TE Bvwg Erkenntnis 2024/10/25 W108 2285546-1

1. B-VG Art. 133 heute
2. B-VG Art. 133 gültig von 01.01.2019 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 138/2017
3. B-VG Art. 133 gültig ab 01.01.2019 zuletzt geändert durch BGBl. I Nr. 22/2018
4. B-VG Art. 133 gültig von 25.05.2018 bis 31.12.2018 zuletzt geändert durch BGBl. I Nr. 22/2018
5. B-VG Art. 133 gültig von 01.08.2014 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 164/2013
6. B-VG Art. 133 gültig von 01.01.2014 bis 31.07.2014 zuletzt geändert durch BGBl. I Nr. 51/2012
7. B-VG Art. 133 gültig von 01.01.2004 bis 31.12.2013 zuletzt geändert durch BGBl. I Nr. 100/2003
8. B-VG Art. 133 gültig von 01.01.1975 bis 31.12.2003 zuletzt geändert durch BGBl. Nr. 444/1974
9. B-VG Art. 133 gültig von 25.12.1946 bis 31.12.1974 zuletzt geändert durch BGBl. Nr. 211/1946
10. B-VG Art. 133 gültig von 19.12.1945 bis 24.12.1946 zuletzt geändert durch StGBl. Nr. 4/1945
11. B-VG Art. 133 gültig von 03.01.1930 bis 30.06.1934

1. DSG Art. 2 § 30 heute
2. DSG Art. 2 § 30 gültig von 25.05.2018 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 120/2017
3. DSG Art. 2 § 30 gültig ab 25.05.2018 zuletzt geändert durch BGBl. I Nr. 24/2018
4. DSG Art. 2 § 30 gültig von 01.01.2014 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 83/2013
5. DSG Art. 2 § 30 gültig von 01.01.2010 bis 31.12.2013 zuletzt geändert durch BGBl. I Nr. 133/2009
6. DSG Art. 2 § 30 gültig von 01.01.2000 bis 31.12.2009

1. VStG § 64 heute
2. VStG § 64 gültig ab 01.01.2019 zuletzt geändert durch BGBl. I Nr. 57/2018
3. VStG § 64 gültig von 15.08.2018 bis 31.12.2018 zuletzt geändert durch BGBl. I Nr. 57/2018
4. VStG § 64 gültig von 01.01.2014 bis 14.08.2018 zuletzt geändert durch BGBl. I Nr. 33/2013
5. VStG § 64 gültig von 01.07.2013 bis 31.12.2013 zuletzt geändert durch BGBl. I Nr. 33/2013
6. VStG § 64 gültig von 01.03.2013 bis 30.06.2013 zuletzt geändert durch BGBl. I Nr. 33/2013
7. VStG § 64 gültig von 01.01.2002 bis 28.02.2013 zuletzt geändert durch BGBl. I Nr. 137/2001
8. VStG § 64 gültig von 01.02.1991 bis 31.12.2001

1. VwGVG § 50 heute
2. VwGVG § 50 gültig ab 01.09.2018 zuletzt geändert durch BGBl. I Nr. 57/2018
3. VwGVG § 50 gültig von 01.01.2017 bis 31.08.2018 zuletzt geändert durch BGBl. I Nr. 24/2017
4. VwGVG § 50 gültig von 01.01.2014 bis 31.12.2016

1. VwGVG § 52 heute
2. VwGVG § 52 gültig ab 01.09.2018 zuletzt geändert durch BGBl. I Nr. 57/2018
3. VwGVG § 52 gültig von 01.01.2014 bis 31.08.2018

W108 2285546-1/22E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Mag. BRAUCHART als Vorsitzende sowie die fachkundige Laienrichterin Dr. FELLNER-RESCH und den fachkundigen Laienrichter Mag. KUNZ als Beisitzerin und Beisitzer über die Beschwerde XXXX , vertreten durch SUMMEREDER PICHLER WÄCHTER Rechtsanwälte GmbH, gegen das Straferkenntnis der Datenschutzbehörde vom 14.12.2023, Zl. D550.688 2023-0.615.432, nach mündlicher Verhandlung zu Recht erkannt:Das Bundesverwaltungsgericht hat durch die Richterin Mag. BRAUCHART als Vorsitzende sowie die fachkundige Laienrichterin Dr. FELLNER-RESCH und den fachkundigen Laienrichter Mag. KUNZ als Beisitzerin und Beisitzer über die Beschwerde römisch 40 , vertreten durch SUMMEREDER PICHLER WÄCHTER Rechtsanwälte GmbH, gegen das Straferkenntnis der Datenschutzbehörde vom 14.12.2023, Zl. D550.688 2023-0.615.432, nach mündlicher Verhandlung zu Recht erkannt:

A)

I. Der Beschwerde wird gemäß § 50 Abs. 1 VwGVG teilweise stattgegeben und das angefochtene Straferkenntnis dahingehend abgeändert, dass römisch eins. Der Beschwerde wird gemäß Paragraph 50, Absatz eins, VwGVG teilweise stattgegeben und das angefochtene Straferkenntnis dahingehend abgeändert, dass

a) dessen Spruch lautet:

„ XXXX hat in ihrer Rolle als Verantwortliche gemäß Art. 4 Z 7 DSGVO am 22.11.2021 um 17:05 Uhr sowie um 17:18 Uhr (im Folgenden „Tatzeitraum“) innerhalb des Bundesgebietes Österreich unrechtmäßig besondere Kategorien personenbezogener Daten im Sinne des Art. 4 Z 1 iVm Art. 9 Abs. 1 DSGVO (besondere Kategorien personenbezogener Daten) verarbeitet, indem im Tatzeitraum zwei unterschiedliche E-Mails von Frau XXXX (in ihrer Rolle als „Office Manager“ der XXXX -Bundesgeschäftsstelle XXXX ) mit der Absender-Adresse „ XXXX “ unter der Verwendung eines offenen E-Mail-Verteilers, der jeweils 400 E-Mail-Adressen, darunter zumindest 100 personalisierte E-Mail-Adressen, beinhaltete, versendet wurden. Neben den E-Mail-Adressen wurden in Bezug auf zumindest 100 E-Mail-Adressen aufgrund des Inhalts der E-Mails auch die politische Meinung und weltanschauliche Überzeugung der Betroffenen gegenüber den Empfängern im Rahmen der Verteilerliste offengelegt.“„ römisch 40 hat in ihrer Rolle als Verantwortliche gemäß Artikel 4, Ziffer 7, DSGVO am 22.11.2021 um 17:05 Uhr sowie um 17:18 Uhr (im Folgenden „Tatzeitraum“) innerhalb des Bundesgebietes Österreich unrechtmäßig besondere Kategorien personenbezogener Daten im Sinne des Artikel 4, Ziffer eins, in Verbindung mit Artikel 9, Absatz eins, DSGVO (besondere Kategorien personenbezogener Daten) verarbeitet, indem im Tatzeitraum zwei unterschiedliche E-Mails von Frau römisch 40 (in ihrer Rolle als „Office Manager“ der römisch 40 -Bundesgeschäftsstelle römisch 40 ) mit der Absender-Adresse „ römisch 40 “ unter der Verwendung eines offenen E-Mail-Verteilers, der jeweils 400 E-Mail-Adressen, darunter zumindest 100 personalisierte E-Mail-Adressen, beinhaltete, versendet wurden. Neben den E-Mail-Adressen wurden in Bezug auf zumindest 100 E-Mail-Adressen aufgrund des Inhalts der E-Mails auch die politische Meinung und weltanschauliche Überzeugung der Betroffenen gegenüber den Empfängern im Rahmen der Verteilerliste offengelegt.“

und

b) die verhängte Strafe auf EUR 28.000,00 herabgesetzt wird.

II. Die Beschwerdeführerin hat gemäß § 64 Abs. 1 VStG einen Kostenbeitrag von
EUR 2.800,00 zum Verfahren vor der belangten Behörde zu leisten, das sind 10% der nunmehr verhängten Strafe.römisch II. Die Beschwerdeführerin hat gemäß Paragraph 64, Absatz eins, VStG einen Kostenbeitrag von
EUR 2.800,00 zum Verfahren vor der belangten Behörde zu leisten, das sind 10% der nunmehr verhängten Strafe.

III. Gemäß § 52 Abs. 8 VwGVG hat die Beschwerdeführerin keine Kosten des verwaltungsgerichtlichen Verfahrens zu tragen.römisch III. Gemäß Paragraph 52, Absatz 8, VwGVG hat die Beschwerdeführerin keine Kosten des verwaltungsgerichtlichen Verfahrens zu tragen.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.

Entscheidungsgründe:

I. Verfahrensgang und Sachverhalt:römisch eins. Verfahrensgang und Sachverhalt:

1. Am 23.11.2021 langte bei der Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) eine Eingabe ein, wonach die Beschwerdeführerin, eine politische Partei, am 22.11.2021 eine E-Mail versendet habe, welche die E-Mail-Adressen aller Empfänger für alle sichtbar enthalten hätte, darunter auch E-Mail-Adressen mit Vor- und Nachnamen einiger Empfänger. Der E-Mail seien auch zwei offene Briefe beigelegen, mit denen suggeriert werde, dass alle angeführten E-Mail-Adressen, Einrichtungen und namentlich genannten Personen Teil der Kampagne der Beschwerdeführerin seien.

2. Die belangte Behörde leitete daraufhin ein amtswegiges Prüfverfahren („Datenschutzüberprüfung“) gemäß Art. 57 iVm 58 iVm Art. 22 Datenschutzgrundverordnung (DSGVO) zur Zahl D213.1503 ein und forderte mit Schreiben vom 30.11.2021 die Beschwerdeführerin zur Stellungnahme auf.2. Die belangte Behörde leitete daraufhin ein amtswegiges Prüfverfahren („Datenschutzüberprüfung“) gemäß Artikel 57, in Verbindung mit 58 in Verbindung mit Artikel 22, Datenschutzgrundverordnung (DSGVO) zur Zahl D213.1503 ein und forderte mit Schreiben vom 30.11.2021 die Beschwerdeführerin zur Stellungnahme auf.

3. Am 04.12.2021 meldete die Beschwerdeführerin folgende Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO: Infolge des Versands einer
E-Mail-Sendung mit einem größeren Empfängerkreis am 22.11.2021 sei es zu einer Verletzung der Vertraulichkeit gekommen. Eine Mitarbeiterin der Beschwerdeführerin habe für den Versand der E-Mail-Sendung irrtümlich und entgegen der ihr erteilten Weisung einen offenen, für alle Empfänger sichtbaren E-Mail-Verteiler verwendet. Infolge dieses Vorgehens seien die Kategorien personenbezogener Daten „Vor- und Nachnamen“, „E-Mail-Adresse“, „Arbeitgeber der betroffenen Person“ sowie „Führungs- bzw. Dienstgeberposition der betroffenen Person“ offengelegt worden. Die Mitarbeiterin der Beschwerdeführerin habe die E-Mail-Sendung an insgesamt 975 Empfänger-Adressen versendet. Von diesen beinhalteten rund 100 Adressen den Namen eines Adressaten und seien damit wegen der Identifizierbarkeit des Inhabers der Adresse als personenbezogene Daten zu qualifizieren. Die Beschwerdeführerin habe durch ein amtswegig eingeleitetes Prüfverfahren der belangten Behörde Kenntnis von der Verletzung des Schutzes der personenbezogenen Daten erlangt. Die belangte Behörde habe dazu erstmals am 02.12.2021 Kontakt mit der Beschwerdeführerin aufgenommen. Die Beschwerdeführerin qualifiziere das durch die Verletzung der Vertraulichkeit entstandene Risiko für die Rechte und Freiheiten natürlicher Personen als geringfügig. Eine Identifikation der Betroffenen sei durch das Bekanntwerden dreier Parameter (Name, E-Mail-Adresse, Dienstgeber) zwar möglich. Diese Informationen seien jedoch zu einem großen Teil auch auf den Websites der Unternehmen bzw. Dienststellen der Betroffenen ersichtlich und dadurch öffentlich zugänglich. Die Beschwerdeführerin beurteile das Kriterium von Art, Sensitivität und Umfang der Daten mit geringer Sensitivität. 44 der rund 100 E-Mail-Adressen, die Personenbezug aufwiesen, seien öffentlich im Internet abrufbar. Es handle sich bei den bekanntgewordenen Kategorien personenbezogener Daten vordergründig um Namen und E-Mail-Adressen, während keine besonderen Kategorien personenbezogener Daten, keine Daten zu Straftaten, keine Standortdaten und keine kreditrelevanten Daten betroffen seien. Die Schwere der denkbaren Konsequenzen sei gering. Weder seien sensible Daten betroffen noch könnten die offengelegten personenbezogenen Daten missbräuchlich verwendet werden. Eine Bloßstellung der betroffenen Personen durch Offenlegung von geschützten Informationen aus der Privatsphäre scheide ebenso aus wie Rufschädigung oder andere Verletzungen des Persönlichkeitsrechts, weil die offengelegten personenbezogenen Daten ausschließlich dienstlichen Bezug aufwiesen, aus ihnen aber keine abträgliche Meinung für die anderen Empfänger ableitbar sei. Es handle sich bei den betroffenen Personen um im Gesundheitssektor tätige Arbeitgeber bzw. deren Mitarbeiter in Führungspositionen, die Ansprechpersonen einer politischen Kampagne der Beschwerdeführerin seien. Durch die Offenlegung hätten jene betroffenen Personen, deren E-Mail-Adressen nicht im Internet für jedermann abrufbar gewesen seien, partiell und geringfügig die Kontrolle über diese Daten dergestalt verloren, dass andere der adressierten Empfänger sie nun per E-Mail kontaktieren könnten, allenfalls in Kenntnis der offengelegten Position im Unternehmen. Darüber hinaus sei keine Einschränkung der Rechte und Freiheiten der betroffenen Personen zu erwarten. Weder seien sensible Daten betroffen noch sei davon auszugehen, dass andere Empfänger die offengelegten Daten nun missbräuchlich verwenden würden. Durch das Bekanntwerden der E-Mail-Adresse sei von keiner Bloßstellung, Diskriminierung oder Ähnlichem auszugehen. Die Beschwerdeführerin habe einen externen Datenschutzbeauftragten mit dem Evaluieren der Datenverarbeitungsprozesse in der Partei beauftragt. Dieser solle eine Überprüfung sämtlicher Datenverarbeitungen vornehmen, um mögliche Risiken frühzeitig zu erkennen und zu verringern. Darüber hinaus habe die Beschwerdeführerin ein CMS-System implementiert. Dieses werde zukünftig für den Versand von E-Mails genützt, die an mehrere Empfänger adressiert seien. Die mit politischen Kampagnen befassten Mitarbeiter der Beschwerdeführerin würden zu den Grundsätzen des Datenschutzes geschult. Die Beschwerdeführerin gehe nicht davon aus, dass die Empfänger der Offenlegung die erhaltenen E-Mail-Adressen zur ungefragten Kontaktaufnahme zu anderen Empfängern nutzen werden. Die Empfänger gehörten alle derselben Marktseite an. Demzufolge sei nicht von Marketingmaßnahmen eines Empfängers gegenüber einem anderen auszugehen. Ein Rückruf der versendeten E-Mail-Adressen sei technisch unmöglich. Eine weitere E-Mail-Sendung an dieselben Empfänger mit dem Hinweis darauf, diese E-Mail-Adressen nicht zu Marketingzwecken oÄ zu nutzen, könnte allenfalls den gegenteiligen Effekt erzeugen und diese Idee erst erzeugen. Die Beschwerdeführerin habe sich deshalb entschieden, keine weitere E-Mail-Sendung an dieselben Empfänger zu veranlassen, um die nachteiligen Auswirkungen nicht zu vergrößern. Weil keine anderen möglichen nachteiligen Auswirkungen denkbar seien, habe die Beschwerdeführerin keine weiteren Maßnahmen abgewogen oder getroffen.3. Am 04.12.2021 meldete die Beschwerdeführerin folgende Verletzung des Schutzes personenbezogener Daten gemäß Artikel 33, DSGVO: Infolge des Versands einer
E-Mail-Sendung mit einem größeren Empfängerkreis am 22.11.2021 sei es zu einer Verletzung der Vertraulichkeit gekommen. Eine Mitarbeiterin der Beschwerdeführerin habe für den Versand der E-Mail-Sendung irrtümlich und entgegen der ihr erteilten Weisung einen offenen, für alle Empfänger sichtbaren E-Mail-Verteiler verwendet. Infolge dieses Vorgehens seien die Kategorien personenbezogener Daten „Vor- und Nachnamen“, „E-Mail-Adresse“, „Arbeitgeber der betroffenen Person“ sowie „Führungs- bzw. Dienstgeberposition der betroffenen Person“ offengelegt worden. Die Mitarbeiterin der Beschwerdeführerin habe die E-Mail-Sendung an insgesamt 975 Empfänger-Adressen versendet. Von diesen beinhalteten rund 100 Adressen den Namen eines Adressaten und seien damit wegen der Identifizierbarkeit des Inhabers der Adresse als personenbezogene Daten zu qualifizieren. Die Beschwerdeführerin habe durch ein amtswegig eingeleitetes Prüfverfahren der belangten Behörde Kenntnis von der Verletzung des Schutzes der personenbezogenen Daten erlangt. Die belangte Behörde habe dazu erstmals am 02.12.2021 Kontakt mit der Beschwerdeführerin aufgenommen. Die Beschwerdeführerin qualifiziere das durch die Verletzung der Vertraulichkeit entstandene Risiko für die Rechte und Freiheiten natürlicher Personen als geringfügig. Eine Identifikation der Betroffenen sei durch das Bekanntwerden dreier Parameter (Name, E-Mail-Adresse, Dienstgeber) zwar möglich. Diese Informationen seien jedoch zu einem großen Teil auch auf den Websites der Unternehmen bzw. Dienststellen der Betroffenen ersichtlich und dadurch öffentlich zugänglich. Die Beschwerdeführerin beurteile das Kriterium von Art, Sensitivität und Umfang der Daten mit geringer Sensitivität. 44 der rund 100 E-Mail-Adressen, die Personenbezug aufwiesen, seien öffentlich im Internet abrufbar. Es handle sich bei den bekanntgewordenen Kategorien personenbezogener Daten vordergründig um Namen und E-Mail-Adressen, während keine besonderen Kategorien personenbezogener Daten, keine Daten zu Straftaten, keine Standortdaten und keine kreditrelevanten Daten betroffen seien. Die Schwere der denkbaren Konsequenzen sei gering. Weder seien sensible Daten betroffen noch könnten die offengelegten personenbezogenen Daten missbräuchlich verwendet werden. Eine Bloßstellung der betroffenen Personen durch Offenlegung von geschützten Informationen aus der Privatsphäre scheide ebenso aus wie Rufschädigung oder andere Verletzungen des Persönlichkeitsrechts, weil die offengelegten personenbezogenen Daten ausschließlich dienstlichen Bezug aufwiesen, aus ihnen aber keine abträgliche Meinung für die anderen Empfänger ableitbar sei. Es handle sich bei den betroffenen Personen um im Gesundheitssektor tätige Arbeitgeber bzw. deren Mitarbeiter in Führungspositionen, die Ansprechpersonen einer politischen Kampagne der Beschwerdeführerin seien. Durch die Offenlegung hätten jene betroffenen Personen, deren E-Mail-Adressen nicht im Internet für jedermann abrufbar gewesen seien, partiell und geringfügig die Kontrolle über diese Daten dergestalt verloren, dass andere der adressierten Empfänger sie nun per E-Mail kontaktieren könnten, allenfalls in Kenntnis der offengelegten Position im Unternehmen. Darüber hinaus sei keine Einschränkung der Rechte und Freiheiten der betroffenen Personen zu erwarten. Weder seien sensible Daten betroffen noch sei davon auszugehen, dass andere Empfänger die offengelegten Daten nun missbräuchlich verwenden würden. Durch das Bekanntwerden der E-Mail-Adresse sei von keiner Bloßstellung, Diskriminierung oder Ähnlichem auszugehen. Die Beschwerdeführerin habe einen externen Datenschutzbeauftragten mit dem Evaluieren der Datenverarbeitungsprozesse in der Partei beauftragt. Dieser solle eine Überprüfung sämtlicher Datenverarbeitungen vornehmen, um mögliche Risiken frühzeitig zu erkennen und zu verringern. Darüber hinaus habe die Beschwerdeführerin ein CMS-System implementiert. Dieses werde zukünftig für den Versand von E-Mails genützt, die an mehrere Empfänger adressiert seien. Die mit politischen Kampagnen befassten Mitarbeiter der Beschwerdeführerin würden zu den Grundsätzen des Datenschutzes geschult. Die Beschwerdeführerin gehe nicht davon aus, dass die Empfänger der Offenlegung die erhaltenen E-Mail-Adressen zur ungefragten Kontaktaufnahme zu anderen Empfängern nutzen werden. Die Empfänger gehörten alle derselben Marktseite an. Demzufolge sei nicht von Marketingmaßnahmen eines Empfängers gegenüber einem anderen auszugehen. Ein Rückruf der versendeten E-Mail-Adressen sei technisch unmöglich. Eine weitere E-Mail-Sendung an dieselben Empfänger mit dem Hinweis darauf, diese E-Mail-Adressen nicht zu Marketingzwecken oÄ zu nutzen, könnte allenfalls den gegenteiligen Effekt erzeugen und diese Idee erst erzeugen. Die Beschwerdeführerin habe sich deshalb entschieden, keine weitere E-Mail-Sendung an dieselben Empfänger zu veranlassen, um die nachteiligen Auswirkungen nicht zu vergrößern. Weil keine anderen möglichen nachteiligen Auswirkungen denkbar seien, habe die Beschwerdeführerin keine weiteren Maßnahmen abgewogen oder getroffen.

4. Die Beschwerdeführerin erstattete am 07.01.2022 eine Stellungnahme, in welcher ausgeführt wurde, dass die Beschwerdeführerin als Verantwortliche iSd Art. 4 Z 7 DSGVO die gegenständlichen E-Mail-Adressen durch Parteimitglieder erhoben, gespeichert und am 22.11.2021 zum Zweck einer politischen Kampagne zum Versenden des Schreibens vom 22.11.2021 verwendet habe. Dabei sei es wegen der Unachtsamkeit einer Mitarbeiterin zur Offenlegung dieser E-Mail-Adressen unter Bruch der Vertraulichkeit gekommen, die die Beschwerdeführerin am 04.12.2021 gemäß Art. 33 DSGVO an die belangte Behörde gemeldet habe. Die Beschwerdeführerin habe Vor- und Nachname, E-Mail-Adresse und Angaben zur Beschäftigung (Dienstgeber, Branche, Position) auf Basis eines berechtigten Interesses iSd Art. 6 Abs. 1 lit. f DSGVO (Bewerbung von politischen Interessen) verarbeitet. Wie dem Schreiben vom 22.11.2021 zu entnehmen sei, habe die Beschwerdeführerin damit den Zweck der Beeinflussung der staatlichen Willensbildung verfolgt, in Gestalt der adressierten Mitglieder der Bundesregierung, Landeshauptleute und Gesundheitslandesräte. Um der Ankündigung bevorstehenden Streiks gegenüber dem Bundesministerium und anderen Entscheidungsträgern entsprechendes politisches Gewicht zu verleihen, sei die Beschwerdeführerin gezwungen gewesen, auch andere Entscheidungsträger des Gesundheitsbereiches sowie die Presse in Kenntnis zu setzten. Zu diesem Zweck sei die Beschwerdeführerin auch berechtigt, die genannten personenbezogenen Daten ebenjener Entscheidungsträger sowohl auf politischer Ebene als auch im Gesundheitsbereich und in der Presse zu verarbeiten, soweit dem nicht höherwertige Interessen der betroffenen Personen entgegenstünden. Die Interessenabwägung gehe zu Gunsten der Beschwerdeführerin aus, da ausschließlich Daten aus dem beruflichen Bereich betroffen gewesen seien und die meisten der verarbeiteten personenbezogenen Daten öffentlich abrufbar seien. Höherwertige Geheimhaltungsinteressen bestünden nicht. Die Verarbeitung der genannten Kategorien personenbezogener Daten berühre allenfalls abstrakt die Kontrolle der betroffenen Personen über ihre Daten, berge darüber hinaus jedoch keine Gefahren für deren Rechte und Freiheiten: So sei etwa weder mit einer Bloßstellung des höchstpersönlichen Lebensbereiches zu rechnen, noch drohten wirtschaftliche Nachteile, wie etwa bei der Verarbeitung von bonitätsrelevanten Daten. 4. Die Beschwerdeführerin erstattete am 07.01.2022 eine Stellungnahme, in welcher ausgeführt wurde, dass die Beschwerdeführerin als Verantwortliche iSd Artikel 4, Ziffer 7, DSGVO die gegenständlichen E-Mail-Adressen durch Parteimitglieder erhoben, gespeichert und am 22.11.2021 zum Zweck einer politischen Kampagne zum Versenden des Schreibens vom 22.11.2021 verwendet habe. Dabei sei es wegen der Unachtsamkeit einer Mitarbeiterin zur Offenlegung dieser E-Mail-Adressen unter Bruch der Vertraulichkeit gekommen, die die Beschwerdeführerin am 04.12.2021 gemäß Artikel 33, DSGVO an die belangte Behörde gemeldet habe. Die Beschwerdeführerin habe Vor- und Nachname, E-Mail-Adresse und Angaben zur Beschäftigung (Dienstgeber, Branche, Position) auf Basis eines berechtigten Interesses iSd Artikel 6, Absatz eins, Litera f, DSGVO (Bewerbung von politischen Interessen) verarbeitet. Wie dem Schreiben vom 22.11.2021 zu entnehmen sei, habe die Beschwerdeführerin damit den Zweck der Beeinflussung der staatlichen Willensbildung verfolgt, in Gestalt der adressierten Mitglieder der Bundesregierung, Landeshauptleute und Gesundheitslandesräte. Um der Ankündigung bevorstehenden Streiks gegenüber dem Bundesministerium und anderen Entscheidungsträgern entsprechendes politisches Gewicht zu verleihen, sei die Beschwerdeführerin gezwungen gewesen, auch andere Entscheidungsträger des Gesundheitsbereiches sowie die Presse in Kenntnis zu setzten. Zu diesem Zweck sei die Beschwerdeführerin auch berechtigt, die genannten personenbezogenen Daten ebenjener Entscheidungsträger sowohl auf politischer Ebene als auch im Gesundheitsbereich und in der Presse zu verarbeiten, soweit dem nicht höherwertige Interessen der betroffenen Personen entgegenstünden. Die Interessenabwägung gehe zu Gunsten der Beschwerdeführerin aus, da ausschließlich Daten aus dem beruflichen Bereich betroffen gewesen seien und die meisten der verarbeiteten personenbezogenen Daten öffentlich abrufbar seien. Höherwertige Geheimhaltungsinteressen bestünden nicht. Die Verarbeitung der genannten Kategorien personenbezogener Daten berühre allenfalls abstrakt die Kontrolle der betroffenen Personen über ihre Daten, berge darüber hinaus jedoch keine Gefahren für deren Rechte und Freiheiten: So sei etwa weder mit einer Bloßstellung des höchstpersönlichen Lebensbereiches zu rechnen, noch drohten wirtschaftliche Nachteile, wie etwa bei der Verarbeitung von bonitätsrelevanten Daten.

5. Mit Bescheid der belangten Behörde vom 22.04.2022, Zl. D213.1503 2022-0.016.020, entschied diese über das durchgeführte amtswegige Prüfverfahren wie folgt:

„Die Verantwortliche verstößt dadurch gegen die DSGVO, indem sie personenbezogene Daten in Form von personalisierten Email-Adressen, insoweit ein bestimmter oder bestimmbarer Personenbezug aus den Email-Adressen abgeleitet werden kann, bzw. es sich nicht um generische Email-Adressen handelt, unrechtmäßig durch die Versendungen der Emails vom 22. November 2021 um 17:05 Uhr und um 17:18 Uhr in einem offenen E-Mail-Verteiler offengelegt hat und dadurch die politischen Meinungen der Betroffenen mangels Erlaubnistatbestands gem. Art. 9 Abs. 2 DSGVO unrechtmäßig veröffentlicht hat, indem diese für andere Empfänger sichtbar gemacht wurden. Der Verantwortlichen wird mit sofortiger Wirkung untersagt, die gegenständlichen, personalisierten Email-Adressen ohne Einwilligung der Betroffenen iSd. Art. 9 Abs. 2 lit. a DSGVO in Zukunft zu verarbeiten.“„Die Verantwortliche verstößt dadurch gegen die DSGVO, indem sie personenbezogene Daten in Form von personalisierten Email-Adressen, insoweit ein bestimmter oder bestimmbarer Personenbezug aus den Email-Adressen abgeleitet werden kann, bzw. es sich nicht um generische Email-Adressen handelt, unrechtmäßig durch die Versendungen der Emails vom 22. November 2021 um 17:05 Uhr und um 17:18 Uhr in einem offenen E-Mail-Verteiler offengelegt hat und dadurch die politischen Meinungen der Betroffenen mangels Erlaubnistatbestands gem. Artikel 9, Absatz 2, DSGVO unrechtmäßig veröffentlicht hat, indem diese für andere Empfänger sichtbar gemacht wurden. Der Verantwortlichen wird mit sofortiger Wirkung untersagt, die gegenständlichen, personalisierten Email-Adressen ohne Einwilligung der Betroffenen iSd. Artikel 9, Absatz 2, Litera a, DSGVO in Zukunft zu verarbeiten.“

Dieser Bescheid erwuchs mangels Erhebung eines Rechtsmittels in Rechtskraft.

6. In weiterer Folge leitete die belangte Behörde ein Verwaltungsstrafverfahren gegen die Beschwerdeführerin sowie XXXX (in der Folge: Dr. N.C.) als Obmann der Beschwerdeführerin ein und ersuchte mit Schreiben vom 16.08.2022 das Bundesministerium für Inneres, Abteilung III/3 im Wege der Amtshilfe um Übermittlung der gemäß § 1 Abs. 4 PartG hinterlegten Satzung der Beschwerdeführerin.6. In weiterer Folge leitete die belangte Behörde ein Verwaltungsstrafverfahren gegen die Beschwerdeführerin sowie römisch 40 (in der Folge: Dr. N.C.) als Obmann der Beschwerdeführerin ein und ersuchte mit Schreiben vom 16.08.2022 das Bundesministerium für Inneres, Abteilung III/3 im Wege der Amtshilfe um Übermittlung der gemäß Paragraph eins, Absatz 4, PartG hinterlegten Satzung der Beschwerdeführerin.

7. Mit Schreiben vom 19.08.2022 übermittelte das Bundesministerium für Inneres die Satzung der Beschwerdeführerin.

8. Die belangte Behörde teilte der Beschwerdeführerin mit Schreiben vom 23.08.2022 mit, dass sie als Verantwortliche im Verdacht stehe, am 22.11.2021 um 17:05 Uhr sowie um 17:18 Uhr (im Folgenden „Tatzeitraum“) in XXXX unrechtmäßig personenbezogene Daten von Betroffenen verarbeitet zu haben, indem im Tatzeitraum zwei unterschiedliche E-Mails von Frau XXXX (in der Folge: Mag. B.H.) mit der Absender-Adresse „ XXXX “ in ihrer Rolle als „Office Manager“ der Beschwerdeführerin (Bundesgeschäftsstelle XXXX ) mit einem offenen E-Mail-Verteiler, der jeweils circa 400 E-Mail-Adressen beinhaltet habe, an [näher genannte] Empfänger versendet worden seien und dadurch Verwaltungsübertretungen nach Art. 5 Abs. 1 lit. a und c sowie Art. 9 Abs. 1 iVm Art. 83 Abs. 1 und 5 lit. a DSGVO begangen zu haben, und forderte sie zur Rechtfertigung auf. 8. Die belangte Behörde teilte der Beschwerdeführerin mit Schreiben vom 23.08.2022 mit, dass sie als Verantwortliche im Verdacht stehe, am 22.11.2021 um 17:05 Uhr sowie um 17:18 Uhr (im Folgenden „Tatzeitraum“) in römisch 40 unrechtmäßig personenbezogene Daten von Betroffenen verarbeitet zu haben, indem im Tatzeitraum zwei unterschiedliche E-Mails von Frau römisch 40 (in der Folge: Mag. B.H.) mit der Absender-Adresse „ römisch 40 “ in ihrer Rolle als „Office Manager“ der Beschwerdeführerin (Bundesgeschäftsstelle römisch 40 ) mit einem offenen E-Mail-Verteiler, der jeweils circa 400 E-Mail-Adressen beinhaltet habe, an [näher genannte] Empfänger versendet worden seien und dadurch Verwaltungsübertretungen nach Artikel 5, Absatz eins, Litera a und c sowie Artikel 9, Absatz eins, in Verbindung mit Artikel 83, Absatz eins und 5 Litera a, DSGVO begangen zu haben, und forderte sie zur Rechtfertigung auf.

9. Die Beschwerdeführerin erstattete am 19.09.2022 eine Stellungnahme, in welcher ausgeführt wurde, dass die Beschwerdeführerin eine umfassende Belehrung von Mag. B.H. und ihren unmittelbaren Vorgesetzen veranlasst habe, um zukünftig die Vermeidung solcher Vorfälle sicherzustellen. Es seien im Bereich der Verwaltung der Beschwerdeführerin Maßnahmen gesetzt worden, welche zukünftig die gebotene Sorgfalt sicherstellen und die Kontrolle durch unmittelbare Vorgesetzte beim Versand von Mails gewährleisten würden. Alle Mail-Adressen zum Vorgang seien in den EDV- und Mailsystemen der Beschwerdeführerin gelöscht worden.

Der Stellungnahme angeschlossen wurde eine Bestätigung des Vermögensstatus der Beschwerdeführerin für das Jahr 2021 zum Zeitpunkt des Vorfalles.

10. Über Aufforderung der belangten Behörde gab die Beschwerdeführerin mit Eingabe vom 29.09.2022 einen aktuellen Vermögensstand von EUR 123.353,57 sowie mit Urkundenvorlage vom 24.10.2022 eine Gesamtsumme der Einnahmen für 2022 aus Mitgliedsbeiträgen und Spenden in Höhe von EUR 851.120,89 bekannt.

11. Mit Bescheid der belangten Behörde vom 27.10.2022, Zl. D550.688 2022-0.770.555, wurde das Verfahren gemäß § 24 VStG iVm § 38 AVG bis zur rechtskräftigen Entscheidung durch den Gerichtshof der Europäischen Union (EuGH) in der Rechtssache C-807/21 ausgesetzt.11. Mit Bescheid der belangten Behörde vom 27.10.2022, Zl. D550.688 2022-0.770.555, wurde das Verfahren gemäß Paragraph 24, VStG in Verbindung mit Paragraph 38, AVG bis zur rechtskräftigen Entscheidung durch den Gerichtshof der Europäischen Union (EuGH) in der Rechtssache C-807/21 ausgesetzt.

12. Mit Bescheid der belangten Behörde vom 05.12.2023, Zl. D550.688 2023-0.804.939, wurde der Bescheid der belangten Behörde vom 27.10.2022 infolge der Veröffentlichung des Urteils des EuGH in der genannten Vorabentscheidungssache behoben und das Verfahren fortgesetzt.

13. Am 14.12.2023 erging seitens der belangten Behörde die Mitteilung über die Einstellung des Verwaltungsstrafverfahren gegen Dr. N.C. als Obmann der beschuldigten Beschwerdeführerin.

14. Mit dem nunmehr angefochtenen Straferkenntnis vom selben Tag sprach die belangte Behörde aus, dass die Beschwerdeführerin nachstehenden Sachverhalt verwirklicht und dadurch folgende Verwaltungsübertretung begangen habe:

„ XXXX hat in ihrer Rolle als Verantwortliche gemäß Art. 4 Z 7 DSGVO am 22.11.2021 um 17:05 Uhr sowie um 17:18 Uhr (im Folgenden „Tatzeitraum“) innerhalb des Bundesgebietes Österreich unrechtmäßig besondere Kategorien personenbezogener Daten im Sinne des Art. 4 Z 1 iVm Art. 9 Abs. 1 DSGVO (besondere Kategorien personenbezogener Daten) verarbeitet, indem im Tatzeitraum zwei unterschiedliche E-Mails von Frau XXXX (in ihrer Rolle als „Office Manager“ der XXXX -Bundesgeschäftsstelle XXXX ) mit der Absender-Adresse „ XXXX “ unter der Verwendung eines offenen E-Mail-Verteilers, der jeweils 400 E-Mail-Adressen beinhaltete, versendet wurden. Neben den E-Mail-Adressen wurden aufgrund des Inhalts der E-Mails auch die politische Meinung und weltanschauliche Überzeugung der Betroffenen gegenüber den Empfängern im Rahmen der Verteilerliste offengelegt. Dadurch hat XXXX entgegen der gesetzlich normierten Untersagung nach Art. 9 Abs. 1 DSGVO und ohne einen Ausnahmetatbestand bzw. Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO besondere Kategorien personenbezogener Daten verarbeitet.“„ römisch 40 hat in ihrer Rolle als Verantwortliche gemäß Artikel 4, Ziffer 7, DSGVO am 22.11.2021 um 17:05 Uhr sowie um 17:18 Uhr (im Folgenden „Tatzeitraum“) innerhalb des Bundesgebietes Österreich unrechtmäßig besondere Kategorien personenbezogener Daten im Sinne des Artikel 4, Ziffer eins, in Verbindung mit Artikel 9, Absatz eins, DSGVO (besondere Kategorien personenbezogener Daten) verarbeitet, indem im Tatzeitraum zwei unterschiedliche E-Mails von Frau römisch 40 (in ihrer Rolle als „Office Manager“ der römisch 40 -Bundesgeschäftsstelle römisch 40 ) mit der Absender-Adresse „ römisch 40 “ unter der Verwendung eines offenen E-Mail-Verteilers, der jeweils 400 E-Mail-Adressen beinhaltete, versendet wurden. Neben den E-Mail-Adressen wurden aufgrund des Inhalts der E-Mails auch die politische Meinung und weltanschauliche Überzeugung der Betroffenen gegenüber den Empfängern im Rahmen der Verteilerliste offengelegt. Dadurch hat römisch 40 entgegen der gesetzlich normierten Untersagung nach Artikel 9, Absatz eins, DSGVO und ohne einen Ausnahmetatbestand bzw. Rechtsgrundlage nach Artikel 9, Absatz 2, DSGVO besondere Kategorien personenbezogener Daten verarbeitet.“

Die Beschwerdeführerin habe daher im Ergebnis eine besondere Kategorie personenbezogener (sensibler) Daten gemäß Art. 4 Z 1 iVm Art. 9 Abs. 1 DSGVO (hier konkret die politische Meinung und weltanschauliche Überzeugung) entgegen dem Verarbeitungsverbot nach Art. 9 Abs. 1 DSGVO und ohne einen Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO verarbeitet sowie den Grundsatz der Verarbeitung von personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise nach Art. 5 Abs. 1 lit. a DSGVO („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) und den Grundsatz der dem Zweck angemessenen und erheblichen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkten Verarbeitung von personenbezogenen Daten nach Art. 5 Abs. 1 lit. c DSGVO („Datenminimierung“) verletzt. Die Beschwerdeführerin habe daher im Ergebnis eine besondere Kategorie personenbezogener (sensibler) Daten gemäß Artikel 4, Ziffer eins, in Verbindung mit Artikel 9, Absatz eins, DSGVO (hier konkret die politische Meinung und weltanschauliche Überzeugung) entgegen dem Verarbeitungsverbot nach Artikel 9, Absatz eins, DSGVO und ohne einen Ausnahmetatbestand nach Artikel 9, Absatz 2, DSGVO verarbeitet sowie den Grundsatz der Verarbeitung von personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise nach Artikel 5, Absatz eins, Litera a, DSGVO („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) und den Grundsatz der dem Zweck angemessenen und erheblichen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkten Verarbeitung von personenbezogenen Daten nach Artikel 5, Absatz eins, Litera c, DSGVO („Datenminimierung“) verletzt.

Es sei eine Verwaltungsübertretung nach Art. 5 Abs. 1 lit. a und c sowie Art. 9 Abs. 1 iVm Art. 83 Abs. 1 und 5 lit. a DSGVO verwirklicht worden. Es sei eine Verwaltungsübertretung nach Artikel 5, Absatz eins, Litera a und c sowie Artikel 9, Absatz eins, in Verbindung mit Artikel 83, Absatz eins und 5 Litera a, DSGVO verwirklicht worden.

Wegen dieser Verwaltungsübertretung werde gemäß Art. 83 Abs. 5 lit. a DSGVO eine Geldstrafe in Höhe von EUR 50.700,00 verhängt. Wegen dieser Verwaltungsübertretung werde gemäß Artikel 83, Absatz 5, Litera a, DSGVO eine Geldstrafe in Höhe von EUR 50.700,00 verhängt.

Ferner habe die Beschwerdeführerin gemäß § 64 VStG einen Beitrag in Höhe von EUR 5.070,00 zu den Kosten des Strafverfahrens zu zahlen. Ferner habe die Beschwerdeführerin gemäß Paragraph 64, VStG einen Beitrag in Höhe von EUR 5.070,00 zu den Kosten des Strafverfahrens zu zahlen.

Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) betrage daher EUR 55.770,00.

Die belangte Behörde traf folgende Sachverhaltsfeststellungen:

„1.2. Zum Versand der gegenständlichen E-Mails samt Anhänge

Am 22.11.2021 versendete eine Arbeitnehmerin von XXXX (Frau XXXX in ihrer Rolle als „Office Manager“ der Bundesgeschäftsstelle XXXX ) um 17:05 Uhr sowie um 17:18 Uhr zwei unterschiedliche E-Mails mit einem offenen E-Mail-Verteiler, der jeweils ca. 400
E-Mail-Adressen beinhaltete. Darunter befanden sich personalisierte sowie teilweise private E-Mail-Adressen (z.B. „@gmail.com“).Am 22.11.2021 versendete eine Arbeitnehmerin von römisch 40 (Frau römisch 40 in ihrer Rolle als „Office Manager“ der Bundesgeschäftsstelle römisch 40 ) um 17:05 Uhr sowie um 17:18 Uhr zwei unterschiedliche E-Mails mit einem offenen E-Mail-Verteiler, der jeweils ca. 400
E-Mail-Adressen beinhaltete. Darunter befanden sich personalisierte sowie teilweise private E-Mail-Adressen (z.B. „@gmail.com“).

Der jeweiligen E-Mail wurden „Offene Briefe“ als Beilage angehängt und darauf verwiesen.

XXXX hat alleine die Entscheidung über Form und Versendung der oben genannten E-Mails getroffen. Beim E-Mail-Verteiler handelte es sich um eine Verteilerliste von XXXX . Die E-Mail-Adressen wurden durch Parteimitglieder erhoben und zum Zwecke einer politischen Kampagne im Rahmen der gegenständlichen E-Mails verwendet. römisch 40 hat alleine die Entscheidung über Form und Versendung der oben genannten E-Mails getroffen. Beim E-Mail-Verteiler handelte es sich um eine Verteilerliste von römisch 40 . Die E-Mail-Adressen wurden durch Parteimitglieder erhoben und zum Zwecke einer politischen Kampagne im Rahmen der gegenständlichen E-Mails verwendet.

Inhalt der politischen Kampagne bzw. beider E-Mails waren zwei angehängte PDF-Dateien, die als „ XXXX “ und „ XXXX “ tituliert wurden.Inhalt der politischen Kampagne bzw. beider E-Mails waren zwei angehängte PDF-Dateien, die als „ römisch 40 “ und „ römisch 40 “ tituliert wurden.

Die PDF-Datei mit dem Titel „ XXXX “ hatte konkret folgenden Inhalt (Formatierung nicht 1:1 wiedergegeben):Die PDF-Datei mit dem Titel „ römisch 40 “ hatte konkret folgenden Inhalt (Formatierung nicht 1:1 wiedergegeben):

Die PDF-Datei mit dem Titel „Offener Brief XXXX “ hatte konkret folgenden Inhalt (Formatierung nicht 1:1 wiedergegeben):Die PDF-Datei mit dem Titel „Offener Brief römisch 40 “ hatte konkret folgenden Inhalt (Formatierung nicht 1:1 wiedergegeben):

1.3. Einnahmen und Vermögen der Beschuldigten

XXXX erzielte Einnahmen in der Höhe von insgesamt EUR 851.120,89 durch Mitgliedsbeiträge und Spenden. Darüber hinaus hat XXXX im Jahr 2022 eine Parteienförderung in der Höhe von EUR 1.200.000 erhalten und hat ein Vermögen von insgesamt EUR 123.353,57 (Stichtag 29.09.2022).“ römisch 40 erzielte Einnahmen in der Höhe von insgesamt EUR 851.120,89 durch Mitgliedsbeiträge und Spenden. Darüber hinaus hat römisch 40 im Jahr 2022 eine Parteienförderung in der Höhe von EUR 1.200.000 erhalten und hat ein Vermögen von insgesamt EUR 123.353,57 (Stichtag 29.09.2022).“

Rechtlich hielt die belangte Behörde zur unrechtmäßigen Verarbeitung von sensiblen Daten durch die Beschwerdeführerin fest, dass durch den Versand der gegenständlichen E-Mails am 22.11.2021 die Beschwerdeführerin personenbezogene Daten verarbeitet habe, indem sie unter anderem aufgrund des offenen Verteilers die personalisierten E-Mail-Adressen der Betroffenen gegenüber allen im Verteiler angeführten Personen und Einrichtungen offengelegt habe, wodurch der Name sowie teilweise der Arbeitsplatz/Arbeitgeber der Betroffenen gegenüber mehreren Empfängern offengelegt worden seien. Bereits dadurch sei ein Eingriff in das Grundrecht auf Geheimhaltung der betroffenen Personen nach § 1 Abs. 1 DSG erfolgt. Im konkreten Fall seien über diese Datenkategorien bzw. Informationen hinaus auch die politische Meinung und weltanschauliche Überzeugung der Betroffenen gegenüber den im Verteiler angeführten Empfängern offengelegt worden. Durch den Inhalt der gegenständlichen E-Mails in Verbindung mit dem Zweck der Verarbeitung (Durchführung einer „politischen Kampagne“) sei den Betroffenen eine politische Meinung sowie weltanschauliche Überzeugung zugeordnet und in Folge durch den Versand mit offenem Verteiler sämtlichen Empfängern offengelegt worden. Eine Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO sei grundsätzlich untersagt, Ausnahmen vom Verarbeitungsverbot würden in Art. 9 Abs. 2 DSGVO normiert. Die Beschwerdeführerin habe die Verarbeitung ausschließlich auf berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt, welche keinen Ausnahmetatbestand für die Verarbeitung sensibler Daten gemäß Art. 9 Abs. 1 DSGVO bilden würden. Im konkreten Fall habe auch keine Einwilligung der Betroffenen im Sinne von Art. 4 Z 11 iVm Art. 7 iVm Art. 9 Abs. 2 lit. a DSGVO vorgelegen und sei eine solche von der Beschwerdeführerin auch nicht behauptet worden. Auch die restlichen Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO seien für die konkrete Verarbeitung nicht einschlägig. Abschließend könne in Bezug auf den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO darauf hingewiesen werden, dass im konkreten Fall die Erforderlichkeit der gegenständlichen Verarbeitung nicht erblickt werden könne. Die Beschwerdeführerin hätte ihre politische Kampagne auch ohne Verwendung eines offenen Verteilers durchführen können. Eine Übermittlung mittels „Blindkopie“ (BCC) hätte ebenso zum gewünschten Erfolg geführt. Somit sei die Verarbeitung auch in Missachtung des Grundsatzes der Datenminimierung erfolgt, da sie nicht dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt gewesen sei. Damit sei die objektive Tatseite eines Verstoßes gegen die Grundsätze für die Verarbeitung nach Art. 5 Abs. 1 lit. a und c DSGVO und des Verarbeitungsverbotes nach Art. 9 Abs. 1 DSGVO erfüllt.Rechtlich hielt die belangte Behörde zur unrechtmäßigen Verarbeitung von sensiblen Daten durch die Beschwerdeführerin fest, dass durch den Versand der gegenständlichen E-Mails am 22.11.2021 die Beschwerdeführerin personenbezogene Daten verarbeitet habe, indem sie unter anderem aufgrund des offenen Verteilers die personalisierten E-Mail-Adressen der Betroffenen gegenüber allen im Verteiler angeführten Personen und Einrichtungen offengelegt habe, wodurch der Name sowie teilweise der Arbeitsplatz/Arbeitgeber der Betroffenen gegenüber mehreren Empfängern offengelegt worden seien. Bereits dadurch sei ein Eingriff in das Grundrecht auf Geheimhaltung der betroffenen Personen nach Paragraph eins, Absatz eins, DSG erfolgt. Im konkreten Fall seien über diese Datenkategorien bzw. Informationen hinaus auch die politische Meinung und weltanschauliche Überzeugung der Betroffenen gegenüber den im Verteiler angeführten Empfängern offengelegt worden. Durch den Inhalt der gegenständlichen E-Mails in Verbindung mit dem Zweck der Verarbeitung (Durchführung einer „politischen Kampagne“) sei den Betroffenen eine politische Meinung sowie weltanschauliche Überzeugung zugeordnet und in Folge durch den Versand mit offenem Verteiler sämtlichen Empfängern offengelegt worden. Eine Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9, Absatz eins, DSGVO sei grundsätzlich untersagt, Ausnahmen vom Verarbeitungsverbot würden in Artikel 9, Absatz 2, DSGVO normiert. Die Beschwerdeführerin habe die Verarbeitung ausschließlich auf berechtigte Interessen gemäß Artikel 6, Absatz eins, Litera f, DSGVO gestützt, welche keinen Ausnahmetatbestand für die Verarbeitung sensibler Daten gemäß Artikel 9, Absatz eins, DSGVO bilden würden. Im konkreten Fall habe auch keine Einwilligung der Betroffenen im Sinne von Artikel 4, Ziffer 11, in Verbindung mit Artikel 7, in Verbindung mit Artikel 9, Absatz 2, Litera a, DSGVO vorgelegen und sei eine solche von der Beschwerdeführerin auch nicht behauptet worden. Auch die restlichen Ausnahmetatbestände des Artikel 9, Absatz 2, DSGVO seien für die konkrete Verarbeitung nicht einschlägig. Abschließend könne in Bezug auf den Grundsatz der Datenminimierung nach Artikel 5, Absatz eins, Litera c, DSGVO darauf hingewiesen werden, dass im konkreten Fall die Erforderlichkeit der gegenständlichen Verarbeitung nicht erblickt werden könne. Die Beschwerdeführerin hätte ihre politische Kampagne auch ohne Verwendung eines offenen Verteilers durchführen können. Eine Übermittlung mittels „Blindkopie“ (BCC) hätte ebenso zum gewünschten Erfolg geführt. Somit sei die Verarbeitung auch in Missachtung des Grundsatzes der Datenminimierung erfolgt, da sie nicht dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt gewesen sei. Damit sei die objektive Tatseite eines Verstoßes gegen die Grundsätze für die Verarbeitung nach Artikel 5, Absatz eins, Litera a und c DSGVO und des Verarbeitungsverbotes nach Artikel 9, Absatz eins, DSGVO erfüllt.

Zur Strafbarkeit der Beschwerdeführerin als juristische Person nach Art. 83 DSGVO sei festzuhalten, dass sich der Verwaltungsgerichtshof in seinem Erkenntnis vom 12.05.2020, Ro 2019/04/0229, erstmalig mit der Anwendbarkeit der Strafbarkeitsvoraussetzungen des § 30 DSG in einem Verfahren nach Art. 83 DSGVO auseinandergesetzt und in diesem Zusammenhang festgestellt habe, dass eine juristische Person nicht selbst handeln könne und daher ihre Strafbarkeit nach § 30 DSG eine Folge des tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens einer natürlichen (Führungs-)Person im Sinne des § 30 Abs. 1 DSG sei. Der EuGH habe jedoch schließlich im Urteil vom 05.12.2023 festgehalten, dass die unmittelbar anwendbaren Bestimmungen nach Art. 58 Abs. 2 lit. i und Art. 83 Abs. 1 bis 6 DSGVO dahin auszulegen seien, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden könne, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet worden sei. Im Ergebnis würden daher die Bestimmungen nach § 30 Abs. 1 und 2 DSG nicht zur Anwendung gebracht, da diese im Lichte des dargestellten Urteils des EuGH gegen Art. 83 Abs. 1 bis 6 DSGVO verstoßen würden, indem diese (zusätzliche) materielle Voraussetzungen für die Verhängung einer Geldbuße gegen eine juristische Person normierten. Zur Strafbarkeit der Beschwerdeführerin als juristische Person nach Artikel 83, DSGVO sei festzuhalten, dass sich der Verwaltungsgerichtshof in seinem Erkenntnis vom 12.05.2020, Ro 2019/04/0229, erstmalig mit der Anwendbarkeit der Strafbarkeitsvoraussetzungen des Paragraph 30, DSG in einem Verfahren nach Artikel 83, DSGVO auseinandergesetzt und in diesem Zusammenhang festgestellt habe, dass eine juristische Person nicht selbst handeln könne und daher ihre Strafbarkeit nach Paragraph 30, DSG eine Folge des tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens einer natürlichen (Führungs-)Person im Sinne des Paragraph 30, Absatz eins, DSG sei. Der EuGH habe jedoch schließlich im Urteil vom 05.12.2023 festgehalten, dass die unmittelbar anwendbaren Bestimmungen nach Artikel 58, Absatz 2, Litera i und Artikel 83, Absatz eins bis 6 DSGVO dahin auszulegen seien, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Artikel 83, Absatz 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden könne, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet worden sei. Im Ergebnis würden daher die Bestimmungen nach Paragraph 30, Absatz eins und 2 DSG nicht zur Anwendung gebracht, da diese im Lichte des dargestellten Urteils des EuGH gegen Artikel 83, Absatz eins bis 6 DSGVO verstoßen würden, indem diese (zusätzliche) materielle Voraussetzungen für die Verhängung einer Geldbuße gegen eine juristische Person normierten.

Die subjektive Tatseite sei ebenfalls erfüllt, da Verschulden in Form von Vorsatz (Art. 83 Abs. 2 lit. b DSGVO) vorliege. Im Laufe des Ermittlungsverfahrens hätten sich jedenfalls keine Hinweise darauf ergeben, dass die Beschwerdeführerin an der Verletzung der gegenständlich anzuwendenden Verwaltungsvorschriften kein Verschulden treffe. Die Beschwerdeführerin habe sich im Lichte der Rechtsprechung des EuGH über die Rechtswidrigkeit ihres Verhaltens nicht im Unklaren sein können, unabhängig davon, ob ihr dabei bewusst gewesen sei, dass sie gegen die Vorschriften der DSGVO verstoße. Das Vorbringen der Beschwerdeführerin, es liege Verschulden in Form von Fahrlässigkeit einer Arbeitnehmerin vor, sei eine reine Schutzbehauptung. Unter Berücksichtigung des Zwecks der Verarbeitung bzw. der geplanten politischen Kampagne und in Zusammenschau mit dem konkreten Inhalt der E-Mail-Nachrichten ergebe sich für die belangte Behörde eine bewusste und gewollte Entscheidung der Beschwerdeführerin, dass die gegenständlichen E-Mails samt Anhängen mit einem offenen Verteiler versendet würden. Im Kern dieser Nachrichten gehe es zusammengefasst darum, dass die Beschwerdeführerin „unzählige Gleichgesinnte“ im Gesundheits- und Pflegewesen gefunden habe, die sich gegen die beschlossene Impflicht einsetzen möchten, und dies solle durch den offenen Verteiler mit zahlreichen (teils privaten, teils dienstlichen) E-Mail-Adressen im Verteiler offenbar auch gegenüber den Empfängern der Nachricht veranschaulicht werden. In Zusammenschau mit dem konkreten Wortlaut des Inhalts (beispielsweise „Wir Mitarbeiter des Gesundheitswesens…“; „Wir treten ein gegen die Diskriminierung von uns Mitarbeitern des Gesundheitswesens“; „Wir haben unzählige Gleichgesinnte in unserer Berufssparte gefunden, deutlicher gesagt, wir haben uns vernetzt“; „WIR SIND VIELE“; „Alle unter uns sind dazu bereit, ihren Dienst niederzulegen und in den Streik zu treten…“; „Abschließend weisen wir Sie darauf hin, von zah