GZ: 2022-0.726.643 vom 6. März 2023 (Verfahrenszahl: DSB-D155.028)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Walter A*** (Beschwerdeführer), vertreten durch B*** Datenschutzorganisation, M***gasse *3/*4, **** Wien, ZVR: ****, vom 17. August 2022 gegen 1) N1***Medien GmbH (Erstbeschwerdegegnerin), vertreten durch Rechtsanwälte U*** Partner, L***platz *3, **** Wien, und 2) N2*** Social Media, Inc. (Zweitbeschwerdegegnerin), Sitz: **5 K*** Drv, ****, USA, wegen A) einer Verletzung von Art. 44 DSGVO durch die Beschwerdegegnerinnen und B) einer Verletzung von Art. 5 ff, Art. 28, und Art. 29 DSGVO durch die Zweitbeschwerdegegnerin wie folgt:
1. Der Bescheid der Datenschutzbehörde vom 2. Oktober 2020, Zl. D155.028, 2020-0.527.429, wird behoben .
2. Der Beschwerde wegen Beschwerdepunkt A) wird teilweise stattgegeben und es wird festgestellt, dass als Folge der Entscheidung der Erstbeschwerdegegnerin als datenschutzrechtliche Verantwortliche, die N3*** Business Tools „N3*** Login“ und „N3*** Pixel“ auf der Website www.n1***.at zu implementieren, zumindest am 12. August 2020 personenbezogene Daten des Beschwerdeführers (dies sind zumindest einzigartige Nutzer-Identifikations-Nummern, IP-Adresse und Browserparameter) an die Zweitbeschwerdegegnerin in die USA übermittelt wurden (Datenübermittlung), obwohl die Erstbeschwerdegegnerin für diese Datenübermittlung kein angemessenes Schutzniveau gemäß Art. 44 DSGVO gewährleistet hat .
3. Die Beschwerde gegen die Zweitbeschwerdegegnerin wegen der Beschwerdepunkte A) und B) wird abgewiesen .
Rechtsgrundlagen: Art. 4 Z 1, Z 2, Z 7, Z 8 und Z 23 lit. b, Art. 5, Art. 28, Art. 29, Art. 44, Art. 46 Abs. 1 und Abs. 2 lit. c, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. d und lit. f, Art. 77 Abs. 1, Art. 80 Abs. 1 sowie Art. 93 Abs. 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 18 Abs. 1 sowie 24 Abs. 1, Abs. 2 Z 5 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; § 68 Abs. 2 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 (AVG), BGBl. Nr. 51/1991 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
A.1. Der Beschwerdeführer brachte in seiner Eingabe vom 18. August 2020 zusammengefasst Folgendes vor:
Der Beschwerdeführer habe am 12. August 2020 die Website der Erstbeschwerdegegnerin unter www.n1***.at besucht, während er im N3***-Konto, verknüpft mit der Email-Adresse walter.c***@***email.org, eingeloggt gewesen sei. Die Erstbeschwerdegegnerin habe auf ihrer Website den HTML-Code für N3***-Dienste (inklusive N3*** Connex) eingebettet. Im Verlauf des Besuchs auf der Website seien personenbezogene Daten des Beschwerdeführers (zumindest die IP-Adresse und Cookie-Daten) an die Zweitbeschwerdegegnerin übermittelt worden. Die Übermittlung der Daten des Beschwerdeführers sei rechtswidrig gewesen. Es werde beantragt, zu untersuchen, ob die Anforderungen von Art. 28 DSGVO in Bezug auf die Datenübermittlung in die USA erfüllt sind und ein Verbot oder eine Aussetzung jeglicher Datenübermittlungen von der Erstbeschwerdegegnerin in die USA zu verhängen und eine Rückgabe dieser Daten in die EU anzuordnen.
Der Eingabe war ein Konvolut an Dokumenten beigefügt.
A.2. Mit Bescheid vom 2. Oktober 2020 , Zl. D155.028, 2020-0.527.429, setzte die Datenschutzbehörde das gegenständliche Beschwerdeverfahren aus.
A.3. Mit Stellungnahme vom 28. Dezember 2020 brachte die Erstbeschwerdegegnerin zusammengefasst Folgendes vor:
Die Website www.n1***.at sei der Online-Auftritt der Tageszeitung „N1***zeitung“ und „n1***“. Eine Datenverarbeitung im Zusammenhang mit einem N3*** Tool sei ausschließlich zu journalistischen Zwecken erfolgt, das in § 9 Abs. 1 DSG normierte Medienprivileg finde Anwendung. Ohne Präjudiz der Sach- und Rechtslage habe die Erstbeschwerdegegnerin am 19. November 2020 sämtliche N3*** Tools der Website www.n1***.at offline genommen bzw. deaktiviert.
Der Stellungnahme war ein Konvolut an Dokumenten beigefügt.
A.4. Mit Stellungnahme vom 22. Jänner 2021 brachte der Beschwerdeführer zusammengefasst Folgendes vor:
Die im Zusammenhang mit den N3*** Tools stehende Datenverarbeitung erfolge nicht zu journalistischen Zwecken. Der Beschwerdeführer habe während des Besuchs auch nicht in einer Weise interagiert, die zu journalistischen Zwecken erfolgt sein könnte. Er habe die Website www.n1***.at lediglich besucht. Für den Fall, dass die Datenschutzbehörde von einer nachträglichen Beseitigung der Rechtsverletzung gemäß § 24 Abs. 6 DSG ausgehe, werde die Feststellung beantragt, dass die Erstbeschwerdegegnerin unzulässiger Weise personenbezogene Daten in die USA übertragen hat.
Der Stellungnahme war ein Konvolut an Dokumenten beigefügt.
A.5. Die Datenschutzbehörde forderte die Zweitbeschwerdegegnerin mit Erledigung vom 26. Februar 2021 auf, mehrere Fragen im Zusammenhang mit den N3*** Tools zu beantworten. Die Zweitbeschwerdegegnerin hat mit Schreiben vom 18. März 2021 ausgeführt, dass N3*** Ireland Limited zur Behandlung der beschwerdegegenständlichen Datenverarbeitung zuständig sei. Daraufhin wurde die irische Aufsichtsbehörde seitens der Datenschutzbehörde im Rahmen des Kooperationsmechanismus gemäß Art. 57 Abs. 1 lit. g DSGVO ersucht, Fragen im Zusammenhang mit dem Tool N3*** Connex an N3*** Ireland Limited weiterzuleiten. In Folge wurde der beantwortete Fragenkatalog von N3*** Ireland Limited, datiert mit 5. Mai 2021, seitens der irischen Aufsichtsbehörde an die Datenschutzbehörde übermittelt.
A.6. Mit Stellungnahme vom 10. Mai 2021 brachte der Beschwerdeführer zusammengefasst Folgendes vor:
Die gegenständliche Beschwerde richte sich ausdrücklich gegen die Erst- und Zweitbeschwerdegegnerin und N3*** Ireland Limited (Anmerkung der Datenschutzbehörde: Die Beschwerde gegen N3*** Ireland Limited wurde später zurückgezogen, siehe unten). Eine Zuständigkeit der Datenschutzbehörde für die Zweitbeschwerdegegnerin in der Rolle als Datenimporteur sei gegeben.
A.7. Nach mehreren Aufforderungen seitens der Datenschutzbehörde brachte die Zweitbeschwerdegegnerin mit Stellungnahme vom 22. Juni 2021 zusammengefasst Folgendes vor:
Die Zweitbeschwerdegegnerin sei Subauftragsverarbeiterin und der Anwendungsbereich der DSGVO sei nicht gegeben. Die beschwerdegegenständliche Datenverarbeitung werde nicht durch die Zweitbeschwerdegegnerin durchgeführt, diese sei ausschließlich Empfängerin der Daten. Die Hauptniederlassung befinde sich in Irland und Ansprechpartnerin sei N3*** Ireland Limited.
A.8. Die Datenschutzbehörde hat am 18. August 2021 ein zweites Amtshilfeersuchen an die für N3*** Ireland Ltd zuständige irische Aufsichtsbehörde (DPC) erstellt. Gegenstand des Amtshilfeersuchens war die Datenverarbeitung im Zusammenhang mit den N3*** Tools. (Anmerkung der Datenschutzbehörde: Der Fragenkatalog wurde seitens der irischen Aufsichtsbehörde am 31. Jänner 2022 an N3*** Ireland Limited übermittelt. Am 7. Februar 2022 hat N3*** Ireland Limited ein allgemeines Antwortschreiben übermittelt, ohne konkret auf die im Fragenkatalog enthaltenen Fragen einzugehen. Der Fragenkatalog war aus Sicht der Datenschutzbehörde nicht mehr von Relevanz, da, wie unten ersichtlich, in Folge eine mündliche Einvernahme anberaumt wurde).
A.9. Mit Stellungnahme vom 24. September 2021 brachte der Beschwerdeführer zusammengefasst Folgendes vor:
Die Beschwerde gegen N3*** Ireland Limited werde zurückgezogen, die Beschwerde gegen die Erst- und Zweitbeschwerdegegnerin bleibe bestehen. Kapitel V DSGVO kenne keine Differenzierung zwischen Verantwortlichen und Auftragsverarbeitern. Die Frage der Rollenverteilung scheint daher nur eine Vorfrage zur Zuständigkeit der Datenschutzbehörde zu sein. Die Rollenverteilung gestalte sich so, dass die Erstbeschwerdegegnerin Verantwortliche und die Zweitbeschwerdegegnerin zumindest als die Daten in den USA empfangende (Sub-)Auftragsverarbeiterin zu qualifizieren sei. Aufgrund der N3***-Dienstleistungen und der Konzernstruktur der N3***-Gruppe sei es naheliegend, dass eine gemeinsame Verantwortlichkeit zwischen Zweitbeschwerdegegnerin und N3*** Ireland Limited vorliege. N3*** Ireland Limited sei auch keine Niederlassung von N3*** Inc. Die Datenschutzbehörde möge den Verfahrensakt zur Zl. I**-2*-7*-* (Anmerkung der Datenschutzbehörde: dies ist ein Verfahren vor der irischen Aufsichtsbehörde) im Rahmen der Amtshilfe gemäß Art. 61 DSGVO einholen. Kapitel V DSGVO sei auch für Datenempfänger im Drittland relevant, da eine Übermittlung ohne Empfänger nicht möglich sei. Für den Fall, dass die Datenschutzbehörde sich für die Behandlung der Beschwerde gegen die Zweitbeschwerdegegnerin für unzuständig hält, werde eine Zuständigkeitsentscheidung in Bescheidform beantragt.
A.10. Die Datenschutzbehörde beraumte eine mündliche Einvernahme der Zweitbeschwerdegegnerin an. Darüber hinaus wurde mit Erledigung der Datenschutzbehörde vom 5. Jänner 2022 ein Fragenkatalog an die Erstbeschwerdegegnerin übermittelt.
A.11. Mit Stellungnahme vom 7. März 2022 brachte die Erstbeschwerdegegnerin zusammengefasst Folgendes vor:
Die Erstbeschwerdegegnerin habe zum beschwerdegegenständlichen Zeitpunkt auf der Website www.n1***.at neben N3*** Connex (bzw. N3*** Login) den N3*** Pixel Scout eingebunden. Der N3*** Pixel Scout sei am 7. Dezember 2020 ausgebaut worden. Der Einsatz von N3*** Login habe dazu gedient, den Premium-Kunden eine vereinfachte Möglichkeit zum Login zu verschaffen. N3*** Login sei in Folge im Jänner 2022 ausgebaut worden. Die Erstbeschwerdegegnerin habe eine Weisung bzw. Mitteilung an N3*** Ireland Limited erteilt, sie möge die verarbeiteten Daten zu Rechtsverfolgungszwecken übermitteln und danach löschen. Mit der Einbindung von N3*** Login seien personenbezogene Daten des öffentlichen Profils des jeweils eingeloggten Nutzers an die Erstbeschwerdegegnerin übertragen worden. Zum Zeitpunkt 7. März 2022 nutze die Beschwerdegegnerin keine N3*** Business Tools mehr.
A.12. Die mündliche Einvernahme der Zweitbeschwerdegegnerin wurde am 16. Mai 2022 durchgeführt (Anmerkung der Datenschutzbehörde: per Videokonferenz gemäß § 51a AVG). Die korrigierte Fassung der Niederschrift („Niederschrift der mündlichen Einvernahme von N2*** Social Media, Inc Final.pdf“) liegt dem Akt bei.
A.13. Die Zweitbeschwerdegegnerin übermittelte am 30. Mai 2022 ein Dokument („Datenliste“), auf das im Rahmen der mündlichen Einvernahme vom 16. Mai 2022 Bezug genommen wurde.
A.14. Mit Stellungnahme vom 25. Juli 2022 brachte der Beschwerdeführer zusammengefasst Folgendes vor:
Der Beschwerdeführer habe beim Besuch von www.n1***.at nicht aktiv mit N3*** Login interagiert. Unmittelbar nach Öffnen der Website bzw. Interkation mit dem Cookie-Banner sei es zu den in der HAR-Datei ersichtlichen Datenübermittlungen gekommen. Aufgrund der Host-Bezeichnung „Connex.n3***.net“ sei er vom Einsatz von „N3*** Connex“ ausgegangen. Welche konkreten N3*** Tools die Datenübermittlungen ausgelöst haben, sei nicht feststellbar. Die Beschwerde beziehe sich generell auf die Übermittlung personenbezogener Daten des Beschwerdeführers an die Zweitbeschwerdegegnerin anlässlich des Besuchs von www.n1***.at am 12. August 2020. Der Beschwerdeführer beantragte die Feststellung eines Verstoßes gegen Art. 44 DSGVO, da die Datenübermittlung am 12. August 2020 durch keinen Übermittlungsmechanismus nach Art. 45 ff DSGVO gerechtfertigt gewesen sei. Weiters beantragte er die Feststellung eines Verstoßes gegen Art. 28 iVm Art. 5 ff iVm Art. 29 DSGVO infolge des genannten Verstoßes gegen Art. 44 DSGVO. Es handle sich um in der Vergangenheit liegende, abgeschlossene Rechtsverstöße. Ob jene N3*** Tools, die am 12. August 2020 die Datenübermittlung in die USA ausgelöst haben, zwischenzeitlich von www.n1***.at entfernt worden seien, sei insofern für das Beschwerdeverfahren ohne Belang. Der Antrag auf Verhängung einer Geldbuße werde zurückgezogen.
A.15. Mit Stellungnahme vom 19. September 2022 brachte die Zweitbeschwerdegegnerin zusammengefasst Folgendes vor:
Die Zweitbeschwerdegegnerin sei (Sub-)Auftragsverarbeiter und lediglich Empfänger der beschwerdegegenständlichen Daten. In diesem Zusammenhang unterliege die Datenverarbeitung nicht dem räumlichen Anwendungsbereich der DSGVO. Hinsichtlich der Rolle von N2*** Irland sei dies am besten mit dieser zu erörtern. Es werde auf die Website https://m.n3***.com/legal/businesstech verwiesen. N2*** Irland sei der Datenexporteur. Die verfahrensgegenständlichen Datentransfers seien rechtmäßig und in Übereinstimmung mit Kapitel V DSGVO erfolgt. Beschwerdegegenstand sei das Tool N3*** Login, die Beschwerde könne nicht „generell“ die Datenübermittlung in die USA sein.
A.16. Mit Stellungnahme vom 18. Oktober 2022 brachte der Beschwerdeführer zusammengefasst Folgendes vor:
Beschwerdegegenstand seien die Datenübermittlungen am 12. August 2020. Der Sachverhalt sei anhand der für den Beschwerdeführer im Code und im Traffic sichtbaren URL unmissverständlich beschrieben, diverse Produktnamen seien irrelevant. Die Beschwerde beziehe sich auf die Übermittlung der personenbezogenen Daten in die USA.
A.17. Mit Stellungnahme vom 18. Oktober 2022 brachte die Erstbeschwerdegegnerin zusammengefasst Folgendes vor:
Die N3*** Ireland Limited sei als primärer Vertragspartner aufgetreten. Die im Jahr 2020 stattgefundenen Datenverarbeitungen seien von der Erstbeschwerdegegnerin ohne Zugriffsmöglichkeit nicht mehr eindeutig nachvollziehbar. Die verarbeiteten Daten sowie die Protokolle im Zusammenhang mit dem N3*** Pixel-Scout seien nicht mehr in ihrem Einflussbereich. Es sei zur vollständigen Beseitigung der vorgeworfenen Rechtsverletzung gekommen. Im gegenständlichen Fall sei keine Verletzung von § 1 DSG Beschwerdegegenstand, der Sachverhalt sei ein anderer. Somit sei § 24 Abs. 6 DSG einschlägig. Es werde der Antrag gestellt, das gegenständliche Verfahren bis zur Vorabentscheidung durch den EuGH im Verfahren zur GZ C-446/21 auszusetzen. Dem Protokoll der mündlichen Einvernahme der Zweitbeschwerdegegnerin vom 16. Mai 2022 sei ein Anhang mit der Überschrift „Vertraulich“ angeschlossen. Dieses Schreiben sei der Erstbeschwerdegegnerin nicht zugestellt worden.
B. Beschwerdegegenstand
B.1. Feststellung einer Rechtsverletzung, die in der Vergangenheit liegt
a) Zum Antrag auf Feststellung
Art. 58 DSGVO enthält keine ausdrückliche rechtliche Grundlage für eine selbständige Feststellung über die allfällige Rechtswidrigkeit eines datenschutzrechtlich relevanten Verarbeitungsvorgangs (vgl. VwGH vom 1. September 2022, Ra 2022/04/0066). Demzufolge setzt die bloße Feststellung einer Verletzung in einem datenschutzrechtlich geschützten Recht gemäß Art. 58 Abs. 6 DSGVO iVm § 24 Abs. 2 Z 5 DSG einen Antrag der betroffenen Person voraus.
Der Beschwerdeführer hat zwar in seiner ersten Eingabe vom 17. August 2020 keinen ausdrücklichen Antrag iSd § 24 Abs. 2 Z 5 DSG gestellt. Vielmehr richteten sich die Anträge (hierzu weiter unten) auf eine (zum Eingabezeitpunkt) noch andauernde Rechtsverletzung.
Im Verlauf des Verfahrens hat der Beschwerdeführer klargestellt, dass im Rahmen seiner Beschwerde eine Rechtsverletzung zum Zeitpunkt 12. August 2020 festgestellt werden möge:
Während der Beschwerdeführer diese Feststellung mit Stellungnahme vom 22. Jänner 2021 noch unter gewissen Vorbehalten beantragt hat ( „[…] für den Fall, dass die DSB von einer nachträglichen Beseitigung der Rechtsverletzung gemäß § 24 (6) DSG ausgeht, beantragt der Beschwerdegegner, die Feststellung, dass die Beschwerdegegnerin am 12.08.2020 unzulässiger Weise personenbezogene Daten des Beschwerdeführers in die USA übertragen hat, […] “, stellt der Beschwerdeführer in seiner Stellungnahme vom 24. September 2021 und insbesondere vom 25. Juli 2022 klar, dass der beschwerdegegenständliche Zeitpunkt der 12. August 2020 sei und die Rechtsverletzung einer Beseitigung iSd § 24 Abs. 6 DSG nicht zugänglich sei. Den Beschwerdegegnerinnen wurden diese Stellungnahmen auch zur Kenntnis gebracht.
Aus Sicht der Datenschutzbehörde ist im vorliegenden Fall daher ein klarer Bezug zu § 24 Abs. 2 Z 5 DSG gegeben und ist der Wille des Beschwerdeführers erkennbar, dass über die Feststellung einer in der Vergangenheit liegenden Rechtsverletzung abgesprochen werden möge.
b) Zu den Rechtsverletzungen
Aus der Eingabe des Beschwerdeführers vom 17. August 2020 und insbesondere seiner Stellungnahme vom 25. Juli 2022 ist ersichtlich, dass Beschwerdegegenstand allgemein Datenübermittlungen am 12. August 2020 in die USA sind, die im Zusammenhang mit N3*** Business Tools stehen ( „[…] Auf der Website hat der Verantwortliche den HTML-Code für N3***-Dienste [einschließlich N3*** Connex] eingebettet“ ). Der Beschwerdeführer hat seine Beschwerde auch zu keinem Zeitpunkt auf eine Datenverarbeitung, die nur als Folge der Implementierung von N3*** Login stattgefunden hat, eingeschränkt.
Unter Berücksichtigung dieser Überlegung sowie der weiteren Stellungnahmen des Beschwerdeführers vom 22. Jänner 2021 und vom 24. September 2021 ist über folgende Rechtsverletzungen abzusprechen:
Beschwerdepunkt A): Haben die Beschwerdegegnerinnen aufgrund der Implementierung von N3*** Business Tools auf der Website www.n1***.at zumindest am 12. August 2020 personenbezogene Daten des Beschwerdeführers in die USA übermittelt, ohne dass ein angemessenes Schutzniveau gemäß Art. 44 DSGVO gewährleistet wurde?
Beschwerdepunkt B): Hat die Zweitbeschwerdegegnerin bei der monierten Datenübermittlung am 12. August 2020 gegen Art. 5 ff iVm Art. 28 iVm Art. 29 DSGVO verstoßen?
B.2. Zum Verarbeitungsverbot
Über den Antrag des Beschwerdeführers, gemäß Art. 58 Abs. 2 lit. d, lit. f und lit. j DSGVO ein unverzügliches Verbot jeglicher Datenübermittlungen auszusprechen, ist nicht abzusprechen, da die Erstbeschwerdegegnerin die N3*** Business Tools vor Abschluss des gegenständlichen Verfahrens von ihrer Website www.n1***.at entfernt hat.
B.3. Zum Antrag auf Verhängung einer Geldbuße
Über den Antrag des Beschwerdeführers, eine Geldbuße gegen die Beschwerdegegnerinnen zu verhängen, ist nicht abzusprechen, da dieser Antrag mit Stellungnahme vom 25. Juli 2022 zurückgezogen wurde (und nunmehr als Anregung zu verstehen ist).
C. Sachverhaltsfeststellungen
C.1. Zur allgemeinen Funktionsweise von Cookies
Mittels Cookies lassen sich Informationen sammeln, die von einer Website generiert und über den Browser eines Internetnutzers gespeichert wurden. Es handelt sich um eine kleine Datei oder Textinformation (in der Regel kleiner als ein Kbyte), die von einer Website über den Browser eines Internetnutzers auf der Festplatte seines Computers oder mobilen Endgeräts platziert wird.
Ein Cookie erlaubt es der Website, sich an die Aktionen oder Vorlieben des Nutzers zu „erinnern“. Die meisten Webbrowser unterstützen Cookies, aber die Nutzer können ihre Browser so einstellen, dass sie die Cookies abweisen. Sie können die Cookies auch jederzeit löschen.
Websites nutzen Cookies, um Nutzer zu identifizieren, sich die Vorlieben ihrer Kunden zu merken und es den Nutzern zu ermöglichen, Aufgaben abzuschließen, ohne Informationen neu eingeben zu müssen, wenn sie zu einer anderen Seite wechseln oder die Website später erneut besuchen.
Cookies können auch genutzt werden, um anhand des Online-Verhaltens Informationen für gezielte Werbung und Vermarktung zu sammeln. Unternehmen verwenden zum Beispiel Software, um das Nutzerverhalten nachzuverfolgen und persönliche Profile zu erstellen, die es ermöglichen, den Nutzern Werbung zu zeigen, die auf ihre zuvor durchgeführten Suchvorgänge zugeschnitten ist.
Beweiswürdigung C.1.: Die Ausführungen zur Funktionsweise von Cookies stammen aus den Schlussanträgen des Generalanwalts in der Rechtssache C-673/17 Rz 36 ff mwN. Da es sich um eine einzelfallunabhängige und allgemeine technische Beschreibung zu den möglichen Funktionen von Cookies handelt, waren diese Ausführungen auf Sachverhaltsebene – und nicht in der rechtlichen Beurteilung – aufzunehmen.
C.2. Zur allgemeinen Funktionsweise von N3*** Login
Bei N3*** Login handelt es sich um ein Tool, welches vom N2***-Konzern angeboten wird. N3*** Login kann bei Webdiensten oder Apps integriert werden, die nicht vom N2***-Konzern angeboten werden. Dadurch können sich Nutzer mit ihren N3*** Nutzerdaten bei dritten Webdiensten oder Apps anmelden, ohne sich gesondert registrieren zu müssen.
N3*** Login wurde vor längerer Zeit unter dem Namen N3*** Connex angeboten.
Der N2***-Konzern stellt zu N3*** Login unter https://developers.n3***.com/docu/n3***-login/basics folgende Informationen zur Verfügung (Auszug, Formatierung nicht 1:1 wiedergegeben, Links nicht enthalten):
„ N3***-Anmeldung – Übersicht
Mit N3*** Login können Nutzer sicher und einfach Konten erstellen und sich über verschiedene Plattformen hinweg bei deiner App anmelden. Diese Funktion ist für iOS, Android, Web, Desktop-Apps und Geräte wie Smart TVs und Internet-of-Things-Objekte verfügbar. N3*** Login ermöglicht den Zugriff auf Personendaten über Authentifizierung oder die Anforderung von Berechtigungen. Du kannst N3*** Login nur für die Authentifizierung oder zusätzlich für den Datenzugriff nutzen.
[ … ]
Anwendungsfälle
N3*** Login ermöglicht auf verschiedene Weise eine großartige Nutzererfahrung:
Kontoerstellung
Über N3*** Login können Nutzer schnell und einfach ein Konto für deine App anlegen und benötigen kein Passwort, das sie leicht vergessen können. Dies führt zu einer höheren Modification. Nachdem ein Nutzer ein Konto auf einer Plattform angelegt hat, kann er sich auf allen anderen Plattformen bei deiner App anmelden – oft mit nur einem einzigen Klick. Durch eine validierte E-Mail-Adresse kannst du den Nutzer zu einem späteren Zeitpunkt erreichen und mit ihm interagieren.
Personalisierung
Eine personalisierte Nutzererfahrung verbindet den Nutzer stärker mit deiner App und führt zu höherer Nutzerbindung. Mit N3*** Login kannst du Informationen sammeln, die du normalerweise auf komplizierte und mühsame Weise über dein eigenes Registrierungsformular einholen müsstest. Selbst, wenn ein Nutzer nur ein Profilbild aus N3*** in deine App importieren kann, fühlt er sich bereits stärker mit deiner App verbunden.
[…]
Funktionen
Wahre Identität
Wenn sich ein Nutzer dazu entscheidet, sich über N3*** anzumelden, so tut er/sie dies mit seiner/ihrer wahren Identität. Das öffentliche Profil beinhaltet den echten Namen einer Person und ein Profilbild. Apps, die auf wahre Identitäten setzen, bekommen meist weniger Spam und fördern qualitativ hochwertigere Unterhaltungen.
Plattformübergreifendes Login
N3*** Login steht auf den gängigsten Plattformen für mobile und Desktop-Apps zur Verfügung. Nutzer, die über N3*** Accounts auf einer Plattform erstellen, können sich auch schnell und einfach auf einer anderen Plattform bei deiner App anmelden. Eine Person verfügt immer und überall über dieselbe Nutzer-ID, wodurch eine nahtlose, plattformübergreifende App-Erfahrung gewährleistet wird. N3*** Login ist verfügbar für iOS, Android und Web, für Desktop-Apps und für Geräte wie Smart-TVs und Internet-of-Things-Geräte.
Funktioniert zusammen mit deinem bestehenden Kontosystem
N3*** Login ergänzt dein bestehendes Kontosystem. Gib deinen Nutzern die Möglichkeit, sich außer per E-Mail, SMS oder über andere soziale Netzwerke auch über N3*** anzumelden. Wenn eine E-Mail-Adresse, die du über N3*** Login erhalten hast, mit einer E-Mail-Adresse übereinstimmt, die bereits in deinem System vorhanden ist, kann sich dieser Nutzer ohne weitere Passworteingabe bei seinem bestehenden Konto anmelden.
Präzise Berechtigungen
N3*** Login unterstützt zahlreiche Berechtigungen, mit denen bestimmt wird, welche Informationen die Nutzer mit deiner App teilen. Für dich bedeutet das, dass du die komplette Kontrolle darüber hast, welche Berechtigungen du anforderst, und Nutzer haben die Kontrolle darüber, wie sie der App die Verwendung ihrer Daten erlauben.
Personen haben Kontrolle über das, was sie teilen
Bei einer großartigen Nutzererfahrung müssen die Nutzer Kontrolle darüber haben, was sie teilen wollen und was nicht. Mit N3*** Login können Nutzer genau festlegen, welche Informationen sie deiner App zur Verfügung stellen möchten. Selbst wenn sie dir bestimmte Informationen nicht zugänglich machen möchten, weil sie sich dabei unwohl fühlen, erhalten sie dennoch die Vorteile von N3*** Login. Deine App kann diese Informationen zu einem späteren Zeitpunkt erneut anfordern, nachdem du den Nutzern erklärt hast, wie du ihre Informationen verwendest, um ihnen eine bessere Nutzererfahrung zu bieten.
Schrittweise Autorisierung
N3*** Login unterstützt die schrittweise Autorisierung. Das bedeutet, dass du nicht alle erforderlichen Informationen sofort anfordern musst, sondern dies allmählich tun kannst. So können Nutzer schnell und einfach ein Konto für deine App anlegen. Sobald sie mit deiner App besser vertraut sind, kannst du weitere Berechtigungen anfordern, um ihre Nutzererfahrung zu verbessern.
Express-Login
Über den Express-Login werden Personen auf allen Geräten und Plattformen bei ihrem N3***-Konto angemeldet. Wenn sich eine Person zuvor auf irgendeiner Plattform bei deiner App angemeldet hat, kannst du diese über Express-Login bei ihrem N3***-Konto auf Android anmelden. Dabei muss die Person keine Anmeldemethode auswählen, was dazu führen konnte, dass doppelte Konten erstellt wurden oder Personen sich überhaupt nicht angemeldet haben.“
Beweiswürdigung C.2.: Die getroffenen Feststellungen zur Funktionsweise von N3*** Login beruhen auf einer amtswegigen Recherche der Website https://developers.n3***.com/docu/n3***-login/basics (abgefragt am 6. März 2023).
Die Feststellung, dass N3*** Login vor längerer Zeit unter dem Namen N3*** Connex angeboten wurde, beruht auf der Aussage der Zweitbeschwerdegegnerin im Rahmen der mündlichen Einvernahme vom 16. Mai 2022 (Antwort auf Frage 8).
C.3. Zur allgemeinen Funktionsweise von N3*** Pixel
Der N2***-Konzern stellt zu N3*** Pixel (jetzt: N2*** Pixel) unter https://developers.n3***.com/docu/N2***-pixeldocs/ folgende Informationen zur Verfügung (Auszug, Formatierung nicht 1:1 wiedergegeben, Links nicht enthalten):
„ N2***-Pixel
Beim N2***-Pixel handelt es sich um einen JavaScript-Code-Schnipsel, der es dir ermöglicht, die Aktivitäten von Besuchern auf deiner Webseite nachzuverfolgen. Es funktioniert durch Laden einer kleinen Bibliothek an Funktionen, die du verwenden kannst, sobald ein Seitenbesucher eine Handlung (ein sogenanntes Event) ausführt, die du nachverfolgen möchtest (diese Handlung wird als Modification bezeichnet). Nachverfolgte Modifications erscheinen im Dashboard des Werbeanzeigenmanagers. Sie können dort zum Messen der Effektivität deiner Anzeigen, zum Festlegen von Custom Audiences für das Targeting für Werbeanzeigen, für Advantage+ Catalog Ads-Kampagnen und zum Analysieren der Effektivität der Modification Funnels deiner Website verwendet werden.
Das N2***-Pixel kann die folgenden Daten erfassen:
HTTP-Header – alle in HTTP-Headern enthaltenen Informationen. Bei HTTP-Headern handelt es sich um ein Standard-Web-Protokoll, das zwischen allen Browser-Anfragen und allen Servern im Internet versendet wird. Die HTTP-Header umfassen IP-Adressen, Informationen zum Web-Browser, zum Speicherort der Seite, zum Dokument, zum Referrer und zur Person, die die Webseite nutzt.
Pixelspezifische Daten – darunter die Pixel-ID und das N3***-Cookie.
Klickdaten für Buttons – alle Buttons, auf die die Besucher der Webseite geklickt haben, die Beschriftungen dieser Buttons und alle Seiten, die als Ergebnis dieser Button-Klicks aufgerufen wurden.
Optionale Werte – Entwickler und Marketers können optional festlegen, dass über Events für benutzerdefinierte Daten zusätzliche Informationen zum Besuch gesendet werden. Beispiele für Events für benutzerdefinierte Daten sind unter anderem Modification-Wert und Seitentyp.
Formularfeldnamen – Unter anderem Website-Feldnamen wie email, address, quantity, für den Kauf eines Produkts oder eines Services. Wir erfassen keine Feldwerte, außer wenn sie Teil von Advanced Matching oder optionalen Werten sind.“
Der N2***-Konzern stellt zu N2*** Pixel darüber hinaus unter https://de-de.n3***.com/business/help/*4353*3?id=*4*564*23 folgende Informationen zur Verfügung (Auszug, Formatierung nicht 1:1 wiedergegeben, Links nicht enthalten):
„Verwende das N2***-Pixel für folgende Zwecke:
Deine Werbeanzeigen an die richtigen Personen ausliefern. Finde neue Kunden oder Personen, die auf deiner Website einen bestimmten Bereich besucht oder eine gewünschte Handlung ausgeführt haben.
Deinen Umsatz steigern. Richte automatische Gebote ein, um Personen zu erreichen, die mit höherer Wahrscheinlichkeit eine für dich relevante Handlung vornehmen, beispielsweise einen Kaufabschluss.
Den Erfolg deiner Werbeanzeigen messen. Analysiere die Wirkung deiner Anzeigen, indem du die Reaktionen von Nutzern erfasst.
Nachdem du dein N2***-Pixel eingerichtet hast, protokolliert es, wenn jemand eine Handlung auf deiner Website vornimmt. Solche Handlungen sind zum Beispiel das Hinzufügen eines Artikels in den Einkaufswagen oder ein Kaufabschluss. Das N2***-Pixel erfasst diese Handlungen (auch Events genannt), die du dann im Events Manager auf der Seite deines N2***-Pixels ansehen kannst. Hier siehst du die Handlungen, die deine Kunden vornehmen. Außerdem kannst du diese Kunden mit weiteren N3***-Werbeanzeigen erneut ansprechen.
Wenn du über das Pixel Events mit N2*** teilst, empfehlen wir dir, dass du zusätzlich die Modifications API verwendest. In Kombination mit deinem Pixel hilft dir die Modifications API, Performance und Messung deiner N3***-Werbekampagnen zu verbessern. Hier findest du weitere Infos zur Modifications API.
Die Nutzungsbedingungen für unsere Business-Tools schreiben vor, dass Unternehmen (oder Partner, die in deren Auftrag handeln) ein Pixel, das mit ihrem Business Manager- oder Werbekonto verknüpft ist, nicht ohne unsere schriftliche Genehmigung auf Websites installieren dürfen, an denen sie keine Eigentumsrechte besitzen. Ab dem 5. Mai 2021 zeigen wir verifizierten Domain-Inhabern die Events und Custom Modifications, die wir kürzlich über die auf ihren Websites platzierten N2***-Pixel empfangen haben. Zwar können verifizierte Domain-Inhaber alle Events sehen, jedoch können sie Events nur dann für die Anzeigenoptimierung und das Reporting nutzen, wenn sie auf diese Events auch in ihrem eigenen Business Manager-Konto zugreifen können. Wenn du nicht möchtest, dass Informationen deiner N2***-Pixel oder Custom Modifications für den Domain-Inhaber sichtbar sind, kannst du bis zum genannten Datum das Pixel von der Website entfernen oder die Custom Modification löschen.“
N2*** Irland verarbeitet die Daten von österreichischen Nutzern, die N3*** Business Tools verwenden und die Zweitbeschwerdegegnerin erhält diesbezügliche Anweisungen von N2*** Irland.
Beweiswürdigung C.3.: Die getroffenen Feststellungen zur Funktionsweise von N3*** bzw. N2*** Pixel beruhen auf einer amtswegigen Recherche der Website https://de-de.n3***.com/business/help/*4353*3?id=*4*564*23 sowie https://developers.n3***.com/docu/N2***-pixel/ (jeweils abgefragt am 6. März 2023).
Die Feststellung, dass die Zweitbeschwerdegegnerin alle Anweisungen, die im Zusammenhang mit n3*** Business Tools stehen, von N2*** Irland erhält, beruht auf der glaubwürdigen Aussage der Zweitbeschwerdegegnerin im Rahmaen der mündlichen Einvernahme vom 16. Mai 2022 (Antwort auf Frage 2). Zwar hat sich die Zweitbeschwerdegegnerin in ihrer Aussage nur auf N3*** Login bezogen, allerdings besteht kein sachlicher Grund zur Annahme, dass diese Überlegungen nicht allgemein für N3*** Business Tools gelten. Auch aus den weiter unten ersichtlichen Nutzungsbedingungen und Datenverarbeitungsbedingungen für N3*** Business Tools (zu denen N3*** Login und N3*** Pixel gehören) ist nichts Gegenteiliges ableitbar.
C.4. Zur Cookie-Richtlinie von N2*** Platforms Ireland Limited (vorher: N3*** Ireland Limited)
N2*** Platforms Ireland Limited stellt unter https://www.n3***.com/policies/cookies/ folgende Informationen zu Cookies zur Verfügung (Auszug, Formatierung nicht 1:1 wiedergegeben, Verlinkungen nicht enthalten):
„ Wo verwenden wir Cookies?
Wir können Cookies auf deinem Computer oder Gerät platzieren und so Informationen erhalten, die in den Cookies gespeichert werden, wenn du Folgendes nutzt bzw. besuchst:
Die N2***-Produkte;
Produkte, die von anderen Mitgliedern der N2***-Unternehmen bereitgestellt werden; und
Websites und Apps, die von anderen Unternehmen bereitgestellt werden, die die N2***-Produkte nutzen, einschließlich Unternehmen, die N2***-Technologien in ihre Websites und Apps einbinden. N2*** verwendet Cookies und erhält ohne irgendeine weitere Handlung deinerseits Informationen, wenn du solche Websites und Apps besuchst, einschließlich Geräteinformationen und Informationen über deine Aktivität. Dies geschieht unabhängig davon, ob du ein N3***-Konto hast oder angemeldet bist.“
Beweiswürdigung C.4.: Die getroffenen Feststellungen beruhen auf einer amtswegigen Recherche der Website https://www.n3***.com/policies/cookies/ (abgefragt am 6. März 2023).
C.5. Zu den Nutzungsbedingungen für N3*** Business Tools
Die Nutzungsbedingungen für N3*** Business Tools (Stand 26. Dezember 2019) lauteten am 12. August 2020 wie folgt (Formatierung nicht 1:1 wiedergegeben, Verlinkungen sind nicht enthalten):
„Diese Nutzungsbedingungen werden mit Wirkung zum 31. August 2020 aktualisiert. Um dir eine Vorschau der neuen Version vor ihrem Inkrafttreten anzusehen, klicke hier.
Nutzungsbedingungen für N3*** Business-Tools
Die N3*** Business Tools sind eine Untergruppe der N3***-Produkte. Wir stellen diese Tools bereit, um Websitebetreiber und herausgeber, Entwickler, Werbetreibende, Geschäftspartner (und ihre Kunden) sowie sonstige Personen dabei zu unterstützen, Informationen zu integrieren und zu verwenden und sie mit N3*** auszutauschen. Die N3*** Business Tools umfassen Folgendes: APIs und SDKs, das N3***-Pixel, soziale Plugins wie die „Mag-ich-echt“- und „Schaus-dir-an“-Buttons, N3*** Login und Account Kit sowie andere Plattform-Integrationen, Plugins, Codes, Spezifikationen, Dokumentationen, Technologien und Dienstleistungen. Durch Klicken auf „Zustimmen“ oder durch Nutzung irgendeines N3*** Business Tools stimmst du Folgendem zu:
1. Teilen von personenbezogenen Daten mit N3***
a. Du kannst die N3*** Business Tools nutzen, um uns personenbezogene Daten deiner Kunden und Nutzer („ Kundendaten “) zu senden. Je nachdem, welche N3***-Produkte du nutzt, können Kundendaten Folgendes umfassen:
i. „Kontaktinformationen“ bestehen aus Informationen, die betroffene Personen persönlich identifizieren, wie Namen, E-Mail-Adressen und Telefonnummern. Diese verwenden wir nur für Abgleichzwecke. Wir hashen vor der Übermittlung die Kontaktinformationen, die du uns über ein N3***-Javascript-Pixel für Abgleichzwecke sendest. Wenn du oder dein Dienstanbieter ein N3*** Image Pixel oder andere N3*** Business Tools nutzt, musst du bzw. muss dein Dienstanbieter vor der Übermittlung die Kontaktinformationen auf eine von uns vorgegebene Art und Weise hashen.
ii. „Event-Daten“ umfassen sonstige Informationen, die du über deine Kunden und deren Handlungen teilst, die sie auf deinen Websites und in deinen Apps oder Geschäften vornehmen, wie z. B. Besuche auf deinen Websites, Installationen deiner Apps und Käufe deiner Produkte.
b. Zu den Kundendaten gehören keine Informationen, bei denen eine betroffene Person dich konkret beauftragt, diese Informationen auf unserer Plattform zu teilen, wie beispielsweise ein über soziale Plugins oder eine andere Integration geteilter Artikel oder ein so geteiltes Lied.
c. Vorbehaltlich des Absatzes 1 (d) teilen wir die uns von dir bereitstellten Kundendaten nicht mit Dritten (einschließlich Werbetreibenden), es sei denn, wir haben deine Genehmigung oder sind von Rechts wegen dazu verpflichtet. Wir wahren die Vertraulichkeit und Sicherheit der Kundendaten u. a. durch geeignete organisatorische, technische und physische Sicherheitsvorkehrungen, die darauf ausgelegt sind, (a) die Sicherheit und Integrität der Kundendaten zu schützen, während sie sich in unseren Systemen befinden, und (b) die Kundendaten gegen den zufälligen oder unberechtigten Zugang bzw. gegen die versehentliche oder unberechtigte Verwendung, Änderung oder Offenlegung innerhalb unserer Systeme zu schützen.
d. Du erklärst dich damit einverstanden, dass N3*** einer bestimmten Person auf deren Anfrage hin den Zugriff auf die Event-Daten zu ihrer Person und/oder eine Kopie davon bereitstellen kann.
e. Du sicherst zu und gewährleistest, dass du (unter Einhaltung sämtlicher geltender Gesetze, Vorschriften und Branchenrichtlinien) eine Rechtsgrundlage für die Offenlegung und Verwendung der Kundendaten hast (und dass jedweder möglicherweise von dir eingesetzte Datenanbieter eine solche Rechtsgrundlage hat). Wenn du die Kundendaten nicht direkt von der betroffenen Person erfasst hast, versicherst und gewährleistest du ohne Einschränkung irgendeines Teils dieser Nutzungsbedingungen für Business Tools, dass du über alle erforderlichen Rechte und Berechtigungen sowie eine Rechtsgrundlage zur Offenlegung und Verwendung der Kundendaten verfügst.
f. Du informierst uns unverzüglich schriftlich über jedwede tatsächliche oder drohende Beschwerde oder Anfechtung im Zusammenhang mit der Verwendung personenbezogener Daten gemäß diesen Nutzungsbedingungen für Business Tools und arbeitest mit uns zusammen bei der Reaktion auf eine derartige Beschwerde oder Anfechtung.
g. Wenn du die Kundendaten im Auftrag eines Dritten verwendest, versicherst und gewährleistest du zudem, dass du als dessen Vertreter berechtigt bist, diese Daten in seinem Auftrag zu verwenden und zu verarbeiten und einen solchen Dritten an diese Nutzungsbedingungen für Business Tools zu binden. Du verwendest die Kundendaten bzw. jedwede durch deine Verwendung der Kundendaten erzeugten Zielgruppen oder Berichte nur im Auftrag eines solchen Dritten.
h. Du teilst keine Kundendaten mit uns, bei denen du weißt bzw. angemessenerweise wissen solltest, dass sie von Kindern unter 13 Jahren stammen bzw. über solche sind oder dass sie Informationen zu Gesundheit, Finanzen oder andere Kategorien vertraulicher Informationen enthalten (einschließlich jedweder Informationen, die gemäß geltendem Recht als vertraulich gelten).
2. Verwendung von Kundendaten
a. Je nachdem, welche Produkte der N3***-Unternehmen du nutzt, verwenden wir Kundendaten für folgende Zwecke:
i. Kontaktinformationen für den Abgleich
1. Du beauftragst uns, die Kontaktinformationen ausschließlich dafür zu verarbeiten, sie mit den Nutzer-IDs von N3*** oder N4***socialmedia abzugleichen („ Abgeglichene Nutzer-IDs “) und diese Nutzer-IDs mit entsprechenden Event-Daten zu kombinieren. Wir löschen Kontaktinformationen nach dem Abgleichprozess.
ii. Event-Daten für Messlösungen und Analysedienste
1. Du beauftragst uns, Event-Daten für folgende Zwecke zu verarbeiten: (a) Um in deinem Auftrag Berichte über die Wirkung deiner Werbekampagnen und sonstigen Online-Inhalte anzufertigen („ Kampagnenberichte “) und (b) um Analysen und Einblicke bezüglich deiner Kunden und ihrer Nutzung deiner Apps, Websites, Produkte und Dienstleistungen zu erstellen („ Analysen “).
2. Wir gewähren dir eine nicht-exklusive und nicht übertragbare Lizenz, die Kampagnenberichte und Analysen ausschließlich für deine internen Geschäftszwecke bzw. ausschließlich in aggregierter und anonymisierter Form für Messungen zu verwenden. Du darfst ohne unsere schriftliche Zustimmung die Kampagnenberichte oder Analysen bzw. irgendeinen Teil dieser nicht gegenüber irgendeinem Dritten offenlegen. Wir legen ohne deine Erlaubnis die Kampagnenberichte oder Analysen bzw. irgendeinen Teil dieser nicht gegenüber irgendeinem Dritten offen, es sei denn, (i) sie sind mit Kampagnenberichten und Analysen von zahlreichen anderen Dritten kombiniert worden und (ii) deine personenbezogenen Informationen werden aus den kombinierten Kampagnenberichten und Analysen entfernt.
iii. Event-Daten zur Erstellung von ansprechbaren Zielgruppen
1. Wir können die Event-Daten verarbeiten, um anhand gemeinsamer Event-Daten Zielgruppen zu erstellen (einschließlich Custom Audiences über Websites, Custom Audiences über mobile Apps und Offline-Custom Audiences), die du dann für das Targeting von Werbekampagnen nutzen kannst. Nach unserem alleinigen Ermessen können wir dir außerdem gestatten, diese Zielgruppen mit anderen Werbekunden zu teilen.
ii. Event-Daten für die Zustellung kommerzieller und transaktionsbezogener Nachrichten
1. Wir können die abgeglichenen Nutzer-IDs und zugehörigen Event-Daten verwenden, um dich dabei zu unterstützen, Personen mit transaktionsbezogenen und sonstigen kommerziellen Nachrichten im Messenger und in anderen Produkten der N3***-Unternehmen zu erreichen.
ii. Event-Daten zur Personalisierung von Funktionen und Inhalten sowie zur Verbesserung und Sicherung der N3***-Produkte
1. Wir verwenden Event-Daten, um die Funktionen und Inhalte (einschließlich Werbeanzeigen und Empfehlungen) zu personalisieren, die wir Personen auf und außerhalb von unseren Produkten der N3***-Unternehmen zeigen. Im Zusammenhang mit dem Anzeigen-Targeting und der Optimierung der Anzeigenauslieferung tun wir Folgendes: (i) Wir verwenden deine Event-Daten nur dann zur Auslieferungsoptimierung, nachdem wir sie mit anderen Daten, die von anderen Werbekunden oder auf andere Weise auf N3***-Produkten erfasst wurden, aggregiert haben; außerdem (ii) gestatten wir anderen Werbekunden oder Dritten nicht, Werbung ausschließlich auf der Grundlage deiner Event-Daten auszurichten.
2. Wir können Event-Daten auch verwenden, um den Schutz und die Sicherheit auf und außerhalb von den Produkten der N3***-Unternehmen zu fördern sowie für Forschungs- und Entwicklungszwecke und für den Erhalt der Integrität der Produkte der N3***-Unternehmen sowie für deren Verbesserung.
2. Besondere Bestimmungen für die Nutzung der N3***-Pixel und SDKs
a. Du darfst (bzw. in deinem Auftrag handelnde Partner dürfen) ohne unsere schriftliche Erlaubnis keine Pixel, die mit deinem Business Manager- oder Werbekonto verknüpft sind, auf Websites platzieren, die dir nicht gehören.
b. Wenn du unsere Pixel oder SDKs nutzt, sicherst du außerdem zu und gewährleistest, dass du einen stabilen und hinreichend auffälligen Hinweis für Nutzer/innen bezüglich dem Erfassen, Teilen sowie der Verwendung der Kundendaten bereitgestellt hast, der mindestens folgende Angaben enthalten muss:
i. Für Websites: Einen eindeutigen und auffälligen Hinweis auf jeder Seite der Website, auf der unsere Pixel genutzt werden. Ein solcher Hinweis hat auf eine klare Erläuterung zu verlinken, die besagt, (a) dass Dritte, einschließlich N3***, möglicherweise Cookies, Web Beacons und sonstige Speichertechnologien nutzen, um Informationen von deinen Websites und anderen Stellen im Internet zu erfassen oder zu erhalten, und diese Informationen dann für die Bereitstellung von Messungsdiensten und das Anzeigen-Targeting verwenden, (b) wie Nutzer/innen der Erfassung und Verwendung von Informationen für das Anzeigen-Targeting widersprechen können und (c) wo Nutzer/innen auf einen Mechanismus zugreifen können, um eine solche Auswahl zu treffen (z. B. durch Bereitstellung von Links zu http://www.aboutads.info/choices und http://www.youronlinechoices.eu/).
ii. Für Apps: Einen eindeutigen und auffälligen Link, der in deinen App-Einstellungen oder in jedweder Datenrichtlinie und aus jedem Store bzw. von jeder Website aus, in der/dem deine App vertrieben wird, leicht zugänglich ist. Dieser Link muss auf eine klare Erläuterung verlinken, die besagt, (a) dass Dritte, einschließlich N3***, möglicherweise Informationen von deiner App und anderen Apps erfassen bzw. erhalten und diese Informationen dann für die Bereitstellung von Messungsdiensten und das Anzeigen-Targeting verwenden, und (b) wie und wo Nutzer/innen der Erfassung und Verwendung von Informationen für das Anzeigen-Targeting widersprechen können.
c. In Gerichtsbarkeiten, in denen für das Speichern von Cookies oder sonstigen Informationen auf dem Gerät eines Endnutzers/einer Endnutzerin und das Zugreifen auf diese eine informierte Einwilligung erforderlich ist (wie u. a. in der Europäischen Union), musst du in nachprüfbarer Weise sicherstellen, dass ein/e Endnutzer/in die erforderliche Einwilligung erteilt, bevor du N3*** Business Tools nutzt, um es uns zu ermöglichen, Cookies oder sonstige Informationen auf dem Gerät des Endnutzers/der Endnutzerin zu speichern und darauf zuzugreifen. (Vorschläge zur Implementierung von Einwilligungsmechanismen findest du im Leitfaden für die Cookie-Einwilligung für Websites und Apps von N3***.)
3. Änderung, Beendigung und Speicherung:
a. Wir können deinen Zugriff auf die N3*** Business Tools jederzeit ändern, aussetzen oder beenden oder ihre Verfügbarkeit einstellen. Du kannst deine Nutzung der N3*** Business Tools jederzeit beenden. Nach Maßgabe dieser Nutzungsbedingungen für Business Tools dürfen wir die Event-Daten maximal zwei Jahre lang speichern. Wir speichern jedwede von dir unter Verwendung der Event-Daten erstellten Zielgruppen so lange, bis du sie über deine Konto-Tools löschst.
b. Diese Nutzungsbedingungen für Business Tools regeln deine Bereitstellung der Kundendaten uns gegenüber sowie deine Nutzung der N3*** Business Tools. Deine Nutzung dieser N3*** Business Tools unterliegt möglicherweise auch den N3***-Plattform-Richtlinien. Diese Nutzungsbedingungen für Business Tools ersetzen keine Nutzungsbedingungen, die für deinen Kauf von Werbebestand von uns gelten (wie u. a. die N3***-Werberichtlinien unter https://www.n3***.com/policies/adverts). Solche Nutzungsbedingungen gelten auch weiterhin für deine Werbekampagnen. Die Nutzungsbedingungen für Custom Audiences von N3*** (zurzeit verfügbar unter https://www.n3***.com/adverts/manage/customaudiences/tos) gelten nicht für Zielgruppen, die durch die Verarbeitung von Event-Daten gemäß diesen Nutzungsbedingungen für Business Tools erstellt worden sind. Wir behalten uns das Recht vor, deine Einhaltung dieser Nutzungsbedingungen für Business Tools zu überwachen bzw. zu überprüfen.
c. Hinweis:
i. Wir haben die Nutzungsbedingungen für Modification Tracking, für Custom Audiences über deine Website sowie für Custom Audiences über deine mobile App aktualisiert und dabei u. a. ihren Namen in Nutzungsbedingungen für N3*** Business Tools geändert. Im Sinne der Nutzungsbedingungen für N3*** Business Tools bezeichnen Bezugnahmen in bestehenden Nutzungsbedingungen oder Vereinbarungen auf die „N3***-Tools“ jetzt die N3*** Business Tools.
ii. Wir haben unsere Nutzungsbedingungen für Offline Modifications aktualisiert und dabei u. a. deren Namen geändert. Sie heißen nun Nutzungsbedingungen für N3*** Business Tools. Im Sinne der Nutzungsbedingungen für N3*** Business Tools gilt für Bezugnahmen in bestehenden Nutzungsbedingungen oder Vereinbarungen Folgendes: (i) „Umsatzdaten“ sind nun Kundendaten, (ii) „Userinfo“ heißen jetzt Kontaktinformationen, (iii) „Geschaeftsabschlussdaten“ sind jetzt Event-Daten, (iv) „Abgeglichene Daten“ bezeichnen jetzt Event-Daten, die mit abgeglichenen Nutzer-IDs kombiniert wurden, (v) „Nicht abgeglichene Daten“ sind jetzt Event-Daten, die nicht mit abgeglichenen Nutzer-IDs kombiniert wurden, (vi) „Berichte“ heißen jetzt Kampagnenberichte und (vii) „OM“ steht jetzt für unsere Offline-Modifications-Funktion.
d. Genauso wie bei unseren Bedingungen für die gewerbliche Nutzung, können wir Änderungen an diesen ergänzenden Nutzungsbedingungen vornehmen. Wenn du nach irgendeiner Aktualisierung der ergänzenden Nutzungsbedingungen weiterhin auf irgendwelche N3***-Produkte, die ergänzenden Nutzungsbedingungen unterliegen, zugreifst oder sie nutzt, stimmst du zu, an sie gebunden zu sein. Die Parteien erkennen an und vereinbaren, dass die staatenspezifischen Nutzungsbedingungen für die Bereitstellung und Nutzung der N3*** Business-Tools gelten und durch Bezugnahme Bestandteil dieser Nutzungsbedingungen für Business-Tools werden.
e. Kein Teil in diesen Nutzungsbedingungen für Business Tools hindert uns daran, Offenlegungen im Zusammenhang mit N3*** Business Tools gegenüber unseren Nutzern/Nutzerinnen vorzunehmen, zu denen wir angewiesen werden können oder die wir möglicherweise für angemessen oder gemäß geltendem Recht für erforderlich erachten.
4. Ein Hinweis für Datenverantwortliche in der EU und in der Schweiz:
a. Sofern die Kundendaten personenbezogene Daten enthalten, die du gemäß der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) (die „DSGVO“) verarbeitest, erkennen die Parteien an und stimmen zu, dass du für die in den Absätzen 2.a.i und 2.a.ii oben beschriebenen Zwecke der Bereitstellung von Abgleich-, Messungs- und Analysediensten der Datenverantwortliche hinsichtlich solcher personenbezogenen Daten bist, und dass du N3*** Ireland Limited beauftragt hast, solche personenbezogenen Daten in deinem Auftrag als dein Auftragsverarbeiter gemäß diesen Nutzungsbedingungen und den Datenverarbeitungsbedingungen von N3***, die durch Bezugnahme Bestandteil dieses Dokuments werden, zu verarbeiten. „Personenbezogene Daten“, „Datenverantwortlicher“ und „Auftragsverarbeiter“ haben in diesem Absatz die ihnen in den Datenverarbeitungsbedingungen zugewiesenen Bedeutungen.
Datum des Inkrafttretens: 26. Dezember 2019“
Die Nutzungsbedingungen für N3*** Business Tools wurden am 31. August 2020 aktualisiert. Die Nutzungsbedingungen idF 31. August 2020 enthalten einen Verweis auf einen neuen Datenübermittlungszusatz, mit dem Standardvertragsklauseln in das Vertragswerk eingebunden wurden und Privacy Shield ersetzt wurde. Dieser Zusatz trat ebenfalls am 31. August 2020 in Kraft:
[Anmerkung Bearbeiter: Der folgende Absatz ist im Original eine grafische Datei]
„N3***
Unsere aktualisierten Datenverarbeitungsbedingungen enthalten einen Verweis auf unseren neuen Datenübermittlungszusatz, mit dem Standardvertragsklauseln in das Vertragswerk eingebunden werden (und der den Privacy Shield ersetzt). Dieser Zusatz tritt am 31. August 2020 In Kraft.“
Die Nutzungsbedingungen für N3*** Business Tools idF 26. Dezember 2019 sowie die Nutzungsbedingungen für N3*** Business Tools idF 31. August 2020 werden den Sachverhaltsfeststellungen zugrunde gelegt.
Beweiswürdigung C.5.: Die getroffenen Feststellungen beruhen auf der Eingabe des Beschwerdeführers vom 17. August 2020 und den darin vorgelegten Dokumenten (Beilage ./01 und Beilage ./03). Die angeführten Nutzungsbedingungen für N3*** Business Tools idF 26. Dezember 2019 und idF 31. August 2020 sind im gegenständlichen Akt enthalten und den Parteien bekannt. Darüber hinaus beruhen die getroffenen Feststellungen auf einer amtswegigen Recherche der Website https://m.n3***.com/legal/terms/businesstools (abgefragt am 6. März 2023).
C.6. Zu den Datenverarbeitungsbedingungen für N3*** Business Tools
Die Datenverarbeitungsbedingungen für N3*** Business Tools lauteten am 12. August 2020 wie folgt (Formatierung nicht 1:1 wiedergegeben, Links nicht enthalten):
„Diese Nutzungsbedingungen werden mit Wirkung zum 31. August 2020 aktualisiert. Um dir eine Vorschau der neuen Version vor ihrem Inkrafttreten anzusehen, klicke hier.
Datenverarbeitungsbedingungen
Wenn du in der Europäischen Union oder in der Schweiz wohnst, erkennst du an, dass mit deiner Nutzung bestimmter N3***-Produkte möglicherweise die Übermittlung personenbezogener Daten (wie unten definiert) an N3*** verbunden ist. Sofern wir solche Daten als dein Auftragsverarbeiter (wie unten definiert) verarbeiten, gelten diese Nutzungsbedingungen für die Datenverarbeitung zusätzlich zu den geltenden Produkt-Nutzungsbedingungen, wie beispielsweise den Nutzungsbedingungen für N3*** Business Tools und den Nutzungsbedingungen für Custom Audiences („Geltende Produkt-Nutzungsbedingungen“). Im Falle eines Widerspruchs zu den Geltenden Nutzungsbedingungen gelten diese Verarbeitungsbedingungen vorrangig.
N3*** und du vereinbaren Folgendes:
1. Datenverarbeitungsbedingungen
1. N3*** hat
1. personenbezogene Daten nur im Einklang mit den geltenden Produkt-Nutzungsbedingungen zu verarbeiten;
2. geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten zu treffen;
3. dich nach Möglichkeit (unter Berücksichtigung der Art der Verarbeitung) mit geeigneten technischen und organisatorischen Maßnahmen zu unterstützen, deiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person gemäß DSGVO nachzukommen;
4. dich unter Berücksichtigung der Art der Verarbeitung und der N3*** zur Verfügung stehenden Informationen bei der Einhaltung deiner in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zu unterstützen;
5. bei Beendigung der geltenden Produkt-Nutzungsbedingungen die personenbezogenen Daten sobald wie angemessenerweise möglich und innerhalb eines Zeitraums von maximal 180 Tagen zu löschen, sofern das EU-Recht oder das Recht des EU-Mitgliedstaats nicht eine längere Speicherung verlangt; dabei darf N3*** die personenbezogenen Daten länger behalten, wenn dies für die Bereitstellung anderer in den geltenden Produkt-Nutzungsbedingungen dargelegter Dienste erforderlich ist;
6. dir alle erforderlichen Informationen zum Nachweis von N3***s Einhaltung seiner in Artikel 28 der DSGVO niedergelegten Pflichten als Auftragsverarbeiter zur Verfügung zu stellen; und
7. dafür zu sorgen, dass ein externer Prüfer im Rahmen von N3***s Audit-Programmen jährlich eine SOC 2 Typ II-Prüfung in Bezug auf die Datenverarbeitungsdienste oder auch eine andere Prüfung nach Branchenstandard durchführt, die N3*** möglicherweise als geeignet erachtet. Auf deine Aufforderung hin stellt N3*** dir maximal einmal pro Jahr eine Ausfertigung seines jeweils aktuellen Prüfberichts zur Verfügung, der dann als vertrauliche Information von N3*** gilt.
2. Du stimmst zu, dass N3*** seine Datenverarbeitungspflichten gemäß diesen Nutzungsbedingungen für die Datenverarbeitung an einen Unterauftragsverarbeiter weitervergeben darf. Dies kann jedoch nur mittels schriftlicher Vereinbarung mit dem Unterauftragsverarbeiter erfolgen, durch die dem Unterauftragsverarbeiter Pflichten auferlegt werden, die nicht weniger belastend sind als die, die N3*** durch diese Nutzungsbedingungen für die Datenverarbeitung auferlegt werden. Wenn ein Unterauftragsverarbeiter solchen Pflichten nicht nachkommt, bleibt N3*** dir gegenüber unbeschränkt haftbar für die Erfüllung der Pflichten dieses Unterauftragsverarbeiters. Du autorisierst N3*** hiermit, N3*** Inc. (und andere N3***-Unternehmen) als seine(n) Unterauftragsverarbeiter zu verpflichten. N3*** hat dich im Voraus von (jedem) etwaigen zusätzlichen Unterauftragsverarbeiter(n) in Kenntnis zu setzen. Wenn du angemessenerweise Einwendungen gegen solche zusätzlichen Unterauftragsverarbeiter hast, kannst du N3*** schriftlich über die Gründe für deine Einwendungen informieren. Wenn du gegen solche zusätzlichen Unterauftragsverarbeiter Einwendungen hast, solltest du aufhören, die Dienste zu nutzen und N3*** Daten bereitzustellen.
3. Wenn N3*** irgendeine tatsächliche oder vermutete Verletzung des Schutzes personenbezogener Daten bezüglich der personenbezogenen Daten feststellt, hat N3*** dich unverzüglich darüber zu benachrichtigen. Eine solche Mitteilung hat entweder zum Zeitpunkt der Benachrichtigung oder möglichst bald danach folgende Informationen zu enthalten: Details zur Art der Verletzung, die Zahl der betroffenen Datensätze, die Kategorie und die ungefähre Zahl der betroffenen Personen, die wahrscheinlichen Folgen der Verletzung und jedwede tatsächlichen oder vorgeschlagenen Maßnahmen zur Abmilderung der möglichen nachteiligen Auswirkungen der Verletzung.
4. N3***, Inc. ist gemäß dem EU-US-Datenschutzschild und dem Datenschutzschild Schweiz-USA Verpflichtungen eingegangen, die möglicherweise für Daten gelten, die von dir oder N3*** Ireland Limited gemäß den geltenden Produkt-Nutzungsbedingungen an N3***, Inc. übermittelt wurden/werden. Wenn sie für die Übermittlung von personenbezogenen Daten an N3***, Inc. in Länder außerhalb der EU oder der Schweiz eingesetzt werden und du in der Europäischen Union oder in der Schweiz wohnst, erkennst du an, dass für solche Daten zusätzlich zu den geltenden Produkt-Nutzungsbedingungen die Datenschutzschild-Nutzungsbedingungen (https://www.n3***.com/legal/privacyshieldforadvertising) gelten.
2. Begriffsbestimmungen: Im Sinne dieser Datenverarbeitungsbedingungen tragen die nachfolgenden Begriffe die unten genannte Bedeutung:
„DSGVO“ steht für die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679).
„Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“ und „Verarbeitung“ haben dieselben Bedeutungen wie in der DSGVO; „verarbeitet“ und „verarbeiten“ sind entsprechend der Begriffsbestimmung von „Verarbeitung“ auszulegen.“
Die Datenverarbeitungsbedingungen für N3*** Business Tools wurden am 31. August 2020 aktualisiert.
Die Datenverarbeitungsbedingungen für N3*** Business Tools idF 12. August 2020 sowie die Datenverarbeitungsbedingungen für N3*** Business Tools idF 31. August 2020 werden den Sachverhaltsfeststellungen zugrunde gelegt.
Beweiswürdigung C.6.: Die getroffenen Feststellungen beruhen auf der Eingabe des Beschwerdeführers vom 17. August 2020 und den darin vorgelegten Dokumenten (Beilage ./02 und Beilage ./04). Die angeführten Datenverarbeitungsbedingungen für N3*** Business Tools idF 12. August 2020 und idF 31. August 2020 sind im gegenständlichen Akt enthalten und den Parteien bekannt.
Darüber hinaus beruhen die getroffenen Feststellungen auf einer amtswegigen Recherche der Website https://www.n3***.com/legal/terms/dataprocessing/update (abgefragt am 6. März 2023).
C.7. Zu den Datenschutzschild-Nutzungsbedingungen
Die Datenschutzschild-Nutzungsbedingungen für N3*** Business Tools unter https://www.n3***.com/legal/privacyshieldforadvertising lauteten am 12. August 2020 wie folgt (Formatierung nicht 1:1 wiedergegeben, Links nicht enthalten):
„ Datenschutzschild-Nutzungsbedingungen
Du erkennst an, dass die Nutzung bestimmter N3***-Dienste für Werbeanzeigen oder Messungen (die „Dienste“) möglicherweise dazu führt, dass N3***, Inc. („ N3*** “) Daten von dir erhält (entweder direkt oder wenn es im Namen von N3*** Ireland Ltd handelt). Dies erfolgt unter Berufung auf den EU-US-Datenschutzschild oder den Datenschutzschild Schweiz-USA (zusammen „ Datenschutzschild “). Sofern der Datenschutzschild für die von dir bereitgestellten Daten gilt und ohne irgendeine zwischen dir und N3*** geschlossene Vereinbarung einzuschränken, erkennst du Folgendes an und stimmst diesem zu:
Der Datenschutzschild-Hinweis von N3*** ist verfügbar unter www.n3***.com/about/privacyshield ; er legt die Zertifizierung von N3*** dar. Gemäß deinen Verpflichtungen im Zusammenhang mit deiner Nutzung der Dienste verpflichtest du dich, Personen angemessene und geeignete Informationen über die Dienste bereitzustellen.
N3*** kann Datensubjekten Kontaktinformationen über dich über die Dienste zur Verfügung stellen und ihnen so u. a. erlauben, direkt Kontakt mit dir aufzunehmen, um ihre Rechte gemäß Datenschutzschild auszuüben.
N3*** erhält möglicherweise Anfragen oder Beschwerden von Datensubjekten und kann diesen einen unabhängigen Mechanismus für Regress und Streitbeilegung zur Verfügung stellen. Dessen ungeachtet bleibst du für die Klärung jedweder Beschwerden verantwortlich, die von Datensubjekten bezüglich deiner Verarbeitung der persönlichen Daten der Datensubjekte in Verbindung mit den Diensten an dich herangetragen werden (gleichgültig ob diese direkt dir gegenüber oder uns gegenüber geäußert werden).
Du verpflichtest dich, alle angemessenen Maßnahmen (einschließlich jener, die N3*** angemessenerweise fordert) zu ergreifen, um N3*** die Einhaltung seiner Datenschutzschild-Verpflichtungen zu ermöglichen, einschließlich einer Hilfestellung zur Klärung von Beschwerden. Im Falle eines Widerspruchs zwischen diesen Nutzungsbedingungen und anderen Nutzungsbedingungen, die sich auf diese Nutzungsbedingungen berufen, sind diese Nutzungsbedingungen maßgeblich.
Letzte Änderung: 29. September 2017“
Am 27. September 2021 trat ein neuer N3***-Vertragszusatz für die Übermittlung europäischer Daten in Kraft. Dieser ist unter https://www.n3***.com/legal/EU_data_transfer_annex/update zu finden und lautet wie folgt (Formatierung nicht 1:1 wiedergegeben, Links nicht enthalten):
[Anmerkung Bearbeiter: Der folgende Absatz ist im Original eine grafische Datei]
„Dieser Vertragszusatz für die Übermittlung europäischer Daten tritt am 27. September 2021 in Kraft. Eine List der Unterauftragsverarbeiter von N3*** ist hier einsehbar. „
N3***-VERTRAGSZUSATZ FÜR DIE ÜBERMITTLUNG EUROPÄISCHER DATEN
Dieser Vertragszusatz für die Übermittlung europäischer Daten tritt am 27. September 2021 in Kraft.
Dieser Vertragszusatz für die Übermittlung europäischer Daten („ Datenübermittlungszusatz “) wird durch Bezugnahme Bestandteil der Datenverarbeitungsbedingungen . Er gilt, soweit N3*** Ireland als dein Auftragsverarbeiter europäische Daten gemäß den Nutzungsbedingungen für umfasste Produkte verarbeitet und Übermittlungen solcher Daten aus der EU, dem EWR, dem Vereinigten Königreich oder der Schweiz an N3***, Inc. erfolgen.
1. Du erkennst an und stimmst zu, dass N3*** Ireland europäische Daten an N3***, Inc. übermittelt, um die umfassten Produkte gemäß den Nutzungsbedingungen für umfasste Produkte bereitzustellen, und dass europäische Daten an andere Unterauftragsverarbeiter von N3*** weiterübermittelt werden können.
2. N3*** Ireland übermittelt europäische Daten auf der Grundlage von Auftragsverarbeiter-an-Auftragsverarbeiter-Standardvertragsklauseln an N3***, Inc., behält sich jedoch das Recht vor, eine alternative Übermittlungsmöglichkeit zu verwenden, die von der DSGVO und anderen anwendbaren Datenschutzgesetzen im EWR, im Vereinigten Königreich und in der Schweiz anerkannt sind (wie beispielsweise ein Angemessenheitsbeschluss). Weiterübermittlungen an Unterauftragsverarbeiter von N3*** auf Grundlage der Auftragsverarbeiter-an-Auftragsverarbeiter-Standardvertragsklauseln erfolgen auf Grundlage der allgemeinen Genehmigung gemäß den Datenverarbeitungsbedingungen.
3. Um einen effizienten und koordinierten Dienst zu ermöglichen, wird die gesamte Kommunikation mit N3***, Inc. bzw. mit jedem anderen Unterauftragsverarbeiter von N3*** im Zusammenhang mit den Auftragsverarbeiter-an-Auftragsverarbeiter-Standardvertragsklauseln so weit wie möglich über N3*** Ireland koordiniert und geleitet.
4. Dieser Datenübermittlungszusatz hat im Umfang eines etwaigen Widerspruchs oder einer Unvereinbarkeit Vorrang vor den Nutzungsbedingungen für umfasste Produkte. Durch deine weitere Nutzung der bzw. den Zugriff auf die umfassten Produkte am oder nach dem Datum des Inkrafttretens dieses Datenübermittlungszusatzes (bzw. ggf. jeder Aktualisierung dieses Datenübermittlungszusatzes) stimmst du zu, an den Datenübermittlungszusatz in seiner jeweils aktualisierten Version gebunden zu sein.
5. Jegliche zwischen dir und N3***, Inc. gemäß dem am 31. August 2020 in Kraft getretenen Datenübermittlungszusatz vereinbarten Klauseln gelten mit Wirkung ab dem Datum des Inkrafttretens dieses Datenübermittlungszusatzes als beendet. Du stimmst zu, dass jegliche europäische Daten, die auf Grundlage der beendeten Klauseln übermittelt wurden, aufgrund der Beendigung dieser Klauseln nicht vernichtet oder zurückgegeben werden müssen, sondern stattdessen den in diesem Datenübermittlungszusatz dargelegten Nutzungsbedingungen unterliegen.
6. In diesem Datenübermittlungszusatz gelten folgende Begriffsbestimmungen:
a) „ Umfasstes Produkt “ ist ein N3***-Produkt oder Dienst, für das/den die Nutzungsbedingungen für umfasste Produkte gelten.
b) Als „ Nutzungsbedingungen für umfasste Produkte “ werden die für ein N3***-Produkt bzw. einen N3***-Dienst geltenden Nutzungsbedingungen bezeichnet, soweit darin festgelegt ist, dass N3*** Ireland während der Bereitstellung des Produkts bzw. Dienstes Europäische Daten als dein Auftragsverarbeiter gemäß den Datenverarbeitungsbedingungen verarbeitet (wobei diese Nutzungsbedingungen für umfasste Produkte von Zeit zu Zeit aktualisiert oder ersetzt werden).
c) „ Klauseln “ steht für die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, die von der Europäischen Kommission in ihrem Beschluss 2010/87/EG vom 5. Februar 2010 genehmigt wurden (allerdings ohne die veranschaulichenden optionalen Klauseln).
d) „ EWR “ steht für den Europäischen Wirtschaftsraum.
e) „ EU “ steht für die Europäische Union.
f) „ Europäische Daten “ bezeichnet die personenbezogenen Informationen unter deiner alleinigen Verantwortlichkeit, die von N3*** Ireland als deinem Auftragsverarbeiter gemäß den Nutzungsbedingungen für umfasste Produkte verarbeitet werden, soweit die DSGVO bzw. die Datenschutzgesetze im EWR, im Vereinigten Königreich oder in der Schweiz auf die Verarbeitung solcher Daten Anwendung finden.
g) „ N3*** Ireland “ steht für N3*** Ireland Limited.
h) Ein „ Unterauftragsverarbeiter von N3***“ ist ein Unterauftragsverarbeiter, der beauftragt ist, europäische Daten gemäß den Datenverarbeitungsbedingungen zu verarbeiten.
i. „ Auftragsverarbeiter-an-Auftragsverarbeiter-Standardvertragsklauseln “ sind, entsprechend der jeweiligen Übermittlung: (a) Modul 3 (Auftragsverarbeiter-an-Auftragsverarbeiter) der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß DSGVO, welche von der Europäischen Kommission in ihrem Beschluss 2021/914 vom 4. Juni 2021 genehmigt wurden; oder (b) solche anderen (Auftragsverarbeiter-an-Auftragsverarbeiter)-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer, die gemäß den geltenden Datenschutzgesetzen in der EU, im EWR, im Vereinigten Königreich oder in der Schweiz anerkannt sind (in jedem der Fälle mit jeglichen von N3*** gewählten optionalen Klauseln).
7. Für die Zwecke dieses Datenübermittlungszusatzes tragen jegliche Begriffe mit großen Anfangsbuchstaben die ihnen in den Nutzungsbedingungen für umfasste Produkte zugewiesene Bedeutung, sofern nicht etwas anderes angegeben wird. Verweise auf die Nutzungsbedingungen für umfasste Produkte, einschließlich der Datenverarbeitungsbedingungen, beziehen sich auf ihre jeweils gemäß den Nutzungsbedingungen für umfasste Produkte ggf. aktualisierten Fassungen.“
Auf der Website https://www.n3***.com/about/***privacyshield war zumindest am 12. August 2020 noch keine Information enthalten, dass die Zweitbeschwerdegegnerin Privacy Shield nicht mehr für die Übermittlung personenbezogener Daten in die USA heranzieht.
Beweiswürdigung C.7.: Die getroffenen Feststellungen hinsichtlich Datenschutz-Nutzungsbedingungen beruhen auf der Eingabe des Beschwerdeführers vom 17. August 2020 und wurden soweit nicht von den Beschwerdegegnerinnen bestritten.
Die Feststellung, dass auf der Website https://www.n3***.com/about/***privacyshield zumindest am 12. August 2020 noch keine Information enthalten war, dass die Zweitbeschwerdegegnerin Privacy Shield nicht mehr für die Übermittlung personenbezogener Daten in die USA heranzieht, ergibt sich aus Beilage ./06, die der Beschwerdeführer in seiner Eingabe vom 17. August 2020 vorgelegt hat.
Darüber hinaus beruhen die getroffenen Feststellungen auf einer amtswegigen Recherche der Website https://www.n3***.com/legal/privacyshieldforadvertising, https://www.n3***.com/legal/EU_data_transfer_annex/update sowie https://www.n3***.com/about/***privacyshield (jeweils abgefragt am 6. März 2023).
C.8. Verwendung von N3*** Business Tools auf www.n1***.at am 12. August 2020
Die Erstbeschwerdegegnerin ist Betreiberin der Website www.n1***.at. Bei www.n1***.at handelt es sich um ein Online-Nachrichtenportal, welches zu weltweiten Themen und insbesondere zu Themen mit Bezug zu Österreich berichtet. Die Erstbeschwerdegegnerin trifft die Entscheidung über Inhalt und Gestaltung der genannten Website.
Jedenfalls zum Stichtag 12. August 2020 hat die Erstbeschwerdegegnerin die Entscheidung getroffen, die N3*** Business Tools „N3*** Login“ und „N3*** Pixel“ auf ihrer Website zu implementieren, um die Funktionen der Tools zu nutzen. Hierzu hat sie einen JavaScript Code, der seitens der Zweitbeschwerdegegnerin zur Verfügung gestellt wurde, im Quelltext ihrer Website www.n1***.at eingebaut.
Die Erstbeschwerdegegnerin hat die Nutzungsbedingungen für N3*** Business Tools idF 26. Dezember 2019 und die Datenverarbeitungsbedingungen für N3*** Business Tools idF 12. August 2020 akzeptiert. Die Bedingungen werden immer zwischen Kunden (zB. Betreiber einer Website) und N2*** Irland abgeschlossen.
Für N3*** Pixel hat die Erstbeschwerdegegnerin bei der Zweitbeschwerdegegnerin ein Konto („Dashboard“) mit der Scout ID 7*33*43*2*21*1 eingerichtet. Die Erstbeschwerdegegnerin hat aktuell jedoch keinen Zugriff mehr auf ihr N3*** Pixel Dashboard.
Die Erstbeschwerdegegnerin hat die genannten N3*** Business Tools jedenfalls zum Stichtag 25. Oktober 2022 von der Website www.n1***.at entfernt.
Beweiswürdigung C.8.: Die getroffenen Feststellungen zur Implementierung der N3*** Business Tools auf www.n1***.at und dem „Dashboard“ beruhen auf der Stellungnahme der Erstbeschwerdegegnerin vom 7. März 2022. Darin hat diese ausdrücklich vorgebracht, dass sie die N3*** Business Tools N3*** Login und N3*** Pixel zumindest am 12. August 2020 auf der Website www.n1***.at implementiert hat und dass die entsprechenden Vereinbarungen akzeptiert wurden.
Die Feststellung, dass die genannten N3*** Business Tools in Folge von der genannten Website entfernt wurden, ergibt sich ebenfalls aus der Stellungnahme der Erstbeschwerdegegnerin vom 7. März 2022, die soweit nicht vom Beschwerdeführer bestritten wurde. Eine amtswegige Recherche der Datenschutzbehörde der Website www.n1***.at hat ergeben, dass die genannten N3*** Business Tools aktuell nicht mehr verwendet werden (abgefragt am 6. März 2023).
Die Feststellung, dass die Bedingungen immer zwischen Kunden (zB. Betreiber einer Website) und N2*** Irland abgeschlossen werden, beruht auf der glaubwürdigen Aussage der Zweitbeschwerdegegnerin im Rahmen der mündlichen Einvernahme vom 16. Mai 2022 (Antwort auf die Fragen 1 und 2).
C.9. Websitebesuch des Beschwerdeführers am 12. August 2020
Der Beschwerdeführer besuchte zumindest am 12. August 2020 die Website www.n1***.at. Während des Besuchs war er in seinem N3***-Konto eingeloggt, welches mit seiner E-Mail-Adresse walter.c***@***email.org verknüpft ist. Der Beschwerdeführer hat die N3*** Login Funktion auf www.n1***.at am 12. August 2020 nicht verwendet.
Beweiswürdigung C.9.: Die getroffenen Feststellungen beruhen auf der Eingabe des Beschwerdeführers vom 17. August 2020 und sind unstrittig.
C.10. Datenübermittlungen in die USA als Folge des Websitebesuchs am 12. August 2020
Anlässlich des Besuchs des Beschwerdeführers unter www.n1***.at wurden, als Folge der Implementierung von N3*** Business Tools auf der genannten Website, am 12. August 2020 zumindest die folgenden Transaktionen durchgeführt sowie die folgenden Cookies gesetzt (Auszug aus der HAR-Datei, Beilage ./5):
„Request on 2020-08-12T10:52:37.480+02:00
General
Headers
Accept : image/webp,*/*
Accept-Encoding : gzip, deflate, br
Accept-Language : en-US,de;q=0.7,en;q=0.3
Connection : keep-alive
Cookie : ge*r=cl*Q**yF6*mFPXk0*kP0YXanQ; *ib=*BU*X8*kO4iCN*CutGI6XDv6; t_*o=2*Z*GY8*7sFEGvv*.AWVb0-*maw0-nmqjiuGY*8FzSe0.B*FV8.nJ.v*.0.0.BfM*tA.BW*Uue*u7; _n3***p=n3***.13.9***3*1*8; *po=1760x860; *langplac=en_US; l*_user=*5*324*0*1; j*x=1*3%3*wBOCPo*kS1XJoQ*3i2%3A1***422*696%*A1*58*3A1*o5*8; *turn=r6*i**2508_b.trunk_t.*3*15*5298_s.1_v.2_; _plac**=E*rF3Etime*F*59*21704Eu*erF*2*5*3**0*1A2Estate*D*F0CEchF_7bCC
Host : www.n3***.com
Referer : https://www.n1***.at/service/impressum-n1***/*2*4*7*
TE : Trailers
User-Agent : Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0
Query Arguments
coo : false
dl : https://www.n1***.at/service/impressum-n1***/*2*4*7*
ec : 0
ev : PageView
n3***p : n3***.*3.**4*8*29*54*58*7
id : *43**7*8*19*52*48*9
if : false
it : 6*5***670*2
o : 30
r : stable
rl : https://www.n1***.at/
rqm : GET
sh : 1080
sw : 1920
ts : 7*z*97*3*4
v : 2.9.23
Cookies
_n3***p
o Value: n3***.13.9***3*1*8
o Path: /
o Expires: Session
l*_user
o Value: *5*324*0*1
o Path: /
o Expires: Session
ge*r
o Value: cl*Q**yF6*mFPXk0*kP0YXanQ
o Path: /
o Expires: Session
t_*o
o Value: 2*Z*GY8*7sFEGvv*.AWVb0-*maw0-nmqjiuGY*8FzSe0.B*FV8.nJ.v*.0.0.BfM*tA.BW*Uue*u7
o Path: /
o Expires: Session
*langplac
o Value: en_US
o Path: /
o Expires: Session
_plac**
o Value: E*rF3Etime*F*59*21704Eu*erF*2*5*3**0*1A2Estate*D*F0CEchF_7bCC
o Path: /
o Expires: Session
*ib
o Value: *BU*X8*kO4iCN*CutGI6XDv6
o Path: /
o Expires: Session
*turn
o Value: r6*i**2508_b.trunk_t.*3*15*5298_s.1_v.2_
o Path: /
o Expires: Session
*po
o Value: 1760x860
o Path: /
o Expires: Session
j*x
o Value: *2:w**BC*nkS*5Q:2:4*5***6*6:12*8:3**74*
o Path: /
o Expires: Session“
Der Inhalt der angeführten Beilage ./5 (HAR-Datei) wird den Sachverhaltsfeststellungen zugrunde gelegt.
Im Rahmen dieser Transaktionen wurden aufgrund der Implementierung von N3*** Pixel auf www.n1***.at am 12. August 2020 zumindest die IP-Adresse, Informationen zum Web-Browser, Speicherort der Website, pixelspezifische Daten (Pixel-ID) und Klickdaten für Buttons des Endgeräts des Beschwerdeführers an die Server der Zweitbeschwerdegegnerin in die USA übermittelt.
Im Rahmen dieser Transaktion wurden aufgrund der Implementierung von N3*** Login auf www.n1***.at am 12. August 2020 zumindest folgende Daten des Endgeräts des Beschwerdeführers an die Server der Zweitbeschwerdegegnerin in die USA übermittelt:
IP-Adresse;
User-Agent;
Mobiles Betriebssystem und Browser;
Informationen zum Host-Server (d. h. die Website, die das Feature Login enthält);
Datum und Uhrzeit des Website-Besuchs;
Sprache des Inhalts (d. h. die Sprache des Publikums, für das die betreffende Website bestimmt ist);
Locale (d. h. in der Regel der Ländercode, der sich auf das Content-Language-Feld im HTTP-Header bezieht, z. B. "en-US" gegenüber "en-GB");
HTTP Referrer (d.h. die URL der Seite, auf der sich die Person befindet);
Viewport-Daten (d. h. die Bildschirmauflösung des Geräte-Display);
User-ID;
Cached Access Tokens;
Standard HTTP Request Headers, die nicht bereits aufgelistet sind; und
Gespeicherte Werte in N3***-Cookies.
Die Zweitbeschwerdegegnerin kann auf diese Daten in Klartextform zugreifen.
Beweiswürdigung C.10.: Die getroffenen Feststellungen zu den Transaktionen beruhen auf der Eingabe des Beschwerdeführers vom 17. August 2020 und der darin vorgelegten Beilage ./5 (HAR-Datei). Bei einer HAR-Datei handelt es sich um ein Archivformat für HTTP-Transaktionen. Die HAR-Datei wurde seitens der Datenschutzbehörde überprüft. Das Vorbringen des Beschwerdeführers stimmt mit den darin enthaltenen Archivdaten überein. Die vorgelegte HAR-Datei (bzw. deren Inhalt) ist den Parteien bekannt. Auch die Zweitbeschwerdegegnerin hat in ihrer Beilage zur Stellungnahme vom 30. Mai 2022 mit dem Titel „Vertraulich“ ausgeführt, dass diese jedenfalls in Bezug auf N3*** Login diverse Informationen (zumindest die IP-Adresse, Informationen zum Web-Browser, Speicherort der Website, pixelspezifische Daten (Pixel-ID) und Klickdaten für Buttons) enthält.
Die Feststellung, dass die Daten an die Server der Zweitbeschwerdegegnerin in die USA übermittelt wurden, ergibt sich aus der Stellungnahme der Zweitbeschwerdegegnerin vom 30. Mai 2022 und der beigefügten Datenfeldliste (mit dem Titel „Vertraulich“). Wenngleich die Zweitbeschwerdegegnerin ausführt, dass sie diese Daten „im Rahmen der SDK“ (offenbar gemeint: Standarddatenschutzklauseln) erhält, besteht kein sachlicher Grund zur Annahme, dass sie diese Daten nicht auch schon am 12. August 2020 erhalten hat. Abgesehen davon werden gewisse Daten, wie zB. die IP-Adresse und Daten zum Web-Browser, beim Aufruf einer Website immer übermittelt. Die Erstbeschwerdegegnerin hat eine Datenübermittlung in die USA auch nicht bestritten, wobei sie im Rahmen ihrer datenschutzrechtlichen Rechenschaftspflicht (siehe hierzu die rechtliche Beurteilung und die angeführte Judikatur des EuGH) ohnedies die Beweislast für ihr Vorbringen trägt.
Die Feststellung, dass bei der Implementierung von N3*** Pixel auch pixelspezifische Daten übermittelt werden, ergibt sich aus einer amtswegigen Recherche der Website https://developers.n3***.com/docu/N2***-pixel/ (abgefragt am 6. März 2023).
Die Feststellung, dass die Zweitbeschwerdegegnerin auf diese Daten in Klartextform zugreifen kann, beruht auf ihren Aussagen im Rahmen der mündlichen Einvernahme vom 16. Mai 2022. Zwar hat die Zweitbeschwerdegegnerin bei der Frage, ob sie die Daten im Rahmen der Auftragsverarbeitung in Klartextform erhält, keine konkrete Antwort gegeben (siehe Frage 13). Allerdings hat sie ausgeführt, dass sie mehrere Leistungen für N2*** Irland erbringt, wie zum Beispiel Infrastrukturleistungen, Peering, Hosting und verwandte Leistungen wie etwa Testing, Bug-Fixing, was die Produkte von N2*** Irland angeht, sowie Produktsicherheit, einschließlich die Untersuchung verdächtiger Aktivitäten (siehe Frage 11). Diese Leistungen können nach Auffassung der Datenschutzbehörde nicht erbracht werden, wenn die Zweitbeschwerdegegnerin die Daten von N2*** Irland nicht in Klartextform erhält. Auch im Transparenzbericht des N2***-Konzerns unter https://transparency.n3***.com/data/government-requests/additional-questions/ (abgefragt am 6. März 2023) wird als „Schutzmaßnahme“ eine „Encryption of data in transit“ (also eine Verschlüsselung von Daten bei der Übertragung) angeführt, nicht jedoch eine wirksame Verschlüsselung gegenüber der Zweitbeschwerdegegnerin.
Nicht übersehen wird, dass anlässlich der Implementierung von N3*** Pixel auf einer Website noch weitere Daten übermittelt werden können, wie zB. Klickdaten für Buttons. Der Beschwerdeführer hat jedoch in seiner Stellungnahme vom 25. Juli 2022 ausgeführt, nicht mit N3*** Login interagiert zu haben. Auch sonst hat er nicht vorgebracht, auf N3*** Buttons geklickt zu haben. Es waren daher keine Feststellungen in Bezug auf Klickdaten für Buttons zu treffen.
C.11. Zu den Cookies im konkreten Fall
Zumindest der Cookie „_n3***p“ enthält einen einzigartigen, zufallsgenerierten Wert (random number).
Zum Cookie „_n3***p“ finden sich unter https://developers.n3***.com/docu/marketing-api/Modifications-api/parameters/n3***p-and-n3***c/?*langplac=de_DE folgende Informationen (Formatierung nicht 1:1 wiedergegeben, Auszug, Original auf Englisch):
[Anmerkung Bearbeiter: Der folgende englischsprachige Textabschnitt ist im Original eine teils farbige grafische Datei]
n3***p
When the N2*** Pixel is installed on a website, and the Pixel uses first-party cookies, the Pixel automatically saves a unique identifier to an _ n3***p cookie for the website domain if one does not already exist.
The n3***p event parameter value must be of the form version.subdomainlndex.creationTime.randomnumber, where:
▪ version is always this prefix: n3***
▪ subdomainIndex is which domain the cookie is defined on ('com' = O, 'n3***.com' = 1, 'www.n3***.com = 2). If you're generating this field on a server, and not saving an n3***p cookie, use the value 1.
▪ creationTime is the UNIX time since epoch in milliseconds when the _n3***p cookie was saved. If you don't save the _n3***p cookie, use the timestamp when you first observed or received this n3***p value.
▪ Randomnumber is generated by the N2*** Pixel SDK to ensure every _n3***p cookie is unique.
Here's an example of what the n3***p value could look like:
n3***. 2*.6***4*5*7
Zu den Cookies „_n3***p“, „l*_user“, j*x“ und „t_*o“ finden sich unter https://de-de.n3***.com/policies/cookies/ folgende weitere Informationen (Formatierung nicht 1:1 wiedergegeben, Auszug, Hervorhebungen seitens der Datenschutzbehörde):
„ Authentifizierung
Wir verwenden Cookies, um dein Konto zu verifizieren und um festzustellen, wann du angemeldet bist, damit wir dir den Zugriff auf die N2***-Produkte erleichtern und dir das passende Nutzererlebnis sowie geeignete Funktionen bereitstellen können.
Zum Beispiel: Wir verwenden Cookies, damit du angemeldet bleiben kannst, während du zwischen verschiedenen N3***-Seiten hin und her wechselst. Cookies helfen uns auch dabei, deinen Browser wiederzuerkennen, damit du dich nicht immer wieder neu bei N3*** anmelden musst und dich über Apps und Websites Dritter einfacher bei N3*** anmelden kannst. Beispielsweise verwenden wir, einschließlich für diesen Zweck, „l*_user “- und „ j*x “-Cookies, die eine Speicherzeit von 365 Tagen haben.
[…]
Werbung, Empfehlungen, Insights und Messungen
Wir verwenden Cookies als Unterstützung, um denjenigen Personen, die sich möglicherweise für die von Unternehmen und sonstigen Organisationen beworbenen Produkte, Dienstleistungen oder Zwecke interessieren, Werbeanzeigen zu diesen Unternehmen und Organisationen zu zeigen und Empfehlungen für sie auszusprechen.
Zum Beispiel: Mithilfe von Cookies können wir denjenigen Personen, die bereits zuvor die Website eines Unternehmens besucht, seine Produkte gekauft oder seine Apps verwendet haben, Werbeanzeigen zeigen und ihnen auf dieser Aktivität basierende Produkte und Dienstleistungen empfehlen. Cookies ermöglichen uns außerdem die Begrenzung der Häufigkeit, mit der dir eine Werbeanzeige angezeigt wird, damit du dieselbe Werbeanzeige nicht immer wieder siehst. Der „ t_*o “-Cookie wird beispielsweise verwendet, um Werbeanzeigen auszuliefern und ihre Relevanz zu messen und zu verbessern. Er hat eine Speicherzeit von 90 Tagen.
Wir verwenden Cookies auch, um Unternehmen, die die N2***-Produkte nutzen, dabei zu unterstützen, den Erfolg ihrer Werbekampagnen zu messen.
Zum Beispiel: Wir verwenden Cookies, um zu ermitteln, wie oft eine Werbeanzeige angezeigt wird, und um die Kosten dieser Werbeanzeigen zu berechnen. Außerdem verwenden wir Cookies, um zu messen, wie oft Menschen nach einer Anzeigen-Impression Handlungen durchführen, wie z. B. einen Kauf tätigen. Der „ _n3***p “-Cookie identifiziert zum Beispiel Browser, um Analysedienste für Werbung und Websites bereitzustellen. Er hat eine Speicherzeit von 90 Tagen. […]“
Beweiswürdigung C.11.: Die getroffenen Feststellungen beruhen auf einer amtswegigen Recherche der Website https://developers.n3***.com/docs**/marketing-api/parameters/n3***p-and-n3***c/?*langplac=de sowie https://de-de.n3***.com/policies/cookies/ (abgefragt am 6. März 2023).
C.12. Zum Transparenzbericht des N2***-Konzerns
Der N2***-Konzern veröffentlicht unter der Website https://transparency.n3***.com/data/government-data-requests/ Transparenzberichte, die u.a. im Zusammenhang Datenzugriffsanfragen („data requests“) der U.S Regierung stehen.
Aus den Transparenzberichten ergibt sich u.a., dass es regelmäßig zu Datenzugriffsanfragen von US-Geheimbehörden an den N2***-Konzern kommt. Die Datenzugriffsanfragen betreffen auch Benutzer aus Österreich.
Zu den behördlichen Anfragen nach Nutzerdaten gehören sowohl routinemäßige Anfragen im Zusammenhang mit rechtlichen Verfahren als auch dringende Offenlegungsanfragen. Folgende Daten können u.a. angefragt:
Grundlegende Abonnenteninformationen: Name, Dauer der Nutzung, Zahlungsinformationen, E-Mail-Adressen und IP-Adressen der letzten An- und Abmeldungen.
Datensätze, die sich auf Kontoaktivitäten beziehen, wie zB. Nachrichtenkopfzeilen und IP-Adressen.
Die gespeicherten Inhalte eines Kontos, wie zB. Nachrichten, Fotos, Videos, Zeitleisteneinträge und Standortinformationen.
Die Berichte gestalten sich auszugsweise wie folgt (Formatierung nicht 1:1 wiedergegeben, Original auf Englisch):
„ Global Overview
N2*** responds to government requests for data in accordance with applicable law and our terms of service. Each and every request we receive is carefully reviewed for legal sufficiency and we may reject or require greater specificity on requests that appear overly broad or vague. This chart provides data on the number of requests we received and the rate we complied with all or some of the government's request for each half by country or region. We publish this information in 6-month increments, subject to certain limitations, and we began reporting this information in 2013.”
[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original als grafische Datei wiedergegebenen Informationen von der Website der Zweitbeschwerdegegnerin können mit vertretbarem Aufwand nicht pseudonymisiert werden und wurden daher entfernt. Sie enthalten u.a Zahlen und Grafiken zu Anfragen von Dritten und Auskunftserteilungen über personenbezogene Daten an Dritte (d.h. nicht die betroffene Person, insbesondere an Behörden) in Österreich und international.]
Zur Frage, welche Schutzmaßnahmen getroffen werden, um Daten im Rahmen der Übermittlung in die USA zu schützen, finden sich unter https://transparency.n3***.com/data/government-requests/additional-questions/ zum Stichtag 25. Oktober 2022 folgende Informationen (Formatierung nicht 1:1 wiedergegeben):
„W e have in place a number of safeguards and measures to ensure an adequate level of protection for user data being transferred outside the EEA to the United States, including:
Security: We have a comprehensive security program to protect the data stored on our systems, platforms and products.
Encryption of data in transit so it cannot be read: N2*** employs industry standard encryption algorithms and protocols designed to secure and maintain the confidentiality of data in transit over public networks. Employing advanced encryption algorithms enables N2*** to secure user data in transit from access by third parties.
Policies and procedures: We have robust policies and procedures in place to ensure user data is adequately protected in relation to requests from governmental agencies. For example, we will only comply with a governmental request for user data after we are satisfied that the request complies with applicable law and our policies. If the request is unlawful (for example, overly broad, or legally deficient in any way), we will push back or challenge the request. We encourage governmental agencies to submit only requests that are necessary, proportionate, specific, and strictly compliant with applicable laws, by publishing guidelines for government requests.
Oversight: We have a dedicated, trained Law Enforcement Response Team (LERT) that reviews and evaluates every government request for user data individually, whether the request was submitted related to an emergency or through legal process obtained by law enforcement or national security authorities. This team ensures that all requests are consistent with applicable law and our policies, including N2***’s Data Policy.
Government Requests for User Data Report: We publish information on government requests we receive in our Government Requests for User Data Report. Information regarding requests made under the US Foreign Intelligence Surveillance Act (FISA) is included in the report with the maximum level of detail permitted under US law.
Advocacy: We appreciate the focus of governments across the globe on protecting and safeguarding people’s data, including in the US and Europe, and we work hard to do our part. We actively engage with governments to encourage practices that protect peoples’ rights. We belong to advocacy groups like Global Network Initiative, whose mission is to advance the freedom of expression and privacy rights of Internet users worldwide; and are a founding member of Reform Government Surveillance, which advocates for government data requests to be rule bound, narrowly tailored, transparent, subject to strong oversight and protective of end-to-end encryption. We support surveillance reform and frequently engage with various government and regulatory bodies to advocate the same.
Your rights: In addition to your rights under EU law, the SCCs and US law, you also have the right to submit a complaint or request to the Privacy Shield Ombudsperson in the United States.”
Beweiswürdigung C.12.: Die getroffenen Feststellungen beruhen auf einer amtswegigen Recherche der Website https://transparency.n3***.com/data/government-data-requests/ sowie https://www.n3***.com/safety/groups/law/guidelines/ (jeweils abgefragt am 6. März 2023).
C.13. Verfahren vor der irischen Aufsichtsbehörde
Die irische Aufsichtsbehörde (Data Protection Commissioner) führt zum aktuellen Zeitpunkt ein Verfahren zur dg. Zl. I**-2*-7*-* gegen N2*** Irland (N2*** Platforms Ireland Ltd). Gegenstand des genannten Verfahrens ist die Anordnung, Datenübermittlungen an die Zweitbeschwerdegegnerin auszusetzen.
Beweiswürdigung C.13.: Die getroffenen Feststellungen beruhen auf amtsbekanntem Wissen. Darüber hinaus hat auch der Beschwerdeführer in seiner Stellungnahme vom 25. Juli 2022 Bezug auf das Verfahren zur dg. Zl. I**-2*-7*-* genommen.
D. In rechtlicher Hinsicht folgt daraus:
D.1. Zur Zuständigkeit der Datenschutzbehörde
a) Zum Medienprivileg gemäß § 9 Abs. 1 DSG
Die Erstbeschwerdegegnerin hat in ihrer Stellungnahme vom 28. Dezember 2020 die Zuständigkeit der Datenschutzbehörde zur Behandlung der gegenständlichen Beschwerde bestritten und die Anwendbarkeit von § 9 Abs. 1 DSG auf die beschwerdegegenständliche Datenverarbeitung – also die Übermittlung personenbezogener Daten des Beschwerdeführers als Folge der Implementierung von N3*** Business Tools auf www.n1***.at – ins Treffen geführt.
Dem ist Folgendes entgegenzuhalten:
Der nationale Gesetzgeber beschränkt das sogenannte Medienprivileg nach Art. 85 DSGVO iVm § 9 Abs. 1 DSG, indem das Privileg nur Medienunternehmen oder Mediendiensten zugänglich ist, sofern personenbezogene Daten zu journalistischen Zwecken durch Medieninhaber, Herausgeber und Medienmitarbeiter oder Arbeitnehmer eines Medienunternehmens oder Mediendienstes verarbeitet werden. (vgl. den Bescheid der DSB vom 21. April 2020, GZ: 2020-0.239.741).
Eine Verarbeitung personenbezogener Daten für journalistische Zwecke liegt nach dem Verständnis des EuGH vor, wenn die Verarbeitung ausschließlich das Ziel hat, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten (vgl. das Urteil des EuGH vom 16. Dezember 2008, C-73/07 Rz 62).
Inwiefern die beschwerdegegenständliche Datenverarbeitung einen „journalistischen Zweck“ iSd Judikatur des EuGH verfolgt, ist nicht ersichtlich. Vielmehr ergibt sich aus der Stellungnahme der Erstbeschwerdegegnerin vom 7. März 2022, dass N3*** Pixel zu Tracking-Zwecken und **** Login zur Vereinfachung des Loginverfahrens für Premium-Kunden auf www.n1***.at implementiert wurden.
Abgesehen davon erhält N2*** Irland aufgrund der Implementierung von N3*** Business Tools auf einer Website Daten von Website Besuchern, die wiederum zu eigenen Zwecken verarbeitet werden können (siehe zB. Sachverhaltsfeststellung C.4). Somit wurde hinsichtlich der beschwerdegegenständlichen Datenübermittlungen zwischen Erstbeschwerdegegnerin und N2*** Irland (und letztlich der Zweitbeschwerdegegnerin) auch allein aus diesem Grund kein journalistischer Zweck iSd Judikatur des EuGH verfolgt.
Diese Überlegungen finden auch in der Judikatur des BVwG Deckung, wonach zB. Werbe-Cookies zum Ausspielen personalisierter Werbung auf einer Website eines Medienunternehmens oder die Verwaltung einer Datenbank durch ein Medienunternehmen zum Zweck des Versands von Printwerbung nicht dem Medienprivileg unterliegen (vgl. das Erkenntnis des BVwG vom 12. März 2019, GZ: W214 2223400-1).
Da die Voraussetzungen des § 9 Abs. 1 DSG nicht erfüllt sind, kommt das Medienprivileg für die beschwerdegegenständliche Datenverarbeitung nicht zur Anwendung.
Auf das (zwischenzeitig) ergangene Erkenntnis des Verfassungsgerichtshofs vom 14. Dezember 2022 zur Zl. G 287/2022-16, G 288/2022-14, mit dem § 9 Abs. 1 DSG als verfassungswidrig aufgehoben wurde, ist nicht einzugehen, da die Aufhebung erst mit 30. Juni 2024 in Kraft tritt.
b) Zur e-Datenschutz-RL
Der Europäische Datenschutzausschuss (in Folge: EDSA) hat sich bereits mit dem Verhältnis zwischen DSGVO und Richtlinie 2002/58/EG („e-Datenschutz-RL“) auseinandergesetzt (vgl. die Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-RL und der DSGVO vom 12. März 2019).
Auch die Datenschutzbehörde hat sich mit Bescheid vom 30. November 2018, GZ: DSB D122.931/0003 DSB/2018, mit dem Verhältnis zwischen DSGVO und der nationalen Umsetzungsbestimmung (in Österreich nunmehr: TKG 2021, BGBl. I Nr. 190/2021 idgF.) auseinandergesetzt.
Dabei wurde grundsätzlich festgehalten, dass die e-Datenschutz-RL (bzw. die jeweils nationale Umsetzungsbestimmung) der DSGVO als lex specialis vorgeht. So normiert Art. 95 DSGVO, dass die Verordnung natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auferlegt, soweit sie besonderen in der e-Datenschutz-RL festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.
In der e-Datenschutz-RL finden sich jedoch keine Pflichten im Sinne von Kapitel V der DSGVO für den Fall der Übermittlung von personenbezogenen Daten an Drittländer oder an internationale Organisationen.
Vor diesem Hintergrund ist auf eine solche Datenübermittlung die DSGVO anzuwenden.
c) Zwischenergebnis
Es besteht eine Zuständigkeit der Datenschutzbehörde zur Behandlung der gegenständlichen Beschwerde nach Art. 77 Abs. 1 DSGVO.
D.2. Zu Art. 44 DSGVO als subjektives Recht
Ausgehend von der bisherigen Spruchpraxis der Datenschutzbehörde und der Gerichte ist festzuhalten, dass sowohl die Rechtmäßigkeit der Datenverarbeitung nach Art. 5 Abs. 1 lit. a iVm Art. 6 ff DSGVO als auch die in Kapitel III der Verordnung postulierten datenschutzrechtlichen Betroffenenrechte als subjektives Recht im Rahmen einer Beschwerde nach Art. 77 Abs. 1 DSGVO geltend gemacht werden können.
Im gegenständlichen Fall wird (auch) eine Verletzung von Art. 44 DSGVO behauptet.
Nach Auffassung der Datenschutzbehörde ist entscheidend ist, ob eine betroffene Person durch eine behauptete Rechtsverletzung in einer individuellen Rechtsposition beeinträchtigt wird. Die behauptete Rechtsverletzung muss sich daher negativ auf die betroffene Person auswirken. Dies ist bei Art. 44 DSGVO anzunehmen, wenn personenbezogene Daten an ein Drittland oder eine internationale Organisation übermittelt werden und hierbei das durch die Verordnung gewährleistete Schutzniveau untergraben wird (vgl. auch das Urteil des EuGH vom 16. Juli 2020, C 311/18 Rz 135).
Auch der Wortlaut von Art. 77 Abs. 1 DSGVO (und im Übrigen auch die nationale Bestimmung des § 24 Abs. 1 DSG) setzt für die Inanspruchnahme des Beschwerderechts nur voraus, dass „[…] die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt “.
In diesem Sinne hat der EuGH mit Urteil vom 16. Juli 2020 ausgeführt, dass die Feststellung, dass „[…] das Recht und die Praxis eines Landes kein angemessenes Schutzniveau gewährleisten […]“ sowie „[…] die Vereinbarkeit dieses (Angemessenheits-) Beschlusses mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen […]“ im Rahmen einer Beschwerde nach Art. 77 Abs. 1 DSGVO als subjektives Recht geltend gemacht werden kann (vgl. das Urteil des EuGH vom 16. Juli 2020, C 311/18 Rz 158).
Zwar ist festzuhalten, dass die Vorlagefrage des genannten Verfahrens nicht den „Umfang des Beschwerderechts von Art. 77 Abs. 1 DSGVO“ zum Gegenstand hatte; der EuGH hat aber den Umstand, dass auch ein Verstoß gegen Bestimmungen von Kapitel V DSGVO im Rahmen einer Beschwerde nach Art. 77 Abs. 1 DSGVO geltend gemacht werden kann, offenkundig als notwendige Voraussetzung erachtet. Bei anderer Betrachtung hätte der EuGH wohl ausgesprochen, dass die Frage der Gültigkeit eines Angemessenheitsbeschlusses im Rahmen eines Beschwerdeverfahrens gar nicht geklärt werden kann.
Schließlich ist auch nach innerstaatlicher Judikatur des VwGH im Zweifel davon auszugehen, dass Normen, die ein behördliches Vorgehen auch und gerade im Interesse des Betroffenen vorschreiben, diesem ein subjektives, also im Beschwerdeweg durchsetzbares Recht einräumen (vgl. etwa VwSlg. 9151 A/1976, 10.129 A/1980, 13.411 A/1991, 13.985 A/1994).
Somit kann ein Verstoß gegen Art. 44 DSGVO im Rahmen einer Beschwerde an die Datenschutzbehörde geltend gemacht werden.
D.3. Zur Feststellungskompetenz der Datenschutzbehörde
Wie aus dem Beschwerdegegenstand ersichtlich (siehe Punkt B.1), wurde die Feststellung einer Rechtsverletzung, die in der Vergangenheit liegt, beantragt.
Nach Judikatur des VwGH und des BVwG kommt der Datenschutzbehörde eine Feststellungskompetenz im Hinblick auf Verletzungen des Rechts auf Geheimhaltung in Beschwerdeverfahren zu (so ausdrücklich das Erkenntnis des BVwG vom 20. Mai 2021, Zl. W214 222 6349-1/12E; implizit das Erkenntnis des VwGH vom 23. Februar 2021, Ra 2019/04/0054, worin sich dieser mit der Feststellung einer in der Vergangenheit liegenden Geheimhaltungspflichtverletzung auseinandergesetzt hat, ohne die Unzuständigkeit der belangten Behörde aufzugreifen).
Es bestehen keine sachlichen Gründe, die Feststellungskompetenz gemäß Art. 58 Abs. 6 DSGVO iVm § 24 Abs. 2 Z 5 DSGVO und Abs. 5 DSG nicht auch für die Feststellung einer Verletzung von Art. 44 DSGVO heranzuziehen, da auch im gegenständlichen Fall u.a. eine in der Vergangenheit liegende Rechtsverletzung – nämlich Datenübermittlungen in die USA am 12. August 2020– moniert wird und das Beschwerderecht gemäß § 24 Abs. 1 DSG – ebenso wie Art. 77 Abs. 1 DSGVO – allgemein an einen Verstoß gegen die DSGVO anknüpft.
Wenn der Spruch eines Bescheids in einem Beschwerdeverfahren nämlich ausschließlich Anweisungen nach Art. 58 Abs. 2 DSGVO enthalten könnte, wäre im Ergebnis kein Raum für § 24 Abs. 2 Z 5 und § 24 Abs. 5 DSG.
Soweit die Erstbeschwerdegegnerin in ihrer Stellungnahme vom 18. Oktober 2022 auf § 24 Abs. 6 DSG verweist und ausführt, dass die vorgeworfene Rechtsverletzung beseitigt worden sei, ist ihr die Judikatur des BVwG entgegenzuhalten, wonach die Möglichkeit zur nachträglichen Beseitigung einer Rechtsverletzung nach § 24 Abs. 6 leg. cit. im Falle von bereits verwirklichten (und nicht mehr sanierbaren) Rechtsverletzungen nicht möglich ist (vgl. das Erkenntnis des BVwG vom 29. Juni 2022, Zl. W245 2232755-1).
Somit ist die Feststellungskompetenz der Datenschutzbehörde im gegenständlichen Beschwerdeverfahren gegeben.
D.4. Zu Spruchpunkt 1
Die Datenschutzbehörde setzte das gegenständliche Verfahren mit Bescheid vom 2. Oktober 2020, Zl. D155.028, 2020-0.527.429, aus.
Da von Amts wegen Bescheide, aus denen niemandem ein Recht erwachsen ist, sowohl von der Behörde, die den Bescheid erlassen hat, als auch in Ausübung des Aufsichtsrechtes von der sachlich in Betracht kommenden Oberbehörde aufgehoben oder abgeändert werden können, und infolge einer Verfahrensaussetzung einer Partei des Verfahrens kein Recht auf Nichtentscheidung entsteht, war der oben angeführte Bescheid vom 2. Oktober 2020 auch einer Behebung gemäß § 68 Abs. 2 AVG zugänglich.
D.5. Zu Spruchpunkt 2
a) Zum Begriff „personenbezogene Daten“
Gemäß der Legaldefinition des Art. 4 Z 1 DSGVO sind „ personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt , insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann “.
Wie sich aus den Sachverhaltsfeststellungen ergibt (siehe C.8), hat die Erstbeschwerdegegnerin – als Betreiberin der Website – N3*** Business Tools auf ihrer Website implementiert. Als Folge dieser Implementierung – also ausgelöst durch den beim Websitebesuch ausgeführten JavaScript Code – wurden zumindest folgende Informationen des Endgeräts des Beschwerdeführers an die Server der Zweitbeschwerdegegnerin übermittelt (siehe C.9):
IP-Adresse;
User-Agent;
Mobiles Betriebssystem und Browser;
Informationen zum Host-Server (d. h. die Website, die das Feature Login enthält);
Datum und Uhrzeit des Website-Besuchs;
Sprache des Inhalts (d. h. die Sprache des Publikums, für das die betreffende Website bestimmt ist);
Locale (d. h. in der Regel der Ländercode, der sich auf das Content-Language-Feld im HTTP-Header bezieht, z. B. "en-US" gegenüber "en-GB");
HTTP Referrer (d.h. die URL der Seite, auf der sich die Person befindet);
Viewport-Daten (d. h. die Bildschirmauflösung des Geräte-Display);
User-ID;
Cached Access Tokens;
Standard HTTP Request Headers, die nicht bereits aufgelistet sind; und
Gespeicherte Werte in N3***-Cookies.
Die Datenschutzbehörde hat mit nicht rk Bescheid vom 22. April 2022, GZ: 2022-0.298.191 (abrufbar unter www.dsb.gv.at) zum Tool „Google Analytics“ bereits Folgendes festgehalten:
„Nach Auffassung der Datenschutzbehörde liegt ein Eingriff in das Grundrecht auf Datenschutz gemäß Art. 8 EU-GRC sowie § 1 DSG bereits dann vor, wenn gewisse Stellen Maßnahmen setzen – hier die Zuordnung solcher Kennnummern – um Website-Besucher derart zu individualisieren .
Ein Maßstab an die „Identifizierbarkeit“ dahingehend, dass es sofort möglich sein muss, solche Kennnummern auch mit einem bestimmten „Gesicht“ einer natürlichen Person – also insbesondere mit dem Namen des Beschwerdeführers – in Verbindung zu bringen, ist nicht geboten (vgl. hierzu bereits die Stellungnahme 4/2007, WP 136, 01248/07/DE der ehemaligen Art. 29-Datenschutzgruppe zum Begriff „personenbezogene Daten“ S. 16 f; vgl. die Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien aus März 2019, S. 15).
Für eine solche Auslegung spricht ErwGr 26 DSGVO, wonach bei der Frage, ob eine natürliche Person identifizierbar ist, „[…] alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern “ (englische Sprachfassung der Verordnung: „singling out“). Unter dem Begriff „Aussondern“ ist das „Heraussuchen aus einer Menge“ zu verstehen (vgl. https://www.duden.de/rechtschreibung/aussondern, abgefragt am 18. März 2022), was den oben angeführten Überlegungen zur Individualisierung von Website-Besuchern entspricht.
[…]
An dieser Stelle ist zu bemerken, dass auch der Europäische Datenschutzbeauftragte (EDSB) die Auffassung vertritt, dass bei einem „Aussondern“ durch Markieren eines Endgeräts von personenbezogenen Date auszugehen ist. So hat der EDSB in seiner Entscheidung vom 5. Jänner 2022, GZ: 2020-1013, gegen das Europäische Parlament u.a. Folgendes ausgeführt:
“[…] Tracking cookies, such as the Stripe and the Google analytics cookies , are considered personal data , even if the traditional identity parameters of the tracked users are unknown or have been deleted by the Scout after collection. All records containing identifiers that can be used to single out users, are considered as personal data under the Regulation and must be treated and protected as such.” (S. 13, Original in englischer Sprache und mit weiteren Nachweisen).
„[…] Tracking-Cookies wie die Stripe- und Google-Analytics-Cookies gelten als personenbezogene Daten , auch wenn die traditionellen Identitätsparameter der verfolgten Nutzer unbekannt sind oder vom Scout nach der Erfassung gelöscht wurden. Alle Datensätze, die Identifizierungsmerkmale enthalten, mit denen Nutzer ausgesondert werden können, gelten nach der Verordnung als personenbezogene Daten und müssen als solche behandelt und geschützt werden“ (Übersetzung seitens der Datenschutzbehörde).
Zwar hat der EDSB die Verordnung (EU) 2018/1725 anzuwenden, die bei der Datenverarbeitung durch die Organe, Einrichtungen und sonstigen Stellen der Union gilt. Da Art. 3 Z 1 der Verordnung (EU) 2018/1725 der Definition von Art. 4 Z 1 DSGVO entspricht, können diese Überlegungen aber ohne weiteres auf den gegenständlichen Fall übertragen werden.“
Diese Überlegungen können auf den gegenständlichen Fall übertragen werden:
Als Folge der Implementierung von N3*** Business Tools auf www.n1***.at wurden Cookies am Endgerät des Beschwerdeführers gesetzt wurden, die einen einzigartigen, zufallsgenerierten Wert enthalten (siehe C.11). Dies ermöglicht, das Endgerät des Beschwerdeführers zu individualisieren und das Surfverhalten des Beschwerdeführers aufzuzeichnen, um passende personalisierte Werbung anzuzeigen (siehe C.3).
Unabhängig davon hatte zumindest N2*** Irland die Möglichkeit , die Daten, die sie aufgrund der Implementierung der N3*** Business Tools auf www.n1***.at erhalten hat, mit dem N3***- Konto des Beschwerdeführers walter.c***@***email.org in Verbindung zu bringen. So geht aus den Nutzungsbedingungen für N3*** Business Tools (siehe C.5) eindeutig hervor, dass N3*** Business Tools u.a. dazu verwendet werden, um mit N3*** Informationen auszutauschen .
Nicht erforderlich ist es, dass die Erstbeschwerdegegnerin alleine einen Personenbezug herstellen können muss, dass also alle für die Identifizierung erforderlichen Informationen bei dieser sind (vgl. die Urteile des EuGH vom 20. Dezember 2017, C-434/16, Rz 31, sowie vom 19. Oktober 2016, C 582/14, Rz 43).
Diese Ausführungen finden auch in Fashion ID Deckung. In der dg. Entscheidung hat der EuGH ebenso angenommen, dass die Einbindung eines „Mag-ich-echt“-Buttons von N3*** auf einer Website – unabhängig davon, ob der Button auch angeklickt wird –eine Verarbeitung personenbezogener Daten auslöst (vgl. das Urteil EuGH vom 29. Juli 2018, C 40/17 Rz 80). Aus Sicht des EuGH war es somit nicht erforderlich, dass der dg. Website-Betreiber den Personenbezug herstellen können muss.
Die Ausführungen des EuGH können auf den gegenständlichen Fall übertragen werden, da laut den Nutzungsbedingungen sowohl der „Mag-ich-echt“-Button als auch N3*** Login und N3*** Pixel zu den N3*** Business Tools zählen (siehe C.5).
Somit handelt es sich bei den in den Sachverhaltsfeststellungen unter C.10. angeführten Informationen (jedenfalls in Kombination) um personenbezogene Daten gemäß Art. 4 Z 1 DSGVO.
b) Rollenverteilung
i) Erstbeschwerdegegnerin
Wie bereits ausgeführt, hat die Erstbeschwerdegegnerin als Website-Betreiberin zum beschwerdegegenständlichen Zeitpunkt die Entscheidung getroffen, N3*** Business Tools auf ihrer Website www.n1***.at zu implementieren. Konkret hat sie einen JavaScript Code, der seitens der Zweitbeschwerdegegnerin zur Verfügung gestellt wird, im Quelltext ihrer Website eingefügt, wodurch dieser JavaScript Code beim Besuch der Website im Browser des Beschwerdeführers ausgeführt wurde (siehe C.8).
Die Erstbeschwerdegegnerin hat in ihrer Stellungnahme vom 7. März 2022 ausgeführt, dass N3*** Pixel zu Tracking-Zwecken und **** Login zur Vereinfachung des Loginverfahrens für Premium-Kunden auf www.n1***.at implementiert wurden.
Dadurch hat die Erstbeschwerdegegnerin über „Zwecke und Mittel“ der mit dem Tool in Verbindung stehenden Datenverarbeitung entschieden, weshalb diese als Verantwortliche iSd Art. 4 Z 7 DSGVO anzusehen ist.
ii) Zweitbeschwerdegegnerin
Trotz umfangreichen Ermittlungsverfahrens – so fand etwa am 16. Mai 2022 eine mündliche Einvernahme der Zweitbeschwerdegegnerin statt – sind für die Datenschutzbehörde zum aktuellen Zeitpunkt keine ausreichenden Anhaltspunkte ersichtlich, die Zweitbeschwerdegegnerin für die gegenständliche Datenverarbeitung als Verantwortlichen zu qualifizieren.
In Einklang mit den Datenverarbeitungsbedingungen (siehe C.6) geht die Datenschutzbehörde daher davon aus, dass die Zweitbeschwerdegegnerin (damals N3*** Inc.) am 12. August 2020 im Rahmen der gegenständlichen Datenverarbeitung als Auftragsverarbeiter iSd Art. 28 Abs. 2 DSGVO herangezogen wurde.
Die Frage, ob die Datenzugriffsmöglichkeiten von US-Geheimdiensten an der Rolle der Zweitbeschwerdegegnerin etwas ändern, wird weiter unten behandelt.
c) Anwendungsbereich von Kapitel V DSGVO
Gemäß Art. 44 DSGVO ist jedwede „[…] Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, […] nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird .“
Die Erstbeschwerdegegnerin hat ihren Sitz in Österreich und ist für den Betrieb der Website www.n1***.at datenschutzrechtliche Verantwortliche. Darüber hinaus hat die Erstbeschwerdegegnerin personenbezogene Daten des Beschwerdeführers dadurch offengelegt, dass sie proaktiv N3*** Business Tools auf ihrer Website www.n1***.at implementiert hat und als Folge dieser Implementierung u.a. eine Datenübermittlung an die Zweitbeschwerdegegnerin (Sitz: USA) stattfand (vgl. hierzu auch die EDSA Leitlinien 5/2021 idF 14. Februar 2023 FN 15: „Finally, it should be noted that personal data disclosed via cookies are not considered as being disclosed directly by the data subject, but rather as a transmission by the operator of the website that the data subject is visiting” ).
Es kann dahingestellt bleiben, ob personenbezogenen Daten des Beschwerdeführers unmittelbar an die Zweitbeschwerdegegnerin übermittelt wurden, oder erst im zweiten Schritt, nachdem diese von N2*** Irland verarbeitet wurden:
Die Erstbeschwerdegegnerin ist gemäß Art. 28 Abs. 1 DSGVO verpflichtet , nur mit Auftragsverarbeitern zusammenzuarbeiten, die hinreichend Garantien dafür bieten, dass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt („Auswahlverschulden“).
Nach gefestigter Judikatur des BVwG ist der Auftragsverarbeiter der „verlängerte Arm“ des Verantwortlichen und ist die Auftragsverarbeitung als Teil der Verarbeitung durch den Verantwortlichen selbst zu sehen (vgl. das Erkenntnis des BVwG vom 20. Oktober 2021, Zl. W211 2231475-1; hierzu ausdrücklich auch EDSA Leitlinien 5/2021 idF 14. Februar 2023 Rz 19 letzter Satz).
Im gegenständlichen Fall hat die Erstbeschwerdegegnerin die Datenverarbeitungsbedingungen von N2*** Irland für N3*** Business Tools akzeptiert und iSd Art. 28 Abs. 2 DSGVO zugestimmt , dass N2*** Irland u.a. die Zweitbeschwerdegegnerin (damals N3*** Inc.) als sog. Unterauftragsverarbeiter heranziehen kann (siehe C.6: „[…] Du autorisierst N3*** hiermit, N3*** Inc. [und andere N3***-Unternehmen] als seine[n] Unterauftragsverarbeiter zu verpflichten “).
d) Regelwerk von Kapitel V DSGVO
In weiterer Folge ist zu überprüfen, ob die beschwerdegegenständlichen Datenübermittlungen im Einklang mit den Vorgaben von Kapitel V DSGVO in die USA stattgefunden haben.
Kapitel V der Verordnung sieht drei (Schutz-)Instrumente vor, um das von Art. 44 DSGVO geforderte angemessene Schutzniveau für Datenübermittlungen an ein Drittland oder eine internationale Organisation sicherzustellen:
- Angemessenheitsbeschluss (Art. 45 DSGVO);
- Geeignete Garantien (Art. 46 DSGVO);
- Ausnahmen für bestimmte Fälle (Art. 49 DSGVO).
e) Angemessenheitsbeschluss
Wie aus den Sachverhaltsfeststellungen ersichtlich (siehe C.6 und C.7), haben sich die Beschwerdegegnerinnen für die Datenübermittlung am 12. August 2020 auf den EU-US-Angemessenheitsbeschluss berufen („Privacy Shield“).
Der EuGH hat jedoch bereits am 16. Juli 2020 , C 311/18 ausgesprochen, dass der EU-US Angemessenheitsbeschluss aufgrund des einschlägigen Rechts der USA und der Durchführung von behördlichen Überwachungsprogrammen – u.a. gestützt auf Section 702 des FISA und die E.O. 12333 in Verbindung mit der PPD-28 – kein angemessenes Schutzniveau für natürliche Personen gewährleistet (ebd. Rz 180 ff) und hat den EU-US-Angemessenheitsbeschluss – ohne Aufrechterhaltung seiner Wirkung – für ungültig erklärt (ebd. Rz 201 f).
Nach Ansicht der Datenschutzbehörde ist die Zweitbeschwerdegegnerin auch als Anbieter elektronischer Kommunikationsdienste im Sinne von 50 U.S.Code § 1881(b)(4) zu qualifizieren und unterliegt somit der Überwachung durch US-Geheimbehörden gemäß 50 U.S.Code § 1881a („FISA 702”).
Demnach hat die Zweitbeschwerdegegnerin die Verpflichtung, den US-Behörden gemäß 50 U.S.Code § 1881a personenbezogene Daten zur Verfügung zu stellen. Aus dem Transparenzbericht des N2***-Konzerns (siehe C.12) ergibt sich, dass die US-Geheimbehörden regelmäßig derartige Anfragen stellen.
ii) geeignete Garantien
Wie aus den Sachverhaltsfeststellungen ersichtlich (siehe C.7) wurde der N3***-Vertragszusatz (samt Abschluss von Standarddatenschutzklauseln) erst nach dem 12. August 2020 implementiert.
ii) Ausnahmen für bestimmte Fälle
Die Beschwerdegegnerinnen haben sich zu keinem Zeitpunkt im Ermittlungsverfahren auf Art. 49 DSGVO gestützt.
Aus Sicht der Datenschutzbehörde ist auch kein Tatbestand von Art. 49 DSGVO erfüllt und wurde insbesondere keine Einwilligung nach Art. 49 Abs. 1 lit. a leg. cit. eingeholt (vgl. zur diesbezüglichen Beweispflicht eines Verantwortlichen das Urteil des EuGH vom 27. Oktober 2022, C 129/21 Rz 81 ff).
f) Ergebnis
Die beschwerdegegenständlichen Datenübermittlungen am 12. August 2020 war durch kein Instrument der Art. 45 ff DSGVO gedeckt.
Es war daher spruchgemäß ein Verstoß gegen Art. 44 DSGVO festzustellen.
D.6. Zu Spruchpunkt 3
a) Zu Beschwerdepunkt A)
Zu überprüfen ist, ob auch die Zweit beschwerdegegnerin (als Datenimporteur) den in Kapitel V der Verordnung normierten Pflichten unterliegt.
Ausgehend von den EDSA Leitlinien 5/2021 idF 14. Februar 2023 ist festzuhalten, dass eine Übermittlung an ein Drittland oder eine internationale Organisation“ iSd Art. 44 DSGVO nur dann vorliegt, wenn u.a. der für die Verarbeitung Verantwortliche oder Auftragsverarbeiter (Datenexporteur) durch Übermittlung oder auf andere Weise personenbezogene Daten, die Gegenstand dieser Verarbeitung sind, einem anderen für die Verarbeitung Verantwortlichen, einem gemeinsam Verantwortlichen oder einem Auftragsverarbeiter (Datenimporteur) offenlegt (ebd. Rz 9).
Diese Voraussetzung trifft im vorliegenden Fall nicht auf die Zweitbeschwerdegegnerin zu, da diese (als Datenimporteur) die personenbezogenen Daten des Beschwerdeführers nicht offenlegt, sondern (nur) erhält .
Zwar übersieht die Datenschutzbehörde nicht, dass eine Datenübermittlung notwendigerweise einen Empfänger voraussetzt und dass die Zweitbeschwerdegegnerin (jedenfalls aus technischer Sicht) Teil der Datenübermittlung ist. Dem ist jedoch entgegenzuhalten, dass sich die datenschutzrechtliche Verantwortung bei einem Verarbeitungsvorgang (aus rechtlicher Sicht) trotzdem „teilen“ lässt, es also je nach der Phase des Verarbeitungsvorgangs einen unterschiedlichen Grad der Verantwortung geben kann (vgl. die des EDSA Leitlinien 7/2020 zum Konzept von Verantwortlichen und Auftragsverarbeitern, Rz 63 ff mwN).
Eine Verletzung von Art. 44 DSGVO durch die Zweit beschwerdegegnerin liegt nach Auffassung der Datenschutzbehörde daher nicht vor.
b) Zu Beschwerdepunkt B)
Schließlich ist eine Verletzung von Art. 5 ff, Art. 28, und Art. 29 DSGVO durch die Zweit beschwerdegegnerin zu überprüfen. Diesbezüglich führt der Beschwerdeführer ins Treffen, dass die Zweitbeschwerdegegner seine Daten entgegen den Weisungen und Anfragen der Erstbeschwerdegegnerin verarbeitet hat.
Dem ist Folgendes entgegenzuhalten:
Die Datenschutzgrundsätze und die Voraussetzungen für die Rechtmäßigkeit der Datenverarbeitung gemäß Art. 5 ff DSGVO sind nach dem ausdrücklichen Wortlaut von Art. 5 Abs. 2 leg. cit. eine Pflicht des Verantwortlichen .
Die (bloße) Möglichkeit , dass die Zweitbeschwerdegegnerin Adressat von Anfragen der US-Sicherheitsbehörden wird, führt nach Ansicht der Datenschutzbehörde jedoch nicht automatisch zu deren Verantwortlichkeit nach Maßgabe des Art. 28 Abs. 10 DSGVO. Eine derart weite Auslegung von Art. 28 Abs. 10 DSGVO scheint zu ausufernd.
Im Übrigen kann ein Verstoß von Art. 28 und Art. 29 DSGVO insofern nicht als subjektives Recht geltend gemacht werden, als die zitierten Bestimmungen (nur) das Verhältnis zwischen Verantwortlichen und Auftragsverarbeiter regeln und ein Verstoß des Auftragsverarbeiters dem Verantwortlichen zuzurechnen ist (vgl. erneut das Erkenntnis des BVwG vom 20. Oktober 2021, Zl. W211 2231475-1).
Diese Ausführungen spielen aber für Spruchpunkt 2 keine Rolle, da im Zusammenhang mit einer Verletzung von Art. 44 DSGVO der Beschwerdeerfolg bereits erfüllt ist, wenn personenbezogene Daten ohne Schutzinstrument in die USA übermittelt werden.
Es war daher spruchgemäß zu entscheiden.
Rückverweise
