TE Bvwg Erkenntnis 2020/3/12 W256 2223922-1

W256 2223922-1/8E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Mag. Caroline Kimm als Vorsitzende und die fachkundige Laienrichterin Dr. Claudia Rosenmayr-Klemenz und dem fachkundigen Laienrichter Mag. Matthias Schachner als Beisitzer über die Beschwerde der XXXX GmbH, vertreten durch Stadler Völkel Rechtsanwälte GmbH, gegen das Straferkenntnis der Datenschutzbehörde vom 12. August 2019, GZ: DSB- XXXX zu Recht erkannt:

A) Der Beschwerde wird Folge gegeben und die verhängte Geldstrafe auf 25.000 Euro und dementsprechend der Beitrag zum Verfahren vor der belangten Behörde gemäß § 52 Abs. 8 VwGVG iVm § 64 Abs. 2 VStG auf 2.500 Euro herabgesetzt.

B) Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.

ENTSCHEIDUNGSGRÜNDE:

I. Verfahrensgang und Sachverhalt:

Die belangte Behörde hat aufgrund eines von Amts wegen durchgeführten Prüfverfahrens mit Bescheid vom 16. November 2018 diverse näher dargestellte Verletzungen von Pflichten nach der DSGVO in Zusammenhang mit der Verarbeitung personenbezogener Daten zum Zweck der Diagnostik und der Therapie von allergischen Erkrankungen durch die Beschwerdeführerin festgestellt und dieser die Behebung dieses Zustandes aufgetragen.

Mit Schreiben vom 13. Februar 2019 wurde die Beschwerdeführerin von der belangten Behörde wegen dieser näher umschriebenen Pflichtverletzungen zur wahlweise mündlichen oder schriftlichen Rechtfertigung aufgefordert.

Daraufhin übermittelte die Beschwerdeführerin zunächst mit E-Mail vom 22. März 2019 der belangten Behörde eine Aufstellung ihrer aktuellen Umsatzzahlen und erfolgte am 18. März 2019 die Vernehmung eines bevollmächtigten Vertreters der Beschwerdeführerin.

Mit dem angefochtenen Straferkenntnis wurden der Beschwerdeführerin die mittels Bescheid vom 16. November 2019 teilweise festgestellten Verletzungen zur Last gelegt. Konkret wurde ihr darin vorgeworfen,

"I. von 25.05.2018 bis 11.12.2018 gegen ihre Pflicht gemäß Art. 37 Abs. 1 lit. c DSGVO zur Benennung eines Datenschutzbeauftragten und gegen ihre Pflichten gemäß Art. 37 zur Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten und Mitteilung dieser Daten an die Datenschutzbehörde verstoßen zu haben, sowie

II. von 25.05.2018 bis zum 16.11.2018

1. mit der "Einwilligungserklärung zur Datenverarbeitung - Datenschutz-Gesetz" (abrufbar unter ....) betroffene Personen zu einer nicht den Bedingungen für die Einwilligung gemäß Art. 7 DSGVO entsprechenden Einwilligung verpflichtet zu haben, indem

a) die Einwilligungserklärung Tatbestände erfasst, die keiner Einwilligung unterliegen, jedoch den Anschein erwecken, dass hierfür eine Einwilligung zu erteilen ist, und

b) der Einwilligungserklärung nicht mit hinreichender Klarheit zu entnehmen ist, für welche Datenverarbeitungen die Einwilligung die Rechtsgrundlage ist;

2. gegen ihre Informationspflichten gemäß Art. 12 bis 14 DSGVO verstoßen zu haben, indem sie im "Informationsblatt zum Datenschutz" bzw. auf ihrer Website unter ...

a) nicht deutlich unterschied, ob die Informationen nach Art. 13 oder nach Art. 14 DSGVO erteilt werden,

b) die Rechtsgrundlagen für die Verarbeitung unvollständig anführte,

c) in Bezug auf Art. 6 Abs. 1 lit. f DSGVO nicht anführte, worin die berechtigten Interessen, die von der Verantwortlichen verfolgt werden, beruhen sowie

d) in Bezug auf die Einwilligung nicht anführte, dass diese jederzeit widerrufen werden kann, ohne dass dadurch die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

3. gegen die Pflicht zur Durchführung von Datenschutz-Folgeabschätzungen gemäß Art. 35 DSGVO betreffend folgende (...) Verarbeitungstätigkeiten verstoßen hat:

a) Patientenakten (Adress-, Rechnungs- und Meldedaten),

b) Abrechnung (Abrechnung mit der Sozialversicherung),

c) Befundanforderung/Befundübermittlung (Übermittlung und Offenlegung),

d) Untersuchung von Proben (Untersuchung und Versand von Proben [Blut, Sekret, usw.]),

e) Verwaltung von Rezepten (Speicherung, welche Rezepte Patienten benötigen)."

Wegen dieser Verwaltungsübertretungen wurde über die Beschwerdeführerin gemäß "Art. 83 Abs. 4 lit. a, Art. 83 Abs. 5 lit. a und lit. b iVm Art. 83 Abs. 3 DSGVO" eine Geldstrafe von 50.000 Euro verhängt sowie wurde sie zum Ersatz eines Verfahrenskostenbeitrages von 5.000 Euro verhalten. Dabei ging die belangte Behörde von einem Jahresumsatz der Beschwerdeführerin von rund 2 600 000,00 Euro aus.

In der Begründung führte die belangte Behörde aus, es sei der Beschwerdeführerin zwar zugute zu halten, dass sie sich insofern zeitgerecht mit den Vorgaben der DSGVO auseinandergesetzt habe, als sie die Ärztekammer konsultiert und Internetrecherchen gemacht habe. Es sei ihr in diesem Zusammenhang aber bereits Fahrlässigkeit vorzuwerfen, weil sie die von der belangten Behörde zur Verfügung gestellten Leitlinien zur DSGVO nicht beachtet habe. Weiters führte die belangte Behörde - soweit hier wesentlich - nach Wiedergabe der Bestimmung des Art 83 Abs. 1 DSGVO und des § 19 Abs. 1 VStG Folgendes aus:

"Bezogen auf den vorliegenden Sachverhalt wurde bei der Strafzumessung Folgendes erschwerend berücksichtigt:

- Sowohl vom Verstoß gemäß Spruchpunkt I. als auch Spruchpunkt II. war (potentiell) eine große Zahl an Personen betroffen.

- Vom Verstoß gemäß Spruchpunkt II.2. waren besondere Kategorien personenbezogener Daten (Gesundheitsdaten) betroffen.

- Die Beschuldigte hat zu den Verstößen gemäß Spruchpunkt I. und II. fahrlässig gehandelt.

[...] Mildernd wurde bei der Strafzumessung Folgendes berücksichtigt:

- Die Beschuldigte hat sich am Verwaltungsstrafverfahren vor der Datenschutzbehörde beteiligt und zur Wahrheitsfindung beigetragen.

- Die Beschuldigte hat sich einsichtig gezeigt und die im amtswegigen Prüfverfahren festgestellten Mängel beseitigt.

[...] Die konkret verhängte Strafe erscheint daher im Hinblick auf den verwirklichten Tatunwert gemessen am zur Verfügung stehenden Strafrahmen des Art. 83 Abs. 5 DSGVO von bis zu EUR 20.000 bzw. bis zu 4 % des Jahresumsatzes tat- und schuldangemessen und ihre Verhängung erforderlich, um die Beschuldigte und Dritte von der Begehung gleicher oder ähnlicher strafbaren Handlungen abzuhalten."

Gegen dieses Straferkenntnis richtet sich die vorliegende Beschwerde der Beschwerdeführerin, mit welcher die Strafhöhe bekämpft wird. Die Strafzumessung sei aus mehreren Gründen unverhältnismäßig und werde insofern um Reduktion ersucht. Zwar seien die vorgeworfenen Punkte richtig, es handle sich im vorliegenden Fall aber "nur" um Formulare und sei kein Patient zu Schaden gekommen. Die fehlerhaften Einwilligungserklärungen und Informationen seien nur für kurze Zeit online gewesen und nur von einer geringen Anzahl von Empfängern vor Ort gesehen worden. Theoretisch hätten es natürlich 8,7 Millionen österreichische Patienten sehen können. So viele Patienten habe die Website aber "leider" nicht. Datenschutzfolgeabschätzungen seien zwar nicht vorgenommen worden, aber es habe sehr wohl aufrechte Leitlinien für die Organisation und Technik gegeben. Auch müsse das medizinische Fach unterschieden werden, da die Beschwerdeführerin im Bereich der Allergologie inhaltlich wesentlich "uninteressantere" Daten der Patienten verarbeiten würde. Das gleiche Vergehen eines Allgemeinmediziners oder eines Spitals wäre schwerwiegender. Nicht übersehen werden dürfe auch die Beteiligung der Beschwerdeführerin am gesamten Verfahren und damit in Zusammenhang ihr Beitrag zur Wahrheitsfindung, ihre Einsicht, die sofortige Beseitigung der festgestellten Mängel sowie die Tatsache, dass bei der belangten Behörde keine einschlägigen Vorstrafen vorliegen würden. Dies sei zwar schon von der belangten Behörde berücksichtigt worden, jedoch nicht ausreichend. Die vorliegende Strafhöhe erscheine vielmehr als "Statuierung eines Exempels und Abschreckung der Öffentlichkeit für zukünftige Fälle", nicht aber als gerechtfertigte Strafhöhe für den konkreten Fall.

Die belangte Behörde legte dem Bundesverwaltungsgericht den Verwaltungsakt vor und erstattete eine Gegenschrift. Dabei wurde auf die Durchführung einer mündlichen Verhandlung von der belangten Behörde ausdrücklich verzichtet.

In ihrer ergänzenden Stellungnahme vom 4. November 2019 wiederholte die Beschwerdeführerin ihr bisheriges Vorbringen, die verhängte Geldstrafe sei im Hinblick auf die erfolgten Verstöße völlig unverhältnismäßig. Insofern stellte die Beschwerdeführerin den Antrag an das Bundesverwaltungsgericht, die verhängte Strafe zu mildern. Begründend führte sie dazu aus, dass sie sich stets bemüht habe, ihren datenschutzrechtlichen Verpflichtungen nachzukommen. Aufbau und Regelungsdichte der DSGVO würden allerdings dazu führen, dass bestimmte Anforderungen leicht übersehen oder fehlerhaft interpretiert worden seien. Gerade im Anfangsstadium der Anwendbarkeit der DSGVO habe es daher zu Fehlern kommen können, als etwa auch Vergleichswerte in der Praxis durch Entscheidungen der Aufsichtsbehörden erst nach und nach geschaffen hätten werden müssen. Ihre Verpflichtung zur Bestellung eines Datenschutzbeauftragten nach Art 37 DSGVO werde nicht bestritten. Die Beschwerdeführerin sei aber aufgrund von Informationen über die "Hotline der Ärztekammer sowie Recherchen auf den Webauftritten der Wirtschafts- und Ärztekammer" davon ausgegangen, dass eben kein "echter" Datenschutzbeauftragter im Sinne der DSGVO zu bestellen gewesen sei. Gerade bei Aussagen der Ärztekammer, als Standesvertretung der gesamten Berufsgruppe könne erwartet werden, dass diese Angaben korrekt seien. Dabei soll nicht bestritten werden, dass der Beschwerdeführerin dieser Irrtum vorwerfbar und nicht noch eine intensivere Beschäftigung mit den datenschutzrechtlichen Vorgaben zumutbar gewesen wäre, noch, dass sie fahrlässig gehandelt habe. Die belangte Behörde habe diese Fahrlässigkeit im Rahmen ihrer Ermessensausübung bei der Strafzumessung allerdings mit einem fehlerhaften Grad beurteilt. Nach Ansicht der Beschwerdeführerin habe sie nämlich - anders als von der Datenschutzbehörde offensichtlich angenommen - lediglich leicht fahrlässig gehandelt. Die DSGVO spreche in Art. 83 Abs. 2 lit. b lediglich von der gebührenden Berücksichtigung einer Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes. Da die Würdigung im Detail hier also ausschließlich im Ermessen der Aufsichtsbehörde liege, habe sie dies umso verantwortungsbewusster auf den Einzelfall abgestimmt vorzunehmen. Im konkreten Fall wirke es jedoch so, als wäre die schiere Dehnbarkeit des Fahrlässigkeitsbegriffes nicht ausreichend berücksichtigt worden. Auch in Bezug auf die sonst festgestellten Verstöße würden diese an sich und auch der Umstand, dass die Beschwerdeführerin dabei fahrlässig gehandelt habe, nicht bestritten. Allerdings müsse auch hier in Bezug auf die Festsetzung der Strafhöhe auf den geringen Grad der Fahrlässigkeit und den Umstand, dass den Betroffenen kein Schaden entstanden sei, hingewiesen werden. Die von der belangten Behörde verhängte Geldbuße in der Höhe von EUR 50.000,00 stehe in keinem Verhältnis zu den in der Vergangenheit von der Datenschutzbehörde verhängten Strafen. Dazu komme, dass die Sinnhaftigkeit der konkreten Strafhöhe generell in Frage zu stellen sei. Nach dem Absorptionsprinzip des Art 83 Abs. 3 DSGVO sei die maximale Strafhöhe mit der Androhung für den schwersten Verstoß gedeckelt und könne diese Höchststrafe aufgrund des Absorptionsprinzips auch bei den schwerwiegendsten systematischen Datenschutzverletzungen nicht überschritten werden. Dabei sei die belangte Behörde in die Pflicht genommen, durch das ihr zuerteilte Ermessen eine verhältnismäßige sowie gleichmäßige Linie zu verfolgen und nicht willkürlich bei ähnlich schweren Verletzungen stark unterschiedliche Sanktionen zu verhängen. Auch wenn die Beschwerdeführerin mehrere Verstöße gegen die Bestimmungen der DSGVO begangen habe, sei nicht ersichtlich, weshalb die verhängte Geldstrafe derart hoch ausgefallen sei. Eine derart hohe Summe sei weder erforderlich, um die Beschwerdeführerin oder Dritte von der Begehung gleicher oder ähnlicher strafbarer Handlungen abzuhalten. Generalpräventiven Erwägungen könne zweifelsfrei auch mit einer geringeren Geldbuße nachgekommen werden.

II. Beweiswürdigung:

Der oben wiedergegebene Verfahrensgang und Sachverhalt ergibt sich aus dem vorgelegten Verwaltungsakt.

III. Das Bundesverwaltungsgericht hat erwogen:

Rechtliche Beurteilung:

Im vorliegenden Fall wendet sich die Beschwerdeführerin in ihrer an das Bundesverwaltungsgericht gerichteten Beschwerde ausschließlich gegen das Ausmaß der mit dem angefochtenen Straferkenntnis verhängten Geldstrafe ("[...] möchten wir gegen die Strafhöhe [...] Beschwerde einreichen."; "Wir halten die Strafbemessung aus mehreren Gründen für unverhältnismäßig [...]") und finden sich dementsprechend auch in ihrer ergänzenden Stellungnahme vom 4. November 2019 lediglich Ausführungen zur unverhältnismäßigen Strafbemessung im vorliegenden Fall ("Eingangs ist darauf hinzuweisen, dass die verhängte Geldstrafe im Hinblick auf die erfolgten Verstöße völlig unverhältnismäßig ist."; "Die Beschwerdeführerin stellt daher [...] den Antrag [...] die verhängte Strafe zu mildern.").

Anhaltspunkte dafür, dass sich die Beschwerde (auch) gegen die Bestrafung der Beschwerdeführerin an sich richtet, finden sich darin hingegen insgesamt nicht, sondern stellt die Beschwerdeführerin in ihrer ergänzenden Stellungnahme im Gegenteil sogar mehrmals ausdrücklich klar, dass sie die festgestellten Verstöße und ihr Verschulden eben nicht in Zweifel ziehen würde ("Im Ergebnis sollen weder die Verstöße bestritten werden, welche die Datenschutzbehörde festgestellt hat, noch die Tatsache, dass die Beschwerdeführerin fahrlässig gehandelt hat.").

Gemäß § 27 Verwaltungsgerichtsverfahrensgesetz BGBl. I 2013/33 idF BGBl. I 2018/57 (im Folgenden: "VwGVG") hat das Verwaltungsgericht, soweit nicht Rechtswidrigkeit wegen Unzuständigkeit der Behörde vorliegt, den angefochtenen Bescheid auf Grund der Beschwerde oder auf Grund der Erklärung über den Umfang der Anfechtung zu überprüfen.

Gegenstand des vorliegenden Verfahrens kann und darf angesichts der vorliegenden Sach- und Rechtslage daher allein der Ausspruch der Strafe, nicht jedoch eine darüberhinausgehende Überprüfung des Schuldspruchs und damit der Bestrafung an sich sein. Hinsichtlich der Frage der Strafbarkeit ist insofern Teilrechtskraft eingetreten (siehe dazu ausdrücklich VwGH, 27.10.2014, Ra 2014/02/0053; VwGH 24.07.2019, Ra 2018/02/0034 u.v.m.).

Festzuhalten ist, dass der Beschwerdeführerin mit dem angefochtenen Straferkenntnis mehrere Verstöße gegen die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1 (in der Folge kurz "DSGVO") angelastet wurden und zwar wurde ihr in Zusammenhang mit der Verarbeitung personenbezogener Daten zum Zweck der Diagnostik und der Therapie von allergischen Erkrankungen vorgeworfen, sie habe wegen der Nichtbenennung eines Datenschutzbeauftragten gegen Art. 37 DSGVO (Spruchpunkt I.), wegen der Verwendung von den Grundsätzen der DSGVO nicht genügenden Einwilligungserklärungen gegen Art. 7 DSGVO (Spruchpunkt II. 1.), wegen einer den Grundsätzen der DSGVO nicht genügenden Information der Betroffenen auf ihrer Website gegen Art 12 DSGVO (Spruchpunkt II. 2.) sowie wegen fehlender Datenschutz-Folgeabschätzungen gegen Art. 35 DSGVO (Spruchpunkt II. 3.) verstoßen.

Wegen dieser (unbestrittenen) Verstöße wurde gegen die Beschwerdeführerin eine Gesamtstrafe von 50.000,00 Euro und damit von knapp über 2 % ihres festgestellten Jahresumsatzes verhängt.

Die für die Strafbemessung maßgebliche Bestimmung des Art. 83 DSGVO lautet auszugsweise wie folgt:

"Art 83 (1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Art 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;

f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;

i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;

[....]

k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

(3) Verstößt ein Verantwortlicher oder Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.

(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweiten erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist:

a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;

[...]

(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist:

a) die Grundsätze der Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;

b) die Rechte der betroffenen Personen gemäß den Artikeln 12 bis 22;

[...]"

Abs. 3 dieser Bestimmung stellt klar, dass bei Zusammentreffen mehrerer auf gleichen oder miteinander verbundenen Verarbeitungsvorgängen beruhender Verstöße gegen Bestimmungen der DSGVO diese zu einer den Betrag für den schwerwiegendsten Verstoß nicht übersteigenden Gesamtstrafe zusammenzufassen sind (siehe dazu Suda in Gantschacher/Jelinek/Schmidl/Spanberger, Datenschutzgrundverordnung, Art 83 Rz 15; Nemitz in Ehmann/Selmayr, DS-GVO², Art 83 Rz 30 ff; Boehm in Simitis/Hornung/Spiecker, Datenschutzrecht, Art 83 Rz 36; Illibauer in Knyrim, DatKomm Art 83 DSGVO Rz 87 ff [Stand 1.10.2018]).

Damit wird - vergleichbar mit dem im österreichischen Strafrecht geltenden (auch oft als Absorptionsprinzip bezeichnenden) Kombinationsprinzip - eine Privilegierung desjenigen normiert, der mehrere auf gleichen oder miteinander verbundenen Verarbeitungsvorgängen beruhender Verstöße begeht (vgl. dazu Boehm in Simitis/Hornung/Spiecker, Datenschutzrecht, Art 83 Rz 36 sowie Wegscheider in ÖJZ 1980, 617, Die echte Konkurrenz im Strafrecht).

Sonstige (auf unterschiedlichen oder nicht miteinander verbundenen Verarbeitungsvorgängen beruhende) Verstöße werden von dieser Regelung hingegen nicht erfasst, weshalb die Entscheidung über die Verhängung einer Geldbuße und über deren Betrag - wie aus Art. 83 Abs. 2 DSGVO hervorgeht - auch bei Zusammentreffen mehrerer solcher Verstöße gesondert zu beurteilen ist (vgl. dazu das im österreichischen Verwaltungsstrafrecht geltende Kumulationsprinzip nach § 22 Abs. 2 Verwaltungsstrafgesetz 1991 BGBl. 1991/52 idF BGBl. I 2018/58 [im Folgenden "VStG"]; siehe dazu auch Feiler/Forgo, EU-DSGVO, Art 83 Rz 11; Illibauer in Knyrim, DatKomm Art 83 DSGVO Rz 87 ff [Stand 1.10.2018]).

Die DSGVO enthält keine Ausführungen dazu, was unter gleichen oder miteinander verbundenen Verarbeitungsvorgängen zu verstehen ist. Auch den Erwägungsgründen kann dazu nichts Näheres entnommen werden.

Nach dem allgemeinen Sprachgebrauch sind unter gleiche Verarbeitungsvorgänge aber zweifelsohne vor allem auch jene Fälle zu subsumieren, in denen durch ein und dieselbe Tat ("Verarbeitung") mehrere Straftatbestände erfüllt sind. Besonders deutlich wird dieses Begriffsverständnis durch die englische Fassung des Art. 83 Abs. 3 DSGVO, welche gleiche Verarbeitungsvorgänge als "same processing operation" bezeichnet (siehe dazu auch Boehm in Simitis/Hornung/Spiecker, Datenschutzrecht, Art 83 Rz 36; Illibauer in Knyrim, DatKomm Art 83 DSGVO Rz 87 ff [Stand 1.10.2018]).

Im vorliegenden Fall wurden - wie bereits oben ausgeführt - der Beschwerdeführerin mehrere Verstöße gegen Bestimmungen der DSGVO vorgeworfen. Konkret wurde ihr angelastet, sie sei ihren in der DSGVO auferlegten Pflichten in Zusammenhang mit der Verarbeitung personenbezogener Daten zum Zweck der Diagnostik und der Therapie von allergischen Erkrankungen nicht (ordnungsgemäß) nachgekommen.

Damit wurden der Beschwerdeführerin wegen ein und demselben und damit im Sinne der obigen Erwägungen wegen dem "gleichen" Verarbeitungsvorgang mehrere Verstöße nach der DSGVO zum Vorwurf gemacht.

Die belangte Behörde ist daher im gegebenen Fall mit Recht nach Art. 83 Abs. 3 DSGVO und insofern in weiterer Folge vom in Art. 83 Abs. 5 DSGVO normierten höheren Strafrahmen von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres ausgegangen.

Dagegen wendet sich die Beschwerdeführerin aber auch gar nicht, sondern vertritt diese vielmehr die Ansicht, die von der belangten Behörde in den Grenzen des Art. 83 Abs. 5 DSGVO erfolgte Strafbemessung sei unverhältnismäßig erfolgt.

Dazu ist vorauszuschicken, dass der in Art. 83 Abs. 5 - wie im Übrigen auch in Abs. 4 und 6 - DSGVO normierte Strafrahmen der Aufsichtsbehörde einen entsprechenden Ermessensspielraum einräumt, innerhalb welchem nach den in Abs. 2 demonstrativ definierten Kriterien die konkrete Strafe festzusetzen ist (dazu auch vergleichbar die im Verwaltungsstrafrecht geltende Bestimmung des § 19 VStG).

Im vorliegenden Fall hat es die belangte Behörde zu Recht als erschwerend angesehen, dass die der Beschwerdeführerin angelasteten Verstöße (auch) personenbezogene Gesundheitsdaten zum Zweck der Diagnostik und Behandlung von Allergien und damit nach der DSGVO besonders schützenswerte Daten betroffen haben (siehe dazu Art. 9 DSGVO, welcher für die Verarbeitung besonderer Kategorien personenbezogener Daten wie u.a. Gesundheitsdaten Einschränkungen bzw. spezielle Anforderungen vorsieht; sowie Erwägungsgrund 51, wonach personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, einen besonderen Schutz verdienen, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können.).

Nach der Begriffsbestimmung des Art. 4 Z. 15 DSGVO sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Für die Qualifikation eines personenbezogenen Datums als ein - dem besonderen Schutzregime der DSGVO unterstehendes - Gesundheitsdatum genügt daher schon allein der Umstand, dass aus diesem Datum - wie im vorliegenden Fall unbestritten - eine Information über den Gesundheitszustand einer natürlichen Person gezogen werden könnte. Ob dieser Information ein hoher oder geringer Wert zugeschrieben werden kann, ist hingegen unbeachtlich, weshalb die Ausführungen der Beschwerdeführerin, ihre Gesundheitsdaten seien von geringerem Interesse als Gesundheitsdaten eines Allgemeinmediziners ins Leere gehen.

Ebenso wenig kann der belangten Behörde entgegengetreten werden, wenn sie die von den (Pflicht)Verstößen potentiell betroffene große Anzahl von Personen bei der Strafbemessung als erschwerend berücksichtigt hat. Bei den angelasteten Verstößen handelt es sich, da zu ihrer Strafbarkeit weder der Eintritt eines Schadens noch einer Gefahr erforderlich ist, um sogenannte "Ungehorsamsdelikte" (vgl. Lewisch in Lewisch/Fister/Weilguni, VStG2 § 5 Rz 5 ]Stand 1.5.2017, rdb.at]; Wessely in Raschauer/Wessely [Hrsg], VStG² § 1 VStG Rz 29). Soweit die Beschwerdeführerin insofern die tatsächliche Betroffenheit sämtlicher von den Verstößen in Betracht zu ziehenden Personen bzw. den Eintritt eines Schadens in Abrede stellt, genügt es darauf hinzuweisen, dass es darauf bei Ungehorsamsdelikten nicht ankommt und insofern ein solcher Milderungsgrund auch nicht zum Tragen kommt (VwGH, 20.11.2013, 2012/10/0237; VwGH 24.3.2004, 2000/09/0073; VwGH19.2.2014, 2013/10/0206 u.v.m.).

Auch die von der belangten Behörde im Zuge der Strafbemessung - wenn auch begründungslos - erfolgte Bedachtnahme auf Aspekte der Generalprävention stoßt im vorliegenden Fall auf keine Bedenken.

Wie den Erläuterungen zur DSGVO zu entnehmen ist, soll durch die DSGVO ein unionswirksamer Schutz personenbezogener Daten sichergestellt werden und bedarf es dafür der Stärkung und präzisen Festlegung der Rechte der betroffenen Personen sowie einer Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten (siehe Erwägungsgrund 11). Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollen bei Verstößen gegen diese Verordnung auch Geldbußen verhängt werden (Erwägungsgrund 148) und sollen diese Geldbußen u.a. den verwaltungsrechtlichen Sanktionen mehr Wirkung verleihen (Erwägungsgrund 150).

Vor diesem Hintergrund kann der belangten Behörde daher nicht entgegengetreten werden, wenn sie die vorliegende Geldbuße auch als Mittel zur Bekräftigung des Geltungsanspruches der DSGVO und zwar sowohl unter dem Gesichtspunkt der Aufrechterhaltung des Vertrauens der Bevölkerung auf die Durchsetzung des Datenschutzrechtes, als auch zur Erhaltung und Stärkung der Normentreue in Ansehung potentieller "Täter" in ähnlicher Lage gewertet und dementsprechend als erschwerend berücksichtigt hat (siehe dazu Wessely in Raschauer/Wessely [Hrsg], VStG² § 19 Rz 19; Weilguni in Lewisch/Fister/Weilguni, VStG2 § 19 Rz 18 [Stand 1.5.2017, rdb.at]; VwGH, 15.5.1990, 89/02/0093; VwGH 24.11.2008, 2006/05/0113, wonach trotz fehlender Erwähnung im Gesetzestext bei der Strafbemessung auch auf Überlegungen der General- und Spezialprävention Bedacht genommen werden kann; siehe zur Generalprävention auch VwGH, 10.12.2014, Ro 2014/09/0056 m.w.H.).

Sofern die belangte Behörde jedoch bei der Strafbemessung auf Aspekte der Spezialprävention und damit im Sinne des Art. 83 Abs. 1 DSGVO auf die abschreckende Wirkung im Einzelfall Bedacht genommen hat, ist anzumerken, dass solche Aspekte im vorliegenden Fall nicht zu ersehen und im Übrigen von der belangten Behörde auch in keiner Weise dargelegt worden sind. Wie bereits oben ausgeführt und von der belangten Behörde zudem als mildernd berücksichtigt wurde, hat die Beschwerdeführerin die von der belangten Behörde im Zuge des in weiterer Folge - dem Strafverfahren vorangehenden - amtswegigen Ermittlungsverfahrens festgestellten (und dem Straferkenntnis zu Grunde gelegten) Mängel unmittelbar beseitigt, weshalb eine Gefahr der Tatwiederholung bzw. -fortsetzung im vorliegenden Fall nicht erkannt werden kann (siehe dazu wiederum Wessely in Raschauer/Wessely [Hrsg], VStG² § 19 Rz 19; Weilguni in Lewisch/Fister/Weilguni, VStG2 § 19 Rz 18 [Stand 1.5.2017, rdb.at]).

Ebenso kann der belangten Behörde nicht gefolgt werden, wenn sie der Beschwerdeführerin ihr (bloß) fahrlässiges Verhalten im Zuge der Strafbemessung zum Vorwurf macht. Dabei wird nicht verkannt, dass nach Art. 83 Abs. 2 lit. b DSGVO die jeweilige Schuldform sehr wohl Eingang in die Strafbemessung finden kann. Inwiefern im vorliegenden Fall jedoch die Begehungsform der Fahrlässigkeit als erschwerend zu betrachten ist, ist nicht zu ergründen und finden sich dazu von Seiten der belangten Behörde im angefochtenen Bescheid auch keine Erklärungen (vgl. dazu unter Verweis auf die höchstgerichtliche Rechtsprechung Wessely in Raschauer/Wessely [Hrsg], VStG² § 19 VStG Rz 10 sowie Lewisch in Lewisch/Fister/Weilguni, VStG2 § 19 Rz 13 [Stand 1.5.2017, rdb.at], wonach die vorsätzliche Begehung von Delikten, die Fahrlässigkeit genügen lassen, umgekehrt als erschwerend angenommen werden kann).

Dass der Beschwerdeführerin im vorliegenden Fall auffallend sorgloses und damit grob fahrlässiges Verhalten als erschwerend anzulasten sei, wurde von der belangten Behörde jedenfalls nicht ausgeführt und wäre dies anhand des festgestellten Sachverhaltes auch nicht zu rechtfertigen (siehe dazu Hengstschläger/Leeb, Verwaltungsverfahrensrecht5 Rz 690 sowie Wessely in Raschauer/Wessely [Hrsg], VStG² § 5 Rz 16, wonach der Grad der Fahrlässigkeit bei der Strafzumessung eine Rolle spielen kann; siehe dazu auch VwGH 11.7.1990, 90/03/0166).

Wie den eigenen Ausführungen der belangten Behörde im angefochtenen Bescheid nämlich zu entnehmen ist, hat die Beschwerdeführerin angesichts ihrer (in der Beschwerde genannten) Rechtsunsicherheit in Bezug auf die sie nach der DSGVO treffenden Pflichten vorab Auskünfte bei der Hotline der Ärztekammer sowie Recherchen auf den Websites der Ärzte- und auch Wirtschaftskammer und damit zumindest Erkundigungen dazu im Vorfeld eingeholt. Auch hat sie die dem Straferkenntnis zu Grunde gelegten Verstöße bereits im Vorfeld beseitigt. Ein besonders schwerer Grad der Fahrlässigkeit kann angesichts dieser Sachlage im vorliegenden Fall daher nicht angenommen werden.

Umgekehrt sind die oben angeführten Erkundigungen aber auch nicht geeignet, einen - von der Beschwerdeführerin im Übrigen lediglich angedeuteten - Milderungsgrund nach dem Vorbild des § 34 Z. 12 Strafgesetzbuch BGBl 1974/60 idF BGBl I 2019/111 (im Folgenden: "StGB") (Begehung der Tat in einem der Schuld nicht ausschließenden Rechtsirrtum) zu begründen, weil weder die Ärzte-, noch die Wirtschaftskammer zur Vollziehung des Datenschutzgesetzes zuständig und damit als geeignete Stellen anzusehen sind (siehe dazu VwGH 27.4.1994, 94/09/0102; VwGH 24.6.2014, 2013/17/0507, wonach im Falle fehlender Nachforschungen [bei der zuständigen Stelle] der Milderungsgrund des § 34 Z. 12 StGB nicht zum Tragen kommt; siehe zur zuständigen Stelle [im Falle des Ausländerbeschäftigungsgesetzes] näher VwGH 12.11.2013, 2012/09/0133). Dass die Beschwerdeführerin Nachforschungen bei der hier zuständigen belangten Behörde oder ansonsten von geeigneten Stellen eingeholt hätte, wurde von der Beschwerdeführerin im gesamten Verfahren und im Übrigen auch im Beschwerdeverfahren jedenfalls nicht behauptet.

Es bestehen daher von Seiten des erkennenden Senats keine Gründe, einen zusätzlichen Milderungsgrund in dieser Hinsicht anzunehmen. Die von der belangten Behörde ansonsten herangezogenen Milderungsgründe stehen außer Zweifel und wurden diese von der belangten Behörde auch berücksichtigt.

Daraus folgt, dass die belangte Behörde im vorliegenden Fall Aspekte der Spezialprävention sowie das fahrlässige Verhalten der Beschwerdeführerin zu Unrecht als erschwerend herangezogen hat. Umgekehrt hat sie es aber auch verabsäumt, die (oben dargestellte) Begehung mehrerer strafbarer Handlungen als erschwerendes Kriterium bei der Strafbemessung zu berücksichtigen (vgl. dazu Lewisch in Lewisch/Fister/Weilguni, VStG2 § 19 Rz 11 [Stand 1.5.2017, rdb.at]).

Dabei ist auf die (im Verfahren vor der Datenschutzbehörde erfolgten und auch von der belangten Behörde als mildernd gewerteten) umfassenden Bemühungen der bislang unbescholtenen Beschwerdeführerin, ihren datenschutzrechtlichen Vorgaben zu entsprechen und nachzukommen, besonders und vor allem verstärkt Bedacht zu nehmen. Die Beschwerdeführerin hat - wie bereits mehrfach ausgeführt - die im Zuge des amtswegigen Verfahrens festgestellten und dem Straferkenntnis zugrunde gelegten Mängel unmittelbar behoben und sich auch ansonsten im Verfahren vor der Datenschutzbehörde kooperativ und zur Wahrheitsfindung bereit gezeigt.

Umgekehrt wird aber auch nicht übersehen, dass sich die Beschwerdeführerin im Vorfeld (zwar schon, aber) lediglich unzureichend mit ihren datenschutzrechtlichen Verpflichtungen beschäftigt hat, was angesichts der von ihr (auch) verarbeiteten Gesundheitsdaten und der davon potentiell betroffenen großen Anzahl von Personen als schwer zu werten ist.

Ein Absehen von der Strafe kommt daher im vorliegenden Fall nicht in Betracht und wäre dies mit den oben aufgezeigten generalpräventiven Überlegungen auch nicht in Einklang zu bringen (siehe dazu Erwägungsgrund 148, wonach u.a. im Falle eines geringfügigen Verstoßes anstelle einer Geldbuße eine Verwarnung erteilt werden kann.).

Unter Berücksichtigung aller dieser für die Strafbemessung im vorliegenden Fall relevanten Umstände gelangt das Bundesverwaltungsgericht damit abschließend zum Ergebnis, dass eine Geldstrafe von knapp unter 1 % des festgestellten Jahresumsatzes der Beschwerdeführerin und damit von ? 25.000 EUR schuld- und tatangemessen und dementsprechend die von der belangten Behörde verhängte Strafe herabzusetzen ist.

Sofern die Beschwerdeführerin in diesem Zusammenhang auf diverse sonstige von der belangten Behörde geführten Strafverfahren und dort verhängte Geldbußen verweist, genügt der Hinweis, dass darauf bei der Strafbemessung nicht Bedacht zu nehmen ist. Entscheidend ist vielmehr allein, ob die Behörde bei der Strafzumessung von dem ihr eingeräumten Ermessen iSd Gesetzes Gebrauch macht, nicht aber, ob die verhängte Strafe in ihrer Höhe jener entspricht, die in einem vergleichbaren Fall tatsächlich verhängt wurde (vgl. VwGH 19.2.2014, 2013/10/0206).

Entsprechend der neu festgesetzten Strafhöhe war der mit 10 % der verhängten Strafe bemessene Kostenbeitrag zum Verfahren vor der Verwaltungsbehörde anzupassen.

Eine Vorschreibung eines Verfahrenskostenbeitrags für das verwaltungsgerichtliche Verfahren hatte gemäß § 52 Abs. 8 VwGVG zu unterbleiben.

Diese Entscheidung konnte gemäß § 44 Abs. 3 Z. 2 VwGVG ohne Durchführung einer mündlichen Verhandlung getroffen werden, da sich die Beschwerde - wie oben ausgeführt - nur gegen die Höhe der Strafe richtet und die Durchführung einer mündlichen Verhandlung im Übrigen auch von keiner Partei des Verfahrens beantragt wurde.

zu B) Unzulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die gegenständliche Rechtsprechung steht im Einklang mit der Rechtsprechung der Höchstgerichte. Aufgrund der eindeutigen Rechtslage handelt es sich nicht um eine Rechtsfrage grundsätzlicher Bedeutung. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor.

Es war daher spruchgemäß durch Senat zu entscheiden.

Zahlungsinformation:

Sie haben den Gesamtbetrag von 27.500 EUR (Strafe, Kosten des verwaltungsbehördlichen Verfahrens und des verwaltungsgerichtlichen Beschwerdeverfahrens) binnen 2 Wochen auf das Konto des Bundesverwaltungsgerichtes (BVwG) mit dem IBAN AT840100000005010167 (BIC BUNDATWW) unter Angabe der Verfahrenszahl spesenfrei für den Empfänger einzuzahlen oder unter Mitnahme dieses Erkenntnisses beim Bundesverwaltungsgericht einzuzahlen. Bei Verzug muss damit gerechnet werden, dass der Betrag nach erfolgter Mahnung zwangsweise eingetrieben.