Gericht

Bundesverwaltungsgericht

Entscheidungsdatum

25.10.2024

Geschäftszahl

W108 2285546-1

Spruch

,

W108 2285546-1/22E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Mag. BRAUCHART als Vorsitzende sowie die fachkundige Laienrichterin Dr. FELLNER-RESCH und den fachkundigen Laienrichter Mag. KUNZ als Beisitzerin und Beisitzer über die Beschwerde römisch 40 , vertreten durch SUMMEREDER PICHLER WÄCHTER Rechtsanwälte GmbH, gegen das Straferkenntnis der Datenschutzbehörde vom 14.12.2023, Zl. D550.688 2023-0.615.432, nach mündlicher Verhandlung zu Recht erkannt:

A)

römisch eins. Der Beschwerde wird gemäß Paragraph 50, Absatz eins, VwGVG teilweise stattgegeben und das angefochtene Straferkenntnis dahingehend abgeändert, dass

a) dessen Spruch lautet:

„ römisch 40 hat in ihrer Rolle als Verantwortliche gemäß Artikel 4, Ziffer 7, DSGVO am 22.11.2021 um 17:05 Uhr sowie um 17:18 Uhr (im Folgenden „Tatzeitraum“) innerhalb des Bundesgebietes Österreich unrechtmäßig besondere Kategorien personenbezogener Daten im Sinne des Artikel 4, Ziffer eins, in Verbindung mit Artikel 9, Absatz eins, DSGVO (besondere Kategorien personenbezogener Daten) verarbeitet, indem im Tatzeitraum zwei unterschiedliche E-Mails von Frau römisch 40 (in ihrer Rolle als „Office Manager“ der römisch 40 -Bundesgeschäftsstelle römisch 40 ) mit der Absender-Adresse „ römisch 40 “ unter der Verwendung eines offenen E-Mail-Verteilers, der jeweils 400 E-Mail-Adressen, darunter zumindest 100 personalisierte E-Mail-Adressen, beinhaltete, versendet wurden. Neben den E-Mail-Adressen wurden in Bezug auf zumindest 100 E-Mail-Adressen aufgrund des Inhalts der E-Mails auch die politische Meinung und weltanschauliche Überzeugung der Betroffenen gegenüber den Empfängern im Rahmen der Verteilerliste offengelegt.“

und

b) die verhängte Strafe auf EUR 28.000,00 herabgesetzt wird.

römisch zwei. Die Beschwerdeführerin hat gemäß Paragraph 64, Absatz eins, VStG einen Kostenbeitrag von , EUR 2.800,00 zum Verfahren vor der belangten Behörde zu leisten, das sind 10% der nunmehr verhängten Strafe.

römisch drei. Gemäß Paragraph 52, Absatz 8, VwGVG hat die Beschwerdeführerin keine Kosten des verwaltungsgerichtlichen Verfahrens zu tragen.

B)

Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.

,

Text

, Entscheidungsgründe:

römisch eins. Verfahrensgang und Sachverhalt:

1. Am 23.11.2021 langte bei der Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) eine Eingabe ein, wonach die Beschwerdeführerin, eine politische Partei, am 22.11.2021 eine E-Mail versendet habe, welche die E-Mail-Adressen aller Empfänger für alle sichtbar enthalten hätte, darunter auch E-Mail-Adressen mit Vor- und Nachnamen einiger Empfänger. Der E-Mail seien auch zwei offene Briefe beigelegen, mit denen suggeriert werde, dass alle angeführten E-Mail-Adressen, Einrichtungen und namentlich genannten Personen Teil der Kampagne der Beschwerdeführerin seien.

2. Die belangte Behörde leitete daraufhin ein amtswegiges Prüfverfahren („Datenschutzüberprüfung“) gemäß Artikel 57, in Verbindung mit 58 in Verbindung mit Artikel 22, Datenschutzgrundverordnung (DSGVO) zur Zahl D213.1503 ein und forderte mit Schreiben vom 30.11.2021 die Beschwerdeführerin zur Stellungnahme auf.

3. Am 04.12.2021 meldete die Beschwerdeführerin folgende Verletzung des Schutzes personenbezogener Daten gemäß Artikel 33, DSGVO: Infolge des Versands einer , E-Mail-Sendung mit einem größeren Empfängerkreis am 22.11.2021 sei es zu einer Verletzung der Vertraulichkeit gekommen. Eine Mitarbeiterin der Beschwerdeführerin habe für den Versand der E-Mail-Sendung irrtümlich und entgegen der ihr erteilten Weisung einen offenen, für alle Empfänger sichtbaren E-Mail-Verteiler verwendet. Infolge dieses Vorgehens seien die Kategorien personenbezogener Daten „Vor- und Nachnamen“, „E-Mail-Adresse“, „Arbeitgeber der betroffenen Person“ sowie „Führungs- bzw. Dienstgeberposition der betroffenen Person“ offengelegt worden. Die Mitarbeiterin der Beschwerdeführerin habe die E-Mail-Sendung an insgesamt 975 Empfänger-Adressen versendet. Von diesen beinhalteten rund 100 Adressen den Namen eines Adressaten und seien damit wegen der Identifizierbarkeit des Inhabers der Adresse als personenbezogene Daten zu qualifizieren. Die Beschwerdeführerin habe durch ein amtswegig eingeleitetes Prüfverfahren der belangten Behörde Kenntnis von der Verletzung des Schutzes der personenbezogenen Daten erlangt. Die belangte Behörde habe dazu erstmals am 02.12.2021 Kontakt mit der Beschwerdeführerin aufgenommen. Die Beschwerdeführerin qualifiziere das durch die Verletzung der Vertraulichkeit entstandene Risiko für die Rechte und Freiheiten natürlicher Personen als geringfügig. Eine Identifikation der Betroffenen sei durch das Bekanntwerden dreier Parameter (Name, E-Mail-Adresse, Dienstgeber) zwar möglich. Diese Informationen seien jedoch zu einem großen Teil auch auf den Websites der Unternehmen bzw. Dienststellen der Betroffenen ersichtlich und dadurch öffentlich zugänglich. Die Beschwerdeführerin beurteile das Kriterium von Art, Sensitivität und Umfang der Daten mit geringer Sensitivität. 44 der rund 100 E-Mail-Adressen, die Personenbezug aufwiesen, seien öffentlich im Internet abrufbar. Es handle sich bei den bekanntgewordenen Kategorien personenbezogener Daten vordergründig um Namen und E-Mail-Adressen, während keine besonderen Kategorien personenbezogener Daten, keine Daten zu Straftaten, keine Standortdaten und keine kreditrelevanten Daten betroffen seien. Die Schwere der denkbaren Konsequenzen sei gering. Weder seien sensible Daten betroffen noch könnten die offengelegten personenbezogenen Daten missbräuchlich verwendet werden. Eine Bloßstellung der betroffenen Personen durch Offenlegung von geschützten Informationen aus der Privatsphäre scheide ebenso aus wie Rufschädigung oder andere Verletzungen des Persönlichkeitsrechts, weil die offengelegten personenbezogenen Daten ausschließlich dienstlichen Bezug aufwiesen, aus ihnen aber keine abträgliche Meinung für die anderen Empfänger ableitbar sei. Es handle sich bei den betroffenen Personen um im Gesundheitssektor tätige Arbeitgeber bzw. deren Mitarbeiter in Führungspositionen, die Ansprechpersonen einer politischen Kampagne der Beschwerdeführerin seien. Durch die Offenlegung hätten jene betroffenen Personen, deren E-Mail-Adressen nicht im Internet für jedermann abrufbar gewesen seien, partiell und geringfügig die Kontrolle über diese Daten dergestalt verloren, dass andere der adressierten Empfänger sie nun per E-Mail kontaktieren könnten, allenfalls in Kenntnis der offengelegten Position im Unternehmen. Darüber hinaus sei keine Einschränkung der Rechte und Freiheiten der betroffenen Personen zu erwarten. Weder seien sensible Daten betroffen noch sei davon auszugehen, dass andere Empfänger die offengelegten Daten nun missbräuchlich verwenden würden. Durch das Bekanntwerden der E-Mail-Adresse sei von keiner Bloßstellung, Diskriminierung oder Ähnlichem auszugehen. Die Beschwerdeführerin habe einen externen Datenschutzbeauftragten mit dem Evaluieren der Datenverarbeitungsprozesse in der Partei beauftragt. Dieser solle eine Überprüfung sämtlicher Datenverarbeitungen vornehmen, um mögliche Risiken frühzeitig zu erkennen und zu verringern. Darüber hinaus habe die Beschwerdeführerin ein CMS-System implementiert. Dieses werde zukünftig für den Versand von E-Mails genützt, die an mehrere Empfänger adressiert seien. Die mit politischen Kampagnen befassten Mitarbeiter der Beschwerdeführerin würden zu den Grundsätzen des Datenschutzes geschult. Die Beschwerdeführerin gehe nicht davon aus, dass die Empfänger der Offenlegung die erhaltenen E-Mail-Adressen zur ungefragten Kontaktaufnahme zu anderen Empfängern nutzen werden. Die Empfänger gehörten alle derselben Marktseite an. Demzufolge sei nicht von Marketingmaßnahmen eines Empfängers gegenüber einem anderen auszugehen. Ein Rückruf der versendeten E-Mail-Adressen sei technisch unmöglich. Eine weitere E-Mail-Sendung an dieselben Empfänger mit dem Hinweis darauf, diese E-Mail-Adressen nicht zu Marketingzwecken oÄ zu nutzen, könnte allenfalls den gegenteiligen Effekt erzeugen und diese Idee erst erzeugen. Die Beschwerdeführerin habe sich deshalb entschieden, keine weitere E-Mail-Sendung an dieselben Empfänger zu veranlassen, um die nachteiligen Auswirkungen nicht zu vergrößern. Weil keine anderen möglichen nachteiligen Auswirkungen denkbar seien, habe die Beschwerdeführerin keine weiteren Maßnahmen abgewogen oder getroffen.

4. Die Beschwerdeführerin erstattete am 07.01.2022 eine Stellungnahme, in welcher ausgeführt wurde, dass die Beschwerdeführerin als Verantwortliche iSd Artikel 4, Ziffer 7, DSGVO die gegenständlichen E-Mail-Adressen durch Parteimitglieder erhoben, gespeichert und am 22.11.2021 zum Zweck einer politischen Kampagne zum Versenden des Schreibens vom 22.11.2021 verwendet habe. Dabei sei es wegen der Unachtsamkeit einer Mitarbeiterin zur Offenlegung dieser E-Mail-Adressen unter Bruch der Vertraulichkeit gekommen, die die Beschwerdeführerin am 04.12.2021 gemäß Artikel 33, DSGVO an die belangte Behörde gemeldet habe. Die Beschwerdeführerin habe Vor- und Nachname, E-Mail-Adresse und Angaben zur Beschäftigung (Dienstgeber, Branche, Position) auf Basis eines berechtigten Interesses iSd Artikel 6, Absatz eins, Litera f, DSGVO (Bewerbung von politischen Interessen) verarbeitet. Wie dem Schreiben vom 22.11.2021 zu entnehmen sei, habe die Beschwerdeführerin damit den Zweck der Beeinflussung der staatlichen Willensbildung verfolgt, in Gestalt der adressierten Mitglieder der Bundesregierung, Landeshauptleute und Gesundheitslandesräte. Um der Ankündigung bevorstehenden Streiks gegenüber dem Bundesministerium und anderen Entscheidungsträgern entsprechendes politisches Gewicht zu verleihen, sei die Beschwerdeführerin gezwungen gewesen, auch andere Entscheidungsträger des Gesundheitsbereiches sowie die Presse in Kenntnis zu setzten. Zu diesem Zweck sei die Beschwerdeführerin auch berechtigt, die genannten personenbezogenen Daten ebenjener Entscheidungsträger sowohl auf politischer Ebene als auch im Gesundheitsbereich und in der Presse zu verarbeiten, soweit dem nicht höherwertige Interessen der betroffenen Personen entgegenstünden. Die Interessenabwägung gehe zu Gunsten der Beschwerdeführerin aus, da ausschließlich Daten aus dem beruflichen Bereich betroffen gewesen seien und die meisten der verarbeiteten personenbezogenen Daten öffentlich abrufbar seien. Höherwertige Geheimhaltungsinteressen bestünden nicht. Die Verarbeitung der genannten Kategorien personenbezogener Daten berühre allenfalls abstrakt die Kontrolle der betroffenen Personen über ihre Daten, berge darüber hinaus jedoch keine Gefahren für deren Rechte und Freiheiten: So sei etwa weder mit einer Bloßstellung des höchstpersönlichen Lebensbereiches zu rechnen, noch drohten wirtschaftliche Nachteile, wie etwa bei der Verarbeitung von bonitätsrelevanten Daten.

5. Mit Bescheid der belangten Behörde vom 22.04.2022, Zl. D213.1503 2022-0.016.020, entschied diese über das durchgeführte amtswegige Prüfverfahren wie folgt:

„Die Verantwortliche verstößt dadurch gegen die DSGVO, indem sie personenbezogene Daten in Form von personalisierten Email-Adressen, insoweit ein bestimmter oder bestimmbarer Personenbezug aus den Email-Adressen abgeleitet werden kann, bzw. es sich nicht um generische Email-Adressen handelt, unrechtmäßig durch die Versendungen der Emails vom 22. November 2021 um 17:05 Uhr und um 17:18 Uhr in einem offenen E-Mail-Verteiler offengelegt hat und dadurch die politischen Meinungen der Betroffenen mangels Erlaubnistatbestands gem. Artikel 9, Absatz 2, DSGVO unrechtmäßig veröffentlicht hat, indem diese für andere Empfänger sichtbar gemacht wurden. Der Verantwortlichen wird mit sofortiger Wirkung untersagt, die gegenständlichen, personalisierten Email-Adressen ohne Einwilligung der Betroffenen iSd. Artikel 9, Absatz 2, Litera a, DSGVO in Zukunft zu verarbeiten.“

Dieser Bescheid erwuchs mangels Erhebung eines Rechtsmittels in Rechtskraft.

6. In weiterer Folge leitete die belangte Behörde ein Verwaltungsstrafverfahren gegen die Beschwerdeführerin sowie römisch 40 (in der Folge: Dr. N.C.) als Obmann der Beschwerdeführerin ein und ersuchte mit Schreiben vom 16.08.2022 das Bundesministerium für Inneres, Abteilung III/3 im Wege der Amtshilfe um Übermittlung der gemäß Paragraph eins, Absatz 4, PartG hinterlegten Satzung der Beschwerdeführerin.

7. Mit Schreiben vom 19.08.2022 übermittelte das Bundesministerium für Inneres die Satzung der Beschwerdeführerin.

8. Die belangte Behörde teilte der Beschwerdeführerin mit Schreiben vom 23.08.2022 mit, dass sie als Verantwortliche im Verdacht stehe, am 22.11.2021 um 17:05 Uhr sowie um 17:18 Uhr (im Folgenden „Tatzeitraum“) in römisch 40 unrechtmäßig personenbezogene Daten von Betroffenen verarbeitet zu haben, indem im Tatzeitraum zwei unterschiedliche E-Mails von Frau römisch 40 (in der Folge: Mag. B.H.) mit der Absender-Adresse „ römisch 40 “ in ihrer Rolle als „Office Manager“ der Beschwerdeführerin (Bundesgeschäftsstelle römisch 40 ) mit einem offenen E-Mail-Verteiler, der jeweils circa 400 E-Mail-Adressen beinhaltet habe, an [näher genannte] Empfänger versendet worden seien und dadurch Verwaltungsübertretungen nach Artikel 5, Absatz eins, Litera a und c sowie Artikel 9, Absatz eins, in Verbindung mit Artikel 83, Absatz eins und 5 Litera a, DSGVO begangen zu haben, und forderte sie zur Rechtfertigung auf.

9. Die Beschwerdeführerin erstattete am 19.09.2022 eine Stellungnahme, in welcher ausgeführt wurde, dass die Beschwerdeführerin eine umfassende Belehrung von Mag. B.H. und ihren unmittelbaren Vorgesetzen veranlasst habe, um zukünftig die Vermeidung solcher Vorfälle sicherzustellen. Es seien im Bereich der Verwaltung der Beschwerdeführerin Maßnahmen gesetzt worden, welche zukünftig die gebotene Sorgfalt sicherstellen und die Kontrolle durch unmittelbare Vorgesetzte beim Versand von Mails gewährleisten würden. Alle Mail-Adressen zum Vorgang seien in den EDV- und Mailsystemen der Beschwerdeführerin gelöscht worden.

Der Stellungnahme angeschlossen wurde eine Bestätigung des Vermögensstatus der Beschwerdeführerin für das Jahr 2021 zum Zeitpunkt des Vorfalles.

10. Über Aufforderung der belangten Behörde gab die Beschwerdeführerin mit Eingabe vom 29.09.2022 einen aktuellen Vermögensstand von EUR 123.353,57 sowie mit Urkundenvorlage vom 24.10.2022 eine Gesamtsumme der Einnahmen für 2022 aus Mitgliedsbeiträgen und Spenden in Höhe von EUR 851.120,89 bekannt.

11. Mit Bescheid der belangten Behörde vom 27.10.2022, Zl. D550.688 2022-0.770.555, wurde das Verfahren gemäß Paragraph 24, VStG in Verbindung mit Paragraph 38, AVG bis zur rechtskräftigen Entscheidung durch den Gerichtshof der Europäischen Union (EuGH) in der Rechtssache C-807/21 ausgesetzt.

12. Mit Bescheid der belangten Behörde vom 05.12.2023, Zl. D550.688 2023-0.804.939, wurde der Bescheid der belangten Behörde vom 27.10.2022 infolge der Veröffentlichung des Urteils des EuGH in der genannten Vorabentscheidungssache behoben und das Verfahren fortgesetzt.

13. Am 14.12.2023 erging seitens der belangten Behörde die Mitteilung über die Einstellung des Verwaltungsstrafverfahren gegen Dr. N.C. als Obmann der beschuldigten Beschwerdeführerin.

14. Mit dem nunmehr angefochtenen Straferkenntnis vom selben Tag sprach die belangte Behörde aus, dass die Beschwerdeführerin nachstehenden Sachverhalt verwirklicht und dadurch folgende Verwaltungsübertretung begangen habe:

„ römisch 40 hat in ihrer Rolle als Verantwortliche gemäß Artikel 4, Ziffer 7, DSGVO am 22.11.2021 um 17:05 Uhr sowie um 17:18 Uhr (im Folgenden „Tatzeitraum“) innerhalb des Bundesgebietes Österreich unrechtmäßig besondere Kategorien personenbezogener Daten im Sinne des Artikel 4, Ziffer eins, in Verbindung mit Artikel 9, Absatz eins, DSGVO (besondere Kategorien personenbezogener Daten) verarbeitet, indem im Tatzeitraum zwei unterschiedliche E-Mails von Frau römisch 40 (in ihrer Rolle als „Office Manager“ der römisch 40 -Bundesgeschäftsstelle römisch 40 ) mit der Absender-Adresse „ römisch 40 “ unter der Verwendung eines offenen E-Mail-Verteilers, der jeweils 400 E-Mail-Adressen beinhaltete, versendet wurden. Neben den E-Mail-Adressen wurden aufgrund des Inhalts der E-Mails auch die politische Meinung und weltanschauliche Überzeugung der Betroffenen gegenüber den Empfängern im Rahmen der Verteilerliste offengelegt. Dadurch hat römisch 40 entgegen der gesetzlich normierten Untersagung nach Artikel 9, Absatz eins, DSGVO und ohne einen Ausnahmetatbestand bzw. Rechtsgrundlage nach Artikel 9, Absatz 2, DSGVO besondere Kategorien personenbezogener Daten verarbeitet.“

Die Beschwerdeführerin habe daher im Ergebnis eine besondere Kategorie personenbezogener (sensibler) Daten gemäß Artikel 4, Ziffer eins, in Verbindung mit Artikel 9, Absatz eins, DSGVO (hier konkret die politische Meinung und weltanschauliche Überzeugung) entgegen dem Verarbeitungsverbot nach Artikel 9, Absatz eins, DSGVO und ohne einen Ausnahmetatbestand nach Artikel 9, Absatz 2, DSGVO verarbeitet sowie den Grundsatz der Verarbeitung von personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise nach Artikel 5, Absatz eins, Litera a, DSGVO („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) und den Grundsatz der dem Zweck angemessenen und erheblichen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkten Verarbeitung von personenbezogenen Daten nach Artikel 5, Absatz eins, Litera c, DSGVO („Datenminimierung“) verletzt.

Es sei eine Verwaltungsübertretung nach Artikel 5, Absatz eins, Litera a und c sowie Artikel 9, Absatz eins, in Verbindung mit Artikel 83, Absatz eins und 5 Litera a, DSGVO verwirklicht worden.

Wegen dieser Verwaltungsübertretung werde gemäß Artikel 83, Absatz 5, Litera a, DSGVO eine Geldstrafe in Höhe von EUR 50.700,00 verhängt.

Ferner habe die Beschwerdeführerin gemäß Paragraph 64, VStG einen Beitrag in Höhe von EUR 5.070,00 zu den Kosten des Strafverfahrens zu zahlen.

Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) betrage daher EUR 55.770,00.

Die belangte Behörde traf folgende Sachverhaltsfeststellungen:

„1.2. Zum Versand der gegenständlichen E-Mails samt Anhänge

Am 22.11.2021 versendete eine Arbeitnehmerin von römisch 40 (Frau römisch 40 in ihrer Rolle als „Office Manager“ der Bundesgeschäftsstelle römisch 40 ) um 17:05 Uhr sowie um 17:18 Uhr zwei unterschiedliche E-Mails mit einem offenen E-Mail-Verteiler, der jeweils ca. 400 , E-Mail-Adressen beinhaltete. Darunter befanden sich personalisierte sowie teilweise private E-Mail-Adressen (z.B. „@gmail.com“).

Der jeweiligen E-Mail wurden „Offene Briefe“ als Beilage angehängt und darauf verwiesen.

römisch 40 hat alleine die Entscheidung über Form und Versendung der oben genannten E-Mails getroffen. Beim E-Mail-Verteiler handelte es sich um eine Verteilerliste von römisch 40 . Die E-Mail-Adressen wurden durch Parteimitglieder erhoben und zum Zwecke einer politischen Kampagne im Rahmen der gegenständlichen E-Mails verwendet.

Inhalt der politischen Kampagne bzw. beider E-Mails waren zwei angehängte PDF-Dateien, die als „ römisch 40 “ und „ römisch 40 “ tituliert wurden.

Die PDF-Datei mit dem Titel „ römisch 40 “ hatte konkret folgenden Inhalt (Formatierung nicht 1:1 wiedergegeben):

Die PDF-Datei mit dem Titel „Offener Brief römisch 40 “ hatte konkret folgenden Inhalt (Formatierung nicht 1:1 wiedergegeben):

1.3. Einnahmen und Vermögen der Beschuldigten

römisch 40 erzielte Einnahmen in der Höhe von insgesamt EUR 851.120,89 durch Mitgliedsbeiträge und Spenden. Darüber hinaus hat römisch 40 im Jahr 2022 eine Parteienförderung in der Höhe von EUR 1.200.000 erhalten und hat ein Vermögen von insgesamt EUR 123.353,57 (Stichtag 29.09.2022).“

Rechtlich hielt die belangte Behörde zur unrechtmäßigen Verarbeitung von sensiblen Daten durch die Beschwerdeführerin fest, dass durch den Versand der gegenständlichen E-Mails am 22.11.2021 die Beschwerdeführerin personenbezogene Daten verarbeitet habe, indem sie unter anderem aufgrund des offenen Verteilers die personalisierten E-Mail-Adressen der Betroffenen gegenüber allen im Verteiler angeführten Personen und Einrichtungen offengelegt habe, wodurch der Name sowie teilweise der Arbeitsplatz/Arbeitgeber der Betroffenen gegenüber mehreren Empfängern offengelegt worden seien. Bereits dadurch sei ein Eingriff in das Grundrecht auf Geheimhaltung der betroffenen Personen nach Paragraph eins, Absatz eins, DSG erfolgt. Im konkreten Fall seien über diese Datenkategorien bzw. Informationen hinaus auch die politische Meinung und weltanschauliche Überzeugung der Betroffenen gegenüber den im Verteiler angeführten Empfängern offengelegt worden. Durch den Inhalt der gegenständlichen E-Mails in Verbindung mit dem Zweck der Verarbeitung (Durchführung einer „politischen Kampagne“) sei den Betroffenen eine politische Meinung sowie weltanschauliche Überzeugung zugeordnet und in Folge durch den Versand mit offenem Verteiler sämtlichen Empfängern offengelegt worden. Eine Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9, Absatz eins, DSGVO sei grundsätzlich untersagt, Ausnahmen vom Verarbeitungsverbot würden in Artikel 9, Absatz 2, DSGVO normiert. Die Beschwerdeführerin habe die Verarbeitung ausschließlich auf berechtigte Interessen gemäß Artikel 6, Absatz eins, Litera f, DSGVO gestützt, welche keinen Ausnahmetatbestand für die Verarbeitung sensibler Daten gemäß Artikel 9, Absatz eins, DSGVO bilden würden. Im konkreten Fall habe auch keine Einwilligung der Betroffenen im Sinne von Artikel 4, Ziffer 11, in Verbindung mit Artikel 7, in Verbindung mit Artikel 9, Absatz 2, Litera a, DSGVO vorgelegen und sei eine solche von der Beschwerdeführerin auch nicht behauptet worden. Auch die restlichen Ausnahmetatbestände des Artikel 9, Absatz 2, DSGVO seien für die konkrete Verarbeitung nicht einschlägig. Abschließend könne in Bezug auf den Grundsatz der Datenminimierung nach Artikel 5, Absatz eins, Litera c, DSGVO darauf hingewiesen werden, dass im konkreten Fall die Erforderlichkeit der gegenständlichen Verarbeitung nicht erblickt werden könne. Die Beschwerdeführerin hätte ihre politische Kampagne auch ohne Verwendung eines offenen Verteilers durchführen können. Eine Übermittlung mittels „Blindkopie“ (BCC) hätte ebenso zum gewünschten Erfolg geführt. Somit sei die Verarbeitung auch in Missachtung des Grundsatzes der Datenminimierung erfolgt, da sie nicht dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt gewesen sei. Damit sei die objektive Tatseite eines Verstoßes gegen die Grundsätze für die Verarbeitung nach Artikel 5, Absatz eins, Litera a und c DSGVO und des Verarbeitungsverbotes nach Artikel 9, Absatz eins, DSGVO erfüllt.

Zur Strafbarkeit der Beschwerdeführerin als juristische Person nach Artikel 83, DSGVO sei festzuhalten, dass sich der Verwaltungsgerichtshof in seinem Erkenntnis vom 12.05.2020, Ro 2019/04/0229, erstmalig mit der Anwendbarkeit der Strafbarkeitsvoraussetzungen des Paragraph 30, DSG in einem Verfahren nach Artikel 83, DSGVO auseinandergesetzt und in diesem Zusammenhang festgestellt habe, dass eine juristische Person nicht selbst handeln könne und daher ihre Strafbarkeit nach Paragraph 30, DSG eine Folge des tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens einer natürlichen (Führungs-)Person im Sinne des Paragraph 30, Absatz eins, DSG sei. Der EuGH habe jedoch schließlich im Urteil vom 05.12.2023 festgehalten, dass die unmittelbar anwendbaren Bestimmungen nach Artikel 58, Absatz 2, Litera i und Artikel 83, Absatz eins bis 6 DSGVO dahin auszulegen seien, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Artikel 83, Absatz 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden könne, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet worden sei. Im Ergebnis würden daher die Bestimmungen nach Paragraph 30, Absatz eins und 2 DSG nicht zur Anwendung gebracht, da diese im Lichte des dargestellten Urteils des EuGH gegen Artikel 83, Absatz eins bis 6 DSGVO verstoßen würden, indem diese (zusätzliche) materielle Voraussetzungen für die Verhängung einer Geldbuße gegen eine juristische Person normierten.

Die subjektive Tatseite sei ebenfalls erfüllt, da Verschulden in Form von Vorsatz (Artikel 83, Absatz 2, Litera b, DSGVO) vorliege. Im Laufe des Ermittlungsverfahrens hätten sich jedenfalls keine Hinweise darauf ergeben, dass die Beschwerdeführerin an der Verletzung der gegenständlich anzuwendenden Verwaltungsvorschriften kein Verschulden treffe. Die Beschwerdeführerin habe sich im Lichte der Rechtsprechung des EuGH über die Rechtswidrigkeit ihres Verhaltens nicht im Unklaren sein können, unabhängig davon, ob ihr dabei bewusst gewesen sei, dass sie gegen die Vorschriften der DSGVO verstoße. Das Vorbringen der Beschwerdeführerin, es liege Verschulden in Form von Fahrlässigkeit einer Arbeitnehmerin vor, sei eine reine Schutzbehauptung. Unter Berücksichtigung des Zwecks der Verarbeitung bzw. der geplanten politischen Kampagne und in Zusammenschau mit dem konkreten Inhalt der E-Mail-Nachrichten ergebe sich für die belangte Behörde eine bewusste und gewollte Entscheidung der Beschwerdeführerin, dass die gegenständlichen E-Mails samt Anhängen mit einem offenen Verteiler versendet würden. Im Kern dieser Nachrichten gehe es zusammengefasst darum, dass die Beschwerdeführerin „unzählige Gleichgesinnte“ im Gesundheits- und Pflegewesen gefunden habe, die sich gegen die beschlossene Impflicht einsetzen möchten, und dies solle durch den offenen Verteiler mit zahlreichen (teils privaten, teils dienstlichen) E-Mail-Adressen im Verteiler offenbar auch gegenüber den Empfängern der Nachricht veranschaulicht werden. In Zusammenschau mit dem konkreten Wortlaut des Inhalts (beispielsweise „Wir Mitarbeiter des Gesundheitswesens…“; „Wir treten ein gegen die Diskriminierung von uns Mitarbeitern des Gesundheitswesens“; „Wir haben unzählige Gleichgesinnte in unserer Berufssparte gefunden, deutlicher gesagt, wir haben uns vernetzt“; „WIR SIND VIELE“; „Alle unter uns sind dazu bereit, ihren Dienst niederzulegen und in den Streik zu treten…“; „Abschließend weisen wir Sie darauf hin, von zahlreichen Personen aus den Gesundheitsberufen die Mitteilung erhalten zu haben, dass sie im Fall einer Impfpflicht ihre Arbeit mit sofortiger Wirkung niederlegen werden“, etc.) ergebe sich für die belangte Behörde eine vorsätzliche Handlung der Beschwerdeführerin. Auch aus dem abschließenden Teil der Nachricht erhelle, dass die Beschwerdeführerin gegenüber den Empfängern zum Ausdruck bringen wollte, dass sie die Nachricht im Namen von zahlreichen Mitarbeiter/innen im Gesundheits- und Pflegewesen aus allen Bundesländern unterzeichne. Dies solle schließlich durch den offenen Verteiler und die darin enthaltenen personalisierten E-Mail-Adressen veranschaulicht werden. Dadurch solle - objektiv betrachtet - der Eindruck erweckt werden, dass die im Verteiler angeführten betroffenen Personen sich gegen die Impflicht aussprechen und bereit seien, ihre Arbeit niederzulegen. Gemessen daran liege nach Ansicht der belangten Behörde Verschulden in Form von Vorsatz vor und sei dadurch die subjektive Tatseite jedenfalls erfüllt.

Zur Strafzumessung führte die belangte Behörde aus, dass sie die Leitlinien des EDSA betreffend Berechnung von Geldbußen nach der DSGVO vergleiche EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 2.1 vom 24.05.2023 – im Folgenden auch „Fines-Leitlinien“) zur Anwendung gebracht habe. Die Beschwerdeführerin habe Einnahmen durch Mitgliedsbeiträge und Spenden in der Höhe von insgesamt EUR 851.120,89 erzielt und habe darüber hinaus eine Parteienförderung in der Höhe von EUR 1.200.000,00 erhalten. Unter Anwendung der Fines-Leitlinien werde die Beschwerdeführerin in Bezug auf ihre Einnahmen und im Hinblick auf die Verhängung einer wirksamen, abschreckenden und verhältnismäßigen Geldbuße in die zweitniedrigste Kategorie („Undertakings with a turnover of €2m up until € 10m“) eingestuft. Durch diese Einstufung werde insbesondere die Verhältnismäßigkeit der Geldbuße gewährleistet.

Im Lichte des als erwiesen angenommenen Sachverhalts und unter Berücksichtigung der Art, Schwere und Dauer des Verstoßes (Artikel 83, Absatz eins, Litera a, DSGVO), der Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Artikel 83, Absatz 2, Litera b, DSGVO) sowie der Kategorien personenbezogener Daten, die vom Verstoß betroffen seien (Artikel 83, Absatz 2, Litera g, DSGVO), werde von der belangten Behörde die Schwere der Zuwiderhandlung mit einem hohen Schweregrad festgelegt. Bei der Strafzumessung erschwerend berücksichtigt worden sei kein Umstand, die Intensität der Beeinträchtigung bzw. der Eingriff in das Grundrecht der Betroffenen auf Geheimhaltung sei bereits bei der Festlegung des Schweregrades berücksichtigt worden. Mildernd bei der Strafzumessung sei berücksichtigt worden, dass gegen die Beschwerdeführerin bei der belangten Behörde keinerlei einschlägige frühere Verstöße gegen die DSGVO vorliegen würden, die Beschwerdeführerin im Rahmen des gegenständlichen Ermittlungsverfahrens vor der belangten Behörde mitgewirkt und dadurch einen Beitrag zur Wahrheitsfindung geleistet habe, indem sie insbesondere den vorgeworfenen Sachverhalt nicht in Abrede gestellt und sich nach Zustellung der Aufforderung zur Rechtfertigung einsichtig gezeigt habe, sowie der Umstand, dass die Beschwerdeführerin die jeweiligen Arbeitnehmer/innen umgehend belehrt und darüber hinaus die E-Mail-Adressen bzw. die Verteilerliste gelöscht habe, um einen derartigen Versand in Zukunft zu unterbinden.

Die Verhängung der Geldstrafe sei zwar nicht im Sinne der Spezialprävention, jedoch im Sinne der Generalprävention erforderlich gewesen, um Verantwortliche, insbesondere andere politische Parteien, in Bezug auf den rechtskonformen Versand von E-Mails unter Verwendung einer Verteilerliste und der damit im Zusammenhang stehenden Pflichten nach der DSGVO zu sensibilisieren, insbesondere, wenn dadurch sensible Daten von Betroffenen verarbeitet würden.

Die im Ergebnis konkret verhängte Strafe in der Höhe von EUR 50.700,00 erscheine daher im Hinblick auf den verwirklichten Tatunwert, gemessen am zur Verfügung stehenden Strafrahmen des Artikel 83, Absatz 5, DSGVO (hier bis zu EUR 20.000.000,00) tat- und schuldangemessen und befinde sich am untersten Ende des zur Verfügung stehenden Strafrahmens (0,25% des Strafrahmens).

15. Gegen dieses Straferkenntnis erhob die Beschwerdeführerin fristgerecht Beschwerde gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG (Parteibeschwerde) an das Bundesverwaltungsgericht, in welcher sie Folgendes vorbrachte: Das Straferkenntnis der belangten Behörde werde wegen Rechtswidrigkeit des Inhalts und Verletzung wesentlicher Verfahrensvorschriften angefochten. Die Beschwerdeführerin habe keine Bestimmungen der DSGVO verletzt, jedenfalls habe die Beschwerdeführerin eine allfällige Verletzung mangels Verschuldens nicht zu verantworten. Die Beschwerdeführerin habe die verfahrensgegenständlichen rund 400 E-Mail-Adressen von Betroffenen rechtmäßig verarbeitet. Unrichtig sei die Schlussfolgerung, dass es sich bei diesen E-Mail-Adressen um besondere Kategorien personenbezogener Daten gemäß Artikel 9, DSGVO handle. Für die Empfänger des Schreibens gehe aus der Liste der Empfänger (Verteilerliste) gerade nicht hervor, welcher politischen Überzeugung eine bestimmte Person angehöre, handle es sich dabei doch einerseits um politische Amtsträger, andererseits um die Presse und Öffentlichkeit sowie bestimmte der Petition nahestehende Personen. Ohne entsprechende weitere Anhaltspunkte sei es für einen einzelnen Empfänger unmöglich, bei anderen Empfängern auf eine politische Orientierung oder Weltanschauung zu schließen. Es seien Mitglieder verschiedenster Parteien Empfänger des Schreibens gewesen und bestehe zudem eine Diskrepanz zwischen der Anzahl an Empfängern und der Anzahl an Unterzeichnern der Petition. Eine vollinhaltliche Verknüpfung dahingehend, dass sämtliche Personen auf der Verteilerliste Mitglieder/Unterstützer/Unterzeichner der Petition und somit der Beschwerdeführerin seien, könne daher schon aus diesen Gründen nicht erfolgen.

Selbst wenn man davon ausgehen würde, dass personenbezogene Daten besonderer Kategorie verarbeitet worden seien, sei der Beschwerdeführerin der Verstoß nicht anzulasten. Die Mitarbeiterin Mag. B.H., die dieses Schreiben an die Verteilerliste versendet habe, sei nur wenige Wochen zuvor als Assistenz der Beschwerdeführerin und der Landesorganisation römisch 40 aufgenommen worden. Ihr sei im Zeitpunkt des Versendens des Schreibens nicht bewusst gewesen, dass die Übermittlung an die Verteilerliste, die personenbezogene Daten enthalte, möglicherweise geeignet sei, durch den Bezug zum restlichen Inhalt des verschickten Schreibens auf die politische Meinung und weltanschauliche Überzeugung der darin angeführten Personen mittelbar zu schließen. Sie hätte das Schreiben an die Verteilerliste ansonsten nicht ohne Weiteres verschickt, sondern diesen Umstand vor dem Versenden besondere Aufmerksamkeit geschenkt und vorab geklärt, ob vorher weitere notwendige Schritte erforderlich seien. Jedenfalls sei es durch ein entschuldbares Fehlverhalten einer Mitarbeiterin – die zuvor im Rahmen der Einschulung explizit auf die Einhaltung der datenschutzrechtlichen Maßnahmen im Betrieb, nämlich sowohl im Umgang mit personenbezogenen Daten von Kollegen/Kolleginnen als auch im Umgang mit sonstigen personenbezogenen Daten anderer Personen (z.B. Mitgliedern, Anhängern, Spendern, etc.), hingewiesen worden sei – zur Versendung des Schreibens gekommen. Der Beschwerdeführerin sei die Einhaltung datenschutzrechtlicher Bestimmungen als politische Partei enorm wichtig, weshalb sämtliche Mitarbeiter jedenfalls im Rahmen der Einstellung und in weiterer Folge durch regelmäßige Schulungen auf Datenschutz sensibilisiert und zur Einhaltung entsprechender Maßnahmen verpflichtet würden. Dass die Mitarbeiterin sämtlichen Empfängern aus der Verteilerliste dieses Schreiben gleichzeitig versenden werde, sei der Beschwerdeführerin nicht bekannt gewesen und musste sie aufgrund der ausführlichen Einschulung und der Verpflichtung sämtlicher Mitarbeiter zur Einhaltung datenschutzrechtlicher Bestimmungen davon auch nicht ausgehen. Die Beschwerdeführerin sei sich sohin im Sinne der Rechtsprechung des EuGH im Unklaren über eine allfällige Rechtswidrigkeit einer ihr zurechenbaren Mitarbeiterin gewesen. Ein entschuldbares Fehlverhalten einer Mitarbeiterin könne und solle nicht dazu führen, die Beschwerdeführerin als Verantwortliche beim erstmaligen Verstoß gegen datenschutzrechtliche Bestimmungen - was weiterhin bestritten werde - zur Rechenschaft zu ziehen, schon gar nicht in dem angesetzten Ausmaß.

Zudem ignoriere die belangte Behörde, dass die Entscheidung des EuGH in der Rechtssache C-807/21 erst am 05.12.1023 ergangen sei, gegenständlicher Vorfall sich jedoch bereits am 22.11.2021 (somit mehr als zwei Jahre zuvor) ereignet habe. Dementsprechend sei die - nach wie vor aufrecht kundgemachte und somit geltende - Bestimmung des Paragraph 30, DSG einschlägig und (jedenfalls bei der Verschuldensfrage) zu berücksichtigen. Mag. B.H. habe aber weder eine (Führungs-)Position gemäß Paragraph 30, Absatz eins, DSG inne noch sei der Beschwerdeführerin eine mangelnde Überwachung oder Kontrolle einer Führungsposition vorzuwerfen. Schon aus diesem Grund scheide eine Bestrafung mangels (zurechenbaren) Verschuldens der Beschwerdeführerin aus.

Sollte das Bundesverwaltungsgericht die Ansicht der belangten Behörde dahingehend teilen, dass das Verhalten der Mitarbeiterin der Beschwerdeführerin insofern zuzurechnen sei, dass der Beschwerdeführerin auch ein Verschulden anzulasten sei, so sei bei der Beschwerdeführerin höchstens von Fahrlässigkeit - und nicht von Vorsatz - auszugehen, was sich natürlich auf die Strafzumessung erheblich auswirke. Die belangte Behörde führe im Straferkenntnis zudem selbst aus, dass eine Bestrafung aus spezialpräventiven Gründen nicht notwendig erscheine, insbesondere vor dem Hintergrund, dass die Beschwerdeführerin verwaltungsstrafrechtlich noch nie in Vorschein getreten sei. Die Milderungsgründe würden die Erschwerungsgründe beträchtlich überwiegen und auch die Rechtsgutbeeinträchtigung (nur mittelbarer Bezug zur politischen Einstellung) wäre verhältnismäßig äußerst gering. Im konkreten Fall wäre daher mit einer Ermahnung das Auslangen zu finden gewesen. Jedenfalls sei das Ausmaß der verhängten Geldstrafe überhöht. Die bisherige Strafpraxis deute auf Strafen im Bereich rund um EUR 10.000,00 hin.

Die belangte Behörde habe es verabsäumt, die für den gegenständlichen Fall relevanten Personen einzuvernehmen, obwohl dies beantragt worden sei. Hätte die belangte Behörde - entsprechend ihrer Pflicht zur Erforschung der materiellen Wahrheit - die beschäftigten Mitarbeiterinnen, Frau Mag. B.H., Frau römisch 40 (in der Folge: G.S.) und den damaligen Obmann, Herrn Dr. N.C. einvernommen, wäre sie zum Ergebnis gekommen, dass einerseits einzelne Empfänger der Schreiben nicht einer bestimmten politischen Überzeugung oder Weltanschauung - nämlich der, der Beschwerdeführerin - zugeordnet werden könnten und zudem, dass die Beschwerdeführerin mangels Kenntnis des Versendens an die gesamte Verteilerliste und aufgrund der durchgeführten Einschulung und Verpflichtung sämtlicher Mitarbeiter zur Einhaltung datenschutzrechtlicher Bestimmungen auch kein (Organisations-)Verschulden anzulasten sei.

Die belangte Behörde verletze mit dem ergangenen Straferkenntnis die Beschwerdeführerin zudem in ihrem Recht auf Gleichheit vor dem Gesetz gemäß Artikel 7, Absatz eins, B-VG und Artikel 2, StGG, indem sie dem anzuwendenden Gesetz einen gleichheitswidrigen Inhalt unterstelle und die materiellrechtlichen Vorschriften grob verkenne sowie indem willkürlich gravierende Verfahrensmängel vorliegen würden und die belangte Behörde das Parteivorbringen ignoriere.

Doch selbst für den Fall, dass das Bundesverwaltungsgericht die Ansicht der belangten Behörde teilen und zum Ergebnis gelangen sollte, dass die betroffenen Personen in ihrem Recht auf Geheimhaltung und Datenschutz verletzt worden seien, greife die belangte Behörde mit ihrem Akt (nämlich der Verhängung der Verwaltungsstrafe) unverhältnismäßig in das politische Grundrecht der Beschwerdeführerin und ihrer Mitglieder/Unterstützer/Unterzeichner ein. Die Tätigkeit der Beschwerdeführerin als politische Partei dürfe gemäß Paragraph eins, PartG keiner Beschränkung unterworfen werden. Dazu gehöre auch das Versenden etwaiger Schreiben, mit welchen die gebündelte Meinung von Gleichgesinnten (hier: rund 9.000 Unterzeichnern der Petition) an Personen, die eine andere politische Einstellung/Meinung innehaben, mitgeteilt werde.

16. Die belangte Behörde legte die Beschwerde samt den bezughabenden Akten des Verwaltungsstrafverfahrens (samt den Verwaltungsakten zum amtswegigen Prüfverfahren [D213.1503]) mit Schreiben vom 22.01.2024 dem Bundesverwaltungsgericht zur Entscheidung vor und gab eine Stellungnahme ab, in welcher sie den angefochtenen Bescheid verteidigte und ausführte, dass die behaupteten Schulungsmaßnahmen und Vereinbarungen im Dienstvertrag mangels Anwendung des Paragraph 30, Absatz 2, DSG irrelevant seien. Die Beschwerdeführerin verkenne in Bezug auf eine Anwendbarkeit des Paragraph 30, DSG die Rechtslage. Entscheidungen des EuGH würden ex tunc wirken, objektives Recht schaffen und über den Ausgangsrechtsstreit hinaus eine rechtliche Bindungswirkung dahin entfalten, dass alle Gerichte bzw. Verwaltungsbehörden der Mitgliedstaaten die vom EuGH vorgenommene Auslegung zu beachten hätten. Der EuGH habe unmissverständlich klargestellt, dass keine Handlung und nicht einmal eine Kenntnis über den Verstoß seitens des Leitungsorgans einer juristischen Person erforderlich sei vergleiche EuGH vom 05.12.2023, C-807/21, Rz 77). Daran ändere auch das Vorbringen der Beschwerdeführerin nichts, wonach sie aufgrund der genannten Maßnahmen „im Unklaren über eine allfällige Rechtswidrigkeit einer ihr zurechenbaren Mitarbeiterin“ gewesen sei. Ob Verschulden in Form von Vorsatz oder Fahrlässigkeit vorgelegen sei, sei für die Strafbarkeit der Beschwerdeführerin bzw. Erfüllung der subjektiven Tatseite zudem nicht entscheidend.

Das Vorbringen zur behaupteten Verletzung der Gründungs- und Betätigungsfreiheit politischer Parteien beschränke sich auf allgemein gehaltene Ausführungen und es werde insbesondere nicht näher begründet, inwiefern es für die Ausübung der „Betätigungsfreiheit“ als politische Partei erforderlich gewesen sei, dass der Versand der gegenständlichen (zwei) E-Mail-Nachrichten mit einem offenen Verteiler erfolgt sei. Die Beschwerde sei in diesem Zusammenhang auch in sich widersprüchlich. Einerseits bringe die Beschwerdeführerin vor, dass ihr kein Vorsatz angelastet werden könne, da es aufgrund des Fehlverhaltens einer Mitarbeiterin zum Versand mit offenem Verteiler gekommen sei (demnach räume sie selbst ein, dass der Versand mit Verteiler nicht erforderlich gewesen sei) und andererseits sei es aber für die Beschwerdeführerin als politische Partei notwendig und müsse es möglich sein, solche Nachrichten zum Zwecke der Durchführung einer politischen Kampagne mit einem offenen Verteiler zu versenden, damit sie ihre Rechte als politische Partei ausüben könne.

Zu den behaupteten Verfahrensfehlern sei festzuhalten, dass die Beschwerdeführerin im Laufe des Ermittlungsverfahrens im Verwaltungsstrafverfahren nur eine kurze Rechtfertigung eingebracht und sich nur auf das Notwendigste beschränkt habe. Weder im Laufe des Verwaltungsstrafverfahrens noch des amtswegigen Prüfverfahrens habe die Beschwerdeführerin die Einvernahme der genannten Personen beantragt. Unabhängig davon sei jedoch auch keine Relevanz der behaupteten Verfahrensfehler erkennbar. Das von der Beschwerdeführerin genannte Beweisthema hätte selbst im Falle der dementsprechenden Feststellungen zu keinem anderen Ergebnis (Einstellung oder Verwarnung) geführt. Die Frage, ob durch den Versand der gegenständlichen E-Mails eine Offenlegung sensibler Daten erfolgt sei, ergebe sich aus den E-Mail-Nachrichten per se und sei darüber hinaus eine Rechtsfrage. Das Vorbringen/Beweisthema, dass kein Organisationsverschulden vorgelegen hätte und das Verhalten der Mitarbeiterin der Beschwerdeführerin daher nicht zugerechnet werden könne, sei aus den oben angeführten Gründen irrelevant.

In Bezug auf das Vorbringen, wonach die Geldstrafe „überhöht“ sei und die belangte Behörde in einem näher genannten „viel schlimmeren Fall“ (DSB-D550.185) eine Geldstrafe in der Höhe von EUR 10.000 verhängt habe (gegenüber einer natürlichen Person), sei darauf hinzuweisen, dass ein Verweis auf andere Straferkenntnisse (unabhängig davon, dass der zitierte Fall sich nicht vergleichen lasse) ins Leere laufe, da eine Aufsichtsbehörde bei der Verhängung einer Geldbuße gemäß Artikel 83, Absatz eins, DSGVO sicherstellen müsse, dass die jeweilige Geldbuße in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sei. Die belangte Behörde habe eine solche Einzelfallbeurteilung vorgenommen und zudem die Fines-Leitlinien des EDSA zur Anwendung gebracht.

17. Das Bundesverwaltungsgericht übermittelte die bei der Aktenvorlage abgebebene Stellungnahme der belangten Behörde der Beschwerdeführerin zur Kenntnis- und Stellungnahme.

18. Die Beschwerdeführerin erstattete am 19.02.2024 eine Stellungnahme, in welcher sie ihre Ausführungen aus der Parteibeschwerde wiederholte und ausführte, dass die belangte Behörde erneut verkenne, dass die – nach wie vor aufrecht kundgemachte und somit geltende – Bestimmung des Paragraph 30, DSG einschlägig und (jedenfalls bei der Verschuldensfrage) entsprechend zu berücksichtigen sei. Doch selbst die von der belangten Behörde ins Treffen geführte Entscheidung des EuGH in der Rechtssache C-807/21 werde von ihr fehlinterpretiert. Denn nach dieser Entscheidung führe nur ein schuldhafter Verstoß zur Verhängung einer Geldbuße. Dies sei dann der Fall, wenn sich der Verantwortliche (hier: die Beschwerdeführerin) über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein habe können. Die belangte Behörde lasse in diesem Zusammenhang weiterhin Begründungen vermissen, weshalb datenschutzrechtliche Schulungsmaßnahmen und vertragliche Verpflichtungen zur Einhaltung von Datenschutz nicht ausreichen würden, um die Unklarheit über eine allfällige Rechtswidrigkeit einer der Beschwerdeführerin zurechenbaren Mitarbeiterin zu bejahen.

19. Mit Schriftsatz vom 14.08.2024 brachte die Beschwerdeführerin ergänzend vor, dass der zugestandene Fehler von Mag. B.H. nicht automatisch zu einer Strafe für die Beschwerdeführerin führen könne, insbesondere wenn keine systematischen Mängel oder organisatorischen Versäumnisse nachweisbar seien. Die Beschwerdeführerin habe alle erforderlichen Maßnahmen ergriffen, um einen solchen Vorfall zu verhindern, weshalb ihr kein Verschulden anzulasten sei.

Dem Schriftsatz angeschlossen wurde die von Mag. B.H. unterschrieben Datenschutz- sowie Verschwiegenheitserklärung vom 01.11.2021.

20. Das Bundesverwaltungsgericht führte in der gegenständlichen datenschutzrechtlichen Angelegenheit eine öffentliche mündliche Verhandlung durch, an welcher sich die Beschwerdeführerin, deren Rechtsvertretung sowie die belangte Behörde beteiligten. Weiters wurden zwei Arbeitnehmerinnen der Beschwerdeführerin, Mag. B.H. und G.S., sowie der ehemalige Obmann der Beschwerdeführerin, Dr. N.C., als Zeugen einvernommen.

Die Zeugin Mag. B.H. gab insbesondere an, von November 2021 bis Jänner 2023 als Sekretärin bei der Beschwerdeführerin angestellt gewesen zu sein. Die beiden verfahrensgegenständlichen E-Mails vom 22.11.2021 seien von ihr auf Anordnung von G.S. versendet worden. G.S. sei hereingekommen und habe ihr einen Brief an das Gesundheitspersonal vorgelegt. Ob in Papierform oder als Mail wisse sie jetzt nicht mehr, sie glaube es sei ein E-Mail gewesen. G.S. habe gesagt: „da ist ein Brief, den schicken wir an das Gesundheitspersonal per Mail.“ Dann habe G.S. ihr noch eine elektronische Liste mit ungefähr 800 bis 1.000 Mailadressen gegeben, an welche der Brief verschickt werden sollte. Den Brief seien G.S. und sie nochmal durchgegangen, ob orthografisch alles in Ordnung sei. Sie habe die Briefe dann an alle Adressaten, die in diesem Verzeichnis gewesen seien, verschickt, so wie es ihr angeordnet worden sei. Dabei sei ihr ein Fehler unterlaufen. Es sei ein bisschen eine Drucksituation und Stress gewesen. Normalerweise schicke man das in Blindcopy, „bcc“, sie habe sich aber vertippt und habe die E-Mails in „cc“ verschickt. Als Adressatin habe sie glaublich sich selbst eingegeben. Es habe dann ab dem nächsten Tag Rückmeldungen verschiedenster Art gegeben, es werde auch ca. 15-20 Rückmeldungen gegeben haben, dass jemand nicht mehr auf der Verteilerliste habe sein wollen. Der Verteiler sei nachher nicht mehr verwendet worden. Einige Personen hätten dezidiert gesagt, sie wollten mit der Beschwerdeführerin nichts zu tun haben und nichts von ihr bekommen. Ob im Vorfeld der Versendung das Thema „cc“ und „bcc“ besprochen worden sei, könne sie nicht mehr sagen, das sei drei Jahre her.

Die Zeugin G.S. gab insbesondere an, zurzeit keine Funktion bei der Beschwerdeführerin zu haben, zum Tatzeitpunkt sei sie stellvertretende Schriftführerin der Beschwerdeführerin gewesen. Sie habe die Adressen, die sie von römisch 40 (in der Folge: Dr. P.), dem Geschäftsführer und Bundesfinanzreferenten, elektronisch bekommen habe, in ausgedruckter Form zur Bearbeitung an Mag. B.H. gegeben und ihr am Computer gezeigt, wie man E-Mails mit „bcc“, Blind Copy, verschicke. Von wem sie diesen Auftrag erhalten habe, wisse sie nicht mehr. Mag. B.H. hätte die Adressen abtippen sollen. Sie habe extrem lange dafür gebraucht und irgendwann sei diese dann bei ihr vorbegangen und habe gesagt: „Ich habe es erledigt.“ und sei nach Hause gegangen. Sie wisse nicht mehr, wie viel Adressen auf der Liste gewesen seien und ob sie auch die E-Mail mit den Adressen an Mag. B.H. weitergeleitet habe. Sie sei sich nicht mehr sicher, was genau verschickt werden sollte, glaublich aber ein offener Brief an den Gesundheitsminister oder das Gesundheitspersonal. Vor Versendung sei sie den Brief mit Mag. B.H. glaublich nicht mehr durchgegangen.

Der Zeuge Dr. N.C. gab an, Mitgründer und von 14.02.2021 bis 12.01.2022 Bundesparteiobmann der Beschwerdeführerin gewesen zu sein. Der Bundesvorstand habe entschieden, dass diese Nachrichten verschickt werden sollten, die faktische Versendung habe er aber nicht selbst vorgenommen. Die Adressen hätten soweit er sich erinnere von Dr. P. gestammt, der versichert habe, dass das alles offizielle E-Mail-Adressen seien, die man auch im Internet finden könne. Er selbst habe sich um die Adressen nicht gekümmert, seine Aufgabe sei die politische Arbeit gewesen. Abgesehen davon hätte natürlich der Versand dergestalt passieren sollen, dass die Adressen nicht ersichtlich seien, schon aus Gründen der Diskretion und der Höflichkeit. Es sei selbstverständlich und müsse man nicht weiter diskutieren, dass so etwas in Blind Copy verschickt werde. Ob es konkret erörtert worden sei, wisse er heute nicht mehr. Soweit er wisse hätten sich ca. zwei Empfänger beschwert. Die Beschwerdeführerin habe dann versucht, alles in Ordnung zu bringen.

Die belangte Behörde führte aus, dass die Beschwerdeführerin versucht habe durch die beantragten Zeugen den Eindruck zu erwecken, dass es kein Organisationsverschulden innerhalb der Beschwerdeführerin gegeben habe. Sie übersehe aber dabei ganz grundsätzlich, dass es darauf nicht ankomme. Die belangte Behörde habe bereits dargelegt, dass die Strafbarkeit nicht von Paragraph 30, Absatz 2, DSG abhänge. Im Ergebnis sei das Verschulden der Beschwerdeführerin anhand der Handlungen der Mag. B.H. zu bewerten. Ihr Verhalten werde der juristischen Person unmittelbar und auch ohne Organisationsverschulden zugerechnet. Das Fehlverhalten der Mag. B.H. werde von der Beschwerdeführerin selbst nicht bestritten. In Bezug auf die subjektive Tatseite werde noch darauf hingewiesen, dass Vorsatz kein notwendiges Tatbestandselement sei. Das Vorbringen der Beschwerdeführerin, wonach außerordentliche Milderungsgründe im Sinne des Paragraph 19 und Paragraph 20, VStG vorliegen würden, laufe ebenfalls ins Leere, da der EuGH in seinem Urteil C-807/21 unmissverständlich festgehalten habe, dass die materiellen Voraussetzungen einer Geldbuße abschließend in Artikel 83, Absatz eins bis 6 DSGVO geregelt seien. Abschließend werde noch auf die Rechenschaftspflicht der Beschwerdeführerin nach Artikel 5, Absatz 2, der DSGVO hingewiesen, die hier nicht im Ansatz erfüllt worden sei.

Die Beschwerdeführerin führte aus, aktuell kein Vermögen zu besitzen. Die Kosten der Partei würden von dritter Seite getragen. Parteienförderung erhalte die Beschwerdeführerin derzeit keine, weil sie als Partei in keinem Parlament vertreten sei. Im Jahr 2024 habe die Beschwerdeführerin von ungefähr 2.400 Personen Mitgliedsbeiträge in Höhe von EUR 70.000,00 erhalten, diese Einnahmen seien zur Gänze verbraucht. Die Parteienförderung für die römisch 40 mit eigener Rechtspersönlichkeit betrage für das Jahr 2024 EUR 1,2 Millionen.

Der Rechtsvertreter der Beschwerdeführerin verwies auf das bisherige Vorbringen und führte abermals aus, dass durch die Beschwerdeführerin keine besonderen Kategorien personenbezogener Daten verarbeitet worden seien, da es sich bei den Empfängern der , E-Mails – entgegen der offensichtlichen Annahme der belangten Behörde – nicht ausschließlich um politische Unterstützer der Beschwerdeführerin gehandelt habe, sondern auch um gerichtsnotorisch anderen politischen Parteien zugehörigen Personen, sowie Journalisten und sonstigen Personen der Öffentlichkeit. Es sei daher nicht möglich, aus der , E-Mail-Adresse einer Person auf deren politische Orientierung zu schließen, weswegen eine Verletzung des Artikel 9, DSGVO unmöglich sei. Die belangte Behörde lasse in ihrem Straferkenntnis auch jede Feststellung zu einer politischen Überzeugung vermissen. Der von der Behörde festgestellte Sachverhalt an sich reiche also schon nicht aus, den zitierten Spruch zu tragen. Es werde die Aufhebung des Straferkenntnisses und die Einstellung des Verfahrens gemäß Paragraph 45, VStG beantragt.

21. Mit Schriftsatz vom 03.10.2024 legte die Beschwerdeführerin Nachweise zu ihren aktuellen Einkommens- und Vermögensverhältnissen vor.

22. Die belangte Behörde erstattete am 15.10.2024 eine Stellungnahme zur Urkundenvorlage der Beschwerdeführerin und brachte vor, dass zu berücksichtigen sei, dass die Beschwerdeführerin keine „Umsätze“ im klassischen Sinne (Summe aller Einnahmen durch den Verkauf von Waren oder Dienstleistungen) erziele, sondern primär Einnahmen durch Mitgliedsbeiträge, Spenden und gesetzliche Förderungen (Parteienförderungen) generiere. Die vorgelegten „Umsatzlisten“ stammten aus dem aktuell laufenden und noch nicht abgeschlossenen Jahr (Bezugszeitraum 2024), aus dem Wortlaut des Artikel 83, Absatz 5, DSGVO ergebe sich jedoch, dass es allenfalls nur auf die Einnahmen der Beschwerdeführerin im vorangegangenen (abgeschlossenen) Jahr ankomme. Die von der Beschwerdeführerin vorgelegten Unterlagen liefen bereits deshalb ins Leere. Auch der ins Treffen geführte Kontostand bilde nicht die entscheidende Grundlage für eine allfällige Strafzumessung durch den erkennenden Senat. Aus dem Wortlaut und der Systematik des Artikel 83, Absatz 2, DSGVO ergebe sich, dass primär der festgestellte Verstoß und dessen Schwere im Vordergrund stünden, und es könne nicht ein subjektives Recht auf Verhängung einer „Mindeststrafe“ erblickt werden, wenn ein bestimmter Kontostand ins Treffen geführt werde. Unabhängig davon werde von der belangten Behörde bestritten, dass es sich bei den vorgelegten Umsatzlisten um sämtliche Einnahmen der Beschwerdeführerin in Form von Mitgliedsbeiträgen, Spenden und Parteienförderungen im vorangegangen Jahr handle. In Bezug auf die gesetzliche Parteienförderung sei allgemein bekannt, dass der Landesorganisation der Beschwerdeführerin in römisch 40 jährlich EUR 1,2 Millionen Parteienförderung zufließe. Es könne hier auch nicht die Rede von zwei voneinander getrennten Einrichtungen sein. Es lägen offensichtliche Verflechtungen vor. So werde die Beschwerdeführerin von den Abgeordneten zum römisch 40 Landtag nach außen hin vertreten und in der öffentlichen Datenschutzerklärung der römisch 40 Organisation darauf hingewiesen, dass die Beschwerdeführerin für die Verarbeitung der personenbezogenen Daten Verantwortliche iSd Artikel 4, Ziffer 7, DSGVO sei.

römisch zwei. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

1.1. Die Ausführungen oben unter Punkt römisch eins. zum Verfahrensgang (Verwaltungsgeschehen) werden festgestellt.

1.2. Die Beschwerdeführerin ist eine in Österreich und Europa tätige politische Partei mit Sitz in römisch 40 . Die Beschwerdeführerin bildet die Bundesorganisation der Partei, daneben existiert für jedes österreichische Bundesland eine Landesorganisation mit eigener Rechtspersönlichkeit, wobei personelle und organisatorische Verflechtungen bestehen. Der aktuelle Bundesparteiobmann der Beschwerdeführerin, römisch 40 , ist ebenfalls Landesparteiobmann der Landesorganisation der Beschwerdeführerin in römisch 40 ( römisch 40 ), die Bundesparteiobmann Stellvertreterin, römisch 40 , ist zudem römisch 40 Landtagsabgeordnete für die römisch 40 , und der Finanzreferent der Bundesorganisation, römisch 40 , bekleidet das Amt des Klubobmanns des römisch 40 Klubs im römisch 40 Landtag und ist Landesparteiobmann. Es besteht eine einheitliche Mitgliedschaft, jedes Mitglied ist Mitglied der Bundespartei und wird gegebenenfalls zusätzlich als Landesparteimitglied geführt. Aktive Mitglieder können zu Delegierten und somit auch in die Organe des Bundesparteivorstandes gewählt bzw. entsendet werden. Soweit es für die Durchführung bundesweiter Wahlen oder der von Bundesorganen beschlossenen bundespolitischen Aktionen erforderlich ist, haben alle Einrichtungen, Funktionäre, Dienstnehmer und freiwilligen Mitarbeiter der Partei und ihrer Teilorganisationen die Richtlinien der Bundespartei zu befolgen.

1.3. Am 22.11.2021 versendete Mag. B.H. in ihrer Rolle als „Office Manager“ bzw. Sekretärin der Beschwerdeführerin zum Zwecke einer politischen Kampagne um 17:05 Uhr sowie um 17:18 Uhr zwei E-Mails samt Anhängen (zwei angehängte PDF-Dateien; „Offene Briefe“) mit einem offenen, für alle Empfänger sichtbaren E-Mail-Verteiler, der jeweils ca. 400 E-Mail-Adressen im „An-Feld“ als Empfänger beinhaltete. Darunter befanden sich zumindest 100 personalisierte E-Mail-Adressen, aus denen Klarnamen ersichtlich waren, und zwar sowohl dienstliche als auch private E-Mail-Adressen von natürlichen Personen. Konkret wurden folgende E-Mail-Adressen gegenüber folgendem Empfängerkreis offengelegt:

Inhalt der politischen Kampagne bzw. beider E-Mails waren zwei angehängte PDF-Dateien, die als „Offener Brief römisch 40 “ und „Offener Brief römisch 40 “ tituliert wurden. Die Sachverhaltsfeststellungen der belangten Behörde zum Inhalt der „Offenen Briefe“ unter Punkt römisch eins.14., Punkt 1.2. des angefochtenen Straferkenntnisses, werden den gerichtlichen Feststellungen zu Grunde gelegt.

Die E-Mail-Adressen wurden durch den ehemaligen Geschäftsführer und Finanzvorstand der Beschwerdeführerin, Dr. P., aus öffentlich zugänglichen Quellen erhoben. Bei den E-Mail-Empfängern handelte es sich insbesondere um Entscheidungsträger sowohl auf politischer Ebene als auch im Gesundheitsbereich, Institutionen im Gesundheitsbereich (Krankenhäuser, Senioren- und Pflegeheime etc.) sowie generell um Personen, die (als Arbeitnehmer) im Gesundheitsbereich tätig sind, welche nicht (ausschließlich) Parteimitglieder oder politische Gleichgesinnte der Beschwerdeführerin sind.

Es liegen keine Einwilligungen aller betroffenen Personen zur gegenständlichen Datenverarbeitung, insbesondere der Veröffentlichung, vor.

1.4. Es kann nicht festgestellt werden, dass in Bezug auf die verfahrensgegenständlichen , E-Mails die E-Mail-Adressen bewusst im „An“-Feld und nicht im „bcc“-Feld eingefügt wurden, bevor die E-Mails samt den „Offenen Briefen“ an die jeweiligen Empfänger verschickt wurden.

1.5. In der Folge des Versands der gegenständlichen E-Mails beschwerten sich ca. 15 bis 20 Personen bei der Beschwerdeführerin auf Grund des/der erhaltenen E-Mails und teilten mit, nichts mit der Beschwerdeführerin zu tun haben zu wollen und nichts von ihr erhalten zu wollen.

1.6. Die Beschwerdeführerin erzielte im Jahr 2022 Einnahmen in der Höhe von insgesamt EUR 851.120,89 durch Mitgliedsbeiträge und Spenden. Darüber hinaus hat die Beschwerdeführerin im Jahr 2022 eine Parteienförderung in der Höhe von EUR 1.200.000,00 erhalten und zum Stichtag 29.09.2022 ein Vermögen von insgesamt EUR 123.353,57.

Der Gesamtumsatz für das Jahr 2022 beträgt sohin EUR 2.051.120,89.

Im Jahr 2024 hat die Beschwerdeführerin von ungefähr 2.400 Personen Mitgliedsbeiträge in Höhe von EUR 70.000,00 erhalten. Die Parteienförderung für die römisch 40 beträgt für das Jahr 2024 EUR 1.200.000,00. Der Kontostand des Girokontos der Beschwerdeführerin bei der römisch 40 , IBAN römisch 40 beträgt per 27.09.2024 EUR 4.304,62.

Der Gesamtumsatz für das Jahr 2024 beträgt sohin EUR 1.270.000,00.

2. Beweiswürdigung:

Die Feststellungen ergeben sich aus den vorgelegten Verwaltungs- sowie den gegenständlichen Gerichtsakten, insbesondere auch aus der Niederschrift über die mündliche Verhandlung vor dem Bundesverwaltungsgericht.

Dazu im Einzelnen:

Die Feststellungen zu Punkt 1.2. ergeben sich aus den öffentlich zugänglich Informationen auf der Website der Beschwerdeführerin römisch 40 (abgerufen am 14.10.2024) sowie aus den – ebenfalls öffentlich abrufbaren – Satzungen/Statuten der Beschwerdeführerin ( römisch 40 ) sowie der Landesorganisation römisch 40 der Beschwerdeführerin ( römisch 40 ).

Die Feststellungen zu Punkt 1.3. ergeben sich aus den in den Verfahrensakten einliegenden E-Mails vom 22.11.2021, dem angefochtenen Straferkenntnis der belangten Behörde in Zusammenschau mit den Feststellungen aus dem Bescheid zum amtswegigen Prüfverfahren sowie dem eigenen Vorbringen der Beschwerdeführerin und den Aussagen der Zeugen. Der Versand der hier verfahrensgegenständlichen E-Mails durch eine Mitarbeiterin der Beschwerdeführerin an die angeführten (festgestellten) E-Mail-Adressen/Empfänger unter Verwendung eines offenen Verteilers, wodurch diese gegenüber den jeweiligen Empfängern offengelegt wurden, und der Inhalt der versendeten E-Mails ergibt sich aus den beiden , E-Mails selbst und wurde von der Beschwerdeführerin nicht bestritten bzw. selbst vorgebracht. Gleiches gilt in Bezug auf den Umstand, dass sich personalisierte E-Mail-Adressen unter den offengelegten Empfängern befanden: Die Offenlegung von zumindest 100 (nach der Zählung des Bundesverwaltungsgerichtes 168) personalisierten E-Mail-Adressen, aus denen Klarnamen ersichtlich waren, und zwar sowohl dienstliche als auch private E-Mail-Adressen von natürlichen Personen, insbesondere auch ein/eine bestimmte/r namentlich genannter Mitarbeiter/in von Gesundheitseinrichtungen, ist anhand der in Rede stehenden E-Mails vom 22.11.2021 objektiviert und wurde auch von der Beschwerdeführerin im Ergebnis selbst zugestanden, zumal sie in ihrer Meldung gemäß Artikel 33, DSGVO vom 04.12.2021 ausführte, rund 100 E-Mail-Adressen seien wegen der Identifizierbarkeit des Inhabers der Adresse als personenbezogene Daten zu qualifizieren.

Ebenfalls selbst vorgebracht bzw. nicht in Abrede gestellt wurden von der Beschwerdeführerin die näheren Umstände der Erhebung der E-Mail-Adressen, dass diese zum Zweck einer politischen Kampagne verwendet wurden, dass es sich um E-Mail-Adressen von Organisationen/Personen, welche nicht (ausschließlich) Parteimitglieder oder politische Gleichgesinnte sind, handelt, sowie, dass keine Einwilligungen aller betroffenen Personen zur gegenständlichen Datenverarbeitung, insbesondere der Veröffentlichung, vorliegen. Dass die E-Mail-Adressen durch den ehemaligen Geschäftsführer und Finanzvorstand der Beschwerdeführerin, Dr. P., aus öffentlich zugänglichen Quellen erhoben wurden, ergibt sich insbesondere auch aus der Zeugenaussage von Dr. N.C.

Bezüglich der Feststellung zu Punkt 1.4. ist festzuhalten, dass – entgegen den Ausführungen der belangten Behörde im angefochtenen Straferkenntnis – für das Bundesverwaltungsgericht nicht erwiesen ist, dass es sich um eine bewusste und gewollte Entscheidung der Beschwerdeführerin gehandelt hat, die E-Mail-Adressen nicht im Feld „bcc“, sondern im „An“-Feld einzufügen, bevor die E-Mails samt den „Offenen Briefen“ an die jeweiligen Empfänger verschickt wurden. Zwar wurde in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht ersichtlich, dass sich die einvernommenen Zeugen an die konkreten Umstände der Versendung der verfahrensgegenständlichen E-Mails nicht mehr hinreichend zu erinnern vermochten. So konnte die Zeugin G.S. über Nachfrage nicht sicher anzugeben, was genau verschickt werden sollte, um wie viel E-Mail-Adressen es sich handelte, ob sie Mag. B.H. die Liste mit den E-Mail-Adressen auch elektronisch oder nur in ausgedruckter Form übermittelte und ob – wie Mag. B.H. angab – sie den Brief vor Versendung noch einmal mit Mag. B.H. gemeinsam auf orthografische Richtigkeit kontrollierte. Die Zeugin Mag. B. H sagte auch aus, ihr sei bei der Versendung der E-Mails ein Fehler unterlaufen, sie habe sich „vertippt“ und die E-Mails in „cc“ statt „bcc“ verschickt, wobei jedoch feststeht, dass die E-Mail-Adressen im „An-Feld“ und nicht - wie von Mag. B.H. mehrmals ausgesagt - im „cc“ Feld verschickt wurden, sodass auch bei der Zeugin Mag. B.H. davon auszugehen ist, dass keine konkrete Erinnerung mehr an die tatsächlichen Umstände des E-Mail Versands gegeben war.

Dennoch konnte der Zeugin Mag. B.H. grundsätzlich gefolgt werden, dass ihr bei der Versendung der E-Mails ein Fehler unterlaufen ist, indem sie die E-Mail-Adressen, die sie mit der „bcc“-Funktion hätte versenden sollen, versehentlich ins falsche Feld eingefügt hat. Auch die Zeugin G.S. und der Zeuge Dr. N.C. sagten damit übereinstimmend und nachvollziehbar aus, dass der Versand der gegenständlichen E-Mails dergestalt hätte passieren sollen, dass die Adressen nicht ersichtlich seien. Der Zeuge Dr. N.C. betonte insbesondere auch, dass man nicht „weiter diskutieren müsse, dass so etwas in Blind Copy verschickt wird“. Vor diesem Hintergrund geht das Bundesverwaltungsgericht davon aus, dass im Arbeitsalltag der Beschwerdeführerin grundsätzlich derartige Schreiben bzw. politische Kampagnen ohne offenen Verteiler an die jeweiligen Empfänger verschickt wurden. Dafür spricht auch der Umstand, dass – wie die belangte Behörde im angefochtenen Straferkenntnis auch festgehalten hat – die Beschwerdeführerin die betroffenen Mitarbeiter umgehend belehrt und darüber hinaus die E-Mail-Adressen bzw. die Verteilerliste gelöscht hat, um einen derartigen Versand in Zukunft zu unterbinden. Für den konkreten Fall ergibt sich daraus, dass aus dem Akteninhalt in Zusammenhalt mit den Angaben der Beschwerdeführerin und jenen der einvernommenen Zeugen nicht der Schluss zu ziehen ist, dass es sich um eine bewusste und gewollte Entscheidung der Beschwerdeführerin gehandelt hat, die E-Mail-Adressen nicht im Feld „bcc“, sondern im „An-Feld“ einzufügen, sondern dass eine Fehlleistung ihrer Mitarbeiterin zur Offenlegung der , E-Mail-Adressen geführt hat.

Wenn die belangte Behörde diesbezüglich beweiswürdigend schlussfolgert, die Beschwerdeführerin wollte durch den offenen Verteiler gegenüber den Empfängern der Nachricht veranschaulichen, „unzählige Gleichgesinnte“ im Gesundheits- und Pflegewesen gefunden zu haben, die sich gegen die beschlossene Impflicht einsetzen möchten, ist festzuhalten, dass es sich hierbei im Ergebnis um eine spekulative Annahme der belangten Behörde handelt, die – trotz Durchführung einer mündlichen Verhandlung und ergänzenden Beweisaufnahme durch das Bundesverwaltungsgericht – durch keinerlei konkrete Beweisergebnisse untermauert werden konnte. Auch der Verweis auf den konkreten Wortlaut des Inhalts der offenen Briefe (beispielsweise „Wir Mitarbeiter des Gesundheitswesens…“; „Wir treten ein gegen die Diskriminierung von uns Mitarbeitern des Gesundheitswesens“; „Wir haben unzählige Gleichgesinnte in unserer Berufssparte gefunden, deutlicher gesagt, wir haben uns vernetzt“; „WIR SIND VIELE“; „Alle unter uns sind dazu bereit, ihren Dienst niederzulegen und in den Streik zu treten…“; „Abschließend weisen wir Sie darauf hin, von zahlreichen Personen aus den Gesundheitsberufen die Mitteilung erhalten zu haben, dass sie im Fall einer Impfpflicht ihre Arbeit mit sofortiger Wirkung niederlegen werden“, etc.) vermag die Annahme einer bewussten Handlung der Beschwerdeführerin nicht zu stützen, zumal dieser mehrdeutig gelesen werden kann, etwa auch dahingehend, dass – wie die Beschwerdeführerin vorbringt – sie die Empfänger der Schreiben für ihre politischen Ideen gewinnen wollte bzw. dass die Schreiben ein Weckruf sein sollten, sich der Beschwerdeführerin anzuschließen.

Die Feststellung zu Punkt 1.5. ergibt sich aus der Zeugenaussage der Mag. B.H. in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht. Der Zeuge Dr. N.C. sagte zwar dazu konträr aus, dass sich (lediglich) ca. zwei Empfänger beschwert hätten, gab aber gleichzeitig an, nicht weiter in diese Sache involviert gewesen zu sein, da die Sache von der Geschäftsführung, der ehemaligen Rechtsvertretung der Beschwerdeführerin und römisch 40 abgehandelt worden sei, weshalb das Bundesverwaltungsgericht diesbezüglich der Aussage der Zeugin Mag. B.H. folgt, zumal diese als Absenderin der E-Mails unmittelbar involviert war und auch angab, die Unmutsbekundungen in einem Ordner gesammelt und dies im Kollegenkreis verbal weitergegeben zu haben.

Die Feststellungen zu den Einkommens- und Vermögensverhältnissen der Beschwerdeführerin unter Punkt 1.6. ergeben sich aus den Angaben der Beschwerdeführerin im behördlichen Verfahren, in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht sowie den vorgelegten, unbedenklichen Unterlagen.

3. Rechtliche Beurteilung:

Zu A)

3.1. Gemäß Paragraph 6, BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß Paragraph 27, Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß Paragraph 24, Absatz 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.

Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. römisch eins 2013/33 in der Fassung BGBl. römisch eins 2013/122, geregelt (Paragraph eins, leg.cit.). Gemäß Paragraph 58, Absatz 2, VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.

Gemäß Paragraph 17, VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Artikel 130, Absatz eins, B-VG die Bestimmungen des AVG mit Ausnahme der Paragraphen eins bis 5 sowie des römisch vier. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, Bundesgesetzblatt Nr. 194 aus 1961,, des Agrarverfahrensgesetzes – AgrVG, Bundesgesetzblatt Nr. 173 aus 1950,, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, Bundesgesetzblatt Nr. 29 aus 1984,, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.

Gemäß Paragraph 28, Absatz eins, VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß Paragraph 31, Absatz eins, VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.

Gemäß Paragraph 28, Absatz 2, VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG dann in der Sache selbst zu entscheiden, wenn (1.) der maßgebliche Sachverhalt feststeht oder (2.) die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.

3.2. Zu den Prozessvoraussetzungen:

Die Beschwerde wurde fristwahrend erhoben und es liegen auch die sonstigen Prozessvoraussetzungen vor.

3.3. In der Sache:

3.3.1. Rechtsgrundlagen:

Für das gegenständliche Beschwerdeverfahren relevante Bestimmungen der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung), DSGVO, sowie des Verwaltungsstrafgesetzes 1991, VStG, lauten (auszugsweise, samt Überschrift):

Artikel 4, Ziffer eins, 2 und 7 DSGVO:

„1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;“

Artikel 5, DSGVO:

„Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“

Artikel 6, DSGVO:

„Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel römisch neun.

(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

a) Unionsrecht oder

b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel römisch neun. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem

a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,

b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,

c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,

d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,

e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.“

Artikel 9, DSGVO

„Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:

a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,

b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,

c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,

d) die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,

e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,

f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,

g) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,

h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,

i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder

j) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.

(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

(4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.“

Paragraph 64, Absatz eins und 2 VStG:

„Kosten des Strafverfahrens

(1) In jedem Straferkenntnis ist auszusprechen, daß der Bestrafte einen Beitrag zu den Kosten des Strafverfahrens zu leisten hat.

(2) Dieser Beitrag ist für das Verfahren erster Instanz mit 10% der verhängten Strafe, mindestens jedoch mit 10 Euro zu bemessen; bei Freiheitsstrafen ist zur Berechnung der Kosten ein Tag Freiheitsstrafe gleich 100 Euro anzurechnen. Der Kostenbeitrag fließt der Gebietskörperschaft zu, die den Aufwand der Behörde zu tragen hat.“

3.3.2. Umgelegt auf den gegenständlichen Fall bedeutet dies Folgendes:

3.3.2.1. Zur Erfüllung des objektiven Tatbestands:

Die belangte Behörde ging anhand des von ihr festgestellten Sachverhalts zunächst davon aus, dass der sachliche Anwendungsbereich von Artikel 2, Absatz eins, DSGVO eröffnet sei, da es sich bei den im vorliegenden Fall durch die erfolgte Nutzung des offenen E-Mail-Verteilers offengelegten E-Mail-Adressen um personenbezogene Daten im Sinne von Artikel 4, Ziffer eins, DSGVO handle, durch den Versand der gegenständlichen E-Mails mit offenem Verteiler zweifelsfrei eine Verarbeitung im Sinne von Artikel 4, Ziffer 2, DSGVO vorliege und die Beschwerdeführerin als Verantwortliche dieser Datenverarbeitung im Sinne des Artikel 4, Ziffer 7, DSGVO zu qualifizieren sei.

Die Beschwerdeführerin trat der rechtlichen Beurteilung der belangten Behörde diesbezüglich nicht entgegen und kann auch das Bundesverwaltungsgericht nicht finden, dass die Ausführungen der belangten Behörde diesbezüglich unrichtig wären.

Dazu ist insbesondere auch festzuhalten, dass auch wenn die verwendeten E-Mail-Adressen aus öffentlichen Quellen stammen, dies nicht bedeutet, dass das Datenschutzregime deshalb nicht gelten würde. Der Datenschutz für bereits veröffentlichte Daten unterscheidet sich grundsätzlich nicht vom Schutzumfang von sonstigen personenbezogenen Daten. Dies bedeutet, dass nicht alle Daten, die veröffentlicht werden oder öffentlich zugänglich sind, von einem Verantwortlichen für beliebige eigene Zwecke verwendet werden dürfen vergleiche Thiele/Wagner, Praxiskommentar zum DSG2 Paragraph eins, [Stand 1.2.2022, rdb.at], Rz 115f. mwN). Sofern zulässigerweise veröffentlichte Daten nicht bloß reproduziert werden, sondern ein neues Element mit diesen Daten verknüpft wird, wie etwa die Schaffung eines informationellen Mehrwerts zur Schaffung einer „Ärzte-Bewertungsplattform“ oder die Verwendung der Daten zur möglichen Akquise von Liegenschaften im Rahmen des Gewerbes als Immobilientreuhänder oder – wie hier – die Verwendung der Daten für eine politische Kampagne, handelt es sich bei dieser Verknüpfung um eine Verarbeitung gemäß Artikel 4, Ziffer 2, DSGVO, die eines Rechtfertigungstatbestandes iSd Artikel 5 und Artikel 6, bzw. Artikel 9, DSGVO bedarf.

Zur Rechtmäßigkeit der Verarbeitung (Versand der gegenständlichen E-Mails) hielt die belangte Behörde im angefochtenen Straferkenntnis fest, dass die Beschwerdeführerin durch den Versand der E-Mails eine besondere Kategorie personenbezogener (sensibler) Daten gemäß Artikel 4, Ziffer eins, in Verbindung mit Artikel 9, Absatz eins, DSGVO (konkret die politische Meinung und weltanschauliche Überzeugung) entgegen dem Verarbeitungsverbot nach Artikel 9, Absatz eins und ohne einen Ausnahmetatbestand nach Artikel 9, Absatz 2, DSGVO verarbeitet sowie den Grundsatz der Verarbeitung von personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise nach Artikel 5, Absatz eins, Litera a, DSGVO („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) und den Grundsatz der dem Zweck angemessenen und erheblichen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkten Verarbeitung von personenbezogenen Daten nach Artikel 5, Absatz eins, Litera c, DSGVO („Datenminimierung“) verletzt habe.

Die Beschwerdeführerin hält der diesbezüglichen rechtlichen Beurteilung der belangten Behörde zusammengefasst entgegen, dass die verfahrensgegenständlichen E-Mail-Adressen von Betroffenen rechtmäßig verarbeitet worden seien, die Schlussfolgerung, dass es sich bei diesen E-Mail-Adressen um besondere Kategorien personenbezogener Daten gemäß Artikel 9, DSGVO handle, sei unrichtig. Für die Empfänger des Schreibens gehe aus der Liste der Empfänger (Verteilerliste) gerade nicht hervor, welcher politischen Überzeugung eine bestimmte Person angehöre, handle es sich dabei doch einerseits um politische Amtsträger, andererseits um die Presse und Öffentlichkeit sowie bestimmte der Petition nahestehende Personen. Ohne entsprechende weitere Anhaltspunkte sei es für einen einzelnen Empfänger unmöglich, bei anderen Empfängern auf eine politische Orientierung oder Weltanschauung zu schließen.

Der Beschwerdeführerin ist jedoch Folgendes entgegenzuhalten:

Gemäß Artikel 9, Absatz eins, DSGVO ist die Verarbeitung von personenbezogenen Daten, aus denen (u.a.) politische Meinungen oder weltanschauliche Überzeugungen hervorgehen, untersagt. Artikel 9, Absatz 2, DSGVO sieht Ausnahmen von diesem Verbot vor.

Nach der Rechtsprechung des Verwaltungsgerichtshofes reicht es für die Anwendbarkeit des Artikel 9, Absatz eins, DSGVO aus, wenn hinsichtlich der Datenkategorien rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugung und Gewerkschaftszugehörigkeit die sensible Information nur mittelbar hervorgeht. Es werden somit auch indirekte Hinweise auf diese Merkmale dem besonderen Schutz unterworfen, wobei die Erkennbarkeit für einen durchschnittlichen, objektiven Dritten genügt vergleiche VwGH 17.05.2024, Ra 2023/04/0005-6, Rn. 30 mit Verweis auf VwGH 14.12.2021, Ro 2021/04/0007, Rn. 46, mwH).

Nach der Rechtsprechung des EuGH besteht der Zweck von Artikel 9, Absatz eins, DSGVO darin, einen erhöhten Schutz vor Datenverarbeitungen zu gewährleisten, die aufgrund der besonderen Sensibilität der Daten, die Gegenstand der Verarbeitungen sind, einen besonders schweren Eingriff in die durch die Artikel 7 und 8 der Charta verbürgten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen können vergleiche EuGH 21.12.2023, C-667/21, Krankenversicherung Nordrhein, Rn. 41).

Der EuGH hat zur Auslegung des Begriffs „besondere Kategorien personenbezogener Daten“ sowie zum „Hervorgehen“ im Sinn des Artikel 9, Absatz eins, DSGVO in seinem Urteil vom 01.08.2022, C-184/20, Vyriausioji tarnybinės etikos komisija, Folgendes ausgeführt:

„122 [...] Artikel 9, Absatz eins, der DSGVO bestimmt seinerseits, dass u. a. die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit ,hervorgehen‘, sowie die Verarbeitung von ,Gesundheitsdaten‘ oder Daten ,zum‘ Sexualleben oder zur sexuellen Orientierung einer natürlichen Person untersagt sind.

123 Wie der Generalanwalt in Nr. 85 seiner Schlussanträge der Sache nach ausgeführt hat, spricht die Verwendung des Verbs ,hervorgehen‘ in diesen Bestimmungen dafür, dass eine Verarbeitung erfasst ist, die sich nicht nur auf ihrem Wesen nach sensible Daten bezieht, sondern auch auf Daten, aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben [...].

[...]

125 Für eine weite Auslegung der Begriffe ,besondere Kategorien personenbezogener Daten‘ und ,sensible Daten‘ spricht auch das in Rn. 61 des vorliegenden Urteils genannte Ziel der Richtlinie 95/46 und der DSGVO, das darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen - insbesondere ihres Privatlebens - bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten [...].

[...]

127 Folglich können diese Bestimmungen nicht dahin ausgelegt werden, dass die Verarbeitung personenbezogener Daten, die indirekt sensible Informationen über eine natürliche Person offenbaren können, von der in diesen Bestimmungen vorgesehenen verstärkten Schutzregelung ausgenommen ist, da andernfalls die praktische Wirksamkeit dieser Regelung und der von ihr bezweckte Schutz der Grundrechte und Grundfreiheiten natürlicher Personen beeinträchtigt würden.“

Auch der OGH, dessen Ausführungen sich der Verwaltungsgerichtshof in seinem Erkenntnis Ro 2021/04/0007 angeschlossen hat, hat in Bezug auf „Parteiaffinitäten“ ausgesprochen, dass Artikel 9, DSGVO insbesondere auch davor schützen soll, dass betroffene Personen durch die Datenverarbeitung dem Risiko besonders schwerwiegender Diskriminierungen ausgesetzt sind, und es dann geboten erscheint, nicht nur solche Daten in den Schutzbereich des Artikel 9, Absatz eins, DSGVO einzubeziehen, aus denen die tatsächliche politische Einstellung des Betroffenen hervorgeht, sondern gerade auch Daten über vermutete politische Vorlieben des Einzelnen, birgt doch deren Verarbeitung ebenfalls das Risiko besonderer negativer Folgen für den Betroffenen in sich vergleiche OGH 15.4.2021, 6 Ob 35/21x, Rn. 34). Es kommt daher beim Schutz nach Artikel 9, Absatz eins, DSGVO nicht darauf an, ob die Zuordnung intendiert ist bzw. ob sie in Bezug auf den Betroffenen (inhaltlich) zutrifft vergleiche in diesem Sinn auch Weichert in Kühling/Buchner, DS-GVO BDSG4 [2024] Artikel 9, DS-GVO Rn. 24).

Vor dem Hintergrund dieser Ausführungen wird deutlich, dass durch die Offenlegung eines Teils der festgestellten E-Mail-Adressen gegenüber allen Empfängern, nämlich jedenfalls bezüglich jener zumindest 100 personalisierten E-Mail-Adressen, aus denen dienstliche oder private E-Mail-Adressen von natürlichen Personen als Empfänger, insbesondere ein/eine bestimmte/r namentlich genannter Mitarbeiter/in von Gesundheitseinrichtungen, hervorgehen bzw. hervorgeht, eine (gemäß Artikel 9, Absatz eins, DSGVO untersagte) Verarbeitung von personenbezogenen Daten, aus denen die (vermeintliche) politische Meinung hervorgeht, stattgefunden hat, zumal durch den Inhalt der gegenständlichen , E-Mails in Verbindung mit dem Zweck (Durchführung einer politischen Kampagne) und der Art und Weise der Verarbeitung (Verwendung eines offenen Verteilers) Empfängern der , E-Mails suggeriert wurde (und konnten die Adressaten bzw. Dritte dies objektiv auch so verstehen), es handle sich bei diesen um Unterstützer der Beschwerdeführerin, die deren politische Ansichten teilen, wobei hier auf den Wortlaut des Inhalts der versandten Briefe („Wir Mitarbeiter des Gesundheitswesens…“; „Wir treten ein gegen die Diskriminierung von uns Mitarbeitern des Gesundheitswesens“; „Wir haben unzählige Gleichgesinnte in unserer Berufssparte gefunden, deutlicher gesagt, wir haben uns vernetzt“; „WIR SIND VIELE“; „Alle unter uns sind dazu bereit, ihren Dienst niederzulegen und in den Streik zu treten…“; „Abschließend weisen wir Sie darauf hin, von zahlreichen Personen aus den Gesundheitsberufen die Mitteilung erhalten zu haben, dass sie im Fall einer Impfpflicht ihre Arbeit mit sofortiger Wirkung niederlegen werden“, etc.) zu verweisen ist, der den Eindruck erweckt, die im Verteiler angeführten betroffenen Personen hätten sich der Beschwerdeführerin angeschlossen, würden sich gegen die Impflicht aussprechen und seien bereit, ihre Arbeit niederzulegen. Für die Zuschreibung einer (vermeintlichen) politischen Überzeugung spricht auch der Umstand, dass sich nach der Aussage der Mag. B.H. in der Folge des Versands der gegenständlichen E-Mails ca. 15-20 Personen bei der Beschwerdeführerin beschwert und dezidiert gesagt haben, sie wollten mit der Beschwerdeführerin nichts zu tun haben und nichts von ihr bekommen. Somit liegt das Gefahrenpotential der von der Beschwerdeführerin in einem offenen Verteiler versendeten E-Mail-Adressen, jedenfalls in Bezug auf die zumindest 100 personalisierten E-Mail-Adressen, in der Benachteiligung oder Verfolgung der Betroffenen aufgrund der vermuteten politischen Überzeugung und nicht bloß, wie in der Meldung gemäß Artikel 33, DSGVO der Beschwerdeführerin vom 04.12.2021 ausgeführt wurde, in einer ungefragten Kontaktaufnahme.

Den Betroffenen wurde sohin von der Beschwerdeführerin durch Verwendung eines offenen E-Mail-Verteilers eine politische Meinung zugeordnet und sämtlichen Empfängern offengelegt.

Auch wenn der Beschwerdeführerin zuzugestehen ist, dass nicht aus allen von der Beschwerdeführerin verwendeten E-Mail-Adressen (etwa solchen, die eine gesamte Gesundheitseinrichtung betreffen) auf eine politische Überzeugung des dortigen Personals, der Bewohner etc. geschlossen werden kann, ändert dies nichts an dem Umstand, dass hinsichtlich eines erheblichen Teils der E-Mail-Adressen, die gegenüber einem größeren Personenkreis offengelegt wurden, – wie soeben ausgeführt – eine solche Verarbeitung vorliegt und der objektive Tatbestand einer Verletzung des Artikel 5, Absatz eins, Litera a und c DSGVO sowie Artikel 9, Absatz eins, DSGVO damit erfüllt ist. Das bloß teilweise Vorliegen von (sensiblen) Daten des Artikel 9, Absatz eins, DSGVO in Bezug auf die offengelegten E-Mail-Adressen wird bei der Strafbemessung entsprechend berücksichtigt, wenngleich diesem Umstand keine entscheidende Bedeutung zukommt (siehe dazu sogleich Punkt 3.3.2.3.).

Die gegenständlichen, den Betroffenen in zumindest 100 Fällen zugeschriebenen und offengelegten, politischen Überzeugungen sind daher unter den Begriff der besonderen Kategorie personenbezogener Daten des Artikel 9, Absatz eins, DSGVO zu subsumieren und fallen somit unter den besonderen Schutz dieser Bestimmung vergleiche in diesem Sinn auch Mangelberger/Scheichenbauer, Die Grenzen der weltanschaulichen Überzeugung in der DS-GVO, in jusIT 5/2021, 202 [207 f]). Ihre Verarbeitung wäre daher nur bei Vorliegen eines Ausnahmetatbestandes nach Artikel 9, Absatz 2, DSGVO zulässig vergleiche diesbezüglich EuGH 21.12.2023, C-667/21, Krankenversicherung Nordrhein, Rn. 42). Dass ein solcher Tatbestand vorgelegen wäre, wird von der Beschwerdeführerin nicht behauptet und ist auch sonst nicht ersichtlich geworden. Insbesondere liegt – wie festgestellt – keine Einwilligung aller betroffener Personen zur gegenständlichen Datenverarbeitung, insbesondere der Veröffentlichung iSd Artikel 9, Absatz 2, Litera a, DSGVO, vor und kommt auch der Rechtfertigungstatbestand des Artikel 9, Absatz 2, Litera d, DSGVO – auf den sich die Beschwerdeführerin im Übrigen nicht berufen hat – nicht in Betracht, zumal sich die Verarbeitung – wie festgestellt – nicht (ausschließlich) auf Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten ohne Einwilligung der betroffenen Personen nach außen offengelegt wurden.

In Bezug auf den Grundsatz der Datenminimierung nach Artikel 5, Absatz eins, Litera c, DSGVO kann auch vom Bundesverwaltungsgericht nicht erkannt werden, dass im konkreten Fall eine Erforderlichkeit der gegenständlichen Verarbeitung im Hinblick auf die Verwendung eines offenen Verteilers gegeben ist. Wie die belangte Behörde im angefochtenen Straferkenntnis zutreffend ausführt, hätte die politische Kampagne der Beschwerdeführerin auch ohne Verwendung eines offenen Verteilers durchgeführt werden können und hätte eine Übermittlung im „bcc“-Feld ebenso zum gewünschten Erfolg geführt. Das diesbezüglich gegenteilige Vorbringen der Beschwerdeführerin zur behaupteten Verletzung der Gründungs- und Betätigungsfreiheit politischer Parteien beschränkt sich – wie die belangte Behörde in ihrer Stellungnahme zur Parteibeschwerde ebenfalls zutreffend ausführt – auf allgemein gehaltene Ausführungen und zeigt die Beschwerdeführerin (damit) nicht nachvollziehbar auf, inwiefern es für die Ausübung der „Betätigungsfreiheit“ als politische Partei erforderlich gewesen sein sollte, dass der Versand der gegenständlichen E-Mail-Nachrichten mit einem offenen Verteiler erfolgte. Dieses Vorbringen steht im Übrigen auch in Widerspruch mit dem Vorbringen der Beschwerdeführerin, es sei aufgrund eines Fehlverhaltens einer Mitarbeiterin zum Versand mit offenem Verteiler gekommen, und den Aussagen der Zeugen in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht, dass „so etwas normalerweise in bcc“ verschickt werde.

Im Ergebnis kann die beschwerdegegenständliche Form der Verarbeitung (Verwendung/Übermittlung/Offenlegung) der E-Mail-Adressen durch die Beschwerdeführerin nicht auf das DSG und die DSGVO gestützt werden, da sie durch keine gesetzliche Grundlage gedeckt und auch nicht durch das Vorliegen eines Ausnahmetatbestandes nach Artikel 9, Absatz 2, DSGVO legitimiert war. Bei der hier zu beurteilenden Datenverarbeitung wurden die sich aus (dem DSG bzw.) der DSGVO ergebenden Anforderungen und Pflichten nicht eingehalten und sie erfüllt nicht die (im DSG und) in der DSGVO genannten Rechtmäßigkeitsvoraussetzungen, da sie nicht dem Grundsatz der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz gemäß Artikel 5, Absatz eins, Litera a, DSGVO entsprach und nicht im Sinne des in Artikel 5, Absatz eins, Litera c, DSGVO normierten Grundsatzes der Datenminimierung auf das notwendige Maß beschränkt war. Der verübte Eingriff in die Datenschutzrechte der vom Eingriff betroffenen Personen stellt sich als unverhältnismäßig und nicht gerechtfertigt dar, da bei der gebotenen Interessenabwägung ihre Interessen im Hinblick auf ihre (sensiblen) Daten jedenfalls überwiegen.

Damit ist der objektive Tatbestand einer Verletzung des Artikel 5, Absatz eins, Litera a und c DSGVO sowie Artikel 9, Absatz eins, DSGVO verwirklicht worden. Die Strafbarkeit dieses Verstoßes gründet sich, wie die belangte Behörde wiederum zutreffend im Bescheid ausgeführt hat, auf Artikel 83, Absatz eins und 5 Litera a, DSGVO.

Aufgrund des festgestellten Sachverhaltes zum bloß teilweisen Vorliegen von (sensiblen) Daten des Artikel 9, Absatz eins, DSGVO in Bezug auf die offengelegten E-Mail-Adressen war der Spruch des Straferkenntnisses spruchgemäß abzuändern.

3.3.2.2. Zur Erfüllung der subjektiven Tatseite:

Die belangte Behörde hielt im angefochtenen Straferkenntnis fest, dass die subjektive Tatseite ebenfalls erfüllt sei, da Verschulden in Form von Vorsatz (Artikel 83, Absatz 2, Litera b, DSGVO) vorliege.

Die Beschwerdeführerin hält dem zusammengefasst entgegen, dass eine Bestrafung mangels (zurechenbaren) Verschuldens der Beschwerdeführerin ausscheide, da die Mitarbeiterin Mag. B.H. weder eine (Führungs-)Position gemäß Paragraph 30, Absatz eins, DSG innehabe noch der Beschwerdeführerin eine mangelnde Überwachung oder Kontrolle einer Führungsposition vorzuwerfen sei. Der zugestandene Fehler von Mag. B.H. könne nicht automatisch zu einer Strafe für die Beschwerdeführerin führen, insbesondere wenn keine systematischen Mängel oder organisatorischen Versäumnisse nachweisbar seien.

Hierzu ist zunächst festzuhalten, dass die Voraussetzung des Verschuldens für die Verhängung einer Geldbuße nach Artikel 83, DSGVO unionsautonom auszulegen und insbesondere im Lichte der Rechtsprechung des EuGH zu beurteilen ist.

Aufgrund der Rechtsprechung des EuGH (Urteil vom 05.12.2023, C-807/21), wonach die unmittelbar anwendbaren Bestimmungen nach Artikel 58, Absatz 2, Litera i und Artikel 83, Absatz eins bis Absatz 6, DSGVO dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Artikel 83, Absatz 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde, sind die Bestimmungen nach Paragraph 30, Absatz eins und 2 DSG (sowie die Bestimmung des Paragraph 5, Verwaltungsstrafgesetz [VStG]) nicht mehr zur Anwendung zu bringen, da diese im Lichte des dargestellten Urteils des EuGH gegen Artikel 83, Absatz eins bis 6 DSGVO verstoßen, indem (zusätzliche) materielle Voraussetzungen für die Verhängung einer Geldbuße gegen eine juristische Person normiert werden (siehe dazu auch VwGH 01.02.2024, Ra 2020/04/0187-20, Rz 28, wonach die „aus dem nationalen Recht [dem VStG] abgeleitete Vorgabe, wonach für eine Verhängung einer Geldbuße nach der DSGVO über eine juristische Person im Spruch des Straferkenntnisses alle notwendigen Elemente für eine Bestrafung der natürlichen Person aufzunehmen seien, unangewendet hätte bleiben müssen […]“). Unter Verweis auf weitere Rechtsprechung stellte der EuGH zudem ausdrücklich klar, dass die Anwendung von Artikel 83, DSGVO gegenüber juristischen Personen keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt vergleiche EuGH vom 05.12.2023, C-807/21, Rz 77). Vor diesem Hintergrund geht das Vorbringen der Beschwerdeführerin, dass eine Bestrafung mangels (zurechenbaren) Verschuldens der Beschwerdeführerin ausscheide, jedoch ins Leere, da es – wie die belangte Behörde zutreffend vorbringt – mangels Anwendbarkeit des Paragraph 30, DSG nicht darauf ankommt, ob Mag. B.H. eine (Führungs-)Position gemäß Paragraph 30, Absatz eins, DSG bei der Beschwerdeführerin innehat(te), oder der Beschwerdeführerin eine mangelnde Überwachung oder Kontrolle einer Führungsposition, sohin ein Organisationsverschulden, vorzuwerfen ist.

Nach der Rechtsprechung des EuGH können nur Verstöße gegen Bestimmungen der DSGVO, die der Verantwortliche schuldhaft begangen hat, zur Verhängung einer Geldbuße führen. Verschulden liegt aber bereits dann vor, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt vergleiche EuGH C-807/21, Rz 68, 76 und 77; EuGH C-683/21, Rz 81 und 82 mwN).

Es kann – entgegen den Ausführungen der belangten Behörde – (und wie bereits oben ausgeführt) zwar nicht davon ausgegangen werden, dass es sich um eine bewusste und gewollte Entscheidung der Beschwerdeführerin, die gegenständlichen E-Mails samt Anhängen mit einem offenen Verteiler zu versenden, gehandelt hat, weshalb ein vorsätzliches Verhalten in Bezug auf die Verletzung der Bestimmungen der Artikel 5, Absatz eins, Litera a und c DSGVO sowie Artikel 9, Absatz eins, DSGVO im vorliegenden Fall nicht anzunehmen ist. Jedoch liegt im Sinne der Rechtsprechung des EuGH augenscheinlich Verschulden in Form von Fahrlässigkeit vor. Im vorliegenden Fall wurden die in Rede stehenden E-Mails aufgrund einer Fehlleistung unter Außerachtlassung der notwendigen Sorgfalt von einer Mitarbeiterin der Beschwerdeführerin mit einem offenen E-Mail-Verteiler verschickt, zumal diese E-Mails von der Mitarbeiterin mit einem nicht offenen E-Mail-Verteiler hätten versendet werden sollen, sodass im Ergebnis – wie oben – ausgeführt, den Betroffenen eine politische Meinung zugeordnet und sämtlichen Empfängern offengelegt wurde. Die Beschwerdeführerin führt diesbezüglich sogar selbst aus, dass ein Fehlverhalten einer ihrer Mitarbeiterinnen stattgefunden hat, womit sie ein Verschulden in Form von Fahrlässigkeit im Ergebnis auch nicht in Abrede stellt.

Angesichts der konkreten Offenlegung der E-Mail-Adressen unter Verwendung eines offenen E-Mail-Verteilers konnte sich die Beschwerdeführerin (bzw. die für diese handelnde Mitarbeiterin, die die E-Mail-Adressen ins „bcc“-Feld hätte einfügen sollen) nach der Rechtsprechung des EuGH über die Rechtswidrigkeit ihres Verhaltens, über eine unrechtmäßige, unverhältnismäßige, überschießende Offenlegung von E-Mail-Adressen, nicht im Unklaren sein, gleichviel, ob ihr dabei bewusst war, dass sie gegen die Vorschriften der DSGVO verstößt, wodurch ein Verschulden der Beschwerdeführerin in Form von Fahrlässigkeit jedenfalls gegeben ist, was sich insbesondere auch aus der Meldung der Beschwerdeführerin gemäß Artikel 33, DSGVO vom 04.12.2021 ergibt.

Damit ist die subjektive Tatseite eines Verstoßes gegen Artikel 5, Absatz eins, Litera a und c DSGVO sowie Artikel 9, Absatz eins, DSGVO im vorliegenden Fall verwirklicht worden.

3.3.2.3. Zur Strafbemessung:

Artikel 83, Absatz eins, 2 und 5 Litera a, DSGVO lauten samt Überschrift:

Allgemeine Bedingungen für die Verhängung von Geldbußen

(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;

f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;

i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;

j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und

k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;

Bei der Strafbemessung handelt es sich um eine Einzelfallentscheidung, bei der die Bewertungskriterien des Artikel 83, Absatz 2, DSGVO gebührend zu berücksichtigen sind.

Mit dem angefochtenen Straferkenntnis wurde über die Beschwerdeführerin eine Geldstrafe in Höhe von EUR 50.700,00 verhängt und die Beschwerdeführerin zum Ersatz eines Beitrages zu den Kosten des Strafverfahrens in Höhe von 10% der Strafe, sohin EUR 5.070,00, verpflichtet.

Die Beschwerdeführerin erzielte im Jahr 2022 Einnahmen in der Höhe von insgesamt EUR 851.120,89 durch Mitgliedsbeiträge und Spenden. Darüber hinaus hat die Beschwerdeführerin im Jahr 2022 eine Parteienförderung in der Höhe von EUR 1.200.000,00 erhalten.

Im Jahr 2024 hat die Beschwerdeführerin von ungefähr 2.400 Personen Mitgliedsbeiträge in Höhe von EUR 70.000,00 bekommen. Die Parteienförderung für die Landesorganisation römisch 40 der Beschwerdeführerin beträgt für das Jahr 2024 EUR 1.200.000,00.

Zunächst ist festzuhalten, dass – entgegen den Ausführungen der Beschwerdeführerin in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht – auch das Einkommen/Vermögen der Landesorganisationen der Beschwerdeführerin (insbesondere der Landesorganisation römisch 40 ) bei der Bemessung des Umsatzes zu berücksichtigen ist:

Zum Begriff des „Unternehmens“ im Sinne dieser Bestimmung hat der EuGH in der Rechtssache C‑807/21 (Deutsche Wohnen SE) festgehalten, dass der Verweis im 150. Erwägungsgrund der DSGVO auf den Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV in diesem speziellen Zusammenhang der Berechnung von Geldbußen, die für in Artikel 83, Absatz 4 bis 6 DSGVO genannte Verstöße verhängt werden, zu verstehen ist vergleiche Rz 55ff). Dieser Unternehmensbegriff umfasst für die Zwecke der Anwendung der in den Artikel 101 und 102 AEUV niedergelegten Wettbewerbsregeln jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Er bezeichnet somit eine wirtschaftliche Einheit, auch wenn diese aus rechtlicher Sicht aus mehreren natürlichen oder juristischen Personen besteht. Diese wirtschaftliche Einheit besteht in einer einheitlichen Organisation persönlicher, materieller und immaterieller Mittel, die dauerhaft einen bestimmten wirtschaftlichen Zweck verfolgt (mit Verweis auf das Urteil vom 06.10.2021, Sumal, C‑882/19, EU:C:2021:800, Rn. 41 und die dort angeführte Rechtsprechung).

Als Kriterien für die Beurteilung des Vorliegens einer wirtschaftlichen Einheit dienen wirtschaftliche, rechtliche sowie organisatorische Verflechtungen zwischen der Mutter- und Tochtergesellschaft (z.B. Höhe der Beteiligung, personelle oder organisatorische Verflechtungen sowie Weisungen und das Bestehen von internen Vereinbarungen). Der EuGH hat hierzu festgestellt, dass in dem besonderen Fall, wenn eine Muttergesellschaft , 100 % oder fast 100 % des Kapitals ihrer Tochtergesellschaft hält, die gegen die Wettbewerbsregeln der Union verstoßen hat, zum einen diese Muttergesellschaft einen bestimmenden Einfluss auf das Verhalten dieser Tochtergesellschaft ausüben kann und zum anderen eine widerlegbare Vermutung besteht, dass diese Muttergesellschaft tatsächlich einen solchen Einfluss auf das Verhalten ihrer Tochtergesellschaft ausübt vergleiche zu all diesen Ausführungen insbesondere EuGH vom 20.01.2011, C-90/09 P; 10.09.2009, C-97/08 P).

Im vorliegenden Fall handelt es sich bei der Beschwerdeführerin um eine in Österreich und Europa tätige politische Partei. Die Beschwerdeführerin bildet die Bundesorganisation der Partei, daneben existiert für jedes österreichische Bundesland eine Landesorganisation mit eigener Rechtspersönlichkeit, wobei eine einheitliche Mitgliedschaft besteht, jedes Mitglied ist Mitglied der Bundespartei und wird gegebenenfalls zusätzlich als Landesparteimitglied geführt. Aktive Mitglieder können zu Delegierten und somit auch in die Organe des Bundesparteivorstandes gewählt bzw. entsendet werden. Soweit es für die Durchführung bundesweiter Wahlen oder der von Bundesorganen beschlossenen bundespolitischen Aktionen erforderlich ist, haben alle Einrichtungen, Funktionäre, Dienstnehmer und freiwilligen Mitarbeiter der Partei und ihrer Teilorganisationen die Richtlinien der Bundespartei zu befolgen. Zudem bestehen – wie festgestellt - zwischen der Beschwerdeführerin und ihrer Landesorganisation römisch 40 enge personelle Verflechtungen, sodass es sich im Sinne der Rechtsprechung des EuGH bei der Beschwerdeführerin sowie ihrer Landesorganisation römisch 40 um eine „wirtschaftliche Einheit“ handelt.

Im Übrigen führt die Anwendung der innerstaatlichen Rechtslage zum selben Ergebnis, zumal Paragraph 2, Ziffer eins, Parteiengesetz 2012, PartG, (wonach eine „politische Partei“ jede Partei im Sinne des Paragraph eins, PartG ist, wobei dieser Begriff umfassend zu verstehen ist und alle territorialen und nicht-territorialen Gliederungen erfasst, unabhängig davon, ob einer Gliederung Rechtspersönlichkeit zukommt) ein einheitliches (etwa die territorialen Organisationen umfassendes) Begriffsverständnis der Partei zu Grunde liegt.

Vor diesem Hintergrund ist festzuhalten, dass der Jahresumsatz bzw. die Einnahmen der gesamten wirtschaftlichen Einheit zur Bestimmung des Strafrahmens gemäß Artikel 83, Absatz 5, DSGVO heranzuziehen sind.

Zur Frage, an welches Ereignis das vorangegangene Geschäftsjahr anknüpft, dessen Umsatz die Obergrenze der möglichen Geldbuße bestimmt, ist festzuhalten, dass nach der Rechtsprechung des EuGH im Kartellrecht zu dem nahezu gleichlautenden Artikel 23, VO Nr. 1 / 2003 der Bezugszeitraum das der Sanktionsverhängung vorausgegangene Geschäftsjahr darstellt (EuGH, Urteil vom 26. Januar 2017 - C-637/13 P - Badezimmerkartell Laufen Austria, Rn. 49; EuGH, Urteil vom 04. September 2014 - C-408/12 P - YKK u.a. Rn. 90). Da Artikel 83, DSGVO die kartellrechtliche Regelung zum Vorbild hat, ist mithin die Höhe des Jahresumsatzes im letzten abgeschlossenen Geschäftsjahr vor Erlass des Bußgeldbescheides/Straferkenntnisses maßgebend. Auf den Zeitpunkt der gerichtlichen Entscheidung kommt es ebenso wenig an wie auf den Zeitpunkt des maßgeblichen Verstoßes vergleiche auch die Leitlinien 04/2022 des EDSA für die Berechnung von Geldbußen im Sinne der DSGVO, Version 2.1, angenommen am 24.05.2023, Rz 131).

Da das Straferkenntnis am 14.12.2023 erlassen wurde, ist/sind somit für die Ermittlung des Strafrahmens der Jahresumsatz/die Einnahmen für 2022 maßgebend. Auf der Grundlage eines Umsatzes für 2022 in Höhe von EUR 2.051.120,89 ergibt sich daraus eine Obergrenze für die Geldbuße gemäß Artikel 83, Absatz 5, DSGVO von EUR 20.000.000,00.

Bei der Bemessung der Geldbuße innerhalb dieses Bußgeldrahmens war für das Bundesverwaltungsgericht Folgendes maßgebend:

Nach Artikel 83, Absatz eins, DSGVO stellt jede Aufsichtsbehörde sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. In Artikel 83, Absatz 2, DSGVO sind Zumessungskriterien aufgeführt, die bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall „gebührend“ zu berücksichtigen sind. Relevant sind danach insbesondere Art, Schwere und Dauer des Verstoßes, die Zahl der von der Verarbeitung betroffenen Personen, das Ausmaß des Schadens, die Kategorie der betroffenen personenbezogenen Daten, das Bemühen des Unternehmens, den Schaden zu begrenzen, Art und Umfang der Kooperation mit den Datenschutzbehörden und der Grad der Verantwortlichkeit.

Der Umsatz des Unternehmens ist in Artikel 83, Absatz 2, DSGVO nicht als Kriterium für die Bemessung der Geldbuße genannt. Daraus folgt jedoch nicht, dass dem Umsatz des Unternehmens bei der Bemessung der Geldbuße keine Bedeutung zukommt:

Der EuGH hält in seinem Urteil vom 25.11.2003, C-278/01, fest, dass bei der Ausübung der Beurteilungsbefugnis der Gerichtshof den Pauschalbetrag oder das Zwangsgeld so festzusetzen hat, dass sie den Umständen angemessen und sowohl angesichts des festgestellten Verstoßes als auch in Bezug auf die Zahlungsfähigkeit des betreffenden Mitgliedstaats verhältnismäßig sind. Angesichts des Umstandes, dass auch Geldbußen wegen Verstößen gegen die DSGVO iSd Artikel 83, Absatz eins, DSGVO verhältnismäßig sein müssen, lässt sich diese Rechtsprechung auch auf einen Fall wie den vorliegenden übertragen. Das Landgericht Bonn führt in seinem Urteil vom 11.11.2020, 29 OWi 1/20, ebenfalls aus, dass dem Umsatz des Unternehmens bei der Bemessung der Geldbuße Bedeutung zukommt: „Zum einen bestimmt der Umsatz bei umsatzstarken Unternehmen die Bußgeldobergrenze und spannt dadurch erst den Rahmen auf, in den der konkrete Datenschutzverstoß einzuordnen und einzupassen ist. Der Bußgeldrahmen gibt der konkreten Zumessung die notwendige Orientierung. Zum anderen müssen Geldbußen gegen Unternehmen gem. Artikel 83, Absatz eins, DS-GVO wirksam und abschreckend sein. Dies richtet sich auch nach der Ahndungsempfindlichkeit des jeweiligen Unternehmens. Je größer das Unternehmen ist, desto geringer ist regelmäßig die Ahndungsempfindlichkeit und desto höher ist im Regelfall das Bußgeld zu bemessen, damit es seine spezialpräventive Wirkung entfalten kann. Die Höhe des Umsatzes ist für die Unternehmensgröße und damit für die Ahnungsempfindlichkeit ein geeigneter Indikator; der Bilanzgewinn und sonstige Kennzahlen der wirtschaftlichen Leistungsfähigkeit des Unternehmens können zusätzlich berücksichtigt werden.“

Auch die Leitlinien des EDSA 04/2022 gehen (mit Verweis auf einen diesbezüglich verbindlichen Beschluss 1/2021 des EDSA, Rz 411 und 412) davon aus, dass bei der Berechnung der Geldbuße der Größe des Unternehmens Rechnung zu tragen ist, weshalb dessen Umsatz zu berücksichtigen ist, wobei laut Leitlinien auch die wirtschaftliche Überlebensfähigkeit bei der Verhältnismäßigkeit zu berücksichtigen ist (siehe die Leitlinien des EDSA 04/2022, Rz 63ff.)

Entgegen den Ausführungen der belangten Behörde ist hierbei (im Gegensatz zur Bestimmung der Bußgeldobergrenze) jedoch nicht der Umsatz im letzten abgeschlossenen Geschäftsjahr vor Erlass des Bußgeldbescheides/Straferkenntnisses zu berücksichtigen, sondern die im Entscheidungszeitpunkt des Bundesverwaltungsgerichtes aktuelle Einkommens- und Vermögenslage der Beschwerdeführerin, zumal nur so sichergestellt werden kann, dass die Geldbuße zu dem Zeitpunkt, zu welchem sie beglichen werden muss (nach Erlass des Erkenntnisses des Bundesverwaltungsgerichtes) auch verhältnismäßig iSd Artikel 83, Absatz eins, DSGVO ist. Diese Sichtweise deckt sich einerseits mit der Rechtsprechung des Verwaltungsgerichtshofes zu Paragraph 19, Absatz 2, VStG, wonach allfällige Veränderungen der Einkommens-, Vermögensverhältnisse im Laufe des Rechtsmittelverfahrens zu berücksichtigen sind (VwGH 29.01.2007, 2006/03/0155) andererseits auch mit den Ausführungen des EDSA zur wirtschaftlichen Überlebensfähigkeit, wonach das Unternehmen detaillierte Finanzdaten für die letzten fünf Jahre sowie Prognosen für das laufende und die nächsten zwei Jahre vorlegen muss vergleiche Leitlinien des EDSA 04/2022, Rz 140ff.). Es ist der belangten Behörde jedoch beizupflichten (und ergibt sich dies auch aus den EDSA Leitlinien 04/2022), dass in erster Linie der Umsatz und nicht der von der Beschwerdeführerin ins Treffen geführte Kontostand die entscheidende Grundlage für die Strafzumessung bildet.

Mit Blick auf die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens (Artikel 83, Absatz 2, Litera a, DSGVO) ist festzuhalten, dass die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat jedenfalls nicht unerheblich sind. Es handelt sich im vorliegenden Fall um eine Verarbeitung, die nicht nur eine große Zahl von Personen betraf bzw. bei der die verpönte Offenlegung gegenüber einer größeren Zahl an Personen und Einrichtungen erfolgte (Artikel 83, Absatz 2, Litera a, DSGVO), sondern auch eine besondere Kategorie personenbezogener Daten (Artikel 83, Absatz 2, Litera g, DSGVO), nämlich jene aus denen politische Meinungen bzw. weltanschauliche Überzeugungen der Betroffenen hervorgehen, wobei solche Daten einem besonderen Schutz gemäß Artikel 9, DSGVO unterliegen und nur bei Vorliegen enger Ausnahmetatbestände überhaupt verarbeitet werden dürfen. Die Verarbeitung war jedenfalls auch geeignet, die betroffenen Personen in deren grundrechtlich geschützten Rechten - insbesondere in deren Recht auf Geheimhaltung iSv Paragraph eins, DSG - zu verletzen.

Andererseits fällt aber auch ins Gewicht, dass es sich in Bezug auf die offengelegten E-Mail-Adressen bloß teilweise um (sensible) Daten des Artikel 9, Absatz eins, DSGVO handelte und dass überdies davon auszugehen ist, dass der Verstoß (lediglich) fahrlässig begangen wurde.

Erschwerend wurden von der belangten Behörde keine Umstände berücksichtigt und sind solche auch im Verfahren vor dem Bundesverwaltungsgericht nicht hervorgekommen.

Als mildernd ist zu werten, dass die Beschwerdeführerin bisher unbescholten ist bzw. keine einschlägigen früheren Verstöße begangen hat (Artikel 83, Absatz 2, Litera e, DSGVO) sowie im Rahmen des gegenständlichen Ermittlungsverfahrens vor der Datenschutzbehörde sowie auch vor dem Bundesverwaltungsgericht in hohem Umfang mitgewirkt und dadurch einen Beitrag zur Wahrheitsfindung geleistet hat (Artikel 83, Absatz 2, Litera f, DSGVO).

Vor diesem Hintergrund gelangt das Bundesverwaltungsgericht bei Bewertung der Faktoren des Artikel 83, Absatz 2, DSGVO unter Berücksichtigung der Taten in ihrer Gesamtheit im vorliegenden Fall zur Ansicht, dass der Verstoß – trotz der aufgrund der lediglich fahrlässigen Tatbegehung quantitativen Reduktion des behördlichen Tatvorwurfs und der vorliegenden Milderungsgründe, denen keine erschwerenden Umstände gegenüberstehen – insgesamt mit einem hohen Schweregrad festzulegen ist. Denn abgesehen davon, dass es sich (bei zumindest 100 Fällen noch immer) um eine große Zahl von betroffenen Personen handelt, deren personenbezogene Daten gegenüber einer größeren Zahl an Personen und Einrichtungen offengelegt wurden, fällt bei der Strafzumessung insbesondere ins Gewicht, dass Daten einer besonderen Kategorie personenbezogener Daten, die nach der höchstgerichtlichen Rechtsprechung besonders schützenswert sind, da betroffene Personen durch eine solche Datenverarbeitung dem Risiko besonders schwerwiegender Diskriminierungen ausgesetzt sind, offengelegt wurden, weshalb die Tat in ihren Auswirkungen jedenfalls als schwerwiegend zu qualifizieren ist.

Nach den Leitlinien des EDSA ist der Ausgangsbetrag für die weitere Berechnung bei einem Verstoß mit hohem Schweregrad zwischen 20 % und 100 % des anwendbaren gesetzlichen Höchstmaßes (EUR 20.000.000,00) anzusetzen.

Angesichts der obigen Ausführungen erscheint für das Bundesverwaltungsgericht ein vorläufiger Ausgangbetrag in Höhe von EUR 7.000.000,00 (35% des gesetzlichen Höchstmaßes) angemessen.

Vor dem Hintergrund, dass gemäß Artikel 83, Absatz eins, DSGVO die Verhängung von Geldbußen zwar wirksam und abschreckend, jedoch auch verhältnismäßig sein muss (und demnach nicht existenzgefährdend sein darf) ist bei der Berechnung der Geldbuße – wie oben ausgeführt – der Größe des Unternehmens Rechnung zu tragen und sind dessen Umsatz und wirtschaftliche Überlebensfähigkeit zu berücksichtigen vergleiche abermals die EDSA-Leitlinien 04/2022 und EuGH 25.11.2003, C-278/01). Da der Umsatz des Unternehmens der Beschwerdeführerin unter EUR 500.000.000,00 liegt, hat nach den genannten EDSA Leitlinien eine Anpassung anhand der Größe des Unternehmens stattzufinden. Aufgrund eines aktuellen Unternehmensumsatzes wie dem der Beschwerdeführerin (unter Berücksichtigung der wirtschaftlichen Einheit) in Höhe von EUR 1.270.000,00 empfiehlt der EDSA eine Anpassung auf der Grundlage eines Betrags zwischen 0,2 % – 0,4 % des vorläufigen Ausgangsbetrages vorzunehmen. Zumal der Unternehmensumsatz der Beschwerdeführerin deutlich näher an der Obergrenze von EUR 2.000.000,00 als an der Untergrenze von EUR 0,00 liegt, erachtet das Bundesverwaltungsgericht im konkreten Fall eine Geldstrafe in der Höhe von EUR 28.000,00 (0,4 % des vorläufigen Ausgangsbetrages) als schuld- und tatangemessen.

Die Verhängung der Geldstrafe war im Sinne der Generalprävention erforderlich, um Verantwortliche, insbesondere andere politische Parteien, in Bezug auf den rechtskonformen Versand von E-Mails unter Verwendung einer Verteilerliste und der damit im Zusammenhang stehenden Pflichten nach der DSGVO zu sensibilisieren, insbesondere, wenn dadurch sensible Daten von Betroffenen verarbeitet werden.

Schon vor diesem Hintergrund kam eine bloße Verwarnung (im Sinne der Erwägungsgründe 148 zur DSGVO) hier nicht in Betracht, überdies auch deshalb nicht, weil nicht bloß ein geringfügiger Verstoß (im Sinne der Erwägungsgründe 148 zur DSGVO) vorliegt. Denn aufgrund der Bewertung der Kriterien in Artikel 83, Absatz 2, DSGVO kann nicht gesagt werden, dass der Verstoß unter den konkreten Umständen dieses Falles keine erhebliche Gefahr für die Datenschutzrechte der betroffenen Personen darstellte und die datenschutzrechtliche Pflicht in ihrem Kern nicht beeinträchtigt wurde. Dies auch insbesondre vor dem Hintergrund, dass – wie bereits ausgeführt – personenbezogene Daten besonderer Kategorie iSd Artikel 9, Absatz eins, DSGVO betroffen waren. Im Übrigen ist das Ersetzen einer Geldbuße durch eine Verwarnung bei geringfügigeren Verstößen unionsrechtlich nicht zwingend (Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung 2016/679 [WP 253]). Eine Verwarnung erscheint im konkreten Fall daher jedenfalls nicht geboten.

Wenn die Beschwerdeführerin in ihrer Parteibeschwerde auf Paragraph 20, VStG Bezug nimmt und die Anwendung der außerordentlichen Strafmilderung fordert, ist dazu festzuhalten, dass nach der oben zitierten Rechtsprechung des EuGH zu Artikel 83, DSGVO mit Blick auf das VStG für die materiellen Tatbestandsvoraussetzungen ausschließlich Unionsrecht gilt, weshalb die Bestimmung des Paragraph 20, VStG unangewendet zu bleiben hat vergleiche abermals EuGH vom 05.12.2023, C-683/21, Rz 46, 48, 70).

Festzuhalten ist, dass das Verwaltungsgericht anlässlich seiner Entscheidung nicht bloß die Ermessensübung durch die Verwaltungsstrafbehörde zu prüfen, sondern das Ermessen selbst zu üben und eine neue Strafzumessung vorzunehmen hat (VwGH 31.01.2012, 2009/05/0123). Dies insbesondere bei einer Änderung des Schuldspruchs. IdS gilt es idR bei teilweiser Stattgebung der Beschwerde (VwGH 27.05.2008, 2007/05/0235) etwa durch Reduzierung des Tatzeitraums (VwGH 22.04.2010, 2007/07/0015; 21.02.2012, 2010/11/0245), bei Wegfall von Vormerkungen wegen zwischenzeitig eingetretener Tilgung (VwGH 27.05.2008, 2007/05/0235) oder Hervortreten weiterer Milderungsgründe (VwGH 22.4.1998, 97/03/0353), also in Fällen einer qualitativen oder quantitativen Reduktion des Tatvorwurfs auch die Strafe herabzusetzen (Wessely in Raschauer/Wessely [Hrsg], Kommentar zum VStG - Verwaltungsstrafgesetz3 [2023] Paragraph 19, Rz 26).

Wenn die Beschwerdeführerin vorbringt, die bisherige Spruchpraxis der belangten Behörde deute auf Geldstrafen im Bereich von EUR 10.000,00 hin, ist festzuhalten, dass es sich bei der Bemessung der Geldbuße gemäß Artikel 83, Absatz eins, DSGVO um eine Einzelfallentscheidung handelt und die hier im Ergebnis konkret verhängte Strafe in der Höhe von EUR 28.000,00 im Hinblick auf den verwirklichten Tatunwert, gemessen am zur Verfügung stehenden Strafrahmen des Artikel 83, Absatz 5, DSGVO (hier bis zu EUR 20.000.000,00) aber tat- und schuldangemessen erscheint. Es ist allerdings auch festzuhalten, dass sich die nunmehr festgesetzte Geldstrafe am unteren Ende des zur Verfügung stehenden Strafrahmens befindet und ein (noch) niedrigerer Betrag im vorliegenden Fall den in Artikel 83, Absatz eins, DSGVO normierten Kriterien der Wirksamkeit und Geeignetheit der Abschreckung nicht mehr gerecht werden würde.

3.3.2.4. Zu den Kosten des Verwaltungsstrafverfahrens sowie des Beschwerdeverfahrens:

Gemäß Paragraph 64, Absatz eins, VStG ist im Straferkenntnis auszusprechen, dass der Bestrafte einen Beitrag zu den Kosten des Strafverfahrens zu leisten hat. Gemäß Paragraph 64, Absatz 2, VStG ist dieser Beitrag für das Verfahren erster Instanz mit 10% der verhängten Strafe, mindestens jedoch mit 10 Euro zu bemessen. Der Beitrag zu den Kosten war aufgrund der nunmehr verhängten Strafe auf EUR 2.800,00 zu reduzieren.

Da damit der Beschwerde teilweise Folge gegeben wurde, waren der Beschwerdeführerin keine Kosten des Beschwerdeverfahrens aufzuerlegen (Paragraph 52, Absatz 8, VwGVG).

3.3.2.5. Zahlungsinformation:

Die Beschwerdeführerin hat den Gesamtbetrag von EUR 30.800,00 (Strafe und Kosten des verwaltungsbehördlichen Verfahrens) binnen zwei Wochen auf das Konto des Bundesverwaltungsgerichtes (BVwG) mit dem IBAN AT840100000005010167 (BIC BUNDATWW) unter Angabe der Verfahrenszahl spesenfrei für den Empfänger einzuzahlen oder unter Mitnahme dieses Erkenntnisses beim Bundesverwaltungsgericht einzuzahlen. Bei Verzug muss damit gerechnet werden, dass der Betrag nach erfolgter Mahnung zwangsweise eingetrieben wird.

Zu B)

Gemäß Paragraph 25 a, Absatz eins, VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Artikel 133, Absatz 4, B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die vorliegende Entscheidung hängt nicht von der Lösung einer Rechtsfrage ab, der grundsätzliche Bedeutung zukommt. Weder fehlt es an einer Rechtsprechung des Verwaltungsgerichtshofes noch weicht die gegenständliche Entscheidung von der Rechtsprechung des Verwaltungsgerichtshofes ab; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Es liegen auch keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfragen vor. Das Bundesverwaltungsgericht kann sich bei allen erheblichen Rechtsfragen auf eine ständige Rechtsprechung des Verwaltungsgerichtshofes bzw. auf eine ohnehin klare Rechtslage stützen. Es ist auch nicht ersichtlich, dass sich im konkreten Fall eine Rechtsfrage stellt, die über den (hier vorliegenden konkreten) Einzelfall hinaus Bedeutung entfaltet. Ausgehend davon kann eine Rechtsfrage im Sinn des Artikel 133, Absatz 4, B-VG von grundsätzlicher Bedeutung auch insofern nicht bejaht werden vergleiche etwa VwGH 25.09.2015, Ra 2015/16/0085, mwN). Es war daher auszusprechen, dass die Revision gemäß Artikel 133, Absatz 4, B-VG nicht zulässig ist.

European Case Law Identifier

ECLI:AT:BVWG:2024:W108.2285546.1.00