu dem Compliance/Konrollsystem sehr praxisrelevant.

Erlaubte oder geduldete private Nutzung von E-Mail und Internet durch Arbeitnehmer – BNetzA lehnt Anwendung des Fernmeldegeheimnisses ab

Weiter rechtlich umstritten und damit in der Praxis ein wichtiges Beratungsthema ist die Frage, ob Arbeitgeber, die ihren Mitarbeitern die private Nutzung des betrieblichen E-Mail-Postfaches oder des Internets am Arbeitsplatz gestatten oder dies zumindest dulden, als „Anbieter von Telekommunikationsdiensten“ gelten. Die Folge wäre, dass für Arbeitgeber nach § 3 Abs. 2 Nr. 1 oder 2 TDDDG das Fernmeldegeheimnis zu beachten wäre. Inklusive des strafrechtlichen Verbots nach § 206 Abs. 1 StGB.

Kurzer Rückblick
Nach § 3 Abs. 2 Nr. 1 und 2 TDDDG sind zur Wahrung des Fernmeldegeheimnisses

  • Anbieter von öffentlich zugänglichen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken, oder auch
  • Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken, verpflichtet.

Im Juli 2024 hatte ich hier im Blog zuletzt zu dem Thema geschrieben. Dort habe ich auch auf die (alte) Ansicht der DSK verwiesen, wonach für Arbeitgeber bei erlaubter oder geduldeter Privatnutzung des Internets oder von E-Mail-Postfächern das Fernmeldegeheimnis gelten soll. Die DSK (und auch einige Gerichte in der Vergangenheit) gehen davon aus, dass Arbeitgeber in diesen Fällen als „Anbieter von Telekommunikationsdiensten“ anzusehen sind.

In dem Blogbeitrag habe ich auch die neue, abweichende Ansicht der LDI NRW dargestellt. Nach der LDI gilt das Fernmeldegeheimnis in diesen Fällen nicht.

Die DSK hat sich zu dem Thema bislang jedoch nicht neu geäußert.

Rechtlicher Hintergrund
Wie oben beschrieben, gibt § 3 Abs. 2 TDDDG vor, für wen das Fernmeldegeheimnis gilt. In beiden Varianten, die ggfs. für die Situation der privaten Nutzung von betrieblichen Arbeitsmitteln relevant sein könnten (Nr. 1 und Nr. 2), ist stets erforderlich, dass ein „Telekommunikationsdienst“ vorliegt.

Anbieter von Telekommunikationsdiensten“ ist nach § 3 Nr. 1 TKG „jeder, der Telekommunikationsdienste erbringt“.

Und „Telekommunikationsdienste“ werden in § 3 Nr. 61 TKG legal definiert als „in der Regel gegen Entgelt über Telekommunikationsnetze erbrachte Dienste, die – mit der Ausnahme von Diensten, die Inhalte über Telekommunikationsnetze und -dienste anbieten oder eine redaktionelle Kontrolle über sie ausüben – folgende Dienste umfassen: a) Internetzugangsdienste, b) interpersonelle Telekommunikationsdienste und c) Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen, wie Übertragungsdienste, die für Maschine-Maschine-Kommunikation und für den Rundfunk genutzt werden“.

Die Definition verlangt also auch, dass der Dienst „in der Regel gegen Entgelt erbracht wird“.

Ansicht der BNetzA
Neuen Rückenwind erhält die Ansicht, dass auf Arbeitgeber das Fernmeldegeheimnis keine Anwendung findet, nun aber von der Bundesnetzagentur (BNetzA). Die Aufsichtsbehörde hat mit Stand Juli 2025 ein „Hinweispapier zur Einstufung von nummernunabhängigen interpersonellen Telekommunikationsdiensten (NI-ICS)“ (PDF) veröffentlicht.

Dort setzt sich die BNetzA auch mit dem Tatbestandsmerkmal „in der Regel gegen Entgelt erbracht wird“ auseinander (ab S. 11 ff.). Sie verweist für die Auslegung des Begriffs auf die Rechtsprechung des EuGH, der von einem weiten Entgeltbegriff ausgehe. Von einer Entgeltlichkeit der Dienstleistung kann bereits dann ausgegangen werden, wenn es sich um wirtschaftliche Tätigkeiten handelt, die einen Teil des Wirtschaftslebens ausmachen. Das Tatbestandsmerkmal „gewöhnlich bzw. in der Regel gegen Entgelt“ diene nach der Rechtsprechung des EuGH einer Abgrenzung von wirtschaftlichen zu rein privaten Sachverhalten.

Und hier kommt die BNetzA dann auch zu dem für uns wichtigen Fall: Arbeitgeber erlaubt oder duldet die private Nutzung von betrieblichem E-Mail-Postfach.

Die Ansicht der BNetzA: “Ebenfalls nicht erfasst sind in der Regel Angebote zwischen Arbeitgeber und Arbeitnehmer.“

Die BNetzA begründet ihre Auffassung damit, dass es sich regemäßig um ein Arbeitsmittel handele, welches der Arbeitnehmer auch privat nutzt. Dies stelle jedoch keine „eigenständige wirtschaftliche Tätigkeit des Arbeitgebers“ dar.

„Auch die private Nutzungsmöglichkeit, zum Beispiel eines E-Mail-Dienstes durch den Arbeitnehmer führt nicht dazu, dass das Angebot des Arbeitgebers vorrangig auf einen geschäftlichen Vorteil oder eine andere Form der Entgeltung gerichtet wäre.“

Fazit
Die Tendenz in der rechtlichen Diskussion um die Anwendung des Fernmeldegeheimnisses auf Arbeitgeber entwickelt sich zurecht immer mehr in die Richtung, § 3 Abs. 2 TDDDG hier nicht als einschlägig anzusehen. Die Folge ist, dass „nur“ datenschutzrechtliche Vorgaben der DSGVO und z.B. des BDSG zu beachten sind. Jedoch keine Verbote nach § 3 Abs. 1 TDDDG oder nach § 206 StGB.