IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch den Richter Mag. Gregor Morawetz, MBA als Vorsitzenden und die fachkundige Laienrichterin Mag.a Huberta MAITZ-STRAßNIG als Beisitzerin und den fachkundigen Laienrichter MMag. Jakob KALINA als Beisitzer über die Beschwerde des XXXX , gegen das Straferkenntnis der Datenschutzbehörde vom 28.01.2025, GZ XXXX nach Durchführung einer mündlichen Verhandlung am 26.06.2025, im Umlaufwege zu Recht erkannt:
A)
1.) Der Beschwerde wird hinsichtlich der Strafhöhe stattgegeben, wobei die verhängte Geldstrafe auf € 650 und dementsprechend der Beitrag zum Verfahren vor der Datenschutzbehörde gemäß § 64 Abs. 2 VStG auf € 65 herabgesetzt wird, im Übrigen wird die Beschwerde als unbegründet abgewiesen.
2.) Der Beschwerdeführer hat gemäß § 52 Abs. 8 VwGVG keine Kosten des verwaltungsgerichtlichen Verfahrens zu tragen.
B)
Die Revision ist gemäß Art 133 Abs 4 B-VG nicht zulässig.
Entscheidungsgründe:
I. Verfahrensgang:
1. Mit Bescheid vom 25.09.2024; GZ: XXXX gab die Datenschutzbehörde der Beschwerde des XXXX statt und stellte fest, dass der Beschwerdeführer diesen durch die unrechtmäßige Übermittlung eines klinisch-psychologischen Befundes an die Redaktion der Sendung XXXX und an Herrn XXXX in seinem Recht auf Geheimhaltung verletzt hat. Der Bescheid erwuchs in Rechtskraft. Daraufhin leitete die Datenschutzbehörde amtswegig zur AZ XXXX ein Verwaltungsstrafverfahren gegen den Beschwerdeführer ein und hat ihm mit Aufforderung zur Rechtfertigung vom 07.11.2024 die folgenden Verwaltungsübertretungen zu Last gelegt:
„Sie haben am 09.08.2024 („Tatzeit“) eine E-Mail mit dem Betreff „ XXXX Sendung vom XXXX “ unter dem Namen XXXX und unter der Verwendung der E-Mail-Adresse XXXX an die Redaktion der Sendung XXXX , an XXXX und an XXXX gesendet.
Das E-Mail lautet wie folgt (Formatierung nicht 1:1 wiedergegeben):
„Sehr geehrte Frau XXXX
In der Sendund XXXX ausgestrahlt am XXXX haben Sie einen Beitrag vom 32 jährigen XXXX der einen netten ehrlichen, treuen Mann sucht, im Fernsehen gebracht.
XXXX gibt sich als Bürokaufmann aus. Das ist nicht richtig.
Bei Herrn XXXX handelt es sich um eine Person mit paranoider Schizophrenie.
Er ist seit 15 Jahren arbeitslos und ist seit 01.11.2022 in Frühpension.
Er ist seit Jahren bei unzähligen Psychiatern und Psychologen in Behandlung. Er gibt regelmäßig sich als Bürokaufmann oder als Krankenpfleger aus.
Desweiteren leidet er unter Verfolgungswahn.
Er bildet sich ein das er von Herrn XXXX verfolgt wird und das dieser in sein Schlafzimmer kommt
XXXX erwartet von seinem neuen Partner Ehrlichkeit und Treue. Er selbst nimt es aber nicht mit der Ehrlichkeit.
Es ist absolut unverständlich warum XXXX XXXX belogen hat.
Siehe Beilage“
Dem Schreiben war ein klinisch-psychologischer Befund, betreffend XXXX vom 06.10.2023 mit Exploration und Diagnose beigelegt.
Die beschuldigte Person steht daher im Ergebnis im Verdacht, folgende Grundsätze der DSGVO verletzt zu haben:
• Rechtmäßigkeit der Datenverarbeitung gemäß Art. 6 Abs. 1 DSGVO
• Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO
• Grundsatz der Verarbeitung von personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise gemäß Art. 5 Abs. 1 lit. a DSGVO („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)
Verwaltungsübertretung(en) nach:
Art. 5 Abs. 1, Art. 6 Abs. 1, Art. 9 Abs. 1 iVm Art. 83 Abs. 1 und 5 lit. a DSGVO ABl. L 2016/119, S. 1, idgF
2. Nach Durchführung eines Beweisverfahrens sprach die belangte Behörde mit Straferkenntnis vom 28.01.2025, aus,
der Beschuldigte habe als Verantwortlicher gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016, S. 1 idgF, nachstehenden Sachverhalt verwirklicht und dadurch folgende Verwaltungsübertretung begangen:
Er habe am 09.08.2024 eine E-Mail mit dem Betreff „ XXXX Sendung vom XXXX “ unter dem Namen XXXX und unter der Verwendung der E-Mail-Adresse XXXX an die Redaktion der Sendung XXXX , an XXXX und an XXXX gesendet. Zum Inhalt siehe oben unter Punkt 1. Dem E-Mail sei ein klinisch-psychologischer Befund des XXXX angeschlossen gewesen.
Die Verarbeitung, konkret die Offenlegung der Gesundheitsdaten des Betroffenen an Dritte, sei ohne ausreichende Rechtsgrundlage und sohin entgegen den Bestimmungen der Art. 5 Abs. 1 lit. a iVm Art 9 Abs. 2 DSGVO erfolgt.
Verwaltungsübertretung nach:
Art. 5 Abs. 1 lit. a, Art. 9 Abs. 1 iVm Art. 83 Abs. 1 und 5 lit. a DSGVO ABl. L 2016/119, S. 1, idgF
Wegen dieser Verwaltungsübertretung werde gemäß Art. 83 Abs. 5 lit. a DSGVO iVm § 16 VStG eine Strafe in der Höhe von EUR 700,- verhängt sowie ein Beitrag zu den Kosten des Strafverfahrens in der Höhe von EUR 70,- auferlegt.
3. Gegen dieses Straferkenntnis richtet sich die gegenständliche Bescheidbeschwerde vom 31.01.2025. Der Beschwerdeführer führte darin aus, er habe bloß die Wahrheit verbreitet, ohne seine E-Mail an den TV-Sender wäre die Wahrheit niemals ans Licht gekommen. XXXX habe seit Jahren unzählige Anzeigen gegen ihn angestrengt, doch die Staatsanwaltschaft habe sein Spiel durchschaut und alle Anzeigen abgewiesen.
4. Mit Aktenvorlage vom 21.02.2025 legte die belangte Behörde dem Bundesverwaltungsgericht die Beschwerde unter Anschluss des Verwaltungsakts vor, bestritt das Beschwerdevorbringen und beantragte unter näherer Begründung die Beschwerde als unbegründet abzuweisen und den Beschwerdeführer zur Kostentragung nach § 52 VwGVG zu verpfllichten.
5. Am 26.06.2025 (OZ 5) wurde eine mündliche Verhandlung durchgeführt.
Beweis wurde erhoben durch Einsichtnahme in den Verwaltungsakt und Durchführung einer mündlichen Verhandlung.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Der folgende Sachverhalt steht fest:
1.1. Allgemeines:
Der Beschwerdeführer und XXXX (Im Folgenden: „der Betroffene“) waren 2024 Verfahrensparteien eines zivilgerichtlichen Verfahrens vor dem Bezirksgericht XXXX . In diesem Verfahren legte der Betroffene bzw. dessen rechtliche Vertretung als „Beilage ./I“ einen klinisch-psychologischen Befund vom 06.10.2023 vor. In diesem Befund waren u.a. medizinische Diagnosen, Informationen über Operationen und Angaben über Krankenstände enthalten.
Am XXXX wurde im TV-Sender XXXX eine Episode der Reality-TV-Sendung XXXX ausgestrahlt. In dieser war ein Beitrag über den Betroffenen enthalten.
Am 09.08.2024 sendete der Beschwerdeführer eine E-Mail mit dem Betreff „ XXXX Sendung vom XXXX “ unter dem Namen XXXX unter Verwendung der E-Mail-Adresse XXXX an die Redaktion der genannten Sendung XXXX sowie an den Betroffenen XXXX und an XXXX .
Der Inhalt der E-Mail lautete:
„Sehr geehrte Frau XXXX
In der Sendund XXXX ausgestrahlt am XXXX haben Sie einen Beitrag vom 32 jährigen XXXX der einen netten ehrlichen, treuen Mann sucht, im Fernsehen gebracht.
XXXX gibt sich als Bürokaufmann aus. Das ist nicht richtig. Bei Herrn XXXX handelt es sich um eine Person mit paranoider Schizophrenie. Er ist seit 15 Jahren arbeitslos und ist seit 01.11.2022 in Frühpension. Er ist seit Jahren bei unzähligen Psychiatern und Psychologen in Behandlung. Er gibt regelmäßig sich als Bürokaufmann oder als Krankenpfleger aus.
Des Weiteren leidet er unter Verfolgungswahn. Er bildet sich ein das er von Herrn XXXX verfolgt wird und das dieser in sein Schlafzimmer kommt
XXXX erwartet von seinem neuen Partner Ehrlichkeit und Treue. Er selbst nimt es aber nicht mit der Ehrlichkeit. Es ist absolut unverständlich warum XXXX XXXX belogen hat.
Siehe Beilage“
Der E-Mail war der klinisch-psychologische Befund des Betroffenen vom 06.10.2023 angeschlossen.
Beide Empfänger waren nicht Verfahrenspartei des oben genannten zivilgerichtlichen Verfahrens. Der im Anhang der E-Mail versandte Befund war den Empfängern vor Empfang der E-Mail nicht bekannt.
Der Beschwerdeführer hat diese E-Mail mit dem angeschlossenen Befund vorsätzlich an die jeweiligen Empfänger versandt.
1.2. Zur Strafbemessung:
Der Beschwerdeführer verfügt über ein monatliches Bruttoeinkommen von ca. € 2.800,-. Er ist für eine Tochter unterhaltspflichtig, wobei er monatlich € 520,- bezahlt.
1.3. Zum Ausmaß des vom Betroffenen erlittenen Schadens (Art 83 Abs 2 lit a letzter Fall DSGVO):
Der Betroffene hat keinen materiellen Schaden erlitten.
1.4. Umfang der Zusammenarbeit (Art 83 Abs 2 lit f DSGVO):
Der Sachverhalt war im gegenständlichen Fall durch den Versand der E-Mail vollumfänglich dokumentiert. Der Beschwerdeführer hat nie bestritten, diese E-Mail mitsamt Anhang gesendet zu haben und hat gegenüber Behörde und Gericht auf Nachfrage auch ausführliche Angaben zur subjektiven Tatseite gemacht.
1.5. Vom Beschwerdeführer getroffene Maßnahmen zur Schadenslinderung (Art 83 Abs 2 lit c DSGVO):
Der Beschwerdeführer hat keine Maßnahmen zur Schadenslinderung ergriffen.
1.6. Bisherige Verstöße gegen die DSGVO (Art 83 Abs 2 lit e DSGVO):
Der Beschwerdeführer hat bislang nicht gegen datenschutzrechtliche Vorschriften verstoßen.
1.7. Art des Bekanntwerdens des Verstoßes (Art 83 Abs 2 lit h DSGVO):
Die belangte Behörde hat auf Grund eines bei ihr anhängigen Datenschutzverfahrens vom Verstoß erfahren.
1.8. Erlangte finanzielle Vorteile, vermiedene Verluste (Art 83 Abs 2 lit k DSGVO):
Der Beschwerdeführer hat durch die Verarbeitungen weder finanzielle Vorteile erlangt noch Verluste vermieden.
2. Die Feststellungen gründen sich auf folgende Beweiswürdigung:
2.1. Zu den allgemeinen Feststellungen:
Die Feststellungen zur vom Beschwerdeführer verfassten E-Mail, zur Herkunft des in der E-Mail versandten Befunds, zur Ausstrahlung der TV-Sendung und zur Tatsache, dass die Empfänger der E-Mail nicht Verfahrenspartei des zivilgerichtlichen Verfahrens vor dem Bezirksgericht XXXX waren und ihnen der Befund vor Erhalt der E-Mail unbekannt war, ergeben sich aus dem Verwaltungsakt. Der Beschwerdeführer hat in der Verhandlung nicht in Abrede gestellt, diese E-Mail geschrieben und gesendet zu haben (OZ 5, S 3 f).
Die Feststellungen zur subjektiven Tatseite ergeben sich aus seinen Angaben in der mündlichen Verhandlung, wonach er die E-Mail deswegen geschrieben hat, damit „die Wahrheit ans Licht kommt“. Er wusste, dass er einen medizinischen Befund eines Anderen übermittelte. Es war ihm bloß nicht klar, dass er diesen in einem anderen Verfahren erlangten Befund nicht anderweitig verwerten durfte (OZ 5, S 4). Dabei war dem Beschwerdeführer offensichtlich schon bewusst, dass es problematisch sein könnte, sollte ein Befund besonders konkrete medizinische Daten beinhalten. Dies ergibt sich aus seiner Aussage, wonach durch die Vorlage des Befundes „ja keine konkreten Medikamente oder Therapien oder Behandlungen ans Tageslicht gekommen sind“ und er die Sache daher nicht als „so groben problematischen Fehler“ erachte (OZ 5, S 4).
2.2. Zur Strafbemessung:
Die Angaben zum monatlichen Bruttoeinkommen und zur Unterhaltspflicht ergeben sich aus den glaubhaften Angaben des Beschwerdeführers in der Verhandlung.
2.3. Zum Ausmaß des vom Betroffenen erlittenen Schadens:
Ein materieller Schaden wurde seitens des Betroffenen nicht behauptet und sind auch keine Hinweise auf einen solchen ersichtlich.
2.4. Die Feststellungen zum Umfang der Zusammenarbeit ergeben sich aus dem Verwaltungsakt und der mündlichen Verhandlung.
2.5. Die Feststellung zu den getroffenen Maßnahmen zur Schadenslinderung ergeben sich aus dem Verwaltungsakt und der mündlichen Verhandlung.
2.6. Die Feststellung, dass der Beschwerdeführer bisher keine Verstöße gegen die DSGVO begangen hat, ergibt sich aus dem Verwaltungsakt, im Speziellen aus der darin enthaltenen Angabe der Datenschutzbehörde.
2.7. Die Art des Bekanntwerdens des Verstoßes ergibt sich aus dem Verwaltungsakt und der dementsprechenden Angabe der Datenschutzbehörde.
2.8. Dass der Beschwerdeführer weder finanzielle Vorteile erlangt noch Verluste vermieden hat, ergibt sich daraus, dass sich im Laufe des Verfahrens keine dementsprechenden Hinweise ergeben haben.
3. Rechtlich folgt daraus:
Zu Spruchpunkt A)
Die zulässige Beschwerde ist nicht berechtigt.
3.1. Zum Begehren des Beschwerdeführers, das Straferkenntnis zu beheben bzw. das Strafverfahren einzustellen:
Die Bescheidbeschwerde des unvertretenen Beschwerdeführers erhält kein ausdrückliches Begehren. Der Inhalt wird vom Gericht aber dahingehend gedeutet, als dass begehrt wird, das Straferkenntnis zu beheben bzw. das Strafverfahren einzustellen.
Dem Begehren des Beschwerdeführers, auf Grund von Feststellungsmängeln das Straferkenntnis zu beheben bzw. das Strafverfahren einzustellen war nicht zu folgen, zumal das Verwaltungsgericht berechtigt und verpflichtet ist, allenfalls fehlende und erforderliche Feststellungen selbst zu treffen (VwGH 22.12.2023, Ra 2021/17/0209, Rz 13).
3.2. Zur Datenschutzverletzung:
Die belangte Behörde erachtete die Verarbeitung besonderer Kategorien personenbezogener Daten mangels Ausnahmetatbestand als rechtswidrig. In Art. 9 Abs. 2 DSGVO fehle im Vergleich zu Art. 6 Abs. 1 DSGVO der Zulässigkeitstatbestand der „Verarbeitung im berechtigten Interesse des Verantwortlichen oder eines Dritten“. Somit komme das allfällige Interesse Dritter, in diesem Fall „die Wahrheit“ zu erfahren, als Rechtfertigung nicht in Frage.
Der Beschwerdeführer hielt dem entgegen, dass die Wahrheit nie ans Licht gekommen wäre, hätte er den Befund nicht an den TV-Sender gesendet, welchem Argument jedoch im vorliegenden Fall keine Bedeutung zukommt.
3.2.1. Rechtliche Grundlagen:
Wird gegen die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9 DSGVO verstoßen, werden im Einklang mit Artikel 83 Abs 2 DSGVO Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist (Art 83 Abs 5 lit a DSGVO).
Die DSGVO gilt gemäß Art. 2 Abs. 1 für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Personenbezogene Daten sind gemäß Art. 4 Z. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Gesundheitsdaten sind gemäß Art. 4 Z. 15 DSGVO personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
Gemäß Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).
In Art. 6 DSGVO ist normiert, in welchen Fällen eine Verarbeitung personenbezogener Daten rechtmäßig ist.
Gesundheitsdaten sind personenbezogene Daten besonderer Kategorie gemäß Art. 9 Abs. 1 DSGVO.
Die Rechtmäßigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten ist nicht in Art. 6, sondern in Art. 9 Abs. 2 DSGVO normiert.
Art 9 DSGVO lautet:
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
d) die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
g) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,
h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder
j) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.
(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.
(4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.
3.2.2. Auf den Sachverhalt angewandt bedeutet das:
Der Beschwerdeführer hat durch die Sendung der E-Mail mit dem Befund im Anhang (Offenlegung durch Übermittlung) an die Redaktion der oben genannten TV-Sendung sowie an XXXX eine automationsunterstützte Verarbeitung im Sinne des Art. 4 Z. 2 DSGVO vorgenommen.
Der Inhalt der E-Mail und insbesondere der im Anhang versandte klinisch-psychologische Befund enthalten personenbezogene Daten im Sinne des Art. 4 Z. 1 DSGVO. Der Befund enthält Gesundheitsdaten im Sinne des Art. 4 Z. 15 DSGVO, und zwar u.a. Diagnosen und Angaben zum Krankheitsverlauf des Betroffenen.
Gesundheitsdaten sind gemäß Art. 9 Abs. 1 DSGVO zu den besonderen Kategorien personenbezogener Daten zu zählen. Eine Verarbeitung entsprechender personenbezogener Daten ist nur bei Vorliegen eines Ausnahmegrundes gemäß Art. 9 Abs. 2 DSGVO zulässig. Ein Ausnahmegrund liegt im gegenständlichen Fall nicht vor.
Mit dem vom Beschwerdeführer zuletzt in der mündlichen Verhandlung vorgebrachten Grund, er wolle die Wahrheit ans Licht bringen, stützt er sich auf den Rechtfertigungsgrund des berechtigten Interesses Dritter, nämlich der Zuseher der Reality-TV-Sendung. Dieser Rechtfertigungsgrund ist in Art. 6 Abs. 1 lit. f DSGVO normiert und auf die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO nicht anwendbar.
Eine Einwilligung des Betroffenen (Art. 9 Abs. 2 lit. a DSGVO) liegt nicht vor. Lebenswichtige Interessen der betroffenen oder einer anderen Person (Art. 9 Abs. 2 lit. c DSGVO) liegen nicht vor.
Der Betroffene hat die Daten nicht selbst offensichtlich öffentlich gemacht (Art. 9 Abs. 2 lit. e DSGVO), denn die Einbringung des Dokuments in einem zivilgerichtlichen Verfahren war nur für den Gebrauch in eben diesem Verfahren gedacht. Die Empfänger der E-Mail des Beschwerdeführers waren an dem zivilgerichtlichen Verfahren nicht beteiligt.
Nachdem auch kein Hinweis ersichtlich ist, dass ein anderer Ausnahmetatbestand des Art. 9 Abs. 2 DSGVO vorliegt, liegt kein die Verarbeitung rechtfertigender Tatbestand vor, weshalb der objektive Tatbestand erfüllt ist.
3.2.3. Zur subjektiven Tatseite:
Für die Verhängung einer Geldbuße gemäß Art 83 DSGVO ist es erforderlich, dass der Verantwortliche einen in Art 83 Abs 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat. Ein Verschulden (Vorsatz oder Fahrlässigkeit) liegt bereits vor, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, unabhängig davon, ob ihm dabei bewusst war, gegen Vorschriften der DSGVO zu verstoßen (vgl. EuGH 05.12.2023 C-807/21).
Der Beschwerdeführer hat als Verantwortlicher im Sinne des Art. 4 Z. 7 DSGVO die Gesundheitsdaten des Betroffenen vorsätzlich offengelegt, um „die Wahrheit ans Licht zu bringen“. Einen Rechtsirrtum hätte er leicht vermeiden können, zB durch die Einholung bloß oberflächlicher Informationen über das Datenschutzrecht im Internet oder durch das Aufrufen der Website der Datenschutzbehörde. In Zusammenschau mit der Tatsache, dass die Einführung der DSGVO von breiter medialer Berichterstattung begleitet wurde, konnte sich der Beschwerdeführer über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein, womit der subjektive Tatbestand erfüllt ist.
3.3. Zur Strafbemessung:
3.3.1. Zur Ermittlung der Geldbuße:
Zur Bestimmung des Höchstbetrags der Geldbuße:
Die Geldbuße für einen Verstoß gegen die Artikel 5 und 6 DSGVO beträgt bis zu EUR 20 000 000 oder im Fall eines Unternehmens bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist (Art 83 Abs 5 lit a DSGVO).
Zur Berechnung der konkreten Geldbuße:
Bei der Berechnung der konkreten Geldbuße ist nach Art 83 Abs 1 DSGVO sicherzustellen, dass die Verhängung von Geldbußen für Verstöße gegen die DSGVO gemäß Art 86 Abs 4 bis 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Über diese drei Voraussetzungen hinaus verlangt Art 83 Abs 2 DSGVO, dass die zuständige Aufsichtsbehörde bei der Entscheidung über die Verhängung einer Geldbuße und über ihren Betrag in jedem Einzelfall eine Reihe von Kriterien gebührend berücksichtigt. Gegebenenfalls ist auch die tatsächliche oder materielle Leistungsfähigkeit des Adressaten der Geldbuße zu berücksichtigen (EuGH 13.02.2025, C-383/23, ILVA (Amende pour violation du RGPD), EU:C:2025:84, Rz 25 f, 29), wobei die tatsächliche oder materielle Leistungsfähigkeit des Adressaten unter Zugrundelegung des Begriffs der wirtschaftlichen Einheit zu bestimmen ist (EuGH, 05.12.2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, Rz 58), dh zu berücksichtigen ist, ob der Adressat einem Unternehmen im Sinne der Art. 101 und 102 AEUV angehört (EuGH 13.02.2025, C-383/23, ILVA (Amende pour violation du RGPD), EU:C:2025:84, Rz 29).
Zur Einordnung der Tathandlungen (vgl dazu EDSA, Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO Version 2.1):
Der Beschwerdeführer hat rechtswidrig Gesundheitsdaten offengelegt.
Hinsichtlich der Schwere des Verstoßes (Art 83 Abs 2 lit a 2. Fall DSGVO) ist der Umfang der Datenverarbeitung als mittel zu werten, zumal ein vollständiger klinisch-psychologischer Befund übermittelt wurde. Der Zweck der Verarbeitung, Andere „aufzuklären“, ist als mittel zu werten. Die Zahl der Betroffenen ist als leicht zu werten, zumal nur eine Person betroffen ist.
Der Dauer der Verstöße (Art 83 Abs 2 lit a 3. Fall DSGVO) ist als mittel zu werten.
Die Tat wurde vorsätzlich begangen (Art 83 Abs 2 lit b DSGVO), was als mittel zu werten ist.
Hinsichtlich der Kategorien personenbezogener Daten (Art 83 Abs 2 lit g DSGVO), ist zu berücksichtigen, dass die Verarbeitung auf besondere Kategorien personenbezogener Daten, nämlich Gesundheitsdaten, abzielte, was als schwer zu bewerten ist.
In einer Gesamtabwägung war daher insbesondere vor dem Hintergrund der Zahl der Betroffenen, der Verarbeitung von Gesundheitsdaten und der vorsätzlichen Begehung von einem Verstoß mit mittlerem Schweregrad auszugehen.
Es war als mildernd zu werten, dass es sich beim gegenständlichen Verstoß um den ersten datenschutzrechtlichen Verstoß des Beschwerdeführers handelt (Art 83 Abs 2 lit e DSGVO) und als erschwerend liegt kein Umstand vor.
Auf Grund des Umstands, dass der Beschwerdeführer das Unrecht seiner Tat nicht einsieht, bestehen für die Verhängung einer Geldbuße spezialpräventive Gründe.
Es bestehen auch generalpräventive Gründe für die Verhängung einer Geldbuße, zumal andere Verantwortliche davon abgehalten werden müssen, personenbezogene Daten, insbesondere Gesundheitsdaten, Dritter Anderen gegenüber offenzulegen.
3.3.2. Zur tatsächlichen und materiellen wirtschaftlichen Leistungsfähigkeit des Beschwerdeführers:
Der Beschwerdeführer hat ein monatliches Bruttoeinkommen in der Höhe von knapp € 2800,- und ist seiner Tochter gegenüber in der Höhe von € 520,- unterhaltspflichtig.
3.4. Ergebnis
Das Erkenntnis des Bundesverwaltungsgerichts deckt sich mit der Entscheidung der belangten Behörde. Es konnte aber mit einer geringeren Strafe das Auslangen gefunden werden.
Die von der belangten Behörde verhängte Geldbuße in Höhe von € 700,- ist wirksam und abschreckend.
In Anbetracht der Unterhaltspflicht des Beschwerdeführers war die verhängte Geldbuße auf den Betrag von € 650,- zu mäßigen.
Mit einer Verwarnung konnte kein Auslangen gefunden werden, weil aus spezial- und generalpräventiven Gründen eine Geldstrafe zu verhängen war.
In einer Zusammenschau erweist sich die mit der gegenständlichen Entscheidung festgesetzte Strafhöhe als schuldangemessen, aber auch als im Hinblick auf die Generalprävention ausreichend.
3.5. Zu den Kosten:
Nach Neubemessung der Strafhöhe war der gemäß § 64 Abs. 1 und 2 VStG auszusprechende Beitrag zu den Kosten des Strafverfahrens neu festzusetzen: Dieser beträgt 10% der verhängten Strafe, mindestens jedoch € 10,- und war daher spruchgemäß mit € 65,- zu bestimmen. Ein Beitrag zu den Kosten des verwaltungsgerichtlichen Verfahrens war nicht auszusprechen, da gemäß § 52 Abs. 8 VwGVG der Beschwerde teilweise Folge gegeben wurde.
3.6. Es war daher spruchgemäß zu entscheiden.
3.7. Zahlungsinformation:
Der Beschwerdeführer hat den Gesamtbetrag von € 715,- (Strafe und Kosten des verwaltungsbehördlichen Verfahrens) binnen zwei Wochen auf das Konto des Bundesverwaltungsgerichts (BVwG) mit dem IBAN AT84 0100 0000 0501 0167 (BIC BUNDATWW) unter Angabe der Verfahrenszahl spesenfrei für den Empfänger einzuzahlen oder unter Mitnahme dieses Erkenntnisses beim Bundesverwaltungsgericht einzuzahlen. Bei Verzug muss damit gerechnet werden, dass der Betrag nach erfolgter Mahnung zwangsweise eingetrieben wird.
Zu Spruchpunkt B) Zulässigkeit der Revision:
Gemäß § 25a Abs 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art 133 Abs 4 B-VG zulässig ist. Dieser Ausspruch ist kurz zu begründen.
Die Revision ist gemäß Art 133 Abs 4 B-VG nicht zulässig, weil sich das Bundesverwaltungsgericht auf die Rechtsprechung des Europäischen Gerichtshofs hinsichtlich des Verschuldens bei Verstößen gegen die DSGVO stützen konnte.
Rückverweise
Keine Verweise gefunden
