Entscheidungsdatum
03.06.2024Norm
B-VG Art133 Abs4Spruch
W292 2282284-1/10E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch den Richter Mag. Herwig ZACZEK als Vorsitzenden und die fachkundigen Laienrichter Mag.a Huberta MAITZ-STRAßNIG und Mag. Matthias SCHACHNER als Beisitzer über die Beschwerde von XXXX , vertreten durch Reif und Partner Rechtsanwälte OG, gegen das Straferkenntnis der Datenschutzbehörde vom 02.11.2023, Zl. D550.853 / 2023-0.749.445, nach Durchführung einer öffentlichen mündlichen Verhandlung am 31.01.2024, zu Recht erkannt:Das Bundesverwaltungsgericht hat durch den Richter Mag. Herwig ZACZEK als Vorsitzenden und die fachkundigen Laienrichter Mag.a Huberta MAITZ-STRAßNIG und Mag. Matthias SCHACHNER als Beisitzer über die Beschwerde von römisch XXXX , vertreten durch Reif und Partner Rechtsanwälte OG, gegen das Straferkenntnis der Datenschutzbehörde vom 02.11.2023, Zl. D550.853 / 2023-0.749.445, nach Durchführung einer öffentlichen mündlichen Verhandlung am 31.01.2024, zu Recht erkannt:
A)
I. Der Beschwerde hinsichtlich des Ausspruches über die verhängte Strafe wird teilweise Folge gegeben und die zu den Spruchpunkten I. bis III. des bekämpften Straferkenntnisses verhängte Geldstrafe auf EUR 4.000,00 (Ersatzfreiheitsstrafe im Fall der Uneinbringlichkeit: 224 Stunden) herabgesetzt. Korrespondierend dazu reduziert sich der Beitrag zu den Kosten des Strafverfahrens vor der belangten Behörde gemäß § 64 VStG auf (gesamt) EUR 400,00 und der zu zahlende Gesamtbetrag, auf EUR 4.400,00.römisch eins. Der Beschwerde hinsichtlich des Ausspruches über die verhängte Strafe wird teilweise Folge gegeben und die zu den Spruchpunkten römisch eins. bis römisch III. des bekämpften Straferkenntnisses verhängte Geldstrafe auf EUR 4.000,00 (Ersatzfreiheitsstrafe im Fall der Uneinbringlichkeit: 224 Stunden) herabgesetzt. Korrespondierend dazu reduziert sich der Beitrag zu den Kosten des Strafverfahrens vor der belangten Behörde gemäß Paragraph 64, VStG auf (gesamt) EUR 400,00 und der zu zahlende Gesamtbetrag, auf EUR 4.400,00.
II. Gemäß § 52 Abs. 8 VwGVG hat die Beschwerdeführerin keine Kosten des verwaltungsgerichtlichen Verfahrens zu tragen.römisch II. Gemäß Paragraph 52, Absatz 8, VwGVG hat die Beschwerdeführerin keine Kosten des verwaltungsgerichtlichen Verfahrens zu tragen.
III. Im Übrigen wird die Beschwerde als unbegründet abgewiesen.römisch III. Im Übrigen wird die Beschwerde als unbegründet abgewiesen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:römisch eins. Verfahrensgang:
1. Am 05.04.2023 teilte eine betroffene Person, XXXX der Datenschutzbehörde mit, sie habe von der Praxis der Beschwerdeführerin, einer niedergelassenen Fachärztin für Psychiatrie und psychotherapeutische Medizin, eine Terminerinnerung für den 06.02.2023 im Rahmen einer Gruppentextnachricht erhalten, welche an insgesamt 28 Patienten versendet worden sei. Dadurch sei auch ihre Telefonnummer gegenüber den anderen Teilnehmern der Gruppentextnachricht offengelegt worden. 1. Am 05.04.2023 teilte eine betroffene Person, römisch XXXX der Datenschutzbehörde mit, sie habe von der Praxis der Beschwerdeführerin, einer niedergelassenen Fachärztin für Psychiatrie und psychotherapeutische Medizin, eine Terminerinnerung für den 06.02.2023 im Rahmen einer Gruppentextnachricht erhalten, welche an insgesamt 28 Patienten versendet worden sei. Dadurch sei auch ihre Telefonnummer gegenüber den anderen Teilnehmern der Gruppentextnachricht offengelegt worden.
2. Das von der Datenschutzbehörde (in der Folge auch „belangte Behörde“) zunächst eingeleitete amtswegige Prüfverfahren zur GZ D213.2083 stellte diese, da für in der Vergangenheit liegende, bereits abgeschlossene, Rechtsverletzungen keine Feststellungskompetenz bestehe, am 18.07.2023 ein und leitete ein Verwaltungsstrafverfahren ein.
3. Mit Schreiben vom 21.09.2023 forderte die belangte Behörde die Beschwerdeführerin zur Rechtfertigung als Beschuldigte im Verwaltungsstrafverfahren auf.
4. Am 17.10.2023 langte hierzu ein Schriftsatz zur Rechtfertigung der anwaltlich vertretenen Beschwerdeführerin bei der belangten Behörde ein, unter einem verwies die Beschwerdeführerin darin auf ihre bereits (im Administrativverfahren) vor der Datenschutzbehörde erstattete Stellungnahme vom 22.06.2023.
5. Mit dem beim Bundesverwaltungsgericht gegenständlich angefochtenen Straferkenntnis vom 02.11.2023 verhängte die belangte Behörde über die Beschwerdeführerin eine Geldstrafe von EUR 6.000,- (im Falle der Uneinbringlichkeit eine Ersatzfreiheitsstrafe von 336 Stunden) gemäß Art. 83 Abs. 5 lit. a DSGVO iVm § 16 VStG und verpflichtete die Beschwerdeführerin zur Leistung eines Beitrages zu den Kosten des Strafverfahrens (§ 64 VStG) im Ausmaß von 10 Prozent der verhängten Geldstrafe, somit in der Höhe von EUR 600,00. 5. Mit dem beim Bundesverwaltungsgericht gegenständlich angefochtenen Straferkenntnis vom 02.11.2023 verhängte die belangte Behörde über die Beschwerdeführerin eine Geldstrafe von EUR 6.000,- (im Falle der Uneinbringlichkeit eine Ersatzfreiheitsstrafe von 336 Stunden) gemäß Artikel 83, Absatz 5, Litera a, DSGVO in Verbindung mit Paragraph 16, VStG und verpflichtete die Beschwerdeführerin zur Leistung eines Beitrages zu den Kosten des Strafverfahrens (Paragraph 64, VStG) im Ausmaß von 10 Prozent der verhängten Geldstrafe, somit in der Höhe von EUR 600,00.
Der Beschwerdeführerin wurde darin zur Last gelegt, sie habe als datenschutzrechtlich Verantwortliche, am 05.04.2023 (im Folgenden „Tatzeit“), von einem in ihrem Besitz befindlichen Endgerät aus (Praxistelefon – Marke: iPhone), in XXXX durch die Nutzung eines Gruppennachrichtendienstes („iMessage“), unrechtmäßig personenbezogene Daten, darunter besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO (Gesundheitsdaten), im Zuge einer Gruppennachricht zum Zwecke der Terminerinnerung verarbeitet, indem sie die Telefonnummern von 28 Patienten gegenüber unbefugten Dritten im Rahmen der erstellten Gruppe offengelegt hat. Der Beschwerdeführerin wurde darin zur Last gelegt, sie habe als datenschutzrechtlich Verantwortliche, am 05.04.2023 (im Folgenden „Tatzeit“), von einem in ihrem Besitz befindlichen Endgerät aus (Praxistelefon – Marke: iPhone), in römisch XXXX durch die Nutzung eines Gruppennachrichtendienstes („iMessage“), unrechtmäßig personenbezogene Daten, darunter besondere Kategorien personenbezogener Daten gemäß Artikel 9, Absatz eins, DSGVO (Gesundheitsdaten), im Zuge einer Gruppennachricht zum Zwecke der Terminerinnerung verarbeitet, indem sie die Telefonnummern von 28 Patienten gegenüber unbefugten Dritten im Rahmen der erstellten Gruppe offengelegt hat.
Dadurch sei auch die Information offengelegt worden, dass sich diese betroffenen Personen bei der Beschwerdeführerin in Behandlung befänden und mit der Beschwerdeführerin einen Termin hierfür vereinbart haben. Die unrechtmäßige Verarbeitung sei unter anderem auch auf einen Verstoß gegen die Pflichten der Beschwerdeführerin als Verantwortliche nach Art. 25 Abs. 1 und 2 DSGVO zurückzuführen, weil sie zuvor keine geeigneten technischen und organisatorischen Maßnahmen getroffen habe, die sichergestellt hätten, dass durch die Voreinstellung des Endgerätes nur eine für den jeweiligen Verarbeitungszweck erforderliche Verarbeitung erfolge, um insbesondere die Datenschutzgrundsätze der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Integrität der Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) wirksam umzusetzen (Spruchpunkt I.). Dadurch sei auch die Information offengelegt worden, dass sich diese betroffenen Personen bei der Beschwerdeführerin in Behandlung befänden und mit der Beschwerdeführerin einen Termin hierfür vereinbart haben. Die unrechtmäßige Verarbeitung sei unter anderem auch auf einen Verstoß gegen die Pflichten der Beschwerdeführerin als Verantwortliche nach Artikel 25, Absatz eins und 2 DSGVO zurückzuführen, weil sie zuvor keine geeigneten technischen und organisatorischen Maßnahmen getroffen habe, die sichergestellt hätten, dass durch die Voreinstellung des Endgerätes nur eine für den jeweiligen Verarbeitungszweck erforderliche Verarbeitung erfolge, um insbesondere die Datenschutzgrundsätze der Datenminimierung (Artikel 5, Absatz eins, Litera c, DSGVO) und der Integrität der Vertraulichkeit (Artikel 5, Absatz eins, Litera f, DSGVO) wirksam umzusetzen (Spruchpunkt römisch eins.).
Darüber hinaus habe die Beschwerdeführerin in ihrer Rolle als Verantwortliche seit XXXX bis zumindest 22.06.2023 (Tatzeitraum), innerhalb des Bundesgebietes Österreich, gegen ihre Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten im Sinne des Art. 30 Abs. 1 DSGVO verstoßen, indem sie kein Verzeichnis aller Verarbeitungstätigkeiten, die im Tatzeitraum ihrer Zuständigkeit unterlagen, in der nach Art. 30 Abs. 3 DSGVO genannten Form geführt habe und daher auf Anfrage der Datenschutzbehörde nicht im Sinne des Art. 30 Abs. 4 DSGVO zur Verfügung stellen habe können (Spruchpunkt II.).Darüber hinaus habe die Beschwerdeführerin in ihrer Rolle als Verantwortliche seit römisch XXXX bis zumindest 22.06.2023 (Tatzeitraum), innerhalb des Bundesgebietes Österreich, gegen ihre Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten im Sinne des Artikel 30, Absatz eins, DSGVO verstoßen, indem sie kein Verzeichnis aller Verarbeitungstätigkeiten, die im Tatzeitraum ihrer Zuständigkeit unterlagen, in der nach Artikel 30, Absatz 3, DSGVO genannten Form geführt habe und daher auf Anfrage der Datenschutzbehörde nicht im Sinne des Artikel 30, Absatz 4, DSGVO zur Verfügung stellen habe können (Spruchpunkt römisch II.).
Schließlich habe die Beschwerdeführerin in ihrer Rolle als Verantwortliche im Zeitraum vom 05.04.2023 bis 22.06.2023 innerhalb des Bundesgebietes Österreich gegen ihre Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Datenschutzbehörde gemäß Art. 33 Abs. 1 DSGVO verstoßen, indem sie die oben (unter Punkt I.) dargestellte Verletzung des Schutzes der personenbezogenen Daten der Betroffenen durch die unbefugte Offenlegung ihrer (Gesundheits- )Daten gegenüber Dritten nicht unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung ihr bekannt wurde, der Datenschutzbehörde gemeldet hat (Spruchpunkt III.).Schließlich habe die Beschwerdeführerin in ihrer Rolle als Verantwortliche im Zeitraum vom 05.04.2023 bis 22.06.2023 innerhalb des Bundesgebietes Österreich gegen ihre Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Datenschutzbehörde gemäß Artikel 33, Absatz eins, DSGVO verstoßen, indem sie die oben (unter Punkt römisch eins.) dargestellte Verletzung des Schutzes der personenbezogenen Daten der Betroffenen durch die unbefugte Offenlegung ihrer (Gesundheits- )Daten gegenüber Dritten nicht unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung ihr bekannt wurde, der Datenschutzbehörde gemeldet hat (Spruchpunkt römisch III.).
Der Tatvorwurf in Bezug auf den Verstoß gegen die Verpflichtung zur Benennung eines Datenschutzbeauftragten nach Art. 37 Abs. 1 lit. c DSGVO in der Rolle als Verantwortliche nach Art. 4 Z 7 DSGVO (vorgeworfene Verwaltungsübertretung nach Art. 37 Abs. 1 lit. c iVm Art. 83 Abs. 1 und 4 lit. a DSGVO) wurde gemäß § 45 Abs. 1 Z 2 (erster Fall) VStG eingestellt (Spruchpunkt IV.).Der Tatvorwurf in Bezug auf den Verstoß gegen die Verpflichtung zur Benennung eines Datenschutzbeauftragten nach Artikel 37, Absatz eins, Litera c, DSGVO in der Rolle als Verantwortliche nach Artikel 4, Ziffer 7, DSGVO (vorgeworfene Verwaltungsübertretung nach Artikel 37, Absatz eins, Litera c, in Verbindung mit Artikel 83, Absatz eins und 4 Litera a, DSGVO) wurde gemäß Paragraph 45, Absatz eins, Ziffer 2, (erster Fall) VStG eingestellt (Spruchpunkt römisch IV.).
Begründend hielt die belangte Behörde zu Spruchpunkt I. im Wesentlichen fest, es liege eine unrechtmäßige Verarbeitung sensibler Daten von mehreren Betroffenen sowie ein Verstoß gegen mehrere Datenschutzgrundsätze vor, die unter anderem auf die Missachtung der Vorgaben nach Art. 25 Abs. 1 und 2 DSGVO bei der Einrichtung und während des Betriebes des Benachrichtigungssystems zurückzuführen seien. Die Beschwerdeführerin habe dadurch die objektive Tatseite der genannten Tatbestände erfüllt. Begründend hielt die belangte Behörde zu Spruchpunkt römisch eins. im Wesentlichen fest, es liege eine unrechtmäßige Verarbeitung sensibler Daten von mehreren Betroffenen sowie ein Verstoß gegen mehrere Datenschutzgrundsätze vor, die unter anderem auf die Missachtung der Vorgaben nach Artikel 25, Absatz eins und 2 DSGVO bei der Einrichtung und während des Betriebes des Benachrichtigungssystems zurückzuführen seien. Die Beschwerdeführerin habe dadurch die objektive Tatseite der genannten Tatbestände erfüllt.
Zu Spruchpunkt II. führte die belangte Behörde aus, die Beschwerdeführerin habe kein Verzeichnis aller Verarbeitungstätigkeiten im Sinne von Art. 30 Abs. 1 DSGVO geführt und habe ein solches daher auch nicht vorlegen können. Zu Spruchpunkt römisch II. führte die belangte Behörde aus, die Beschwerdeführerin habe kein Verzeichnis aller Verarbeitungstätigkeiten im Sinne von Artikel 30, Absatz eins, DSGVO geführt und habe ein solches daher auch nicht vorlegen können.
In Bezug auf Spruchpunkt III. hielt die belangte Behörde fest, es sei zu einem Verstoß gegen die Meldepflicht nach Art. 33 DSGVO gekommen, da die Beschwerdeführerin nicht der Ausnahmeregelung unterliege und sie nicht davon ausgehen konnte, die Sicherheitsverletzung werde voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen. Die objektive Tatseite betreffend Art. 33 Abs. 1 DSGVO sei somit ebenfalls erfüllt. In Bezug auf Spruchpunkt römisch III. hielt die belangte Behörde fest, es sei zu einem Verstoß gegen die Meldepflicht nach Artikel 33, DSGVO gekommen, da die Beschwerdeführerin nicht der Ausnahmeregelung unterliege und sie nicht davon ausgehen konnte, die Sicherheitsverletzung werde voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen. Die objektive Tatseite betreffend Artikel 33, Absatz eins, DSGVO sei somit ebenfalls erfüllt.
Da die verfahrensgegenständlichen Tatvorwürfe der Beschwerdeführerin jedenfalls subjektiv vorwerfbar seien, sei die subjektive Tatseite ebenfalls erfüllt.
Zur Einstellung (Spruchpunkt IV.) führte die belangte Behörde aus, dass der Vorwurf hinsichtlich der Verletzung des Art. 37 Abs. 1 lit. c DSGVO spruchgemäß einzustellen gewesen sei, da im vorliegenden Fall keine umfangreiche Verarbeitung besonderer Kategorien von Daten nach Art. 9 Abs. 1 DSGVO habe festgestellt werden können. Zur Einstellung (Spruchpunkt römisch IV.) führte die belangte Behörde aus, dass der Vorwurf hinsichtlich der Verletzung des Artikel 37, Absatz eins, Litera c, DSGVO spruchgemäß einzustellen gewesen sei, da im vorliegenden Fall keine umfangreiche Verarbeitung besonderer Kategorien von Daten nach Artikel 9, Absatz eins, DSGVO habe festgestellt werden können.
Was die Strafzumessung betreffe, so sei als erschwerend gewertet worden, dass die Bedeutung des verwaltungsstrafrechtlich geschützten Rechtsgutes im vorliegenden Fall als sehr hoch zu werten sei, es seien zudem besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO betroffen gewesen. Was die Strafzumessung betreffe, so sei als erschwerend gewertet worden, dass die Bedeutung des verwaltungsstrafrechtlich geschützten Rechtsgutes im vorliegenden Fall als sehr hoch zu werten sei, es seien zudem besondere Kategorien personenbezogener Daten im Sinne von Artikel 9, Absatz eins, DSGVO betroffen gewesen.
Mildernd sei zu berücksichtigen gewesen, dass die Beschwerdeführerin keine einschlägigen Vorstrafen aufweise, am Verwaltungsstrafverfahren mitgewirkt, und sich umgehend nach Zustellung der Aufforderung zur Stellungnahme im amtswegigen Prüfverfahren mit der technischen Gestaltung des Benachrichtigungssystems auseinandergesetzt, sich beraten lassen und in der Folge die dementsprechenden Änderungen im Rahmen der Einstellungen vorgenommen habe.
Die verhängte Strafe sei im Hinblick auf den verwirklichten Tatunwert gemessen am Strafrahmen sowie unter Berücksichtigung der Einkommens- und Vermögensverhältnisse tat- und schuldangemessen.
6. Die Beschwerdeführerin erhob mit Schriftsatz vom 01.12.2023 Beschwerde gegen das gegenständliche Straferkenntnis, räumte darin zunächst dem Grunde nach die Begehung der ihr von der belangten Behörde im angefochtenen Straferkenntnis zur Last gelegten Verstöße gegen datenschutzrechtliche Bestimmungen ein, nach Ansicht der Beschwerdeführerin hätte die belangte Behörde jedoch – unter Anwendung des § 11 DSG und § 34a VStG – mit einer Verwarnung das Auslangen finden oder zumindest eine (niedrigere), tat- und schuldangemessene, Geldstrafe verhängen müssen. 6. Die Beschwerdeführerin erhob mit Schriftsatz vom 01.12.2023 Beschwerde gegen das gegenständliche Straferkenntnis, räumte darin zunächst dem Grunde nach die Begehung der ihr von der belangten Behörde im angefochtenen Straferkenntnis zur Last gelegten Verstöße gegen datenschutzrechtliche Bestimmungen ein, nach Ansicht der Beschwerdeführerin hätte die belangte Behörde jedoch – unter Anwendung des Paragraph 11, DSG und Paragraph 34 a, VStG – mit einer Verwarnung das Auslangen finden oder zumindest eine (niedrigere), tat- und schuldangemessene, Geldstrafe verhängen müssen.
Gestellt werde somit der Antrag, wonach das Bundesverwaltungsgericht in Stattgabe dieser Beschwerde
- das angefochtene Straferkenntnis der belangten Behörde wegen Rechtswidrigkeit des Inhalts aufheben und das Verfahren zur Einstellung bringen wolle, in eventu
- mit einer Verwarnung, in eventu
- mit einer schuld- und tatangemessen herabgesetzten Geldstrafe das Auslangen finden wolle.
7. Mit Schreiben vom 01.12.2023 legte die belangte Behörde die Beschwerde und den Verwaltungsakt dem Bundesverwaltungsgericht vor, erstattete im Zuge dessen eine Stellungnahme und beantragte, die Beschwerde als unbegründet abzuweisen und die Beschwerdeführerin zur Kostentragung nach § 52 VwGVG zu verpflichten.7. Mit Schreiben vom 01.12.2023 legte die belangte Behörde die Beschwerde und den Verwaltungsakt dem Bundesverwaltungsgericht vor, erstattete im Zuge dessen eine Stellungnahme und beantragte, die Beschwerde als unbegründet abzuweisen und die Beschwerdeführerin zur Kostentragung nach Paragraph 52, VwGVG zu verpflichten.
8. Das Bundesverwaltungsgericht führte in der gegenständlichen Beschwerdesache am 31.01.2024 eine mündliche Beschwerdeverhandlung durch. Im Rahmen der mündlichen Verhandlung fand eine umfassende Erörterung der Sach- und Rechtslage mit den Verfahrensparteien statt, wobei die Beschwerdeführerin rechtsanwaltlich vertreten war.
II. Das Bundesverwaltungsgericht hat erwogen:römisch II. Das Bundesverwaltungsgericht hat erwogen:
II.1. Feststellungen:römisch II.1. Feststellungen:
II.1.1. Zur Beschwerdeführerin: römisch II.1.1. Zur Beschwerdeführerin:
Die Beschwerdeführerin ist Fachärztin für Psychiatrie und psychotherapeutische Medizin und betreibt seit XXXX eine Ordination in XXXX Die Beschwerdeführerin ist Fachärztin für Psychiatrie und psychotherapeutische Medizin und betreibt seit römisch XXXX eine Ordination in römisch XXXX
Die Beschwerdeführerin hat im Zuge der Gründung ihrer Arztpraxis keine rechtlichen Beratungsleistungen durch einen Rechtsanwalt eingeholt, sondern sich lediglich unter Kollegen erkundigt. Ob und welchen rechtlichen Rat die Beschwerdeführerin bei der Ärztekammer gesucht oder eingeholt hat, kann nicht festgestellt werden.
II.1.2. Zum Versand der inkriminierten Terminerinnerungen an Patienten im Wege des Messenger-Dienstes „IMessage“: römisch II.1.2. Zum Versand der inkriminierten Terminerinnerungen an Patienten im Wege des Messenger-Dienstes „IMessage“:
Seit dem Jahreswechsel 2022/2023 hat die Beschwerdeführerin in Form von Text-Nachrichten mittels des für ihre Praxis genutzten Mobiltelefons vom Typ Apple iPhone Terminerinnerungen an ihre Patienten versandt.
Die jeweiligen Nachrichten wurden von der Ordinationsassistentin der Beschwerdeführerin manuell versandt und nicht automatisch generiert.
Am 05.04.2023 versandte die Ordinationsassistentin der Beschwerdeführerin die inkriminierte Nachricht zur Erinnerung an Termine am 06.04.2023, dies in Form einer Gruppentextnachricht an insgesamt 27 Personen als Empfänger.
Die gegenständliche Gruppentextnachricht an 27 Patienten stellte sich graphisch dar wie folgt:
Für den Fall, dass die Empfänger der Nachricht die Schaltfläche mit der Beschriftung „28 People“ betätigten, gelangten diese zu einer Ansicht, in der ihnen die Telefonnummern sämtlicher 28 Empfänger angezeigt wurden, da die Nachricht in Form einer Gruppen-Nachricht erstellt und verschickt wurde.
Dadurch wurden die Telefonnummern sämtlicher 28 Empfänger jeweils allen anderen Empfängern (Teilnehmern der Gruppennachricht) offengelegt.
Darüber hinaus enthielt die gegenständliche Gruppennachricht keine weiteren personenbezogenen Daten der Empfänger und eingeladenen Patienten.
II.1.3. Zur Änderung der Einstellungen durch die Beschwerdeführerin: römisch II.1.3. Zur Änderung der Einstellungen durch die Beschwerdeführerin:
Die Beschwerdeführerin hat sich in Reaktion auf den Vorfall vom 05.04.2023 technisch beraten lassen, die Einstellungen an dem von ihr genutzten Endgerät angepasst, um das Versenden von Nachrichten an IPhone-Nutzer per iMessage zu unterbinden und einen Versand im Wege von konventionellen Textnachrichten (SMS) sicherzustellen bzw. ähnliche Vorfälle zu verhindern.
II.1.4. Zum (fehlenden) Verarbeitungsverzeichnis: römisch II.1.4. Zum (fehlenden) Verarbeitungsverzeichnis:
Die Beschwerdeführerin hat, seit 01.12.2022 bis zu ihrer Stellungnahme im amtswegigen Prüfverfahren vor der Datenschutzbehörde vom 22.06.2023, kein Verzeichnis über ihre Verarbeitungstätigkeiten im Rahmen ihrer ärztlichen Berufsausübung geführt.
Am 07.07.2023 übermittelte die Beschwerdeführerin der belangten Behörde ein Verarbeitungsverzeichnis, das sie nach der Aufforderung zur Stellungnahme durch die Datenschutzbehörde zu einem nicht näher bestimmbaren Zeitpunkt erstellt hatte.
II.1.5. Zur unterbliebenen Meldung des Vorfalles als Sicherheitsverletzung bei der belangten Behörde: römisch II.1.5. Zur unterbliebenen Meldung des Vorfalles als Sicherheitsverletzung bei der belangten Behörde:
Die Beschwerdeführerin brachte in Reaktion auf den Vorfall vom 05.04.2023 keine Meldung bei der belangten Behörde im Sinne von Art. 33 DSGVO ein, sie informierte die Datenschutzbehörde auch sonst nicht über den Vorfall vom 05.04.2023. Die Beschwerdeführerin brachte in Reaktion auf den Vorfall vom 05.04.2023 keine Meldung bei der belangten Behörde im Sinne von Artikel 33, DSGVO ein, sie informierte die Datenschutzbehörde auch sonst nicht über den Vorfall vom 05.04.2023.
II.1.6. Zur Einstellung des amtswegigen Prüfverfahrens: römisch II.1.6. Zur Einstellung des amtswegigen Prüfverfahrens:
Das von der belangten Behörde zunächst eingeleitete amtswegige Prüfverfahren zur GZ D213.2083 stellte diese am 18.07.2023 ein und leitete die belangte Behörde für die in der Vergangenheit liegenden Verstöße das gegenständliche Verwaltungsstrafverfahren ein.
II.1.7. Zu den Einkommens- und Vermögensverhältnissen sowie Sorgepflichten der Beschwerdeführerin: römisch II.1.7. Zu den Einkommens- und Vermögensverhältnissen sowie Sorgepflichten der Beschwerdeführerin:
Die Beschwerdeführerin erzielt ein durchschnittliches monatliches Nettoeinkommen in Höhe von zumindest 2.900,00 Euro. Die Beschwerdeführerin ist sorgepflichtig für zwei minderjährige Kinder sowie ein studierendes Kind. Die Beschwerdeführerin ist Hälfteeigentümerin eines Einfamilienhauses, wobei hierfür eine Kreditverbindlichkeit in der Höhe von EUR 280.000,00 besteht.
II.2. Beweiswürdigung:römisch II.2. Beweiswürdigung:
II.2.1. Zu II.1.1. (Zur Beschwerdeführerin): römisch II.2.1. Zu römisch II.1.1. (Zur Beschwerdeführerin):
Die Feststellungen zur Beschwerdeführerin konnten aufgrund der Angaben der Beschwerdeführerin vor dem Bundesverwaltungsgericht getroffen werden und waren insofern unstrittig.
Dass die Beschwerdeführerin im Zuge der Gründung ihrer Arztpraxis keinerlei rechtlichen Beratungsleistungen eines Rechtsanwaltes in Anspruch genommen hat, ergibt sich aus der diesbezüglich klaren und eindeutigen Aussage der Beschwerdeführerin vor dem Bundesverwaltungsgericht. Die Angaben der Beschwerdeführerin, wonach eine Erkundigung bei der Ärztekammer keinerlei konkreten Hinweise auf datenschutzrechtliche Verpflichtungen im Zusammenhang mit der Führung einer Facharztpraxis ergeben habe, erscheinen bei verständiger Betrachtung aus Sicht des erkennenden Senates nicht schlüssig nachvollziehbar, vielmehr wäre aus Sicht des Bundesverwaltungsgerichtes jedenfalls zu erwarten, dass die Ärztekammer ihren Mitgliedern in Bezug auf die Gründung einer Praxis auf Anfrage hin jedenfalls Informationen zu den wesentlichen rechtlichen Rahmenbedingungen, auch und gerade mit Blick auf datenschutzrechtliche Erfordernisse, zur Verfügung stellt. Dem diesbezüglichen Vorbringen der Beschwerdeführerin war daher aus Sicht des erkennenden Senates die Glaubhaftigkeit zu versagen.
II.2.2. Zu II.1.2. Zum Versand von Terminerinnerungen an Patienten der Beschwerdeführerin: römisch II.2.2. Zu römisch II.1.2. Zum Versand von Terminerinnerungen an Patienten der Beschwerdeführerin:
Dass die Ordinationsassistentin seit dem Jahreswechsel 2022/2023 Terminerinnerungen in Form einer Gruppen-Nachricht mittels des Praxistelefons an Patienten manuell versandte, folgt aus den Ausführungen der Beschwerdeführerin hierzu vor dem Bundesverwaltungsgericht; diese decken sich mit den schriftlichen Stellungnahmen vom 22.06.2023 sowie vom 17.10.2023 im verwaltungsbehördlichen Verfahren.
Die Feststellung zum Versand der Gruppentextnachricht am 05.04.2023 konnte auf Basis der Datenschutzbeschwerde, welche am 05.04.2023 bei der belangten Behörde einlangte, getroffen werden und wurden diese von der Beschwerdeführerin auch zu keinem Zeitpunkt vor dem Bundesverwaltungsgericht bestritten. Die Beschwerdeführerin räumt im Rahmen ihres Beschwerdeschriftsatzes vom 01.12.2023 selbst ein, die Verstöße gegen datenschutzrechtliche Bestimmungen seien zu Recht festgestellt worden.
II.2.3. Zu II.1.3. Änderung der (Vor-)Einstellungen des für den Versand von Terminerinnerungsnachrichten genutzten Endgerätes durch die Beschwerdeführerin: römisch II.2.3. Zu römisch II.1.3. Änderung der (Vor-)Einstellungen des für den Versand von Terminerinnerungsnachrichten genutzten Endgerätes durch die Beschwerdeführerin:
Die Feststellungen zur vorgenommenen Einstellungsänderung konnten auf Basis der glaubhaften Angaben der Beschwerdeführerin im Verwaltungsverfahren erfolgen. So hat sie mehrfach gleichbleibend vorgebracht, sie habe sich in Reaktion auf den Vorfall vom 05.04.2023 technisch beraten lassen und die Einstellungen entsprechend angepasst, um den Versand der inkriminierten Gruppentextnachrichten künftig zu unterbinden.
II.2.4. Zu II.1.4. Zum fehlenden Verarbeitungsverzeichnis: römisch II.2.4. Zu römisch II.1.4. Zum fehlenden Verarbeitungsverzeichnis:
Der Umstand, wonach die Beschwerdeführerin seit Eröffnung ihrer Ordination, jedenfalls bis zur Stellungnahme im amtswegigen Prüfverfahren vor der Datenschutzbehörde am 22.06.2023, kein Verzeichnis über ihre Verarbeitungstätigkeiten geführt hatte, folgt aus den hierzu schlüssigen Angaben der Beschwerdeführerin im verwaltungsbehördlichen Verfahren, dieser Umstand wurde von der Beschwerdeführerin im Verfahren vor dem Bundesverwaltungsgericht auch nicht in Abrede gestellt.
II.2.5. Zu II.1.5. Zum Unterbleiben der Meldung des Vorfalles an die Datenschutzbehörde: römisch II.2.5. Zu römisch II.1.5. Zum Unterbleiben der Meldung des Vorfalles an die Datenschutzbehörde:
Dass die Beschwerdeführerin in Reaktion auf den Vorfall vom 05.04.2023 keine Meldung an die belangte Behörde vorgenommen hat, wurde von der Beschwerdeführerin selbst zu keinem Zeitpunkt in Abrede gestellt bzw. wurde dieser Umstand vor dem Bundesverwaltungsgericht von der Beschwerdeführerin erneut eingeräumt.
II.2.6. Zu II.1.6. (Zur Einstellung des amtswegigen Prüfverfahrens): römisch II.2.6. Zu römisch II.1.6. (Zur Einstellung des amtswegigen Prüfverfahrens):
Dass die belangte Behörde das zunächst eingeleitete amtswegige Prüfverfahren zur GZ D213.2083 am 18.07.2023 eingestellt und in der Folge das gegenständliche Verwaltungsstrafverfahren eingeleitet hat, folgt aus dem unbedenklichen Verwaltungsakt, insbesondere aus der Mitteilung der belangten Behörde vom 18.07.2023.
II.2.7. Zu II.1.7. Zu den Einkommens- und Vermögensverhältnissen sowie den Sorgepflichten der Beschwerdeführerin: römisch II.2.7. Zu römisch II.1.7. Zu den Einkommens- und Vermögensverhältnissen sowie den Sorgepflichten der Beschwerdeführerin:
Da zu den aktuellen Einkommensverhältnissen von der Beschwerdeführerin keine unbedenklichen Belege (Steuerbescheid u.ä.) vorgelegt werden konnten, geht das Bundesverwaltungsgericht zumindest von denselben Einkommensverhältnissen aus, die auch von der belangten Behörde herangezogen wurden. Die im Nachgang der mündlichen Verhandlung in Vorlage gebrachten Schätzungen zu den Einkommensverhältnissen aus der Tätigkeit als niedergelassene Fachärztin erscheinen nicht schlüssig und nachvollziehbar, dies insbesondere vor dem Hintergrund, dass die Beschwerdeführerin dazu befragt in der mündlichen Verhandlung angab, monatlich von ihrem Geschäftskonto 4.000,00 bis 5.000,00 Euro zum privaten Gebrauch zu entnehmen.
Im Übrigen ergeben sich die getroffenen Feststellungen zu den Vermögensverhältnissen und Sorgepflichten anhand der diesbezüglichen Angaben der Beschwerdeführerin vor dem Bundesverwaltungsgericht, wobei diese mit den im verwaltungsbehördlichen Verfahren hierzu getätigten Angaben der Beschwerdeführerin korrespondieren.
II.3. Rechtliche Beurteilung:römisch II.3. Rechtliche Beurteilung:
Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.Gemäß Paragraph 6, BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.
Da es sich beim Beschwerdegegenstand um einen Bescheid der Datenschutzbehörde handelt, liegt gemäß § 27 DSG Senatszuständigkeit vor. Da es sich beim Beschwerdegegenstand um einen Bescheid der Datenschutzbehörde handelt, liegt gemäß Paragraph 27, DSG Senatszuständigkeit vor.
II.3.1. Zu Spruchpunkt A) – Teilweise Stattgabe der Beschwerde: römisch II.3.1. Zu Spruchpunkt A) – Teilweise Stattgabe der Beschwerde:
Anzuwendendes Recht:
Die hier maßgebenden Bestimmungen und Erwägungsgründe der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ABl. L 119 vom 04.05.2016, im Folgenden: DSGVO, lauten auszugsweise samt Überschrift:
„Artikel 1
Gegenstand und Ziele
(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
(3) …
Artikel 4
Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
(1) „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
(2) „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…
(7) „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
(9) „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
(10) „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
(11) „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
(12) „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
…
(15) „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
…
(18) „Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;
Artikel 5
Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Artikel 25
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
(3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
Artikel 58
Befugnisse
(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,
a) den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
b) Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,
c) eine Überprüfung der nach Artikel 42 Absatz 7 erteilten Zertifizierungen durchzuführen,
d) den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,
e) von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten,
f) gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.
(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,
f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.
(3) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Genehmigungsbefugnisse und beratenden Befugnisse, die es ihr gestatten,
a) gemäß dem Verfahren der vorherigen Konsultation nach Artikel 36 den Verantwortlichen zu beraten,
b) zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung des Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten,
c) die Verarbeitung gemäß Artikel 36 Absatz 5 zu genehmigen, falls im Recht des Mitgliedstaats eine derartige vorherige Genehmigung verlangt wird,
d) eine Stellungnahme abzugeben und Entwürfe von Verhaltensregeln gemäß Artikel 40 Absatz 5 zu billigen,
e) Zertifizierungsstellen gemäß Artikel 43 zu akkreditieren,
f) im Einklang mit Artikel 42 Absatz 5 Zertifizierungen zu erteilen und Kriterien für die Zertifizierung zu billigen,
g) Standarddatenschutzklauseln nach Artikel 28 Absatz 8 und Artikel 46 Absatz 2 Buchstabe d festzulegen,
h) Vertragsklauseln gemäß Artikel 46 Absatz 3 Buchstabe a zu genehmigen,
i) Verwaltungsvereinbarungen gemäß Artikel 46 Absatz 3 Buchstabe b zu genehmigen
j) verbindliche interne Vorschriften gemäß Artikel 47 zu genehmigen.
(4) Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta.
(5) Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.
(6) Jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass seine Aufsichtsbehörde neben den in den Absätzen 1, 2 und 3 aufgeführten Befugnissen über zusätzliche Befugnisse verfügt. Die Ausübung dieser Befugnisse darf nicht die effektive Durchführung des Kapitels VII beeinträchtigen.(6) Jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass seine Aufsichtsbehörde neben den in den Absätzen 1, 2 und 3 aufgeführten Befugnissen über zusätzliche Befugnisse verfügt. Die Ausübung dieser Befugnisse darf nicht die effektive Durchführung des Kapitels römisch VII beeinträchtigen.
Artikel 83
Allgemeine Bedingungen für die Verhängung von Geldbußen
(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbe
