W252 2271318-1/6E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Mag.a Elisabeth SCHMUT LL.M. als Vorsitzende und die fachkundigen Laienrichterinnen Dr.in Claudia ROSENMAYR-KLEMENZ und Mag.a Adriana MANDL als Beisitzerinnen über die Beschwerde der XXXX XXXX (mitbeteiligte Partei vor dem Verwaltungsgericht: XXXX gegen den Bescheid der Datenschutzbehörde vom 29.03.2023, GZ XXXX , in nichtöffentlicher Sitzung in einer datenschutzrechtlichen Angelegenheit zu Recht erkannt:
A)
Die Beschwerde wird abgewiesen und der Spruch des angefochtenen Bescheides mit der Maßgabe bestätigt, dass es zu lauten hat:
„Der Beschwerde wird stattgegeben und es wird festgestellt, dass der Beschwerdegegner den Beschwerdeführer dadurch in seinem Recht auf Geheimhaltung verletzt hat, indem er als Verantwortlicher durch seine Entscheidung, den Dienst „ XXXX “ auf der Website „ XXXX “ zu implementieren, zumindest am 28.01.2022 personenbezogene Daten des Beschwerdeführers (dies sind zumindest in Kombination dessen Online-Kennung in Form der IP-Adresse und einzigartiger Nutzer-Identifikations-Nummern sowie Browserdaten) unrechtmäßig verarbeitet hat.“
B)
Die Revision ist nicht zulässig.
Entscheidungsgründe:
I. Verfahrensgang:
1. Mit Eingabe vom 28.01.2022, verbessert am 04.04.2022, erhob die mitbeteiligte Partei (in Folge „MP“) eine Datenschutzbeschwerde an die belangte Behörde und brachte zusammengefasst vor, die Beschwerdeführerin (in Folge „BF“) habe auf ihrer Website den Dienst XXXX verwendet, der personenbezogene Daten erhebe, Cookies setze und eine Verhaltensanalyse erstelle. Sie sei dadurch in ihrem Recht auf Geheimhaltung verletzt.
2. Mit Bescheid vom 29.03.2023 gab die belangte Behörde der Datenschutzbeschwerde statt, und stellte fest, dass die BF die MP dadurch in ihrem Recht auf Geheimhaltung verletzt habe, indem sie als Verantwortlicher durch die Entscheidung, den Dienst „ XXXX “ auf der Website „ XXXX “ zu implementieren, zumindest am 28. September 2022 personenbezogene Daten der MP (dies sind zumindest in Kombination dessen Online-Kennung in Form der IP-Adresse und einzigartiger Nutzer-Identifikations-Nummern sowie Browserdaten) unrechtmäßig verarbeitet habe. Rechtlich führte die belangte Behörde im Wesentlichen aus, dass ua ein technisch nicht notwendiges Cookie gesetzt worden sei, für das zwingend eine Einwilligung einzuholen gewesen wäre. Da eine Einwilligung fehle, sei die anschließende Datenverarbeitung rechtswidrig.
3. Gegen diesen Bescheid richtet sich die gegenständliche Beschwerde der BF vom 26.04.2023. In dieser führte die BF zusammengefasst aus, dass die Argumentation der belangten Behörde nicht nachvollziehbar sei. Die Einbindung von XXXX als Spam-Schutz sei jedenfalls im Zusammenhang mit dem Zweck der Website ( XXXX anmeldungen) zu sehen und nicht völlig losgelöst davon zu beurteilen. Darüber hinaus habe es für die BF keine Alternative gegeben, da sie nach mehreren Hinweisen aus der Zivilbevölkerung auf die mangelnde Barrierefreiheit der bisherigen (datenschutzfreundlicheren) Lösung gezwungen war, ihre Website auf XXXX umzustellen. Der Dienst von Google sei damals alternativlos gewesen. Im Übrigen seien Cookies zum Schutz vor Überlastungsangriffen technisch notwendig, da ein Zugriff auf die Website sonst unmöglich wäre.
4. Die belangte Behörde legte die Beschwerde unter Anschluss des Verwaltungsakts mit Schriftsatz vom 02.05.2023, hg eingelangt am 05.05.2023, vor und beantragte – unter Verweis auf die Begründung des angefochtenen Bescheids – die Beschwerde abzuweisen.
Beweis wurde erhoben durch Einsichtnahme in den Verwaltungs- und Gerichtsakt.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
1.1. Allgemeines
Ein CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) ist ein Sicherheitsmechanismus, der dazu dient automatisierte (Bot-)Angriffe oder Bedrohungen auf einer Website zu erkennen.
1.2. Zur Funktionsweise von XXXX
Wenn XXXX auf einer Website eingebunden ist, interagiert es mit dem Website-Server (Backend) und dem Browser des:der Website-Besucher:in (Client). Beim Abruf einer solchen Website werden folgende Ereignisse in Abfolge ausgelöst
1. Eine Person lädt die Webseite vom Website-Server.
2. Die Webseite initialisiert die XXXX Applikation, wodurch die Signalerhebung beginnt und Daten, wie ua IP-Adresse, Cookies, Informationen zum Betriebssystem, Browser, die Verweildauer und Mausbewegungen an XXXX gesendet werden.
3. Wenn die Person eine durch XXXX geschützte Aktion auslöst, z. B. die Anmeldung, wird ein sogenannter Token (Kennnummer) von XXXX angefordert.
4. XXXX gibt einen verschlüsselten Token an die Person zurück, um die gesammelten Daten zuordnen zu können.
5. Der Browser der Person sendet anschließend den Token an den Website-Server, damit dieser eine Risikoanalyse anfordern kann.
6. Der Website-Server sendet die Anfrage zur Erstellung einer Risikoanalyse/Bewertung samt dem Token an XXXX .
7. Nach der Bewertung gibt XXXX , basierend auf dem gesammelten Datenmaterial, ein Urteil im Format 0,0 bis 1,0 samt Begründungscode an den Website-Server zurück, wobei 0 ein hohes Risiko (vermutlich ein „Bot“) und 1 ein geringes Risiko (vermutlich ein Mensch) darstellt.
8. Abhängig von der Punktezahl können Websitenbetreiber:innen die nächsten Schritte für die jeweilige Nutzer:innenanfrage oder -aktion festlegen und beispielsweise Aktionen von „Bots“ blockieren und Aktionen von Menschen zulassen.
Im Rahmen dieser Risikoanalyse setzt XXXX das Cookie XXXX “.
1.3. Die BF war Betreiberin der Website https:// XXXX . Die Website bot die Möglichkeit, sich bei teilnehmenden XXXX zum XXXX anzumelden und informierte (mittels Zurverfügungstellung von Links) über XXXX in den Bundesländern.
Die BF entschied sich dazu Schutzmechanismen auf ihrer Website zu implementieren um sogenannte „(D)DoS-Attacken“ (Überlastungsangriffe) abzuwehren. Ursprünglich nutzte die BF hierfür den Dienst des europäischen Anbieters „ XXXX “, der ohne die unter Punkt 1.2. beschriebenen Verarbeitungsvorgänge auskommt. Als die BF aus der Bevölkerung auf die mangelnde Barrierefreiheit dieses Schutzmechanismus hingewiesen wurde, stellte sie ihre gesamte Website auf XXXX , welches barrierefrei ist, um. Als „ XXXX “ seinen Dienst im Hinblick auf die Barrierefreiheit überarbeitete, wechselte die BF Ende September 2022 wieder auf diesen zurück.
1.4. Die MP besuchte am 28.01.2022 die Website der BF, wobei XXXX aktiv war, die unter Punkt 1.2. beschriebenen Verarbeitungen vornahm und das Cookie XXXX “ im Endgerät bzw Browser der MP gesetzt wurde. Die MP hat dazu keine aktive Einwilligung abgegeben. Die MP ist nicht auf eine barrierefreie Website angewiesen.
2. Beweiswürdigung:
2.1. Dass CAPTCHAs Sicherheitsmechanismen sind, um Bot Angriffe abzuwehren, ergibt sich aus den übereinstimmenden und nachvollziehbaren Stellungnahmen der Parteien (vgl OZ 1, S 44, 81, 109).
2.2. Die Funktionsweise von XXXX ergibt sich aus der nachvollziehbaren Produktübersicht von XXXX auf dem Prozess samt graphischer Darstellung detailliert beschrieben wird (vgl XXXX jeweils zuletzt abgerufen am 09.04.2025). Die Feststellungen zu den erhobenen Daten ergeben sich aus der bereits von der belangten Behörde angeführten Auflistung (vgl XXXX zuletzt abgerufen am 09.04.2025). Hierbei war – wie die BF zutreffend anmerkte (OZ 1, S 234) – zu berücksichtigen, dass diese Angaben aus einem online Marketing Lexikon stammen und keine Quellenangaben enthalten. Allerdings hält sich XXXX bezüglich der tatsächlich in die Analyse einfließenden Daten sehr bedeckt, weshalb der Rückgriff auf alternative Quellen gerechtfertigt erscheint. Da die dort getätigten Angaben mit der grundsätzlichen Funktionsweise von XXXX übereinstimmen, waren diese plausibel und daher festzustellen.
2.3. Dass die BF die Betreiberin der gegenständlichen Website war und die Entscheidung zur Implementierung der Schutzmechanismen ergibt sich aus ihrer Stellungnahme vom 19.09.2022 (OZ 1, S 117, „Die Entscheidung, auf oben genannter Website XXXX einzusetzen, wurde vom Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz noch bei der Umsetzung der „Massentests“ im Dezember 2020 und Jänner 2021 getroffen.“). Sofern die BF in der Bescheidbeschwerde anmerkt, dass sich einzelne Bundesländer gegen die Verwendung von „ XXXX “ entschieden hätten, so bestätigt dies erst recht, dass die BF, als Betreiberin, wie sie zuvor auch selbst ausführte, die Letztkontrolle hatte (OZ 1, S 203). Die Widersprüchliche Angabe, wonach die Bundesländer und Apotheken die konkrete Ausgestaltung der Website bestimmt hätten, kann daher nur als reine Schutzbehauptung gesehen werden.
Die Feststellungen zum zeitlichen Ablauf, dem zuvor verwendeten Dienst „ XXXX “ und den Gründen für das Wechseln auf XXXX ergeben sich aus den nachvollziehbaren und glaubhaften Stellungnahmen der BF (OZ 1, S 80 f; 117 ff), die sie in ihrer Bescheidbeschwerde abermals bestätigte (OZ 1, S 204).
2.4. Dass die MP am 28.01.2022 die Website besuchte, XXXX aktiv war und die entsprechenden Datenverarbeitungen bzw Cookie-Speicherung vorgenommen wurde ergibt sich aus dem von der MP in ihrer Bescheidbeschwerde vorgelegten Screenshots (OZ 1, S 16 ff, 34). In der E-Mail vom 04.04.2022 bestätigte die MP, ua aufgrund der exakten Zeitangabe, nachvollziehbar, dass diese Screenshots am 28.01.2022 aufgenommen wurden (OZ 1, S 32). Auf dem Screenshot ist die Website der BF und das XXXX Symbol deutlich sichtbar, wodurch klar ersichtlich ist, dass der Dienst auch aktiv war. Die Datenverarbeitungen ergeben sich aus einer Zusammenschau mit den Angaben zur Funktionsweise des Dienstes, weshalb davon ausgegangen werden konnte, dass die genannten Verarbeitungen auch bei der MP vorgenommen wurden. Wenn die belangte Behörde im Spruch ein anderes Datum (28.09.2022) als Zugriffsdatum der MP nennt, so ist nicht nachvollziehbar woher dieses Datum stammen soll, insbesondere da es mit den Feststellungen nicht übereinstimmt. Es war daher davon auszugehen, dass das im Spruch genannte Datum ein auf einem Versehen beruhender Tippfehler ist und der 28.01.2022 gemeint ist. Die Feststellung bezüglich der tatsächlichen Verarbeitung aufgrund des von der BF eingesetzten Dienstes XXXX war insofern richtig zu stellen.
Dass die MP keine aktive Einwilligung abgegeben hat, ergibt sich aus dem Akteninhalt. In ihrer Stellungnahme vom 19.09.2022 (OZ 1, S 126) gab die BF an, dass Anwender informiert werden und der Verarbeitung „implizit“ zustimmen würden. Da somit keinerlei Hinweise hervorkamen, dass eine aktive Einwilligung der MP eingeholt wurde und die BF die (dislozierte) Feststellung/Behauptung der belangten Behörde, wonach eine Einwilligung nicht vorliege (OZ 1, S 192), nicht bekämpfte, war festzustellen, dass keine aktive Einwilligung von der MP eingeholt wurde.
Die Feststellung, dass die MP nicht auf eine barrierefreie Website angewiesen ist, ergibt sich schon aus der Angabe der MP selbst, wonach er die Website der Stadt Wien als positives Beispiel hervorhob, welche nicht auf den von der BF herangezogenen Dienst zurückgriff (OZ 1, S 18). Auch sonst kamen keine Hinweise darauf hervor, dass die MP darauf angewiesen wäre.
3. Rechtliche Beurteilung:
Zu A)
Die zulässige Beschwerde ist nicht berechtigt.
3.1. Verhältnis DSGVO – ePrivacy-RL, Zuständigkeit der belangten Behörde:
3.1.1. Allgemeines zum Verhältnis der DSGVO zur ePrivacy-RL
Die DSGVO findet auf alle Fragen des Schutzes der Grundrechte und Grundfreiheiten bei der Verarbeitung personenbezogener Daten Anwendung, die nicht den in der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (im Folgenden „ePrivacy-RL“) bestimmte Pflichten, die dasselbe Ziel verfolgen, unterliegen (siehe ErwGr 173 DSGVO)
Demnach soll gemäß Art 95 DSGVO die DSGVO als lex generalis nur auf Datenschutzsachverhalte Anwendung finden, die nicht in der ePrivacy-RL eine speziellere Regelung erfahren haben. Liegt somit eine Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union vor (zB Websiten) und die zu klärenden Fragen unterliegen Pflichten der ePrivacy-RL, die dasselbe Ziel wie jene der DSGVO verfolgen, legt die DSGVO natürlichen oder juristischen Personen keine zusätzlichen Pflichten auf und kommt nicht zur Anwendung (vgl Križanac in Knyrim, DatKomm Art 95 DSGVO Rz 3).
Die Behördenzuständigkeit richtet sich nach den Zuständigkeitsregelungen der zu Anwendung gelangenden Norm (DSGVO oder ePrivacy-RL). Demnach können Datenschutzbehörden nur dann für die Untersuchung von Verarbeitungsvorgängen, die unter die ePrivacy-RL fallen, zuständig sein, wenn das nationale Gesetz (hier das TKG 2021) ihnen diese Zuständigkeit überträgt (vgl idS Križanac in Knyrim, DatKomm Art 95 DSGVO Rz 7).
Die Zuständigkeit im Anwendungsbereich der DSGVO ist in Art 51 DSGVO geregelt, wonach die Mitgliedstaaten eine oder mehrere unabhängige Behörden für die Überwachung der DSGVO vorsehen können. Gemäß Art 51 DSGVO iVm § 18 DSG ist in Österreich die Datenschutzbehörde (belangte Behörde) für die Einhaltung der DSGVO zuständig. Die ePrivacy-RL belässt den Mitgliedstaaten die Flexibilität, darüber zu entscheiden, welcher Behörde oder Stelle sie ihre Durchsetzung anvertrauen wollen (siehe EDSA, Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO, insbesondere in Bezug auf die Zuständigkeiten, Aufgaben und Befugnisse von Datenschutzbehörden, angenommen am 12.03.2019, Rz 64; in der Folge nur „EDSA Stellungnahme 5/2019“). Für die Einhaltung des Umsetzungsrechtsakts der ePrivacy-RL, dem TKG 2021, ist gemäß § 191 ff TKG 2021 die Fernmeldebehörde, das Fernmeldebüro bzw die RTR-GmbH zuständig.
Daraus ergibt sich, dass für Sachverhalte/Verarbeitungsvorgänge die nur unter die ePrivacy-RL bzw das TKG 2021 fallen, die DSB (belangte Behörde) nicht zuständig ist.
3.1.2. Zu „gemischten“ Verarbeitungsvorgängen
Es ist allerdings – wie die belangte Behörde im Bescheid ausführte – denkbar, dass Sachverhalte, sowohl in den sachlichen Anwendungsbereich der DSGVO als auch der ePrivacy-RL fallen (siehe dazu auch EDSA Stellungnahme 5/2019, Rz 29 ff). In solchen Fällen ist es erforderlich, die einzelnen Verarbeitungsvorgänge eines Sachverhalts zu identifizieren und zuzuordnen, um die jeweilige Behördenzuständigkeit zu bestimmen.
Die Datenschutzbehörde kann nämlich die Bestimmungen des TKG 2021 als solche nicht durchsetzen, wenn sie ihre Zuständigkeiten nach der DSGVO ausübt. Allerdings kann sie in Fällen, in denen eine Verarbeitung grundsätzlich Vorgänge betrifft, welche in den sachlichen Anwendungsbereich der ePrivacy-RL fallen, zusätzliche Aspekte (zB vorhergehende oder nachfolgende Verarbeitungstätigkeiten), für die die ePrivacy-RL keine „spezielle Vorschrift“ enthält, aufgreifen (siehe dazu EDSA Stellungnahme 5/2019, Rz 75).
Im Hinblick auf die Feststellungen zur Funktionsweise von XXXX bzw den gegenständlichen Fall, stellen insbesondere die Weiterleitung des Tokens der MP an XXXX zur Risikoanalyse, die Risikoanalyse durch XXXX , die Rückmeldung des Urteils samt Begründungscode von XXXX an die BF und die von der BF durchgeführte „Aktion“, basierend auf der Rückmeldung von XXXX derartige „nachfolgende“ Verarbeitungstätigkeiten dar, die nicht unter die ePrivacy-RL bzw das TKG 2021 fallen. Es besteht zwar auch diesbezüglich ein Zusammenhang mit der Benutzung elektronischer Kommunikationsnetze, allerdings können die aufgezählten Verarbeitungsschritte nicht unter die Begriffe „Speicherung“ bzw „Zugriff“ der ePrivacy-RL subsumiert werden, da es sich hierbei nicht um, den Zugriff auf im Endgerät gespeicherte Informationen (hier ua Browserinformationen, Mausbewegungen, Auslesen von Tokens ect) bzw die Speicherung von Informationen (hier ua Cookies, Token) handelt, sondern um diesen Vorgängen nachgelagerte Verarbeitungen.
Insofern hat sich die belangte Behörde im Ergebnis zu Recht als für die Behandlung (der hier genannten Teilaspekte der Verarbeitung) für zuständig erachtet.
3.2. Zur datenschutzrechtlichen Rollenverteilung:
Gemäß Art 4 Z 7 DSGVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Der Begriff „Verantwortlicher“ ist in Art 4 Z 7 DSGVO weit definiert. Der EuGH hat bereits entschieden, dass jede natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung solcher Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als für diese Verarbeitung Verantwortlicher angesehen werden kann. Dabei ist nicht erforderlich, dass über die Zwecke und Mittel der Verarbeitung mittels schriftlicher Anleitungen oder Anweisungen seitens des Verantwortlichen entschieden wird. Aus Art 4 Z 7 DSGVO in Verbindung mit dem 74. Erwägungsgrund der DSGVO ergibt sich, dass eine Einrichtung, wenn sie die in Art 4 Z 7 der DSGVO aufgestellte Voraussetzung erfüllt, nicht nur für jedwede Verarbeitung personenbezogener Daten verantwortlich ist, die durch sie selbst erfolgt, sondern auch für jedwede Verarbeitung, die in ihrem Namen erfolgt. Ein tatsächlicher Zugang zu den Daten ist demnach für die Verantwortlicheneigenschaft nicht zwingend erforderlich (vgl EuGH 05.12.2023, C-683/21, Nacionalinis visuomenės sveikatos centras, Rz 28, 30, 36, 40 ff).
Auf den Fall angewendet bedeutet das:
Die BF hat sich als Betreiberin der verfahrensgegenständlichen Website dazu entschieden, den Dienst XXXX einzubinden. Sie hat damit jedenfalls deren Zweck sowie die hierbei verwendeten Mittel bestimmt und ist daher – unabhängig davon, ob sie Zugriff auf die hierbei erhobenen Daten hat – als Verantwortliche zu sehen (vgl die zur Vorgängerbestimmung ergangene Entscheidung in einem vergleichbaren Fall, die auf den gegenständlichen Fall übertragen werden kann, EuGH 29.07.2019, C-40/17, Fashion-ID, Rz 85).
Es war zwar zu berücksichtigen, dass der Einfluss der BF allenfalls nicht sämtliche Verarbeitungsschritte umfasst (siehe EuGH 29.07.2019, C-40/17, Fashion-ID, Rz 74), die Entscheidung über die Einbindung des Dienstes, die Übermittlung des Tokens der MP, sowie die Aktion, basierend auf der Rückmeldung hat sie aber jedenfalls entschieden, wodurch sie (allenfalls gemeinsam mit XXXX , was aber nicht Verfahrensgegenstand ist) Verantwortliche ist.
3.3. Zur Rechtmäßigkeit der Verarbeitung:
Hinsichtlich der Voraussetzungen für die Rechtmäßigkeit der Verarbeitung enthält Art 6 Abs 1 DSGVO eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Daher muss eine Verarbeitung unter einen der in dieser Bestimmung vorgesehenen Fälle subsumierbar sein, um als rechtmäßig angesehen werden zu können (vgl EuGH 09.01.2025, C-394/23, Mousse, Rz 25).
Wie die belangte Behörde allerdings zutreffend ausführte, kann eine Verarbeitung, die einem Vorgang, der unter die ePrivacy-RL fällt, nachgelagert ist, nur dann als rechtmäßig iSd DSGVO angesehen werden, wenn sie (auch) die Voraussetzungen der ePrivacy-RL erfüllt (siehe EuGH 17.06.2021, C-597/19, M.I.C.M., Rz 118 mwN).
Als Vorfrage war daher zu prüfen, ob die Voraussetzungen der ePrivacy-RL eingehalten wurden. Zwar ist die belangte Behörde hierfür grundsätzlich nicht zuständig, allerdings ist sie gemäß § 38 AVG (der gemäß 17 VwGVG auch im verwaltungsgerichtlichen Verfahren anzuwenden ist) dazu berechtigt auftauchende Vorfragen, die als Hauptfragen von anderen Verwaltungsbehörden oder von den Gerichten zu entscheiden wären, nach der über die maßgebenden Verhältnisse gewonnenen eigenen Anschauung zu beurteilen und diese Beurteilung ihrem Bescheid zugrunde zu legen.
3.3.1. Zu den Anforderungen der ePrivacy-RL
Da die gegenständliche Verarbeitung auf einem Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind (hier Browserinformationen, Mausbewegungen, Cookies der MP) basiert, war als Vorfrage zu prüfen, ob die Anforderungen des Art 5 Abs 3 ePrivacy-RL bzw § 165 TKG eingehalten wurden.
Gemäß § 165 TKG 2021 ist ein derartiger Zugriff – soweit für das gegenständliche Verfahren relevant – nur dann zulässig, wenn der Benutzer seine Einwilligung gegeben hat, oder der Zugang „unbedingt erforderlich“ war.
Während sich der Begriff „erforderlich“ in Art 6 Abs 1 lit f DSGVO auf „die Verarbeitung [personenbezogener Daten] zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten“ bezieht, betrifft der Begriff „unbedingt erforderlich“ in Art 5 Abs 3 zweiter Satz der ePrivacy-RL die Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, „damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“. Im Gegensatz zu Art 6 Abs 1 lit f DSGVO setzt daher Art 5 Abs 3 zweiter Satz der ePrivacy-RL für die Zulässigkeit der Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, keine Interessensabwägung voraus (VwGH 31.10.2023, Ro 2020/04/0024, Rz 23).
Für die Erforderlichkeit nach Art 6 Abs 1 lit f DSGVO ist nach der Rechtsprechung des EuGH zu prüfen, ob das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen, wobei eine solche Verarbeitung innerhalb der Grenzen dessen erfolgen muss, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist (vgl EuGH 09.01.2025, C-394/23, Mousse, Rz 48 f).
Für den gegenständlichen Fall bedeutet das:
Eine Einwilligung seitens der MP liegt, wie festgestellt, nicht vor. Fraglich ist daher ob der gegenständliche Zugriff „unbedingt erforderlich“ war. Wie der VwGH bereits ausgesprochen hat, ist zwischen der „Erforderlichkeit“ zur Wahrung der Interessen des Verantwortlichen (iSd DSGVO) und der „unbedingten Erforderlichkeit“ damit ein Anbieter einen Dienst zur Verfügung stellen kann (iSd ePrivacy-RL) zu unterscheiden.
Für die unbedingte Erforderlichkeit sind demnach weder die Interessen des Verantwortlichen (hier zB möglichst hohe Sicherheit/Verfügbarkeit/Barrierefreiheit der Website) noch jene der betroffenen Person (hier zB Wahrung ihres Rechts auf Privatsphäre) von Bedeutung. Relevant ist nur, ob der Zugriff/die Speicherung unbedingt erforderlich war, um einen vom Teilnehmer ausdrücklich gewünschten Dienst zur Verfügung stellen zu können. Mangels anderslautender Bestimmungen kann dies auch nur im Lichte des Schutzzwecks der ePrivacy-RL (Schutz der Grundrechte und Grundfreiheiten, insbesondere des Rechts auf Privatsphäre, in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation sowie den freien Verkehr dieser Daten und von elektronischen Kommunikationsgeräten und -diensten in der Gemeinschaft; vgl Art 1 ePrivacy-RL) gelesen werden. Die unbedingte Erforderlichkeit ist daher aus Sicht des Teilnehmers (der MP) und nicht des Anbieters (der BF) zu beurteilen (vgl dazu Art-29 Gruppe, WP194, Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht, angenommen am 07.06.2012, S 13).
Die „unbedingte Erforderlichkeit“ ist daher als eine technisch-funktionalen Erforderlichkeit zu verstehen, damit ein vom Teilnehmer ausdrücklich gewünschte Dienst auch in der gewünschten Art und Weise funktioniert (vgl Art-29 Gruppe, WP194, Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht, angenommen am 07.06.2012, S 7 ff; wonach Sitzungscookies zum Speichern des Warenkorbs in Online-Shops, Authentifizierungscookies bei Websiten mit Anmeldung, Nutzerorientierte Sicherheitscookies zur Verhinderung wiederholt fehlgeschlagener Anmeldeversuche, Multimedia-Player-Sitzungscookies, Lastverteilungs-Sitzungscookies sowie Cookies zur Anpassung der Benutzeroberfläche zB zum Speichern von Spracheinstellungen ebenfalls als unbedingt erforderlich angesehen werden können).
Entgegen der Ansicht der belangten Behörde ist die unbedingte Erforderlichkeit daher nicht rein technisch (dann wären die oben genannten Cookies ebenfalls nicht erforderlich), sondern auch funktional zu sehen.
Im gegenständlichen Fall brachte die BF vor, dass ihre Website aufgrund von zu erwartenden Angriffen durch DDoS-Attacken sowie aufgrund von Empfehlungen aus durchgeführten Security-/Pen-Tests die Implementierung eines XXXX Dienstes technisch notwendig war, da ansonsten die Erbringung der vom User gewünschten Zwecke ( XXXX ) auch über längere Zeit verunmöglicht hätte werden können. Außerdem sei der Spamschutz untrennbar mit dem Zweck der XXXX verbunden und müsse beides gemeinsam bei der Beurteilung der unbedingten Erforderlichkeit berücksichtigt werden (OZ 1, S 203, 206).
Die vom EuGH entwickelten Anforderungen an die „Erforderlichkeit“ im Bezug auf Art 6 Abs 1 lit f DSGVO können aufgrund des vergleichbaren Schutzgedankens – nach Ansicht des erkennenden Senats – auf den vorliegenden Fall übertragen werden. Dies stimmt auch mit der zitierten Rechtsprechung des VwGH (VwGH 31.10.2023, Ro 2020/04/0024, Rz 23) überein, wonach der Unterschied im konkreten Bezugspunkt der Erforderlichkeit (bei der DSGVO die Interessen des Verantwortlichen oder eines Dritten; bei der ePrivacy-RL die Zurverfügungstellung eines Dienstes) sowie im Fehlen einer Interessenabwägung besteht. Es war daher zu prüfen, ob ein von Teilnehmer:innen ausdrücklich gewünschter Dienst nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln zur Verfügung gestellt werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der Teilnehmer:innen eingreifen, wobei eine solche Verarbeitung innerhalb der Grenzen dessen erfolgen muss, was zur Verfügungstellung (technisch) unbedingt notwendig ist (vgl zur Erforderlichkeit nach der DSGVO, EuGH 09.01.2025, C-394/23, Mousse, Rz 48 f).
Im gegenständlichen Fall stand der BF im Hinblick auf die MP der von ihr zuvor genutzte Dienst „ XXXX “ zur Verfügung, der weniger stark in die Grundrechte der MP eingegriffen hätte, da er ohne die festgestellten Datenverarbeitungen und Cookies auskommt. Mit dieser Lösung wäre sowohl der Spamschutz, als auch die XXXX für die MP möglich gewesen.
Die BF brachte diesbezüglich vor, dass sie ua gemäß Art 7 Abs 1 B-VG bzw §§ 4, 8 BGStG dazu verpflichtet gewesen sei ihre Website barrierefrei zu gestalten. Hierbei übersieht die BF, dass der EuGH im Zusammenhang mit der Verarbeitung der Geschlechtsidentität durch ein Personenbeförderungsunternehmen bereits ausgesprochen hat, dass die Unterstützung von Fahrgästen mit einer Behinderung nicht die systematische und allgemeine Verarbeitung der Anrededaten aller Kunden, einschließlich der Kunden, die keine Behinderung haben, rechtfertigen kann (vgl EuGH 09.01.2025, C-394/23, Mousse, Rz 41 f). Diese Überlegung kann auf den vorliegenden Fall übertragen werden. Die Gewährleistung der Barrierefreiheit der Website der BF kann nicht die systematische und allgemeine Verarbeitung der Browserinformationen, Mausbewegungen, Cookie-Informationen ect sämtlicher Website-Besucher:innen rechtfertigen. Hinzu kommt, dass es der BF möglich und zumutbar gewesen wäre, dass sie ihre Website so gestaltet, dass grundsätzlich der weniger stark in die Grundrechte eingreifende Dienst „ XXXX “ zur Anwendung kommt. Um die Barrierefreiheit zu gewährleisten hätte die BF einen Button iSv „Klicken Sie hier für eine barrierefreie Version dieser Website“ implementieren können, auf dem Sie dann einen anderen Dienst (zB XXXX ) verwendet (zu beachten war hierbei auch, dass die BF einen Button bezüglich der Barrierefreiheit bereits auf ihrer Website implementiert hatte, „Barrierefreiheitserklärung“, OZ 1, S 34).
Da die MP keine barrierefreie Website benötigt, besteht für sie eine gleichwertige Alternative, die sowohl den Spamschutz, als auch den Zweck bzw die Funktionsfähigkeit der Website ( XXXX ) gewährleistet. Die Implementierung des Dienstes XXXX (samt der Verarbeitung von Browserinformationen, Mausbewegungen, Cookie-Informationen der MP) war daher im Hinblick auf die MP nicht unbedingt erforderlich. Die BF hätte hierfür gemäß § 165 Abs 3 TKG 2021 zwingend eine (aktive) Einwilligung einholen müssen, was sie aber nicht getan hat.
Im Ergebnis hat die BF somit die die Anforderungen des Art 5 Abs 3 ePrivacy-RL bzw § 165 TKG nicht eingehalten. Dadurch ist die Verarbeitung allerdings auch nach der DSGVO rechtswidrig (siehe EuGH 17.06.2021, C-597/19, M.I.C.M., Rz 118 mwN).
Die belangte Behörde hat daher zu Recht eine Verletzung im Recht auf Geheimhaltung festgestellt, weshalb die dagegen gerichtete Beschwerde abzuweisen war.
Die Datumsangabe im Spruch war entsprechend richtigzustellen.
3.4. Von der beantragten mündlichen Verhandlung konnte abgesehen werden, da der für die rechtliche Beurteilung entscheidungswesentliche Sachverhalt bereits von der Verwaltungsbehörde vollständig und in einem ordnungsgemäßen Ermittlungsverfahren erhoben wurde und im Zeitpunkt der Entscheidung des erkennenden Gerichts immer noch die gesetzlich gebotene Aktualität und Vollständigkeit aufweist. In ihrer Bescheidbeschwerde brachte die BF vor, dass ihr keine Informationen vorliegen würden, wonach XXXX Datenverarbeitungen vornehmen würde, die über den eigentlichen Spam-Schutz hinausgingen und bestritt eine diesbezügliche (dislozierte) Feststellung der belangten Behörde. Da – wie oben ausgeführt – bereits der Spam-Schutz in der gewählten Form nicht unbedingt erforderlich und daher mangels Einwilligung unzulässig war, kam es auf die von der BF bekämpfte Feststellung bezüglich darüberhinausgehender Verarbeitungen nicht an. Im Hinblick auf die bloße Korrektur einer Datumsangabe, welche sich eindeutig aus der dem Akt beiliegenden E-Mail ergab, war nicht erkennbar, inwiefern eine mündliche Erörterung zu einer weiteren Klärung der Rechtssache geführt hätte (vgl dazu VwGH 19.10.2022, Ro 2022/04/0001, RS 5). Dem Entfall der Verhandlung stand auch Art 6 Abs 1 EMRK bzw Art 47 GRC nicht entgegen. Von der mündlichen Verhandlung konnte daher gemäß § 24 Abs 4 VwGVG abgesehen werden.
3.5. Es war daher spruchgemäß zu entscheiden.
Zu B) (Un)Zulässigkeit der Revision:
Gemäß § 25a Abs 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art 133 Abs 4 B-VG zulässig ist. Dieser Ausspruch ist kurz zu begründen.
Die Revision ist nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Das erkennende Gericht konnte sich auf die jeweils zitierte Rechtsprechung des VwGH bzw EuGH bezüglich der jeweiligen Anforderungen der ePrivacy-RL bzw der DSGVO sowie die Ausführungen bezüglich der Unterschiede stützen.
Rückverweise
RIS