Spruch
W214 2243436-1/39E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Dr. Eva SOUHRADA-KIRCHMAYER als Vorsitzende sowie die fachkundigen Laienrichterinnen Mag. Huberta MAITZ-STRASSNIG und Mag. Claudia KRAL-BAST als Beisitzerinnen über die Beschwerde der XXXX , vertreten durch FRESHFIELDS BRUCKHAUS DERINGER Rechtsanwälte LLP, gegen das Straferkenntnis der Datenschutzbehörde vom 04.05.2021, Zl. D550.360 2021-0.169.109, nach Durchführung einer mündlichen Verhandlung zu Recht erkannt:
A) I. Der Beschwerde wird gemäß § 50 Abs. 1 VwGVG teilweise stattgegeben und der Spruch des angefochtenen Straferkenntnisses dahingehend geändert, dass er zu lauten hat:
„Beschuldigte: XXXX (FN XXXX )
Die XXXX (im Folgenden XXXX ) mit Sitz in XXXX , hat als Verantwortliche im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016, S. 1, durch das tatbestandsmäßige, rechtswidrige und schuldhafte Verhalten nachstehenden Sachverhalt verwirklicht und dadurch folgende Verwaltungsübertretung(en) begangen:
Die Beschuldigte hat als Verantwortliche im Zusammenhang mit dem Betrieb des unternehmens- und branchenübergreifenden Kundenbindungsprogramms XXXX in Österreich, jedenfalls seit dem XXXX bis einschließlich XXXX 2020 (im Folgenden „Tatzeit“ oder „Tatzeitraum“) im gesamten Bundesgebiet, bei den Ersuchen um Einwilligung der betroffenen Personen, die sich für das XXXX Kundenbindungsprogramm registriert haben, für die „Verarbeitung von Kundendaten XXXX “, unter Verwendung der Methoden (i) physisches Anmeldeformular im XXXX und (ii) Webseite https://www. XXXX /, nicht den Anforderungen gemäß Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 DSGVO entsprochen. Dadurch wurden die Betroffenen dazu veranlasst, in die Verarbeitung ihrer personenbezogenen Daten einzuwilligen, ohne dass die Voraussetzungen für eine Einwilligung vorlagen.
2. Die Beschuldigte hat folglich zur Tatzeit jene zum Zwecke XXXX von Kunden auf Basis deren Einwilligung auf Grundlage der Methoden (i) physisches Anmeldeformular im XXXX und (ii) Webseite https://www. XXXX / erhobenen personenbezogenen Daten, unrechtmäßig verarbeitet, da die Verarbeitung auch auf keine andere Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO gestützt werden konnte.
Die Beschuldigte hat daher im Ergebnis
den Grundsatz der Verarbeitung von personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) verletzt und
personenbezogene Daten verarbeitet, ohne dass hierfür eine geeignete Rechtsgrundlage nach Art. 6 DSGVO vorlag.
Verwaltungsübertretung(en) nach:
Ad. 1.: Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 iVm Art. 83 Abs. 5 lit. a DSGVO
Ad. 2.: Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 iVm Art. 83 Abs. 5 lit. a DSGVO
Wegen dieser Verwaltungsübertretung(en) wird folgende Strafe verhängt:
Geldstrafe von gemäß
€ 700.000 (in Worten: Art. 83 Abs. 5 lit. a DSGVO
Siebenhundertausend Euro)
Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen:
70.000 Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe.
Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher
770.000 Euro (in Worten: Siebenhundertsiebzigtausend Euro).“
II. Die Beschwerdeführerin hat gemäß § 52 Abs. 8 VwGVG keine Kosten des verwaltungsgerichtlichen Verfahrens zu tragen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.
Text
Entscheidungsgründe
I. Verfahrensgang und Sachverhalt:
1. Die Beschwerdeführerin ist Betreiberin des XXXX -Programms, XXXX Kundenbindungsprogramms, welches XXXX in Österreich eingeführt wurde.
2. Die belangte Behörde leitete gegen die Beschwerdeführerin ein amtswegiges Prüfverfahren ein.
3. Mit Bescheid der belangten Behörde vom XXXX 2020, Zl. DSB-D205.179/0001-DSB/2019, wurde festgehalten, dass das amtswegige Prüfverfahren berechtigt gewesen sei und festgestellt, dass die Ersuchen um Einwilligung zur Verarbeitung von personenbezogenen Daten für die Zwecke, die in Ziffer XXXX („Werbung XXXX („Werbung XXXX der Datenschutzerklärung der Beschwerdeführerin angeführt seien, und die unter Verwendung der Methoden, i) physisches Anmeldeformular im XXXX und ii) Webseite https://www. XXXX / eingeholt würden, nicht den Anforderungen an eine Einwilligung gemäß Art. 4 Z 11 DSGVO und Art. 7 Abs. 2 DSGVO entsprechen würden (Spruchpunkt 1. lit. a) und, dass für die bisherige Verarbeitung von personenbezogenen Daten von den beim Programm registrierten betroffenen Personen für die Zwecke, die in Ziffer XXXX der Datenschutzerklärung der Beschwerdeführerin angeführt seien, anstelle der Einwilligung, die unter Verwendung der Methoden 1.) a) i) physisches Anmeldeformular im XXXX und 1.) a) ii) Webseite https://www. XXXX / eingeholt worden seien, keine andere Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO in Betracht komme und die genannte bisherige Verarbeitung daher unrechtmäßig erfolgt sei (Spruchpunkt 1. lit. b). Der Beschwerdeführerin wurde die Verwendung der Ersuchen um Einwilligung im Umfang von Spruchpunkt 1. a) in dieser Form untergesagt (Spruchpunkt 2.), der Beschwerdeführerin wurde die Verarbeitung von personenbezogenen Daten von den am Programm bereits registrierten betroffenen Personen für die Zwecke, die in XXXX der Datenschutzerklärung der Beschwerdeführerin angeführt seien, untersagt, soweit die entsprechenden Einwilligungen unter Verwendung der in Spruchpunkt 1. a) angeführten Methoden eingeholt worden seien (Spruchpunkt 3.) und der Beschwerdeführerin für die Umsetzung der Spruchpunkte 2. und 3. eine Frist von vier Monaten eingeräumt (Spruchpunkt 4.).
4. Gegen diesen Bescheid erhob die Beschwerdeführerin fristgerecht eine Beschwerde an das Bundesverwaltungsgericht.
5. Mit Erkenntnis des Bundesverwaltungsgerichts vom 13.12.2022 wurde in Erledigung der Beschwerde Spruchpunkt 1. des angefochtenen Bescheides ersatzlos behoben und die Spruchpunkte 2. bis 4. des angefochtenen Bescheides ersetzt, sodass der Spruch insgesamt lautete:
„1. Der XXXX wird die Verwendung der per XXXX zu erteilenden Einwilligungserklärungen „Ihre Einwilligung in Werbung XXXX “, womit eine Einwilligung in die Erstellung von Kundenprofilen zum Zweck der interessensgerichteten Werbung XXXX erteilt wird, in der am XXXX 2020 vorliegenden Gestaltung ( XXXX und die Gestaltung des Satzes unter dem Unterschriftsfeld durch eine XXXX Wortfolge XXXX , irreführender Eindruck eines Gesamt-Unterschriftsfelds) untersagt.
Ebenso wird die Verwendung der elektronisch zu erteilenden Einwilligungserklärungen in „Einwilligung Werbung XXXX “, womit eine Einwilligung [in] die Erstellung von Kundenprofilen zum Zweck der XXXX erteilt wird, in der am XXXX 2020 vorliegenden Gestaltung (Verwendung des XXXX Buttons mit der Wortfolge XXXX als Anmeldung und Einwilligung) untersagt.
Des Weiteren wird die Verwendung der Überschrift der Einwilligungserklärungen in der am XXXX 2020 vorliegenden Fassung ohne Hinweis darauf, dass die Einwilligung auch die Erstellung von Kundenprofilen umfasst, untersagt.
2. Der XXXX wird die Verarbeitung von personenbezogenen Daten von den bereits am XXXX Programm registrierten betroffenen Personen betreffend der in Spruchpunkt 1 genannten Zwecke untersagt, soweit die entsprechenden Einwilligungen in der in Spruchpunkt 1. beschriebenen Gestaltung eingeholt wurden und die Einwilligungen nicht bereits nochmals bestätigt wurden.
3. Für die Umsetzung der Spruchpunkte 1. und 2 wird der XXXX eine Frist von vier Monaten gesetzt.“
6. Aufgrund der Ermittlungsergebnisse des amtswegigen Prüfverfahrens der belangten Behörde leitete diese am 03.08.2020 ein Verwaltungsstrafverfahren gegen die Beschwerdeführerin ein.
7. Am 07.08.2020 übermittelte die belangte Behörde der Beschwerdeführerin eine Aufforderung zur Rechtfertigung und teilte mit, dass die Beschwerdeführerin im Zusammenhang mit dem Betrieb des XXXX Kundenbindungsprogrammes in Verdacht stehe, jedenfalls seit dem XXXX bis einschließlich XXXX 2020, in XXXX , bei dem Ersuchen um Einwilligung der betroffenen Personen, die sich für das XXXX Kundenbindungsprogramm registrieren wollen oder registriert haben, für die „Verarbeitung von Kundendaten XXXX “, unter Verwendung der Methoden (i) physisches Anmeldeformular im XXXX und (ii) Webseite https://www. XXXX /, nicht den Anforderungen gemäß Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 DSGVO entsprochen zu haben, sowie zudem im Verdacht stehe, im Tatzeitraum, am Tatort jene personenbezogenen Daten zum Zwecke der XXXX , die auf Grundlage der mittels der Methoden (i) physisches Anmeldeformular im XXXX und (ii) Webseite https://www. XXXX / erhobenen Einwilligungen verarbeitet worden seien, unrechtmäßig verarbeitet zu haben, da keine der Bedingungen gemäß Art. 6 Abs. 1 DSGVO erfüllt sei. Es handle sich um Verwaltungsübertretungen gemäß Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 iVm Art. 83 Abs. 5 lit. a DSGVO bzw. Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 iVm Art. 83 Abs. 5 lit. a DSGVO. Die vorliegende Verfolgungshandlung richte sich gemäß der Rechtsprechung des VwGH sowohl gegen die Beschwerdeführerin als auch gegen zur Vertretung nach außen berufenen Personen (Geschäftsführer). Die Beschwerdeführerin könne sich entweder im Rahmen einer Vernehmung oder schriftlich rechtfertigen. Im Zuge dessen seien zudem Dokumente/Informationen zum Jahresumsatz sowie Gewinne/Verluste der Beschwerdeführerin des Vorjahres vorzulegen sowie Angaben zu machen, wie viele betroffene Personen sich beim XXXX programm in Österreich registriert haben und wie viele davon ihre Einwilligung zum Zwecke XXXX von Kunden erteilt haben.
8. Die Beschwerdeführerin erstattete am 15.09.2020 eine Stellungnahme und führte zusammengefasst aus, dass entgegen dem der Beschwerdeführerin zur Last gelegten Sachverhalt die von der Beschwerdeführerin eingesetzten Einwilligungserklärungen - sowohl bei Verwendung des physischen Anmeldeformulars XXXX als auch auf der Webseite https://www. XXXX – allen einschlägigen Vorgaben, insbesondere den Anforderungen gemäß Art. 4 Z 11 iVm Art. 5 Abs. 1 lit a iVm Art. 7 Abs. 2 DSGVO, entsprechen würden. Infolge zulässig erhobener Einwilligung sei von einer unrechtmäßigen Verarbeitung gemäß Art 6 Abs 1 lit a DSGVO daher jedenfalls nicht auszugehen. Falls die belangte Behörde dennoch von einem Verstoß gegen Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 iVm Art. 83 Abs. 5 lit. a DSGVO bzw. Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 iVm Art 83 Abs. 5 lit. a DSGVO ausgehe, wäre allerdings jedenfalls keine Verwaltungsstrafe zu verhängen, da es der Beschwerdeführerin bereits am für eine Bestrafung erforderlichen Verschulden iSd § 5 VStG mangle, es sich bei der verfahrensgegenständlichen Verwaltungsübertretung (wenn überhaupt) jedenfalls nur um ein einmaliges, geringfügiges und nicht vorwerfbares – jedenfalls aber entschuldbares – Versehen handle und daher die Voraussetzungen für ein Absehen von einer Strafe nach § 11 DSG sowie § 45 Abs 1 Z 4 VStG – allenfalls unter bloßer Abmahnung bzw. Verwarnung – vorliegen würden, sowie weitere Milderungsgründe gemäß Art. 83 Abs. 2 DSGVO sowie § 19 Abs. 2 VStG iVm § 34 Abs. 1 Z 2, Z 12, Z 13 und Z 17 StGB zu berücksichtigen seien.
Zu den von der belangten Behörde angefragten Informationen werde bekanntgegeben, dass der Umsatz der Beschwerdeführerin sich für das Geschäftsjahr 2019 auf EUR XXXX belaufe. Für Österreich seien mittels XXXX Registrierungen (davon hätten im Zeitpunkt der Registrierung ca. XXXX , konkret XXXX Personen, ihre Einwilligung XXXX erteilt) erfolgt sowie XXXX Registrierungen (davon hätten im Zeitpunkt der Registrierung ca. XXXX , konkret XXXX Personen, ihre Einwilligung XXXX erteilt) über das gegenständliche Anmeldeformular im Zuge der Online-Registrierung über https://www. XXXX /.
Der Stellungnahme angeschlossen wurde das „Datenschutz-Handbuch für die deutschsprachigen Unternehmen der XXXX “.
9. Am 11.02.2021 wurde die für Datenschutzfragen zuständige Unternehmensjuristin der Beschwerdeführerin, XXXX , als Zeugin einvernommen. Sie gab zusammengefasst an, dass die datenschutzrechtlichen Einwilligungserklärungen im Rahmen des physischen Anmeldeformulars sowie auf der Website bereits existiert hätten, als sie am XXXX zur Beschwerdeführerin gekommen sei. Sie sei soweit involviert, als sie die laufende Rechtsentwicklung mitverfolge. Die Beschwerdeführerin habe auch externe Berater, die Rechtsanwälte seien.
10. Am 18.02.2021 wurde von der belangten Behörde der externe Datenschutzbeauftragte der Beschwerdeführerin, Rechtsanwalt XXXX , als Zeuge einvernommen. Er gab an, seit XXXX als externer Datenschutzbeauftragter der Beschwerdeführerin tätig zu sein. Er habe in seiner Funktion Unterstützung der Stabstelle XXXX (Abkürzung für XXXX , Anm.) erhalten und sei von dieser in die bestehende Dokumentation der Beschwerdeführerin eingeführt worden. Es habe ein Gespräch mit der Geschäftsführung sowie einen Workshop mit der XXXX gegeben. Er verweise auch auf seinen ersten Tätigkeitsbericht für das Jahr 2019, der auch im Rahmen des amtswegigen Prüfverfahrens vorgelegt worden sei. Die Einwilligungserklärungen seien bereits im Jahr XXXX entwickelt worden, sodass er keine Wahrnehmung dazu habe, wer letztlich die Entscheidung getroffenen habe, die Einwilligungserklärungen in dieser Form zu genehmigen, für den Betrieb in Österreich einzusetzen sowie, ob die Geschäftsführung sämtliche Angelegenheiten/Aufgaben im Rahmen der Einführung des Programms – insbesondere hinsichtlich der Gestaltung der Einwilligungserklärungen – selbst übernommen oder an andere Personen selbstverantwortlich überlassen habe. Die Beschwerdeführerin sei weiterhin der Ansicht, dass die (ursprüngliche) Gestaltung der Einwilligungserklärungen datenschutzkonform (gewesen) sei. Die Entscheidung der belangten Behörde im amtswegigen prüfverfahren sei überraschend gewesen, es habe im Jahr 2019 keinerlei veröffentlichte Entscheidungen, insbesondere der Höchstgerichte, gegeben, die eine gegenteilige Auslegung des Rechtsverständnisses der Beschwerdeführerin indiziert hätten. Er habe zahlreiche Unterlagen und Dokumentationen geprüft und sei davon ausgegangen, dass die Einwilligungserklärungen den Anforderungen der DSGVO entsprächen. Es gebe bei der Beschwerdeführerin zahlreiche Dokumente, die alle datenschutzrechtlichen Angelegenheiten umfassend behandelten, wie etwa Dienstanweisungen an Mitarbeiter, ein Programmkonzept, ein umfangreiches Löschkonzept, Schulungsunterlagen für Mitarbeiter und ein umfangreiches Verarbeitungsverzeichnis.
11. Am 22.02.2021 wurde die Leiterin der Rechtsabteilung der XXXX , XXXX , als Zeugin einvernommen. Sie gab zusammengefasst an, im Jahr 2017 mit der Rechtsberatung der Beschwerdeführerin beauftragt worden zu sein. Sie sei der XXXX zugeordnet, die im Rahmen der inhaltlichen Beratung als Schnittstelle gegenüber der Geschäftsführung fungiere. Vor Bestellung des externen Datenschutzbeauftragten habe XXXX die Funktion des internen Datenschutzbeauftragten innegehabt. Es sei dann entschieden worden, jemand anderen als Datenschutzbeauftragen zu bestellen, der XXXX sei und die österreichische Gegebenheiten besser kenne und auch das Geschäft der Beschwerdeführerin besser verstehe. Die Einwilligungserklärungen seien lange besprochen und angepasst worden und die Rechtsabteilung der XXXX habe die Geschäftsführung über den Verlauf regelmäßig immer wieder informiert. Am Ende sei die finale Version der Geschäftsführung vorgelegt und von dieser genehmigt worden. Die Geschäftsführer hätten das gemeinsam entschieden und seien bei den wöchentlichen Meetings über den Fortlauf der Einwilligungserklärungen im Wesentlichen (nicht jedes Mal gemeinsam) anwesend gewesen. Die Gestaltung und rechtliche/inhaltliche Prüfung der gegenständlichen Einwilligungserklärungen sei von der Geschäftsführung der Beschwerdeführerin der Rechtsabteilung der XXXX gemeinsam mit externen Rechtsanwälten der Kanzlei XXXX überlassen worden. Es sei auch intensiv mit den Partner-Unternehmen und deren externen Anwälten Rücksprache zu den Einwilligungserklärungen gehalten worden, damit die Partner-Unternehmen als Begünstigte ebenfalls von der Rechtskonformität der Einwilligungserklärungen ausgehen bzw. sich daran beteiligen könnten. Die Beratung sei primär mittels E-Mails und persönlich im Rahmen von Meetings erfolgt, es habe keine Gutachten gegeben. Sie teile die rechtliche Ansicht der belangten Behörde im Bescheid aus dem amtswegigen Prüfverfahren nicht. Es habe bereits ein XXXX gegeben, der XXXX habe sich jedoch nur mit technischen Aspekten der Datenverarbeitung befasst, jedenfalls keine Rechtsprüfung vorgenommen. Der externe Datenschutzbeauftragte habe im Zuge seines Antritts sämtliche Dokumente und Unterlagen geprüft.
12. Die Beschwerdeführerin gab am 08.03.2021 eine Stellungnahme zu den Zeugeneinvernahmen ab und führte aus, dass die belangte Behörde bisher nicht dargelegt habe, aus welche Umständen sie ein vorsätzliches oder fahrlässiges Verhalten der Beschwerdeführerin oder der für sie handelnden Personen ableite. Nach § 5 Abs. 1a VStG dürfe seitens der belangten Behörde prima vista nicht angenommen werden, dass überhaupt ein schuldhaftes Verhalten bei der Beschwerdeführerin vorliege. Die Beschwerdeführerin habe sich – auch unter Einbeziehung ihrer Geschäftsführer – sehr gut und ausführlich überlegt, wie die gegenständlichen Ersuchen um Einwilligung rechtskonform und im Einklang mit den Vorgaben der DSGVO (wie sie in der vorliegenden Kommentarliteratur, der bisherigen Entscheidungspraxis, Rechtsprechung und den Leitlinien der Art. 29 Datenschutzgruppe sowie des EDSA ausgelegt würden) umgesetzt werden könnten. Ein fahrlässiges oder sogar vorsätzliches Verhalten sei dadurch gerade nicht indiziert. Für die Zulässigkeit unterschiedlicher Ausgestaltungen von Einwilligungserklärungen liege immer noch keine höchstgerichtliche Rechtsprechung oder relevante (rechtskräftige) verwaltungsbehördliche Spruchpraxis der belangten Behörde vor, an der sich die Beschwerdeführerin hätte orientieren können. Die unklare Rechtslage seit Anwendbarkeit der DSGVO könne somit jedenfalls nicht zu Lasten der Beschwerdeführerin verstanden werden. In Erfüllung ihrer gebotenen Sorgfaltspflichten seien Änderungen an bestehenden Datenverarbeitungen sowie die Einführung neuer Datenverarbeitungen seitens der Beschwerdeführerin stets nur unter ausführlichen Abwägungen und Überlegungen durch interne Fachexperten sowie unter Einbeziehung und entsprechenden Erkundigungen bei den bestellten externen Datenschutzbeauftragten als sach- und rechtskundige Personen sowie auf Datenschutzrecht spezialisierten Rechtsanwaltskanzleien erfolgt. Die Geschäftsführer der Beschwerdeführerin hätten keinen Grund gehabt, an der Einschätzung der internen wie externen Experten zu zweifeln, insbesondere da sie auch kontinuierlich in einen Entstehungsprozess der Einwilligungserklärungen eingebunden gewesen seien, die Ausführungen der Experten plausibel und fundiert gewesen seien und eine umfassende Auseinandersetzung der Experten mit den rechtlichen Vorgaben evident gewesen sei. Innerhalb der Beschwerdeführerin seien auch Prozesse eingerichtet, um einmal getroffene Maßnahmen kontinuierlich auf ihre Vereinbarkeit mit aktuellen Entwicklungen im Datenschutzrecht zu evaluieren und gegebenenfalls entsprechende Anpassungen vorzubereiten und mit den Geschäftsführern abzustimmen. Wenngleich das Datenschutzhandbuch erst im XXXX seitens der Beschwerdeführerin unterschrieben worden sei, sei festzuhalten, dass dieses lediglich die seit Anfang XXXX bestehenden Prozesse innerhalb der Beschwerdeführerin festgeschrieben habe. Die Beschwerdeführerin habe daher in Bezug auf die Gestaltung der Einwilligungserklärungen alles ihr Mögliche und Zumutbare unternommen, um eine rechtskonforme und den Anforderungen der DSGVO entsprechende Gestaltung der Ersuchen um Einwilligung sicherzustellen. Eine Bestrafung scheide daher mangels vorsätzlichen oder fahrlässigen Verhaltens jedenfalls aus.
13. Die belangte Behörde forderte die Beschwerdeführerin mit Schreiben vom 08.03.2021 auf, sämtliche Beratungsergebnisse oder Auskünfte (z.B. Protokolle von Besprechungen, Korrespondenz, Gutachten, Formular-Entwürfe, etc.) im Zusammenhang mit der rechtlichen Beurteilung, ob die gegenständlichen Einwilligungserklärungen (Ersuchen um Einwilligungen mittels der Methoden (i) physisches Anmeldeformular im XXXX und (ii) Webseite https://www. XXXX /) den Anforderungen gemäß Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 DSGVO entsprechen, die der Geschäftsführung der Beschwerdeführerin vom externen Datenschutzbeauftragter der XXXX mit Sitz in XXXX ), der Rechtsabteilung der XXXX , der Rechtsanwaltskanzlei XXXX (unter Federführung von XXXX ), sowie der Rechtsanwaltskanzlei XXXX vorgelegt worden seien, sowie sonstige Auskünfte von sachkundigen Personen/Abteilungen bzw. externen Beratern, vorzulegen.
14. Am 11.03.2021 wurde die ehemalige Teamleiterin für Datenschutzmanagement und Vertragsmanagement der XXXX , als Zeugin einvernommen. Sie gab an, von XXXX bis XXXX 2020 in der XXXX angestellt gewesen zu sein. Für die gesamten deutschsprachigen Unternehmen der Unternehmensgruppe – auch für die Beschwerdeführerin - sei sie Teamleiterin für Datenschutzmanagement und Vertragsmanagement und für die Koordination und Administration der Datenschutzprozesse zuständig gewesen. Man könnte die Position als „Datenschutzkoordinator“ bezeichnen, sie sei jedenfalls keine Juristin, sondern für die Verwaltung der datenschutzrechtlichen Prozesse zuständig. Die laufende Kontrolle und Überwachung der getroffenen Maßnahmen sei durch regelmäßige Management Updates durch das Datenschutz-Management (sowohl in Deutschland als auch in Österreich) erfolgt, in denen wichtige datenschutzrechtliche Themen besprochen worden seien. Die Geschäftsführung der Beschwerdeführerin sei bspw. über die EuGH Entscheidung zu Planet49 informiert worden. Für die regelmäßigen Meetings mit der Geschäftsführung seien auch stets Präsentationen angefertigt worden. Alle Mitarbeiter müssten eine datenschutzrechtliche Vertraulichkeitsvereinbarung unterschreiben, sie habe die Kollegen in Österreich geschult und datenschutzrechtlichen Prozesse betreut.
15. Am 17.03.2021 wurde der Geschäftsführer der Beschwerdeführerin, XXXX , als Beschuldigter einvernommen. Er führte aus, primär für die datenschutzrechtlichen Angelegenheiten im Zusammenhang mit den Einwilligungserklärungen zuständig gewesen zu sein und die Prozesse betreut zu haben. Die letztendliche Entscheidung habe er gemeinsam mit dem zweiten Geschäftsführer getroffen. Vor der Corona-Pandemie hätten alle zwei Wochen Meetings an einem XXXX mehrheitlich in XXXX stattgefunden. Aufgrund von Corona hätten sie auf Videokonferenztools umgestellt, wenn möglich würden die Meetings vor Ort in XXXX stattfinden. Im Datenschutzbereich seien sie vor der Einstellung von XXXX von ihrem XXXX Team, dem externen Datenschutzbeauftragten der XXXX , der Kanzlei XXXX sowie der Kanzlei XXXX beraten/unterstützt worden. Es sei für die Geschäftsführung klargewesen, dass die Gestaltung des Formulars die Anforderungen der DSGVO erfülle und dass es für den Kunden leicht verständlich sei. Das ganze Formular sei bereits mehrmals durch andere Gesellschaften geprüft worden. Basierend auf diesen geprüften Formularen hätten sie dann weitergearbeitet und die Kanzlei XXXX zusätzlich beauftragt. Es sei ihm von den Beratern versichert worden, dass diese Formulare den Anforderungen entsprechen. Zudem habe auch die Gesellschaft XXXX (beraten durch die Kanzlei XXXX ) eine Überprüfung vorgenommen und den Inhalt final – als Voraussetzung für den Vertragsabschluss mit der Beschwerdeführerin - bestätigt. Die Beratung habe in Form von mehreren Meetings stattgefunden, es seien die Formulare im Gesamtkonzept analysiert worden. Bezüglich der Buttons sei berichtet worden, dass diese die Menüführung für den Konsumenten erleichtern sollen und zulässig seien. Die Formulare würden auf einer Version, die in Deutschland bereits genutzt worden sei, basieren. Sie hätten zudem keine höchstgerichtliche Judikatur gehabt, an der sie sich orientieren hätten können. Für sie sei das alles plausibel gewesen, das mit dem Unterschriftenfeld eine Einwilligung eingeholt werden könne. Nach dem Planet49-Urteil des EuGH sei eine Überprüfung eingeleitet worden und sie seien zu dem Schluss gekommen, dass keine Änderung erforderlich sei. Die rechtliche Analyse der EuGH Entscheidung sei von XXXX in Zusammenarbeit mit XXXX vorgenommen und ihnen präsentiert worden. Für die Kontrolle der selbstverantwortlich überlassenen Tätigkeiten habe er einen externen Datenschutzbeauftragten bestellt, um eine Kontrolle zu gewährleisten. Des Weiteren gebe es eine jährliche XXXX , mit Schwerpunkt technischer Fragestellungen. Auch die eingebundene Organisation von Deutschland helfe bei der Kontrolle. Es gebe regelmäßige Meetings im Abstand von 14 Tagen und zudem einen ständigen Dialog mit XXXX . Die initiale Datenschutzschulung für Österreich habe XXXX vorgenommen, am XXXX 2021 habe eine Datenschutzschulung stattgefunden und es gebe regelmäßige Datenschutzschulungen auch für die gesamte Geschäftsführung. Der einzelne Mitarbeiter sei mehrmals jährlich mit Datenschutzschulungen beschäftigt. Die letzte Schulung habe XXXX für die deutschsprachige Unternehmensgruppe vorgenommen, XXXX nehme die Schulungen für Österreich vor.
16. Die Beschwerdeführerin gab am 26.03.2021 eine weitere Stellungnahme ab, in welcher sie u.a. ausführte, dass der Umsatz der Beschwerdeführerin sich für das Geschäftsjahr 2020 auf EUR XXXX belaufe. Der Genehmigung der finalen Fassungen der Einwilligungserklärungen sei ein iterativer Abstimmungs- und Erstellungsprozess vorausgegangen, so seien den externen Beratern Entwurfsfassungen der Einwilligungserklärungen zur Durchsicht übermittelt worden und deren Anmerkungen dann in Workshops oder Abstimmungsterminen diskutiert und seitens der Beschwerdeführerin in die nächste Entwurfsfassung eingearbeitet worden, die dann wiederum an die externen Berater zur Durchsicht und weiten Abstimmung zirkuliert worden sei. Der Aufforderung zur Vorlage der Dokumente/Unterlagen könne daher nicht nachgekommen werden. Die Nichtvorlage könne aber jedenfalls nicht als Verletzung der Mitwirkungsobliegenheiten ausgelegt werden, da diese sich ausschließlich auf den objektiven, nicht aber – wie die geforderten Dokumente – auf den subjektiven Tatbestand beziehen würden.
17. Nach Durchführung des Ermittlungsverfahrens erließ die belangte Behörde das angefochtene Straferkenntnis und sprach aus, dass die Beschwerdeführerin als Verantwortliche im Zusammenhang mit dem Betrieb von XXXX in Österreich, jedenfalls seit dem XXXX bis einschließlich XXXX 2020 im gesamten Bundesgebiet, bei den Ersuchen um Einwilligung der betroffenen Personen, die sich für das XXXX Kundenbindungsprogramm registriert hätten, für die „Verarbeitung von Kundendaten XXXX “, unter Verwendung der Methoden (i) physisches Anmeldeformular im XXXX und (ii) Webseite https://www. XXXX /, nicht den Anforderungen gemäß Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 DSGVO entsprochen habe, wodurch die Betroffenen dazu veranlasst worden seien, in die Verarbeitung ihrer personenbezogenen Daten einzuwilligen, ohne dass die Voraussetzungen für eine Einwilligung vorgelegen seien (Spruchpunkt 1.). Die Beschwerdeführerin habe daher personenbezogene Daten unrechtmäßig verarbeitet, da die Verarbeitung auch auf keine andere Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO gestützt habe werden können (Spruchpunkt 2.).
Die Beschwerdeführerin habe daher im Ergebnis den Grundsatz der Verarbeitung von personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) verletzt und personenbezogene Daten verarbeitet, ohne dass hierfür eine geeignete Rechtsgrundlage nach Art. 6 DSGVO vorgelegten habe. Dies sei dadurch ermöglicht worden, dass die im Tatzeitraum zur Vertretung nach außen berufenen und intern mit der Kontrolle und Überwachung sämtlicher datenschutzrechtlicher Angelegenheiten verantwortlichen [namentlich genannten] Geschäftsführer, gemeinsam als vertretungsbefugte Organe im Sinne des § 30 Abs. 1 und Abs. 2 DSG, durch Außerachtlassung der gebotenen Sorgfalt aufgrund mangelnder Kontrolle und Überwachung die oben dargestellten Verwaltungsübertretungen zu verantworten hätten.
Das tatbestandsmäßige, rechtswidrige und schuldhafte Verhalten der namentlich genannten Geschäftsführer werde im Hinblick auf § 30 Abs. 1 und Abs. 2 DSG der Beschwerdeführerin als beschuldigte juristische Person und datenschutzrechtlich Verantwortliche im Sinne von Art. 4 Z 7 DSGVO zugerechnet.
Der Beschwerdeführerin seien daher Verwaltungsübertretungen nach Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 iVm Art. 83 Abs. 5 lit. a DSGVO sowie Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 iVm Art. 83 Abs. 5 lit. a DSGVO anzulasten und werde wegen dieser Verstöße gemäß Art. 83 Abs. 5 lit. a DSGVO iVm § 30 DSG eine Geldbuße in Höhe von EUR 1.200.000,00 über die Beschwerdeführerin verhängt. Zudem habe die Beschwerdeführerin gemäß § 64 VStG einen Beitrag in Höhe von 10% der Strafe, sohin EUR 120.000,00 zu den Kosten des Strafverfahrens zu leisten.
Rechtlich hielt die belangte Behörde fest: Zur konkreten Einwilligungserklärung im Hinblick auf das physische Anmeldeformular XXXX sei auszuführen, dass an die Kriterien von Art. 4 Z 11 und Art. 7 Abs. 2 DSGVO ein hoher Maßstab anzulegen sei, Inhalt und Tragweite vorgefasster Vertragsklauseln müssten nach der Rechtsprechung des OGH für den Verbraucher „durchschaubar“ sein. Nun könne aber in einem Fall wie diesem nicht davon ausgegangen werden, dass ein Benutzer, der sich dem Anmeldeprozess mit durchschnittlicher Aufmerksamkeit widme, erkenne, dass es sich bei dem am Ende des Anmeldeformulars platzierten Unterschriftenfeldes um die Abgabe einer datenschutzrechtlichen Einwilligung handle. Vielmehr vermittle die Gesamtkonzeption des Anmeldeformulars und die Platzierung des Unterschriftenfelds den Eindruck, dass es sich hierbei um eine Unterschrift zur Anmeldebestätigung zum Programm handle. Der Hinweis XXXX sei in kleiner Schriftgröße verfasst und befinde sich am unteren Ende des Anmeldeformulars, was von einem Durchschnittsbenutzer am Ende des Anmeldeprozesses nicht mehr ausreichend wahrgenommen werde; zudem erschließe sich der belangten Behörde nicht, weshalb die Wortfolge XXXX derart konzipiert sei, dass der Eindruck entstehe, dass die Anmeldung nur mit Unterschrift wirksam werde, weshalb also nicht auch XXXX fett gedruckt sei. Weiters sei auch zu berücksichtigen, dass zwischen der Überschrift XXXX und dem Unterschriftenfeld ein augenfälliger räumlicher Abstand bestehe und kein ausreichender Konnex – anders als etwa bei einer deutlich neben einem Ersuchen um Einwilligung platzierten Checkbox – gegeben sei. Die Einwilligungserklärung am physischen Anmeldeformular unter der Überschrift XXXX entspreche daher nicht den Anforderungen des Art. 4 Z 11 iVm Art. 7 Abs. 2 DSGVO.
Zur konkreten Einwilligungserklärung im Hinblick auf die Webseite sei festzuhalten, dass diese Einwilligungserklärung ebenfalls nicht den Anforderungen des Art. 4 Z 11 iVm Art. 7 Abs. 2 DSGVO entspreche, da sich auch diese – das Bestätigen des XXXX Buttons – nicht ausreichend von den übrigen Elementen des Online-Anmeldeprozesses abhebe, aufgrund der Doppelfunktion des Buttons nicht von einer „unmissverständlichen“ und „in voller Kenntnis der Sachlage“ erteilten Einwilligungserklärung ausgegangen werden könne und sich ein Durchschnittsbenutzer gar nicht des Umstands bewusst sein werde, dass er durch Drücken des XXXX Buttons eine datenschutzrechtliche Einwilligung abgebe.
Nach dem ausdrücklichen Wortlaut von Art. 6 Abs. 1 DSGVO müsse jede Verarbeitung mindestens eine dort aufgezählte Bedingung („Erlaubnistatbestand“) erfüllen. Da die gegenständlich überprüften Ersuchen um Einwilligung unter Verwendung der Methoden i) physisches Anmeldeformular im XXXX und ii) Webseite nicht den Anforderungen von Art. 4 Z 11 DSGVO und Art. 7 Abs. 2 DSGVO entsprächen, handle es sich um ungültige Einwilligungserklärungen. Eine andere Rechtfertigungsgrundlage sei von der Beschwerdeführerin nicht angeführt worden und komme eine solche, etwa nach Art. 6 Abs. 1 lit. f DSGVO, auch deswegen nicht in Betracht, da es nicht möglich sei, diese im Nachhinein, nachdem sich die Einwilligung als rechtswidrig herausstelle, heranzuziehen. Die objektive Tatseite sei daher erfüllt.
Zur subjektiven Tatseite sei festzuhalten, dass die Rechtsprechung des VwGH und auch die Praxis der Verwaltungsbehörden bei der Handhabung des – von der Beschwerdeführerin vorgebrachten – Verbotsirrtums aufgrund des Vertrauens auf Auskünfte sachkundiger Personen oder Institutionen auf Grundlage vollständiger Sachverhaltsinformationen sehr restriktiv sei und der Verbotsirrtum nur selten als entschuldigend anerkannt werde. Die Geschäftsführer der Beschwerdeführerin treffe jedenfalls eine Erkundigungspflicht über die einschlägigen Bestimmungen der DSGVO (hier konkret für die Formulare: Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 DSGVO), da die Kenntnis dieser Bestimmung für die Tätigkeit der Beschwerdeführerin wesentlich sei. Die Geschäftsführer der Beschwerdeführerin hätten sich im konkreten Fall nicht ausreichend mit den Anforderungen der DSGVO in Bezug auf Einwilligungen (Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 DSGVO) auseinandergesetzt. Die Beschwerdeführerin habe außerdem im gegenständlichen Verfahren die Einholung einer Auskunft bzw. eine Auskunftsanfrage per se bei der belangten Behörde als hierfür zuständige Behörde nicht vorgebracht. Es liege somit deshalb schon ein vorwerfbarer Verbotsirrtum vor, abgesehen davon, dass die Beratungsergebnisse und Rechtsauskünfte der internen und externen Berater nicht der belangten Behörde während des Verfahrens vorgelegt worden seien. Ob diese Auskünfte auch aufgrund vollständiger Sachverhaltsinformationen erteilt worden seien, könne daher nicht festgestellt werden. Hinsichtlich der Beratung durch die zentrale Rechtsabteilung des Konzerns sei zudem festzuhalten, dass nach der Rechtsprechung des VwGH interne Erkundigungen einer Beschuldigten im Regelfall keinen entschuldbaren Verbotsirrtum begründen könnten. Den Geschäftsführer hätte es auffallen müssen, dass die konkrete Gestaltung der Einwilligungserklärungen nicht den Anforderungen der DSGVO (Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 DSGVO) entsprechen könne. Die Geschäftsführer hätten dann in Folge die bestehenden Zweifel durch weitere Erkundigungen beseitigen müssen, beispielsweise durch eine Auskunftsanfrage an die belangte Behörde oder mittels Rechtsgutachten von Sachverständigen, das sich mit dieser spezifischen Fragestellung beschäftige. Dies sei jedoch nicht geschehen. Es liege somit auf subjektiver Tatseite Verschulden in Form von Fahrlässigkeit vor.
Das von der Beschwerdeführerin im gegenständlichen Verfahren dargelegte Kontrollsystem stelle auch kein wirksames Internes Kontrollsystem (IKS) im Sinne der Judikatur des VwGH dar. Die Geschäftsführer hätten keinen Kontrollmechanismus implementiert, um sicherzustellen, dass die internen Berater auch tatsächlich sämtliche Entwicklungen verfolgen und nichts übersehen. Die bloße Erteilung von Weisungen, dass z.B. die Rechtsentwicklung verfolgt werden soll, reiche nicht hin, entscheidend sei, ob auch eine wirksame Kontrolle der vom Verantwortlichen erteilten Weisungen erfolgt sei, die unter den vorhersehbaren Verhältnissen die Einhaltung der gesetzlichen Vorschrift mit gutem Grund erwarten lasse. Den Geschäftsführern sei im Wesentlichen bis auf das EuGH-Urteil zu Planet49 (europäische Rechtsentwicklung) und einem Straferkenntnis der belangten Behörde wegen unzulässiger Videoüberwachung (österreichische Rechtsentwicklung) keine weitere Entwicklung von den internen Beratern berichtet worden. Die Geschäftsführer hätten jedoch den Verdacht schöpfen müssen, dass es sehr unwahrscheinlich sei, dass es im gesamtem Tatzeitraum keine relevante Rechtsentwicklung im Zusammenhang mit Einwilligungen bzw. der Erhebung von Einwilligungen gegeben habe, insbesondere, weil die DSGVO im Tatzeitraum erst „frisch“ in Geltung getreten sei. Wirksame Kontrollsysteme müssten zudem entsprechende Sanktionsmechanismen für den Fall festgestellter Verstöße vorsehen. Selbst im überarbeiten (neuen) Datenschutzhandbuch würden solche Mechanismen gar nicht geregelt und wurden von im gesamten Verfahren auch nicht vorgebracht, weshalb auch aufgrund dieser fehlenden Mechanismen im Ergebnis kein wirksames IKS vorliege.
Zum Absehen von der Bestrafung gemäß § 11 DSG bzw. § 45 VStG sei festzuhalten, dass das Bundesverwaltungsgericht bereits rechtskräftig bestätigt habe, dass § 11 DSG kein Vorrang einer Verwarnung entnommen werden könne. Es könne auch nicht davon ausgegangen werden, dass die Bedeutung des hier strafrechtlich geschützten Rechtsgutes gering sei, jedenfalls bestehe ein abstrakt hohes Interesse. Ob die Intensität seiner Beeinträchtigung durch die Tat und das Verschulden des Beschuldigten gering seien, sei somit nicht relevant und könne daher auch nicht zur Einstellung des Verfahrens nach § 45 Abs. 1 Z 4 VStG führen.
Im Hinblick auf die Strafzumessung sei aufgrund des Jahresumsatzes der Strafrahmen bis zu EUR 20.000.000 heranzuziehen. Erschwerend sei berücksichtigt worden, dass die Beschwerdeführerin von circa XXXX natürlichen Personen in Österreich eine ungültige Einwilligung erhoben habe und bis dato die personenbezogenen Daten dieser Betroffenen XXXX aufgrund einer ungültigen Einwilligung verarbeite. Die Verarbeitung sei somit im gesamten Tatzeitraum (über zwei Jahre) unrechtmäßig erfolgt. Mildernd sei berücksichtigt worden, dass die Datenschutzbehörde in Bezug auf die im Spruch geahndeten Verstöße nicht von vorsätzlicher, sondern von fahrlässiger Begehung ausgehe, dass gegen die Beschwerdeführerin bei der Datenschutzbehörde keinerlei einschlägige frühere Verstöße gegen die DSGVO vorliegen, dass die Beschwerdeführerin im Rahmen des gegenständlichen Ermittlungsverfahrens vor der Datenschutzbehörde mitgewirkt und dadurch einen Beitrag zur Wahrheitsfindung geleistet habe, dass die Beschwerdeführerin im Geschäftsjahr 2020 einen Bilanzverlust in der Höhe von EUR XXXX erzielt habe, dass die Beschwerdeführerin bzw. deren Geschäftsführer sich im dritten Quartal 2020 in Reaktion auf den Bescheid der Datenschutzbehörde im amtswegigen Prüfverfahren vom XXXX 2020 zur GZ: DSB- XXXX – wenn auch nur zur Risikominimierung – dazu entschlossen haben, die Einwilligungsformulare zu adaptieren sowie, die aktuelle COVID-19 Pandemie und sämtliche daraus resultierenden erforderliche Umstrukturierungsmaßnahmen im Betrieb.
Die konkret verhängte Strafe in der Höhe von EUR 1.200.000,00 scheine daher im Hinblick auf den verwirklichten Tatunwert, gemessen am zur Verfügung stehenden Strafrahmen des Art. 83 Abs. 5 DSGVO (hier bis zu EUR 20.000.000) tat- und schuldangemessen und befinde sich aufgrund der vorliegenden Milderungsgründe am untersten Ende des zur Verfügung stehenden Strafrahmens.
Die Verhängung sei jedenfalls im generalpräventiven Sinne erforderlich, um Verantwortliche und Auftragsverarbeiter hinsichtlich ihrer Pflicht zur Gestaltung rechtskonformer Einwilligungserklärungen, insbesondere für Zwecke wie Profiling, zu sensibilisieren. Es würden auch spezialpräventive Gründe vorliegen, da die Beschwerdeführerin bis dato die Ansicht vertrete, dass die ursprüngliche Gestaltung der Einwilligungsersuchen den Anforderungen entspreche und daher auch so fortgesetzt werden könnte. Die konkret verhängte Strafe sei somit für den gegenständlichen Fall wirksam, verhältnismäßig und abschreckend im Sinne des Art. 83 Abs. 1 DSGVO.
18. Gegen dieses Straferkenntnis erhob die Beschwerdeführerin fristgerecht Beschwerde an das Bundesverwaltungsgericht. Darin wurde zusammengefasst vorgebracht, dass die Anforderungen an eine wirksame Einwilligung entgegen der Ansicht der Datenschutzbehörde erfüllt seien und die Verarbeitung im Einklang mit der DSGVO erfolge sowie ist den Geschäftsführern in keiner Weise ein Außerachtlassen der gebotenen Sorgfalt oder eine mangelnde Kontrolle und Überwachung in diesem Zusammenhang anzulasten sei.
Zur objektiven Tatseite sei festzuhalten, dass kein Verstoß gegen die DSGVO vorliege. Die von der Beschwerdeführerin eingesetzten Ersuchen um Einwilligung würden jeweils den einschlägigen Vorgaben entsprechen, insbesondere sei durch die vorgesehene Gestaltung für die Nutzer unmissverständlich erkennbar, dass sie bei der jeweiligen „Aktion“ (Unterschrift bzw. Klick auf einen Button) eine datenschutzrechtliche Einwilligungserklärung abgeben. Die belangte Behörde fasse auch das Konzept des „Durchschnittsnutzers“ zu weit, auf eine nur „durchschnittlich aufmerksame“ Person abzustellen, entspreche weder den Vorgaben der DSGVO noch den Vorgaben zu einem wie auch immer gearteten unionsrechtlichen Verbraucherleitbild der Richtlinie 93/13/EWG. Bei der Anmeldung zum Programm der Beschwerdeführerin sei geradezu ein höheres Level an Aufmerksamkeit zu verlangen. Der von der belangten Behörde angenommene „irreführende Eindruck“ bestehe daher gerade nicht. Das Ersuchen um Einwilligung entspreche vollinhaltlich den Vorgaben der DSGVO.
Zum Online-Anmeldeprozess sei festzuhalten, dass die Ansicht der belangten Behörde, dass ein durchschnittlicher Nutzer nicht erkenne, dass er mit dem Drücken des XXXX Buttons XXXX eine datenschutzrechtliche Einwilligung abgebe, nicht nachvollziehbar sei. Die gewählte Lösung mittels zwei Buttons sei ein geeignetes Mittel, um die Einwilligung einzuholen. Die Aufschrift des Buttons XXXX weise klar auf eine datenschutzrechtliche Einwilligungserklärung und eben nicht den bloßen Abschluss des Anmeldeprozesses hin. Aufgrund der klaren Formulierung XXXX könne kein Zweifel daran bestehen, dass die Nutzer sich bewusst seien, hier eine Einwilligung abzugeben
Auf subjektiver Tatseite liege kein Verschulden der Beschwerdeführerin vor. Im angefochtenen Bescheid gehe die Datenschutzbehörde von einem Verschulden aus, ohne jedoch entsprechende Ermittlungen dazu getätigt zu haben oder den für die Beschwerdeführerin günstigen Akteninhalt in irgendeiner Weise zu würdigen. Die konkreten Verschuldensannahmen der belangten Behörde seien nicht berechtigt und würden sich diese im Übrigen auch nicht aus dem Verfahrensakt ergeben. Die Beschwerdeführerin sei den von der Datenschutzbehörde aufgestellten Vorgaben bereits vollinhaltlich nachgekommen. Ein Ansuchen um Auskunft bei Datenschutzbehörde sei nicht möglich, da die belangte Behörde – was sich klar und eindeutig aus den Informationen auf der Webseite der belangten Behörde ergebe - gar keine allgemeinen Auskünfte zur Rechtslage erteile und sich in ihrem Zuständigkeitsbereich auf die Verfahrensführung beschränke. Im Vergleich zu anderen europäischen Aufsichtsbehörden nehme die österreichische Datenschutzbehörde gerade bewusst keine Beraterrolle für sich in Anspruch. Aus diesem Grund habe die Beschwerdeführerin auch keine Anfrage an die belangte Behörde gestellt, da sie auf ihre Anfrage ohnedies keine Antwort erhalten hätte. Ein Ansuchen um Auskunft bei anderen kompetenten Stellen sei nicht möglich, da es abseits der belangten Behörde keine anderen kompetenten Stellen für Rechtsauskünfte zu Datenschutzanfragen gebe. Es hätten jedoch ausführliche Abstimmungen mit berufsmäßigen Parteienvertretern und sonstigen sachkundigen Personen stattgefunden, die Beschwerdeführerin habe sich sehr gut und ausführlich überlegt, wie die gegenständlichen Ersuchen um Einwilligung rechtskonform und im Einklang mit den Vorgaben der DSGVO (wie sie in der vorliegenden Kommentarliteratur, der bisherigen Entscheidungspraxis und den Leitlinien der Art. 29-Datenschutzgruppe sowie des Europäischen Datenschutzausschusses ausgelegt werden) umgesetzt werden könnten. Der Genehmigung der finalen Fassungen der Ersuchen um Einwilligung sei ein umfassender iterativer Abstimmungs- und Erstellungsprozess vorausgegangen, in den die Geschäftsführer (neben den internen wie externen Beratern) engmaschig und kontinuierlich eingebunden gewesen seien. Aus diesem Grund habe für die Beschwerdeführerin und für die Geschäftsführer zu keinem Zeitpunkt ein Zweifel daran bestanden, dass die gegenständliche finale Gestaltung der Ersuchen um Einwilligung den Vorgaben der DSGVO vollinhaltlich entspreche. Wenn die Datenschutzbehörde ausführe, es könne nicht festgestellt werden, dass die erteilten Auskünfte externer Berater auch aufgrund vollständiger Sachverhaltsinformationen erteilt worden sei, sei das nicht nachvollziehbar. Das Vorbringen der Beschwerdeführerin sei diesbezüglich eindeutig und ergebe sich die Vollständigkeit der Informationen auch aus den Zeugenaussagen. Zudem sei mit XXXX jedenfalls eine sachkundige Person außerhalb der Beschwerdeführerin involviert gewesen, die aufgrund vollständiger Sachverhaltsinformationen Auskunft zu den gegenständlichen Ersuchen um Einwilligung erteilt habe. Spätestens als XXXX (ein XXXX Rechtsanwalt) die gegenständlichen Ersuchen um Einwilligung aufgrund vollständiger Sachverhaltsinformationen geprüft und für im Einklang mit den Vorgaben der DSGVO befunden habe, wäre die Beschwerdeführerin ihrer (von der Datenschutzbehörde angenommenen) Erkundigungspflicht ausreichend nachgekommen.
Entgegen den Ausführungen der belangten Behörde sei die fortlaufende Rechtsbeobachtung nicht mangelhaft gewesen und sei über relevante Entscheidungspraxis und Leitlinien gesprochen worden. Weder aus der von der belangten Behörde zitierten Entscheidung noch den Leitlinien 5/2020 sei abzuleiten, dass die gewählte Gestaltung der Ersuchen um Einwilligung den dortigen Anforderungen widersprechen würde. Die Geschäftsführer hätten eine umfassende Organisation eingerichtet um die laufende Rechtsentwicklung (Entscheidungspraxis, Leitlinien, etc.) zu beobachten, und eine engmaschige Kontrolle dafür eingerichtet, dass die damit betrauten Personen diese Aufgabe verlässlich, gründlich und genau wahrnehmen. Dadurch, dass ein externer Datenschutzbeauftragter bestellt sei, um eine Kontrolle zu gewährleisten, und den Partnerunternehmen (samt ihren eigenen Rechtsvertretern) datenschutzrechtliche Fragen immer zur vollsten Zufriedenheit beantwortet würden, bestätige den Geschäftsführern (neben ihrer eigenen Kontrolltätigkeit), dass es sich bei den mit der Beobachtung der Rechtsentwicklung betrauten Personen (also insbesondere XXXX und XXXX ) um verlässliche, vertrauenswürdige Personen mit entsprechendem Fachwissen und Expertise handle.
Selbst wenn von einer Verwaltungsübertretung auszugehen sei und ein vorwerfbares Verhalten im Sinne eines Verschuldens auf Seiten der Beschwerdeführerin als gegeben angesehen werden könnte, wäre dennoch von einer Bestrafung abzusehen gewesen, da mit einer Verwarnung nach Art. 58 Abs. 2 lit b DSGVO bzw. § 11 DSG bzw. einer Ermahnung gemäß § 45 Abs. 1 Z 4 VStG das Auslangen gefunden werden hätte können. Selbst wenn von einer Verwaltungsübertretung auszugehen sei und die Datenschutzbehörde der Meinung gewesen wäre, dass nicht mit einer Verwarnung bzw. Ermahnung das Auslangen gefunden werden könne, so wäre die von der Datenschutzbehörde verhängte Strafe mit ca. XXXX % des Jahresumsatzes der Beschwerdeführerin (inkl. des pauschalierten Kostenbeitrags von EUR 120.000 sogar ca. XXXX % des Jahresumsatzes) zu hoch bemessen und wäre bei vollständiger und rechtsrichtiger Berücksichtigung aller Umstände deutlich niedriger anzusetzen gewesen.
19. Die belangte Behörde machte von der Möglichkeit einer Beschwerdevorentscheidung nicht Gebrauch, legte die Beschwerde samt dem bezughabenden Verwaltungsakt und einer Stellungnahme zum Beschwerdevorbringen mit Schreiben vom 14.06.2021 dem Bundesverwaltungsgericht zur Entscheidung vor und gab eine Stellungnahme ab, in welcher sie den angefochtenen Bescheid verteidigte.
20. Mit ergänzender Stellungnahme vom 04.01.2022 beantragte die belangte Behörde den EuGH gemäß Art. 267 AEUV mit der Frage der unmittelbaren Strafbarkeit einer juristischen Person gemäß Art. 83 DSGVO und mit der Frage der Vereinbarkeit von § 30 DSG mit Art. 83 DSGVO zu befassen; in eventu das Verfahren bis zur Entscheidung des EuGH in der Rechtssache C-807/21 gemäß § 38 AVG iVm §§ 17 und 38 VwGVG auszusetzen.
Dazu wurde von der belangten Behörde vorgebracht, dass das Kammergericht Berlin mit Beschluss vom 06.12.2021, GZ 2 Ws 250/21 dem EuGH folgende Fragen zur Auslegung von Art. 83 DSGVO zur Vorabentscheidung nach Art. 267 AEUV vorgelegt habe:
„1. Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?
2. Wenn die Frage zu 1. bejaht werden sollte: Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?“
21. Mit Beschluss des Bundesverwaltungsgerichts vom 08.04.2022, W214 2243436-1/13Z, wurde das Verfahren gemäß § 17 VwGVG iVm § 38 AVG bis zur Vorabentscheidung durch den EuGH über die mit Beschluss des Kammergerichtes Berlin vom 06.12.2021, Zl. 3 Ws 250/21 (beim EuGH anhängig unter C-807/21), vorgelegten Fragen ausgesetzt.
22. Mit Urteil des EuGH vom 05.12.2023, Zl. C‑807/21, erkannte dieser zu den oben unter Punkt 6. wiedergegebenen Fragen zu Recht:
„1. Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.
2. Art. 83 der Verordnung 2016/679 ist dahin auszulegen, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.“
23. Die Beschwerdeführerin erstattete am 11.12.2023 eine Stellungnahme, in welcher sie ausführte, dass sie durch den angefochtenen Bescheid bzw. die Vorgangsweise der belangten Behörde in dem diesem vorangegangenen Strafverfahren sowie vorangegangenen amtswegigen Prüfverfahren insbesondere auch in ihren verfassungsgesetzlich gewährleisteten Rechten verletzte. Der belangten Behörde sei behördliche Willkür (durch gehäufte und massive Missachtung von Verfahrensvorschriften), denkunmögliche Anwendung von gesetzlichen Bestimmungen, Verletzung des Rechts auf Führung eines fairen Verfahrens sowie verfassungswidrige Umgehung des Selbstbelastungsverbots vorzuwerfen. Schon aus diesen Gründen sei der angefochtene Bescheid ersatzlos aufzuheben. Die Ergebnisse im Verfahren betreffend den amtswegigen Bescheid dürften auch vom Bundesverwaltungsgericht bei sonstiger Verletzung gegen Art. 90 Abs. 2 B-VG sowie Art. 6 EMRK nicht verwendet werden. Zudem bestreite die Beschwerdeführerin den ihr angelasteten Verstoß entschieden, wonach die verfahrensgegenständlichen Einwilligungserklärungen nicht den Anforderungen der DSGVO entsprechen würden sowie, dass sie gemeinsam mit der XXXX als „wirtschaftliche Einheit“ und somit als Unternehmen iSd Art. 101 und 102 AEUV anzusehen sei. Im Ergebnis sei diese Frage für das hiergerichtliche Verfahren allerdings gar nicht relevant, da auch unter Einbeziehung des Jahresumsatzes der XXXX im Geschäftsjahr 2020 der Gesamtumsatz beider Gesellschaften deutlich unter EUR XXXX liegen, sodass weiterhin der Strafrahmen von EUR 20.000.000 maßgeblich bleibe. Der Entscheidung des EuGH in der Rechtssache C-807/23 sei nicht zu unterstellen, dass auch bei der „starren“ EUR 20.000.000 Grenze des Strafrahmens der Unternehmensbegriff der Art 101 und 102 AEUV relevant würde. Im Übrigen werde Ausführungen in der Bescheidbeschwerde sowie in den ergänzenden Stellungnahmen verwiesen.
24. Am 10.01.2024 fand eine mündliche Verhandlung vor dem Bundesverwaltungsgericht statt, an welcher sich die Beschwerdeführerin und die beiden Geschäftsführer der Beschwerdeführerin sowie deren Rechtsvertretung und die belangte Behörde beteiligten. Weiters wurden in der mündlichen Verhandlung XXXX sowie XXXX als Zeugen einvernommen. Die Verhandlung wurde vertagt.
25. Über Aufforderung des Bundesverwaltungsgerichtes, die jeweiligen Jahresumsätze der Unternehmensgruppe sowie sämtliche Korrespondenz bzw. schriftlich dokumentierte Ergebnisse (inklusive E-Mails) interner und externer Beratung der Beschwerdeführerin im Hinblick auf die in der Folge verwendeten (verfahrensgegenständlichen) Einwilligungserklärungen vorzulegen, erstattete die Beschwerdeführerin am 28.02.2024 eine ergänzende Stellungnahme, in welcher zusammengefasst ausgeführt wurde, dass die Entscheidung des BVwG vom 13.12.2022, Zl. W214 2234934-1, selbstverständlich zur Kenntnis genommen und akzeptiert werde, dass die Gestaltung der gegenständlichen Einwilligungserklärung nicht im Einklang mit den Vorgaben der DSGVO gewesen sei. Im hier gegenständlichen Tatzeitraum sei die Beschwerdeführerin allerdings davon ausgegangen und habe (mangels entgegenstehender Anhaltspunkte) auch berechtigterweise davon ausgehen können, dass die gewählte Gestaltung der Einwilligungserklärungen im Einklang mit den entsprechenden Vorgaben der DSGVO gewesen sei. Die Beschwerdeführerin habe den Prozess der Einholung der Einwilligung und die relevanten Formulare auch umgehend nach der Entscheidung des Bundesverwaltungsgerichts im amtswegigen Verfahren entsprechend angepasst. Sofern betroffene Kunden keine neue Einwilligung (unter Verwendung der adaptierten Einwilligungserklärungen und adaptierten Prozesse zur Einholung der Einwilligungen) abgegeben hätten, würden ihre Daten nicht mehr zu Zwecken der Zusendung personalisierter XXXX Angebote verarbeitet. Sofern diese Nutzer keine neue Einwilligungserklärung abgegeben hätten, würden sie demnach nur mehr generelle XXXX Angebote erhalten. Auch wenn die Beschwerdeführerin sich hierfür auf andere Rechtsgrundlagen hätte stützen können, habe die Beschwerdeführerin (wie auch für den Programmstart im XXXX ) entschieden, sich erneut auf die transparenteste Rechtsgrundlage, also die datenschutzrechtliche Einwilligung, zu stützen.
Auch wenn die Einwilligungserklärungen ungültig gewesen seien, könne die gegenständliche Verarbeitung personenbezogener Daten auch die Rechtsgrundlagen gemäß Art. 6 Abs. 1 lit. b DSGVO sowie auch Art. 6 Abs. 1 lit f DSGVO gestützt werden. Spruchpunkt 2. des angefochtenen Bescheides sei sohin schlicht falsch. Zu Art. 6 Abs. 1 lit b DSGVO sei auszuführen, dass es Nutzern bereits bei der Anmeldung (wie auch zu jedem Zeitpunkt danach) offenstehe, das vertragliche Grundverhältnis mit dem „Zusatzpaket“ „ XXXX Angebote“ aufzuwerten. Sofern ein Kunde eine derartige Zusatzleistung wünsche, werde diese Zusatzleistung ein integraler Bestandteil des Vertragsverhältnisses und die entsprechende Verarbeitung personenbezogener Daten sei demnach auch für die Abwicklung des Vertragsverhältnisses erforderlich, um diesen Nutzer auch mit relevanteren XXXX Angeboten versorgen zu können. Die Zusendung personalisierter Angebote sei hier gerade kein Nebenprodukt oder eine nur mittelbar mit dem Teilnahmevertrag zusammenhängende Nebenleistung.
Neben dem Rechtfertigungsgrund nach Art. 6 Abs. 1 lit. b DSGVO sei die gegenständliche Verarbeitungstätigkeit auch nach Art 6 Abs. 1 lit. f DSGVO zulässig. Es bestehe ein berechtigtes Interesse der Beschwerdeführerin, die personenbezogenen Daten der Teilnehmer am Kundenbindungsprogramm zu verarbeiten, um diesen zielgerichtet personalisierte Angebote XXXX zukommen zu lassen, die Verarbeitung der personenbezogenen Daten der Teilnehmer am Kundenbindungsprogramm sei auch zur Verfolgung des berechtigten Interesses der Direktwerbung über Zusendung personalisierter Angebote erforderlich, da ohne diese Verarbeitung eine entsprechende individualisierte Angebotserstellung nicht möglich wäre, weil – der Definition des Profiling iSd Art. 4 Z 4 DSGVO folgend – dies notwendig sei, „[…] um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich […] persönliche Vorlieben, Interessen, [und] Verhalten […] dieser natürlichen Person zu analysieren oder vorherzusagen.“ Es sei auch kein Überwiegen der Grundrechte und Grundfreiheiten der Teilnehmer am Kundenbindungsprogramm erkennbar, welches das berechtigte Interesse der Beschwerdeführerin an der Datenverarbeitung zurücktreten lassen würde. Die Nutzer hätten nämlich ein signifikantes eigenständiges Interesse an der gegenständlichen Datenverarbeitung: Denn bei Anwendung der gegenständlichen Verarbeitungstätigkeit erhalte ein Nutzer sowohl mehr XXXX als andere Nutzer wie auch für ihn selbst relevantere XXXX , wodurch dieser Nutzer beim Einlösen dieser XXXX wieder mehr Rabatte für den nächsten Einkauf erhalten könne. Der Rechtfertigungsgrund des Art. 6 Abs. 1 lit. f DSGVO sei für Verarbeitungstätigkeiten mit Profiling keineswegs ausgeschlossen, zumal Art. 21 Abs. 1 DSGVO Betroffenen ausdrücklich das Recht einräume, gegen ein auf Art. 6 Abs. 1 lit. f DSGVO gestütztes Profiling Widerspruch einzulegen. Es handle sich bei der gegenständlichen Verarbeitungstätigkeit auch nicht um eine besonders eingriffsintensive Variante des Profiling.
Zum Verschuldensmaßstab sei festzuhalten, dass weder die Planet49-Entscheidung des EuGH, noch die Entscheidung der DSB vom 31. Juli 2018, GZ DSB-D213.642/0002-DSB/2018, noch die Leitlinien 5/2020 des EDSA zur Einwilligung in Hinblick auf die hier konkret gewählte Gestaltung der verfahrensgegenständlichen Einwilligungserklärungen in der Weise einschlägig seien, dass daraus ein Anpassungsbedarf an der gewählten Gestaltung erkannt werden hätte müssen. Die belangte Behörde habe bis heute auch keine weiteren Entscheidungen ins Treffen führen können, wonach es für die Beschwerdeführerin im Tatzeitraum hätte erkennbar sein können, dass die gewählte Gestaltung nicht im Einklang mit der DSGVO gewesen wäre. Im hier gegenständlichen Tatzeitraum sei die Beschwerdeführerin davon ausgegangen und habe (mangels entgegenstehender Anhaltspunkte) auch berechtigterweise davon ausgehen können, dass die gewählte Gestaltung der Einwilligungserklärungen im Einklang mit den entsprechenden Vorgaben der DSGVO gewesen sei. Ein Verschulden sei der Beschwerdeführerin gerade nicht anzulasten.
Zu Anfrage des Bundesverwaltungsgerichts könnten keine einschlägigen Dokumente (wie externe Gutachten, etc) vorgelegt werden, obwohl eine Vorlage solcher Dokumente für die Position der Beschwerdeführerin vorteilhaft wäre. Im Vorfeld der Genehmigung der gegenständlichen Einwilligungserklärungen hätten regelmäßige Meetings zwischen der Rechtsabteilung und den Geschäftsführern stattgefunden, in denen der jeweilige Stand der Einwilligungserklärungen thematisiert worden sei. Die Beschwerdeführerin habe im Vorfeld des Programmstarts in Österreich eine Meetingstruktur etabliert, wonach u.a. wöchentliche Projektsteering-Meetings abgehalten worden seien, an denen auch XXXX teilgenommen habe, sowie wöchentliche Management Steering Meetings, an denen auch die beiden Geschäftsführer der Beschwerdeführerin teilgenommen hätten. Die Ergebnisse des Projektsteering-Meetings seien im Management Steering Meeting besprochen und abgestimmt worden. Zudem seien diese Meetings zwischen den Geschäftsführern und der Rechtsabteilung auch von entsprechenden engmaschigen Updates begleitet worden, um alle Personen auf den aktuellen Stand zu bringen und die wesentlichen zur Diskussion stehenden Themen zusammenzufassen. Wie aus den beigelegten E-Mails hervorgehe, sei die Abstimmung und rechtssichere Gestaltung der verfahrensgegenständlichen Ersuchen um Einwilligung ein „Dauerbrenner“. Zudem lege die Beschwerdeführerin das Protokoll eines der letzten Meetings vor Programmstart vor. Wie daraus hervorgehe, habe die Erfüllung der Vorgaben aus der DSGVO für die Beschwerdeführerin oberste Priorität. In der dem Protokoll angefügten Grafik würden risikoreiche Bereiche der DSGVO dargestellt, wobei bereits an erster Stelle als Ziel die rechtssichere Gestaltung der Einwilligung stehe.
Weiters beauskunftete die Beschwerdeführerin die Jahresumsätze von Unternehmen der Unternehmensgruppe und hielt fest, dass es für die Berechnung der Geldbuße auf das der Strafentscheidung vorausgegangene Geschäftsjahr ankomme, demnach für die Berechnung der Geldbuße ausschließlich der Jahresumsatz von 2020 maßgeblich sei.
26. An der Fortsetzung der mündlichen Verhandlung, welche am 19.03.2024 stattfand, beteiligte sich die Beschwerdeführerin, der Geschäftsführer XXXX und die belangte Behörde.
II. Das Bundeverwaltungsgericht hat erwogen:
1. Feststellungen:
1.1. Der unter Punkt I. dargestellte Verfahrensgang wird den Feststellungen zu Grunde gelegt.
1.2. Die Beschwerdeführerin betreibt seit XXXX in Österreich das XXXX Programm, ein Kundenbindungsprogramm im Sinne einer Plattform, die von Partnerunternehmen für Zwecke der Kundenbindung verwendet wird. Dazu schließt die Beschwerdeführerin als Betreiberin des Programms mit den Partnerunternehmen einen Vertrag ab. Zum Zeitpunkt der Bescheiderlassung gab es XXXX stationäre Partner und XXXX Online-Partner. Der Beschwerdeführerin obliegt als Betreiberin des Programms insbesondere die Organisation der Mitgliedschaft der registrierten Kunden sowie die Verwaltung des Webauftritts unter https://www. XXXX /.
Im Tatzeitraum stellte sich die Sachlage folgendermaßen dar:
Die Nutzer des XXXX Programms erhielten von dem Partnerunternehmen, bei dem sie sich für das XXXX Programm anmelden bzw. welches sie bei Anmeldung über das Onlineformular auswählen (das kartenausgebende Partnerunternehmen), eine XXXX Kundenkarte, auf der auch das XXXX aufschien.
Bei Vorlage der XXXX Karte beim Einkauf bei diesem Partnerunternehmen (oder auch den weiteren Partnerunternehmen) sammelten die Nutzer XXXX , die dann in weiterer Folge bei Einkäufen bei den Partnerunternehmen zu Vergünstigungen führen oder anderweitig eingelöst werden können.
Alle Nutzer, die am XXXX Programm teilnahmen, erhielten (postalisch) regelmäßig allgemeine Angebote für Produkte der Partnerunternehmen, bei deren Erwerb sie zusätzlich weitere XXXX sammeln konnten und wobei sie – je nach konkretem Angebot – ggf. auch die gesammelten XXXX für den Erhalt von Vergünstigungen verwenden konnten. Nutzer, die dem Empfang elektronischer Zusendungen zugestimmt haben, erhielten Angebote etwa auch über E-Mail.
Die Nutzer zahlten für die Teilnahme am XXXX Programm kein Entgelt an XXXX oder das Partnerunternehmen. XXXX erhielt von den teilnehmenden Partnerunternehmen eine Vergütung für den Betrieb und die Administration des Kundenprogramms.
Es waren rund XXXX österreichische Kunden als Mitglieder beim Programm registriert.
1.3. Im Rahmen der Mitgliederregistrierung konnten die Mitglieder iSd Art. 6 Abs. 1 lit. a DSGVO einwilligen, dass ihre Daten für Zwecke der XXXX verwendet werden. Diese Einwilligung konnte bzw. kann jederzeit widerrufen werden. Mit der Einwilligung wurde vor allem einem Datenabgleich der Kundendaten der betroffenen Person zugestimmt, welche für XXXX verwendet werden. Aufgrund der Einwilligung erhalten die Kunden interessensgerichtete Werbung und – im Gegensatz zu anderen Kunden, die nicht eingewilligt haben – für sie besonders relevante XXXX in größerer Anzahl.
1.4. Die Anmeldung zum Programm war im Tatzeitraum mithilfe eines physischen Anmeldeformulars XXXX oder online auf der Webseite https://www. XXXX / möglich.
1.5. Die im Tatzeitraum gültige, zum Programm zugehörige Datenschutzerklärung der Beschwerdeführerin ist dem angefochtenen Bescheid (Seite 9 ff.) zu entnehmen. Punkt XXXX der Datenschutzerklärung lautete:
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
1.6. Die Einholung der Einwilligung mittels XXXX wurde im Tatzeitraum so durchgeführt, dass in Filialen von stationären Partnerunternehmen, die am Programm teilnehmen, ein physisches Anmeldeformular XXXX aufgelegt wurde. Das XXXX wurde auch an Kunden bei der Bezahlung an der Kasse überreicht, sofern diese ein Interesse an der Teilnahme am Programm hatten. Das XXXX bestand aus dem auszufüllenden Anmeldeformular, den Teilnahmebedingungen, den Hinweisen zum Datenschutz im Programm, den Hinweisen zum Newsletter, XXXX sowie allgemeinen Informationen zum Programm. Das Anmeldeformular bestand aus XXXX Boxen. In der XXXX Box mit der Überschrift XXXX konnte eine Person ihre persönlichen Daten angeben (Anrede, Vorname, Nachname, Geburtsdatum, Straße samt Hausnummer/Stiege/Türnummer, PLZ, Ort und Land). Falls vorhanden, konnte ein Titel angegeben werden. In der XXXX Box mit der Überschrift XXXX konnten optional eine E-Mail-Adresse sowie eine Mobilfunknummer für eine Einwilligung zum Erhalt des Newsletters angegeben werden. In der XXXX Box mit der Überschrift XXXX konnte optional eine Unterschrift abgegeben werden. Das Unterschriftenfeld befand sich rechtsbündig am Ende des Anmeldeformulars. Links befand sich XXXX . Noch weiter links vom Unterschriftenfeld befand sich ein XXXX mit dem Hinweis: XXXX . Unterhalb des Unterschriftenfelds befand sich folgender Text: XXXX , wobei die Textteile XXXX sowie XXXX fettgedruckt waren. Nachdem ein Kunde das im XXXX befindliche Anmeldeformular ausgefüllt und beim jeweiligen Partnerunternehmen des Programms abgegeben hatte, wurde dieses in Folge an die Beschwerdeführerin weitergeleitet. Die Informationen am Anmeldeformular wurden schließlich seitens der Beschwerdeführerin digitalisiert und ein Kundenkonto angelegt.
Die graphische Darstellung der Einwilligungserklärung ist auf S. 15f. des angefochtenen Bescheides bzw. in der Beschwerde (S.13) ersichtlich.
1.7. Die Einholung der Einwilligung online auf der Webseite https://www. XXXX / wurde zum Zeitpunkt der Erlassung des Straferkenntnisses so durchgeführt, dass im ersten Schritt XXXX die Person eine XXXX Kartennummer sowie eine XXXX Nummer einzugeben hatte. Die Registrierung konnte auch ohne Karte erfolgen. Diesfalls wurde die Karte postalisch an die von der Person angegebene Adresse verschickt. Im zweiten Schritt („Zugangsdaten“) hatte eine Person eine E-Mail-Adresse sowie einen XXXX stelligen Wunsch-PIN anzugeben. An dieser Stelle befand sich ein Link zu den Teilnahmebedingungen und zur Datenschutzerklärung („Hinweise zum Datenschutz“). Im dritten Schritt („Persönliche Daten“) hatte eine Person ihre persönlichen Daten anzugeben (Anrede, Vorname, Nachname, Geburtsdatum, Straße samt Hausnummer/Stiege/Türnummer, PLZ, Ort und Land). Optional konnten ein Titel sowie die Mobiltelefonnummer angegeben werden. Im vierten Schritt wurden vor Abschluss der Anmeldung XXXX Boxen angezeigt, in der XXXX Box befand sich die Überschrift XXXX . Durch Ankreuzen einer nicht vorangekreuzten Checkbox konnte eine Einwilligung zum Versand von E-Mails und SMS abgegeben werden. In der XXXX Box befand sich die Überschrift „Einwilligung Werbung XXXX “. Durch Drücken eines XXXX Buttons XXXX wurde eine Einwilligung zu „Werbung XXXX “ abgegeben. Ein Link XXXX führte zur Seite https://www. XXXX . Durch Drücken des XXXX Buttons „ XXXX konnte man den Anmeldeprozess zum Programm ohne Abgabe einer Einwilligung abschließen. Ein Hinweis auf die Widerrufsmöglichkeit der Einwilligung war vorhanden.
Die grafische Darstellung des Anmeldeprozesses und der Einwilligungserklärung ist auf den Seiten 18 ff. des angefochtenen Bescheides bzw. Seite 19 der Beschwerde ersichtlich.
1.8. Das Programm wandte sich an jedermann, dessen Interesse an der Teilnahme an einem Kundenbindungsprogramm geweckt werden könnte, somit an alle Kundinnen und Kunden, die bei Partnerunternehmen der Beschwerdeführerin einkaufen. unabhängig von dessen Bildungsstand oder anderen Merkmalen. Somit richtete es sich an keinen bestimmten Personenkreis oder spezifische Gruppen.
1.9. Wenn eine Einwilligungserklärung abgegeben wurde, konnte der kartenausgebende Partner des Programms – also jener Partner, bei dem sich das Mitglied registriert hatte – dem jeweiligen Mitglied personalisierte Werbung schicken und dieses anschreiben. Daneben konnte die Beschwerdeführerin an alle Mitglieder personalisierte Werbung versenden. Die Partnerunternehmen konnten die Beschwerdeführerin gegen Entgelt auch beauftragen, personalisierte Werbemaßnahme durchzuführen.
1.10. Die Beschwerdeführerin verarbeitete die Einkaufsdaten aller Partner, anhand derer eine Analyse durchgeführt werden kann. Die Beschwerdeführerin bildete im Rahmen der XXXX entsprechende Kundengruppen XXXX . Jedem Mitglied, das eine entsprechende Einwilligungserklärung abgegeben hat, wurde in der Datenbank der Beschwerdeführerin eine XXXX zugewiesen. Dadurch konnte einem Kunden gewisse Merkmale zugeordnet werden und können durch diese Kunden XXXX Werbekampagnen optimiert werden. Darüber hinaus führte die Beschwerdeführerin, sofern eine entsprechende Einwilligungserklärung abgegeben wurde, auch Affinitätsberechnungen durch. Es handelte sich dabei um eine Wahrscheinlichkeitsberechnung zur Ergänzung der XXXX im Hinblick darauf, dass ein Kunde ein bestimmtes Verhalten setzt. Zum Zeitpunkt der Straferkenntniserlassung wurde eine Affinität XXXX berechnet. Es wurden folgende Kategorien von Kundendaten zur XXXX verarbeitet: Kundennummer, Mitgliedsdaten, Rabattdaten, Kommunikationsdaten mit der XXXX Plattform (z.B. Trackingdaten, Aktivierung von XXXX , Einlösung von XXXX , verbuchte XXXX ). Die Beschwerdeführerin wertete auch aus, XXXX .
1.11. Um der Rechtsansicht der belangten Behörde Rechnung zu tragen, wurden nach der Bescheiderlassung im amtswegigen Verfahren keine XXXX mehr verwendet und wird inzwischen nur eine elektronische Anmeldung und im Zuge dessen die Möglichkeit einer elektronischen Einwilligung angeboten. Auch die elektronische Einwilligung wurde umgestaltet, sodass kein XXXX und XXXX Button mehr verwendet wird und die Anmeldung über einen Button erfolgt sowie die Einwilligung zu Werbung XXXX in einer Check-Box anklickbar ist. Die sonstigen Verarbeitungszwecke sind gleichgeblieben. Die Maßnahmen erfolgten zur Risikominimierung.
1.12. Die Beschwerdeführerin hat noch vor Erlassung des Erkenntnisses des Bundesverwaltungsgerichts vom 13.12.2022 nochmals die Einwilligung jener Kundinnen und Kunden eingeholt, die Empfänger des Newsletters der belangten Behörde waren. Weiters hat sie nach dem Erkenntnis des Bundesverwaltungsgerichts auch von den anderen Kundinnen und Kunden, die eine Einwilligungserklärung aufgrund der ursprünglich verwendeten Einwilligungserklärungen abgegeben hatten, abermals eine Einwilligung zum Erhalt personalisierter Werbung eingeholt. Soweit die Kunden eingewilligt haben, werden ihre Daten weiter für die genannten Zwecke verarbeitet, soweit die Kunden die Einwilligung nicht (mehr) erteilt haben, werden ihre personenbezogenen Daten nicht mehr für den Erhalt personalisierter Werbung verarbeitet
1.13. XXXX und XXXX waren im Tatzeitraum die im Firmenbuch ausgewiesenen, gemeinsam vertretungsbefugten Geschäftsführer der Beschwerdeführerin. XXXX ist weiters Geschäftsführer der XXXX in XXXX sowie der XXXX . Die Geschäftsführer der Beschwerdeführerin werden durch die Geschäftsführer der XXXX bestellt und abberufen. Die XXXX ist auch einziger Gesellschafter in XXXX . Der Geschäftsführer XXXX war bis 2017 bei der XXXX in XXXX beschäftigt. Die Beschwerdeführerin ist eine 100 % Tochter der XXXX , diese wiederum eine 100 % Tochter der XXXX . Die XXXX der XXXX , insbesondere die Leiterin der Rechtsabteilung, die für die Beratung der Beschwerdeführerin und der XXXX zuständig ist, ist war maßgeblich an der Gestaltung der Einwilligungserklärungen beteiligt. Die XXXX hat mit der XXXX eine weitere Tochtergesellschaft in XXXX .
XXXX war primär für die datenschutzrechtlichen Angelegenheiten zuständig und hat den Prozess rund um die Gestaltung der Einwilligungsersuchen betreut. Die Letztentscheidung haben jedoch beide Geschäftsführer gemeinsam getroffen.
1.14. Hinsichtlich des physischen Anmeldeformular im XXXX waren zunächst vor der Markteinführung in Österreich die deutsche Rechtsanwaltskanzlei XXXX sowie der deutsche Datenschutzbeauftragten Dr. XXXX dafür zuständig, die Einwilligungserklärungen auf Entsprechung der Vorgaben mit der DSGVO zu prüfen und für die deutschen Gesellschaften der XXXX (in der Folge: XXXX ) abzustimmen, bevor das Formular dann in Folge durch die Beschwerdeführerin in Österreich eingeführt wurde. Dieses von der deutschen XXXX vorbereitete Formular stellte die Ausgangsbasis für das gegenständliche physische Anmeldeformular im XXXX der Beschwerdeführerin dar. Das Formular konnte nicht unverändert für Österreich übernommen werden, da Anpassungen in Bezug auf die österreichischen Gegebenheiten erforderlich waren (z.B. andere Partnerunternehmen).
Die Erarbeitung der gegenständlichen Ersuchen um Einwilligung der Beschwerdeführerin hat Mitte 2017 begonnen. Die XXXX hat die Einwilligung der Kundinnen und Kunden als Rechtsgrundlage für die Kundenprofilerstellung herangezogen. Die Beschwerdeführerin ist dem Konzept gefolgt, hat die Einwilligungserklärung aber noch national angepasst.
Die Formulare wurden von der zentralen Rechtsabteilung bzw. der „ XXXX vorbereitet. Bei der XXXX handelt es sich um eine zentrale Stabstelle/Einrichtung der XXXX . Die zentrale Rechtsabteilung der XXXX war Bestandteil der XXXX und für die inhaltliche Beratung sämtlicher deutschsprachiger Gesellschaften der XXXX zuständig). Im Rahmen der inhaltlichen Beratung hat die XXXX neben der Bearbeitung allgemeiner juristischer Fragestellungen auch datenschutzrechtliche Aufgaben. XXXX ist in der XXXX die Leiterin der Rechtsabteilung, die für die Beratung der XXXX und der Beschwerdeführerin zuständig ist. Sie wurde bereits im Jahr 2017 mit der Rechtsberatung der Beschwerdeführerin beauftragt. Die XXXX berät die Geschäftsführung und die Fachbereiche aller Gesellschaften der XXXX bei inhaltlichen Fragestellungen zu datenschutzrechtlichen Vorgaben. Die Formulare wurden im Laufe der Erstellung mehrmals überarbeitet. Die Geschäftsführung der Beschwerdeführerin wurde hierzu in regelmäßigen Abständen informiert bzw. wurde von der XXXX der aktuelle Stand der Formulare präsentiert. Ansprechpartnerin war für die Geschäftsführer XXXX . In diesem Prozess wurde die Rechtsanwaltskanzlei XXXX als externer Berater herangezogen. Am Ende des Erstellungsprozesses wurde der Geschäftsführung der Beschwerdeführerin von der XXXX eine finale Version vorgelegt, die von beiden Geschäftsführer der Beschwerdeführerin genehmigt wurde. In weiterer Folge wurde die finale Version unter anderem auch dem Partnerunternehmen XXXX zur Kontrolle geschickt, die dies wiederum von ihren Beratern überprüfen hat lassen. Die inhaltliche Bestätigung der Formulare war eine Voraussetzung für den Vertragsabschluss mit der Beschwerdeführerin.
1.15. Die Geschäftsführer der Beschwerdeführerin hatten keine rechtlichen Bedenken in Bezug auf die finale Gestaltung der Einwilligungsformulare und haben diese genehmigt. Die Geschäftsführer haben insbesondere darauf vertraut, dass die Formulare von der XXXX und der externen Rechtsanwaltskanzlei den Anforderungen der DSGVO entsprechend gestaltet wurden.
1.16. Die Beratung durch die externen Berater erfolgte im gesamten Erarbeitungsprozess primär mittels E-Mails und im Zuge von persönlichen Meetings mit der Geschäftsführung. Es wurde von der Beschwerdeführerin jedoch kein förmliches Rechtsgutachten in Auftrag gegeben.
1.17. Weiters hat die Beschwerdeführerin einen externen Datenschutzbeauftragten bestellt. Bis Ende XXXX nahm diese Funktion XXXX aus der XXXX Organisation wahr, seit Anfang des Jahres XXXX ist der u.a. XXXX , als Datenschutzbeauftragter bestellt.
Der externe Datenschutzbeauftragte erstellt jährlich einen Tätigkeitsbericht und legt diesen der Geschäftsführung der Beschwerdeführerin vor. Bei seinem Dienstantritt hat XXXX , sämtliche datenschutzrechtliche Dokumente der Beschwerdeführerin (inklusive der gegenständlichen Einwilligungsformulare) gesichtet und für im Einklang mit der DSGVO stehend befunden. Es erfolgte jedoch kein konkreter Prüfungsauftrag an den externen Datenschutzbeauftragten hinsichtlich der verfahrensgegenständlichen Einwilligungserklärungen.
1.18. Neben der XXXX wurde für die Beschwerdeführerin im September XXXX eine Unternehmensjuristin für die inhaltliche Beratung der Geschäftsführung eingestellt XXXX ist neben der Bearbeitung allgemeiner juristischer Fragestellungen (insbesondere Vertragsrecht) auch für die inhaltliche Beratung der Geschäftsführung in datenschutzrechtlichen Angelegenheiten zuständig. Die Unternehmensjuristin der Beschwerdeführerin ist ausschließlich für die XXXX zuständig und hat keine (sonstigen) Aufgaben im Rahmen der XXXX .
1.19. Die datenschutzrechtlichen Verantwortlichkeiten und Aufgaben bzw. die Datenschutz- Organisation im Betrieb der Beschwerdeführerin werden seit 28.02.2019 im „Datenschutz-Handbuch für die XXXX Unternehmen der XXXX “ in der Version 2.0 (im Folgenden DS-HB) verbindlich geregelt.
Bis zur finalen Genehmigung im XXXX gingen die Geschäftsführer der Beschwerdeführerin davon aus, dass die im (neuen) DS-HB beschriebenen Aufgaben, Prozesse und Zuständigkeiten den Mitarbeitern bekannt sind. Zudem konnten sich Mitarbeiter bei Fragen an die zentrale Rechtsabteilung (insbesondere an XXXX ) und in Folge auch an XXXX wenden. Bei der Beschwerdeführerin fanden vor dem Tatzeitraum und im Tatzeitraum insbesondere im Hinblick auf die DSGVO Datenschutz-Schulungen für Mitarbeiterinnen und Mitarbeiter statt.
1.20. Die Geschäftsführer haben nach der Genehmigung der gegenständlichen Einwilligungsformulare der zentralen Rechtsabteilung sowie in Folge ab September XXXX zusätzlich XXXX die laufende Überwachung der Rechtsentwicklung im Zusammenhang mit den Einwilligungsformularen selbstverantwortlich überlassen. XXXX wurde hierfür insbesondere für die laufende Überwachung der österreichischen Rechtslage eingesetzt. Hierdurch sollten Entwicklungen im Datenschutzrecht (neue Spruchpraxis der Datenschutzbehörde, neue Rechtsprechung, neue Leitlinien oder Kommentare) evaluiert und bei Bedarf entsprechende Anpassungen vorgenommen werden, die wiederum von der XXXX vorbereitet und von den Geschäftsführern genehmigt werden. Die laufende Überwachung der Rechtsentwicklung war nicht nur auf die Einwilligungsformulare beschränkt, sondern umfasste jegliche datenschutzrechtlichen Angelegenheiten. Für die Einhaltung und Kontrolle dieser Aufgabe gab es regelmäßige (im Abstand von zwei Wochen, in intensiven Phasen auch wöchentlich stattfindende) Meetings zwischen der Geschäftsführung und der XXXX sowie XXXX . Bei diesen Meetings ging es primär um die Einwilligungserklärungen online und offline und die damit verbundenen Unterlagen. In Bezug auf die gegenständlichen Einwilligungserklärungen wurden die Geschäftsführer von XXXX insbesondere über das Urteil des EuGH vom 1. Oktober 2019, C‑673/17 [Planet49] informiert. Die Geschäftsführer haben die Entscheidung gemeinsam mit der XXXX und XXXX analysiert und sind zum Entschluss gekommen, dass dieses Urteil für die gegenständlichen Einwilligungsersuchen nicht einschlägig sei, da sie der Meinung waren, dass der Entscheidung ein anderer Sachverhalt zugrunde lag. Daher haben sich die Geschäftsführer dazu entschieden, keine Änderungen an den Einwilligungsformularen vorzunehmen. Die Entscheidung haben wiederum beide Geschäftsführer gemeinsam getroffen.
1.21. Die Beschwerdeführerin legte der belangten Behörde – trotz der Aufforderung im Verwaltungsstrafverfahren, schriftliche Unterlagen und E-Mails bezüglich der Beratungen vorzulegen – diese in Absprache mit ihrer Rechtsberatung nicht vor. Die Beschwerdeführerin legte auch im gegenständlichen Verfahren keine aussagekräftigen E-Mail-Wechsel oder Dokumente vor, die belegen, dass interne oder externe Berater, insbesondere Rechtsanwältinnen oder Rechtsanwälte, die gewählte Gestaltung der Einwilligungserklärungen als rechtskonform erachtet hätten bzw. dass dazu in die Tiefe gehende Diskussionen stattgefunden hätten.
1.22. Die belangte Behörde gab und gibt außerhalb von anhängigen Verfahren allgemeine Rechtsauskünfte, wie etwa zu Rechtsgrundlagen, Judikatur und allenfalls bestehenden eigenen Entscheidungen sowie zu Leitlinien des Europäischen Datenschutzausschusses. Sie gab und gibt aber keine verbindliche Auskunft, ob eine Einwilligungserklärung rechtmäßig ist oder nicht. Ein schriftliches Ersuchen um Rechtsauskunft an die belangte Behörde wurde nicht gestellt.
1.23. Die Beschwerdeführerin erzielte im Jahr 2020 einen Jahresumsatz in der Höhe von EUR XXXX . Im Geschäftsjahr 2020 ergibt sich bei der Beschwerdeführerin ein Bilanzverlust in der Höhe von EUR XXXX .
Die XXXX erzielte im Jahr 2020 einen Jahresumsatz in der Höhe von EUR XXXX . Die XXXX erbringt ihre Dienste nur gruppenintern und verfügt über keine Außenumsätze.
Der Gesamtumsatz der wirtschaftlichen Einheit für das Jahr 2020 betrug sohin EUR XXXX .
2. Beweiswürdigung
Die Feststellungen ergeben sich aus dem vorgelegten Verwaltungs- sowie dem gegenständlichen Gerichtsakt, insbesondere auch aus der Niederschrift über die mündliche Verhandlung vor dem Bundesverwaltungsgericht.
Die für die Entscheidung wesentlichen Umstände im Tatsachenbereich sind geklärt, der entscheidungsrelevante Sachverhalt steht damit fest. Die Beschwerdeführerin trat dem festgestellten Sachverhalt auch nicht bzw. mit bloß unsubstantiiertem Vorbringen entgegen. Insbesondere war – nachdem die Beschwerdeführerin trotz mehrmaliger Aufforderung sowohl durch die belangte Behörde als auch des Bundesverwaltungsgerichtes – keine (aussagekräftigen) Unterlagen zu stattgefundener interner und externer Beratung der Beschwerdeführerin im Hinblick auf die (Gestaltung der) in der Folge verwendeten verfahrensgegenständlichen Einwilligungserklärungen vorgelegt hat, und auch aufgrund der Zeugenaussagen festzustellen, dass hinsichtlich der verwendeten Einwilligungserklärungen kein förmliches Rechtsgutachten in Auftrag gegeben wurde. Auch aus dem Informationsgespräch mit dem VKI, das auf verbraucherrechtliche Themen fokussiert war und erst am Tag der Pressekonferenz stattfand, an dem die fertigen Einwilligungserklärungen und das Programm bereits vorgestellt wurden, und der Tatsache, dass keine weitere Rückmeldung seitens des VKI erfolgte, kann nicht auf eine Beratung oder „Genehmigung“ durch den VKI geschlossen werden. Die Feststellungen zur (allfälligen) Konsultation der belangten Behörde beruhen auf den Aussagen der Beschwerdeführerin bzw. eines Geschäftsführers XXXX der Beschwerdeführerin. Während der genannte Geschäftsführer in der mündlichen Verhandlung davon auszugehen schien, dass der Versuch einer Terminvereinbarung mit der belangten Behörde stattgefunden habe, führte die Rechtsvertretung der Beschwerdeführerin konträr dazu aus, dass der Versuch einer Anfrage bei der belangten Behörde – mangels verbindlicher Antwort – ohnehin keine Sinnhaftigkeit aufgewiesen hätte. Diesbezüglich brachte die Beschwerdeführerin auch keinerlei Unterlagen in Vorlage, die eine Kontaktaufnahme mit der belangten Behörde dokumentiert hätten. Dies kann nur zu dem Schluss führen, dass eine inhaltliche (insbesondere schriftliche) Anfrage an die belangte Behörde jedenfalls nicht stattgefunden hat.
Die Jahresumsätze der Unternehmen, die zur wirtschaftlichen Einheit gehören, wurden von der Beschwerdeführerin vorgelegt.
3. Rechtliche Beurteilung
Zu A)
3.1. Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß § 27 Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.
Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I 2013/33 idF BGBl. I 2013/122, geregelt (§ 1 leg.cit.). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.
Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.
Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.
Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Art. 130 Abs. 1 Z 1 B-VG dann in der Sache selbst zu entscheiden, wenn (1.) der maßgebliche Sachverhalt feststeht oder (2.) die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.
3.2. Zu den Prozessvoraussetzungen:
Die Beschwerde wurde fristwahrend erhoben und es liegen auch die sonstigen Prozessvoraussetzungen vor.
3.3. In der Sache:
3.3.1 Rechtslage:
Die relevanten Bestimmungen lauten:
Art. 4 Z 1, 2, 4, 7, 11 DSGVO:
Begriffsbestimmungen
Art. 4. Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
Art. 5 DSGVO:
Grundsätze für die Verarbeitung personenbezogener Daten
Art. 5. (1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Art. 6 DSGVO:
Rechtmäßigkeit der Verarbeitung
Art. 6. (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
a) Unionsrecht oder
b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.
(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem
a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.
Art. 7 DSGVO:
Bedingungen für die Einwilligung
Art. 7 (1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. 2Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Art. 83 Abs. 1, 2 und 5 lit. a DSGVO:
Allgemeine Bedingungen für die Verhängung von Geldbußen
(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und
k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;
ErwGr 148 zur DSGVO:
§ 10 Abs. 1 VStG:
§ 10 (1) Strafart und Strafsatz richten sich nach den Verwaltungsvorschriften, soweit in diesem Bundesgesetz nicht anderes bestimmt ist.
§ 19 VStG:
§ 19 (1) Grundlage für die Bemessung der Strafe sind die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat.
(2) Im ordentlichen Verfahren (§§ 40 bis 46) sind überdies die nach dem Zweck der Strafdrohung in Betracht kommenden Erschwerungs- und Milderungsgründe, soweit sie nicht schon die Strafdrohung bestimmen, gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechtes sind die §§ 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens- und Vermögensverhältnisse und allfällige Sorgepflichten des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen.
§ 64 Abs. 1 und 2 VStG:
Kosten des Strafverfahrens
§ 64. (1) In jedem Straferkenntnis ist auszusprechen, daß der Bestrafte einen Beitrag zu den Kosten des Strafverfahrens zu leisten hat.
(2) Dieser Beitrag ist für das Verfahren erster Instanz mit 10% der verhängten Strafe, mindestens jedoch mit 10 Euro zu bemessen; bei Freiheitsstrafen ist zur Berechnung der Kosten ein Tag Freiheitsstrafe gleich 100 Euro anzurechnen. Der Kostenbeitrag fließt der Gebietskörperschaft zu, die den Aufwand der Behörde zu tragen hat.
§ 50 Abs. 1 VwGVG:
Erkenntnisse
§ 50. (1) Sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist, hat das Verwaltungsgericht über Beschwerden gemäß Art. 130 Abs. 1 Z 1 B-VG in der Sache selbst zu entscheiden.
(2) Die gekürzte Ausfertigung des Erkenntnisses hat überdies zu enthalten:
1. im Fall der Verhängung einer Strafe die vom Verwaltungsgericht als erwiesen angenommenen Tatsachen in gedrängter Darstellung sowie die für die Strafbemessung maßgebenden Umstände in Schlagworten;
2. im Fall des § 45 Abs. 1 VStG eine gedrängte Darstellung der dafür maßgebenden Gründe.
(3) Jedes Erkenntnis hat einen Hinweis auf die Voraussetzungen für die Bewilligung der Verfahrenshilfe im Verfahren vor dem Verfassungsgerichtshof und im Verfahren vor dem Verwaltungsgerichtshof zu enthalten.
3.3. Umgelegt auf den gegenständlichen Fall bedeutet dies Folgendes:
3.3.1. Zum Selbstbezichtigungsverbot:
Zunächst ist festzuhalten, dass das Vorbringen der Beschwerdeführerin, dass die Ergebnisse im Verfahren betreffend den amtswegigen Bescheid sowohl von der belangten Behörde als auch vom Bundesverwaltungsgericht bei sonstiger Verletzung gegen Art. 90 Abs. 2 B-VG sowie Art 6 EMRK nicht verwendet werden dürften, vom Bundesverwaltungsgericht nicht geteilt wird:
Zunächst ist zu berücksichtigen, dass für die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen einen Verantwortlichen zu beachten hat, ausschließlich das Unionsrecht gilt. Die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer solchen Geldbuße zu beachten hat, sind in Art. 83 Abs. 1 bis 6 DSGVO genau und ohne Ermessensspielraum für die Mitgliedstaaten aufgeführt. Zwar ergibt sich aus Art. 58 Abs. 4 und Art. 83 Abs. 8 DSGVO im Licht des 129. Erwägungsgrundes der DSGVO, dass die Ausübung der Befugnisse, über die die Aufsichtsbehörde gemäß diesen Artikeln verfügt, angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen muss. Die Tatsache, dass die DSGVO den Mitgliedstaaten somit die Möglichkeit einräumt, Anforderungen an das von den Aufsichtsbehörden anzuwendende Verfahren bei der Verhängung einer Geldbuße vorzusehen, bedeutet jedoch keineswegs, dass sie auch befugt wären, über diese verfahrensrechtlichen Anforderungen hinaus materielle Voraussetzungen vorzusehen, die zu den in Art. 83 Abs. 1 bis 6 DSGVO geregelten hinzutreten. Des Weiteren wird durch den Umstand, dass der Unionsgesetzgeber eigens und ausdrücklich diese Möglichkeit vorgesehen hat, aber nicht diejenige, solche zusätzlichen materiellen Voraussetzungen festzulegen, bestätigt, dass er den Mitgliedstaaten insoweit keinen Ermessensspielraum gelassen hat (siehe EuGH vom 05.12.2023, C-807/21, Rz 45-48, 65). Im Lichte dieser Judikatur und des damit einhergehenden Anwendungsvorranges der DSGVO ist nicht ersichtlich, inwiefern im Besonderen das Verbot zum Zwang der Selbstbezichtigung umgangen worden wäre.
Selbst wenn man dieser Rechtsmeinung nicht folgt, ist Folgendes zu beachten:
Zutreffend ist, dass der VfGH und – diesem folgend – ein Teil der Lehre (Öhlinger, Thienel; vgl. auch Berka/Binder/Kneihs Rz 1611 ff) aus Art. 90 Abs. 2 B-VG ein verfassungsgesetzlich gewährleistetes, subjektives Recht ableiten, welches darin besteht, dass niemand unter Strafsanktion verhalten werden darf, sich im Strafverfahren oder in einem Stadium vor Einleitung eines solchen selbst einer strafbaren Handlung zu bezichtigen (verfassungsrechtliches Verbot eines Zwanges zur Selbstbezichtigung). Dies soll nicht nur für das gerichtliche Strafverfahren, sondern auch für das Verwaltungsstrafverfahren gelten („materielles Anklageprinzip“; Mayer, ecolex 2014, 745; VfSlg 9950, 11.829, 11.923, 12.454, 14.988, 15.858).
Das Recht sich nicht selbst zu belasten, steht dem Auskunftspflichtigen persönlich zu, nicht jedoch einer juristischen Person, wie der Beschwerdeführerin, womit die Berufung auf dieses Recht im vorliegenden Fall ausscheidet (Zavadil in Knyrim, DatKomm Art 58 DSGVO Rz 12 [Stand 1.3.2021, rdb.at] mit Verweis auf Nguyen in Gola, DS-GVO2 Art 58 Rz 5).
Selbst wenn man das verfassungsrechtliche Verbot eines Zwanges zur Selbstbezichtigung auch auf juristische Personen anwenden würde, sind gesetzliche Auskunftspflichten nur dann verfassungswidrig, wenn sie dazu dienen, einer Behörde Informationen über ein strafbares Verhalten des Auskunftspflichtigen zu verschaffen (VfSlg 14.987 – einschränkende Interpretation einer Meldepflicht; VfSlg 15.600; VwGH 29. 11. 2000, 98/09/0242; 27. 6. 2001, 98/09/0363). Jedoch sind Melde- oder Auskunftspflichten, die nicht intentional auf eine Informationsbeschaffung zum Zwecke strafrechtlicher Verfolgung des Verpflichteten gerichtet sind, zulässig (VfSlg 5235, 5295, 11.549) [vgl. zu alldem Muzak, B-VG6 Art 90 (Stand 1.10.2020, rdb.at).
Ein solcher Fall liegt hier vor, zumal im vorliegenden Fall die von der belangten Behörde geforderte Mitwirkung der Beschwerdeführerin im Administrativverfahren nicht einen Grad erreicht hat, dass nicht mehr von einem „fairen Verfahren“ iSd Art. 6 EMRK gesprochen werden kann. Auch der VwGH nimmt an, dass durch Art. 90 Abs 2 B-VG eine Mitwirkungspflicht des Beschuldigten im Verwaltungsstrafverfahren nicht ausgeschlossen wird (VwSlgNF 5007 A; VwGH 18. 5. 1988, 88/02/0050; 11. 5. 1990, 90/18/0022).
Die Einbringung von Ermittlungsergebnissen aus dem amtswegigen Prüfverfahren durch die belangte Behörde (und des diesbezüglichen Erkenntnisses durch das Bundesverwaltungsgericht) ist sohin vorliegend nicht zu beanstanden.
Der Vollständigkeit halber wird angemerkt, dass vom Bundesverwaltungsgericht selbst aus dem Beschwerdeverfahren gegen den im amtswegigen Verfahren ergangenen Bescheid der belangten Behörde lediglich das diesbezügliche Erkenntnis des Bundesverwaltungsgerichts in das Verfahren eingebracht wurde und dies mit ausdrücklicher Zustimmung der Beschwerdeführerin erfolgte.
3.3.2. Zur Anwendbarkeit der DSGVO:
Die belangte Behörde ging im Rahmen des von ihr festgestellten Sachverhalts zunächst davon aus, dass durch die im vorliegenden Fall verwendeten Ersuchen um Einwilligung der betroffenen Personen, die sich für das XXXX Kundenbindungsprogramm registriert hatten, der sachliche Anwendungsbereich von Art. 2 und 3 DSGVO eröffnet sei, dies eine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Z 1 und 2 DSGVO darstelle und die Beschwerdeführerin hierfür als Verantwortlicher dieser Datenverarbeitung im Sinne des Art. 4 Z 7 DSGVO zu qualifizieren sei.
Diese Umstände wurden von der Beschwerdeführerin im vorliegenden Beschwerdeverfahren nicht (mehr) in Abrede gestellt.
3.3.3. Zur Erfüllung der objektiven Tatseite:
3.3.3.1. Zum Benutzer, der sich beim Programm der Beschwerdeführerin anmeldet:
Zunächst ist zu klären, welche Personen sich beim Programm der Beschwerdeführerin angemeldet haben und welche Anforderungen man an diese hinsichtlich ihrer Aufmerksamkeit beim Anmeldeprozess – und damit verbunden, bei der Abgabe einer Einwilligungserklärung -– stellen kann.
Die Beschwerdeführerin hält den diesbezüglichen Ausführungen der belangten Behörde entgegen, dass diese das Konzept des Durchschnittsnutzers zu weit gefasst habe.
Dazu hat das Bundesverwaltungsgericht Folgendes erwogen:
Auch wenn der Beschwerdeführerin grundsätzlich zuzustimmen ist, dass die Einwilligung im Lichte des Kontexts und Adressatenkreises zu bewerten ist, ist Folgendes festzuhalten: Beim Programm der Beschwerdeführerin handelt es sich um kein spezifisches Programm für bestimmte Bevölkerungsschichten; es handelt sich vielmehr um ein Kundenbindungsprogramm, welches darauf ausgerichtet ist, so viele Personen wie möglich anzusprechen (zu den Partnerunternehmen der Beschwerdeführern vor Ort siehe https://www. XXXX ).
Es ist davon auszugehen, dass ein Großteil der Bevölkerung an Einsparungen beim Einkauf interessiert ist und dass Kunden der Partnerunternehmen, welche Produkte des täglichen Lebens anbieten, davon profitieren wollen, besondere Rabatte zu erhalten. Zwar ist der Beschwerdeführerin zuzustimmen, dass es sich bei Kundenbindungsprogrammen prinzipiell um längerdauernde Verträge handelt; allerdings handelt es sich im gegenständlichen Fall nicht um einen Vertragsabschluss, sondern um eine Einwilligung XXXX . Diese Einwilligung ist einerseits jederzeit widerrufbar, andererseits handelt es sich um keine finanziell belastende Verpflichtung, die hier von den Kunden eingegangen wird. Es ist daher davon auszugehen, dass die Kunden und Kundinnen, die eine Einwilligung in „Werbung XXXX “ erteilen, dieser weniger Aufmerksamkeit schenken als etwa bei einem Abschluss finanziell belastender Verträge wie dem Erwerb einer Waschmaschine oder eines Geschirrspülers, beim Abschluss eines Mietvertrages oder gar beim Erwerb einer Immobilie.
Überdies ist festzuhalten, dass gerade Zustimmungserklärungen per XXXX auch spontan an der Kassa eines Partnerunternehmens abgegeben wurden und im Rahmen eines derartigen spontanen Beschlusses kaum die Zeit bestand, sich die Einwilligungserklärung genau anzusehen. Schon deshalb ist – auch situationsbezogen – nicht davon auszugehen, dass die Kunden und Kundinnen den Einwilligungserklärungen generell mehr als durchschnittliches Augenmerk schenkten.
Bei der Beurteilung der gegenständlichen Ersuchen um Einwilligung muss man sich daher – wie im angefochtenen Bescheid auch ausgeführt – in die Lage eines durchschnittlichen Kunden versetzen, der keine (näheren) juristischen oder technischen Kenntnisse besitzt (und der somit gewisse Schlagworte nicht hinterfragt, die einem im Datenschutzrecht tätigen Juristen sofort auffallen würden, wie etwa XXXX , oder XXXX ) und der sich dem Anmeldeprozess lediglich mit durchschnittlicher Aufmerksamkeit widmet.
Entgegen den Ausführungen der Beschwerdeführerin stehen das Verbraucherschutzrecht und das Datenschutzrecht sehr wohl miteinander in enger Verbindung, wie auch in der Literatur ausgeführt wird (vgl. Illibauer in Knyrim, DatKomm Art 12 DSGVO Rz 6, Manz, Wien 2022).
Auch der Oberste Gerichtshof (OGH) stellte in seiner Entscheidung 6 Ob 56/19g vom 24.10.2019 im Zusammenhang mit Klauseln in allgemeinen Geschäftsbedingungen wiederholt auf „Durchschnittskonsumenten“ bzw. den „typischen (rechtsunkundigen) Durchschnittskunden“ ab, sowie weiters in den Entscheidungen 9 Ob 57/20b vom 25.11.2020 sowie 9 Ob 81/21h vom 14.07.2022, im Zusammenhang mit der Beurteilung einer von einem Kreditinstitut verwendeten Klausel.
In der Entscheidung 6 Ob198/21t vom 29.08.2022 in einer Angelegenheit der DSGVO wird vom OGH auf den „Durchschnittsadressaten“ abgestellt. Ebenso wird in der Entscheidung 6 Ob48/21h vom 06.08.2021 auf den Durchschnittsverbraucher bzw. den „wirtschaftlich nicht versierten Durchschnittskunden“ abgestellt.
Zur Transparenz führte der OGH aus: „Das Transparenzgebot begnügt sich nicht mit der formellen Textverständlichkeit, sondern verlangt, dass Inhalt und Tragweite vorgefasster Vertragsklauseln für den Verbraucher ‚durchschaubar‘ sind bzw. auf den typischen (rechtsunkundigen) Durchschnittskunden“ (7 Ob97/22y vom 9.11.2022 mwN).
Aufgrund der obenstehenden Überlegungen ist – auch im Sinne der Rechtsprechung des EuGH – davon auszugehen, dass im gegenständlichen Fall von einem „normal informierten, angemessen aufmerksamen und verständigen Durchschnittsverbraucher“ ausgegangen werden kann (vgl. dazu auch EuGH 05.05.2022, C-179/21 sowie EuGH 25.09.2014, T-474/12).
3.3.3.2. Zur Einwilligungserklärung:
Die belangte Behörde führte hierzu aus, dass die Beschwerdeführerin im Zusammenhang mit dem Betrieb von XXXX in Österreich, jedenfalls seit dem XXXX bis einschließlich XXXX 2020 im gesamten Bundesgebiet, bei den Ersuchen um Einwilligung der betroffenen Personen für die „Verarbeitung von Kundendaten XXXX “, unter Verwendung der Methoden (i) physisches Anmeldeformular im XXXX und (ii) Webseite https://www. XXXX /, nicht den Anforderungen gemäß Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 DSGVO entsprochen und daher personenbezogene Daten mangels Rechtsgrundlage gemäß Art. 6 DSGVO unrechtmäßig verarbeitet habe.
Die Beschwerdeführerin hielt in ihrer Bescheidbeschwerde zur objektiven Tatseite zusammengefasst fest, dass kein Verstoß gegen die DSGVO vorliege. Jedoch ist festzuhalten, dass die Beschwerdeführerin mit Stellungnahme vom 28.02.2024 letztlich selbst ausgeführt hat, die Entscheidung des Bundesverwaltungsgerichts vom 13.12.2022, Zl. W214 2234934-1, selbstverständlich zur Kenntnis zu nehmen und zu akzeptieren, dass die Gestaltung der gegenständlichen Einwilligungserklärung nicht im Einklang mit den Vorgaben der DSGVO gewesen sei.
Zum physischen Anmeldeformular XXXX :
Das im XXXX enthaltene physische Anmeldeformular diente ganz allgemein der Anmeldung zum Programm; mit Abgabe einer Unterschrift im Feld, das sich am Ende des Anmeldeformulars befindet, wurde eine datenschutzrechtliche Einwilligung abgegeben („ XXXX Einwilligung in Werbung XXXX “); dies betrifft Datenverarbeitungen für Zwecke im Rahmen der Punkte XXXX der Datenschutzerklärung.
Unter einer „Einwilligung" ist gemäß Art. 4 Z 11 DSGVO Folgendes zu verstehen:
„Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.
Nach der Rsp des EuGH müssen „[...] die klaren und umfassenden Informationen den Nutzer in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen [...]‘, und muss gewährleistet werden, dass „[...] die Einwilligung in voller Kenntnis der Sachlage erteilt wird.“ Weiters müssen die Informationen „klar verständlich und detailliert" genug sein, um es dem Nutzer zu ermöglichen, „die Funktionsweise der verwendeten Cookies“ (gegenständlich: die Datenverarbeitung XXXX ) zu verstehen (vgl. Urteil des EuGH vom 1. Oktober 2019, C-673/17 [Planet49] Rz 74).
Dazu ist im vorliegenden Fall festzuhalten, dass das Unterschriftsfeld am Ende des Formulars den Gesamteindruck erweckt, dass es sich um eine Unterschrift für die Teilnahme am Kundenprogramm handelt. Dazu trägt auch bei, dass das Feld mit einem XXXX und dem Vermerk XXXX versehen ist. Auch was den XXXX betrifft, so ist der belangten Behörde beizupflichten, dass der Eindruck, dass es sich um eine Unterschrift zum Programm handeln könnte, verstärkt wird. Daran ändert auch die Tatsache nichts, dass das Unterschriftsfeld XXXX ist.
Was den Vorwurf des „Kleingedruckten“ betrifft, so ist der Beschwerdeführerin beizupflichten, dass sich der Satz unter dem Unterschriftsfeld größenmäßig nicht vom übrigen Text unterscheidet.
Der OGH hat zum „Kleingedrucktem“ und „Fettgedrucktem“ als Standardinformationen Folgendes festgehalten:
„6. Auch der erkennende Senat schließt es nicht von Vornherein aus, dass die Standardinformationen auch im Kleingedruckten erteilt werden können, sofern sie den Anforderungen nach Klarheit, Prägnanz und Auffälligkeit genügen. Wie schon vom Berufungsgericht ausgeführt, kann das der Fall sein, wenn sämtliche Zahlen in Entsprechung dieser Anforderungen im Kleingedruckten enthalten sind, weil ihnen der Durchschnittsbetrachter dann in der Regel gleichwertige Aufmerksamkeit entgegenbringt. Werden aber nur einzelne – etwa die für den Verbraucher besonders vorteilhaften – Zahlen im „normalen“ Text, die übrigen Informationen aber im Kleingedruckten platziert, wird dieser Anforderung in der Regel nicht entsprochen, weil letztere dann per se weniger ins Auge fallen und ihnen daher für gewöhnlich weniger Aufmerksamkeit geschenkt wird. Das gilt umso mehr, wenn die im Normaltext präsentierten Zahlen blickfangartig hervorgestrichen werden, gilt aber auch selbst bei Hervorhebung einzelner Informationen innerhalb des Kleingedruckten (zB durch Fettdruck oä), wenn ihnen nach dem Gesamteindruck der Werbung nicht ein mit den im Normaltext platzierten Zahlen vergleichbarer Auffälligkeitswert zukommt.“ (9 Ob57/20b vom 25.11.2020).
Im vorliegenden Fall ist zwar der Text durchgängig klein gedruckt, jedoch sind einige Passagen unter dem Unterschriftsfeld fettgedruckt, nämlich XXXX und XXXX . Dies war für den Durchschnittsnutzer, der das XXXX noch dazu häufig im Geschäft ausfüllte (dazu gab es auch den Hinweis, dass das XXXX gleich an der Kassa abgegeben werden konnte), irreführend, weil – insbesondere bei flüchtigerem Lesen – der Eindruck erweckt wird, dass das Formular ohne Unterschrift nicht wirksam ist. Auch entspricht es einer gängigen Vorgangsweise, dass bei Abschluss eines Vertrages dieser zu unterschreiben ist.
Insgesamt ist also daher der belangten Behörde beizupflichten, dass (bereits aus diesen formalen Gründen) die hier vorgesehene Einwilligung nicht den Kriterien des Art. 4 Z 11 DSGVO iVm Art. 7 Abs. 2 DSGVO entspricht.
Zur elektronischen Anmeldung und Einwilligung über Webseite https://www. XXXX /:
Aus dem festgestellten Sachverhalt ergibt sich, dass die Bestätigung der Anmeldung im Zusammenhang mit dem XXXX Button XXXX , der sich am Ende des Online-Anmeldeprozesses befand, eine datenschutzrechtliche Einwilligung darstellt. Dies betrifft die oben genannten Datenverarbeitungen für Zwecke der Zustellung interessensgerichteter Werbung, XXXX .
Wie die belangte Behörde zutreffend feststellte, gelten die bereits zum XXXX getätigten Ausführungen im Hinblick auf den hohen Maßstab an die Erfüllung der Kriterien von Art. 4 Z 11 und Art. 7 Abs. 2 DSGVO auch für das Ersuchen um Einwilligung im Rahmen des Anmeldeprozesses auf der Webseite https://www. XXXX /.
In Anbetracht des oben dargelegten Maßstabs, der an Einwilligungserklärungen anzulegen ist, sowie der oben angeführten Judikatur des EuGH ist daher davon auszugehen, dass auch das Ersuchen um Einwilligung in Form des Bestätigens des XXXX Buttons XXXX , der sich am Ende des Online-Anmeldeprozesses unter https://www. XXXX / befindet, nicht den Anforderungen des Art. 4 Z 11 iVm Art. 7 Abs. 2 DSGVO entspricht:
Es ist hier der belangten Behörde zu folgen, dass die Aufschrift des XXXX Buttons missverständlich ist, zumal nicht nur jene Kunden, die in den Datenabgleich einwilligen, sondern auch andere Kunden grundsätzlich XXXX sammeln und daher XXXX . Aufgrund der Formulierung XXXX kann daher nicht von einer „unmissverständlichen“ und „in voller Kenntnis der Sachlage“ erteilten Einwilligungserklärung ausgegangen werden und wird sich ein Durchschnittsbenutzer - aufgrund der obigen Überlegungen - gar nicht des Umstands bewusst sein, dass er durch Drücken des XXXX Buttons eine datenschutzrechtliche Einwilligung abgibt.
3.3.3 3. Zur Rechtmäßigkeit der Verarbeitung:
Zur Einwilligung als Erlaubnistatbestand:
Nach dem ausdrücklichen Wortlaut von Art. 7 Abs. 2 DSGVO sind Teile einer Einwilligungserklärung dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
Da die gegenständlich überprüften Ersuchen um Einwilligung unter Verwendung der Methoden i) physisches Anmeldeformular im XXXX und ii) Webseite https://www. XXXX / – wie oben ausgeführt – nicht den Anforderungen von Art. 4 Z 11 DSGVO und Art. 7 Abs. 2 DSGVO entsprechen, handelt es sich um ungültige Einwilligungserklärungen.
Die Voraussetzungen des Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sind somit nicht gegeben.
Zu sonstigen Erlaubnistatbeständen:
Es stellt sich die Frage, ob im Falle der Ungültigkeit der Einwilligungserklärung ersatzweise eine andere Bedingung von Art. 6 Abs. 1 DSGVO herangezogen werden kann.
Diesbezüglich ist zunächst zu bemerken, dass sich die Beschwerdeführerin für die genannte Datenverarbeitung zunächst ausschließlich auf die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO gestützt hat.
Dies entspricht auch dem vorgelegten Verzeichnis von Verarbeitungstätigkeiten und der Datenschutz-Folgenabschätzung der Beschwerdeführerin, die gerade nur die Einwilligung und sonst keine andere Bedingung von Art. 6 Abs. 1 lit. a DSGVO für die gegenständlich relevante Verarbeitung angeführt haben.
Wie der VwGH inzwischen klargestellt hat, ist es jedoch Sache der belangten Behörde (und des nachprüfenden Gerichts) die Rechtmäßigkeit der Ausübung der durch Art. 58 Abs. f DSGVO eingeräumten Abhilfebefugnisse und damit verbunden die Frage, ob die betreffende Datenverarbeitung durch [die Beschwerdeführerin] rechtmäßig im Sinne des Artikels 6 DSGVO erfolgte, zu überprüfen (vgl. Ro 2021/04/0033 vom 08.02.2022). Dasselbe gilt für Anweisungsbefugnisse iSd Art. 58 Abs. 2 lit. d DSGVO (Ra 2019/04/0055 vom 12.11.2021).
Soweit die Beschwerdeführerin behauptet, dass die von der Einwilligungserklärung umfassten Datenabgleiche sich auch auf die Bestimmungen des Art. 6 Abs. 1 lit. b oder f DSGVO gründen könnten, ist dazu Folgendes festzuhalten:
Bei den in Rede stehenden Datenverarbeitungen (die der Definition des „Profiling“ gemäß Art. 4 Z 4 DSGVO entsprechen) handelt es sich – wie die Beschwerdeführerin selbst ausführt – um freiwillige Zusatzangebote. Schon daraus erhellt, dass diese nicht für die Vertragserfüllung notwendig sind, da sie für die vertragliche Erfüllung des Kundenbindungsprogramms der Beschwerdeführerin nicht erforderlich sind. Hierzu ist auf das Urteil des EuGH vom 04.07.2023, Zl. C-252/21, Rz 102ff hinzuweisen, in welchem dieser ausführt, dass die Personalisierung der Inhalte für den Nutzer zwar insofern von Nutzen ist, als sie es u. a. ermöglicht, dass ihm ein Inhalt angezeigt wird, der weitgehend seinen Interessen entspricht, gleichwohl die Personalisierung der Inhalte – vorbehaltlich der Überprüfung durch das vorlegende Gericht – nicht erforderlich erscheint, um dem Nutzer die Dienste des sozialen Online-Netzwerks anzubieten, da diese gegebenenfalls in Form einer gleichwertigen Alternative an ihn erbracht werden können, die nicht mit einer solchen Personalisierung verbunden ist, so dass diese nicht objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der Dienste ist. Vor dem Hintergrund dieser Rechtsprechung kann jedoch gerade nicht angenommen werden, dass die Verarbeitung der Daten für Zwecke der Werbung XXXX für die Vertragserfüllung iSd Art. 6 Abs. 1 lit. b DSGVO erforderlich ist, zumal die Teilnahme am Programm (Zusendung von XXXX ) auch ohne die Verarbeitung dieser Daten jedenfalls erfolgen kann, wie auch der Geschäftsführer der Beschwerdeführerin, XXXX , in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht bestätigte (siehe Niederschrift der mündlichen Verhandlung vom 10.01.2024, S. 17).
Somit kann die Verarbeitung für „Werbung XXXX “ bzw. XXXX nicht auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden.
Soweit behauptet wird, Art. 6 Abs. 1 lit. f DSGVO könnte eine geeignete Rechtsgrundlage darstellen, so sind hier die berechtigten Interessen der Beschwerdeführerin bzw. ihrer Partnerunternehmen gegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, abzuwägen.
Selbst wenn man davon ausginge, dass die „Rabatte“ bei der Preisgestaltung nicht schon „eingepreist“ wären, kann nicht davon ausgegangen werden, dass die betroffenen Personen grundsätzlich „zwangsbeglückt“ werden und mit ihren Daten quasi dafür „bezahlen“ wollen. Bei den durchgeführten Datenabgleichen handelt es sich um „Profiling“ iSd DSGVO und schon deshalb um nicht unerhebliche Eingriffe in die Grundrechte und Grundfreiheiten der betroffenen Personen. Im gegenständlichen Fall wurden die betroffenen Personen nicht darüber informiert, dass ohne ihre Einwilligung Daten zur interessensgerichteten Werbung XXXX verarbeitet würden. Es ist daher schon deshalb von einem Interesse der betroffenen Personen auszugehen, nicht einem Profiling unterworfen zu werden, das die berechtigten Interessen der Beschwerdeführerin oder allfälliger Dritter überwiegt (vgl. hierzu abermals das Urteil des EuGH vom 04.07.2023, Zl. C-252/21, Rz 117: „Insoweit ist darauf hinzuweisen, dass, auch wenn die Dienste eines sozialen Online-Netzwerks wie Facebook unentgeltlich sind, der Nutzer dieses Netzwerks vernünftigerweise nicht damit rechnen kann, dass der Betreiber dieses sozialen Netzwerks seine personenbezogenen Daten ohne seine Einwilligung zum Zweck der Personalisierung der Werbung verarbeitet. Unter diesen Umständen ist davon auszugehen, dass die Interessen und Grundrechte eines solchen Nutzers gegenüber dem Interesse dieses Betreibers an einer solchen Personalisierung der Werbung, mit der er seine Tätigkeit finanziert, überwiegen, so dass die von ihm zu solchen Zwecken vorgenommene Verarbeitung nicht unter Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO fallen kann.“). Auch wenn man der Beschwerdeführerin dahingehend folgt, dass der Rechtfertigungsgrund des Art. 6 Abs. 1 lit. f DSGVO für Verarbeitungstätigkeiten mit Profiling nicht ausgeschlossen ist, ist im vorliegenden Fall darauf hinzuweisen, dass die Beschwerdeführerin sich eben nicht auf berechtigte Interessen für die Verarbeitung gestützt hat und damit den betroffenen Personen keinerlei Hinweis darauf gab, dass sie die Möglichkeit hätten, gemäß Art. 21 Abs. 1 DSGVO Widerspruch dagegen einzulegen.
Davon abgesehen, dass andere Rechtsgrundlagen nicht geltend gemacht wurden, sind solche auch nicht erkennbar. Somit stehen die in Rede stehenden Datenverarbeitungen nicht mit der DSGVO in Einklang.
Damit ist der objektive Tatbestand einer Verletzung der Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 DSGVO erfüllt. Die Strafbarkeit dieses Verstoßes gründet sich auf Art. 83 Abs. 1 und 5 lit. a DSGVO.
3.3.4. Zur Erfüllung der subjektiven Tatseite:
3.3.4.1. Zur strafrechtlichen Verantwortlichkeit und Verschulden der Beschwerdeführerin:
Wiederum ist an dieser Stelle zu berücksichtigen, dass die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer solchen Geldbuße zu beachten hat, in Art. 83 Abs. 1 bis 6 DSGVO genau und ohne Ermessensspielraum für die Mitgliedstaaten aufgeführt sind (vgl. erneut die Urteile vom EuGH vom 05.12.2023, C-807/21, Rz 45; sowie ebenso vom 05.12.2023, C-683/21, Rz 67).
Die belangte Behörde hielt im angefochtenen Straferkenntnis zur subjektiven Tatseite zusammengefasst fest, dass die Geschäftsführer der Beschwerdeführerin im konkreten Fall zunächst aufgrund objektiver Sorgfaltswidrigkeit die Entwürfe zu den gegenständlichen Ersuchen um Einwilligung genehmigt hätten, obwohl diese dem Wortlaut der DSGVO bzw. den Anforderungen gemäß Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 DSGVO widersprechen würden, sowie kein wirksames internes Kontrollsystem im Rahmen des Betriebs der Beschwerdeführerin implementiert hätten, um die laufende Rechtsentwicklung in Bezug auf die gegenständlichen Einwilligungsersuchen zu überwachen.
Der EuGH hat in seinen Entscheidungen C-807/21 (Rz 76 und 77) und C-683/21 (Rz 81 und 82) ausgesprochen, dass Art. 83 der Verordnung 2016/679 dahin auszulegen ist, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.
Weiters hat der EuGH im zitierten Urteil klargestellt, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt (vgl. entsprechend Urteile vom 18. Juni 2013, Schenker Co. u. a., C‑681/11, EU:C:2013:404, Rn. 37 und die dort angeführte Rechtsprechung, vom 25. März 2021, Lundbeck/Kommission, C‑591/16 P, EU:C:2021:243, Rn. 156, und vom 25. März 2021, Arrow Group und Arrow Generics/Kommission, C‑601/16 P, EU:C:2021:244, Rn. 97) sowie, dass die Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (vgl. entsprechend Urteile vom 7. Juni 1983, Musique Diffusion française u. a./Kommission, 100/80 bis 103/80, EU:C:1983:158, Rn. 97, und vom 16. Februar 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Kommission, C‑94/15 P, EU:C:2017:124, Rn. 28 sowie die dort angeführte Rechtsprechung).
Der EuGH hat überdies in der Rechtssache „Meta Platforms Inc.“ festgehalten, dass nach Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten u. a. für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (EuGH vom 04.07.2023, Zl. C-252/21, Rz 95). Die in der DSGVO vorgesehenen Grundsätze, Verbote und Pflichten richten sich insbesondere an „Verantwortliche“. Deren Verantwortung und Haftung erstreckt sich nach den Ausführungen im 74. Erwägungsgrund der DSGVO auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind. Diese Haftung ist es, die bei einem der in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße die Grundlage dafür bildet, nach Art. 83 DSGVO eine Geldbuße gegen den Verantwortlichen zu verhängen (vgl. erneut EuGH vom 05.12.2023, Zl. C-807/21, Rz 38).
Der belangten Behörde ist daher zunächst beizupflichten, dass die Beschwerdeführerin jedenfalls eine Erkundigungspflicht hinsichtlich der einschlägigen Bestimmungen der DSGVO (hier im Zusammenhang mit den verwendeten Einwilligungserklärungen Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 DSGVO), vor Verwendung dieser im Zuge des Markstarts des XXXX Programms im XXXX traf.
Weiters ist der belangten Behörde zuzustimmen, die Beschwerdeführerin bzw. die für sie handelnden Personen, insbesondere die beiden Geschäftsführer der Beschwerdeführerin sowie die Leiterin der Rechtsabteilung in der XXXX , hätten erkennen müssen, dass die gewählte Gestaltung nicht im Einklang mit der DSGVO stand.
Dies aus folgenden Gründen:
Wie bereits oben unter Punkt 3.3.3.2. betreffend die Erfüllung der objektiven Tatseite ausgeführt, ist im Hinblick auf die optische Gestaltung der verwendeten Einwilligungserklärungen im physischen XXXX festzuhalten, das Formular betreffend die Einholung der Einwilligungserklärungen aufgrund des XXXX , des Vermerks XXXX , des gewählten Abstands XXXX , des (bewussten) XXXX einiger Passagen XXXX Unterschriftsfeld, sowie des Umstandes, dass es einer gängigen Vorgangsweise entspricht, dass bei Abschluss eines Vertrages dieser zu unterschreiben ist, irreführend gestaltet war, weil der Eindruck erweckt wird, dass das Formular ohne Unterschrift nicht wirksam ist, sowie in Bezug auf die elektronische Anmeldestrecke, dass die Aufschrift des XXXX Buttons missverständlich und irreführend war.
Vor diesem Hintergrund ist es allerdings nicht ausschlaggebend, ob die Beschwerdeführerin sich mit dem Urteil des EuGH zur Zl. C‑673/17 (Planet49, dessen Einschlägigkeit für das gegenständliche Verfahren im Übrigen in Abrede gestellt wird) dem Bescheid der belangten Behörde vom 31.07.2018, GZ: DSB-D213.642/0002-DSB/2018) und/oder den Leitlinien 05/2020 zur Einwilligung auseinandergesetzt hat, da im vorliegenden Fall bereits aufgrund des reinen Wortlautes der Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 DSGVO von der Beschwerdeführerin erkannt hätte werden müssen, dass die von ihr gewählte optische Gestaltung aufgrund der oben dargestellten kumuliert irreführenden Faktoren nicht den Anordnungen einer in „informierter Weise und unmissverständlich abgegebenen Willensbekundung“ iSd Art. 4 Z 11 DSGVO entspricht.
Es ist davon auszugehen, dass der regelmäßig mit Datenschutzfragen – und insbesondere mit solchen der damals erst seit Kurzem anwendbaren DSGVO – befassten XXXX , insbesondere der mit der Beratung der Beschwerdeführerin betrauten Rechtsabteilung - auffallen hätte müssen, dass die bei den Einwilligungserklärungen gewählte Vorgangweise missverständlich und damit rechtswidrig war. Darüber hinaus musste auch den Geschäftsführern, von denen jedenfalls einer ausgeführt hat, aufgrund jahrelanger Erfahrung und logischen Denkens Empfehlungen der XXXX zu hinterfragen, eine derartige Ausgestaltung auffallen.
Was den oben erwähnten im Tatzeitraum ergangenen bezüglich einer Einwilligungserklärung eines Autofahrerklubs ergangenen Bescheid der belangten Behörde betrifft, so ist darauf hinzuweisen, dass diesem zwar ein anderer Sachverhalt zugrunde lag, allerdings darin die Missverständlichkeit einer Einwilligungserklärung thematisiert wurde, was die maßgeblichen Entscheidungsträger bei der Beschwerdeführerin bei dessen Erörterung möglicherweise zu einer weiteren Evaluierung der Einwilligungserklärung punkto möglicher Missverständlichkeit bewogen hätte.
Unklar ist, ob und wann die an der Entscheidung beteiligten Personen von dieser Entscheidung der belangten Behörde Kenntnis erhalten haben. Soweit einzelne Personen davon Kenntnis gehabt haben, so haben sie den aus dem Bescheid ableitbaren Hinweis auf die Relevanz missverständlicher Einwilligungserklärungen offenbar nicht an die Entscheidungsträger transportiert oder aber haben die Entscheidungsträgern den Hinweisen keine Beachtung geschenkt. Diese Erwägungen ändern aber nichts daran, dass die Missverständlichkeit der Einwilligungserklärung schon alleine aufgrund der beschriebenen Gestaltung offensichtlich war.
Es lag zum Tatzeitpunkt auch keine höchstgerichtliche Rechtsprechung oder entsprechende Verwaltungspraxis zu den zitierten Bestimmungen vor, aufgrund derer die Beschwerdeführerin entgegen der dargestellten, irreführenden Faktoren darauf vertrauen hätte können, dass die Gestaltung der DSGVO entspricht. Insbesondere hat die Beschwerdeführerin auch weder Rechtsgutachten hinsichtlich der DSGVO Konformität der gegenständlichen Einwilligungserklärungen erstellen lassen, noch bei der belangten Behörde als Spezialbehörde diesbezüglich Auskünfte eingeholt. Das Bundesverwaltungsgericht verkennt nicht, dass sich die belangte Behörde grundsätzlich nicht als individuelle Beratungseinrichtung sieht, dennoch wäre es – zumindest nach dem von der Beschwerdeführerin vorgelegten Screenshot – nicht ausgeschlossen gewesen, dass die belangte Behörde im Falle einer Anfrage durch die Beschwerdeführerin zumindest Parameter für eine aus ihrer Sicht gültige Einwilligungserklärung vorgegeben hätte. Dazu kommt der Umstand, dass die Beschwerdeführerin – trotz mehrmaliger Aufforderung sowohl durch die belangte Behörde als auch durch das Bundesverwaltungsgericht – keine (aussagekräftigen) Unterlagen zu stattgefundener interner und externer Beratung der Beschwerdeführerin im Hinblick auf die (Gestaltung der) in der Folge verwendeten verfahrensgegenständlichen Einwilligungserklärungen vorgelegt hat, aus denen etwa ersichtlich geworden wäre, dass die oben angeführten Faktoren aus rechtlicher Sicht ausführlich diskutiert bzw. problematisiert worden wären. Auch in der mündlichen Verhandlung führten die Geschäftsführer jeweils aus, sich an einzelnen Teile der optischen Gestaltung der Einwilligungserklärungen, wie etwa den XXXX , nicht genau erinnern zu können, was ebenfalls dafür spricht, dass diese nicht eingehend erörtert wurde. Hierbei ist insbesondere auch die Aussage des Geschäftsführers der Beschwerdeführerin, XXXX , in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht hervorzuheben, wonach die Beschwerdeführerin in Absprache XXXX entschieden habe, trotz Aufforderung keine Beratungsergebnisse vorzulegen, was dafür spricht, dass entweder ein Problembewusstsein in Bezug auf die Gestaltung der Einwilligungserklärungen bei der Beschwerdeführerin nicht vorhanden war, oder von einzelnen oder mehreren Beteiligten geäußerten Bedenken hinsichtlich der Einwilligungserklärungen nicht Rechnung getragen wurde.
Diesbezüglich muss auch zur Wirksamkeit eines internen Kontrollsystems darauf hingewiesen werden, dass dargelegt werden muss, wie dieses Kontrollsystem im Einzelfall hätte funktionieren sollen (VwGH 10.10.2004, 2004/02/0269). Auch wenn der Beschwerdeführerin zuzugestehen ist, gewisse Kontroll- und Beratungsmechanismen im Bereich des Datenschutzes eingeführt zu haben, hat dieses System – wie auch die belangte Behörde richtig erkannt hat – im konkreten Fall nicht funktioniert.
Im Lichte des zitierten EuGH-Judikats zur Rechtssache „Deutsche Wohnen SE“ kommt des Weiteren dem Einwand der Beschwerdeführerin, wonach iSd des § 5 Abs. 1a VStG der Beschwerdeführerin für den Tatzeitraum bis zum XXXX kein schuldhaftes Verhalten vorgeworfen werden könne, kein Begründungswert zu, da wie bereits erwähnt, die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer Geldbuße zu beachten hat, in Art. 83 Abs. 1 bis 6 DSGVO genau und ohne Ermessensspielraum für die Mitgliedstaaten aufgeführt sind (vgl. EuGH vom 05.12.2023, C-807/21, Rz 45). Schon daher ist einer etwaigen Einschlägigkeit des § 5 Abs. 1a VStG die Grundlage entzogen, zumal das Verschulden ohnehin für den gesamten Zeitraum durch die belangte Behörde geprüft wurde und nebenbei die in dem Kontext seitens der Beschwerdeführerin angeführten Judikate insoweit keine Relevanz aufweisen.
Bezüglich der aufgrund der Einwilligungserklärungen verarbeiteten Daten ist hier nochmals darauf hinzuweisen, dass im konkreten Fall keine anderen Rechtsgrundlagen als die Einwilligung in Frage kamen. Dass sich die Beschwerdeführerin dessen auch bewusst war, ergibt sich bereits aus der Entscheidung der Beschwerdeführerin, die Datenverarbeitung für das genannte Kundenprofiling ausnahmslos auf die Einwilligungserklärung zu stützen (vgl. dazu auch die Aussage der Zeugin XXXX im Verfahren vor der belangten Behörde). Auch hier musste der Beschwerdeführerin bereits aufgrund des Wortlauts der DSGVO klar sein, dass die Voraussetzungen für die Heranziehung anderer Rechtfertigungstatbestände nicht erfüllt war. Dass Zweifel über die Rechtsgrundlage bestanden oder diese in Diskussion gestanden hätte, wurde von der Beschwerdeführerin auch nicht vorgebracht.
Aus dem Gesagten folgt, dass auf subjektiver Tatseite zumindest Verschulden in Form von Fahrlässigkeit der Beschwerdeführerin vorliegt.
3.3.4.2. Zur Strafbemessung:
Die Strafbemessung innerhalb eines gesetzlichen Strafrahmens ist eine Ermessensentscheidung, die nach den vom Gesetzgeber im § 19 VStG festgelegten Kriterien vorzunehmen ist (VwGH 05.09.2013, 2013/09/0106).
Grundlage für die Bemessung der Strafe sind die Bedeutung des strafrechtlich geschützten Rechtsguts und die Intensität seiner Beeinträchtigung durch die Tat (§ 19 Abs. 1 VStG). Überdies sind die in Betracht kommenden Erschwerungs- und Milderungsgründe gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechts sind die §§ 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden.
Derartige Erwägungen sind aber auch bei einer „bloßen“ Anwendung des Art. 83 DSGVO relevant:
Gemäß Art. 83 Abs. 5 lit. a DSGVO werden bei Verstößen gegen die die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9 im Einklang mit Absatz 2 Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.
Der Begriff „Unternehmen“ iSd Art. 101 und 102 AEUV hat keine Bedeutung für die Frage, ob und unter welchen Voraussetzungen eine Geldbuße nach Art. 83 DSGVO gegen eine verantwortliche juristische Person verhängt werden kann, er ist nämlich nur relevant, um die Höhe einer Geldbuße zu bestimmen, die gemäß Art. 83 Abs. 4 bis 6 DSGVO verhängt wird (vgl. EuGH vom 05.12.2023, C-807/21, Rz 53,54). Zum Begriff des „Unternehmens“ im Sinne dieser Bestimmung hat der EuGH in der Rechtssache C‑807/21 (Deutsche Wohnen SE) weiter festgehalten, dass der Verweis im 150. Erwägungsgrund der DSGVO auf den Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV in diesem speziellen Zusammenhang der Berechnung von Geldbußen, die für in Art. 83 Abs. 4 bis 6 DSGVO genannte Verstöße verhängt werden, zu verstehen ist (vgl. Rz 55ff). Dieser Unternehmensbegriff umfasst für die Zwecke der Anwendung der in den Art. 101 und 102 AEUV niedergelegten Wettbewerbsregeln jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Er bezeichnet somit eine wirtschaftliche Einheit, auch wenn diese aus rechtlicher Sicht aus mehreren natürlichen oder juristischen Personen besteht. Diese wirtschaftliche Einheit besteht in einer einheitlichen Organisation persönlicher, materieller und immaterieller Mittel, die dauerhaft einen bestimmten wirtschaftlichen Zweck verfolgt (mit Verweis auf das Urteil vom 6. Oktober 2021, Sumal, C‑882/19, EU:C:2021:800, Rn. 41 und die dort angeführte Rechtsprechung).
Als Kriterien für die Beurteilung des Vorliegens einer wirtschaftlichen Einheit dienen wirtschaftliche, rechtliche sowie organisatorische Verflechtungen zwischen der Mutter- und Tochtergesellschaft (z.B. Höhe der Beteiligung, personelle oder organisatorische Verflechtungen sowie Weisungen und das Bestehen von internen Vereinbarungen). Der EuGH hat hierzu festgestellt, dass in dem besonderen Fall, wenn eine Muttergesellschaft 100 % oder fast 100 % des Kapitals ihrer Tochtergesellschaft hält, die gegen die Wettbewerbsregeln der Union verstoßen hat, zum einen diese Muttergesellschaft einen bestimmenden Einfluss auf das Verhalten dieser Tochtergesellschaft ausüben kann und zum anderen eine widerlegbare Vermutung besteht, dass diese Muttergesellschaft tatsächlich einen solchen Einfluss auf das Verhalten ihrer Tochtergesellschaft ausübt (vgl. zu all diesen Ausführungen insbesondere EuGH vom 20.01.2011, C-90/09 P; 10.09.2009, C-97/08 P).
Im vorliegenden Fall handelt es sich bei der Beschwerdeführerin um eine 100 % Tochter der XXXX , welche wiederum eine 100 % Tochter der XXXX ist. Dazu kommt der Umstand, dass XXXX sowohl als Geschäftsführer der Beschwerdeführerin als auch als Geschäftsführer der XXXX und der XXXX ist. Die bei der XXXX angesiedelte XXXX ist auch für die Beratung der Beschwerdeführerin zuständig. Es besteht somit auch eine enge personelle/organisatorische Verflechtung zwischen den genannten Gesellschaften. Es besteht daher nach der angeführten EuGH Judikatur die Vermutung, dass die Muttergesellschaft einen entscheidenden Einfluss auf die Beschwerdeführerin ausübt und wäre es an der Beschwerdeführerin gelegen gewesen, durch geeignete Beweismittel diese Vermutung zu widerlegen bzw. nachzuweisen, dass ihre Tochtergesellschaft auf dem Markt eigenständig auftritt (sogenannte Akzo-Vermutung, Rs C-97/08 P, Akzo Nobel u. a./Kommission, Rn. 59 und 60, und verbundene Rechtssachen C-293/13 und 294/13 P, Fresh Del Monte Produce/Kommission und Kommission/Fresh del Monte Produce; vgl. dazu auch EuGH vom 27.01.2021, C-595/18 P, Rn 32). Dies ist der Beschwerdeführerin durch die pauschale und unbegründete Behauptung in der Stellungnahme vom 12.12.2023, wonach es sich bei den genannten Gesellschaften nicht um eine wirtschaftliche Einheit handle, nicht gelungen. Auch in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht erstattete die Beschwerdeführerin trotz ausdrücklicher Nachfrage des Gerichts kein weiteres Vorbringen zu dieser Frage. Somit besteht für das Bundesverwaltungsgericht kein Zweifel, dass im gegebenen Fall eine wirtschaftliche Einheit mit den genannten Unternehmen handelt.
Vor diesem Hintergrund ist festzuhalten, dass der Jahresumsatz der gesamten wirtschaftlichen Einheit, sohin der Beschwerdeführerin, der XXXX in XXXX und der XXXX , heranzuziehen ist.
Das Bundesverwaltungsgericht ist im Übrigen der Ansicht, dass die XXXX , die ebenfalls eine 100% Tochter der XXXX ist, nicht der wirtschaftlichen Einheit zuzurechnen ist, der die Beschwerdeführerin zugehört. Dies vor dem Hintergrund, dass das genannte Unternehmen keinen bestimmenden Einfluss auf das wirtschaftliche Verhalten der Beschwerdeführerin ausübt.
Für die von der belangten Behörde mit Stellungnahme vom 10.10.2023 beantragte Aussetzung des Verfahrens bis zur Entscheidung des EuGH in der Sache C-383/23 (ILVA) verblieb vorliegend kein Raum mehr, da sich bereits aus dem Urteil Rechtssache C‑807/21 (Deutsche Wohnen SE) ergab, dass für die Beurteilung der Strafbemessung der weltweit erzielte Jahresumsatz des vorangegangenen Geschäftsjahrs der wirtschaftlichen Einheit heranzuziehen ist.
Zur Frage, an welches Ereignis das vorangegangene Geschäftsjahr anknüpft, dessen Umsatz die Obergrenze der möglichen Geldbuße bestimmt, ist festzuhalten, dass nach der Rechtsprechung des EuGH im Kartellrecht zu dem nahezu gleichlautenden Art. 23 VO Nr. 1 / 2003 der Bezugszeitraum das der Sanktionsverhängung vorausgegangene Geschäftsjahr darstellt (EuGH, Urteil vom 26. Januar 2017 - C-637/13 P - Badezimmerkartell Laufen Austria, Rn. 49; EuGH, Urteil vom 04. September 2014 - C-408/12 P - YKK u.a. Rn. 90). Da Art. 83 DS-GVO die kartellrechtliche Regelung zum Vorbild hat, ist mithin die Höhe des Jahresumsatzes im letzten abgeschlossenen Geschäftsjahr vor Erlass des Bußgeldbescheides/Straferkenntnisses maßgebend. Auf den Zeitpunkt der gerichtlichen Entscheidung kommt es ebenso wenig an wie auf den Zeitpunkt des maßgeblichen Verstoßes (vgl. auch die Leitlinien 04/2022 des Europäischen Datenschutzausschusses für die Berechnung von Geldbußen im Sinne der DSGVO, Version 2.1, angenommen am 24. Mai 2023, Rz 131 [in der Folge: Leitlinien EDSA 04/2022).
Da das Straferkenntnis am 04.05.2021 erlassen wurde, ist somit der Jahresumsatz für 2020 maßgebend. Auf der Grundlage eines Umsatzes für 2020 der XXXX und der Beschwerdeführerin von EUR XXXX ergibt sich daraus eine Obergrenze für die Geldbuße von 20 Millionen Euro.
Bei der Bemessung der Geldbuße innerhalb dieses Bußgeldrahmens war für das Bundesverwaltungsgericht Folgendes maßgebend:
Zunächst ist darauf hinzuweisen, dass die belangte Behörde im Spruch des angefochtenen Straferkenntnisses zwei Verstöße geltend machte, den Verstoß gegen die rechtskonforme Ausgestaltung der Einwilligungserklärung und die daraus folgende rechtswidrige Datenverarbeitung. Im Sinne der Leitlinien des Europäischen Datenschutzausschusses handelt es sich jedoch um eine Tat, die verschiedene Gesetzesverstöße nach sich zieht, wobei ein Gesetzesverstoß die Folge des anderen ist (Konsumtion).
Nach Art. 83 Abs. 1 DSGVO stellt jede Aufsichtsbehörde sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. In Art. 83 Abs. 2 DSGVO sind Zumessungskriterien aufgeführt, die bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall "gebührend" zu berücksichtigen sind. Relevant sind danach insbesondere Art, Schwere und Dauer des Verstoßes, die Zahl der von der Verarbeitung betroffenen Personen, das Ausmaß des Schadens, die Kategorie der betroffenen personenbezogenen Daten, das Bemühen des Unternehmens, den Schaden zu begrenzen, Art und Umfang der Kooperation mit den Datenschutzbehörden und der Grad der Verantwortlichkeit.
Der Umsatz des Unternehmens ist in Art. 83 Abs. 2 DSGVO nicht als Kriterium für die Bemessung der Geldbuße genannt. Daraus folgt jedoch – entgegen den Ausführungen der Beschwerdeführerin – nicht, dass dem Umsatz des Unternehmens bei der Bemessung der Geldbuße keine Bedeutung zukommt. „Zum einen bestimmt der Umsatz bei umsatzstarken Unternehmen die Bußgeldobergrenze und spannt dadurch erst den Rahmen auf, in den der konkrete Datenschutzverstoß einzuordnen und einzupassen ist. Der Bußgeldrahmen gibt der konkreten Zumessung die notwendige Orientierung. Zum anderen müssen Geldbußen gegen Unternehmen gem. Art. 83 Abs. 1 DS-GVO wirksam und abschreckend sein. Dies richtet sich auch nach der Ahndungsempfindlichkeit des jeweiligen Unternehmens. Je größer das Unternehmen ist, desto geringer ist regelmäßig die Ahndungsempfindlichkeit und desto höher ist im Regelfall das Bußgeld zu bemessen, damit es seine spezialpräventive Wirkung entfalten kann. Die Höhe des Umsatzes ist für die Unternehmensgröße und damit für die Ahnungsempfindlichkeit ein geeigneter Indikator; der Bilanzgewinn und sonstige Kennzahlen der wirtschaftlichen Leistungsfähigkeit des Unternehmens können zusätzlich berücksichtigt werden“ (siehe hierzu die Erwägungen im rechtskräftig gewordenen Urteil des Landgerichts Bonn, Urteil vom 11.11.2020, 29 OWi 1/20, Rz 106). Auch die Leitlinien des EDSA zur Berechnung von Geldbußen gehen (mit Verweis auf einen diesbezüglich verbindlichen Beschluss 1/2021 des EDSA, Rz 411 und 412) davon aus, dass bei der Berechnung der Geldbuße der Größe des Unternehmens Rechnung zu tragen ist, weshalb dessen Umsatz zu berücksichtigen ist (siehe dazu die abermals die Leitlinien EDSA 04/2022, Rz 63ff.)
Im Übrigen sind auch gemäß § 19 Abs. 2 VStG die Einkommens- und Vermögensverhältnisse des Beschuldigten bei der Bemessung von Geldstrafen zu berücksichtigen (§ 19 Abs. 2 VStG).
Überdies ist die Bedeutung des strafrechtlich geschützten Rechtsgutes allgemein für sich zu beurteilen und nicht im Verhältnis zu dem im konkreten Einzelfall entgegenstehenden Schutz eines anderen Rechtsgutes (s VwGH 11. 7. 2022, Ra 2021/04/0007; weiterführend Kuderer, ZVG 2023, 87 ff). Die Wertigkeit des geschützten Rechtsgutes findet ihren Ausdruck auch in der Höhe des gesetzlichen Strafrahmens (VwGH 18. 12. 2018, Ra 2016/04/0148; 7. 10. 2021, Ra 2020/05/0232; 13. 2. 2023, Ra 2022/02/0117). Als Rechtsgut von erheblicher Bedeutung stuft der VwGH bspw die Verkehrssicherheit ein (VwGH 13. 2. 2023, Ra 2022/02/0117). (Lewisch Kommentar zu § 45 Abs. 1 Z 4 VStG, Fister in Lewisch/Fister/Weilguni, VStG3 § 45 Rz 3 [Stand 1.7.2023, rdb.at]).
Da der Strafrahmen nach Art. 83 DSGVO bis EUR 20.000.000 sehr hoch ist, ist die Bedeutung des geschützten Rechtsgutes jedenfalls nicht als gering einzustufen.
Vor dem Hintergrund, dass die Beschwerdeführerin die personenbezogenen Daten der Betroffenen für ihre Geschäftstätigkeit XXXX schuldhaft unrechtmäßig verarbeitet hat, die Verarbeitung das gesamte Bundesgebiet Österreichs betraf, die Verarbeitung von personenbezogenen Daten eine zentrale Tätigkeit der Beschwerdeführerin darstellt, eine große Anzahl natürlicher Personen (ca. XXXX ) von der unrechtmäßigen Verarbeitung betroffen war und die Verarbeitung über einen Zeitraum von zwei Jahren erfolgte, ist festzuhalten, dass der Verstoß, auch wenn er fahrlässig begangen wurde, jedenfalls nicht geringfügig war, sondern vielmehr bei Beurteilung nach den in Art. 83 Abs. 2 lit. a DSGVO einen mittleren bis hohen Schweregrad aufweist. Bei Berücksichtigung der Tatsache, dass bezüglich der Gestaltung des XXXX eine gröbere Fahrlässigkeit vorlag als bei der Gestaltung der Online-Einwilligung (wobei aber auch in diesem Fall die Beschwerdeführerin eindeutig die Missverständlichkeit hätte erkennen müssen), ist bei einer Gesamtbetrachtung die Berechnungsgrundlage für einen mittleren Verstoß heranzuziehen.
Wenn die Beschwerdeführerin die Anwendung des § 11 DSG releviert und damit einer Abmahnung der Vorzug gegeben werden soll, ist darauf hinzuweisen, dass das dort vorgesehene Prinzip der Verhältnismäßigkeit bereits in Art. 83 DSGVO verankert ist. Ein Vorrang des Vorgehens nach § 11 DSG lässt sich der Systematik und dem Anwendungsvorrang der DSGVO jedenfalls nicht entnehmen; betreffend einen möglichen Versuch, die belangte Behörde (oder das Gericht) über die DSGVO hinaus zu binden (vgl. Bresich, Dopplinger, Dörnhöfer, Kunnert, Riedl, DSG (2018) S 131, § 11, Anmerkung 6), fehlt es an einer entsprechenden Öffnungsklausel bzw. Ermächtigung in der DSGVO. Gegenständlich kommt aber nach Ansicht des Bundesverwaltungsgerichts aufgrund der oben dargestellten Schwere des Verstoßes eine bloße Abmahnung ebenso wenig in Betracht, wie eine Einstellung des Verfahrens oder eine bescheidmäßige Ermahnung gemäß § 45 Abs. 1 Z 4 VStG, zumal die Bedeutung des strafrechtlich geschützten Rechtsgutes (grundrechtlich geschütztes Verbot der Verarbeitung personenbezogener Daten ohne Rechtsgrundlage) jedenfalls nicht als gering anzusehen ist. Obendrein ist in diesem Zusammenhang auf ErwGr 148 zur DSGVO hinzuweisen.
Nach den Leitlinien EDSA 04/2022 ist bei einem Verstoß mittleren Schweregrades ein Ausgangsbetrag von 10 % - 20 % des gesetzlichen Höchstmaßes (EUR 20.000.000,00) anzunehmen. Vor dem Hintergrund der obigen Ausführungen und bei einer Berücksichtigung der Tatsache, dass einige von der belangten Behörde erhobenen Vorwürfe (trotz der Erfüllung des Straftatbestandes) – wie das Verfassen der Einwilligungserklärung in kleiner Schrift und die Nichtberücksichtigung des EuGH-Urteils zu Planet49 sowie das grundsätzliche In-Abrede-Stellen eines wirksamen internen Kontrollsystems) nicht zutreffen – scheint für das Bundesverwaltungsgericht daher ein vorläufiger Ausgangbetrag von EUR XXXX ( XXXX des gesetzlichen Höchstmaßes) angemessen.
Da der Umsatz der Unternehmensgruppe der Beschwerdeführerin unter XXXX liegt, hat nach den Leitlinien EDSA 04/2022 eine Anpassung anhand der Größe des Unternehmens stattzufinden. Aufgrund eines Unternehmensumsatzes wie dem der Beschwerdeführerin in Höhe von EUR XXXX empfiehlt der EDSA die Berechnungen auf der Grundlage eines Betrags zwischen XXXX des ermittelten Ausgangsbetrags vorzunehmen. XXXX , war ein endgültiger Ausgangbetrag in der Höhe von XXXX des vorläufigen Ausgangsbetrages, sohin ein Betrag von EUR XXXX anzunehmen.
Mildernd berücksichtigte die belangte Behörde die fahrlässige Begehung, das Nichtvorliegen früherer Verstöße bei der belangten Behörde gegen die DSGVO, die Mitwirkung der Beschwerdeführerin im gegenständlichen Ermittlungsverfahrens vor der Datenschutzbehörde, den Bilanzverlust in der Höhe von EUR XXXX im Geschäftsjahr 2020, die Adaptierung der Einwilligungsformulare nach Erlass des Bescheides der Datenschutzbehörde im amtswegigen Prüfverfahren vom XXXX 2020 zur GZ: DSB- XXXX sowie die (aktuelle) COVID-19 Pandemie und sämtliche daraus resultierenden erforderliche Umstrukturierungsmaßnahmen im Betrieb. Weitere Milderungsgründe sind bis zum Zeitpunkt der Entscheidung der belangten Behörde nicht ersichtlich geworden.
Aufgrund der vorliegenden Milderungsgründe (wobei die fahrlässige Begehung bereits bei der Einstufung der Schwere des Verstoßes berücksichtigt wurde), war der Ausgangsbetrag (auch nach Ansicht des Bundesverwaltungsgerichts) anzupassen, sodass eine Geldbuße in Höhe von EUR 700.000 angemessen scheint. Die von der belangten Behörde konkret verhängte Geldbuße in der Höhe von EUR 1.200.000,00 liegt daher über der vom Bundesverwaltungsgericht festgesetzten Geldbuße.
Dazu ist zu bemerken, dass das Bundesverwaltungsgericht bei der Festsetzung der Geldbuße auch selbst Ermessen zu üben hatte. So führt Wessely in Raschauer/Wessely (Hrsg), Kommentar zum VStG - Verwaltungsstrafgesetz3 (2023) § 19 Rz 26, Folgendes aus:
„Anlässlich seiner Entscheidung hat das VwG nicht bloß die Ermessensübung durch die Verwaltungsstrafbehörde zu prüfen, sondern das Ermessen selbst zu üben und eine neue Strafzumessung vorzunehmen (VwGH 31.1.2012, 2009/05/0123). Dies insbesondere bei einer Änderung des Schuldspruchs. IdS gilt es idR bei teilweiser Stattgebung der Beschwerde (VwGH 27.5.2008, 2007/05/0235) etwa durch Reduzierung des Tatzeitraums (VwGH 22.4.2010, 2007/07/0015; 21.2.2012, 2010/11/0245), bei Wegfall von Vormerkungen wegen zwischenzeitig eingetretener Tilgung (VwGH 27.5.2008, 2007/05/0235) oder Hervortreten weiterer Milderungsgründe (VwGH 22.4.1998, 97/03/0353), also in Fällen einer qualitativen oder quantitativen Reduktion des Tatvorwurfs auch die Strafe herabzusetzen. Zwingend ist dies allerdings nicht. So bedarf es etwa dann keiner Herabsetzung, wenn das VwG den durch die Tat verwirklichten Unwert höher einschätzt als die Verwaltungsbehörde oder wenn sich die wirtschaftliche Situation des Beschuldigten zwischenzeitig gebessert hat (VwGH 27.5.2008, 2007/05/0235; 23.2.2022, Ra 2020/17/0024; 29.3.2022, Ro 2020/02/0003); ein solches Vorgehen bedarf jedoch einer entsprechenden Begründung (VwGH 22.4.1998, 97/03/0353).“
Was das weitere Verhalten der Beschwerdeführerin nach der Straferkenntniserlassung durch die belangte Behörde betrifft, so ist auf Folgendes hinzuweisen: Zunächst wird festgehalten, dass die Beschwerdeführerin (auch) im gegenständlichen Verfahren vor dem Bundesverwaltungsgericht grundsätzlich darauf beharrte, eine einwandfreie Einwilligungserklärung verwendet zu haben. Soweit von der Beschwerdeführerin inzwischen dem Erkenntnis des Bundesverwaltungsgerichts bezüglich des amtswegigen Verfahrens Rechnung getragen und auch im hier gegenständlichen Verfahren die Rechtswidrigkeit der Einwilligungserklärung (nicht aber das Verschulden und auch nicht die Unrechtmäßigkeit der Verarbeitung) eingestanden hat, so wurde lediglich einem rechtskräftigen und nicht mehr angefochtenen Erkenntnis des Bundesverwaltungsgericht Folge geleistet. Selbst wenn man die Einholung weiterer Einwilligungen von Newsletter-Beziehern vor der Erkenntniserlassung des Bundesverwaltungsgerichts zur (teilweisen) Risikominimierung als mildernden Umstand wertete (der allerdings gar nicht von der Beschwerdeführerin vorgebracht wurde), so stünde diesem die inzwischen verbesserte wirtschaftliche Situation des Unternehmens, die sich eindeutig aus den von der Beschwerdeführerin vorgelegten Jahresumsätzen ergibt, dergestalt entgegen, als die belangte Behörde lediglich den Jahresumsatz 2020 der Beschwerdeführerin für die Strafbemessung heranzog, aufgrund der obigen Ausführungen jedoch der Jahresumsatz der gesamten wirtschaftlichen Einheit, der die Beschwerdeführerin angehört, und deren Umsatz etwa um das XXXX fache höher ist, als der alleinige Umsatz der Beschwerdeführerin, vom Bundesverwaltungsgericht heranzuziehen war. Überdies hat sich auch die wirtschaftliche Situation der Beschwerdeführerin und ihrer Muttergesellschaft inzwischen verbessert.
Die vom Bundesverwaltungsgericht errechnete Geldbuße scheint tat- und schuldangemessen und befindet sich am unteren Ende des zur Verfügung stehenden Strafrahmens. Für eine weitere Herabsetzung der Sanktion besteht insbesondere aufgrund der oben genannten Erschwernisgründe kein Raum. Ein (noch) niedrigerer Betrag würde im vorliegenden Fall den in Art. 83 Abs. 1 DSGVO normierten Kriterien für eine Geldbuße, wonach diese in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein muss, nicht mehr gerecht werden.
Der Beschwerde war daher im genannten Umfang stattzugeben und die Geldbuße auf EUR 700.000 herabzusetzen.
Zu den Kosten des Verwaltungsstrafverfahrens sowie des Beschwerdeverfahrens:
Gemäß § 64 Abs. 1 VStG ist im Straferkenntnis auszusprechen, dass der Bestrafte einen Beitrag zu den Kosten des Strafverfahrens zu leisten hat. Gemäß § 64 Abs. 2 VStG ist dieser Beitrag für das Verfahren erster Instanz mit 10 % der verhängten Strafe, mindestens jedoch mit 10 Euro zu bemessen. Der Beitrag zu den Kosten war aufgrund der nunmehr verhängten Strafe auf 70.000 Euro zu reduzieren.
Da damit der Beschwerde teilweise Folge gegeben wurde, waren der Beschwerdeführerin keine Kosten des Beschwerdeverfahrens aufzuerlegen (§ 52 Abs. 1 und Abs. 2 VwGVG).
Zur sonstigen Gestaltung des Spruches:
Aufgrund der zitierten Rechtsprechung des EuGH C-807/21, wonach es nicht notwendig ist, eine bestimmte Person in einer Leitungsfunktion festzumachen, die das schuldhafte Verhalten gesetzt hat, ist davon auszugehen, dass die Abs. 1 und 2 des § 30 DSG nicht mehr anzuwenden sind und das schuldhafte Verhalten der Geschäftsführer nicht im Spruch des Straferkenntnisses der belangten Behörde anzuführen ist (siehe dazu auch VwGH 01.02.2024, Ra 2020/04/0187-20, Rz 28, wonach die „aus dem nationalen Recht (dem VStG) abgeleitete Vorgabe, wonach für eine Verhängung einer Geldbuße nach der DSGVO über eine juristische Person im Spruch des Straferkenntnisses alle notwendigen Elemente für eine Bestrafung der natürlichen Person aufzunehmen seien, unangewendet hätte bleiben müssen[…]“). Auch dementsprechend war der Spruch abzuändern.
Zahlungsinformation
Sie haben den Gesamtbetrag von EUR 770.000,00 (Strafe, Kosten des verwaltungsbehördlichen Verfahrens) binnen zwei Wochen auf das Konto des Bundesverwaltungsgerichtes (BVwG) mit dem IBAN AT840100000005010167 (BIC BUNDATWW) unter Angabe der Verfahrenszahl spesenfrei für den Empfänger einzuzahlen. Bei Verzug muss damit gerechnet werden, dass der Betrag nach erfolgter Mahnung zwangsweise eingetrieben werden wird.
Zu B) Zulässigkeit der Revision:
Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen. Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Es fehlt an Rechtsprechung des VwGH zur Frage der (optischen) Gestaltung von physischen und elektronischen Einwilligungserklärungen zur Datenverarbeitung und deren Vereinbarkeit mit Art 4 Z 11 iVm Art 7 Abs. 2 DSGVO.
Es war daher auszusprechen, dass die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist.