In meinen Seminaren zum betrieblichen Datenschutzbeauftragten taucht immer wieder die Frage auf, ob die österreichische Datenschutzbehörde überhaupt so hohe Geldbußen (Strafen) wie in der DSGVO vorgesehen – bis zu € 20 Millionen oder 4 % des weltweiten Konzernjahresumsatzes (je nachdem was höher ist!) – verhängen darf.

Um dies beantworten zu können, muss überprüft werden, ob die notwendigen verfahrensrechtlichen und grundrechtlichen Garantien gegeben sind. Im Zusammenspiel mit dem Bankwesengesetz (BWG) – konkret § 99d BWG – hat sich der Verfassungsgerichtshof (VfGH) mit dieser Problematik auseinandergesetzt.

Der VfGH führt in seinem Erkenntnis G408/2016 ua an, dass durch die Schaffung der Verwaltungsgerichtsbarkeit erster Instanz BGBl. I 51/2012 (Verwaltungsgerichtsbarkeits-Novelle 2012) die notwendigen Verfahrensgarantien gegeben sind. Die Verwaltungsgerichte der Länder und das Bundesverwaltungsgericht genießen die verfassungsrechtlichen Garantien:

• richterliche Unabhängigkeit
• richterliche Unabsetzbarkeit
• richterliche Unversehrtheit

Weiters wurden die von Art. 6 Europäische Menschenrechtskonvention (EMRK) geforderten Verfahrensgarantien für Strafverfahren wie

• Unschuldsvermutung
• Verteidigungsrechte
• Recht auf Verfahrenshilfe
• Gebot der Waffengleichheit

durch die Einrichtung der Verwaltungsgerichte berücksichtigt und abgesichert.

Gemäß § 19 Datenschutzgesetz (DSG) handelt es sich bei der österreichischen Datenschutzbehörde um eine unabhängige Behörde. Der VfGH erachtete die Weisungsfreiheit der Behörde als entscheidend.

Ausgehend vom genannten Erkenntnis wird dies wohl bedeuten, dass keine verfassungsrechtlichen Bedenken gegen die Verhängung solch hoher Strafen durch die Datenschutzbehörde im Verwaltungsstrafverfahren – wie in der DSGVO vorgesehen – bestehen.