2026.05.13 – By Andreas Sabadello

VwGH: eine Konzernholding ist nicht automatisch gemeinsam Verantwortliche nach Art. 26 DSGVO

Datenschutz

Hintergrund

Die Datenschutzbehörde (DSB) hatte mit Straferkenntnis vom 12. Oktober 2021 über eine Aktiengesellschaft eine Geldbuße in Höhe von € 8.000.000 sowie einen Verfahrenskostenbeitrag von € 800.000 verhängt. Vorwurf: Die ab dem 2. Mai 2019 zur Einholung von Einwilligungen für Profiling im Rahmen eines Multipartner-Kundenbindungsprogramms verwendeten Formulare hätten den Anforderungen an eine wirksame Einwilligung nach Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a und Art. 7 DSGVO nicht entsprochen; die nachfolgenden Verarbeitungen seien daher ohne tauglichen Erlaubnistatbestand iSd Art. 6 Abs. 1 DSGVO erfolgt.

Die DSB stützte die Verantwortlichkeit der Holding gemeinsam mit der operativ tätigen Tochtergesellschaft auf Art. 4 Z 7 iVm Art. 26 DSGVO.

Verfahrensgang

Das Bundesverwaltungsgericht (BVwG) gab mit Erkenntnis vom 28. Mai 2024 (W176 2249328-1/7E) der Beschwerde der Holding Folge, hob das Straferkenntnis auf und stellte das Verwaltungsstrafverfahren ein. Es verneinte das Vorliegen einer gemeinsamen datenschutzrechtlichen Verantwortlichkeit.

Die DSB erhob Amtsrevision an den Verwaltungsgerichtshof (VwGH).

Entscheidung des VwGH

Der VwGH hat die Revision mit Beschluss vom 14. April 2026, Ra 2024/04/0375, mangels Vorliegens einer Rechtsfrage von grundsätzlicher Bedeutung iSd Art. 133 Abs. 4 B-VG zurückgewiesen (§ 34 Abs. 1 VwGG). Damit ist die Aufhebung des Straferkenntnisses durch das BVwG rechtskräftig.

Tragende Erwägungen

Der VwGH bestätigt die Anwendung der gefestigten EuGH-Judikatur durch das BVwG. Verantwortlich ist, wer "aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt" (Rn. 21 unter Hinweis auf u.a. EuGH 7.3.2024, C-604/22, IAB Europe; 5.12.2023, C-683/21, Nacionalinis visuomenės sveikatos centras; 10.7.2018, C-25/17, Jehovan todistajat).

Maßgeblich ist die tatsächliche Entscheidung sowohl über das "Warum" (Zweck) als auch über das "Wie" (Mittel) der konkreten Verarbeitung (Rn. 24). Für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die der Betreffende weder Zwecke noch Mittel festlegt, besteht keine Verantwortlichkeit (Rn. 22 unter Hinweis auf EuGH C-40/17, Fashion ID).

Im konkreten Fall hatte sich die Tätigkeit der Holding auf zwei Aspekte beschränkt:

  • die strategische Festlegung in der Konzeptionsphase (ab 2017), ein eigenes Multipartner-Kundenbindungsprogramm einzurichten, und
  • die Gründung der operativen Tochtergesellschaft (mittelbar über eine Dienstleistungs-GmbH) samt Bereitstellung der erforderlichen finanziellen und personellen Mittel.

Nach Aufnahme des operativen Betriebs im Mai 2019 war die Holding in die konkrete Ausgestaltung der Datenverarbeitungstätigkeiten, der Einwilligungserklärungen, der Datenschutzerklärung, des Verarbeitungsverzeichnisses sowie der technischen und organisatorischen Maßnahmen nicht mehr involviert (Rn. 6).

Der VwGH folgt der Würdigung des BVwG, dass damit gerade keine "gewollte und bewusste Zusammenarbeit" iSd EuGH-Rechtsprechung vorliege (Rn. 28). Vielmehr zeige der von der DSB selbst hervorgehobene Umstand, dass die Holding "keinerlei Leitungs- und Kontrolltätigkeiten" in Bezug auf die Tochter ausgeübt habe, das Fehlen der erforderlichen Einflussnahme auf Zwecke und Mittel.

Eine Parallele zu Nacionalinis visuomenės sveikatos centras (C-683/21) verneint der VwGH ausdrücklich: Anders als dort sei die Tochtergesellschaft nicht mit der Entwicklung einer konkreten IT-Anwendung zur Durchführung der Datenverarbeitungen beauftragt worden (Rn. 26).

Praktische Bedeutung

Für die Beratungspraxis im Konzern liefert der Beschluss konkrete Anhaltspunkte.

Nicht ausreichend zur Begründung einer gemeinsamen Verantwortlichkeit der Konzernmutter sind nach dieser Entscheidung:

  • die strategische Konzeptentscheidung für ein datenverarbeitungsgestütztes Programm,
  • die Gründung einer operativ tätigen Tochtergesellschaft,
  • die Bereitstellung finanzieller und personeller Mittel sowie
  • die Beteiligungsstruktur als solche.

Im Einzelfall bleibt zu prüfen, ob die Holding nach Aufnahme des operativen Betriebs weiterhin Einfluss auf Zwecke und Mittel der konkreten Verarbeitungen nimmt. Personelle Verflechtungen in den Leitungsorganen, fortlaufende Weisungen, die gemeinsame Beauftragung einer konkreten IT-Anwendung oder eine inhaltliche Steuerung der Datenverarbeitung können das Ergebnis verschieben.

Kontext

Der Beschluss erweitert die Judikatur dogmatisch nicht — die Kriterien sind durch die EuGH-Rechtsprechung und den VwGH (zuletzt VwGH 27.3.2025, Ro 2022/04/0023) bereits geklärt. Seine Bedeutung liegt in der Anwendung dieser Kriterien auf eine typische Konzernkonstellation und in der Bestätigung, dass strategische Gründungs- und Finanzierungsentscheidungen einer Holding für sich allein nicht in eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO münden. Eine Vorlage an den EuGH nach Art. 267 AEUV war nicht erforderlich (Rn. 30).

Quelle

VwGH 14.4.2026, Ra 2024/04/0375; ECLI:AT:VWGH:2026:RA2024040375.L00.

Über Sabadello Legal

Sabadello Legal berät Unternehmen in datenschutzrechtlichen Fragen: von der laufenden DSGVO-Compliance über die Gestaltung von Auftragsverarbeitungsverträgen und Joint-Controller-Vereinbarungen bis zur Vertretung gegenüber der Datenschutzbehörde und vor den Verwaltungsgerichten. Ein besonderer Schwerpunkt liegt auf der Unterstützung von Unternehmen aus Drittstaaten bei der DSGVO-Compliance ihrer Datenflüsse in den EWR sowie auf datenschutzrechtlichen Fragestellungen in Konzernstrukturen. Ebenso beraten wir zu datenschutzrechtlichen Fragestellungen im Dienstverhältnis.

Kontakt

RA Mag. Andreas Sabadello
Sabadello Legal
https://sabadello.legal
Tel: +43 1 997 19 30
E-Mail: office@sabadello.legal

Hinweis

Dieser Beitrag dient der allgemeinen Information und ersetzt keine rechtliche Beratung im Einzelfall.

Back button
NÄCHSTE NACHRICHTENNext icon