W137 2248575-1 – Bundesverwaltungsgericht Entscheidung

W137 2248575-1/31E

IM NAMEN DER REPUBLIK!

Schriftliche Ausfertigung des am 23.02.2024 mündlich verkündeten Erkenntnisses

Das Bundesverwaltungsgericht erkennt durch den Richter Mag. Peter HAMMER als Vorsitzender und die fachkundigen Laienrichterinnen Mag. Ursula ILLIBAUER sowie Mag. Martina CHLESTIL als Beisitzerinnen über die Beschwerde der XXXX gegen das Straferkenntnis der Datenschutzbehörde vom 28.09.2021, GZ: D550.289 2021-0.538.938, nach Durchführung einer mündlichen Verhandlung zu Recht:

A)

I. Die Beschwerde wird gemäß § 28 Abs. 2 VwGVG iVm Art. 12 Abs. 2 iVm Art. 83 Abs. 5 lit. b DSGVO mit der Maßgabe als unbegründet abgewiesen, dass die Geldstrafe gemäß § 30 DSG mit € 500.000 (in Worten: fünfhunderttausend Euro) bestimmt wird.

II. Der zu zahlende Gesamtbetrag (unter Berücksichtigung von § 64 VStG) beträgt daher € 550.000 (in Worten: fünfhundertfünfzigtausend Euro).

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

1. Die XXXX (= Beschwerdeführerin vor dem Bundesverwaltungsgericht und Beschuldigte im Verwaltungsstrafverfahren vor der Datenschutzbehörde) ist als Adresshändlerin mit dem Ziel tätig gewesen, ihren werbetreibenden Kunden den zielgerichteten Versand von Werbung zu ermöglichen sowie Streuverluste in der Werbung zu verringern. Im Rahmen dieser Tätigkeit hat sie – unter anderem – Informationen bzw. Marketingklassifikationen zu den „Parteiaffinitäten“ der gesamten österreichischen Bevölkerung erhoben, und auch aufgrund des Medienechos innerhalb weniger Monate mehr als 30.000 datenschutzrechtliche Anfragen von betroffenen Personen erhalten. Zur Bewältigung der Anfragenflut hat die verantwortliche Beauftragte der Beschwerdeführerin ein Web-Kontaktformular zur Geltendmachung der meistgenutzten Betroffenenrechte gemäß Art. 15, 17 und 21 DSGVO implementiert und andere Kontaktmöglichkeiten in diesem Kontext begrenzt.

2. Mit verfahrenseinleitender Maßnahme vom 26.06.2020 übermittelte die Datenschutzbehörde (idF auch Behörde oder DSB), aufgrund amtswegiger Wahrnehmungen, betreffend die Beschuldigte, eine Aufforderung zur Rechtfertigung, da der Verdacht bestehe, diese habe ab 07.01.2019 fortlaufend bis dato, zumindest jedenfalls bis zum 26.05.2020, systematisch Betroffenenrechte im Sinne von Art. 12 ff DSGVO verletzt. Dies insbesondere dadurch, dass diese die Ausübung von Betroffenenrechten durch die obligatorisch vorgesehene Nutzung eines „Datenschutzformulars“ für Betroffene eingeschränkt, Anträge auf Auskunft gemäß Art. 15 DSGVO teilweise nicht fristgerecht, teilweise mangelhaft, teilweise gar nicht beantwortet, keine Informationen über die Inanspruchnahme der Fristenerstreckung im Sinne des Art. 12 Abs. 3 DSGVO mitgeteilt und die Aufforderung an betroffene Personen, ihre Identität im Sinne von Art. 12 Abs. 6 DSGVO durch Vorlage weiterer Dokumente und/oder Informationen nachzuweisen, nicht innerhalb der gesetzlich vorgesehenen Frist veranlasst habe.

3. Mit Rechtfertigung vom 04.09.2020 brachte die Beschuldigte zusammengefasst vor, dass das Verfahren einzustellen sei, da die Behörde keine konkrete Umschreibung der Tathandlung vorgenommen habe. Es liege keine systematische Verletzung von Betroffenenrechten vor und habe die Beschuldigte ein wirksames Kontrollsystem eingeführt, um den Vorgaben der DSGVO zu entsprechen. Dies habe sie, durch die Expertise von fachlich qualifizierten Beratern aus dem Bereich des Datenschutzes, abgesichert. Sie habe zudem allen Anfragen betroffener Personen in gesetzeskonformer Weise möglichst rasch und effizient entsprochen, eine Ausweiskopie sei aufgrund der Menge der verarbeiteten Daten zwingend notwendig gewesen, das eingerichtete Kontaktformular stelle den besten Weg (im Sinne des Art. 12 Abs. 2 DSGVO) dar, um mit einer hohen Anzahl an Anfragen umgehen zu können und habe eine betroffene Person, welche ein E-Mail an nicht mehr genutzte E-Mailadressen der Beschuldigten sendete, umgehend einen Hinweis auf das neue Kontaktformular erhalten. Es handle sich nicht um eine obligatorisch zu nutzende Kontaktmöglichkeit, da die Möglichkeit bestanden habe, Anfragen auch weiterhin postalisch oder per Telefax einzubringen. Anliegen, welche nicht über das Kontaktformular bearbeitbar seien, würden weiterhin per E-Mail akzeptiert, hierauf sei in den Datenschutzhinweisen und am Kontaktformular selbst hingewiesen worden. Des Weiteren habe sich die Behörde geweigert, der Beschuldigten beratend zur Seite zu stehen. Eine verspätete Auskunft sei nie erfolgt und könne hinsichtlich der behaupteten Unvollständigkeit von Auskünften nur auf die divergierenden Rechtsansichten zwischen den Beschwerdeführern und der Beschuldigten hingewiesen werden, welche im Rahmen eines verwaltungsbehördlichen oder gerichtlichen Verfahrens zu klären seien. Auch habe ein systematisches „Nicht-Beantworten“ von Anfragen Betroffener nicht stattgefunden. Im Fall eines strafbaren Verhaltens der Beschuldigten seien die Unbescholtenheit, der Mitteleinsatz, Ressourceneinsatz, der kontinuierliche Verbesserungsprozess, die bloße Fahrlässigkeit, der fehlende Schaden, die Kooperation mit der Behörde und die Auswirkungen der Pandemie strafmildernd zu berücksichtigen. Der Eingabe war ein Konvolut an verfahrensrelevanten Dokumenten angeschlossen.

4. Mit Aufforderung zur Rechtfertigung vom 21.12.2020 an die Beschuldigte, die Vorstandsmitglieder und die verantwortliche Beauftragte weitete die Datenschutzbehörde den Kreis der Beschuldigten aus und konkretisierte die vorgeworfenen Tathandlungen mit der Darstellung von 18 (nicht abschließend ausgeführten) Datenschutzbeschwerden und führte zusammengefasst aus:

Es bestehe der Verdacht, die – für den Tatzeitraum im Firmenbuch ausgewiesenen –organschaftlichen Vertreter der Beschuldigten sowie die verantwortliche Beauftragte im Sinne des § 9 Abs. 2 VStG hätten im Zusammenhang mit der Planung, Entwicklung und Einführung sowie Durchführung und Überwachung eines „Datenschutzmanagement-Konzepts“ in Bezug auf die Behandlung von Betroffenenrechten im Sinne von Art. 12 bis 22 DSGVO, zumindest durch Außerachtlassung der gebotenen Sorgfalt sowie aufgrund mangelnder Kontrolle und Überwachung, die vorgeworfenen Verwaltungsübertretungen begangen. Diese hätten jedenfalls bei der Implementierung der DSGVO kein wirksames internes Kontrollsystem eingeführt, um Verletzungen von Betroffenenrechten aufgrund der zu erwartenden erhöhten Anfragen bzw. Antragstellungen zu vermeiden. Dies führe im Ergebnis zu einer systematischen Verletzung von Betroffenenrechten.

5. Mit Rechtfertigung vom 15.02.2021 brachten die Beschuldigten gemeinschaftlich und ergänzend zur Rechtfertigung vom 04.09.2020 soweit wesentlich vor, dass die Behörde idente Vorwürfe erhebe und nun ebenfalls die Vorstandsmitglieder und die verantwortliche Beauftragte als Beschuldigte führe. Durch dieses unzulässige Verhalten sei Scheinkonkurrenz mit dem im Juni 2020 eingeleiteten Verfahren gegeben. Soweit diese davon ausgehe, dass ein Dauerdelikt vorliege, sei darauf hinzuweisen, dass es sich bei Art. 12 DSGVO und Art. 15 DSGVO um Delikte handle, welche mit Eintritt der Rechtswidrigkeit enden. Es sei in den Vorwürfen keine sanktionierbare Tat umschrieben, die den genannten natürlichen Personen vorgeworfen werden könne. Die Behörde habe, entgegen der höchstgerichtlichen Judikatur, „zur Sicherheit“ ein Verwaltungsstrafverfahren gegen die Vorstände und die verantwortliche Beauftragte eingeleitet, obwohl dies für die Verantwortlichkeit einer juristischen Person nicht erforderlich sei. Dieses Vorgehen mache den Beschuldigten die Verteidigung ihrer Rechtspositionen unmöglich, da sämtliche Vorhalte undifferenziert seien. Gerade die anhaltende Gefahr einer Datenschutzverletzung, durch die manuelle Bearbeitung aller einlangenden Anfragen von betroffenen Personen, habe es erforderlich gemacht, den Prozess durch ein Kontaktformular teilweise zu automatisieren. Seit 17.07.2019 sei das Kontaktformular implementiert und würde ein Großteil der Betroffenenanfragen über diesen Kanal abgewickelt werden. Dieses sei nie obligatorisch gewesen und haben den Betroffenen auch eine E-Mailadresse für Detailauskünfte zur Verfügung gestanden. Nach der Umstellung auf das DSGVO-Kontaktformular sei es vorgekommen, dass Betroffene weiterhin die alte E-Mailadresse der Beschuldigten nutzten. In solchen Fällen hätten diese vom Postfach XXXX automatisch die Rückmeldung erhalten, dass sie das DSGVO-Kontaktformular zu verwenden hätten, dies auch, wenn sich deren Anliegen bereits in Bearbeitung befunden habe. Am 22.04.2020 sei das Postfach endgültig abgeschaltet und den Betroffenen, die sich an dieses Postfach wendeten, eine Unzustellbarkeits-Benachrichtigung übermittelt worden. Abschließend sei aufzuzeigen, dass hinsichtlich der überwiegenden Zahl der von der Behörde vorgebrachten Fälle die Verfolgungsverjährung bereits eingetreten sei. Ein allfälliger Verstoß gegen das Erleichterungsgebot sei überdies nicht unmittelbar strafbewehrt, denn gemäß Art. 83 Abs. 5 lit b DSGVO dürfe eine Geldbuße nur bei Verstößen gegen Rechte der Betroffenen verhängt werden.

6. Mit einfacher Ladung vom 17.05.2021 lud die Behörde XXXX (Datenschutzbeauftragte der XXXX bis Juni 2020) zur Einvernahme als Zeugin vor und führte die Einvernahme am 01.06.2021 durch. Dabei gab diese zusammengefasst an, es sei nie vorgesehen gewesen Betroffenenrechte einzuschränken und habe die Anfragenflut eine Umstellung zwingend erforderlich gemacht. Die verantwortliche Beauftragte habe das Kontaktformular für zulässig erklärt, dieses sei ab Juni/Juli 2019 zum Einsatz gekommen. Ob Vorstandsmitglieder in den Prozess eingebunden waren, sei ihr nicht bekannt. Seit 2018 habe als Kontaktmöglichkeit die postalische Zustellung, das Fax, das Kundenservicecenter und eine E-Mailadresse bestanden. Mit Deaktivierung der E-Mailadresse sei automatisch auf das Kontaktformular verwiesen worden, andere Änderungen der Kontaktmöglichkeiten habe es nicht gegeben. Die Einschränkung auf drei Betroffenenrechte im Kontaktformular sei nur erfolgt, da betroffene Personen diese überwiegend beantragten, andere Anliegen seien durch postalische Übermittlung, Fax oder über das Kundenservicecenter immer zulässig gewesen. Über diese Information sei in den Datenschutzhinweisen aufgeklärt worden. Auch bereits eingebrachte Anliegen seinen von der Umstellung betroffen gewesen.

7. Mit 02.06.2021 gewährte die Behörde allen Beteiligten Parteiengehör hinsichtlich der erfolgten Zeugeneinvernahme vom 01.06.2021.

8. Mit Ladungsbescheid vom 02.06.2021 lud die Behörde die verantwortliche Beauftragte zur Einvernahme am 30.06.2021, wobei diese zusammengefasst und soweit wesentlich angab:

Der Vorstand sei über die hohe Zahl an Anfragen informiert gewesen und habe den Auftrag erteilt, diese ordnungsgemäß abzuarbeiten, das Budget für die benötigte Arbeitskraft habe dieser freigegeben und ihr die notwendige Anordnungsbefugnis erteilt. Für die Umsetzung gab es zeitliche Vorgaben und habe die verantwortliche Beauftragte den Vorstand quartalsweise über den Fortschritt der Anfragenbearbeitung informiert. Für die Implementierung des Formulars sei die Expertise von XXXX und der XXXX in Anspruch genommen worden (ausschließlich mündliche Beratungen), darüber hinaus sei die verantwortliche Beauftragte mit den datenschutzrechtlichen Vorschriften vertraut. Sie habe eigenverantwortlich das Formular zur Verwendung freigegeben, der Vorstand sei nicht involviert gewesen. Nach Implementierung des Formulars sei mit einer automatischen Antwort auf dieses verwiesen worden, bevor die zuvor verwendete E-Mailadresse endgültig deaktiviert worden sei. Für die Ausübung anderer Betroffenenrechte, als die im Kontaktformular genannten, habe immer eine Kontaktmöglichkeit per Post, Fax und Kundenservicecenter bestanden.

9. Mit ergänzender Rechtfertigung vom 30.06.2021 nahmen die weiteren Beschuldigten zur Zeugeneinvernahme vom 01.06.2021 Stellung und konkretisierten diese.

10. Mit 01.07.2021 gewährte die Behörde allen Beteiligten Parteiengehör hinsichtlich der erfolgten Beschuldigteneinvernahme vom 30.06.2021.

11. Mit ergänzenden Aufforderung vom 15.07.2021 an die Beschuldigten verlangte die Datenschutzbehörde die Vorlage der unterschriebenen Bestellung der verantwortlichen Beauftragten für den gegenständlichen Tatzeitraum, falls diese nicht vorhanden oder ungültig sei, den Beschluss des Gesamtvorstands über die Bestellung zur verantwortlichen Beauftragten bzw. sonstige dahingehende Dokumente und Informationen über den Umfang der übernommenen Verantwortung.

12. Mit Eingabe vom 26.07.2021 nahmen alle weiteren Beschuldigten zur Beschuldigteneinvernahme vom 30.06.2021 Stellung, konkretisierten die gemachten Angaben und kamen den Aufforderungen der Datenschutzbehörde nach.

13. Mit 28.09.2021 erließ die Behörde das angefochtene Straferkenntnis gegen die Beschuldigte XXXX wegen der Verletzung ihrer Pflicht zur Erleichterung der Rechtsausübung von Betroffenenrechten, stellte alle weiteren Tatvorwürfe gegen die Beschuldigte sowie die weiteren (individuellen) Beschuldigten ein und führte begründend im Wesentlichen aus:

Durch den Einsatz des verpflichtend zu verwendenden Kontaktformulars habe die Beschuldigte den Erleichterungsgrundsatz verletzt und betroffenen Personen die Ausübung ihrer Rechte erschwert. Dies insbesondere dadurch, dass sie Anfragen über andere Kanäle (deaktivierte E-Mailadresse oder Kundenservicecenter) nicht angenommen, auf das Kontaktformular verwiesen oder Anbringen erst nach Weigerung der betroffenen Personen, dieses zu verwenden, bearbeitet habe. Soweit die Beschuldigte behaupte, auch andere Kanäle zuzulassen, so habe sie die betroffenen Personen nicht ausreichend über diese Möglichkeiten aufgeklärt und vielmehr den Eindruck erweckt, dass ausschließlich eine Kontaktaufnahme über das vorgesehene Formular möglich sei, da auch geschulte Mitarbeiter der Beschuldigten ausschließlich auf das Kontaktformular verwiesen hätten. Es handle sich daher de facto um eine obligatorische Nutzung des Kontaktformulars. Auch sei die damit verbundene Einschränkung auf drei (von der Beschuldigten) konkrete Betroffenenrechte unzulässig. Ein im Kontaktformular nicht vorgesehenes Betroffenenrecht habe eine betroffene Person über das allgemeine Kontaktformular „Serviceangebot – Sonstige Services“, per Brief/Fax oder bis zum 13.12.2020 per E-Mail geltend machen müssen. Eine dahingehende Information sei nur intransparent erteilt und der Eindruck erweckt worden, dass elektronisch ausschließlich drei Betroffenenrechte geltend gemacht werden könnten. Ebenfalls habe das Kontaktformular eine Identifizierung ausschließlich mittels eines gültigen Lichtbildausweises vorgesehen, andere Identifizierungsmethoden seien nicht möglich gewesen. Aufgrund der vollständigen Deaktivierung des E-Mailpostfachs XXXX mit 15.12.2020, sei eine solche Kontaktaufnahme verhindert worden. Die Sorgfaltswidrigkeit ergebe sich aus dem zurechenbaren Handeln der Vorstandsmitglieder, da diese kein wirksames internes Kontrollsystem implementierten und der verantwortlichen Beauftragten, welche zumindest hätte erkennen müssen, dass die genehmigten Maßnahmen nicht dem Erleichterungsgebot des Art. 12 Abs. 2 DSGVO entsprechen. Ein Verbotsirrtum liege nicht vor. Gemäß § 30 Abs. 3 DSG sei die Verhängung einer Verwaltungsstrafe gegen natürliche Personen unzulässig, wenn bereits eine solche gegen die juristische Person verhängt worden sei.

14. Gegen das genannte Straferkenntnis wurde mit 25.10.2021 Beschwerde eingebracht und darin zusammengefasst ausgeführt, dass die Beschwerdeführerin nicht das vorgeworfene Tatbild verwirklicht habe. Sie habe die Ausübung von Betroffenenrechten nicht behindert. Vielmehr sei die Zurverfügungstellung eines Kontaktformulars eine Erleichterung. Auch handle es sich bei Art. 12 DSGVO um keine Strafnorm und sei dieser Artikel für diesen Zweck auch zu unbestimmt. Zudem könne eine Zurechnung zu den Vorstandsmitgliedern nicht erfolgen, wobei auch der Spruch des Straferkenntnisses in hohem Maße unbestimmt sei und es habe die Behörde die objektive und subjektive Tatseite bei der die Strafzumessung grob verkannt. Die Beschwerdeführerin beantrage daher, den Spruchpunkt I. der Behörde ersatzlos zu beheben und das Verfahren einzustellen, in eventu das Verfahren unter Erteilung einer Verwarnung einzustellen, in eventu das Strafmaß herabzusetzen.

15. Mit Schreiben vom 22.11.2021 legte die Behörde die Beschwerde samt dem Verwaltungsakt dem Bundesverwaltungsgericht vor, beantragte die Abweisung der Beschwerde, verwies vollinhaltlich auf das bekämpfte Straferkenntnis und führte zur Bescheidbeschwerde im Wesentlichen aus, dass die Behörde nie behauptet habe, dass ein Kontaktformular keine Erleichterung darstelle. Es gehe um die für Betroffenen zwingende Kanalisierung der Eingaben über das bereitgestellte Kontaktformular, handle es sich bei Art. 12 Abs. 2 iVm § 83 Abs. 5 DSGVO um eine ausreichend bestimmte Strafnorm und es seien auch die weiteren Darstellungen der Beschwerdeführerin nicht nachvollziehbar.

16. Mit ergänzender Stellungnahme vom 04.01.2022 regte die Behörde die Aussetzung des gegenständlichen Beschwerdeverfahrens an, da beim EuGH ein Vorabentscheidungsersuchen dazu anhängig sei, ob eine juristische Person unmittelbar Betroffene im Bußgeldverfahren wegen eines Verstoßes gegen Art. 83 DSGVO sein könne.

17. Mit ergänzender Stellungnahme vom 20.07.2022 führte die Behörde zum Verschulden der Beschwerdeführerin zusammengefasst aus, dass ein Verbotsirrtum in jeder Hinsicht ausgeschlossen sei. Diese habe entgegen der eindeutigen Empfehlung der konsultierten Experten für Datenschutzschulungen eine Einschränkung bei der Ausübung von Betroffenenrechten vorgenommen. Der Eingabe waren Schulungsunterlagen der Beschwerdeführerin angeschlossen.

18. Mit Beschluss des Bundesverwaltungsgerichtes vom 12.10.2022 wurde das Verfahren hinsichtlich des beim EuGH anhängigen Verfahrens zu C-807/21 ausgesetzt.

Mit Beschluss des Geschäftsverteilungsausschusses des Bundesverwaltungsgerichts vom 30.08.2023 wurde das gegenständliche Verfahren der Gerichtsabteilung W137 neu zugewiesen.

19. Mit Urteil vom 05.12.2023 erging die Entscheidung des EuGH in der Rechtssache C-807/21. Dieser führte soweit verfahrensrelevant aus, dass Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 DSGVO dahin auszulegen seien, dass sie einer nationalen Regelung entgegenstünden, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden könne, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet worden sei. Art. 83 DSGVO sei dahin auszulegen, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden dürfe, wenn nachgewiesen sei, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen sei, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen habe.

20. Mit Stellungnahme vom 12.01.2024 führte die Datenschutzbehörde im Wesentlichen aus, dass das Vorbringen der Beschwerdeführerin - soweit es sich auf die Zurechnungen einer schuldhaft handelnden Person beziehe - ins Leere ginge. Für die Bemessung des Strafrahmens sei auf den wettbewerbsrechtlichen Begriff der wirtschaftlichen Einheit abzustellen, bei einer systematischen Verletzung von Betroffenenrechten von einem hohen Schweregrad auszugehen und von einem Verschulden in der Form der Fahrlässigkeit auszugehen. Es komme in diesem Zusammenhang nicht auf § 5 VStG an, da Art. 83 DSGVO nach der Rechtsprechung des EuGH den Straftatbestand abschließend regle.

21. Mit Stellungnahme vom 12.01.2024 und 15.01.2024 führte die Beschwerdeführerin im Wesentlichen aus, dass der Spruch des Straferkenntnisses keine eindeutige Aussage zum Verschuldensgrad enthalte, ein entschuldbarer Verbotsirrtum vorliege, es sich bei Art. 12 Abs. 2 DSGVO um eine unbestimmte Norm handle und die Behörde eine wahllose Beurteilung bezüglich der relevanten Onlinewerkzeuge (Kontaktformular) vornehme.

22. Am 26.01.2024, 02.02.2024 und 23.02.2024 fand am Bundesverwaltungsgericht eine mündliche Beschwerdeverhandlung statt, in welcher die Parteien die Gelegenheit hatten ihren Standpunkt zu erörtern, Zeugenbefragungen stattfanden und die verfahrensgegenständlichen Rechtsfragen diskutiert wurden. Mit Stellungnahme vom 30.01.2024 replizierte die Beschwerdeführerin auf das Vorbringen der Behörde in der mündlichen Verhandlung vom 26.01.2024, legte ein IT-Gutachten zum Kontaktformular vor und führte soweit verfahrensrelevant aus, dass das Erleichterungsgebot keine Strafnorm darstellen könne und die Auferlegung eines Kostenbeitrags in Millionenhöhe dem Verhältnismäßigkeitsgebot nicht entsprechen würde. Mit verfahrensleitenden Beschlüssen wurden Anträge auf weitere Zeugeneinvernahmen sowie auf die Einholung eines Gutachtens abgewiesen. Im Anschluss an den letzten Verhandlungstermin verkündete der erkennende Senat die Entscheidung samt den wesentlichen Entscheidungsgründen.

23. Mit (nicht bloß verfahrensleitendem) Beschluss vom 26.02.2024 berichtigte das Bundesverwaltungsgericht einen Schreibfehler in der Protokollierung der mündlich verkündeten Entscheidung im Verhandlungsprotokoll vom 23.02.2024; diese Berichtigung wurde von den Parteien nicht bekämpft.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

1.1. Hintergrund des gegenständlichen Verfahrens ist die Tätigkeit der Beschwerdeführerin (einer juristischen Person) als Adressverlag und die damit in Verbindung stehende Zuordnung von Personen-/Adressdaten in spezifische Sinus-Geo-Milieus. In diesem Zusammenhang langten ab 07.01.2019 binnen weniger Tage mehrere tausend Datenschutzanfragen im Postfach XXXX ein. Insgesamt langten von 07.01.2019 bis 30.06.2019 33.290 Anfragen Betroffener ein, wobei 32.590 elektronisch gestellt wurden. Im Juli 2019 erfolgten nur noch 18 Datenschutz-Anfragen.

1.2. Zum Zeitpunkt des 07.01.2019 bot die Beschwerdeführerin auf ihrer Homepage folgende Kontaktmöglichkeiten (auch für Datenschutzangelegenheiten) an:

- Briefverkehr

- E-Mail-Postfach XXXX

- Kundenservice-Kontaktformular (online) mit Freitextfeld

1.3. Eine spezifische Kontaktmöglichkeit für Datenschutzangelegenheiten war – ungeachtet der zusätzlichen Tätigkeit als Adressverlag (mit umfassender Kundenkategorisierung) und somit einer Materie, die datenschutzrechtliche Anfragen in deutlich höherem Ausmaß wahrscheinlich macht, als die Kerntätigkeit der Beschwerdeführerin – nicht vorgesehen.

1.4. Das Postfach XXXX (im MS Outlook-System) war zum Zeitpunkt des 07.01.2019 zwar vorhanden, aber nur für einschlägige Kontakte etwa mit der Behörde oder (erst) den weiterführenden Kontakt mit den Betroffenen bei datenschutzrechtlichen Anfragen vorgesehen. Dieses Postfach wurde allerdings von Dritten unmittelbar vor und nach dem 07.01.2019 im Zusammenhang mit Anfragen betreffend die Sinus-Geo-Milieus medial explizit kommuniziert, wobei gleichzeitig zur Stellung entsprechender Anfragen aufgerufen wurde. Systemisch war das Postfach XXXX für ein derartiges Kommunikationsvolumen und die strukturierte Abarbeitung einschlägiger Anträge nicht vorgesehen bzw. (bei Wahrung einer strukturierten und gesicherten Bearbeitung) effektiv nicht geeignet. Bis 30.06.2019 langten über diesen Kanal mehr als 30.000 Anfragen ein.

1.5. Am 17.07.2019 wurde das Postfach XXXX mit einer Auto-Reply versehen, die auf die Nutzung des ebenfalls am 17.07.2019 installierten Datenschutz-Kontaktformulars verwies. Dieses sah zunächst nur drei Betroffenenrechte konkret (und darüber hinaus ein Freitextfeld) vor. Die Implementierung des Datenschutz-Kontaktformulars erfolgte in der grundsätzlichen Absicht, den betroffenen Personen die Ausübung ihrer Rechte gemäß der DSGVO zu erleichtern und die strukturierte Bearbeitung der Anfragen zu erleichtern.

1.6. Das ab 17.07.2019 eingerichtete Kontaktformular ermöglichte die elektronische Antragstellung von drei spezifischen Betroffenenrechten (Auskunft, Widerspruch und Löschung der Daten für Marketingzwecke Dritter). Am Ende des Kontaktformulars befand sich ein Hinweis auf die Datenschutzhinweise der Beschwerdeführerin unter XXXX (Startseite bzw. „landing page“ sowie Information zu Kontaktmöglichkeiten).

Wenn ein Betroffener eines dieser drei Betroffenenrechte („Auskunft, Widerspruch, Löschung der Daten für Marketingzwecke Dritter“) statt über das hierfür vorgegebene Kontaktformular über die E-Mail-Adresse des Postkundenservice ( XXXX – im Folgenden) geltend machte, wurde dieser ausdrücklich auf die ausschließliche Nutzung des Kontaktformulars verwiesen.

1.7. Ab dem 17.07.2019 wurden neue Eingänge betroffener Personen, welche am E-Mail-Postfach XXXX einlangten nicht mehr bearbeitet. Bereits zuvor eingegangene Anfragen (vor dem 17.07.2019) von Betroffenen, die sich bereits ausreichend identifiziert hatten, wurden auch nach Implementierung des Kontaktformulars und Umstellung des Postfaches bearbeitet. Alle restlichen offenen Anfragen, bei denen es sich um nicht vollständige Anfragen bzw. nicht ausreichend identifizierte Anfragen handelte, wurden nicht weiterbearbeitet.

Der Vorschlag zum Einsatz des gegenständlichen Kontaktformulars wurde sowohl mit internen als auch externen Beratern besprochen. Es gibt keine Belege, dass die eingeholten Rechtsauskünfte der externen Berater (Rechtsanwälte) auf Grundlage vollständiger Sachverhaltsinformationen erteilt wurden und welche konkrete Auskunft diesen gegeben wurde. Die Beratung erfolgte mündlich und wurde zum Einsatz des Kontaktformulars kein Rechtsgutachten eingeholt.

1.8. Das Postfach XXXX wurde nicht ausschließlich für datenschutzrechtliche Angelegenheiten, sondern für sämtliche (allgemeine) Belange der Beschwerdeführerin verwendet bzw. zur Verfügung gestellt.

1.9. Am 31.01.2020 wurde das Postfach XXXX aus den Datenschutzhinweisen (Punkt 8. Kontakt) entfernt, sodass dort lediglich der Link zum Datenschutzformular und die Postadresse der Beschwerdeführerin aufschienen. Aufgrund der Abschaltung am 14.12.2020 wurde das Postfach XXXX deaktiviert. Ab diesem Zeitpunkt bestand für die Betroffenen im Rahmen der elektronischen Kommunikation ausschließlich die Möglichkeit das Datenschutz-Kontaktformular (für die drei spezifischen Betroffenenrechte) oder das Allgemeine-Kundenservice-Kontaktformular (für die restlichen Betroffenenrechte) zu verwenden.

1.10. Das Datenschutz-Kontaktformular für Betroffene wurde mehrmals aktualisiert. Die erste Änderung erfolgte Mitte Juli 2020 und wurde durch die Aufforderung zur Rechtfertigung vom 26.06.2020 initiiert. Die Beschwerdeführerin fügte am Ende des Formulars detaillierte Informationen zur Ausübung der Betroffenenrechte ein und ersetzte dadurch den pauschalen Hinweis auf die Datenschutzhinweise. Zudem wurde ab diesem Zeitpunkt auf das Kontaktformular für Datenschutz und jenes für sonstige Anfragen hingewiesen.

1.11. Als Identitätsnachweis akzeptierte die Beschwerdeführerin anfangs offiziell ausschließlich die Kopie eines Lichtbildausweises beziehungsweise wurde nur diese Identifizierungsform öffentlich bekannt gemacht. Aufgrund zahlreicher anderer von Betroffenen vorgebrachten Identifikationsmittel, wurden tatsächlich auch diese zugelassen und es wurde den zuständigen Sachbearbeitern im Rahmen eines Leitfadens eine Anweisung erteilt, welche Identifikationsmittel ungeachtet der öffentlichen Verlautbarung akzeptiert werden bzw. als solche zugelassen sind. Die Identifikation mittels digitaler Signatur wurde bereits vor der Implementierung des Datenschutz-Kontaktformulars am 17.07.2019 zugelassen bzw. akzeptiert, wenn vom Betroffenen zusätzlich das Geburtsdatum angegeben wurde. Für die Abfrage in den Datenbanken der Beschuldigten zur eindeutigen Identifikation war die Bekanntgabe folgender Daten erforderlich: Name, Anschrift und Geburtsdatum.

Mit September 2020 wurde die offizielle Möglichkeit für Betroffene implementiert, sich per digitaler Signatur (Handysignatur) zu identifizieren (zusätzlich zur Möglichkeit, sich mit einem Lichtbildausweis zu identifizieren). Es war jedoch im gesamten Tatzeitraum und auch bereits vor der Implementierung des Kontaktformulars gängige (interne) Praxis der Beschuldigten, dass Betroffene sich mit einer digitalen Signatur identifizieren können. Ab Jänner 2021 erfasst das Datenschutz-Kontaktformular alle Betroffenenrechte, indem die beide aktiven Kontaktformulare fusioniert wurden.

1.12. Die Beschwerdeführerin hat grundsätzlich alle mehr als 30.000 einschlägigen Anfragen binnen weniger Monate bearbeitet, dabei kam es lediglich in einer niedrigen zweistelligen Zahl an Verfahren zu Komplikationen beziehungsweise Fehlern.

1.13. Der Konzern-Umsatzerlös der Beschwerdeführerin für das Jahr 2020 beträgt EUR 2,1892 Milliarden.

2. Beweiswürdigung:

2.1. Die Feststellungen zu 1.1. ergeben sich aus den Rechtfertigungen der Beschwerdeführerin vom 04.09.2020 und 15.02.2021, der Niederschriften über die Vernehmungen der verantwortlichen Beauftragten durch die Datenschutzbehörde und den Aussagen der Beschwerdeführerin in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht am 26.01.2024 und 02.02.2024. Die Zahlen in Bezug auf die eingegangenen Betroffenenanfragen ergeben sich aus der von der Beschwerdeführerin vorgelegten Grafik im Zuge der Rechtfertigung vom 04.09.2020 und deren Bekräftigung in der mündlichen Verhandlung vom 02.02.2024.

2.2. Die Feststellungen zu 1.2. ergeben sich aus dem Vorbringen der Beschwerdeführerin im Laufe des Verwaltungsstrafverfahren vor der Behörde (insbesondere im Rahmen ihrer Rechtfertigung vom 04.09.2020), der Beschwerde vom 25.10.2021 und deren Bekräftigung durch das Vorbringen in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht am 26.01.2024 und 02.02.2024.

2.3. Die Feststellung zum Fehlen eines explizit für Datenschutzangelegenheiten vorgesehenen Kanals (1.3.), trotz der zusätzlichen Tätigkeit als Adressverlag, gründet auf dem eigenen Vorbringen der Beschwerdeführerin im Lauf des Verfahrens und der dadurch in Folge durchgeführten Implementierung eines Datenschutz-Kontaktformulars. Dies ergibt sich insbesondere aus den Rechtfertigungen während des Verwaltungsstrafverfahrens, dem Vorbringen der Beschwerdeführerin in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht am 02.02.2024 und der Beschwerde vom 25.10.2021.

2.4. Die Feststellungen betreffend 1.4. ergeben sich aus den Rechtfertigungen und Stellungnahmen der Beschwerdeführerin während des Verfahrens vor der Behörde, der Beschwerde vom 25.10.2021, dem Vorbringen der Beschwerdeführerin in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht am 02.02.2024 sowie der von der Beschwerdeführerin vorgelegten Grafik im Zuge der Rechtfertigung vom 04.09.2020. Auch die Beschwerdeführerin hielt ausdrücklich fest, dass MS Outlook für die gesicherte und strukturierte Abarbeitung eines solchen Eingangs schlicht nicht geeignet ist.

2.5. Die Feststellungen unter 1.5. ergeben sich aus dem Vorbingen der Beschwerdeführerin während des Verwaltungsstrafverfahrens vor der Behörde (insbesondere der Niederschrift zur Zeugeneinvernahme vom 01.06.2021 und 30.06.2021 sowie den im Zuge der Stellungnahme vom 26.07.2021 vorgelegten Datenschutzhinweisen vom 30.10.2019), der Beschwerde vom 25.10.2021 und dem gleichlautenden Vorbringen der Beschwerdeführerin in der mündlichen Verhandlung vom 02.02.2024.

2.6. Die getroffenen Feststellungen zum Datenschutz-Kontaktformular (1.6.) beruhen auf den Stellungnahmen der Beschwerdeführerin vom 26.07.2021 und 30.06.2021 der Niederschrift zur Zeugeneinvernahme/Beschuldigteneinvernahme vom 12.08.2021 und 30.06.2021, dem im Verwaltungsakt aufliegenden PDF Ausdruck des Datenschutz-Kontaktformulars, der Beschwerde vom 25.10.2021 und dem Vorbringen der Beschwerdeführerin in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht am 02.02.2024.

Die getroffenen Feststellungen zum Umgang mit Anfragen über die E-Mailadresse XXXX nach Implementierung des Datenschutz-Kontaktformulars ergeben sich aus der Niederschrift zur Zeugen-/Beschuldigteneinvernahme vom 12.08.2021 und 30.06.2021 sowie der Bestätigung dieser Praxis durch die Beschwerdeführerin in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht am 02.02.2024.

2.7. Die getroffenen Feststellungen beruhen im Wesentlichen auf der Niederschrift über die Beschuldigtenvernehmung vom 30.06.2021 und der Niederschrift zur Zeugeneinvernahme vom 12.08.2021, der Beschwerde vom 25.10.2021 und dem Vorbringen der Beschwerdeführerin in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht am 02.02.2024.

Die getroffenen Feststellungen betreffend einen behaupteten Verbotsirrtum ergeben sich aus der Niederschrift über die Beschuldigtenvernehmung vom 30.06.2021, der Beschwerde vom 25.10.2021 und dem Vorbringen in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht am 26.01.2024, 02.02.2024 und 23.02.2024.

2.8. Die getroffenen Feststellungen zum Umgang mit Anfragen über die E-Mailadresse XXXX nach Implementierung des Datenschutz-Kontaktformulars ergeben sich erneut aus der Niederschrift zur Zeugen-/Beschuldigteneinvernahme vom 12.08.2021 und 30.06.2021 sowie der Bestätigung dieser Praxis durch die Beschwerdeführerin in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht am 02.02.2024.

2.9. Die Feststellungen zu 1.9. ergeben sich aus dem Verwaltungsakt der Behörde (insbesondere der Stellungnahme der Beschwerdeführerin vom 26.07.2021 und 30.06.2021, der Niederschrift zur Zeugeneinvernahme vom 12.08.2021 und 30.06.2021), der Beschwerde vom 25.10.2021 und dem Vorbringen der Beschwerdeführerin in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht am 02.02.2024 und 23.02.2024.

2.10. Die Feststellungen zu den Änderungen an den Kontaktformularen durch die Beschwerdeführerin im Lauf des Verfahrens ergeben sich aus der Niederschrift zur Zeugeneinvernahme vom 12.08.2021, der Niederschrift zur Beschuldigteneinvernahme vom 30.06.2021 und dem durch die Beschwerdeführerin im Zuge der schriftlichen Rechtfertigung vom 04.09.2020 vorgelegten (überarbeiteten/aktualisierten) Kontaktformular. Die Feststellung, dass die digitale Signatur bereits vor der Implementierung des Kontaktformulars als zulässiges Identifikationsmittel von der Beschwerdeführerin bei der Behandlung von Betroffenenanfragen gewertet wurde, wenn ein Geburtsdatum bekannt war, beruht auf der Niederschrift zur Zeugeneinvernahme vom 12.08.2021, der Beschwerde vom 25.10.2021 und dem glaubhaften Vorbringen der Beschwerdeführerin in der mündlichen Verhandlung am 02.02.2024.

2.11. Die Feststellungen zu 1.11. ergeben sich aus dem Verwaltungsakt der Behörde (insbesondere dem internen Leitfaden zu Identifikationsnachweisen bei der Abwicklung von Anfragen zu Betroffenenrechten, den Niederschriften zu den Zeugeneinvernahmen/Beschuldigteneinvernahmen vom 01.06.2021, 30.06.2021 und 12.08.2021), der Beschwerde vom 25.10.2021 und dem Vorbringen der Beschwerdeführerin in der mündlichen Verhandlung am 02.02.2024.

2.12. Die Feststellung zur (fast vollständigen) Abarbeitung aller Betroffenenanfragen ergibt sich aus dem Verwaltungsakt, insbesondere der Aufforderung zur Rechtfertigung durch die Behörde vom 21.12.2020, wobei seitens dieser bereits in dieser Aufforderung vermerkt wurde, dass die Beantwortung der Anfragen letztlich (im Verlauf des geführten Verfahrens) zu diesem Zeitpunkt bereits erfolgt war, der Beschwerde vom 25.10.2021 und dem Vorbringen der Beschwerdeführerin in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht am 02.02.2024 und 23.02.2024.

2.13. Die Feststellung zum Konzernumsatz ergibt sich aus dem Konzernlagebericht der Beschwerdeführerin für das Geschäftsjahr 2020, welcher der Stellungnahme der Behörde vom 12.01.2024 beigefügt war.

3. Rechtliche Beurteilung:

3.1. Gemäß Art. 130 Abs. 1 Z 1 B-VG entscheiden die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit.

Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.

Gemäß § 27 Abs. 1 DSG entscheidet das Bundesverwaltungsgericht durch Senat über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 leg.cit. und der Entscheidungspflicht der Datenschutzbehörde. Gemäß § 27 Abs. 2 erster Satz DSG besteht der Senat aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer. Gegenständlich liegt somit Senatszuständigkeit vor.

Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I Nr. 33/2013, geregelt (§ 1 leg.cit.). Gemäß § 59 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.

Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.

Zu A) I.

3.1.1. Die maßgeblichen Bestimmungen der DSGVO lauten auszugsweise:

Artikel 5 - Grundsätze für die Verarbeitung personenbezogener Daten:

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Artikel 12 - Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person:

(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

(2) Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.

(…)

Artikel 83 - Allgemeine Bedingungen für die Verhängung von Geldbußen:

(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;

f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;

i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;

j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und

k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.

(…)

(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;

b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;

(…)

3.1.2. Die maßgeblichen Bestimmungen des Verwaltungsstrafgesetzes lauten auszugsweise:

§ 5. - Schuld:

(1) Wenn eine Verwaltungsvorschrift über das Verschulden nicht anderes bestimmt, genügt zur Strafbarkeit fahrlässiges Verhalten. Fahrlässigkeit ist bei Zuwiderhandeln gegen ein Verbot oder bei Nichtbefolgung eines Gebotes dann ohne weiteres anzunehmen, wenn zum Tatbestand einer Verwaltungsübertretung der Eintritt eines Schadens oder einer Gefahr nicht gehört und der Täter nicht glaubhaft macht, daß ihn an der Verletzung der Verwaltungsvorschrift kein Verschulden trifft.

(1a) Abs. 1 zweiter Satz gilt nicht, wenn die Verwaltungsübertretung mit einer Geldstrafe von über 50 000 Euro bedroht ist.

(2) Unkenntnis der Verwaltungsvorschrift, der der Täter zuwidergehandelt hat, entschuldigt nur dann, wenn sie erwiesenermaßen unverschuldet ist und der Täter das Unerlaubte seines Verhaltens ohne Kenntnis der Verwaltungsvorschrift nicht einsehen konnte.

§ 10. Strafen:

(1) Strafart und Strafsatz richten sich nach den Verwaltungsvorschriften, soweit in diesem Bundesgesetz nicht anderes bestimmt ist.

(2) Soweit für Verwaltungsübertretungen, insbesondere auch für die Übertretung ortspolizeilicher Vorschriften, keine besondere Strafe festgesetzt ist, werden sie mit Geldstrafe bis zu 218 Euro oder mit Freiheitsstrafe bis zu zwei Wochen bestraft.

§ 19. - Strafbemessung:

(1) Grundlage für die Bemessung der Strafe sind die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat.

(2) Im ordentlichen Verfahren (§§ 40 bis 46) sind überdies die nach dem Zweck der Strafdrohung in Betracht kommenden Erschwerungs- und Milderungsgründe, soweit sie nicht schon die Strafdrohung bestimmen, gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechtes sind die §§ 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens- und Vermögensverhältnisse und allfällige Sorgepflichten des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen.

§ 33a. - Beratung

(1) Stellt die Behörde eine Übertretung fest und sind die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat und das Verschulden des Beschuldigten gering, so hat ihn die Behörde, soweit die Verwaltungsvorschriften nicht anderes bestimmen, mit dem Ziel einer möglichst wirksamen Beendigung des strafbaren Verhaltens oder der strafbaren Tätigkeiten zu beraten und ihn schriftlich unter Angabe der festgestellten Sachverhalte aufzufordern, innerhalb einer angemessenen Frist den den Verwaltungsvorschriften und behördlichen Verfügungen entsprechenden Zustand herzustellen.

(2) Wird der schriftlichen Aufforderung innerhalb der von der Behörde festgelegten oder erstreckten Frist entsprochen, dann ist die weitere Verfolgung einer Person wegen jener Übertretungen, betreffend welche der den Rechtsvorschriften und behördlichen Verfügungen entsprechende Zustand hergestellt worden ist, unzulässig.

(3) Die Intensität der Beeinträchtigung des strafrechtlich geschützten Rechtsgutes ist jedenfalls nicht gering, wenn die Übertretung nachteilige Auswirkungen auf Personen oder Sachgüter bewirkt hat oder das Auftreten solcher Auswirkungen bei auch nur kurzem Andauern des strafbaren Verhaltens oder der strafbaren Tätigkeiten zu erwarten ist.

(4) Die Intensität der Beeinträchtigung des strafrechtlich geschützten Rechtsgutes gilt als gering, wenn geringfügige Abweichungen von technischen Maßen festgestellt wurden und keine der im Abs. 3 genannten Umstände vorliegen.

(5) Abs. 1 und 2 sind jedenfalls nicht anzuwenden auf

1. Übertretungen von Verwaltungsvorschriften, die zur Strafbarkeit vorsätzliches Verhalten erfordern;

2. Übertretungen, die innerhalb der letzten drei Jahre vor Feststellung der Übertretung bereits Gegenstand einer Beratung und schriftlichen Aufforderung durch die Behörde waren oder zu denen einschlägige noch nicht getilgte Verwaltungsstrafen bei der Behörde aufscheinen;

3. Übertretungen, die Anlass zu in den Verwaltungsvorschriften vorgesehenen einstweiligen Zwangs- und Sicherungsmaßnahmen geben;

4. Übertretungen, für welche die Verwaltungsvorschriften die Maßnahme der Entziehung von Berechtigungen vorsehen.

§ 64 - Kosten des Strafverfahrens:

(1) In jedem Straferkenntnis ist auszusprechen, daß der Bestrafte einen Beitrag zu den Kosten des Strafverfahrens zu leisten hat.

(2) Dieser Beitrag ist für das Verfahren erster Instanz mit 10% der verhängten Strafe, mindestens jedoch mit 10 Euro zu bemessen; bei Freiheitsstrafen ist zur Berechnung der Kosten ein Tag Freiheitsstrafe gleich 100 Euro anzurechnen. Der Kostenbeitrag fließt der Gebietskörperschaft zu, die den Aufwand der Behörde zu tragen hat.

(3) Sind im Zuge des Verwaltungsstrafverfahrens Barauslagen erwachsen (§ 76 AVG), so ist dem Bestraften der Ersatz dieser Auslagen aufzuerlegen, sofern sie nicht durch Verschulden einer anderen Person verursacht sind; der hienach zu ersetzende Betrag ist, wenn tunlich, im Erkenntnis (der Strafverfügung), sonst durch besonderen Bescheid ziffernmäßig festzusetzen. Dies gilt nicht für Gebühren, die dem Dolmetscher und Übersetzer zustehen, der dem Beschuldigten beigestellt wurde.

(4) Von der Eintreibung der Kostenbeiträge (Abs. 1 und § 54d) und der Barauslagen ist abzusehen, wenn mit Grund angenommen werden darf, daß sie erfolglos wäre.

(5) Die §§ 14 und 54b Abs. 1, 1a und 1b sind sinngemäß anzuwenden.

(6) Wird einem Antrag des Bestraften auf Wiederaufnahme des Strafverfahrens nicht stattgegeben, so gelten hinsichtlich der Verpflichtung zur Tragung der Verfahrenskosten sinngemäß die vorhergehenden Bestimmungen.

3.2. Anwendung der Rechtsgrundlage auf den konkreten Fall:

3.2.1. Strafbarkeit einer juristischen Person und Verfolgungsverjährung:

Der EuGH führte zur Strafbarkeit der juristischen Person in der Rechtssache C-807/21 Folgendes aus:

„Insbesondere geht aus dem zehnten Erwägungsgrund der DSGVO hervor, dass deren Bestimmungen u. a. die Ziele haben, bei der Verarbeitung personenbezogener Daten unionsweit ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und zu diesem Zweck sicherzustellen, dass die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung solcher Daten unionsweit gleichmäßig und einheitlich angewendet werden. Es liefe diesem Zweck der DSGVO jedoch zuwider, den Mitgliedstaaten zu gestatten, einseitig und als erforderliche Voraussetzung für die Verhängung einer Geldbuße gemäß Art. 83 DSGVO gegen einen Verantwortlichen, der eine juristische Person ist, zu verlangen, dass der betreffende Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde oder ihr zuzurechnen ist. Außerdem könnte eine solche zusätzliche Anforderung letztlich unter Verstoß gegen Art. 83 Abs. 1 DSGVO die Wirksamkeit und die abschreckende Wirkung von Geldbußen schwächen, die gegen juristische Personen als Verantwortliche verhängt werden. Es ist mit Blick auf die Fragen des vorlegenden Gerichts festzustellen, dass der Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV ohne Bedeutung für die Frage ist, ob und unter welchen Voraussetzungen eine Geldbuße nach Art. 83 der DSGVO gegen einen Verantwortlichen verhängt werden kann, der eine juristische Person ist, da diese Frage in Art. 58 Abs. 2 und Art. 83 Abs. 1 bis 6 DSGVO abschließend geregelt ist. Nach alledem ist auf die erste Frage zu antworten, dass Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 DSGVO dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde. Insoweit ist zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und aufgrund dessen mit einer Geldbuße gemäß Art. 83 DSGVO geahndet werden kann, noch klarzustellen, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt. Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist zudem klarzustellen, dass die Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt. Nach alledem ist auf die zweite Frage zu antworten, dass Art. 83 DSGVO dahin auszulegen ist, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.“ (EuGH 05.12.2023, (Deutsche Wohnen SE) C-807/21)

Daraus folgt, dass eine juristische Person Beschuldigte in einem Verwaltungsstrafverfahren sein kann, ohne dass die Datenschutzverletzung zuvor einer natürlichen Person aus dem Kreis des Unternehmens zuzurechnen ist (§ 9 VStG, § 30 DSG). Die Übertragbarkeit der Entscheidung zur deutschen auf die österreichische Rechtslage bekräftigte der VwGH mit seinem Erkenntnis vom 01.02.2024, Ra 2020/04/0187. Dieser ging somit von seiner ständigen Rechtsprechung zur Strafbarkeit von juristischen Person im Verwaltungsstrafverfahren ab und ist alleine bzw. mit dem abschließenden Katalog des Art. 83 DSGVO eine Strafbarkeit herzustellen und die Strafbemessung durchzuführen, wobei zwingend ein Verschulden in der Form des Vorsatzes oder der Fahrlässigkeit gefordert wird. Dies bedeutet jedoch nicht, dass eine Handlung oder eine Kenntnis seitens des Leitungsorgans der juristischen Person vorausgesetzt wird. Die diesen Ausführungen widersprechenden nationalen Reglungen in § 9 VStG und § 30 DSG haben bei der Beurteilung des gegenständlichen Falles unangewendet zu bleiben. Die Behandlung des weiteren Vorbringens der Beschwerdeführerin zu diesem Themenkomplex (u.a. nach zwei Aufforderungen zur Rechtfertigung gerichtet an die BF, den Vorstand und die verantwortliche Beauftragte) konnte somit unterbleiben. Aus diesem Grund geht auch das im Laufe des Verfahrens geäußerte Vorbringen der Beschwerdeführerin hinsichtlich einer bereits (in mehreren Fällen) eingetreten Verfolgungsverjährung ins Leere.

3.2.2. Zur Datenverarbeitung, zum Erleichterungsgebot und der Behauptung der fehlenden Straf-/blankettausfüllenden Norm:

Der Grundsatz der Transparenz war in der DS-RL und im DSG 2000 nicht ausdrücklich erwähnt, aber implizit in Form der Bestimmungen zur Informationspflicht enthalten. In der DSGVO wird der Grundsatz der Transparenz durch Art 13 und 14 zur Informationspflicht sowie Art 12 zu den diesbezüglichen Modalitäten konkretisiert. Diesen Bestimmungen sowie den ErwGr 39 und 58 kann somit auch der Gehalt des Grundsatzes der Transparenz entnommen werden: Für die Betroffenen muss erkennbar sein, dass personenbezogene Daten verarbeitet werden, welche Daten verarbeitet werden, für welche Zwecke sie verarbeitet werden und durch wen sie verarbeitet werden (Identität des Verantwortlichen) und an wen sie ggf übermittelt werden. Darüber hinaus sollten die Betroffenen über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung informiert werden sowie über die Geltendmachung dieser Rechte. Diese Informationen müssen präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sein. Die Bedeutung der Transparenz der Verarbeitung und somit der Informationspflicht liegt insbesondere in ihrer Funktion als notwendige Voraussetzung für die Ausübung der Betroffenenrechte. (Hötzendorfer/Tschohl/Kastelitz in Knyrim, DatKomm Art 5 Rz 18, 19 DSGVO (Stand 7.5.2020, rdb.at))

Dass es sich bei der Verarbeitung von Daten zur Parteiaffinität und anderen Daten, wie z.B. Name oder Anschrift um eine Verarbeitung (vgl. Art. 4 Z 2 DSGVO) von personenbezogenen Daten im Anwendungsbereich des Art. 2 Abs. 1 DSGVO handelt, wurde nicht bestritten und steht auch für den erkennenden Senat nicht in Frage. Zudem steht die Beschwerdeführerin als Verantwortliche im Sinne des Art. 4 Z 7 DSGVO unstrittig fest. In diesem Zusammenhang haben die betroffenen Personen insbesondere das Recht, die sie betreffenden Verarbeitungen einer Rechtmäßigkeitsprüfung zu unterziehen und muss die Ausübung der Betroffenenrechte im Sinne der Art. 15-22 DSGVO gewährleistet werden.

Art. 12 DSGVO sieht als Grundsatz für die Art und Weise des Informationsaustausches für eine allfällige Verarbeitung personenbezogener Daten vor, dass alle Mitteilungen im Zusammenhang mit Art. 13, 14, 15-22 und 34 in präziser, transparenter, verständlicher und leicht zugänglicher Form, in einer klaren und einfachen Sprache, schriftlich, elektronisch oder mündlich zu übermitteln sind (siehe Abs. 1). Den Verantwortlichen trifft die Pflicht, die Ausübung der Betroffenenrechte gemäß den Artikeln 15 bis 22 zu erleichtern bzw. ist eine Weigerung nur zulässig, wenn dieser nicht in der Lage ist die betroffene Person zu identifizieren (siehe Abs. 2). Die Absätze 3 und 4 enthalten die in diesem Zusammenhang zu beachtenden Fristen. Die Erteilung der Informationen hat grundsätzlich unentgeltlich zu erfolgen (siehe Abs. 5) und ist das Verlangen eines Identitätsnachweises nur im Fall begründeter Zweifel zulässig (siehe Abs. 6). Die Absätze 7 und 8 regeln die Verwendung standardisierter Bildsymbole sowie die Befugnis der Kommission, konkretisierende Bestimmungen zu erlassen.

Dabei verlangt Art. 12 Abs. 2 erster Satz DSGVO die Erleichterung der Ausübung der Betroffenenrechte gemäß den (beschwerdegegenständlich relevanten) Artikeln 15 bis 22 DSGVO. Art. 12 Abs. 2 DSGVO stellt dabei einen Teil des durch Art. 5 Abs. 1 lit a DSGVO normierten Transparenzgrundsatzes dar. Gegenständlich liegt dem Rechtsmittelverfahren der Vorwurf zu Grunde, die Beschwerdeführerin habe durch die Umstellung der elektronischen Erreichbarkeit auf ein Kontaktformular mit zwingender Identifizierung per Lichtbildausweis und einer Begrenzung auf drei konkrete Betroffenenrechte (mit Freitextfeld), bei gleichzeitiger Einstellung des Kommunikationsweges der E-Mailadresse XXXX (und später einer weiteren E-Mailadresse XXXX ), den Betroffenen ihre Rechtsausübung im Sinne der Artikel 15 bis 22 DSGVO erschwert. Das Einlangen einer Vielzahl von Auskunftsersuchen gemäß Art. 15 DSGVO und die Ausübung einer Vielzahl an anderen Betroffenenrechten ist aktenkundig. Als Strafnorm kommt Art. 83 Abs. 5 lit b DSGVO in Betracht, welcher Verstöße gegen die Rechte der betroffenen Personen gemäß den Art. 12 bis 22 DSGVO mit einer Geldbuße ahndet. Dies schließt Art. 12 Abs. 2 erster Satz DSGVO mit ein. Bereits deshalb bestehen keine Bedenken an der Strafbarkeit eines Verhaltens gemäß Art. 83 Abs. 5 lit b DSGVO iVm Art. 12 Abs. 2 DSGVO.

Darüber hinaus ist im Lichte der relativ neuen Situation der Anwendbarkeit der Strafbestimmungen der DSGVO an dieser Stelle auf das monierte Erfordernis der ausreichenden Bestimmtheit der Strafbestimmungen einzugehen:

Der VfGH sprach im Kontext einer Blankettstrafnorm im Güterbeförderungsgesetz aus, dass „[d]er Verfassungsgerichtshof in ständiger Rechtsprechung (vgl. VfSlg. 12.947/1991 mit zahlreichen Judikaturverweisen) den gesetzestechnischen Vorgang der äußeren Trennung von Tatbild und Strafdrohung, wie er für Blankettstrafnormen kennzeichnend ist, als verfassungsrechtlich unbedenklich erachtet [hat]. Er hat es freilich auch bei Blankettstrafnormen als unerlässlich angesehen, dass der Tatbestand durch das Gesetz mit genügender Klarheit als Verbotsnorm und damit als strafbarer Tatbestand gekennzeichnet ist, dass ferner, wenn der strafbare Tatbestand im Zuwiderhandeln gegen eine Gebotsnorm besteht, der Unrechtsgehalt eines Unterlassens eindeutig erkennbar ist und dass schließlich der Tatbestand einer Blankettstrafnorm mit solcher Deutlichkeit gekennzeichnet sein muss, dass jedermann ihn als solchen zu verstehen vermag (VfSlg. 12.947/1991 mwN). Es darf also auf Grund von Blankettstrafnormen ein unerlaubtes und daher strafbares Verhalten überhaupt nur dann und insoweit angenommen werden, als vom Normadressaten die Abgrenzung des erlaubten vom unerlaubten Verhalten so eindeutig eingesehen werden kann, dass jeder berechtigte Zweifel des Normunterworfenen über den Inhalt seines pflichtgemäßen Verhaltens ausgeschlossen ist (VfSlg. 14.319/1995).“ (VfGH, VfSlg. 17479, 04.03.2005).

Gegenständlich geht der erkennende Senat davon aus, dass Art. 12 Abs. 2 erster Satz DSGVO das Erfordernis der ausreichenden Bestimmtheit dahingehend erfüllt, als dass das Erfordernis der Erleichterung der Ausübung von Betroffenenrechten (ErwGr 59), in direktem Bezug auf die Erreichbarkeit (Kommunikationskanäle) des Verantwortlichen zur Geltendmachung dieser, ausreichend klar geregelt wird.

Während anerkannt wird, dass Art. 12 Abs. 2 erster Satz DSGVO keine konkreten Maßnahmen zur Erleichterung der Ausübung von Betroffenenrechten explizit beinhaltet, ist daraus abzuleiten, dass keine weiteren Hürden für die Informationserteilung nach Art 13 und 14 aufgebaut werden dürfen und Mitteilungen nach Art 15–22 und 34 nach den gesetzlichen Voraussetzungen (vgl Art 15–22) durchgeführt werden müssen (z.B. fehlende oder eingeschränkte Erreichbarkeit, kostenintensive Kommunikation, ungenaue Kontaktadressen, inhaltliche oder sprachliche Voraussetzungen werden nicht beachtet). (Illibauer in Knyrim, DatKomm Art 12 DSGVO Rz 71 (Stand 1.12.2021, rdb.at))

Im Zusammenhang mit der Frage nach der ausreichenden Bestimmtheit der Strafbestimmungen hat der VfGH in der oben zitierten Entscheidung in Bezug auf das Güterbeförderungsgesetz darauf verwies, dass es sich bei den anwendbaren Bestimmungen um Vorschriften des Primärrechts oder um unmittelbar anwendbare Verordnungsbestimmungen handeln würde, und die Strafbestimmungen an die „Lenker_innen“ gerichtet gewesen seien, die als solche ohnehin verpflichtet seien, sich über die für ihre Berufsausübung geltenden innerstaatlichen und gemeinschaftsrechtlichen Vorschriften Kenntnis zu verschaffen (vgl. VfSlg. 17479/2005).

In diesem Sinne erscheint es daher unbedenklich, die hier normunterworfene Beschwerdeführerin darauf zu verweisen, dass sie dazu aufgerufen ist, sich mit der konkreten Ausgestaltung des Art. 12 Abs. 2 erster Satz DSGVO im Lichte ihrer zusätzlich und freiwillig aufgenommenen Tätigkeit (als Adressverlag) auseinanderzusetzen, welche nicht Bestandteil ihrer Kerntätigkeit ist und ein höheres Aufkommen an Personen, welche ihre Betroffenenrechte tatsächlich ausüben, erwarten lässt. Dies erfasst auch die Auseinandersetzung mit den bisher in Geltung gestandenen Regelungen (vgl. Art. 12 lit a DS-RL), der Spruchpraxis und die Evaluierung und Einschätzung der etablierten Kommunikationskanäle für die Ausübung von Betroffenenrechten. Entsprechend notwendige und ergänzende Maßnahmen hat die Beschwerdeführerin in geeigneter Form umzusetzen.

Art. 12 Abs. 2 DSGVO erweist sich demnach als hinreichend konkret, um die Grundlage einer Strafbestimmung darzustellen. Art. 12 Abs. 2 erster Satz DSGVO ist im vorliegenden Fall in Verbindung mit dem jeweils relevanten Betroffenenrecht der Folgebestimmungen zu lesen und im Übrigen einer Verhältnismäßigkeitsprüfung zu unterziehen.

3.3. Zum Schuldspruch gemäß Art. 83 Abs. 5 lit b DSGVO iVm Art. 12 Abs. 2 DSGVO:

3.3.1. Zum Vorliegen der Strafbarkeit (objektiver Tatbestand):

Die Bestimmung des Art. 12 Abs. 2 DSGVO normiert unter anderem, dass der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte erleichtert. Erwägungsgrund 59 lautet: „Es sollten Modalitäten festgelegt werden, die einer betroffenen Person die Ausübung der Rechte, die ihr nach dieser Verordnung zustehen, erleichtern, darunter auch Mechanismen, die dafür sorgen, dass sie unentgeltlich insbesondere Zugang zu personenbezogenen Daten und deren Berichtigung oder Löschung beantragen und gegebenenfalls erhalten oder von ihrem Widerspruchsrecht Gebrauch machen kann. So sollte der Verantwortliche auch dafür sorgen, dass Anträge elektronisch gestellt werden können, insbesondere wenn die personenbezogenen Daten elektronisch verarbeitet werden. Der Verantwortliche sollte verpflichtet werden, den Antrag der betroffenen Person unverzüglich, spätestens aber innerhalb eines Monats zu beantworten und gegebenenfalls zu begründen, warum er den Antrag ablehnt.“

Der Verantwortliche hat den von einer Datenverarbeitung betroffenen Personen die Ausübung ihrer Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch zu erleichtern (auch „Erleichterungsgrundsatz“ genannt). Damit ist gemeint, dass keine weiteren Hürden für die Informationserteilung nach Art 13 und 14 aufgebaut werden dürfen und Mitteilungen nach Art 15–22 und 34 nach den gesetzlichen Voraussetzungen (vgl Art 15–22) durchgeführt werden müssen (zB fehlende oder eingeschränkte Erreichbarkeit, kostenintensive Kommunikation, ungenaue Kontaktadressen, inhaltliche oder sprachliche Voraussetzungen werden nicht beachtet). Kann der Verantwortliche die betroffene Person nicht (mehr) identifizieren, weil die Identifikation für den Verarbeitungszweck nicht (mehr) notwendig ist, kann sich der Verantwortliche weigern, tätig zu werden. Betroffenenrechte können in diesem Fall naturgemäß nicht (mehr) ausgeübt werden, außer die betroffene Person stellt zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen. Der Verantwortliche muss in diesen Fällen selbst glaubhaft machen, nicht in der Lage zu sein, die betroffene Person zu identifizieren (Art 12 Abs. 2). (Illibauer in Knyrim, DatKomm Art 12 DSGVO Rz 71, 72 (Stand 1.12.2021, rdb.at))

Diese über ein bloßes Behinderungsverbot hinausgehende Pflicht unterstreicht die Bedeutung der Betroffenenrechte als wesentliche Voraussetzung für die informationelle Autonomie und nimmt die Verantwortlichen in die Pflicht, dem durch Beratung der betroffenen Personen, Bereitstellung von einfachen Informationsmöglichkeiten- und -kanälen sowie durch eine Erleichterung der Ausübung selbst Rechnung zu tragen (vgl. Dix in Simitis/Hornung/Spiecker, Datenschutzrecht, Art. 12 Rz 23).

Der Verantwortliche muss seine Kommunikation mit den Betroffenen so einrichten, dass deren Betroffenenrechte ohne übermäßigen Aufwand tatsächlich erfüllt werden können (vgl. Bäcker in Kühling/Buchner, Datenschutz-Grundverordnung-Kommentar, Art. 12 Rz 25 ff). „Es ist daher nicht statthaft, die Betroffenen zur Wahrnehmung ihrer Rechte auf bestimmte Kommunikationskanäle zu verweisen, insbesondere dann, wenn der Verantwortliche personalisierte Dienstleistungen anbietet“ (vgl. Leiter in Gantschacher/Jelinek/Schmidl/Spanberger, Kommentar zur Datenschutz-Grundverordnung, Art. 12 Rz 4, S. 159).

Die durch die Behörde vorgenommenen Subsumtion betreffend den festgestellten Sachverhalt unter den Tatbestand des Art. 12 Abs. 2 DSGVO erweist sich im Ergebnis als zutreffend.

So setzte die Beschwerdeführerin auf ihrer Webseite mit 17.07.2019 ein Datenschutz-Kontaktformular für die Behandlung von elektronischen Betroffenenanfragen ein, beschränkte dieses aber auf drei spezifische (die damals bedeutendsten) Betroffenenrechte. Betroffene, die ab diesen Zeitpunkt einen Antrag per E-Mail an das (weiterhin aktive) elektronische Postfach XXXX einbrachten bzw. einbringen wollten, wurden auf die ausschließliche Nutzung des Datenschutzkontaktformulars verwiesen. Ab 17.07.2019 wurden selbst Betroffene, die beispielsweise auf die letzte Aufforderung der Beschuldigten zur Vorlage einer Ausweiskopie reagierten, systematisch durch eine automatisierte Rückmeldung von der Beschuldigten darauf hingewiesen, nunmehr das Datenschutz-Kontaktformular zu verwenden.

Zudem informierte die Beschwerdeführerin (nach außen) weder in dieser Rückmeldung noch im Kontaktformular (mehrmals aktualisierte Datenschutzhinweise) die Betroffenen über die Möglichkeiten einer alternativen Einbringung. Letztendlich verwiesen alle verfügbaren elektronischen Kommunikationskanäle auf das neu eingeführte Kontaktformular. Erst wenn der Betroffene sich weigerte, das Kontaktformular zu verwenden, wurde seine Anfrage doch bearbeitet/weitergeleitet. Die Beschwerdeführerin erweckte bei den Betroffenen somit den Eindruck, dass sie für elektronische Anfragen ausschließlich das Datenschutz-Kontaktformular verwenden müssten. Die Einbringung mittels FAX oder Postweg war parallel dazu allerdings immer möglich.

Die Betroffenen hatten im Rahmen des gegenständlichen Kontaktformulars lediglich die Auswahl zwischen drei spezifischen Betroffenenrechten („Auskunft“, „Widerspruch“, „Löschung der Daten für Marketingzwecke Dritter“). Die restlichen Betroffenenrechte mussten die Betroffenen entweder über das „Serviceangebot – Sonstige Services“ unter XXXX (das Kontaktformular für sämtliche - auch nicht datenschutzrechtliche - Anliegen betreffend die Beschwerdeführerin) oder - zumindest bis zum 14.12.2020 - per E-Mail an XXXX geltend machen. Darüber hinaus bestand - wie im Kontaktformular angegeben - die alternative Möglichkeit, die sonstigen Rechte per Brief/Fax einzubringen. Im Datenschutz-Kontaktformular waren nur die am häufigsten beanspruchten Betroffenenrechte angeführt. Durch den Einsatz des gegenständlichen Kontaktformulars konnte somit bei den Betroffenen auch der - irreführende - Eindruck erweckt werden, dass diese im Rahmen des elektronischen Kanals durch die Nutzung des Datenschutz-Kontaktformulars nur die drei von der Beschwerdeführerin vorgegebenen Betroffenenrechte ausüben könnten.

Zudem wurden bis Juli 2020 die Betroffenen am Ende des Formulars lediglich pauschal auf die Datenschutzhinweise verwiesen. In den Datenschutzhinweisen wurde zwar die E-Mail-Adresse des Kundenservice als Kontaktmöglichkeit angeführt (bis 30.01.2020), jedoch wurden die Betroffenen weder im Kontaktformular noch in den Datenschutzhinweisen in einer transparenten Art und Weise darüber informiert, dass ihnen über die im Formular genannten Betroffenenrechte hinaus noch weitere Rechte zustehen und über welche Eingangskanäle diese einzubringen sind. Im Rahmen der Datenschutzhinweise befand sich zwar eine allgemeine Beschreibung aller Betroffenenrechte, jedoch wurden die Betroffenen in Folge für die elektronische Ausübung ihrer genannte Rechte auf das Kontaktformular verwiesen.

Die Betroffenen wurden im Rahmen des Datenschutz-Kontaktformulars systematisch vorab dazu aufgefordert, eine leserliche Kopie eines gültigen Lichtbildausweises ihrem Antrag anzuhängen, indem im Kontaktformular ein „Upload-Feld“ als Pflichtfeld implementiert wurde. Zudem musste der Betroffene sein Geburtsdatum und die Adresse verpflichtend angeben. Die Beschuldigte akzeptierte jedoch schon vor der Implementierung des Kontaktformulars im Rahmen der Behandlung von Betroffenenrechte eine Reihe an weiteren Identifikationsmitteln: insbesondere die digitale Signatur (wenn auch das Geburtsdatum bekannt war), einen Meldezettel oder wenn vom Betroffenen zumindest Folgendes angegeben wurde: Name, Adresse und Geburtsdatum. Somit war vor der Implementierung des Datenschutz-Kontaktformulars eine Vielzahl an Identifizierungsvarianten erlaubt, die mit dem Einsatz des Formulars am 17.07.2019 zunächst massiv beschränkt und danach zunächst inoffiziell und Zug um Zug wieder erweitert wurde.

Die Beschwerdeführerin gestaltete schließlich den elektronischen Eingangskanal für die Betroffenenrechte um, indem ab 14.12.2020 auch das E-Mail-Postfach für allfällige E-Mail-Anfragen den Betroffenen nicht mehr zur Verfügung gestellt wurde. Ab diesem Zeitpunkt hatten die Betroffenen im Rahmen des elektronischen Kanals lediglich die Wahl zwischen dem Datenschutz-Kontaktformular (für die Ausübung der drei spezifisch vorgegebenen Betroffenenrechte) oder das Allgemeine Kontaktformular (für die Ausübung anderer Betroffenenrechte).

Insgesamt erweisen sich die Informationen in der Datenschutzhinweisen (inklusive der mehrfachen Abänderungen) und die Möglichkeiten zur elektronischen Kontaktaufnahme in Datenschutzangelegenheiten durch diese Maßnahmen im relevanten Zeitraum als für die Betroffenen verwirrend und im Vergleich zum Vorzeitraum (vor Jänner 2019) als einschränkend. Daher ist es zutreffend, wenn die Behörde ausführt, dass die soeben dargestellte und festgestellte Vorgehensweise zum Zeitpunkt der Datenschutzverletzung gegen das Erleichterungsgebot verstoßen hat und in Folge den Straftatbestand des Art. 83 Abs. 5 lit b DSGVO erfüllt. Die Rechtsprechung des EuGHs zu C-807/21 ändert grundsätzlich nichts an dieser Einschätzung.

3.3.2. Zum Grad des Verschuldens (subjektiver Tatbestand):

Da die Behörde das Verschulden über die zurechenbaren natürlichen Personen (Vorstandsmitglieder und die verantwortliche Beauftragte) vornahm, war dieses neu zu beurteilen. Eine verschuldensunabhängige Haftung kommt nicht in Frage und ist stets Vorsatz oder Fahrlässigkeit eine zwingende Voraussetzung zur Erfüllung des Straftatbestandes des Art. 83 Abs. 5 lit b DSGVO.

Zudem ist darauf hinzuweisen, dass nach der neuen Rechtsprechung die Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens eines Leitungsorgans einer juristischen Person voraussetzt. Vielmehr ist objektiv zu beurteilen, ob der juristischen Person ein Verschulden an der erfolgten Datenschutzverletzung vorzuwerfen ist.

Unstrittig ist, dass das unter 3.3.1. dargelegte Vorgehen aufgrund unmittelbarer Anweisungen der verantwortlichen Beauftragten in ihrem – ihr vom Vorstand der Beschwerdeführerin eingeräumten – autonomen Zuständigkeits- und Entscheidungsbereich erfolgte. Ungeachtet der vorgenommenen Konsultationen und des im gesamten relevanten Zeitraum unbeschränkten Zugangs zu drei Kommunikationskanälen (Kontaktformular, FAX und Postweg), hat die Beschwerdeführerin die elektronischen Kommunikationsmöglichkeiten zwischenzeitlich im Außenauftritt (Website) so rigoros beschränkt, dass darin ein Verschulden im Sinne einer leichten Fahrlässigkeit feststellbar ist. Dies betrifft insbesondere den Zeitraum ab 31.01.2020 und verstärkt ab 14.12.2020, sowie die (offizielle) Beschränkung auf eine Identifikation per Lichtbildausweis.

Auslösend für diese Maßnahmen war die fehlende Vorsorge der Beschwerdeführerin für verstärkte datenschutzrechtliche Anfragen im Zusammenhang mit einem einschlägig sensiblen Geschäftsfeld abseits der Kerntätigkeit.

Das Bundesverwaltungsgericht schließt sich der Datenschutzbehörde insoweit an, als im gegenständlichen Fall der Tatvorwurf die Einschränkung der Wahrnehmung von Betroffenenrechten über einen längeren Zeitraum - ausgelöst von der Anfragewelle ab 07.01.2019 – beginnend mit der Beschränkung der elektronischen Kommunikationsmöglichkeiten ab 17.07.2019 darstellt. Da die Beschwerdeführerin – ebenfalls durch die verantwortliche Beauftragte – intern auch andere Identifikationsmöglichkeiten zugelassen hat und auch eine fortgesetzte Kommunikation mittels E-Mail durch Beharren der Kunden durchgehend durchgesetzt werden konnte, kann das Vorgehen der Beschwerdeführerin insgesamt in diesem Kontext jedoch nicht als „äußerst sorglos“ angesehen werden.

Die von der Beschwerdeführerin – konkret der verantwortlichen Beauftragten – gesetzten Maßnahmen waren intentional jedoch nicht vom Ziel einer Beeinträchtigung/Beschränkung von Betroffenenrechten getragen, sondern hatten die strukturierte und abgesicherte Bearbeitung von Anfragen im Rahmen der Unternehmensstruktur im Fokus. In diesem Zusammenhang erfolgte – leicht fahrlässig – eine zwischenzeitlich überschießende Einschränkung der elektronischen Kommunikationsmöglichkeit.

Das Etablieren eines elektronischen Kontaktformulars an sich und auch dessen besonders hervorgehobene Platzierung auf der Website ist jedenfalls nicht als problematisch anzusehen.

Ergänzend ist festzuhalten, dass die vor dem 17.07.2019 per E-Mail im Postfach XXXX eingelangten mehr als 32.000 Anfragen von der Beschwerdeführerin abgearbeitet wurden.

Der Behörde ist daher im Ergebnis nicht zu widersprechen, wenn sie das Vorliegen des subjektiven Tatbestands bejaht. Jedoch erweist sich das Vorgehen der Beschwerdeführerin aufgrund des oben Dargelegten lediglich als leichte Fahrlässigkeit.

3.3.3. Zum Verbotsirrtum:

Soweit die Beschwerdeführerin ein Verschulden bestreitet und dies insbesondere mit dem Vorliegen eines entschuldbaren Verbotsirrtums argumentiert, ist Folgendes auszuführen:

Dem Beschuldigten ist die Verbotsunkenntnis vorwerfbar, wenn er sich – trotz Veranlassung hierzu – über den Inhalt der einschlägigen Normen nicht näher informiert hat. Es besteht also insoweit eine Erkundungspflicht. Der VwGH bejaht eine solche Erkundungspflicht praktisch durchgehend, wenn die Existenz einschlägiger Regeln für die jeweilige Tätigkeit erkennbar ist. Unterlässt der Beschuldigte bei gebotener Informationspflicht derartige Erkundigungen, ist ein einschlägiger Verbotsirrtum vorwerfbar (stRsp., zB VwGH 10.2.1999, 98/09/0298). (Lewisch/Fister/Weilguni, VStG3, § 5 Rz 18).

In der vorliegenden Konstellation musste der Beschwerdeführerin bekannt sein, dass es einschlägige Datenschutzvorschriften gibt, umso mehr, als über die DSGVO bei deren Wirksamwerden im Jahre 2018 breit in der Öffentlichkeit informiert und diskutiert wurde, eine große Anzahl von medialen Beiträgen zu diesem Thema erschienen ist und die Beschwerdeführerin sich freiwillig entschlossen hat, neben ihrer Kerntätigkeit auch der Tätigkeit eines Adressverlags nachzugehen. Dies hätte eine intensive Auseinandersetzung mit den Fragen rund um die Betroffenenrechte und deren Abwicklung bzw. Geltendmachung, aufgrund der Sensibilität der Materie, erfordert.

Erhält der Täter bei seinen Erkundigungen eine inkorrekte Information und befolgt diese, so ist sein Irrtum entschuldigend, wenn er bei der Einholung dieser Information (Rechtsauskunft) sorgfaltsgemäß vorgegangen ist. Nach der Rsp des VwGH (VwSlg 14.020 A/1994) entschuldigt das Vertrauen auf die ständige höchstgerichtliche Rsp, die (mitgeteilte) Verwaltungspraxis der zuständigen Behörde sowie sonstige verlässliche Auskünfte sachkundiger Personen oder Institutionen auf Grundlage vollständiger Sachverhaltsinformation (dazu zuletzt VwGH 02.09.2015, Ra 2015/08/0073 und /0075; 10.01.2023, Ra 2022/06/0314). (Lewisch in Lewisch/Fister/Weilguni, VStG3 § 5 Rz 19-20 (Stand 1.7.2023, rdb.at))

Zu den Rechtsauskünften berufsmäßiger Parteienvertreter (z.B. von Rechtsanwälten oder auch Wirtschaftstreuhändern): Die entschuldigende Wirkung derartiger Auskünfte ist (oft nur) im Grundsatz anerkannt (schon VwGH 12.05.1931, 0740/29). Die Rechtsprechung ist letztlich im Ergebnis sehr restriktiv. Die Rsp verlangt – mit insoweit gutem Grund – dass sich auch eine solche Rechtsauskunft an der maßgeblichen Rechtsprechung der Höchstgerichte und gegebenenfalls an der Rechtsmeinung der zuständigen Behörde (VwSlg 11.744 A/1985) orientieren muss. Sie wird dem Umstand aber nicht gerecht, dass ein diesbezüglicher Fehler ein solcher des Parteienvertreters ist und gerade nicht des – sachkundigen Rat gerade erst einholenden – selbst nicht ausreichend sachkundigen Beschuldigten; diesem gegenüber begründet die inhaltliche Inkorrektheit der Auskunft keine Vorwerfbarkeit. Vorwerfbar ist das Vertrauen auf die Rechtsauskunft nur dann, wenn dem Beschuldigten das Spannungsverhältnis zu einer gegenteiligen Behördenauffassung (oder einer abweichenden E: VwGH 15. 9. 2022, Ra 2022/02/0141) bekannt ist oder sich unmittelbar aus dem Inhalt der Auskunft auch für den Nicht-Fachmann ersichtliche Zweifel ergeben (VwGH 22.02.2006, 2005/17/0195; 12.08.2014, 2013/10/0203); die diesbezüglichen Anforderungen dürfen aber nicht überspannt werden. Soweit ersichtlich fehlt Rechtsprechung zur Beurteilung des Rechtsrats durch einen Rechtsabteilungsmitarbeiter (In-house-counsel). Unter den vorgenannten Anforderungen – vollständige Sachverhaltsinformation, Orientierung an der maßgeblichen höchstgerichtlichen Rechtsprechung – wäre auch ein Vertrauen auf seine Beurteilung als entschuldigend zu veranschlagen. In concreto in Hinblick auf die Einschätzung eines neu eingestellten juristischen Mitarbeiters ohne materienspezifische Vorerfahrung allerdings ein Verschulden bejahend. (Lewisch in Lewisch/Fister/Weilguni, VStG3 § 5 Rz 21 (Stand 1.7.2023, rdb.at))

Aus dem Vorbringen der Beschwerdeführerin im Laufe des verwaltungsbehördlichen Verfahrens ist zu entnehmen, dass sie sich durch interne und externe Berater bzw. Rechtsanwälte ausschließlich mündlich beraten lies, welche die rechtliche Zulässigkeit des Vorgehens der Beschwerdeführerin durchgehend bejahten. Wie den rechtlichen Ausführungen zu entnehmen ist, ist das Vorliegen eines Verbotsirrtums sehr restriktiv zu beurteilen. Die Behörde ist zu bestätigen, wenn sie davon ausgeht, dass eine pauschale Behauptung hinsichtlich interner und externer Beratung ohne eine entsprechende Dokumentation bzw. Nachweisbarkeit nicht den strengen Anforderungen der VwGH-Judikatur genügt. Ein entschuldigender Verbotsirrtum kann auf dieser Basis weder auf das „In-house-counsel“ noch die externen Beratungen gestützt werden. Vielmehr brachte die Behörde in ihrer ergänzenden Stellungnahme vom 20.07.2022 den Aussagen der Beschwerdeführerin widersprechende Schulungsunterlangen vor (siehe auch Zeugeneinvernahme vor dem Bundesverwaltungsgericht am 02.02.2024). Diese wurden im Auftrag der Beschwerdeführerin für das Betroffenenrecht gemäß Art. 15 DSGVO durch eine externe Beraterin erstellt und regen eine Umleitung von Betroffenenanfragen ausschließlich für mündlich gestellte Begehren an. Diese enthielten auch den Hinweis, dass Anfragen Betroffener grundsätzlich auf jede Art und Weise gestellt und auf diesem Weg auch beantwortet werden sollten. Die Beschwerdeführerin musste somit zumindest Zweifel an den zuvor mündlich eingeholten Rechtsmeinungen haben, da sie entgegen dieser (tatsächlich dokumentierten) Beratung handelte.

Zudem ist evident, dass in der einschlägigen Literatur (z.B. Gantschacher/Jelinek/Schmidl/Spanberger, Kommentar zur Datenschutzgrundverordnung Art. 12 Rz 4) anderes vertreten wird. Somit kann davon ausgegangen werden, dass der Prozess der Einholung der Rechtsauskünfte nicht mit der notwendigen Sorgfalt durchgeführt wurde, obwohl die Beschwerdeführerin nicht die Intention hatte, die Rechte der Betroffenen zu schwächen.

Die Entschuldbarkeit kann auch nicht dadurch begründet werden, dass die Beschwerdeführerin aufgrund der hohen Zahl von Betroffenenanfragen nicht genügend Zeit für eine sorgfältige Recherche und Einholung von Rechtsauskünften hatte. Alleine aufgrund der Tätigkeit abseits des Kernbereichs – überdies in einer datenschutzrechtlich sensiblen Materie – hätte dieser Frage deutlich größere Aufmerksamkeit gewidmet werden müssen.

3.3.4. Zur Strafbemessung:

Der EuGH führte zur Bemessung der zu verhängenden Strafe gegen eine juristische Person, wegen eines unter Art. 83 DSGVO subsumierbaren Verstoßes in den Randziffern 56 bis 59 Folgendes aus:

„56 Dieser Unternehmensbegriff umfasst für die Zwecke der Anwendung der in den Art. 101 und 102 AEUV niedergelegten Wettbewerbsregeln jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Er bezeichnet somit eine wirtschaftliche Einheit, auch wenn diese aus rechtlicher Sicht aus mehreren natürlichen oder juristischen Personen besteht. Diese wirtschaftliche Einheit besteht in einer einheitlichen Organisation persönlicher, materieller und immaterieller Mittel, die dauerhaft einen bestimmten wirtschaftlichen Zweck verfolgt (Urteil vom 6. Oktober 2021, Sumal, C‑882/19, EU:C:2021:800, Rn. 41 und die dort angeführte Rechtsprechung).

57 So ergibt sich aus Art. 83 Abs. 4 bis 6 DSGVO, der die Berechnung der Geldbußen für die in diesen Absätzen aufgeführten Verstöße betrifft, dass, wenn der Adressat der Geldbuße ein Unternehmen im Sinne der Art. 101 und 102 AEUV ist oder einem solchen angehört, der Höchstbetrag für die Geldbuße auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des betreffenden Unternehmens berechnet wird.

58 Letztlich kann, wie der Generalanwalt in Nr. 47 seiner Schlussanträge ausgeführt hat, nur eine Geldbuße, deren Höhe anhand der tatsächlichen oder materiellen Leistungsfähigkeit des Adressaten von der Aufsichtsbehörde unter Zugrundelegung des Begriffs der wirtschaftlichen Einheit im Sinne der in Rn. 56 des vorliegenden Urteils angeführten Rechtsprechung festgesetzt wird, die drei in Art. 83 Abs. 1 DSGVO genannten Voraussetzungen erfüllen, sowohl wirksam und verhältnismäßig als auch abschreckend zu sein.

59 Daher ist eine Aufsichtsbehörde, wenn sie aufgrund ihrer Befugnisse nach Art. 58 Abs. 2 DSGVO beschließt, gegen einen Verantwortlichen, der ein Unternehmen im Sinne der Art. 101 und 102 AEUV ist oder einem solchen angehört, eine Geldbuße gemäß Art. 83 DSGVO zu verhängen, nach Art. 83 im Licht des 150. Erwägungsgrundes der DSGVO verpflichtet, bei der Berechnung der Geldbußen für die in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße den Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV zugrunde zu legen.“

Die Bemessungsgrundlage der Geldstrafe beträgt (entsprechend dem Konzern-Umsatzerlös 2020) EUR 2,1892 Milliarden und ist dem Grunde nach unstrittig. Die Behörde verwies mit Schreiben vom 12.01.2024 darauf, dass sie sich bei der konkreten Zahl im Rahmen des erstinstanzlichen Strafverfahrens „vergriffen“ und statt knapp 2,2 Milliarden Euro einen Umsatzsatzerlös von knapp 1,9 Milliarden herangezogen habe. Ein Konflikt mit dem auch im Verwaltungsstrafrecht relevanten Verschlechterungsverbot besteht aufgrund der unten noch ausführenden Strafbemessung jedoch nicht.

Wie oben bereits ausgeführt, ist es unionsrechtlich geboten, bei einem Verstoß gegen Art. 83 Abs. 4 bis 6 DSGVO, der die Geldbußen für die in diesen Absätzen aufgeführten Verstöße betrifft, den Höchstbetrag für die Geldbuße auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (EUR 2,1892 Milliarden) der betroffenen juristischen Person zu ermitteln. Wobei insbesondere bei der Beurteilung der Höhe der zu verhängenden Strafe auf die tatsächliche oder materielle Leistungsfähigkeit des Adressaten abzustellen ist; jedoch diese Strafe sowohl wirksam, verhältnismäßig als auch abschreckend sein muss.

Im vorliegenden Fall des Art. 12 Abs. 2 DSGVO bestimmt sich dieser nach Art. 83 Abs. 5 lit. b DSGVO. Der Strafrahmen reicht somit gemäß Art. 83 Abs. 5 DSGVO bis zu einem Betrag von EUR 20.000.000 oder im Fall eines Unternehmens bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.

Art. 83 Abs. 2 DSGVO sieht im Rahmen der Strafbemessung die folgende (im gegenständlichen Fall heranzuziehende) Kriterien vor:

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c) jegliche von dem Verantwortlichen getroffene Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

d) Grad der Verantwortung des Verantwortlichen unter Berücksichtigung der von ihm gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

e) etwaige einschlägige frühere Verstöße des Verantwortlichen;

f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche den Verstoß mitgeteilt hat;

(…)

k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Die Strafbemessung innerhalb eines gesetzlichen Strafrahmens ist eine Ermessensentscheidung, die nach den vom Gesetzgeber im § 19 VStG festgelegten Kriterien vorzunehmen ist (VwGH 05.09.2013, 2013/09/0106).

Grundlage für die Bemessung der Strafe sind die Bedeutung des strafrechtlich geschützten Rechtsguts und die Intensität seiner Beeinträchtigung durch die Tat (§ 19 Abs. 1 VStG). Überdies sind die in Betracht kommenden Erschwerungs- und Milderungsgründe gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechts sind die §§ 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens- und Vermögens-verhältnisse und allfällige Sorgepflichten des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen (§ 19 Abs. 2 VStG).

Die Bemessung der Strafe erfolgt auf Basis der Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO des Europäischen Datenschutzausschusses, Version 2.1; angenommen am 24. Mai 2023 (auch „Guidelines“ des EDPB) und unter Zugrundelegung des Schweregrads „leicht“. Auf dieser Basis war im Rahmen einer Abwägung die Höhe der Geldstrafe deutlich im unteren Bereich des Strafrahmens anzusetzen. Nach diesen ist bei Umsätzen über EUR 500 Millionen eine dynamische Spanne heranzuziehen, die bezüglich Art. 83 Abs. 5 bei 0% bis 0,4% liegen sollte. Das Beschwerdeverfahren lieferte keine Anhaltspunkte von dieser Berechnungsmethode abzugehen und wurden die herangezogenen Leitlinien den Parteien in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht zur Kenntnis gebracht.

Gemäß Art. 83 Abs. 2 lit a DSGVO ist wohl einerseits die Höhe des eingetretenen Schadens als auch die Zahl der vom Verstoß betroffenen Personen und die Auswirkungen bzw das Risiko für ihre Rechte und Freiheiten zu werten. Auch die zeitliche Komponente spielt eine Rolle. Nach der Artikel-29-Datenschutzgruppe spielt auch eine Rolle, ob überhaupt ein Schaden entstanden ist. (Illibauer in Knyrim, DatKomm Art 83 DSGVO Rz 68-69 (Stand 1.12.2021, rdb.at))

Als erschwerend konnte aufgrund des zugrundeliegenden Sachverhalts lediglich die Anzahl der Betroffenen gewertet werden. Durch den gegenständlichen Verstoß gegen Art. 12 Abs. 2 DSGVO behinderte die Beschuldigte eine hohe Anzahl von Betroffenen bei der Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO. Vor allem die Betroffenen, die bereits vor der Implementierung dieses Kontaktformulars eine nicht vollständige Anfrage per E-Mail in den Machtbereich der Beschuldigten einbrachten, wurden dazu aufgefordert einen neuen Antrag einzubringen. Dass die Beschwerdeführerin bei einer Weigerung der betroffenen Person das Anliegen trotzdem in Behandlung nahm, ändert an dem grundsätzlichen Vorgehen und seiner Problematik nichts, ist aber im Rahmen des Verschuldens und damit auch der Strafzumessung zu würdigen. Gleiches trifft auf die offizielle Vorgabe der ausschließlichen Identifikation mittels Lichtbildausweises zu, welche intern abweichend – betroffenenfreundlicher – gehandhabt wurde. Eine besondere Schwere ist nicht erkennbar, da insbesondere kein nennenswerter Schaden entstanden ist, es ist in diesem Zusammenhang erwiesen, dass bei einem kurzfristigen Aufkommen von über 30.000 Anfragen gemäß Art. 15-22 DSGVO nur bei wenigen Fällen (niederer zweistelliger Bereich) Probleme aufgetreten bzw. Fehler geschehen sind. Die Abarbeitung geschah im Rahmen einer eigens eingerichteten „Taskforce“ der Beschwerdeführerin, um jegliche negative Folgen für betroffene Personen abzuwenden. Damit im Zusammenhang steht auch das seriöse Krisenmanagement und das rasche Agieren der Beschwerdeführerin im Rahmen der erfolgten Datenschutzverletzung und konnte damit die Dauer des Verstoßes auf einen tatsächlichen Zeitraum von wenigen Monaten beschränkt werden. Die Beschwerdeführerin begann unmittelbar nach der ersten Aufforderung zur Rechtfertigung mit der Korrektur der vorgeworfenen Datenschutzverletzung.

Der Beschwerdeführerin kann (wie oben bereits erörtert) als Verantwortliche der verfahrensgegenständlichen Datenverarbeitungen nur eine „leichte Fahrlässigkeit“ hinsichtlich der Verletzung der Erleichterung der Betroffenenrechte gemäß Art. 12 Abs. 2 DSGVO nachgewiesen werden. Grob fahrlässige Verstöße der Verantwortlichen sind ebenso wenig ersichtlich wie ein Verhalten der Beschwerdeführerin beziehungsweise von der Verantwortlichen gesetzte Maßnahmen im relevanten Zeitrahmen, die als „äußerst sorglos“ anzusehen wären. Die Beschwerdeführerin konnte glaubhaft darlegen, dass ihr Vorgehen intentional vom Wunsch nach Absicherung der Bearbeitung der Betroffenenanfragen getragen war und es erfolgten auch immer wieder (während des erstinstanzlichen Verwaltungsstrafverfahrens) korrigierende Maßnahmen.

Zusätzlich ist strafmildernd zu berücksichtigen, dass keine einschlägigen früheren Verstöße gegen die hier relevanten Bestimmungen der DSGVO aufscheinen. Der Vollständigkeit halber sei an dieser Stelle angemerkt, dass sich die Beschwerdeführerin zwar bereits mit anderen Verwaltungsstrafverfahren im Kontext der DSGVO konfrontiert sah und sieht, diese aber keine Einschlägigkeit zu den hier in Rede stehenden Verstößen aufweisen.

Dazu kommt, dass die Beschwerdeführerin im Rahmen des Ermittlungsverfahrens vor der Datenschutzbehörde und dem Bundesverwaltungsgericht kooperativ mitgewirkt und (insbesondere durch die verantwortliche Beauftragte) einen wesentlichen Beitrag zur Wahrheitsfindung geleistet hat. Hervorzuheben ist auch, dass die im angefochtenen Straferkenntnis angeführten Milderungsgründe (Seite 51f) in der Beschwerdeverhandlung erneut deutlich zu Tage getreten sind.

Ungeachtet dessen sind aufgrund der wirtschaftlichen Größe der Beschwerdeführerin und der mangelhaften Vorbereitung im Zusammenhang mit einem datenschutzrechtlich besonders sensiblen Geschäftsfeld (abseits der Kerntätigkeit) generalpräventive Erwägungen bei der Strafbemessung jedenfalls zu berücksichtigen. Schon aus diesen Überlegungen war der Verzicht auf eine Strafe jedenfalls ausgeschlossen.

In einer Zusammenschau erweist sich die mit der gegenständlichen Entscheidung festgesetzte Strafhöhe im untersten Bereich des Strafrahmens einerseits als schuldangemessen aber auch als hinreichend abschreckend für die Beschwerdeführerin, die bereits während des laufenden Beschwerdeverfahrens Nachbesserungen vorgenommen und die Konsultationen mit der Behörde intensiviert hat.

3.4. Zum sonstigen Beschwerdevorbringen:

3.4.1. Erstmalige Aufforderung zur Rechtfertigung und Bestimmtheit des Spruchs des Straferkenntnisses:

§ 42 Abs. 1 Z 1 VStG verlangt, die deutliche Bezeichnung der dem Beschuldigten zur Last gelegten Tat sowie die in Betracht kommende Verwaltungsvorschrift.

Die Umschreibung der Tat muss so deutlich sein, dass der Beschuldigte in der Lage ist, auf den konkreten Tatvorwurf bezogene Beweise anzubieten (Walter/​Thienel II2 § 42 Anm 2). Keine (genügende) Aufforderung ist etwa die bloße Verständigung vom Einlangen bestimmter Aktenstücke, verbunden mit der Einräumung der Gelegenheit zur Stellungnahme (VwGH 27.5.1988, 88/18/0015). Gegenstand des Verwaltungsstrafverfahrens kann nur die in der Aufforderung bezeichnete Tat sein (Walter/​Thienel II2 § 42 Anm 2). (Fister in Lewisch/Fister/Weilguni, VStG3 § 42 Rz 4 (Stand 1.7.2023, rdb.at))

Die Behörde kam ihrer Verpflichtung (in der erstmaligen Aufforderung zur Rechtfertigung) dahingehend nach, dass sie die der Beschwerdeführerin vorgeworfene Tat hinreichend genau umschrieb und die korrespondierenden Rechtsgrundlagen nannte, so handelte es sich jedenfalls nicht um die bloße Vorlage von Aktenstücken verbunden mit einer Aufforderung zur Rechtfertigung. Auch handelte es sich bei der explizit genutzten Wortwahl der Behörde: „...die Ausübung von Betroffenenrechten durch die obligatorisch vorgesehene Nutzung eines Datenschutz-Anfrage-Formulars eingeschränkt wurde“ um einen Überbegriff, welcher jedenfalls auch die teilweise Einschränkung im Rahmen des elektronischen Kanals erfasst.

Die als erwiesen angenommene Tat ist der den Deliktstatbestand erfüllende Sachverhalt. Der Beschuldigte hat ein subjektives Recht, dass ihm die als erwiesen angenommene Tat richtig und vollständig vorgehalten wird (VwGH 8.8.2008, 2008/09/0042; 17.9.2014, 2011/17/0210; 24.4.2015, 2013/17/0400; 6.9.2016, Ra 2016/09/0049). Eine Strafe darf nur für jene Tat verhängt werden, auf die sich die – das Strafverfahren einleitende – erste Verfolgungshandlung (vgl § 32) bezogen hat (Mannlicher/​Quell II8 § 44a Anm 3; Walter/​Thienel II2 § 44a Anm 4; Schulev-Steindl6 Rz 624).

Das Tatverhalten muss im Spruch selbst (und nicht erst in der Bescheidbegründung) umschrieben sein. Die Umschreibung der als erwiesen angenommenen Tat hat sich am jeweils in Betracht kommenden Tatbild zu orientieren, die Frage ihrer Übereinstimmung mit den Erfordernissen des § 44a Z 1 VStG ist folglich in jedem konkreten Fall einzeln zu beurteilen (VwGH 17.9.2009, 2008/07/0067; 5.9.2013, 2013/09/0065; 18.5.2016, Ra 2015/17/0029) und daher idR auch nicht revisibel (VwGH 4.7.2016, Ra 2016/04/0053). Eine ausreichende Konkretisierung wird aber in aller Regel die Angabe von Tatort, Tatzeit sowie des wesentlichen Inhaltes des Tatgeschehens bedingen (VwGH 27.4.2011, 2010/08/0091; 20.11.2018, Ra 2017/02/0242; 26.6.2019, Ro 2018/03/0047), grundsätzlich aber nicht die Beweisergebnisse und auch nicht sämtliche für die Strafbemessung relevanten Umstände (VwGH 16.2.2023, Ra 2021/02/0170). (Fister in Lewisch/Fister/Weilguni, VStG3 § 44a Rz 3 (Stand 1.7.2023, rdb.at))

Entgegen dem Vorbringen der Beschwerdeführerin in ihrer Beschwerde betrifft der Spruch des Straferkenntnisses vom 28.09.2021 nicht ein verwaltungsstrafrechtliches Verhalten der Beschwerdeführerin in Bezug auf die Einführung bzw. Implementierung eines Kontaktformulars für drei spezifische Betroffenenrechte (mit Freitextfeld). Gegenstand des Straferkenntnisses der Behörde sind die dadurch gleichzeitig schrittweise erfolgten Einschränkungen des elektronischen Kommunikationskanals auf das genannte Kontaktformular und die Schaffung weiterer Hindernisse für Betroffene (siehe objektiver Tatbestand). Zudem stellte die Behörde den Tatort, Zeitraum und das Tatgeschehen hinreichend präzise fest.

3.4.2. Verfolgungshandlungen:

Ähnliches ist hinsichtlich des Vorbringens festzuhalten, dass die Behörde mehrere Verfolgungshandlungen gesetzt habe, im speziellen mehrere Aufforderungen zur Rechtfertigung. Wobei die erste Aufforderung ausschließlich die Beschwerdeführerin und die Zweite auch die Vorstandsmitglieder und die verantwortliche Beauftragte als Beschuldigte geführt habe. Dieses Vorgehen sei unzulässig und verstoße die Behörde gegen das Grundrecht auf ein faires Verfahren und § 25 VStG.

Soweit das Vorbringen Verfolgungshandlungen gegen Personen betrifft, welche der Beschwerdeführerin (zur Begründung eines Verschuldens) zugerechnet wurden, ist auf die Entscheidung des EuGH in der Rechtssache C-807/21 zu verweisen und dieses Vorbringen keiner weiteren Behandlung zu unterziehen.

Verfolgungshandlungen sind insbesondere die Strafverfügung (zB VwGH 18.3.1998, 96/09/0246), der Ladungsbescheid (zB VwGH 21.9.1988, 88/03/0042), ein fristgerecht abgefertigtes Rechtshilfeersuchen (zB VwGH 29.4.2011, 2008/09/0286), ein förmlicher Vorhalt des Ermittlungsergebnisses (zB VwGH 29.2.2012, 2008/10/0191), das Zurkenntnisbringen des Anzeigeninhalts mit der Aufforderung zur Abgabe einer Stellungnahme zur Rechtfertigung, wenn die Anzeige alle wesentlichen Tatbestandsmerkmale enthält (zB VwGH 18.10.2011, 2011/02/0281; 24.2.2014, 2012/17/0462), das Zurkenntnisbringen des Verwaltungsstrafaktes bei Gewährung des Parteiengehörs an den Beschuldigten (zB VwGH 19.7.2011, 2011/02/0097) und das Ersuchen der erstinstanzlichen Behörde, das ganze Beweisverfahren dem Beschuldigten zur Kenntnis zu bringen und eine Gegenäußerung aufzunehmen (zB VwGH 26.5.1993, 93/03/0037). (Weilguni in Lewisch/Fister/Weilguni, VStG3 § 32 Rz 22 (Stand 1.7.2023, rdb.at))

Die Behörde setzte daher u.a. mit ihren Zeugeneinvernahmen, den Parteiengehören, den Aufforderungen zur Rechtfertigung und Vorlageaufträgen unzählige Verfolgungshandlungen, zu welchen sie berechtigt und sogar gesetzlich verpflichtet ist, um im Rahmen des Grundsatzes der materiellen Wahrheit den entscheidungsrelevanten Sachverhalt zu erheben und Parteienrechte zu wahren.

3.4.3. Beraten statt Strafen - § 33a VStG – Weigerung durch die Datenschutzbehörde:

Gemäß § 33a VStG liegen keine der in Abs. 5 genannten Ausnahmen vor, welche eine Anwendbarkeit der Absätze 1 und 2 ausschließen. Die Anwendbarkeit des § 33a VStG setzt gemäß Abs. 1 voraus, dass die Behörde eine Übertretung feststellt und die Bedeutung des strafrechtlich geschützten Rechtsgutes, die Intensität der Beeinträchtigung sowie das Verschulden des Beschuldigten gering ist. Gemäß Abs. 3 ist die Intensität der Beeinträchtigung des strafrechtlich geschützten Rechtsgutes nicht gering, wenn die Übertretung nachteilige Auswirkungen auf Personen oder Sachgüter bewirkt hat oder das Auftreten solcher Auswirkungen bei auch nur kurzem Andauern des strafbaren Verhaltens oder der strafbaren Tätigkeiten zu erwarten ist.

Im gegenständlichen Fall schied eine Beratung gemäß § 33a VStG aus, da bereits die Bedeutung des strafrechtlich geschützten Rechtsgutes nicht als gering angesehen werden kann. Der VwGH führte in seiner Entscheidung vom 19.06.2018, Ra 2017/02/0102 hinsichtlich des Rechtsgutes der Aufrechterhaltung der öffentlichen Sicherheit im Straßenverkehr nach der StVO aus, dass die Bedeutung dieses Rechtsgutes nicht gering sei, weil § 99 Abs 3 lit a StVO einen Strafrahmen für Geldstrafen bis zu EURO 750,- vorsehe und die Wertigkeit des durch die verletzte Norm geschützten Rechtsgutes auch in der Höhe des gesetzlichen Strafrahmens zum Ausdruck kommt. Dies muss also beim Strafrahmen des § 83 Abs. 5 lit b DSGVO mit bis zu EURO 20.000.000 jedenfalls der Fall sein. Bereits deshalb hatte die Behörde nicht mit einer Beratung vorzugehen, sondern ein Verwaltungsstrafverfahren einzuleiten.

3.4.4. Keine anwendbare Rechtsprechung des BVwG zum Verweis auf Onlinewerkzeuge:

Die rechtliche Beurteilung der Behörde trifft zu, wenn sie davon ausgeht, dass das Verweisen der betroffenen Personen auf das Kontaktformular nicht von der vorgebrachten Rechtsprechung des BVwG (z.B. W101 2132039-1) erfasst wird. Die von der Beschwerdeführerin in ihrer Beschwerde zitierte Entscheidung befasst sich mit dem sicheren Fernzugang zu Nutzerdaten, welcher registrierten Kunden jederzeit den Zugriff auf ihre gesamten personenbezogenen Daten gewährleistet und diese eine Löschungen oder Berichtigungen unmittelbar durchführen können. Zudem ist Erwägungsgrund 63 im gegenständlichen Beschwerdeverfahren nicht einschlägig (Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde).

Ein solcher Bereich (bzw. ein Benutzerkonto) wurde von der Beschwerdeführerin für die Betroffenen unstrittig nicht eingerichtet, da sie während des gesamten Verfahrens argumentierte, das betroffene Personen ihre Rechte über das Datenschutz-Kontaktformular ausüben müssen. Alle Antworten und Handlungen wurden durch die Beschwerdeführerin selbst vorgenommen, ohne dass ein Betroffener einen direkten Zugang zu seinen personenbezogenen Daten hatte.

3.5. Kosten des Strafverfahrens:

Nach Neubemessung der Strafhöhe, war der gemäß § 64 Abs. 1 und 2 VStG auszusprechende Beitrag zu den Kosten des Strafverfahrens neu festzusetzen. Dieser beträgt 10% der verhängten Strafe, mindestens jedoch EUR 10 und war daher spruchgemäß mit EUR 50.000 zu bestimmen. Ein Beitrag zu den Kosten des verwaltungsgerichtlichen Verfahrens war nicht auszusprechen, da gemäß § 52 Abs. 8 VwGVG der Beschwerde (hinsichtlich der Strafhöhe) Folge gegeben wurde.

Die, durch die Beschwerdeführerin bestrittene, unions- und verfassungsgesetzliche Zulässigkeit des pauschalierten Kostenbeitrags stützt sich auf die Entscheidung des EuGH vom 14.10.2021, C-231/20. Jedoch steht eine nationale Regelung gerade nicht im Konflikt mit Art. 56 AEUV (Rz 58 der erwähnten EuGH-Entscheidung), wenn ein Beitrag zu den Kosten des Verfahrens in Höhe von 10% der verhängten Geldstrafen zu leisten ist, sofern dieser Beitrag im Hinblick auf die tatsächlichen Kosten eines solchen Verfahrens weder überhöht ist noch das in Art. 47 der Charta verankerte Recht auf Zugang zu den Gerichten verletzt. Für das Bundesverwaltungsgericht ergeben sich keine Hinweise darauf, dass auch nur eine der beiden Voraussetzungen nicht gegeben wäre. Der Kostenbeitrag in Höhe von EUR 50.000 steht nicht außer Verhältnis zu einem seit 26.06.2020 laufenden Verwaltungsstrafverfahren und ergibt sich dadurch für die Beschwerdeführerin (insbesondere auch kein wirtschaftliches) Hindernis, betreffend den Zugang zu einem Gericht. Der VfGH hielt zudem bereits mit seinem Erkenntnis vom 26.06.2018, G44/2018 fest, dass keine solche Bedenken im Zusammenhang mit den verfassungsgesetzlich gewährleisteten Rechten bestehen, insbesondere mit Blick auf Art. 6 EMRK.

3.6. Zur Aussetzung des Beschwerdeverfahrens:

Nach der ständigen Rechtsprechung des Verwaltungsgerichtshofes bildet die Frage, wie Unionsrecht auszulegen ist (vgl VwGH 20.2.2003, 2001/16/0518; 26. 6. 2003, 98/18/0334; 26.4.2011, 2011/03/0015), einschließlich der Frage, ob es unmittelbar anwendbar ist (VwGH 29.1.2003, 99/03/0151) und innerstaatliches Recht verdrängt (VwGH 4.3.1999, 98/16/0166; 31.1.2003, 2002/02/0158; 3.7.2003, 2000/15/0137), eine (solche) Vorfrage, weil sie zufolge des Auslegungsmonopols des EuGH in Angelegenheiten des primären und sekundären Unionsrechts von einem (diesem) Gericht zu entscheiden ist (so auch VwSlg 15.560 A/2001 und VwGH 28.10.2008, 2008/05/0129). Der VwGH sieht demnach sowohl die (Verwaltungs-)Behörden sowie die VwG (vgl VwGH 20. 11. 2018, Ra 2017/12/0072; 14. 1. 2020, Fr 2019/12/0042) als auch – in unzähligen Beschlüssen – sich selbst als berechtigt an, das Verfahren gemäß (§ 17 VwGVG oder § 62 Abs 1 VwGG iVm) § 38 letzter Satz AVG auszusetzen, wenn die betreffende (noch nicht entschiedene) Frage insbesondere auf Grund eines Vorabentscheidungsersuchens – etwa des VwGH selbst oder eines ordentlichen Gerichts oder eines Gerichts iSd Art 267 AEUV eines anderen Mitgliedstaats (vgl VwGH 20.2.2003, 2001/16/0518; 17.11.2004, 2002/14/0056; 10. 4. 2020, Ra 2017/09/0005) – in einem gleich gelagerten Fall bereits beim EuGH anhängig ist (vgl etwa auch VwGH 19.12.2000, 99/12/0286 mwN; 16.11.2016, Ra 2016/18/0172; 18.12.2020, Ra 2020/15/0059). (Hengstschläger/Leeb, AVG § 38 Rz 17, 18 (Stand 1.4.2021, rdb.at))

In diesem Zusammenhang ist auszuführen, dass die im Rahmen des Verwaltungsstrafverfahrens zu beachtenden Fristen (u.a. § 34 Abs. 1 VwGVG, § 43 Abs. 1 VwGVG) während des ausgesetzten Beschwerdeverfahrens bis zur Entscheidung des Europäischen Gerichtshofes in der Rechtssache C-807/21 gehemmt waren. Das Beschwerdeverfahren war demnach nicht einzustellen und ist das Straferkenntnis der Behörde nicht außer Kraft getreten. Da die Beschwerdeführerin die gegenständliche Beschwerde am 25.10.2021 rechtzeitig einbrachte, das Bundesverwaltungsgericht mit Beschluss vom 12.10.2022 das Verfahren gemäß §§ 17 VwGVG iVm 38 AVG bis zur Entscheidung des EuGH in der Rechtssache C-807/21 über das Ersuchen des Kammergerichts Berlin vom 06.12.2021, (ausschließlich) betreffend die Frage der Erlassung eines Straferkenntnisses in Bezug auf eine juristische Person, aussetzte und der Europäische Gerichtshof das vorgelegte Verfahren am 05.12.2023 mit Urteil entschieden hat, weshalb die Aussetzung damit ex lege beendet wurde, ist die Entscheidungsfrist für das Bundesverwaltungsgericht zum Entscheidungszeitpunkt offen gewesen.

Zu B) Zulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt und weil es an einer Rechtsprechung des Verwaltungsgerichtshofes fehlt. Dies betrifft die Fragen der Heranziehung des Erleichterungsgebots (Art. 12 DSGVO) als Grundlage eines Strafverfahrens sowie der Zulässigkeit eines strukturierten – in diesem Sinne „eingeschränkten“ - elektronischen Eingangskanals für datenschutzrechtliche Anfragen zur effizienteren Administration derselben.