Rund um den Geltungsbeginn der DSGVO am 25. Mai 2018 wurden – Sie erinnern sich vielleicht –in den Medien Stimmen laut, Österreich würde das strenge Strafenregime der DSGVO durch die Einführung des § 11 Datenschutzgesetz (DSG) aushöhlen, weil die österreichische Datenschutzbehörde (DSB) auf „Beraten“ statt „Strafen“ setzen würde, zumindest beim Erstverstoß.
Wir haben dies stets kritisch gesehen und beraten, dass sich Unternehmen keinesfalls in der Sicherheit wiegen sollten, dass beim ersten Verstoß sicher nichts passiere außer höchstens einer Ermahnung.
§ 11 DSG zweiter Satz in der aktuellen Fassung lautet: „Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.“ Diese Regelung könnte ohne erforderliches Experten- und Hintergrundwissen den Eindruck erwecken, dass die DSB in ihrem Ermessen über die Bestimmungen der DSGVO hinaus insofern gebunden wird, dass bei erstmaligen Verstößen „nur“ eine Verwarnung ausgesprochen werden muss.
Die DSB hat in ihrem Newsletter aber nun klargestellt, dass eine solche Auslegung aber der DSGVO widersprechen würde. Weiters stellt die DSB klar, dass sie durch § 11 DSG in ihrem Ermessen im Rahmen der Verhängung von Sanktionen nicht beschränkt wird und daher auch bei erstmaligen Verstößen Geldbußen nach Art. 83 DSGVO verhängen kann.
Für Unternehmen als datenschutzrechtliche Verantwortliche bedeutet dies einmal mehr, dass auch bei Erstverstößen teils empfindliche Strafen verhängt werden können (aber freilich nicht müssen).
Bei weiteren Fragen stehen wir Ihnen auch in diesen Zeiten gerne zur Verfügung!