2023-0.632.875 – Datenschutzbehörde Entscheidung

Entscheidung

19. September 2023

Text

GZ: 2023-0.632.875 vom 19. September 2023 (Verfahrenszahl: DSB-D130.1174)

[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Peter A*** (beschwerdeführende Partei), vertreten durch den Verein B***, S***platz *4, **** Wien, ZVR: *3*1*8*44, vom 9. August 2022 gegen die N*** Publishing Media, Inc. (Beschwerdegegnerin), vertreten durch die C*** Rechtsanwälte GmbH, wegen A) Recht auf Löschung und Mitteilungspflicht im Zusammenhang mit der Löschung, B) des Antrags auf Anordnung gegen die Beschwerdegegnerin, die unrechtmäßigen Verarbeitungen zu beenden und C) des Antrags vom 30. Dezember 2022, eine behauptete Verletzung im Recht auf Geheimhaltung festzustellen, wie folgt:

1) Der Beschwerde wird hinsichtlich Punkt A) teilweise stattgegeben und der Beschwerdegegnerin wird aufgetragen, innerhalb einer Frist von vier Wochen die Empfänger, welche die unter Sachverhaltsfeststellung C.4. genannten Daten (dies sind zumindest einzigartige Nutzer-Identifikationsnummern) anlässlich des Websitebesuchs der beschwerdeführenden Partei am 24. September 2021 auf https://www.runningsport***.com/ erhalten haben, über die Löschung der jeweils an sie übermittelten Daten zu informieren. Die Information hat insbesondere an folgende Empfänger zu ergehen: J***Data, The***infoExchange.

2) Die Beschwerde wird hinsichtlich Punkt A) und B) im Übrigen abgewiesen .

3) Die Beschwerde wird hinsichtlich Punkt C) zurückgewiesen .

4) Der Beschwerdegegnerin wird amtswegig aufgetragen, innerhalb einer Frist von 8 Wochen

a. den Cookie-Banner (das Ersuchen um Einwilligung) der Website https://www.runningsport***.com/ (siehe Sachverhaltsfeststellung C.6.) derart abzuändern, dass bei Besuch der Website eine gültige Einwilligung eingeholt wird. Hierfür hat die Beschwerdegegnerin den Cookie-Banner zumindest derart abzuändern, dass auf der ersten Ebene des Cookie-Banners neben der Option „Akzeptieren“ („Accept“) eine optisch gleichwertige Option vorhanden ist, um den Cookie-Banner ohne Abgabe einer Einwilligung zu schließen (etwa „Ablehnen“ oder „Schließen des Cookie-Banners ohne Einwilligung“);

b. ihre Website https://www.runningsport***.com/ derart anzupassen, dass der Widerruf der Einwilligung für die eingesetzten Cookies (siehe Sachverhaltsfeststellung C.6.) und die damit im Zusammenhang stehende Verarbeitung personenbezogener Daten einfach möglich ist. Hierfür hat die Beschwerdegegnerin zumindest einen Hinweis, wo das Widerrufsrecht ausgeübt werden kann, ausdrücklich in die Information im Cookie-Banner (siehe Sachverhaltsfeststellung C.6.) aufzunehmen.

c. ihre Website https://www.runningsport***.com/ (siehe Sachverhaltsfeststellung C.6.) derart abzuändern, dass für die mit analytischen Cookies (insbesondere J***Data Analytics) im Zusammenhang stehende Verarbeitung personenbezogener Daten eine gültige Einwilligung eingeholt wird.

Rechtsgrundlagen : Art. 3, Art. 4 Z 11, Art. 7, Art. 51 Abs. 1, Art. 12 Abs. 3, Art. 17, Art. 19, Art. 57 Abs. 1 lit. d und lit. f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 18 Abs. 1 sowie 24 Abs. 1, Abs. 2 Z 5, Abs. 4 sowie Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; § 165 des Telekommunikationsgesetzes 2021 (TKG 2021), BGBl. I Nr. 190/2021 idgF.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

A.1. Mit Eingabe vom 9. August 2022 brachte die beschwerdeführende Partei (in Folge: bP) zusammengefasst Folgendes vor:

Die bP habe die Website der Beschwerdegegnerin (in Folge: BG) unter https://www.runningsport***.com/ am 24. September 2021 besucht. Die Website habe einen Cookie Banner angezeigt. Es seien Cookies gesetzt worden, teils mit einer einzigartigen Nutzeridentifikationsnummer („unique ID“). Eine Zusammenfassung aller HTTP-Anfragen und Antworten sei als Anlage beigefügt. Für alle Verarbeitungstätigkeiten, für die die BG im Rahmen des Cookie Banners eine Rechtsgrundlage etablieren wolle, werde die Bezeichnung „relevante Verarbeitungstätigkeiten“ verwendet. Aufgrund der Gestaltung des genannten Cookie Banners sei es zu mehreren Verstößen gekommen. Es sei von keiner gültigen Einwilligung auszugehen. Es werde beantragt, dass die BG angewiesen werden möge, alle relevanten Verarbeitungstätigkeiten einzustellen, und alle relevanten personenbezogenen Daten zu löschen. Die DSGVO erlaube es der zuständigen Aufsichtsbehörde, eine Anordnung zu treffen, die über die personenbezogenen Daten der bP hinausgehe. Der Eingabe waren mehrere Beilagen angeschlossen.

A.2. Mit Schreiben vom 30. Dezember 2022 führte die bP ergänzend im Wesentlichen wie folgt aus:

Die bP beantrage gemäß § 24 Abs. 2 Z 5 DSG iVm § 1 DSG festzustellen, dass die BG gegen die zu jedem Verstoßtypen abschließend nummeriert genannten Normen verstoßen habe. Bei nicht mehr andauernden, rechtswidrigen Datenverarbeitung entgegen § 1 DSG iVm Art. 5 DSGVO handle es sich um abgeschlossene, in der Vergangenheit liegende Sachverhalte. Der Erfolg der Rechtsverletzung sei eingetreten und personenbezogene Daten der Betroffenen seien an unzählige Dritte weitergeleitet worden. Die betreffenden Rechtsverletzungen seien daher keiner Beseitigung im Sinne von § 24 Abs. 6 DSG zugänglich.

A.3. Mit Stellungnahme vom 15. Mai 2023 brachte die BG zusammengefasst Folgendes vor:

Die Beschwerde der bP sei sehr allgemein gehalten und fehlen in vielen Bereichen konkrete Verweise auf bestimmte Rechtsgrundlagen und Judikatur zu den monierten Verfehlungen. So sei der räumliche Anwendungsbereich nicht einmal eröffnet. Es liege kein bewusstes und intendiertes Anbieten von Waren und Dienstleistungen in der EU iSd Art. 3 Abs. 2 lit. a DSGVO vor. Der angesprochene Markt sei zweifelsohne ausschließlich der US-Markt.

Die Website biete Nachrichten, Features, Rezensionen und Interviews, die sich hauptsächlich auf Fitness und Sport, insbesondere Laufen, beziehen. Die Website verweise auch auf Webshops anderer Unternehmen, in denen Kunden die präsentierten Produkte kaufen können.

Aufgrund der Unanwendbarkeit der DSGVO bestehe derzeit kein Grund, umfassende Änderungen an der Gestaltung des Cookie-Banners vorzunehmen. Vielmehr entspreche dieser sowohl dem Marktstandard als auch einschlägigen Guidelines europäischer Datenschutzbehörden. Entgegen den pauschalen Ausführungen des Beschwerdeführers sehe aktuell nämlich weder die DSGVO, das DSG oder TKG noch sonstige anwendbare Rechtsgrundlagen genauere Vorgaben zur Gestaltung von Einwilligungserklärungen via Cookie-Banner vor. Die aus Art. 5 und 7 DSGVO ableitbaren Parameter rund um Transparenz und Informationsgehalt werden vollinhaltlich erfüllt.

Die BG überprüfe derzeit ihre Systeme auf die in der Beschwerde genannten Online-Identifier und werde geeignete Schritte setzen, um diese Daten zu löschen, soweit die Mandantin für diese verantwortlich sei. Der Stellungnahme waren mehrere Beilagen angeschlossen.

A.4. Mit Stellungnahme vom 15. Juni 2023 brachte die bP zusammengefasst Folgendes vor:

Der Hinweis der BG, die Website richte sich nicht an ein EU-Publikum, gehe fehl. Die BG ziele auch auf europäische Nutzende ab. Folglich sei der räumliche Anwendungsbereich des Art. 3(2)(a) DSGVO eröffnet.

Die BG verarbeite weiterhin beschwerdegegenständliche personenbezogene Daten. Eine Löschung habe scheinbar noch nicht stattgefunden. Auch wenn es sich bei Partnerunternehmen um eigenständige Verantwortliche handle, habe die BG allen Empfängern die Löschung im Sinne von Art. 19 DSGVO mitzuteilen. Die monierten Verstöße bestehen zudem weiterhin.

A.5. Mit Stellungnahme vom 21. August 2023 brachte die BG zusammengefasst Folgendes vor:

Die BG habe die von ihr kontrollierten Systeme nach den in der Beschwerde angeführten Daten (Name und Cookie-Werte) überprüft. Die BG habe am 11. Mai 2023 alle Cookie-Werte gelöscht. Sie könne daher bestätigen, dass alle personenbezogenen Daten, für die sie verantwortlich gewesen sei, endgültig gelöscht wurden.

A.6. Mit Stellungnahme vom 31. August 2023 brachte die bP zusammengefasst Folgendes vor:

Die bP halte an ihre Anträge in der am 9. August 2022 eingereichten Beschwerde in Bezug auf die beschriebenen Verstöße aufrecht und verweise auch auf den Feststellungsantrag vom 30. Dezember 2022.

B. Beschwerdegegenstand

B.1. Art. 58 DSGVO enthält keine ausdrückliche rechtliche Grundlage für eine selbständige Feststellung über die allfällige Rechtswidrigkeit eines datenschutzrechtlich relevanten Verarbeitungsvorgangs (vgl. VwGH vom 1. September 2022, Ra 2022/04/0066). Demzufolge setzt die bloße Feststellung einer Verletzung in einem datenschutzrechtlich geschützten Recht gemäß (Art. 58 Abs. 6 DSGVO iVm) § 24 Abs. 2 Z 5 iVm § 1 DSG einen Antrag der betroffenen Person voraus.

Für den Beschwerdegegenstand des vorliegenden Falls bedeuten diese Ausführungen Folgendes:

B.2. Die bP hat mit Eingabe vom 9. August 2022 keinen Antrag iSd § 24 Abs. 2 Z 5 DSG gestellt. Auch in den folgenden weiteren Stellungnahmen war zunächst kein Bezug zu § 24 Abs. 2 Z 5 DSG –bzw. ganz allgemein zum DSG – erkennbar.

Erst mit Eingabe vom 30. Dezember 2022 hat die bP den ergänzenden Antrag gestellt, festzustellen, dass die BG gemäß § 24 Abs. 2 Z 5 DSG iVm § 1 DSG gegen die zu jedem „Verstoßtyp abschließend nummeriert genannten Normen“ – die letztlich auf einen Verstoß gegen das Recht auf Geheimhaltung hinauslaufen – verstoßen hat. Demzufolge ist über die Feststellung einer Rechtsverletzung, die in der Vergangenheit liegt, abzusprechen.

Vorab ist in diesem Zusammenhang jedoch zu prüfen, ob der gestellte Antrag zum Zeitpunkt 30. Dezember 2022 nicht bereits präkludiert ist.

B.3. Beschwerdegegenstand ist darüber hinaus der Antrag der bP, der BG anzuordnen, A) die personenbezogenen Daten der bP zu löschen und die Löschung den Empfängern mitzuteilen und B) die „relevanten Verarbeitungstätigkeiten“ einzustellen.

Mit „relevanten Verarbeitungstätigkeiten“ bezieht sich die bP auf all jene Verarbeitungstätigkeiten, für die die BG im Rahmen der Verwendung ihres Cookie Banners am 24. September 2021 eine Rechtsgrundlage etablieren wollte.

B.4. Im gegenständlichen Fall ist vorab jedenfalls zu prüfen, ob der räumliche Anwendungsbereich der DSGVO eröffnet ist und die Datenschutzbehörde sohin zur Behandlung der Beschwerde grundsätzlich zuständig ist.

C. Sachverhaltsfeststellungen

C.1. Mittels Cookies lassen sich Informationen sammeln, die von einer Website generiert und über den Browser eines Internetnutzers gespeichert wurden. Es handelt sich um eine kleine Datei oder Textinformation (in der Regel kleiner als ein Kbyte), die von einer Website über den Browser eines Internetnutzers auf der Festplatte seines Computers oder mobilen Endgeräts platziert wird.

Ein Cookie erlaubt es der Website, sich an die Aktionen oder Vorlieben des Nutzers zu „erinnern“. Die meisten Webbrowser unterstützen Cookies, aber die Nutzer können ihre Browser so einstellen, dass sie die Cookies abweisen. Sie können die Cookies auch jederzeit löschen.

Websites nutzen Cookies, um Nutzer zu identifizieren, sich die Vorlieben ihrer Kunden zu merken und es den Nutzern zu ermöglichen, Aufgaben abzuschließen, ohne Informationen neu eingeben zu müssen, wenn sie zu einer anderen Seite wechseln oder die Website später erneut besuchen.

Cookies können auch genutzt werden, um anhand des Online-Verhaltens Informationen für gezielte Werbung und Vermarktung zu sammeln. Unternehmen verwenden zum Beispiel Software, um das Nutzerverhalten nachzuverfolgen und persönliche Profile zu erstellen, die es ermöglichen, den Nutzern Werbung zu zeigen, die auf ihre zuvor durchgeführten Suchvorgänge zugeschnitten ist.

Beweiswürdigung C.1.: Die Ausführungen zur Funktionsweise von Cookies stammen aus den Schlussanträgen des Generalanwalts in der Rechtssache C-673/17 Rz 36 ff mwN. Da es sich um eine einzelfallunabhängige und allgemeine technische Beschreibung zu den möglichen Funktionen von Cookies handelt, waren diese Ausführungen auf Sachverhaltsebene – und nicht in der rechtlichen Beurteilung – aufzunehmen.

C.2. Die BG ist Betreiberin der Website https://www.runningsport***.com/. Sie trifft die Entscheidung, unter welchen Voraussetzungen welche Cookies beim Aufruf der genannten Website gesetzt oder ausgelesen werden.

Die Website bietet Nachrichten, Features, Rezensionen und Interviews, die sich auf Fitness und Sport, insbesondere Laufen, beziehen. Die Website verweist auch auf Webshops anderer Unternehmen, in denen Kunden die präsentierten Produkte kaufen können. So wird man nach betätigen des Buttons „Shop“ auf die britische Website https://www.n***publishing.co.uk/***runningsports-magazine-subscription-website?utm_source=***runningsports.com utm_medium=referral utm_campaign=us-websites weitergeleitet. Hier besteht für den Website-Besucher die Möglichkeit eine Printausgabe der online abrufbaren Artikel nach Österreich zu bestellen.

Auf der Website finden sich zudem Produktverlinkungen zu Webshops wie beispielsweise Amazon sowie Werbeeinschaltungen. Die Verlinkungen und Werbeeinschaltungen gestalten sich wie folgt (Formatierungen nicht 1:1 wiedergegeben):

Die Website ist nicht in deutscher Sprache abrufbar.

Beweiswürdigung C.2.: Die getroffenen Feststellungen beruhen auf der Stellungnahme der BG vom 15. Mai 2023 und einer amtswegigen Recherche der Datenschutzbehörde auf der Website https://www.runningsport***.com/ , zuletzt abgerufen am 18. September 2023.

C.3. Die bP hat die Website https://www.runningsport***.com/ zumindest am 24. September 2021 besucht.

Der Cookie Banner gestaltete sich am 24. September 2021 konkret wie folgt (Formatierung nicht 1:1 wiedergegeben):

[Anmerkung Bearbeiter/in: Der an dieser Stelle als Faksimile (grafische Datei) wiedergegebene Screenshot von der Website der Beschwerdegegnerin kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt. Er wird nachfolgend als Textinhalt annähernd wiedergegeben. Eckige Klammern entsprechen Buttons/Schaltflächen, unterstrichene Zeichen entsprechen Links.]

„runningsport.***.com

N*** and third parties use cookies and similar technologies (“Cookies”) on this site. Some Cookies are necessary to make this site and our content available to you. Other Cookies analyze and measure audience and traffic. Cookies are also used by us and third parties such as advertisers, ad-tech providers and others (“Vendors“) to develop and serve ads more relevant to your interests based on your consent or our legitimate interests. For a list of Vendors that can set Cookies on your device an browser when you interact with this site and the purposes for which Cookies are set by Vendors and us, click Learn More below. From time to time we may add or remove Vendors and/or Cookies. You can adjust your preferences including your right to object where legitimate interest is used, or withdraw your consent to certain Cookies at any time. We process personal data obtained through the use of Cookies (such as cookie identifier and/or IP address) fort he purposes described in the Privacy Notice published on the site. To consent to the use of Cookies and proceed to the site, click Accept below. […]“

[Learn more] [Accept]

Beweiswürdigung C.3.: Die getroffenen Feststellungen beruhen auf der Eingabe der bP vom 9. August 2022 und sind unstrittig. Der Screenshot beruht auf den seitens der bP vorgelegten Beilagen „banner.png“ sowie „page.html“.

C.4. Als Folge des Besuchs der Website https://www.runningsport***.com/ wurden am 24. September 2021 u.a. folgende Cookies am Endgerät der bP gesetzt und ausgelesen, die einen einzigartigen, zufallsgenerierten Wert (random number) beinhaltet haben:

Der Inhalt der angeführten Beilage „cookies.json“ (JSON-Datei) wird den Sachverhaltsfeststellungen zugrunde gelegt.

Beweiswürdigung C.4.: Die getroffenen Feststellungen beruhen auf der Eingabe der bP vom 9. August 2022 und der mit dieser vorgelegten Beilage „cookies.json“. Bei einer JSON-Datei handelt es sich um ein Archivformat für HTTP-Transaktionen. Die JSON-Datei wurde seitens der Datenschutzbehörde überprüft. Das Vorbringen der bP stimmt mit den darin enthaltenen Archivdaten überein. Die vorgelegte JSON-Datei (bzw. deren Inhalt) ist den Parteien bekannt.

Darüber hinaus beruhen die getroffenen Feststellungen auf einer amtswegigen Recherche der Website https://www.***info-it.com/cookies/ (für das Cookie „pl*v“), https://policies.j***data.com/ /cookies?hl=de#*** -cookies (für das Cookie „J*ED“), https://www.the***infoexchange.com/us/privacy (für das Cookie „*XCID“) jeweils abgefragt am 18. September 2023.

C.5. Die BG speichert zum aktuellen Zeitpunkt keine Cookie-Werte, die als Folge des Besuchs unter https://www.runningsport***.com/ am 24. September 2021 im Endgerät der bP gesetzt und ausgelesen wurden. Darüber hinaus speichert die BG zum aktuellen Zeitpunkt nicht die IP-Adresse des Endgeräts der bP, die als Folge desselben Besuchs – zumindest kurzfristig – in ihren Logfiles gespeichert wurde.

Die BG hat die Empfänger der Datenübermittlung (konkret die Anbieter der Dienste, die sie auf ihrer Website implementiert hat) nicht über die Löschung der unter Sachverhaltsfeststellung C.4. angeführten Daten informiert.

Beweiswürdigung C.5. : Die getroffenen Feststellungen beruhen auf der Stellungnahme der BG vom 21. August 2023. Nach ausdrücklicher Aufforderung seitens der Datenschutzbehörde hat die BG ausgeführt, dass sie eine Durchsuchung ihrer von ihr kontrollierten Systeme durchgeführt habe. Die Suche sei anhand der in der Beschwerde angeführten Online-Identifiers (einschließlich der IP-Adresse und Namen). Es sind keine Anhaltspunkte vorhanden, das Vorbringen der BG in Zweifel zu ziehen. Die bP hat das diesbezügliche Vorbringen der BG auch nicht mehr bestritten. Für die Sachverhaltsfeststellungen spricht auch, dass es Cookies grundsätzlich inhärent ist, dass diese nach einem gewissen Zeitablauf automatisch gelöscht werden. Es liegen auch keine Ermittlungsergebnisse vor, die eine gegenteilige Feststellung rechtfertigen würden.

Hingegen hat die BG nicht ausreichend nachgewiesen, dass die Empfänger der Datenübermittlung über die Löschung informiert obwohl dies unzweifelhaft Beschwerdegegenstand ist und der BG auch die erste Eingabe der bP übermittelt wurde, in welcher die Information der Empfänger beantragt wurde. Tatsächlich hat die BG zuletzt gar nichts mehr zur Information der Empfänger über die Löschung vorgebracht. Wie sich noch aus der rechtlichen Beurteilung ergibt, trägt die BG – nach der Judikatur des EuGH – im Rahmen der datenschutzrechtlichen Rechenschaftspflicht diesbezüglich die Beweislast und wurden – trotz ausreichender Gelegenheit – gar keine Nachweise vorgelegt.

C.6. Die BG hat ihren Cookie Banner auf der Website https://www.runningsport***.com/ geändert. Zum aktuellen Zeitpunkt gestaltet sich der Cookie Banner der BG wie folgt (Formatierung nicht 1:1 wiedergegeben):

„runningsport.***.com

[Learn more] [Accept]

Wählt man die Option „ LEARN MORE“ aus, erscheint folgende Schaltfläche (Formatierung nicht 1:1 wiedergegeben):

„***trust

Cookies Choices

Cookies and similartechnologies (“Cookies") are needed forthe proper functioning ofthis site and to give you the Optimum experience of our Services. Cookies are also used to develop and serve ads, content or fe atures that are more relevant to your interests. Please review the information below.

We share information with third parties such as advertisers, ad-tech providers and others ("Vendors") on the basis of consent and/or legitimate interest. You may exercise your right to consent or object to a legitimate interest for the purposes described below. Some of the Vendors have adopted the IAB Europe GDPR Transparency Consent Framework (“IAB Framework”), which requires participants to adhere to the requirements and Standards developed by IAB Europe. From time to time we may add or remove Vendors and/or Cookies.

You can decline most Cookies by clicking on the Decline button below. To decline certain analytics Cookies, you will have to use the links provided in the Strietly Necessary Analytics Cookies tab. We are allowed to use certain cookies regardless of your choices, and we will use cookies to maintain your opt-out preferences. Note, if you do not consent to Cookies, somefeatures ofthe site may notfunction correctiy You will still see ads on the site, but they will not be based on your interests.

We have described the categones of Cookies and Vendors used on this site in the tabs below. To adjust your preferences, please use the toggles. Cookie- level opt-outs are browser and device-specific.

[Decline] [Confirm my choices]“

„***trust

level optouts are browser and device-specific.

[Accept]

Manage Consent Preferences

— Strictly Necessary Analytics Cookies Fired Automatically

Strictly necessary cookies are necessary for the website to function and cannot generally be switched off in our Systems without negatively affecting page functionality. They are usually only set in response to actions made by you which amountto a request for Services, such as setting your privacy preferences, logging in or filling in forms.

In addition, we use certain analytics Cookies to analyze and measure our audience, traffic, and engagement with the site. Those listed below are automatically enabled on our site and you can opt out at any time by following the instructions below.

To opt out J***Data Analytics: Click here to opt out of J***Data Analytics

(Cookies details (Non-IAB Vendors)]

+ Marketing Targeting Cookies [ja/nein]

+ Functional Cookies [ja/nein]

[Decline] [Confirm my choices]“

Am unteren linken Rand der Webseite befindet sich die Option „Cookie Choices“. Diese stellt sich wie folgt dar (Formatierung nicht 1:1 übernommen):

„A Part of N*** Digital Media

We may earn commission from links on this page, but we only recommend products we back.

Privacy Notice CA Notice at Collection Your CA Privacy Rights/Shine the Light

DAA Industry Opt Out Terms of Use Site Map

[COOKIES CHOICES]“

Beweiswürdigung C.6.: Die getroffenen Feststellungen zum Cookie Banner beruhen auf einer amtswegigen Recherche der Datenschutzbehörde auf der Website https://www.runningsport***.com/, zuletzt abgefragt am 18. September 2023. Die Feststellung, dass die BG den Cookie Banner angepasst hat, ergibt sich zudem aus dem Akt und ist unstrittig.

D. In rechtlicher Hinsicht folgt daraus:

Zum Anwendungsbereich der DSGVO

D.1. Zum Anwendungsbereich der DSGVO

Vorweg ist zu prüfen, ob der räumliche Anwendungsbereich der DSGVO eröffnet ist:

Die DSGVO knüpft zwar primär an die Datenverwendung im Rahmen einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters innerhalb des Unionsgebiets an, doch wird durch Art. 3 DSGVO der räumliche Anwendungsbereich des europäischen Datenschutzrechts erweitert. Demnach führt das Fehlen einer Niederlassung in der Union nicht zwangsläufig dazu, dass die Verarbeitungstätigkeiten eines in einem Drittland ansässigen Verantwortlichen vom Anwendungsbereich der DSGVO ausgeschlossen ist.

So lautet Art. 3 Abs. 2 DSGVO wie folgt:

„ Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist, oder (b) ihr Verhalten zu beobachten, soweit dieses Verhalten in der Union stattfindet .“

Im gegenständlichen Fall kommen grundsätzlich Art. 3 Abs. 2 lit. a („Anbieten von Waren oder Dienstleistungen “) und Art. 3. Abs. 2 lit. b DSGVO („ Verhaltensbeobachtung “) in Betracht.

D.1.1. Zu Art. 3 Abs. 2 lit. a DSGVO („Anbieten von Waren oder Dienstleistungen “)

Auch wenn der Begriff der „ Ausrichtung einer Tätigkeit “ vom „ Anbieten von Waren oder Dienstleistungen “ abweicht, hält der EDSA diese Rechtsprechung in der Rechtssache Pammer /Reederei Karl Schlüter GmbH Co und Hotel Alpenhof/Heller (verbundene Rechtssachen C-585/08 und C-144/09) für hilfreich bei einer Prüfung der Frage, ob Waren oder Dienstleistungen einer betroffenen Person in der Union angeboten werden. Unter Berücksichtigung der besonderen Umstände des Falls könnten daher unter anderem folgende Faktoren berücksichtigt werden, möglicherweise in Verbindung miteinander:

a) Die EU oder mindestens ein Mitgliedstaat wird unter Bezugnahme auf die angebotene Ware oder Dienstleistung benannt;

b) der Verantwortliche oder der Auftragsverarbeiter bezahlt einen Suchmaschinenbetreiber für einen Internetreferenzierungsdienst, um den Zugang zu seiner Website durch Verbraucher in der Union zu erleichtern, oder der Verantwortliche oder der Auftragsverarbeiter hat eine Marketing- und Werbekampagne gestartet, die sich an das Publikum in einem EU-Land wendet;

c) die internationale Natur der in Rede stehenden Tätigkeit, wie bestimmte touristische Aktivitäten;

d) die Angabe spezieller Adressen oder Telefonnummern, die von einem EU-Land zu erreichen sind;

e) die Verwendung eines anderen Top-Level-Domain-Namens als desjenigen des Drittlands, in dem der Verantwortliche oder der Auftragsverarbeiter niedergelassen ist, z. B. „de“, oder die Verwendung neutraler Top-Level-Domain-Namen wie „.eu“;

f) die Beschreibung der Reiseinstruktionen von einem oder mehreren anderen EU-Mitgliedstaaten zu dem Ort, an dem die Dienstleistung erbracht wird;

g) die Angabe eines internationalen Kundenkreises, der aus Kunden mit Sitz in verschiedenen EU- Mitgliedstaaten besteht, insbesondere durch die Rechnungslegung durch diese Kunden;

h) die Verwendung einer anderen Sprache oder einer anderen Währung als der im Land des Gewerbetreibenden üblichen, insbesondere einer Sprache oder Währung eines oder mehrerer EU- Mitgliedstaaten;

i) der Verantwortliche bietet die Lieferung von Waren in EU-Mitgliedstaaten an (vgl. Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DSGVO (Artikel 3) des EDSA vom 12. November 2019, S 20).

Wie den Sachverhaltsfeststellungen entnommen werden kann (siehe C.2.), bietet die Website Nachrichten, Features, Rezensionen und Interviews, die sich auf Fitness und Sport, insbesondere Laufen, beziehen. Die Website verweist auch auf Webshops anderer Unternehmen, in denen Kunden die präsentierten Produkte kaufen können und besteht ausschließlich auf der britischen Website die Möglichkeit ein Printabonnement nach Österreich zu bestellen.

Demnach ist die Website für Besucher aus der EU ausschließlich „ zugänglich “.

Wie bereits ErwGr 23 dritter Satz DSGVO festhält, ist die bloße Zugänglichkeit der Website des Verantwortlichen, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist, kein ausreichender Anhaltspunkt für den räumlichen Anwendungsbereich .

Vielmehr können andere Faktoren wie die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der Union befinden, darauf hindeuten, dass der Verantwortliche beabsichtigt, den Personen in der Union Waren oder Dienstleistungen anzubieten (vgl. erneut ErwGr 23 der DSGVO).

Es ist der bP grundsätzlich zuzustimmen, dass über einen Link auf der Website ein Printabonemment bestellen kann, dennoch ist diese Annahme nicht durch das Verständnis des räumlichen Anwendungsbereiches der DSGVO im Sinne der oben genannten Judikatur gedeckt, denn besteht die Möglichkeit ausschließlich über den Abruf eines britischen Links . Eine Ausrichtung der beschwerdegegenständlichen Website an ein europäisches Publikum kann daraus nicht abgeleitet werden, sondern vielmehr lässt sich daraus eine europäische Ausrichtung der britischen Website entnehmen .

So vertritt auch der EDSA die Ansicht, dass bei Verarbeitungstätigkeiten im Zusammenhang mit dem Angebot von Diensten die Bestimmung auf Tätigkeiten abhebt, die absichtlich und nicht unabsichtlich oder zufällig auf Personen in der EU zielen. Wenn sich die Verarbeitung auf einen Dienst bezieht, der nur Personen außerhalb der EU angeboten wird, der Dienst jedoch nicht entzogen wird, wenn diese Personen in die EU einreisen, unterliegt die entsprechende Verarbeitung nicht der DSGVO. In diesem Fall steht die Verarbeitung nicht im Zusammenhang mit der absichtlichen Ausrichtung auf Personen in der EU, sondern mit dem Abzielen auf Personen außerhalb der EU, das fortbesteht unabhängig davon, ob sie außerhalb der EU bleiben oder ob sie die Union besuchen (vgl. Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DSGVO (Artikel 3) des EDSA vom 12. November 2019, S. 17).

Auch betont der EDSA, dass die Verarbeitung personenbezogener Daten einer natürlichen Person in der Union allein nicht ausreicht, um die Anwendung der DSGVO auf Verarbeitungstätigkeiten eines nicht in der Union niedergelassenen Verantwortlichen auszulösen (vgl. Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DSGVO (Artikel 3) des EDSA vom 12. November 2019, S. 18).

D.1.2. Zu Art. 3 Abs. 2 lit. b DSGVO („ Verhaltensbeobachtung “)

Dessen ungeachtet, löst Art. 3 Abs. 2 lit. b DSGVO die Anwendung der DSGVO aus, soweit sie zur Beobachtung des Verhaltens betroffener Personen dient, sofern ihr Verhalten in der Union erfolgt (vgl. auch ErwGr 24).

Anders als die Bestimmung von Art. 3 Abs. 2 lit. a DSGVO führen weder Art. 3 Abs. 2 lit. b DSGVO noch ErwGr. 24 ausdrücklich ein notwendiges Maß an „ Zielgerichtetheit “ seitens des Verantwortlichen oder des Auftragsverarbeiters an, um festzustellen, ob die Beobachtungstätigkeit die Anwendung der DSGVO auf die Verarbeitungstätigkeit auslösen würde (vgl. Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DSGVO (Artikel 3) des EDSA vom 12. November 2019, S. 23).

Der EDSA ist nicht der Ansicht, dass „jede“ Online-Erhebung oder -Analyse personenbezogener Daten von Personen in der EU automatisch als „ Beobachtung “ zu betrachten ist. Die Verwendung des Wortes „ Beobachtung “ impliziert jedoch, dass der Verantwortliche bei der Erhebung und anschließenden Weiterverwendung der entsprechenden Daten über das Verhalten einer Person in der EU einen bestimmten Zweck verfolgt (vgl. Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DSGVO (Artikel 3) des EDSA vom 12. November 2019, S. 23).

Da es auf die Eignung ankommt, ist die Motivation des Verantwortlichen unerheblich. Ein Beobachten liegt daher auch dann vor, wenn es dem Verantwortlichen primär darum geht, die technischen Abläufe auf seiner Website nachzuvollziehen, er dabei aber personenbezogene Daten in einer Weise verarbeitet, durch welche die Internetaktivitäten einer betroffenen Person nachvollziehbar gemacht werden (vgl. Ernst in Kühling/Buchner , Datenschutz-Grundverordnung Kommentar, zu Art. 3, Rz 97).

Die Anwendung von Art. 3 Abs. 2 lit. b DSGVO kann daher ein breites Spektrum von Beobachtungstätigkeiten umfassen, der EDSA stellt insbesondere auf folgende Elemente ab (vgl. Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DSGVO (Artikel 3) des EDSA vom 12. November 2019, S. 23):

- Verhaltensbezogene Werbung

- Geolokalisierungsaktivitäten, insbesondere zu Marketingzwecken

- Online-Tracking durch Verwendung von Cookies oder anderen Verfolgungstechniken wie Fingerabdrücken

- Personalisierte Ernährungs- und Gesundheitsanalyse-Dienste im Internet

- CCTV

- Marktstudien und andere Verhaltensstudien auf der Grundlage individueller Profile

- Überwachung oder regelmäßige Meldungen über den Gesundheitszustand einer Person

Offensichtlich sollen damit im Internet eingesetzte Technologien in den räumlichen Anwendungsbereich der Verordnung gebracht werden, die die Internetaktivitätsdaten von Nutzern erfassen (z.B. durch entsprechende Cookies oder sonstige Nutzerkennungen), sofern die erfassten Daten in eine Entscheidung in Bezug auf die betroffene Person münden oder die Daten zur Personalisierung von Funktionalitäten oder Inhalten (z.B. personalisierte Werbung, personalisierte Vorschlagsfunktionen oder personalisierte Suchergebnisse) anhand eines Profils der Person eingesetzt werden (vgl. Meyerdierks in Moos/Schefzig/Arning , Praxishandbuch DSGVO einschließlich BDSG und spezifischer Anwendungsfälle Kap. 3, Rz 67).

Insbesondere fallen somit jegliche Formen des Trackings und des Profilings im Internet durch Analyse-Tools unter die Vorschrift, wie etwa Cookies, die die individuelle Rückverfolgbarkeit der Nutzer ermöglichen, oder Zwecke der individuellen Werbung (Targeted Advertising) verfolgen (vgl. Ernst in Kühling/Buchner , Datenschutzgrundverordnung Kommentar, zu Art. 3, Rz 98).

Auch ein erstmaliger und sich gegenüber der betroffenen Person ggf. nicht wiederholender Trackingvorgang kann zur Anwendung von Abs. 2 lit. b DSGVO führen (vgl. Ernst in Kühling/Buchner , Datenschutzgrundverordnung Kommentar, zu Art. 3, Rz 96).

Dies führt zum Ergebnis, dass Unternehmen, die keine Niederlassung in der EU haben und ihren Internetdienst ausschließlich an Personen außerhalb der EU richten und diesen zudem auf Servern außerhalb der EU betreiben, dennoch in den räumlichen Anwendungsbereich der Verordnung fallen können, wenn Nutzer aus der EU auf diesen Dienst zugreifen und der Dienst auf Verhaltensprofilen basierte Personalisierungsfunktionen anbietet (vgl. hierzu auch den Bescheid vom 2. Juni 2022, GZ: D130.651, 2022-0.088.237; vgl. Meyerdierks in Moos/Schefzig/Arning , Praxishandbuch DSGVO einschließlich BDSG und spezifischer Anwendungsfälle Kap. 3, Rz 71).

Wie den Feststellungen entnommen werden kann, wurden als Folge des Besuchs der Website Cookies mit einzigartigen, zufallsgenerierten Werten im Endgerät der bP gesetzt und ausgelesen. Die oben ausgeführten Überlegungen können daher auch auf den gegenständlichen Fall übertragen werden.

Im Ergebnis ist daher festzuhalten, dass der räumliche Anwendungsbereich der DSGVO – auch in Anbetracht des Zwecks der Verordnung, der insbesondere darin liegt, betroffenen Personen einen möglichsten großen Schutz ihrer Daten zu bieten – eröffnet ist.

D.2. Zur Zuständigkeit der Datenschutzbehörde

Verarbeitungsvorgänge eines Sachverhalts können sowohl den Bestimmungen der Richtlinie 2002/58/EG idgF. (e-Datenschutz-RL) bzw. dem TKG 2021, als auch der DSGVO unterliegen. Während das Setzen oder Auslesen von Cookies nach den Vorgaben von Art. 5 Abs. 3 der e-Datenschutz-RL zu beurteilen ist, fällt die darauffolgende Datenverarbeitung in den Anwendungsbereich der DSGVO (vgl. die Leitlinien 01/2020 des EDSA zur Verarbeitung personenbezogener Daten im Zusammenhang mit vernetzten Fahrzeugen und mobilitätsbezogenen Anwendungen Version 2.0 Rz 15 sowie Rz 53).

Dies entspricht auch der Rechtsauffassung des EuGH im Fall Fashion ID . Dieser ging nämlich auch davon aus, dass als Folge der Implementierung eines Social Plugin auf einer Website (dies fällt in den Anwendungsbereich der e-Datenschutz-RL) die Weitergabe der Daten des Websitebesuchers an Facebook Ireland Limited sowie die darauffolgende Datenverarbeitung in den Anwendungsbereich der (damaligen) Richtlinie 95/46 DSGVO fällt (vgl. das Urteil des EuGH vom 29. Juli 2019, C-40/17 Rz 26 und insbesondere Rz 85).

Die Datenschutzbehörde ist für die gegenständliche Beschwerde daher zuständig, da als Folge des Setzens oder Auslesens von Cookies eine Datenweitergabe (zumindest IP-Adressen und Cookie-Werte) stattgefunden hat (siehe Sachverhaltsfeststellung C.4) und die Anwendung der DSGVO nicht ausgeschlossen ist.

D.3. Verarbeitung personenbezogener Daten

Die Datenschutzbehörde hat im Fall J***Data Analytics – im Einklang mit der Judikatur des Europäischen Datenschutzbeauftragten (EDSB) – bereits ausgesprochen, dass Cookies, die einen einzigartigen, zufallsgenerierten Wert (random number) beinhalten und die mit dem Zweck gesetzt werden, Personen zu individualisieren und auszusondern , die Definition des Art. 4 Z 1 DSGVO erfüllen. Insbesondere kann nie ausgeschlossen werden, dass die Cookie-Werte und die IP-Adresse des Endgeräts einer Person an irgendeiner Stelle der Verarbeitungskette mit Zusatzinformationen kombiniert werden, zB. wenn sich die betroffene Person auf einer Website mit ihrer Email-Adresse oder dem Klarnamen registriert (vgl. den Bescheid vom 22. April 2022, GZ: 2022-0.298.191, abrufbar auf der Website www.dsb.gv.at; diese Rechtsauffassung bestätigend u.a. das Erkenntnis des BVwG vom 12. Mai 2023, GZ: W245 2252208-1; zum Personenbezug von „J***Data Analytics Cookies“ auch die Entscheidung des EDSB gegen das Europäische Parlament vom 5. Jänner 2022, GZ: 2020-1013, S. 13).

Diese Überlegungen können auf den gegenständlichen Fall übertragen werden, da als Folge des Besuchs der Website https://www.runningsport***.com/ am 24. September 2021 Cookies mit einzigartigen, zufallsgenerierten Werten im Endgerät der bP gesetzt und ausgelesen wurden (siehe Sachverhaltsfeststellung C.4). In weiterer Folge wurden die Cookie-Werte und IP-Adresse des Endgeräts der bP zB. an die Server der jeweiligen Anbieter, zB. J***Data (Cookie: J*ED) oder The***infoExchange(Cookie: „*XCID“) übermittelt.

Der sachliche Anwendungsbereich der DSGVO ist somit ebenso erfüllt.

Zu Spruchpunkt 1

D.4. Zur Mitteilungspflicht gemäß Art. 19 DSGVO (Beschwerdepunkt A)

Wie festgestellt, ist die BG die Betreiberin der gegenständlichen Website und entscheidet darüber, welche Cookies auf ihrer Website gesetzt werden (und damit verbunden, welche Datenverarbeitung durchgeführt wird; siehe Sachverhaltsfeststellung C.2.).

Daraus folgt, dass die BG als datenschutzrechtliche Verantwortliche gemäß Art. 4 Z 7 DSGVO für die gegenständliche Datenverarbeitung zu qualifizieren ist, da sie über die Zwecke und Mittel der Datenverarbeitung entscheidet.

Nach Art. 19 DSGVO hat der Verantwortliche allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Löschung nach Art. 17 Abs. 1 DSGVO mitzuteilen, es sei denn dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

Wie den Feststellungen entnommen werden kann, hat die BG zwar die Daten der bP gelöscht, jedoch die Empfänger nicht über die Löschung unterrichtet (siehe Sachverhaltsfeststellungen C.5.). Zu prüfen gilt daher, ob der erfolgten Löschung eine – die Mitteilungspflicht nach Art. 19 DSGVO auslösende – Löschungsverpflichtung vorangegangen wäre:

Der Verantwortliche hat die Daten gemäß Art. 17 Abs. 1 DSGVO zu löschen, sofern einer der genannten Gründe nach Art. 17 Abs. 1 lit. a bis f leg. cit. zutrifft und keine Ausnahmetatbestände nach Art. 17 Abs. 3 DSGVO vorliegen.

Die bP moniert in diesem Zusammenhang – sinngemäß – eine Löschungsverpflichtung aufgrund unrechtmäßiger Datenverarbeitung (Art. 17 Abs. 1 lit. d DSGVO).

Wie bereits oben näher dargelegt, ist die Datenschutzbehörde jedenfalls dafür zuständig, jene Verarbeitungsvorgänge zu überprüfen, die nach dem Setzen oder Auslesen von Cookies gemäß Art. 5 Abs. 3 der e-Datenschutz-RL erfolgen („darauffolgende Datenverarbeitung)“.

Im ersten Schritt ist jedoch zu überprüfen, ob für das Setzen oder Auslesen von Cookies eine gültige Einwilligung eingeholt wurde. Nach Judikatur des EuGH kommt im Zusammenspiel zwischen e-Datenschutz-RL und DSGVO eine Berufung auf einen Tatbestand des Art. 6 Abs. 1 DSGVO nur dann Betracht, wenn auch die Voraussetzungen einer rechtmäßigen Verarbeitung nach der e-Datenschutz-RL vorliegen (Urteil vom 17. Juni 2021, C-597/19, ab Rz 97).

Im vorliegenden Fall ist aber von keiner gültigen Einwilligung und somit von keiner rechtmäßigen Verarbeitung nach der eDatenschutz-RL und der DSGVO auszugehen, da es auf erster Ebene des Cookie-Banners (des Ersuchens um Einwilligung) keine Möglichkeit gab, die Einwilligung nicht abzugeben bzw. die Website ohne Abgabe einer Einwilligung zu betreten (siehe Sachverhaltsfeststellung C.3.).

Damit kann insbesondere nicht von einer unmissverständlichen Willensbekundung gemäß Art. 4 Z 11 DSGVO ausgegangen werden (siehe zur Gestaltung eines Ersuchens um Einwilligung auch Punkt D.8. b) des gegenständlichen Bescheids).

Die Folge einer unrechtmäßigen Verarbeitung ist gemäß Art. 17 Abs. 1 lit. d DSGVO die Pflicht des Verantwortlichen, die Daten zu löschen. Ein Ausnahmetatbestand des Art. 17 Abs. 3 DSGVO liegt nicht vor.

Damit verbunden ist wiederum die Pflicht, gemäß Art. 19 erster Satz DSGVO die Empfänger – dies sind im gegenständlichen Fall insbesondere die Anbieter der Tools, die die BG auf ihrer Website implementiert hat – über die Löschung zu informieren .

Für den Nachweis der Einhaltung der in Art. 19 DSGVO normierten Mitteilungspflicht trägt die BG gemäß Art. 5 Abs. 2 (iVm Art. 24 Abs. 1) leg. cit. nach Judikatur des EuGH die Beweislast . Solche Nachweise wurden im Rahmen des vorliegenden Verfahrens – trotz eingeräumter Möglichkeit und ausdrücklicher Nachfrage seitens der Datenschutzbehörde – von der BG nicht erbracht (vgl. das Urteil des EuGH vom 4. Juli 2023, C-252/21 Rz 95).

Die BG hat sich auch zu keinem Zeitpunkt auf einen Ausnahmetatbestand des Art. 19 erster Satz DSGVO gestützt und ist auch nicht erkennbar, inwiefern die Mitteilung im Rahmen eines einzelnen Falls einen unverhältnismäßigen Aufwand darstellen würde.

In Anbetracht des Umstands, dass die Daten der bP – aus den oben dargestellten Gründen –unrechtmäßigerweise verarbeitet wurden, scheint die Erfüllung der Informationspflicht gemäß Art. 19 DSGVO auch geboten und kommt der Tatbestand der Unverhältnismäßigkeit nach Ansicht der Datenschutzbehörde nicht in Betracht.

Vor diesem Hintergrund war spruchgemäß ein Leistungsauftrag zu erteilen.

Zu Spruchpunkt 2

D.5. Zum Recht auf Löschung (Beschwerdepunkt A)

Wie festgestellt, speichert die BG die Informationen, die als personenbezogene Daten der bP gewertet werden können – d.h. die IP-Adresse und die Cookie-Werte des Endgeräts der bP – aktuell nicht .

Nach Judikatur des BVwG besteht zudem kein subjektives Recht auf Feststellung, dass den Betroffenenrechten – hier: dem Recht auf Löschung – allenfalls zu spät entsprochen wurde (vgl. das Erkenntnis des BVwG vom 31. Jänner 2020, GZ: W258 2226305-1 und die dort angeführten weiteren Nachweise).

Zumindest im Entscheidungszeitpunkt ist daher von keiner Verletzung von Art. 17 DSGVO auszugehen.

D.6. Zum Antrag auf Anordnung gegen die BG, die unrechtmäßigen Verarbeitungen zu beenden (Beschwerdepunkt B)

Darüber hinaus hat die bP den Antrag gestellt, der BG anzuordnen, die unrechtmäßigen Verarbeitungen zu beenden.

Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person „[…] unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt .“

Aus dem Wortlaut von Art. 77 Abs. 1 DSGVO ist erkennbar, dass sich allfällige Anträge, die im Rahmen eines Beschwerdeverfahrens geltend gemacht werden, – soweit überhaupt von ihrer Zulässigkeit auszugehen ist – auf die Person der beschwerdeführenden Partei („sie betreffenden personenbezogenen Daten“) beziehen müssen.

Wie bereits ausgeführt, speichert die BG die beschwerdegegenständlichen Daten der bP aktuell jedoch nicht, sodass auch von keiner Abhilfebefugnis Gebrauch gemacht werden kann, die sich auf die personenbezogenen Daten der bP bezieht.

In Anbetracht des abschließenden Charakters der Abhilfebefugnisse von Art. 58 Abs. 2 DSGVO (vgl. erneut das Erkenntnis des VwGH vom 1. September 2022, Ra 2022/04/0066) und des Wortlauts von Art. 77 Abs. 1 DSGVO und § 24 Abs. 1 DSG ( verstößt und nicht: „verstoßen hat“ oder „verstoßen wird“; englische Sprachfassung der DSGVO: „ infringes“, französische Sprachfassung der DSGVO: „ constitue“ ), kann im Rahmen eines Beschwerde verfahrens auch keine Anordnung ergehen, die sich auf eine Datenverarbeitung pro futuro (also für den Fall, dass die bP die Website zukünftig wieder aufruft) bezieht.

Somit ist auch nicht mehr inhaltlich auf die abstrakt formulierten Verstöße der bP im Zusammenhang mit dem Cookie Banner einzugehen. Derartige Verstöße gegen die DSGVO sind (wenn geboten) amtswegig aufzugreifen.

Soweit die bP schließlich vorbringt, dass eine zuständige Aufsichtsbehörde auch eine Anordnung treffen kann, die „über die personenbezogenen Daten der bP hinausgehe“, ist dem entgegenzuhalten, dass eine derartige „ Popularbeschwerde “ (also eine Beschwerde, die nicht nur die Person der bP betrifft) unzulässig ist (vgl. den Bescheid der DSB vom 26. November 2018, GZ: DSB-D216.697/0011-DSB/2018).

Bei anderer Betrachtung bliebe nämlich kein Raum für die in Art. 80 Abs. 2 DSGVO vorgesehene Möglichkeit von Mitgliedstaaten, ein Beschwerderecht für Datenschutzorganisationen vorzusehen, das unabhängig von einem Auftrag einer konkret betroffenen Person besteht. Der österreichische Gesetzgeber hat von dieser Möglichkeit aktuell jedoch nicht Gebrauch gemacht.

Zu Spruchpunkt 3

D.7. Zum Antrag der bP vom 30. Dezember 2022 auf Feststellung einer behaupteten Verletzung im Recht auf Geheimhaltung (Beschwerdepunkt C)

Gemäß § 24 Abs. 4 DSG erlischt der Anspruch auf Behandlung einer Beschwerde, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat , längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind gemäß § 24 Abs. 4 letzter Satz DSG zurückzuweisen.

§ 24 Abs. 4 DSG stellt auf ein beschwerendes Ereignis als Auslöser des Fristenlaufs ab. Als solches Ereignis kommt im gegenständlichen der Besuch der Website https://www.runningsport***.com/ am 24. September 2021 – und die damit verbundene Datenverarbeitung – in Betracht.

Die Stellung des ergänzenden Antrags vom 30. Dezember 2022, d.h. nach mehr als einem Jahr ab Kenntnis des beschwerenden Ereignisses (Webseitenbesuch), erweist sich folglich als verspätet und war der Anspruch der bP auf Behandlung dieses Antrages zum Zeitpunkt der Ergänzung bereits erloschen, weshalb die Beschwerde in diesem Punkt gemäß § 24 Abs. 4 DSG zurückzuweisen war.

In diesem Zusammenhang ist festzuhalten, dass nach gefestigter Judikatur des VwGH Unzulänglichkeiten eines Anbringens, die nicht die Vollständigkeit, sondern vielmehr seine Erfolgsaussichten beeinträchtigen, keinem Mängelbehebungsauftrag zugänglich sind (vgl. anstelle vieler den Beschluss des VwGH vom 20. April 2022, Ro 2018/06/0001).

Weder aus der DSGVO noch aus dem DSG ist abzuleiten, dass im Falle der Geltendmachung der Verletzung von zB. Art. 17 DSGVO zeitgleich verpflichtend auch ein Begehren an die Datenschutzbehörde enthalten sein muss, dass eine in der Vergangenheit liegende Rechtsverletzung festgestellt werden möge. Mit anderen Worten: Beschwerdegegenstand kann auch nur eine Verletzung von etwa Art. 17 DSGVO sein und es muss zeitgleich nicht auch eine Verletzung von § 1 Abs. 1 DSG oder Art. 6 Abs. 1 DSGVO geltend gemacht werden.

So wurde auch im gegenständlichen Fall mit der ursprünglichen Eingabe vom 9. August 2022 eine vollständige Beschwerde mit klaren Anträgen eingebracht, die daher keinem Mängelbehebungsauftrag zugänglich war.

Zu Spruchpunkt 4

D.8. Zum Leistungsauftrag

a) Allgemeines

Die Datenschutzbehörde verfügt gemäß Art. 58 Abs. 2 lit. d DSGVO über Abhilfebefugnisse, die es ihr gestatten, u.a. einen Verantwortlichen anzuweisen, Verarbeitungsvorgänge auf eine bestimmte Weise und innerhalb eines bestimmten Zeitraumes zu ändern bzw. durchzuführen.

Nach Judikatur des BVwG ist es zulässig, dass die Datenschutzbehörde auch im Beschwerdeverfahren von ihren in Art. 58 Abs. 2 DSGVO normierten Befugnissen amtswegig Gebrauch macht (vgl. das dg. Erkenntnis vom 16. November 2022, Zl. W274 2237056-1/8E).

Die Überlegungen des BVwG stehen auch in Einklang mit der Judikatur des EuGH, wonach eine Aufsichtsbehörde verpflichtet ist, im Falle von festgestellten Unzulänglichkeiten von ihren Abhilfebefugnissen Gebrauch zu machen (vgl. das Urteil des EuGH vom 16. Juli 2020 C-311/18 Rz 111).

Zwar wurde die gegenständliche Beschwerde im Endergebnis abgewiesen, da u.a. die Daten der bP zwischenzeitig gelöscht wurden. Dies ändert jedoch nichts daran, dass nach Ansicht der Datenschutzbehörde der gegenständliche Cookie-Banner (bzw. konkret: das Ersuchen um Einwilligung) nicht den Vorgaben der DSGVO entspricht.

Für die Beurteilung, wie der Cookie-Banner und die Interaktionsmöglichkeiten zu verstehen sind, ist die Figur eines durchschnittlich informierten, aufmerksamen und verständigen Verbrauchers heranzuziehen (vgl. das Urteil des EuGH vom 16. Juli 1998, C-210/96 [ Gut Springenheide GmbH ] Rn 37; das Erkenntnis des BVwG vom 13. Dezember 2022, GZ: W214 2234934-1; Artikel 29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/67, WP259 rev.01, 17/DE, S. 16; Greve in Sydow, Kommentar Art. 12 Rz 11; Illibauer in Knyrim , DatKomm Art. 12 Rz 39; in Bezug auf das DSG 2000 auch Jahnel , Handbuch Rz 7/22 mwN).

Ausgehend von diesem Maßstab ist für den gegenständlichen Fall Folgendes festzuhalten:

b) Zum Leistungsauftrag gemäß 4. a) des Spruchs

Die Abgabe einer Einwilligung für Cookies muss genauso einfach sein wie ihr Widerruf (vgl. Art. 7 Abs. 3 DSGVO sowie das Urteil des EuGH vom 27. Oktober 2022, C-129/21 Rz 65).

Im Größenschluss muss auch die Nichtabgabe einer Einwilligung (bzw. das Schließen des Cookie-Banners und Weitersurfen ohne Einwilligung) genauso einfach sein wie die Abgabe der Einwilligung. Für die Nichtabgabe einer Einwilligung (bzw. das Schließen des Cookie-Banners und Weitersurfen ohne Einwilligung) dürfen also nicht mehr Interaktionen mit dem Cookie-Banner notwendig sein, als für die Abgabe der Einwilligung.

Im gegenständlichen Fall wird für den Einsatz von Cookies (und der damit verbundenen Verarbeitung personenbezogener Daten) ein Cookie-Banner als Ersuchen um Einwilligung verwendet. Konkret besteht auf erster Ebene des Cookie-Banners ausschließlich die Möglichkeit den Cookie-Banner zu akzeptieren („ACCEPT“). Will man hingegen die Einwilligung ablehnen, ist es notwendig unter der Option „LEARN MORE“ auf zweiter Ebene unter „Cookies Choices“ die Einwilligung abzulehnen („Decline“).

Von betroffenen Personen kann aber nicht verlangt werden, dass sie auf einer Schaltfläche (wie einem Cookie-Banner) erst auf einer zweiten oder dritten Ebene die Entscheidung treffen kann, keine Einwilligung abzugeben, da diesfalls nicht von einer unmissverständlichen Willensbekundung iSd Art. 4 Z 11 DSGVO ausgegangen werden kann.

Insbesondere kann nicht ausgeschlossen werden, dass betroffene Personen die Option „Akzeptieren“ bloß deshalb ausgewählt haben, weil aus ihrer Sicht keine unmittelbare Option zum „Ablehnen“ zur Verfügung stand oder weil sie aufgrund der Gestaltung gar nicht erkannt haben, dass eine Option „Ablehnen“ verfügbar war. Die BG trägt für die Gültigkeit einer jeden Einwilligung zudem die Beweislast (vgl. das Urteil des EuGH vom 4. Juli 2023, C-252/21 Rz 95).

Zusätzlich zur angeführten Judikatur des EuGH ist zu berücksichtigen, dass eine Vorgehensweise, bei welcher betroffene Personen angehalten werden, für die Nichtabgabe einer Einwilligung mehr Interaktionen durchführen zu müssen als für die Abgabe einer Einwilligung, weder dem Grundsatz der Datenverarbeitung nach Treu und Glauben („fairly processed“) gemäß Art. 5 Abs. 1 lit. a DSGVO noch dem Grundsatz Datenschutz durch Technikgestaltung („privacy by design“) gemäß Art. 25 Abs. 1 leg. cit. entsprechen kann. Auch dieser Umstand spricht für die von der Datenschutzbehörde vertretenen Auslegung von Art. 4 Z 11 iVm Art. 7 DSGVO.

Diese Ansicht entspricht im Ergebnis auch der Ansicht des EDSA (vgl. Report of the work undertaken by the Cookie Banner Taskforce, S. 4 f, abrufbar unter https://edpb.europa.eu/our-work-tools/our-documents/report/report-work-undertaken-cookie-banner-taskforce_en).

Maßgabe für eine „Ablehnen“-Option auf erster Ebene ist darüber hinaus, dass diese aus optischere Sicht gleichwertig gestaltet ist wie die „Akzeptieren“-Option. Dies bedeutet insbesondere, dass beide Optionen gleich gut sichtbar sein müssen. Für die optische Gestaltung des Cookie-Banners können die „FAQ zum Thema Cookies und Datenschutz“ als Hilfe herangezogen werden (abrufbar auf der Website der Datenschutzbehörde, vgl. insbesondere Frage 7 und Frage 8).

c) Zum Leistungsauftrag gemäß 4. b) des Spruchs

Wie bereits ausgeführt, muss die Abgabe einer Einwilligung genauso einfach sein wie ihr Widerruf (vgl. erneut Art. 7 Abs. 3 DSGVO sowie das Urteil des EuGH vom 27. Oktober 2022, C-129/21 Rz 65). Im Onlinekontext muss daher klar ersichtlich sein, wo bzw. wie die Einwilligung widerrufen werden kann.

Im vorliegenden Fall findet sich im Cookie-Banner selbst kein einfacher und klar ersichtlicher Hinweis, welcher erklärt, wo die Einwilligung zu widerrufen ist.

Zwar befindet sich am unteren Ende der Website https://www.runningsport***.com/ der Button „Cookie Choices“ und können im Menü diverse Präferenzen zu den Cookies sowie der Widerruf abgegeben werden (siehe Sachverhaltsfeststellung C.6.). Dies allein, ist jedoch nicht ausreichend, denn muss bereits aus dem Cookie-Banner, sprich: zum Zeitpunkt der Abgabe der Einwilligung, klar ersichtlich sein, auf welche Weise diese widerrufen werden kann.

Insbesondere kann es einer betroffenen Person auch nicht zugemutet werden, für den Widerruf die Website abzusuchen.

Die BG wird daher eine Lösung implementieren müssen, in welcher bereits im Cookie-Banner ersichtlich ist, wo die Einwilligung widerrufen werden kann.

d) Zum Leistungsauftrag gemäß 4. c) des Spruchs

Der Einsatz von Cookies (und die damit verbundene Verarbeitung personenbezogener Daten), welche technisch für die Verwendung einer Website nicht erforderlich sind, bedarf der vorherigen Einwilligung (vgl. Art. 29-WP Opinion 04/2012 on Cookie Consent Exemption, WP 194, 00879/12/EN S. 9 ff).

Nach Judikatur des BVwG ist Art. 5 Abs. 3 der Richtlinie 2002/58/EG idgF. (iVm §165 Abs. 3 TKG 2021) auch nicht im Sinne einer „wirtschaftlichen Notwendigkeit“ zu interpretieren“. Dies bedeutet, dass etwa Werbe-Cookies zum Ausspielen von personalisierter Werbung nicht „technisch notwendig“ werden, bloß weil das Ausspielen von personalisierter Werbung zur Finanzierung des Betriebs der Website notwendig ist (siehe das Erkenntnis des BVwG vom 12. März 2019, GZ: W214 2223400-1 sowie die „FAQ zum Thema Cookies und Datenschutz“, abrufbar auf der Website der Datenschutzbehörde, insbesondere Frage 5).

Festzuhalten ist, dass die in § 165 Abs. 3 TKG 2021 enthaltene Ausnahme „ Erbringung eines ausdrücklich gewünschten Dienstes der Informationsgesellschaft “ (sowie die damit verbundene Formulierung „ unbedingt erforderlich “) restriktiv zu interpretieren ist. Für die Zulässigkeit von Cookies bedeutet dies, dass diese für die Diensterbringung unbedingt erforderlich sein müssen und ein klarer Zusammenhang mit dem vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienst bestehen muss (vgl. Riesz in Riesz/Schilchegger (Hrsg), TKG (2016) § 96 Rn 48). Ebenso führt die eingangs angeführte Stellungnahme der ehemaligen Art. 29-WP aus, dass zu prüfen ist, was aus Sicht des Nutzers , nicht des Diensteanbieters, unbedingt erforderlich ist.

Die BG qualifiziert Analyse-Cookies, bspw. J***Data Analytics, als technisch notwendige Cookies („ strictly necessary cookies “)]. Dem ist jedoch entgegenzuhalten, dass Analyse-Cookies aufgrund der dargestellten Überlegungen jedenfalls nicht als technisch notwendige Cookies zu werten sind (vgl. zu J***Data Analytics und zum Personenbezug von J***Data Analytics Cookies auch das Erkenntnis des BVwG vom 12. Mai 2023, W245 2252208-1/36E und W245 2252221-1/30E).

Die BG wird daher ihre Website entsprechend anpassen müssen, dass für den Einsatz derartiger Analyse-Cookies und die damit verbundene Datenverarbeitung eine vorherige Einwilligung eingeholt wird.

Es war daher spruchgemäß zu entscheiden.

2023-0.632.875 – Datenschutzbehörde Entscheidung

2023-0.632.875 – Datenschutzbehörde Entscheidung

Text

Rückverweise

2023-0.632.875—DSB Entscheidung