BVwG W214 2234934-1

Spruch:

W214 2234934-1/24E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Dr. Eva SOUHRADA-KIRCHMAYER als Vorsitzende sowie die fachkundigen Laienrichterinnen Mag. Huberta MAITZ-STRASSNIG und Mag. Claudia KRAL-BAST als Beisitzerinnen über die Beschwerde der XXXX , vertreten durch FRESHFIELDS BRUCKHAUS DERINGER Rechtsanwälte PartG mbH, gegen den Bescheid der Datenschutzbehörde vom 30.07.2020, Zl. DSB-D213.983, 2020-0.465.771, nach Durchführung einer mündlichen Verhandlung zu Recht erkannt:

A)

In Erledigung der Beschwerde

I. wird Spruchpunkt 1. des angefochtenen Bescheides ersatzlos behoben

und

II. werden die Spruchpunkte 2. bis 4. des angefochtenen Bescheides durch folgende Spruchpunkte ersetzt, sodass der Spruch insgesamt lautet:

„1. Der XXXX wird die Verwendung der per XXXX zu erteilenden Einwilligungserklärungen „Ihre XXXX “, womit eine Einwilligung in die Erstellung von Kundenprofilen zum Zweck der interessensgerichteten Werbung und XXXX erteilt wird, in der am 30.07.2020 vorliegenden Gestaltung ( XXXX des Unterschriftfeldes und die Gestaltung des Satzes unter dem Unterschriftsfeld durch eine nicht fett gedruckte Wortfolge „ XXXX “ vor dem Wort „ XXXX “, fettgedruckte Wortfolge XXXX neben dem Unterschriftsfeld: „ XXXX !“, irreführender Eindruck eines Gesamt-Unterschriftsfelds) untersagt.

Ebenso wird die Verwendung der elektronisch zu erteilenden Einwilligungserklärungen in „ XXXX “, womit eine Einwilligung die Erstellung von Kundenprofilen zum Zweck der interessensgerichteten Werbung und XXXX erteilt wird, in der am 30.07.2020 vorliegenden Gestaltung (Verwendung des XXXX Buttons mit der Wortfolge „ XXXX “ als Anmeldung und Einwilligung) untersagt.

Des Weiteren wird die Verwendung der Überschrift der Einwilligungserklärungen in der am 30.07.2020 vorliegenden Fassung ohne Hinweis darauf, dass die Einwilligung auch die Erstellung von Kundenprofilen umfasst, untersagt.

2. Der XXXX wird die Verarbeitung von personenbezogenen Daten von den bereits am XXXX -Programm registrierten betroffenen Personen betreffend der in Spruchpunkt 1 genannten Zwecke untersagt, soweit die entsprechenden Einwilligungen in der in Spruchpunkt 1. beschriebenen Gestaltung eingeholt wurden und die Einwilligungen nicht bereits nochmals bestätigt wurden.

3. Für die Umsetzung der Spruchpunkte 1. und 2 wird der XXXX eine Frist von vier Monaten gesetzt.“

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

1. Die Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) brachte der Beschwerdeführerin mit Schreiben vom 24.01.2020 zur Kenntnis, dass ein amtswegiges Prüfverfahren („Datenschutzüberprüfung“) gemäß Art. 57 Abs. 1 lit. h iVm Art. 58 Abs. 1 lit. b DSGVO iVm § 22 Abs. 1 DSG gegen sie (als Beschwerdeführerin und [gemeinsame] Verantwortliche des „ XXXX -Programms“ [in der Folge nur: „Programm“]) eingeleitet werde und forderte die Beschwerdeführerin zur Beantwortung eines Fragenkataloges zum Programm auf.

2. Die Beschwerdeführerin erstattete am 12.02.2020 die aufgetragene Stellungnahme, legte die von der belangten Behörde angeforderten Unterlagen in Kopie vor und tätigte allgemeine Ausführungen zum Unternehmen sowie zum Programm.

3. Die belangte Behörde führte am 18.06.2020 eine mündliche Verhandlung durch, an welcher sich die Beschwerdeführerin beteiligte. In der mündlichen Verhandlung wurden ergänzende Fragen, vor allem zur Datenschutzerklärung sowie zur allgemeinen Datenverarbeitung und Profiling, an die Beschwerdeführerin gestellt.

4. Mit nunmehr angefochtenem Bescheid der belangten Behörde vom 30.07.2020, Zl. DSB-D205.179/0001-DSB/2019, wurde festgehalten, dass das amtswegige Prüfverfahren berechtigt gewesen sei und festgestellt, dass die Ersuchen um Einwilligung zur Verarbeitung von personenbezogenen Daten für die Zwecke, die in Ziffer XXXX “), Ziffer XXXX („ XXXX “) und Ziffer XXXX der Datenschutzerklärung der Beschwerdeführerin angeführt seien, und die unter Verwendung der Methoden, i) physisches Anmeldeformular im „ XXXX “ und ii) Webseite XXXX eingeholt würden, nicht den Anforderungen an eine Einwilligung gemäß Art. 4 Z 11 DSGVO und Art. 7 Abs. 2 DSGVO entsprechen würden (Spruchpunkt 1. lit. a) und, dass für die bisherige Verarbeitung von personenbezogenen Daten von den beim Programm registrierten betroffenen Personen für die Zwecke, die in Ziffer XXXX , Ziffer XXXX und Ziffer XXXX der Datenschutzerklärung der Beschwerdeführerin angeführt seien, anstelle der Einwilligung, die unter Verwendung der Methoden 1.) a) i) physisches Anmeldeformular im „ XXXX “ und 1.) a) ii) Webseite XXXX eingeholt worden seien, keine andere Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO in Betracht komme und die genannte bisherige Verarbeitung daher unrechtmäßig erfolgt sei (Spruchpunkt 1. lit. b). Der Beschwerdeführerin wurde die Verwendung der Ersuchen um Einwilligung im Umfang von Spruchpunkt 1. a) in dieser Form untergesagt (Spruchpunkt 2.), der Beschwerdeführerin wurde die Verarbeitung von personenbezogenen Daten von den am Programm bereits registrierten betroffenen Personen für die Zwecke, die in Ziffer XXXX , Ziffer XXXX und Ziffer XXXX der Datenschutzerklärung der Beschwerdeführerin angeführt seien, untersagt, soweit die entsprechenden Einwilligungen unter Verwendung der in Spruchpunkt 1. a) angeführten Methoden eingeholt worden seien (Spruchpunkt 3.) und der Beschwerdeführerin für die Umsetzung der Spruchpunkte 2. und 3. eine Frist von vier Monaten eingeräumt (Spruchpunkt 4.).

Die belangte Behörde führte zunächst aus, dass Prüfgegenstand die Frage sei, ob das Ersuchen um Einwilligung der Beschwerdeführerin für die Verarbeitung personenbezogener Daten von den am Programm teilnehmenden betroffenen Personen für die Zwecke, die in Ziffer XXXX bis XXXX ihrer Datenschutzerklärung angeführt seien, den in der DSGVO normierten Anforderungen an ein solches Ersuchen entspreche.

In rechtlicher Hinsicht hielt die belangte Behörde fest, dass aufgrund des durchgeführten Ermittlungsverfahrens keine Zweifel daran bestünden, dass die Beschwerdeführerin – unter anderem – auch die datenschutzrechtliche Verantwortlichkeit für die Datenverarbeitung im Rahmen von Ziffer XXXX bis XXXX ihrer Datenschutzerklärung trage. Für die Datenverarbeitung im Rahmen von Ziffer XXXX („ XXXX “) und Ziffer XXXX sei die Beschwerdeführerin bereits nach eigenen Angaben Verantwortliche gemäß Art. 4 Z 7 DSGVO, für die Datenverarbeitung im Rahmen von Ziffer XXXX XXXX sei davon auszugehen, dass die Beschwerdeführerin gemeinsam mit dem jeweiligen Partnerunternehmen für die Datenverarbeitung als datenschutzrechtlicher Verantwortlicher gemäß Art. 4 Z 7 iVm Art. 26 DSGVO anzusehen sei. Zum Benutzer, der sich beim Programm anmelde, sei auszuführen, dass man sich in Anlehnung an die Rechtsprechung des EuGH in Bezug auf die Irreführung von Verbrauchern hinsichtlich einer Angabe zur Förderung des Verkaufs von Lebensmitteln, in die Rolle eines durchschnittlichen Benutzers versetzen müsse, der den Anmeldeprozess mit durchschnittlicher Aufmerksamkeit durchlaufe und der keine juristischen oder technischen Kenntnisse besitze.

Zur konkreten Einwilligungserklärung im Hinblick auf das physische Anmeldeformular ( XXXX ) sei auszuführen, dass an die Kriterien von Art. 4 Z 1 und Art. 7 Abs. 2 DSGVO ein hoher Maßstab anzulegen sei, Inhalt und Tragweite vorgefasster Vertragsklauseln müssten nach der Rechtsprechung des OGH für den Verbraucher „durchschaubar“ sein. Eine solche „Durchschaubarkeit“ sei im vorliegenden Fall von großer Bedeutung, da die Beschwerdeführerin die Einwilligung einhole, damit sie selbst sowie XXXX weitere Partnerunternehmen Daten zum Zweck der personalisierten Werbung (also Profiling) verarbeiten könnten; durch Abgabe einer Einwilligung solle daher ein vergleichsweise schwerwiegender Eingriff in das Grundrecht auf Datenschutz einer betroffenen Person legitimiert werden, der (in aller Regel) nicht auf berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden könne. Nun könne aber in einem Fall wie diesem nicht davon ausgegangen werden, dass ein Benutzer, der sich dem Anmeldeprozess mit durchschnittlicher Aufmerksamkeit widme, erkenne, dass es sich bei dem am Ende des Anmeldeformulars platzierten Unterschriftenfeldes um die Abgabe einer datenschutzrechtlichen Einwilligung handle. Vielmehr vermittle die Gesamtkonzeption des Anmeldeformulars und die Platzierung des Unterschriftenfelds den Eindruck, dass es sich hierbei um eine Unterschrift zur Anmeldebestätigung zum Programm handle. Ein Durchschnittsbenutzer werde nach allgemeiner Lebenserfahrung davon ausgehen, dass am Ende eines Anmeldeformulars, bei dem ein großes Unterschriftenfeld platziert sei, mit Abgabe der Unterschrift bloß die Anmeldung zur Mitgliedschaft bestätigt werde und nicht, dass an dieser Stelle eine datenschutzrechtliche Einwilligung für eine (umfangreiche) Datenverarbeitung abgegeben werde. Daran vermöge auch nichts zu ändern, dass sich das Unterschriftenfeld ganz grundsätzlich in der XXXX befinde, die die Überschrift „ XXXX “ trage sowie, dass unter dem Unterschriftenfeld darauf hingewiesen werde, dass die Anmeldung auch ohne Unterschrift wirksam sei. Zu Letzterem sei zunächst festzuhalten, dass der Hinweis „ XXXX .“ in kleiner Schriftgröße verfasst sei und sich am unteren Ende des Anmeldeformulars befinde, was von einem Durchschnittsbenutzer am Ende des Anmeldeprozesses nicht mehr ausreichend wahrgenommen werde; zudem erschließe sich der belangten Behörde nicht, weshalb die Wortfolge „ XXXX “ derart konzipiert sei, dass der Eindruck entstehe, dass die Anmeldung nur mit Unterschrift wirksam werde, weshalb also nicht auch das XXXX gedruckt sei.

Zur konkreten Einwilligungserklärung im Hinblick auf die Webseite sei festzuhalten, dass auch hierbei nicht davon ausgegangen werden könne, dass ein Benutzer, der sich dem Anmeldeprozess mit durchschnittlicher Aufmerksamkeit widme, erkenne, dass es sich bei dem Drücken des XXXX Buttons „ XXXX “ um die Abgabe einer datenschutzrechtlichen Einwilligung handle. Die Einwilligungserklärung entspreche nicht den Anforderungen des Art. 4 Z 11 iVm Art. 7 Abs. 2 DSGVO, da sich auch diese – das Bestätigen des XXXX Buttons – nicht ausreichend von den übrigen Elementen des Online-Anmeldeprozesses abhebe, aufgrund der Doppelfunktion des Buttons nicht von einer „unmissverständlichen“ und „in voller Kenntnis der Sachlage“ erteilten Einwilligungserklärung ausgegangen werden könne und werde sich ein Durchschnittsbenutzer gar nicht des Umstands bewusst sein, dass er durch Drücken des XXXX Buttons eine datenschutzrechtliche Einwilligung abgebe.

Nach dem ausdrücklichen Wortlaut von Art. 6 Abs. 1 DSGVO müsse jede Verarbeitung mindestens eine dort aufgezählte Bedingung („Erlaubnistatbestand“) erfüllen. Da die gegenständlich überprüften Ersuchen um Einwilligung unter Verwendung der Methoden i) physisches Anmeldeformular im „ XXXX “ und ii) Webseite nicht den Anforderungen von Art. 4 Z 11 DSGVO und Art. 7 Abs. 2 DSGVO entsprächen, handle es sich um ungültige Einwilligungserklärungen. Eine andere Rechtfertigungsgrundlage sei von der Beschwerdeführerin nicht angeführt worden und komme eine solche, etwa nach Art. 6 Abs. 1 lit. f DSGVO, auch deswegen nicht in Betracht, da es nicht möglich sei, diese im Nachhinein, nachdem sich die Einwilligung als rechtswidrig herausstelle, heranzuziehen. Der Umstand, dass sich Verantwortliche im Vorfeld auf berechtigte Interessen stützen müssten, ergebe sich aus dem Wortlaut von den (hier einschlägigen) Art. 13 Abs. 1 lit. c und lit. d DSGVO, wonach der betroffenen Person im Zeitpunkt der Erhebung der Daten die Rechtsgrundlage dargelegt werden müsse und, sofern die Bedingung der berechtigten Interessen gemäß Art 6 Abs. 1 lit. f DSGVO herangezogen würden, diese Interessen auch zu diesem Zeitpunkt klar offengelegt werden müssten. Zudem wäre eine solche Vorgehensweise für die betroffene Person nicht nachvollziehbar. Im Ergebnis sei daher davon auszugehen, dass die bisherige Verarbeitung von personenbezogenen Daten von den beim Programm registrierten betroffenen Personen für die Zwecke, die in Ziffer XXXX , Ziffer XXXX und Ziffer XXXX der Datenschutzerklärung der Beschwerdeführerin angeführt seien, unrechtmäßig erfolgt sei, da neben den ungültigen Einwilligungen, die unter Verwendung der Methoden i) physisches Anmeldeformular im „ XXXX “ und ii) Webseite eingeholt wurden, ersatzweise keine andere Bedingung gemäß Art. 6 DSGVO in Betracht komme. Der Beschwerdeführerin sei daher die Verwendung dieser Ersuchen in dieser Form sowie die gegenständlich relevante Verarbeitung gemäß Art. 58 Abs. 2 lit. f DSGVO zu untersagen gewesen. Die Beschwerdeführerin habe von sich aus die auf Grundlage der ungültigen Einwilligungen berechneten Daten der Betroffenen (die gebildeten XXXX und die XXXX ) zu löschen.

5. Gegen diesen Bescheid erhob die Beschwerdeführerin fristgerecht Beschwerde an das Bundesverwaltungsgericht und brachte zunächst vor, den Bescheid seinem gesamten Inhalt und Umfang nach wegen Rechtswidrigkeit seines Inhaltes sowie Rechtswidrigkeit infolge der Verletzung von Verfahrensvorschriften anzufechten. Zunächst wurde ausgeführt, dass die Beschwerdeführerin dadurch in ihren Rechten verletzt sei, dass die belangte Behörde auch über Sachverhaltselemente abgesprochen habe, die gar nicht dem Anwendungsbereich der DSGVO (und somit der Zuständigkeit der belangten Behörde) unterfallen würden. Die Ziffern XXXX und XXXX der Datenschutzerklärung der Beschwerdeführerin würden sich auch auf die Zusendung elektronischer Post (z.B. E-Mail, SMS, MMS, mobile Push-Nachrichten) zu Werbezwecken beziehen. Der von der belangten Behörde festgestellte Sachverhalt unterfalle aber, insoweit er sich auf die Zusendung elektronischer Post (z.B. E-Mail, SMS, MMS, mobile Push-Nachrichten) beziehe, Art. 13 ePrivacy-RL (sowie dessen nationaler Umsetzung in § 107 TKG), und sei gerade nicht nach Art. 6 Abs. 1 lit a DSGVO iVm Art. 7 Abs. 2 DSGVO iVm Art. 4 Z 11 DSGVO zu beurteilen. Für die Frage, ob für die Zusendung elektronischer Post per E-Mail, SMS/MMS oder via mobiler Push-Nachrichten zu Werbezwecken eine gültige Einwilligungserklärung vorliege, sei nun nach § 109 Abs. 3 Z 20 iVm § 109 Abs. 8 TKG einzig und allein das Fernmeldebüro und nicht die belangte Behörde sachlich zuständig.

Weiters wurde vorgebracht, dass die belangte Behörde die Gestaltung der entsprechenden Ersuchen um Einwilligung zur Zusendung elektronischer Post (z.B. E-Mail, SMS, MMS, mobile Push-Nachrichten) ausdrücklich nicht beanstandet habe, der Beschwerdeführerin aber dennoch im Spruch des angefochtenen Bescheides der Beschwerdeführerin die Verwendung dieser Einwilligungsersuchen pro futuro untersage.

Weiters habe die belangte Behörde die dem Bescheidinhalt zugrundeliegenden Rechtsnormen falsch angewendet und stütze sich dabei zudem auf unbelegte Annahmen, zu denen sie keine Ermittlungen vorgenommen habe. Bei den von der Beschwerdeführerin eingesetzten Einwilligungserklärungen sei durch die vorgesehene Gestaltung für die Nutzer unmissverständlich erkennbar, dass sie bei der jeweiligen „Aktion“ (Unterschrift bzw. Klick auf einen Button) eine datenschutzrechtliche Einwilligungserklärung abgeben würden. Die von der belangten Behörde dagegen vorgebrachten Bedenken seien unbegründet. Die belangte Behörde fasse das Konzept des „Durchschnittsnutzers“ zu weit. Wenn die belangte Behörde annehme, dass man sich in die Rolle eines durchschnittlichen Nutzers versetzen müsse, „der den Anmeldeprozess mit durchschnittlicher Aufmerksamkeit durchläuft“, so sei das nur eine unbelegte Aussage und widerspreche im Übrigen den Tatsachen. Von jemandem, der sich für ein Kundenbindungsprogramm anmelden möchte, sei zu erwarten, dass er sich die Teilnahme vorher überlege und das Anmeldeformular dann auch genau durchgehe, um zu wissen, wofür er sich hier anmelden könne. Ohne dass die belangte Behörde die Zielgruppe bzw. den Adressatenkreis entsprechend festlege und Aussagen zum Durchschnittsverständnis genau dieser Zielgruppe bzw. dieses Adressatenkreises treffe, könnten keine belastbaren Ableitungen dergestalt getroffen werden, wie ein „durchschnittlicher Nutzer“ die gegenständlichen Ersuchen um Einwilligung verstehen hätte sollen und auf welche „allgemeine Lebenserfahrung“ sich die belangte Behörde stütze.

Wenn die belangte Behörde im Übrigen davon ausgehe, dass die Beschwerdeführerin für die Datenverarbeitung im Rahmen von Ziffer XXXX der Datenschutzerklärung vollumfänglich verantwortlich sei, so sei auf die (in der Stellungnahme vom 12.02.2020 enthaltene) „Zusatzvereinbarung zur Erfüllung der Pflichten nach Art. 26 DSGVO bei Vorliegen einer gemeinsamen Verantwortlichkeit“ zu verweisen, die zwischen der Beschwerdeführerin und dem jeweiligen Partnerunternehmen abgeschlossen werde. Im Besonderen erfolge der Versand eigener Werbung und damit verbundene Datenanalysen durch das Partnerunternehmen selbst in seiner eigenen Datenbank laut dieser Vereinbarung in der alleinigen Verantwortung des jeweiligen Partnerunternehmens. Die Festlegung und Aufteilung der datenschutzrechtlichen Pflichten in einer Vereinbarung nach Art. 26 DSGVO sei von der belangten Behörde entsprechend zu berücksichtigen, was im vorliegenden Fall nicht geschehen sei.

Der „vergleichsweise schwerwiegende Eingriff in das Grundrecht auf Datenschutz“, von dem die belangte Behörde ausgehe, liege jedenfalls nicht vor. Zudem rechne ein durchschnittlicher Nutzer sicherlich damit, Werbung mit speziellen (auch personalisierten) Angeboten und Aktionen von diesem kartenausgebenden Partnerunternehmen und von der Beschwerdeführerin zu erhalten. Wie die belangte Behörde in der Entscheidung DSB-D123.822/0005-DSB/2019 selbst ausgesprochen habe, sei es Bonusprogrammen inhärent, dass gewisse Informationen von Teilnehmern gesammelt und im Gegenzug dafür Rabatte, Gutschriften und Aktionen zur Verfügung gestellt werden. Anders gesagt, sei dies einer der wesentlichen Beweggründe, warum Nutzer an einem Bonusprogramm wie jenem der Beschwerdeführerin teilnehmen würden. Nutzer könnten mit jedem Einkauf Punkte sammeln, diese an der Kassa einlösen oder in attraktive Prämien eintauschen. Über personalisierte Angebote könnten Nutzer Extra-Punkte sammeln. Darauf werde in transparenter Weise hingewiesen und werde dies von den Nutzern sehr gerne angenommen und genutzt. Warum die belangte Behörde davon ausgehe, dass ein Nutzer, der sich dem Anmeldeprozess mit durchschnittlicher Aufmerksamkeit widme, nicht erkennen sollte, dass es sich bei dem am Ende des Anmeldeformulars platzierten Unterschriftenfeldes um die Abgabe einer Einwilligungserklärung handle, bleibe im Dunkeln. Im gegenständlichen Fall sei mehrfach explizit und besonders deutlich sowohl in der Überschrift zu dem entsprechenden Abschnitt mit der Einwilligungserklärung („ XXXX “), als auch im Fließtext mehrmals (teils fett hervorgehoben) und unmittelbar unterhalb des Unterschriftfeldes ausdrücklich von einer Einwilligung die Rede. Die Unterschriftszeile befinde sich innerhalb des XXXX , der ausschließlich die gegenständliche Einwilligungserklärung zum Thema habe. Somit sei bereits durch die grafische Gestaltung klar, dass die Unterschrift sich nur auf die Einwilligung XXXX , wie im XXXX transparent beschrieben, beziehen könne. Schließlich sage auch die XXXX Überschrift am Formular „ XXXX “ nichts davon, dass die Anmeldung unterschrieben werden müsste. Dass ein Nutzer (und auch der Durchschnittsnutzer) gerade nicht davon ausgehen werde, dass die Unterschrift für die Anmeldung zur Mitgliedschaft erforderlich sei, sondern davon ausgehe, dass die Unterschrift lediglich zur Abgabe der in der XXXX befindlichen datenschutzrechtlichen Einwilligungserklärung erforderlich sei, werde auch durch die Datenlage bestätigt, wonach ca. XXXX % der Nutzer, die sich über das XXXX für das Programm anmelden würden, bei der Registrierung keine datenschutzrechtliche Einwilligungserklärung abgeben würden. Wenn der unbelegten Aussage der belangten Behörde zu folgen wäre, dann wäre dieser Anteil nicht erklärbar, da er viel geringer sein müsste. Diejenigen, die die Unterschrift abgeben würden, hätten auch eindeutig eine datenschutzrechtliche Einwilligungserklärung abgeben wollen. Gerade den Informationen am Ende eines Formulars und insbesondere denen, die sich in der Nähe eines Unterschriftsfelds befänden, würden Nutzer eine erhöhte Aufmerksamkeit geben – es sei ja auch in der Praxis durchaus üblich, nach dem Prinzip „Das Wichtigste am Schluss“ besonders wichtige Erklärungen am Ende eines Vertragsformblattes bzw. am Ende eines Anmeldeprozesses zu platzieren. Das Erfordernis der Unterschrift habe daher Warnfunktion. Gerade bei einem Unterschriftenfeld am Ende lese ein Nutzer aufmerksamer und genauer als etwa in der Mitte eines langen Fließtextes. Es sei daher nicht nachvollziehbar, weshalb selbst ein durchschnittlich aufmerksamer Nutzer bei einem auch nur flüchtigen Lesen des Textes das Wort „Einwilligung“ und die Bedeutung des Unterschriftenfeldes nicht korrekt verstehen sollte. Dass die belangte Behörde davon ausgehe, dass der Hinweis „ XXXX “ in kleiner Schriftgröße verfasst wäre sei schlicht falsch. Es sei eindeutig ersichtlich, dass der Hinweis in derselben Schriftgröße verfasst sei, wie der restliche Text – von „Kleingedrucktem“ könne daher keine Rede sein. Um den Hinweis noch besser vom Text abzuheben, sei der Hinweis (wie im Formular eindeutig ersichtlich) zudem mit der Intention, den Blick des Nutzers darauf zu lenken, sogar mit breiterem Abstand zwischen den Buchstaben und den Wörtern gedruckt und hebe sich somit auch schon dadurch vom restlichen Text in der XXXX ab. Darüber hinaus sei es auch nicht korrekt, dass zwischen der Überschrift „ XXXX “ und dem Unterschriftenfeld kein ausreichender räumlicher Konnex bestünde. Es sei einer Gestaltung einer Einwilligungslösung mit Unterschriftslösung inhärent, dass zuerst die Überschrift komme (die auf eine XXXX hinweise), dann die Angaben zur Datenverarbeitung, zu der der Betroffene einwilligen könne, sowie den sonstigen nach DSGVO geforderten Angaben (etwa Hinweis auf das Widerrufsrecht) und darunter das Unterschriftenfeld. Zudem sei der Einwilligungsblock grafisch vom Rest des Anmeldeformulars klar getrennt und die Zusammengehörigkeit dieser Komponenten durch einen XXXX über die gesamte Einwilligungserklärung hinweg (also von XXXX ) eindeutig dargelegt. Der von der belangten Behörde angenommene „irreführende Eindruck“ bestehe daher gerade nicht. Auch der Transparenzgrundsatz stelle keine über Art. 4 Z 11 DSGVO und Art. 7 Abs. 2 DSGVO hinausgehende Vorgaben für die Einwilligungserklärung auf, sodass bei Entsprechung mit Art. 4 Z 11 DSGVO und Art. 7 Abs. 2 DSGVO im gegenständlichen Fall keine Verletzung des Transparenzgrundsatzes anzunehmen sei. Das Ersuchen um Einwilligung entspreche vollinhaltlich den Vorgaben der DSGVO.

Zum Online-Anmeldeprozess sei festzuhalten, dass die Ansicht der belangten Behörde, dass ein durchschnittlicher Nutzer nicht erkenne, dass er mit dem Drücken des XXXX Buttons „ XXXX “ eine datenschutzrechtliche Einwilligung abgebe, nicht nachvollziehbar sei. Ebenfalls nicht nachvollziehbar und kein ausreichendes Argument sei, dass im Online-Anmeldeprozess für die Einwilligungserklärung zum Newsletter eine Lösung mittels anzuklickender Checkbox und für die Einwilligung XXXX eine Lösung mittels zwei Buttons vorgesehen sei, die dem Nutzer eine Auswahl ermöglichen würden. So bleibe nämlich die konkrete Gestaltung der Einwilligung laut ErwGr 32 DSGVO dem Verantwortlichen überlassen. Die gewählte Lösung mittels zwei Buttons sei ein geeignetes Mittel, um die Einwilligung einzuholen. Zur Vermeidung des in der Psychologie bekannten „Default-Effekts“ sei die Einholung der gegenständlichen Einwilligung gerade so gestaltet worden, dass es keine Voreinstellung gebe, sodass sich Nutzer in jedem Fall aktiv für oder gegen die betreffende Einwilligung entscheiden müssten. Wenngleich die belangte Behörde weiters vermeine, dass durch die Aufschrift „ XXXX “ die Anmeldung in den Vordergrund gerückt und nicht ausreichend klargestellt sei, dass es sich bei dieser Option faktisch um die Abgabe einer datenschutzrechtlichen Einwilligungserklärung handle, so sei dies überraschend und auch nicht nachvollziehbar. Zunächst sei festzuhalten, dass die Aufschrift des Buttons „ XXXX “ heiße, was klar auf eine datenschutzrechtliche Einwilligungserklärung und eben nicht den bloßen Abschluss des Anmeldeprozesses hinweise. Aufgrund der klaren Formulierung „ XXXX […]“ könne kein Zweifel daran bestehen, dass die Nutzer sich bewusst seien, hier eine Einwilligung abzugeben. Zudem sei der zugehörige Abschnitt unmittelbar oberhalb des Buttons ausdrücklich und mit Fettdruck mit „ XXXX “ betitelt, um das Faktum einer datenschutzrechtlichen Einwilligungserklärung noch transparenter zu betonen. Der Abschnitt hebe sich auch durch die grafische Gestaltung ( XXXX vor XXXX Hintergrund) von den anderen Abschnitten (u.a. der Einwilligung für den Newsletter) deutlich ab. Selbst bei nur flüchtigem Blick auf die beiden Buttons sei klar, dass der XXXX Button der bloßen Bestätigung der Anmeldung diene, wohingegen der XXXX Button die Abgabe einer Einwilligungserklärung bedinge. Die Einwilligung in XXXX habe tatsächlich den Vorteil, dass die Nutzer in diesem Fall von personalisierten XXXX profitieren könnten. Durch interessensgerichtete Werbung würden die Nutzer speziell auf sie zugeschnittene XXXX Aktionen und Angebote erhalten und könnten damit mehr bzw. schneller Punkte sammeln. Dabei handle es sich um einen zulässigen Anreiz zur Erteilung der Einwilligung. Dass der Nutzer, wenn er den XXXX Button drücke, sich des Umstands klar bewusst sei, dass er dadurch eine datenschutzrechtliche Einwilligung im genau über dem Button befindlichen Umfang abgebe, werde auch durch die Datenlage bestätigt, wonach ca. XXXX der Nutzer, die sich über den Online-Anmeldeprozess für das Programm anmelden würden, bei der Registrierung keine datenschutzrechtliche Einwilligungserklärung abgeben (also auf den XXXX Button klicken) würden. Wenn die belangte Behörde beanstande, dass der XXXX Button eine Doppelfunktion habe und gleichzeitig der Abgabe einer (datenschutzrechtlichen) Einwilligung sowie der Bestätigung der Anmeldung zum Programm diene, so überzeuge das nicht. Auch der XXXX Button habe insofern eine Doppelfunktion (Anmelden und Nicht-Zustimmen). Die DSGVO verbiete nicht, dass ein Button sowohl der Abgabe einer datenschutzrechtlichen Einwilligung als auch etwa der Anmeldung zu einem Kundenbindungsprogramm dienen könne, solange der Nutzer auch die Möglichkeit habe, die Anmeldung (etwa durch Klick auf einen anderen Button) ohne Abgabe der Einwilligungserklärung abzuschließen. Genau das sei hier aber jedenfalls möglich.

Die im Spruch erkennbare Annahme der belangten Behörde, dass für die bisherige Verarbeitung von Daten für Zwecke, die in Ziffern XXXX , XXXX und XXXX der Datenschutzerklärung genannt seien, keine andere Rechtsgrundlage in Betracht käme, ergebe sich nicht aus den Feststellungen. So kämen durchaus andere Rechtfertigungsgründe (etwa Art. 6 Abs. 1 lit b DSGVO oder Art 6 Abs. 1 lit f DSGVO) in Betracht, die die gegenständliche Datenverarbeitung rechtfertigen könnten. Ein solcher nachträglicher Wechsel der Rechtsgrundlage stünde auch nicht per se im Widerspruch zum Grundsatz der Datenverarbeitung nach Treu und Glauben. Vielmehr sei ein derartiger Wechsel dann zulässig, sofern er transparent erfolge und die Nutzer darüber (wenn auch erst nachträglich) informiert würden. Dies gehe klar aus Art. 17 Abs. 1 lit. b DSGVO hervor, wonach personenbezogene Daten zu löschen seien, wenn der Betroffene seine Einwilligung widerrufe und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehle. Erst wenn feststehe, dass keine andere (gesetzliche) Grundlage für die fortgesetzte Verarbeitung der personenbezogenen Daten vorliege, müsse der Verantwortliche die Daten löschen. Wenn nun beim Widerruf einer gültig erteilten Einwilligung nachträglich andere Rechtsgrundlagen die Weiterverarbeitung rechtfertigen können, sei kein Grund ersichtlich, warum für eine nicht gültig formulierte Einwilligungserklärung nicht auch gleiches gelten sollte. Rechtlich nicht nachvollziehbar und unrichtig sei daher die Begründung der belangten Behörde, dass ein Mangel der Rechtsgrundlage nicht mehr nachträglich saniert werden könne.

Die Beschwerdeführerin beantragte die Durchführung einer mündlichen Verhandlung, da weder der entscheidungsrelevante Sachverhalt geklärt sei, noch die in Gegenstand stehenden Rechtsfragen von bloß beschränkter Natur, noch von geringer Komplexität, noch durch die bisherige Rechtsprechung beantwortet seien, sowie die ersatzlose Aufhebung des angefochtenen Bescheides, in eventu die Aufhebung des angefochtenen Bescheides und die Zurückverweisung der Angelegenheit zur Erlassung eines neuen Bescheides an die belangte Behörde.

6. Mit Schreiben vom 09.09.2020 legte die belangte Behörde die Beschwerde sowie den bezughabenden Verwaltungsakt dem Bundesverwaltungsgericht zur Entscheidung vor und gab eine Stellungnahme ab. Darin wurde ausgeführt, dass das Beschwerdevorbringen zur Gänze bestritten werde. Zur behaupteten Unzuständigkeit der belangten Behörde für Teile des Spruchs wurde ausgeführt, dass - wie sich aus den Ziffern XXXX und XXXX der Datenschutzerklärung der Beschwerdeführerin unstrittig ergebe - personalisierte Werbung neben dem elektronischen Kanal (E-Mail, SMS/MMS) ausdrücklich auch per Post und während dem Aufenthalt im Geschäft verschickt bzw. übergeben werde. Für die postalische Zusendung von Werbung – unabhängig davon, ob diese personalisiert oder nicht personalisiert sei – sowie für die physische Übergabe von Werbematerial in Geschäften und für derartige Analysezwecke finde die Richtlinie 2002/58/EG idgF (in Folge: ePrivacy-RL) iVm dem TKG 2003 idgF jedenfalls keine Anwendung, da sich der Wortlaut von § 107 Abs. 2 TKG 2003 nur auf „elektronische Post“ beziehe. Sehr wohl finde hingegen die DSGVO Anwendung, da die Personalisierung von Werbung – und um diese gehe es in der Datenverarbeitung gemäß den Ziffern XXXX und XXXX – jedenfalls eine Datenverarbeitung voraussetze. Eine solche der DSGVO unterliegende Datenverarbeitung zur Personalisierung von Werbung werde gegenständlich auch durchgeführt, da die Beschwerdeführerin XXXX und nunmehr auch XXXX durchführe. Bei dieser Personalisierung von Werbung handle es sich um Profiling gemäß Art. 4 Z 4 DSGVO. Dies bedeute im Ergebnis, dass die belangte Behörde jedenfalls für die Überprüfung der Datenverarbeitung – und damit verbunden, die dazugehörigen Ersuchen um Einwilligung – zuständig sei, die sich auf die Durchführung von Profiling und die darauffolgende postalische Zustellung und persönliche Übergabe von personalisierter Werbung beziehe.

Zur Durchschaubarkeit des „ XXXX “ sei ergänzend zu den Ausführungen im angefochtenen Bescheid festzuhalten, dass einer Durchschaubarkeit der Ersuchen um Einwilligung auch deshalb große Bedeutung zukomme, da die Beschwerdeführerin von XXXX Partnerunternehmen, bei denen eine betroffene Person potenziell einkaufe, Daten erhalte, um daraus ein Profil zu erstellen. Sofern sich die Beschwerdeführerin auf die Datenlage stütze und ausführe, dass ca. XXXX % der Nutzer, die sich über das XXXX anmelden, bei der Registrierung keine datenschutzrechtliche Einwilligungserklärung abgeben würden, so sei für die belangte Behörde nicht ersichtlich, inwiefern dies für das gegenständliche Verfahren von Relevanz sei. Diesbezüglich sei jedenfalls festzuhalten, dass dies nicht – so wie von der Beschwerdeführerin suggeriert – im Umkehrschluss bedeute, dass die übrigen XXXX % eine Einwilligungserklärung in voller Kenntnis der Sachlage abgegeben hätten.

Zur Verantwortung der Beschwerdeführerin für die Datenverarbeitung im Rahmen von Ziffer XXXX sei im Hinblick auf das neue Vorbringen der Beschwerdeführerin ergänzend festzuhalten, dass etwaige Vereinbarungen (etwa solche nach Art. 26 DSGVO oder nach Art. 28 Abs. 3 DSGVO) bei der Beurteilung der datenschutzrechtlichen Rollenverteilung keine Rolle spielen könnten, da es sonst in der Hand des Verantwortlichen bzw. Auftragsverarbeiters liegen würde, entgegen den faktischen Gegebenheiten vertraglich festzulegen, wann eine Stelle als Verantwortlicher, als gemeinsam Verantwortlicher oder als Auftragsverarbeiter zu qualifizieren sei.

Zum Online-Anmeldeprozess sei weiters festzuhalten, dass das Argument, dass die Beschwerdeführerin die Einholung der gegenständlichen Einwilligung „[…] gerade so gestaltet, dass es keine Voreinstellung gebe, sodass sich Nutzer in jedem Fall aktiv für oder gegen die betreffende Einwilligung entscheiden müssen“ nach Auffassung der belangten Behörde unberücksichtigt zu bleiben habe. Dies deshalb, da eine Nicht-Voreinstellung (also eine nicht vorangekreuzte Checkbox) zur Einholung einer Einwilligung eine rechtliche Selbstverständlichkeit sei.

Die belangte Behörde vertrete – wie im angefochtenen Bescheid ausgeführt – die Auffassung, dass ein nachträglicher Wechsel von Einwilligung auf berechtigte Interessen nicht möglich sei. Entgegen der Auffassung der Beschwerdeführerin habe sich ein Verantwortlicher im Vorfeld auf eine entsprechende Rechtsgrundlage zu „berufen“. Im gegenständlichen Fall seien die betroffenen Personen weder gemäß Art. 13 Abs. 1 lit. c DSGVO über die Rechtsgrundlage der berechtigten Interessen informiert worden, noch seien ihnen gemäß Art. 13 Abs. 1 lit. d DSGVO die berechtigten Interessen dargelegt worden. Im Übrigen habe die Beschwerdeführerin auch im Rahmen ihrer Beschwerde gegenüber dem BVwG nicht dargelegt, welche Interessen sie verfolge, sondern bloß allgemein darauf verwiesen, dass Art. 6 Abs. 1 lit. f DSGVO in Frage kommen könnte. Abgesehen davon habe sich die Beschwerdeführerin sowohl im Rahmen ihrer Datenschutz-Folgenabschätzung als auch im Verzeichnis von Verarbeitungstätigkeiten in Bezug auf die „personalisierte Ansprache“ (also Profiling) ebenso ausschließlich auf die Einwilligung gestützt.

7. Am 02.08.2021 übermittelte das Bundesverwaltungsgericht die Stellungnahme der belangten Behörde der Beschwerdeführerin zur Kenntnisnahme und gab ihr Gelegenheit zur Abgabe einer Stellungnahme.

8. Die Beschwerdeführerin erstattete am 16.08.2021 eine Stellungnahme und wiederholte im Wesentlichen ihr Vorbringen in der Bescheidbeschwerde. Sie führte zudem aus, dass sich in unionsrechtlicher Gesetzgebung und Entscheidungspraxis des EuGH ein wesentlich „weniger idealistisch-strenges Verbraucherbild“ ergeben habe. Der EuGH gehe von einem verständigen und mündigen Verbraucher aus – und nicht gerade von einem nur flüchtig aufmerksamen Verbraucher. Die verlangte Aufmerksamkeit müsse situationsentsprechend angemessen sein und könne sich deshalb z.B. zwischen häufig erworbenen Erfahrungsgütern und Sachgütern oder nach der Erheblichkeit eines Vertrags oder sonstigen Vorgangs oder nach den drohenden Folgen unterscheiden. Größere Sorgfalt beim Umgang mit den Bedingungen könne insbesondere dann erwartet werden, wenn es sich um ein Rechtsprodukt mit einer erheblichen Festlegungswirkung für den Verbraucher handle, wie etwa bei (wie hier) langfristigen Vertragsbeziehungen. Die relevante Aufmerksamkeit der Betroffenen könne entgegen der Ausführungen der belangten Behörde somit nicht so niedrig angesetzt werden, dass Ersuchen um Einwilligung nur mehr teilweise, gar nicht mehr oder nur mit flüchtigem Blick gelesen würden. Vielmehr sei von Personen, die sich für ein Kundenbindungsprogramm anmelden möchten, zu erwarten, dass sie sich die Teilnahme vorher überlegen und das (im Übrigen nicht übermäßig umfangreiche) Anmeldeformular dann auch genau durchgehen, um zu wissen, wofür sie sich anmelden können. Unter Berücksichtigung eines angemessenen Aufmerksamkeitsmaßstabes wäre auch die belangte Behörde zum Schluss gekommen, dass die jeweilige Aktion für die Erteilung der Einwilligung (Unterschrift bzw. Klick auf den XXXX Button) auch genau als das für den Durchschnittsnutzer erkennbar sei, nämlich die Abgabe einer datenschutzrechtlichen Einwilligungserklärung. Für ein von der belangten Behörde implizit angenommenes „Unterschieben“ der datenschutzrechtlichen Einwilligungserklärung gebe es selbst bei der Annahme durchschnittlicher Aufmerksamkeit keine Grundlage – und bei korrekt geforderter erhöhter Aufmerksamkeit des Durchschnittsnutzers schon gar nicht. Zudem sei der Inhalt und die Formulierung der gegenständlichen Ersuchen um Einwilligung von der belangten Behörde im angefochtenen Bescheid und der Stellungnahme der belangten Behörde nicht beanstandet worden, es gehe im angefochtenen Bescheid ausschließlich um deren Gestaltung. Die gegenständlichen Ersuchen um Einwilligung seien jedoch insgesamt transparent ausgestaltet und ohne große Aufmerksamkeit als solche zu erkennen.

Zur Online-Anmeldestrecke sei auszuführen, dass die Auswahl mittels zwei Buttons den Ausführungen des Europäischen Datenschutzausschusses Rechnung trage. Wie der Europäische Datenschutzausschuss ausführe, würden Personen im digitalen Kontext zahlreiche Aufforderungen, Einwilligungen zu erteilen, erhalten, die jeden Tag durch Anklicken oder Wischen beantwortet werden müssten, was zu einem gewissen Maß an „Klick-Müdigkeit“ führen könne – wenn die betroffenen Personen zu häufig mit diesem Einwilligungsmechanismus konfrontiert würden, nehme seine warnende Wirkung ab. Der Europäische Datenschutzausschuss trage Unternehmen daher auf, andere Möglichkeiten außerhalb der standardmäßig verwendeten Checkboxen einzusetzen. Durch den von der Beschwerdeführerin mittels zwei Buttons (einmal anmelden mit Einwilligung und einmal anmelden ohne Einwilligung) gewählten – aber von der belangten Behörde wohl unterschwellig als Irreführung beurteilten – Modus zum Erteilen der gegenständlichen Einwilligung werde geradezu eine erhöhte Aufmerksamkeit bei betroffenen Personen hergestellt. Die Praxis zeige zudem eindeutig, dass Nutzer das Drücken des XXXX Buttons als Abgabe einer (zusätzlichen und freiwilligen) Einwilligungserklärung und nicht als erforderlich für die Anmeldung wahrnehmen würden. Auch bei der Online-Anmeldung hätten jedenfalls ca. XXXX % der Nutzer erkannt, dass der XXXX Button nicht bloß für die Anmeldung, sondern auch für die transparent im selben XXXX Feld beschriebene datenschutzrechtliche Einwilligungserklärung stehe, den sie dann nicht gedrückt hätten, sondern den XXXX Button – und somit Anmeldung ohne Abgabe der gegenständlichen Einwilligung getätigt hätten. Damit werde aber evident, dass Durchschnittsnutzer sehr wohl erkennen würden, dass sie eine (freiwillige) Einwilligungserklärung zusätzlich zur Anmeldung abgeben könnten, aber eben gerade nicht müssten. Durch die Beschwerdeführerin sei in der Online-Anmeldestrecke mittels zwei verschiedener (und klar bezeichneter) Buttons eine Auswahlmöglichkeit für die Nutzer geschaffen worden, die eine Anmeldung zum Programm jeweils mit oder ohne Erteilen einer Einwilligung ermögliche.

9. Am 16.02.2022 gab die Beschwerdeführerin eine ergänzende Stellungnahme ab und verwies auf einen ähnlich gelagerten Fall, in dem das Bundesverwaltungsgericht festgestellt habe, dass die belangte Behörde Ermittlungen bezüglich allfälliger anderer Rechtsgrundlagen durchzuführen gehabt habe.

10. Am 17.11.2022 fand eine öffentliche mündliche Verhandlung vor dem Bundesverwaltungsgericht in Anwesenheit der Beschwerdeführerin, ihrer anwaltlichen Vertretung und der belangten Behörde statt, wobei auch XXXX Zeugen einvernommen wurden. Die Beschwerdeführerin führte u.a. aus, dass jemand, der die Einwilligungserklärung für XXXX erteile, interessensrelevante XXXX erhalte. Dadurch seien mehr Extra-Punkte möglich. Es steige dadurch die Zufriedenheit der Kunden, was auch einen wirtschaftlichen Vorteil für die Beschwerdeführerin bedeute. Inzwischen werde eine neue Online-Einwilligungserklärung verwendet, eine Anmeldung zum Kundenprogramm und damit auch die Einwilligungserklärung zu weiteren Datenverarbeitungen sei nur mehr elektronisch möglich. Teilweise würden noch aufgrund der alten eingeholten Einwilligungserklärungen Verarbeitungen durchgeführt, teilweise sei aber bereits eine bestätigende Einwilligung von den Kunden eingeholt worden. Dies betreffe Personen, die per E-Mail zu erreichen seien. Die belangte Behörde brachte neue Kritikpunkte an der Überschrift und dem weiteren Text der Einwilligungserklärung vor.

11. Mit Stellungnahme von 24.11.2022 kam die Beschwerdeführerin dem gerichtlichen Auftrag nach der Vorlage ergänzender Informationen nach und legte u.a. ein Muster der versendeten E-Mails vor, mit denen die Kunden um Bestätigung der Einwilligungserklärung gebeten wurden.

12. Dazu nahm die belangte Behörde mit Schreiben vom 01.12.2022 Stellung und äußerte sich zur Sache des Prüfverfahrens, welches keine Einschränkung erleide, bloß, weil die belangte Behörde vordergründig (aber nicht nur) die optische Gestaltung der Einwilligungsstrecken moniert habe. Zum vorgelegten Muster wurde vorgebracht, dass der Titel des E-Mails („ XXXX !“) bereits irreführend sei, da eine betroffene Person jedenfalls XXXX bekomme, egal ob sie die Einwilligung für Profiling abgebe oder nicht. Weiters wurde auf ErwGr 43 der DSGVO verwiesen, wonach eine Einwilligung ungültig sei, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden könne, obwohl dies im Einzelfall angebracht sei (Unzulässigkeit von Pauschaleinwilligungen). Gewisse Verarbeitungsvorgänge stünden zwar in einem thematischen Zusammenhang, wie etwa XXXX . Es handle sich allerdings um die Bündelung von sieben unterschiedlichen Verarbeitungsvorgängen was nicht mehr als „im Einzelfall“ betrachtet werden könne. Außerdem sei der Button „ XXXX “ groß und prominent platziert. Es sei daher auch hier von keiner freiwilligen Einwilligungserklärung auszugehen.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

1.1. Der unter Punkt I. dargestellte Verfahrensgang wird den Feststellungen zu Grunde gelegt.

1.2. Die Beschwerdeführerin ist Betreiberin des XXXX -Programms, eines Unternehmens- und branchenübergreifenden Kundenbindungsprogramms, welches im XXXX in Österreich eingeführt wurde. Unterschiedliche Unternehmen, insbesondere Einzelhandelsketten, nehmen als Partnerunternehmen am Programm teil, dazu schließt die Beschwerdeführerin als Betreiberin des Programms mit diesen Unternehmen einen Vertrag ab. Zum Zeitpunkt der Bescheiderlassung gab es XXXX stationäre Partner und XXXX Online-Partner. Der Beschwerdeführerin obliegt als Betreiberin des Programms insbesondere die Organisation der Mitgliedschaft der registrierten Kunden sowie die Verwaltung des Webauftritts unter XXXX Kunden, die bei am Programm teilnehmenden Partnerunternehmen Waren oder Dienstleistungen beziehen, können sich beim Programm registrieren und werden dadurch Mitglied. Die Mitglieder können beim Bezug von Waren oder Dienstleistungen von teilnehmenden Partnerunternehmen oder sonstigen Aktionen von dem jeweiligen Partner Rabatte in Form von Punkten sammeln. Diese Punkte können ab einer gewissen Punktehöhe durch das Mitglied in Österreich eingelöst werden. Es sind rund XXXX Millionen österreichische Kunden als Mitglieder beim Programm registriert.

1.3. Im Rahmen der Mitgliederregistrierung konnten die Mitglieder iSd Art. 6 Abs. 1 lit. a DSGVO einwilligen, dass ihre Daten für Zwecke der XXXX verwendet werden. Diese Einwilligung konnte bzw. kann jederzeit widerrufen werden. Mit der Einwilligung wurde vor allem einem Datenabgleich der Kundendaten der betroffenen Person zugestimmt, welche für die Zusendung interessensgerichteter Werbung und XXXX verwendet werden. Aufgrund der Einwilligung erhalten die Kunden interessensgerichtete Werbung und – im Gegensatz zu anderen Kunden, die nicht eingewilligt haben –für sie XXXX .

1.4. Die Anmeldung zum Programm war zum Zeitpunkt der Bescheiderlassung (soweit verfahrensgegenständlich relevant) mithilfe eines physischen Anmeldeformulars („ XXXX “) oder online auf der Webseite XXXX möglich.

1.5. Die zur Bescheiderlassung gültige, zum Programm zugehörige Datenschutzerklärung der Beschwerdeführerin ist dem angefochtenen Bescheid (Seite 5 f.) zu entnehmen. Punkt 3 der Datenschutzerklärung lautete (wobei die zum hg. Entscheidungszeitpunkt gültige grundsätzlich der damaligen Datenschutzerklärung entspricht, nur ein Absatz mit Verweis auf die Verarbeitung von Daten von Kunden, die in der Vergangenheit ihre Einwilligung zum Abgleich ihrer Mitgliedsdaten mit den bei XXXX erklärt haben, wurde ergänzt, weiters wurde der XXXX umnummeriert):

XXXX

1.6. Die Einholung der Einwilligung mittels „ XXXX “ wurde zum Zeitpunkt der Bescheiderlassung so durchgeführt, dass in Filialen von stationären Partnerunternehmen, die am Programm teilnehmen, ein physisches Anmeldeformular („ XXXX “) aufgelegt wurde. Das XXXX wurde auch an Kunden bei der Bezahlung an der Kasse überreicht, sofern diese ein Interesse an der Teilnahme am Programm hatten. Das XXXX bestand aus dem auszufüllenden Anmeldeformular, den Teilnahmebedingungen, den Hinweisen zum Datenschutz im Programm, den Hinweisen zum Newsletter, XXXX sowie allgemeinen Informationen zum Programm. Das Anmeldeformular bestand aus XXXX . In der XXXX :“ konnte eine Person ihre persönlichen Daten angeben (Anrede, Vorname, Nachname, Geburtsdatum, Straße samt Hausnummer/Stiege/Türnummer, PLZ, Ort und Land). Falls vorhanden, konnte ein Titel angegeben werden. In der XXXX :“ konnte optional eine Unterschrift abgegeben werden. Das Unterschriftenfeld befand sich XXXX am Ende des Anmeldeformulars. XXXX befand sich ein XXXX . Noch XXXX vom Unterschriftenfeld befand sich ein XXXX mit dem Hinweis: „ XXXX “. Unterhalb des Unterschriftenfelds befand sich folgender Text: „ XXXX zum XXXX XXXX .“ Nachdem ein Kunde das im XXXX befindliche Anmeldeformular ausgefüllt und beim jeweiligen Partnerunternehmen des Programms abgegeben hatte, wurde dieses in Folge an die Beschwerdeführerin weitergeleitet. Die Informationen am Anmeldeformular wurden schließlich seitens der Beschwerdeführerin digitalisiert und ein Kundenkonto angelegt.

Die graphische Darstellung der Einwilligungserklärung ist auf S. 10 des angefochtenen Bescheides bzw. auf den dem Akt beigelegten physischen Foldern ersichtlich.

1.7. Soweit in einer Partnerfiliale vorhanden, konnten Kunden ihre dem XXXX entnommenen XXXX -Karten auch auf einem digitalen Device (z. B. Tablets) anmelden. Im Rahmen dieser digitalen Anmeldung beim Partner konnte die Einwilligung über ein - nicht vorbelegtes - Opt-in Feld angeklickt werden. In diesem Fall war der Text der Einwilligung an die digitale Umgebung angepasst (" XXXX ... ") und die Informationen zu den weiterführenden Hinweisen zum Datenschutz waren - zusätzlich zu den im XXXX enthaltenen Informationen - nochmals verlinkt und standen zum Ausdruck bereit.

1.8. Die Einholung der Einwilligung online auf der Webseite XXXX wurde zum Zeitpunkt der Bescheiderlassung so durchgeführt, dass im ersten Schritt („ XXXX “) die Person eine XXXX sowie eine XXXX einzugeben hatte. Die Registrierung konnte auch ohne Karte erfolgen. Diesfalls wurde die Karte postalisch an die von der Person angegebene Adresse verschickt. Im XXXX („ XXXX “) hatte eine Person eine E-Mail-Adresse sowie einen XXXX anzugeben. An dieser Stelle befand sich ein Link zu den Teilnahmebedingungen und zur Datenschutzerklärung („ XXXX “). Im XXXX („ XXXX “) hatte eine Person ihre persönlichen Daten anzugeben (Anrede, Vorname, Nachname, Geburtsdatum, Straße samt Hausnummer/Stiege/Türnummer, PLZ, Ort und Land). XXXX . Im XXXX wurden vor Abschluss der Anmeldung XXXX angezeigt, in der XXXX Durch Ankreuzen einer nicht vorangekreuzten Checkbox konnte eine Einwilligung zum Versand von E-Mails und SMS abgegeben werden. In der XXXX befand sich die Überschrift „ XXXX “. Durch Drücken eines XXXX Buttons „ XXXX “ wurde eine Einwilligung zu „ XXXX “ abgegeben. Ein Link „ XXXX “ führte zur Seite XXXX Durch Drücken des XXXX Buttons „ XXXX “ konnte man den Anmeldeprozess zum Programm XXXX abschließen. Ein Hinweis auf die Widerrufsmöglichkeit der Einwilligung war vorhanden.

Die grafische Darstellung des Anmeldeprozesses und der Einwilligungserklärung ist auf den Seiten 13 ff. des angefochtenen Bescheides ersichtlich.

1.9. Die Überschrift der Einwilligungserklärung enthielt keinen Hinweis darauf, dass ein Datenprofil der einwilligenden Person erstellt wird.

1.10. Das Programm wandte sich an jedermann, dessen Interesse an der Teilnahme an einem Kundenbindungsprogramm geweckt werden könnte, unabhängig von dessen Bildungsstand oder anderen Merkmalen. Somit richtete es sich an keinen bestimmten Personenkreis oder spezifische Gruppen.

1.11. Wenn eine Einwilligungserklärung abgegeben wurde, kann der kartenausgebende Partner des Programms – also jener Partner, bei dem sich das Mitglied registriert hat – dem jeweiligen Mitglied personalisierte Werbung schicken und dieses anschreiben. Daneben kann die Beschwerdeführerin an alle Mitglieder personalisierte Werbung versenden. Die Partnerunternehmen können die Beschwerdeführerin gegen Entgelt auch beauftragen, personalisierte Werbemaßnahme durchzuführen.

1.12. Die Beschwerdeführerin besitzt die Einkaufsdaten aller Partner, anhand derer eine Analyse durchgeführt werden kann. Die Beschwerdeführerin bildet im Rahmen der „personalisierten Ansprache“ entsprechende Kundengruppen („ XXXX “). Jedem Mitglied, das eine entsprechende Einwilligungserklärung abgegeben hat, wird in der Datenbank der Beschwerdeführerin eine XXXX sowie eine XXXX zugewiesen. Dadurch können einem Kunden XXXX diese XXXX XXXX . Darüber hinaus führt die Beschwerdeführerin, sofern eine entsprechende Einwilligungserklärung abgegeben wurde, auch XXXX durch. Es handelt sich dabei um eine XXXX . Zum Zeitpunkt der Bescheiderlassung wurde eine XXXX berechnet. Derzeit wird in Österreich bezüglich XXXX Partnerunternehmen ein diesbezüglicher XXXX berechnet. Es werden folgende Kategorien von Kundendaten zur personalisierten Ansprache verarbeitet: XXXX Die Beschwerdeführerin wertet/e auch aus, XXXX .

1.13. Um der Rechtsansicht der belangten Behörde vorsichtshalber Rechnung zu tragen werden keine XXXX s mehr verwendet und wird nur eine elektronische Anmeldung und im Zuge dessen die Möglichkeit einer elektronischen Einwilligung angeboten. Auch die elektronische Einwilligung wurde umgestaltet, sodass kein XXXX und XXXX Button mehr verwendet werden und die Anmeldung über einen Button erfolgt die Zustimmung zu XXXX in einer Check-Box anklickbar ist. Eine Einwilligung zu einem Datenabgleich mit XXXX wird nicht mehr eingeholt, da diese Abgleiche nicht mehr stattfinden. Die sonstigen Verarbeitungszwecke sind gleichgeblieben. Zum hg. Entscheidungszeitpunkt war eine neue physische Einwilligungserklärung in Ausarbeitung, die wieder in den Geschäftslokalen der Partnerunternehmen aufliegen soll.

1.14. Die Beschwerdeführerin hat jenen Kunden, über deren E-Mail-Adressen sie verfügt, weil diese dem Erhalt des Newsletters zugestimmt haben und welche darüber hinaus in die „ XXXX “ eingewilligt haben, nochmals die damals vorliegende Einwilligungserklärung zur Bestätigung geschickt, allerdings nur mit einem Einwilligungs-Button, mittels dessen sie nochmals zustimmen können. Soweit diese Kunden mittels dieses Buttons nochmals zugestimmt haben, werden ihre Daten für die genannten Zwecke verarbeitet. Die anderen Kunden, die mittels der zum Zeitpunkt der Bescheiderlassung vorliegenden Einwilligungserklärungen zugestimmt haben, wurden bislang nicht um Bestätigung ihrer Einwilligung gebeten. Ihre Daten werden aufgrund der bisherigen Einwilligungserklärung weiterhin verarbeitet.

2. Beweiswürdigung:

Die Feststellungen ergeben sich aus dem Verwaltungsakt sowie dem gegenständlichen Gerichtsakt, insbesondere auch aus der Niederschrift über die mündliche Verhandlung vor dem Bundesverwaltungsgericht.

3. Rechtliche Beurteilung:

3.1. Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß § 27 Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.

Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I 2013/33 idF BGBl. I 2013/122, geregelt (§ 1 leg.cit .). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.

Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.

Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.

Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Art. 130 Abs. 1 Z 1 B-VG dann in der Sache selbst zu entscheiden, wenn (1.) der maßgebliche Sachverhalt feststeht oder (2.) die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.

3.2. Zu den Prozessvoraussetzungen:

Die Beschwerde wurde fristwahrend erhoben und es liegen auch die sonstigen Prozessvoraussetzungen vor.

3.3. In der Sache

3.3.1 Rechtslage:

Die relevanten Bestimmungen lauten:

Art. 4 Z 4 und 11 DSGVO:

„Begriffsbestimmungen

Artikel 4

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;“

Art. 5 Abs. 1 lit. a DSGVO:

„(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);“

Art. 6 Abs. 1 lit. a, b und f DSGVO:

„Artikel 6

Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Art. 7 DSGVO:

„Artikel 7

Bedingungen für die Einwilligung

(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Art. 12 Abs. 1 DSGVO:

„Transparenz und Modalitäten

Artikel 12

Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.“

Art. 57 Abs. 1 lit. a, d und h DSGVO:

„Artikel 57

Aufgaben

(1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet

a) die Anwendung dieser Verordnung überwachen und durchsetzen;

d) die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren;

h) Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde;“

Art. 58 Abs. 1 lit. b und d und Abs. 2 lit. d und f DSGVO:

„Artikel 58

Befugnisse

(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,

b) Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen;

d) den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen

(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,

d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,

f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen;“

§ 174 TKG 2021 lautet:

Unerbetene Nachrichten

§ 174. (1) Anrufe – einschließlich das Senden von Fernkopien – zu Werbezwecken ohne vorherige Einwilligung des Nutzers sind unzulässig. Der Einwilligung des Nutzers steht die Einwilligung einer Person, die vom Endnutzer zur Benützung seines Anschlusses ermächtigt wurde, gleich. Die erteilte Einwilligung kann jederzeit widerrufen werden; der Widerruf der Einwilligung hat auf ein Vertragsverhältnis mit dem Adressaten der Einwilligung keinen Einfluss.

(2) Bei Telefonanrufen zu Werbezwecken darf die Rufnummernanzeige durch den Anrufer nicht unterdrückt oder verfälscht werden und der Diensteanbieter nicht veranlasst werden, diese zu unterdrücken oder zu verfälschen.

(3) Die Zusendung einer elektronischen Post – einschließlich SMS – ist ohne vorherige Einwilligung des Empfängers unzulässig, wenn die Zusendung zu Zwecken der Direktwerbung erfolgt.

(4) Eine vorherige Einwilligung für die Zusendung elektronischer Post gemäß Abs. 3 ist dann nicht notwendig, wenn1. der Absender die Kontaktinformation für die Nachricht im Zusammenhang mit dem Verkauf oder einer Dienstleistung an seine Kunden erhalten hat und2. diese Nachricht zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen erfolgt und3. der Empfänger klar und deutlich die Möglichkeit erhalten hat, eine solche Nutzung der elektronischen Kontaktinformation bei deren Erhebung und zusätzlich bei jeder Übertragung kostenfrei und problemlos abzulehnen und4. der Empfänger die Zusendung nicht von vornherein, insbesondere nicht durch Eintragung in die in § 7 Abs. 2 E-Commerce-Gesetz genannte Liste, abgelehnt hat.

(5) Die Zusendung elektronischer Post zu Zwecken der Direktwerbung ist jedenfalls unzulässig, wenn1. die Identität des Absenders, in dessen Auftrag die Nachricht übermittelt wird, verschleiert oder verheimlicht wird, oder2. die Bestimmungen des § 6 Abs. 1 E-Commerce-Gesetz verletzt werden, oder3. der Empfänger aufgefordert wird, Websites zu besuchen, die gegen die genannte Bestimmung verstoßen oder4. keine authentische Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung solcher Nachrichten richten kann.

(6) Wurden Verwaltungsübertretungen nach Absatz 1, 3 oder 5 nicht im Inland begangen, gelten sie als an jenem Ort begangen, an dem die unerbetene Nachricht den Anschluss des Nutzers erreicht.

3.3.2. Umgelegt auf den gegenständlichen Fall bedeutet dies Folgendes:

3.3.2.1. Zur Aufhebung des Spruchpunkts 1. des angefochtenen Bescheides:

Der Verwaltungsgerichtshof (VwGH) hat u.a. in seiner Entscheidung Ro 2020/04/0032 vom 14.12.2021 ausdrücklich eine Befugnis der belangten Behörde zu Feststellungen von Rechtsverletzungen im amtswegigen Verfahren verneint.

Begründet wurde dies in Rz 30 bis 40 zusammengefasst folgendermaßen: Art. 58 DSGVO enthalte keine ausdrückliche rechtliche Grundlage für eine selbständige Feststellung über die allfällige Rechtswidrigkeit eines datenschutzrechtlich relevanten Verarbeitungsvorgangs in einem amtswegig eingeleiteten Verfahren durch die belangte Behörde. § 24 DSG wiederum regle die von einer ihrer Ansicht nach in ihrem Recht auf Schutz der sie betreffenden personenbezogenen Daten verletzten Person erhobene Individualbeschwerde und sei damit auf Verfahren wie das vorliegende amtswegig eingeleitete nicht direkt anwendbar. Die in Spruchpunkt 1. enthaltene Feststellung bilde als solche keine notwendige Grundlage für die Ausübung der Abhilfebefugnis gemäß Art. 58 Abs. 2 lit. d DSGVO.

Die Anordnung der Unterlassung des rechtswidrigen Datenverarbeitungsvorgangs setze weder einen separaten Abspruch über die Berechtigung des von der belangten Behörde durchgeführten amtswegigen Prüfverfahrens noch die spruchmäßige Feststellung des Vorliegens der Rechtsverletzung voraus.

Auch sei eine analoge Anwendung des § 24 DSG nicht möglich, weil hierfür das Bestehen einer echten (das heißt planwidrigen) Rechtslücke notwendig sei. Dies sei hier nicht gegeben: So werde in den Erläuterungen zu § 24 DSG ausgeführt, die in Kapitel VIII der DSGVO (Rechtsbehelfe, Haftung und Sanktionen) enthaltenen Regelungen würden zum besseren Verständnis - zumindest zum Teil - eine Durchführung ins nationale Recht erfordern. Dies betreffe in erster Linie die Art. 77 bis 79 DSGVO, die die Beschwerde und die Rechtsbehelfe regeln. Keiner Durchführung ins nationale Recht bedürften hingegen etwa Art. 81 und zum Teil auch Art. 83 DSGVO. In § 24 sollen im Rahmen der Durchführung des Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde sowie die Grundsätze des Verfahrens vor der Aufsichtsbehörde geregelt werden. Diesbezüglich würden die bislang bereits in § 31 Abs. 3, 4, 7 und 8 DSG 2000 vorgesehenen Regelungen zum Teil beibehalten (vgl. AB 1761 BlgNR 25. GP , 15). Damit sei klargestellt, dass mit § 24 DSG die in Art. 77 DSGVO vorgesehene Individualbeschwerde ins nationale Recht übernommen wurde und dabei eine nähere Ausgestaltung erfuhr.

Demgegenüber sei in den Erläuterungen zu § 22 DSG (vgl. AB 1761 BlgNR 25. GP , 14) Folgendes festgehalten worden: „Art. 58 Abs. 6 DSGVO, welcher die Möglichkeit bietet, dass jeder Mitgliedstaat durch Rechtsvorschriften vorsehen kann, dass seine Aufsichtsbehörde neben den in den Art. 58 Abs. 1, 2 und 3 DSGVO aufgeführten Befugnissen über zusätzliche Befugnisse verfügt, wird nicht in das DSG übernommen, da diese Rechtsvorschriften gegebenenfalls jeweils mit der zugehörigen Materie geregelt werden müssen. Die Ausübung dieser Befugnisse darf jedoch dabei nicht die effektive Durchführung des Kapitels VII der DSGVO beeinträchtigen.“

Somit gehe aus den Erläuterungen zweifelsfrei hervor, dass die unterschiedliche Regelung der Individualbeschwerde und der amtswegig eingeleiteten Verfahren der Absicht des Gesetzgebers entsprochen habe. Eine solche sei auch nicht verfassungsrechtlich geboten, da § 24 und Art. 58 Abs. 2 DSGVO jeweils grundsätzlich unterschiedliche Rechtsschutzinstitute regelten.

Aufgrund der zitierten Rechtsprechung des VwGH war auch im gegenständlichen Verfahren Spruchpunkt 1. des angefochtenen Bescheides ersatzlos aufzuheben, da es sich auch im gegenständlichen Fall um ein amtswegiges Prüfverfahren der belangten Behörde handelte.

3.3.2.2. Zum Gegenstand des Verfahrens vor dem Bundesverwaltungsgericht:

Hinsichtlich der anderen Spruchpunkte ist zunächst zu klären, was überhaupt Gegenstand des Verfahrens vor dem Bundesverwaltungsgericht ist. Nach der Rechtsprechung des VwGH hat das Verwaltungsgericht alle Gründe zu prüfen, die zum von der Behörde ausgesprochenen Ergebnis führen können (VwGH Ra 2015/12/0027 und VwGH Ro 2017/03/0025)

Der äußere Rahmen für die Prüfbefugnis ist die „Sache“ des bekämpften Bescheides. Entscheidet das Verwaltungsgericht „in der Sache selbst“, hat es nicht nur über die gegen den verwaltungsbehördlichen Bescheid eingebrachte Beschwerde abzusprechen, sondern auch die Angelegenheit zu erledigen, die von der Verwaltungsbehörde entschieden wurde (VwGH Ra 2015/04/0042 vom 16.03.2016 mwN).

„Sache“ des Beschwerdeverfahrens ist jedenfalls nur jene Angelegenheit, die den Inhalt des Spruchs der vor dem Verwaltungsgericht belangten Behörde gebildet hat (VwGH Ra 2020/03/0086 vom 27.11.2020 mwN). Der Akzent liegt jedoch auf der "Angelegenheit" iSd "in Verhandlung stehenden Angelegenheit", die der Spruch zu erledigen hat, und nicht auf dem verbalen Inhalt des Spruchs (VwGH 2011/10/0118 vom 03.07.2012).

In einem vergleichbaren Fall betreffend ein amtswegiges Verfahren der belangten Behörde führte der VwGH zur Sache aus: „‚Sache‘ des Beschwerdeverfahrens war fallgegenständlich daher die Überprüfung der Rechtmäßigkeit der Ausübung der durch Art 58 Abs. 2 lit. f DSGVO eingeräumten Abhilfebefugnis und damit verbunden die Frage, ob die betreffende Datenverarbeitung durch die Mitbeteiligte rechtmäßig im Sinne des Art. 6 DSGVO erfolgte.“

In VwGH Ra 2019/04/0055 vom 12.112021 wird (ebenfalls bezüglich eines von der belangten Behörde durchgeführten amtswegigen Prüfverfahrens) ausgeführt: “‘Sache‘ des Beschwerdeverfahrens war fallgegenständlich daher die Überprüfung der Rechtmäßigkeit der in Ausübung der durch Art. 58 Abs. 2 lit. d DSGVO eingeräumten Abhilfebefugnis erteilten Anweisung, die einer Überprüfung unterzogene Datenverarbeitung in Einklang mit der DSGVO zu bringen, bzw. die Frage, ob eben diese Datenverarbeitung durch die mitbeteiligte Partei im Einklang mit der DSGVO erfolgte (siehe VwGH 17.12.2014, Ra 2014/03/0049, und 27.11.2020, Ra 2020/03/0086, zu insofern vergleichbaren Konstellationen). Dass die rechtliche Beurteilung durch die Revisionswerberin im behördlichen Verfahren zu kurz gegriffen haben mag, weil diese - wie das Verwaltungsgericht meint zu Unrecht - lediglich einen Rechtfertigungstatbestand geprüft hat, hat auf den Umfang der ‚Sache‘ keinen Einfluss.“

Das Bundesverwaltungsgericht geht daher davon aus, dass Gegenstand des Verfahrens die umfassende Prüfung der Rechtmäßigkeit der von der Beschwerdeführerin zum Zeitpunkt der Bescheiderlassung eingeholten Einwilligungserklärungen in Werbung und Markforschung und den Abgleich der Kundendaten mit Partnerunternehmen umfasst und nicht nur die optische Gestaltung derselben.

Weiters bezieht sich der Bescheid nur auf das physische Anmeldeformular im „ XXXX “ und die Online-Anmeldestrecke in der Fassung zum Entscheidungszeitpunkt. Die „neue“ Online-Anmeldestrecke liegt daher außerhalb dessen, was von der belangten Behörde entschieden wurde und ist daher nicht Sache des Beschwerdeverfahrens (vgl. auch VwGH Ra 2014/03/0049 vom 17.12.2014; Sache des Beschwerdeverfahrens war die Frage, ob die Bereitstellung der näher umschriebenen Angebote durch den ORF gegen die genannte Verbotsnorm des ORF-G verstoßen hat, nicht aber die weitergehende Prüfung, ob diesen Angeboten Angebotskonzepte zugrunde gelegen sind und ob es sich dabei um neue Angebote gehandelt hat, die eine Auftragsvorprüfung im Sinne der §§ 6 bis 6b ORF-G erforderlich gemacht hätten.

3.3.2.3. Zur datenschutzrechtlichen Rollenverteilung

Zunächst ist festzuhalten, dass die Beschwerdeführerin ihre Verantwortlicheneigenschaft nicht grundsätzlich in Abrede gestellt hat. Auch in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht wurde nichts Derartiges vorgebracht.

Die Beschwerdeführerin führte zwar in ihrer Beschwerde ins Treffen, dass die belangte Behörde im Hinblick auf die Datenverarbeitung im Rahmen von Ziffer XXXX der Datenschutzerklärung nicht ausreichend differenziere und insbesondere die „Zusatzvereinbarung zur Erfüllung der Pflichten nach Art. 26 DSGVO bei Vorliegen einer gemeinsamen Verantwortlichkeit" zwischen der Beschwerdeführerin und dem jeweiligen Partnerunternehmen nicht beachtet habe.

Dem entgegnete die belangte Behörde, dass sie die (gemeinsame) Verantwortlichkeit bereits im angefochtenen Bescheid thematisiert habe. Im Hinblick auf das neue Vorbringen der Beschwerdeführerin sei ergänzend festzuhalten, dass etwaige Vereinbarungen (etwa solche nach Art. 26 DSGVO oder nach Art. 28 Abs. 3 DSGVO) bei der Beurteilung der datenschutzrechtlichen Rollenverteilung keine Rolle spielen könnten, da es sonst in der Hand des Verantwortlichen bzw. Auftragsverarbeiters liegen würde, entgegen den faktischen Gegebenheiten vertraglich festzulegen, wann eine Stelle als Verantwortlicher, als gemeinsam Verantwortlicher oder als Auftragsverarbeiter zu qualifizieren sei.

Die belangte Behörde führte im angefochtenen Bescheid u.a. aus:

„Allerdings geht der EuGH in seiner Rsp zur insofern vergleichbaren Rechtslage nach Art. 2 lit. d der Richtlinie 95/46/EG von einem weiten Begriffsverständnis der „gemeinsamen Verantwortung“ aus und hält fest, dass „[...] eine Religionsgemeinschaft gemeinsam mit ihren als Verkündiger tätigen Mitgliedern als Verantwortliche für die Verarbeitungen personenbezogener Daten angesehen werden kann, die durch diese Mitglieder im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erfolgen, die von dieser Gemeinschaft organisiert und koordiniert wird und zu der sie ermuntert, ohne dass es hierfür erforderlich wäre, dass die Gemeinschaft Zugriff auf diese Daten hat oder ihren Mitgliedern nachweislich schriftliche Anleitungen oder Anweisungen zu diesen Datenverarbeitungen gegeben hat. (vgl. das Urteil des EuGH vom 10. Juli 2018, C-25/17 [Zeugen Jehovas] Rn 75)

In seiner weiteren Rsp hat der EuGH dieses Begriffsverständnis zur „gemeinsamen Verantwortung“ bestätigt und festgehalten, dass es das Ziel ist, „[...] durch eine weite Definition des Begriffs des „Verantwortlichen“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten.“ (vgl. das Urteil des EuGH vom 29. Juli 2019, C-40/17 [Fashion ID] Rn 66 ff).

Weiters hat der EuGH in seiner Rsp ausdrücklich klargestellt, dass eine weite Auslegung des Begriffs des datenschutzrechtlichen „Verantwortlichen“ geboten ist, um den betroffenen Personen einen möglichst wirksamen und umfassenden Schutz zu gewährleisten (vgl. die Urteile des EuGH vom 5. Juni2018, C-210/16 [Wirtschaftsakademie Schleswig-Holstein] Rn 27 f sowie vom 13. Mai 2014, C-131/12 [Google Spain] Rn 34).“

Das Bundesverwaltungsgericht schließt sich den Ausführungen der belangten Behörde auf S. 22 und 23 des angefochtenen Bescheides an und geht ebenfalls davon aus, dass die Beschwerdeführerin (welche auch die Einwilligungserklärungen für die Partnerunternehmen einholt) als Verantwortliche agiert, zumal sie (zumindest gemeinsam mit den Partnerunternehmen) auch Zweck und Mittel der Verarbeitungen betreffend der „ XXXX “ iSd Ziffer XXXX . und XXXX . festlegt.

Darüber hinaus führt sie auch selbst Analysen/Datenabgleiche zur XXXX durch (Punkt XXXX . der genannten Datenschutzerklärung), was sie auch nicht bestritten hat.

Nachdem die Beschwerdeführerin die Einwilligung der betroffenen Personen für die genannten Zwecke einholt und ihr auch die Gestaltung der Einwilligungserklärung obliegt, ist eine Verantwortlichkeit der Beschwerdeführerin nicht in Abrede zu stellen.

Im Übrigen wird angemerkt, dass im Spruch nicht mehr auf Ziffer XXXX der Datenschutzerklärung abgestellt wird, sondern auf die Zwecke der Verarbeitung, für die die Beschwerdeführerin Verantwortliche ist.

3.3.2.4. Zur Frage der mangelnden Zuständigkeit der belangten Behörde für Teile des Spruches:

Die Beschwerdeführerin führt in ihrer Beschwerde aus, dass für die Frage der Rechtmäßigkeit des Ersuchens um Einwilligung der Verarbeitung personenbezogener Daten zum Zwecke der Zusendung von E-Mail, SMS/MMS oder mobiler Push-Nachrichten zu Werbezwecken der Art. 13 ePrivacy-RL (und dessen nationale Umsetzung in § 107 TKG) in seinem Anwendungsbereich den Art. 6 Abs. 1 lit a DSGVO iVm Art. 7 Abs 2 DSGVO iVm Art. 4 Z 11 DSGVO als lex specialis vorgeht und es daher Art. 6 Abs. 1 lit a DSGVO iVm Art. 7 Abs 2 DSGVO iVm Art. 4 Z 11 DSGVO auf diese Frage gar nicht anwendbar sei.

Die Frage, ob der Betroffene der Verwendung seiner E-Mail-Adresse und seiner Telefonnummer für die Verarbeitung zur Zusendung von elektronischer Post und weiteren Zusendungen über E-Mail, SMS/MMS sowie mobiler Push-Nachrichten rechtsgültig zugestimmt hat, sei alleine nach Art. 13 ePrivacy-RL (sowie dessen nationaler Umsetzung in § 107 TKG), und gerade nicht nach Art. 6 Abs. 1 lit a DSGVO iVm Art. 7 Abs 2 DSGVO iVm Art. 4 Z 11 DSGVO zu beurteilen. Daran ändere auch die Tatsache nichts, dass gemäß Art. 2 lit f ePrivacy-RL iVm Art. 94 Abs 2 DSGVO zur Beurteilung der Voraussetzungen einer gültigen Einwilligung nach Art. 13 ePrivacy-RL auf die in Art. 4 Z 11 DSGVO statuierten Voraussetzungen anzuknüpfen sei (vgl. auch Golland in Taeger/Gabel, DSGVO BDSG3 (2019) Art 95 DSGVO Rz 11).

Für die Frage, ob für die Zusendung elektronischer Post per E-Mail, SMS/MMS oder via mobiler Push-Nachrichten zu Werbezwecken eine gültige Einwilligungserklärung vorliege, sei nun nach § 109 Abs. 3 Z 20 iVm § 109 Abs. 8 TKG einzig und allein das Fernmeldebüro und nicht die Datenschutzbehörde sachlich zuständig.

Dagegen brachte die belangte Behörde vor, dass personalisierte Werbung neben dem elektronischen Kanal (E-Mail, SMS/MMS) ausdrücklich auch per Post und während dem Aufenthalt im Geschäft verschickt bzw. übergeben werde. Darüber hinaus würden die gewonnenen Daten für Zwecke XXXX analysiert.

Für die postalische Zusendung von Werbung - unabhängig davon, ob diese personalisiert oder nicht personalisiert ist - sowie für die physische Übergabe von Werbematerial in Geschäften und für derartige Analysezwecke finde die Richtlinie 2002/58/EG idgF (ePrivacy-RL) iVm dem TKG 2003 idgF jedenfalls keine Anwendung, da sich der Wortlaut von § 107 Abs. 2 TKG 2003 nur auf „elektronische Post" beziehe.

Sehr wohl finde hingegen die DSGVO Anwendung, da die Personalisierung von Werbung - und um diese gehe es in der Datenverarbeitung gemäß den Ziffern XXXX und XXXX - jedenfalls eine Datenverarbeitung voraussetze. Eine solche der DSGVO unterliegende Datenverarbeitung zur Personalisierung von Werbung werde gegenständlich auch durchgeführt, da die Beschwerdeführerin XXXX und nunmehr auch XXXX durchführe. Bei dieser Personalisierung von Werbung handle es sich um Profiling gemäß Art. 4 Z 4 DSGVO, da persönliche Aspekte von betroffenen Personen (konkret: die Wahrscheinlichkeitsberechnung, dass ein Kunde ein gewisses Verhalten setze) bewertet würden.

Dies bedeute im Ergebnis, dass die belangte Behörde jedenfalls für die Überprüfung der Datenverarbeitung - und damit verbunden, die dazugehörigen Ersuchen um Einwilligung – zuständig sei, die sich auf die Durchführung von Profiling und die darauffolgende postalische Zustellung und persönliche Übergabe von personalisierter Werbung beziehe

Was die elektronische personalisierte Werbung angehe, wurde von der belangten Behörde Folgendes angemerkt: Wie sich aus dem Inhalt der Ziffern XXXX und XXXX der Datenschutzerklärung der Beschwerdeführerin ergebe, werde elektronische personalisierte Werbung nur dann verschickt, „[...] XXXX [...]“

Aus dieser Formulierung gehe hervor, dass es in den Ziffern XXXX und XXXX gerade nicht um eine Einwilligung für den Erhalt von elektronischer Werbung gemäß § 107 Abs. 2 TKG 2003 gehe, denn diese werde nach der ausdrücklichen Angabe der Beschwerdeführerin auf Basis einer separaten Einwilligung zum Newsletter der Beschwerdeführerin eingeholt.

Diese separate Einwilligung gemäß § 107 Abs. 2 TKG 2003 werde auf der Webpage in der Box mit der Überschrift „ XXXX “ eingeholt, auf dem „ XXXX “ sei dies die Box mit der Überschrift „ XXXX !“

Diese separate Einwilligung auf Grundlage von § 107 Abs. 2 TKG 2003 für den Erhalt von elektronischer Werbung sei gerade ausdrücklich nicht beanstandet worden.

Vielmehr gehe es bei den Ziffern XXXX und XXXX um eine Einwilligung dahingehend, dass personenbezogene Daten für die Personalisierung von Werbung - also für Profiling - verarbeitet werden könnten und dass die dadurch gewonnenen Daten auch für Zwecke der XXXX analysiert würden. Durch Abgabe einer Einwilligung gemäß den Ziffern XXXX und XXXX der Datenschutzerklärung stimme eine betroffene Person zu, dass die Beschwerdeführerin nicht-personalisierte Werbung personalisieren dürfe.

Für die Überprüfung der Datenverarbeitung im Zusammenhang mit Profiling - und damit verbunden, die dazugehörigen Ersuchen um Einwilligung - sei die belangte Behörde aber wie bereits oben ausgeführt jedenfalls zuständig.

Würde man der Rechtsansicht der Beschwerdeführerin folgen, würde dies bedeuten, dass die belangte Behörde jegliche Datenverarbeitungen, die im Zusammenhang mit der Übermittlung von elektronischer Post zu Werbezwecken stehen würden, nicht überprüfen könnte. Einer solchen Rechtsansicht stünde bereits Art. 21 Abs. 2 DSGVO, welcher ein absolutes Widerspruchsrecht gegen eine solche elektronische Direktwerbung einräume, und die Tatsache, dass die belangte Behörde gemäß Art. 57 Abs. 1 lit. a iVm Art. 58 Abs. 2 lit. c DSGVO ausdrücklich dafür zuständig sei, unter anderem auch die Einhaltung von Art. 21 Abs. 2 DSGVO zu überwachen und durchzusetzen, entgegen. Eine solche Rechtsansicht sei auch nicht mit den primärrechtlichen Vorgaben von Art. 8 Abs. 3 EU-GRC und Art. 77 DSGVO in Einklang zu bringen.

Dazu hat das Bundesverwaltungsgericht Folgendes erwogen:

§ 107 TKG 2003 bzw. der nunmehrige § 174 TKG 2021, der wörtlich dem ehemaligen § 107 TKG 2003 entspricht, normiert, dass die Zusendung (Unterstreichung durch das BVwG, Anm.) elektronischer Post zu Zwecken der Direktwerbung ohne vorherige Einwilligung des Empfängers unzulässig ist.

Wie die belangte Behörde zurecht ausführte, geht es bei der Einwilligung in „ XXXX “ aber nicht (bloß) um die Einwilligung in die Zustellung von elektronischer Werbung, sondern um den Datenabgleich, durch den erst eine interessensgerichtete Werbung möglich ist.

Es besteht für das Bundesverwaltungsgericht aus den von der belangten Behörde angeführten Gründen kein Zweifel, dass die DSGVO auf den hinter einer interessensgerichteten Werbung stehenden Profiling-Vorgang, auf den sich die Einwilligung eigentlich bezieht, anzuwenden ist und auch der Kontrolle der Datenschutzbehörde unterfällt.

Soweit die Beschwerdeführerin darauf hinweist, dass in Punkt XXXX . auch auf die Zusendung interessensgerichteter Werbung Bezug genommen wird (nämlich bezüglich der Mitglieder, die bereits der Zusendung des Newsletters zugestimmt haben und deren E-Mail-Adressen daher der Beschwerdeführerin vorliegen), so ist der Beschwerdeführerin Recht zu geben, dass darauf die Bestimmung des (nunmehr) § 174 TKG 2021 anwendbar ist.

In diesem Zusammenhang ist darauf hinzuweisen, dass – um diesem Umstand Rechnung zu tragen und um allfälligen Missverständnissen vorzubeugen – nunmehr im geänderten Spruch auf die Verarbeitungszwecke abgestellt wird und nicht mehr ausdrücklich auf die Datenschutzerklärung Bezug genommen wird.

3.3.2.4. Zum Benutzer, der sich beim Programm der Beschwerdeführerin anmeldet:

Wie die belangte Behörde ausführt, ist vor einer Überprüfung der Ersuchen um Einwilligung zunächst zu klären, welche Personen sich beim Programm der Beschwerdeführerin angemeldet haben und welche Anforderungen man an diese hinsichtlich ihrer Aufmerksamkeit beim Anmeldeprozess - und damit verbunden, bei der Abgabe einer Einwilligungserklärung - stellen kann.

Wie die belangte Behörde weiter ausführt, habe der EuGH in Bezug auf die Irreführung von Verbrauchern hinsichtlich einer Angabe zur Förderung des Verkaufs von Lebensmitteln bereits darauf abgestellt, wie ein „durchschnittlich informierter, aufmerksamer und verständiger Durchschnittsverbraucher“ (also gerade kein überdurchschnittlich aufmerksamer Verbraucher) diese Angabe wahrscheinlich auffassen wird (vgl. das Urteil des EuGH vom 16. Juli 1998, C-210/96 [Gut Springenheide GmbH] Rn 37).

Es sei festzuhalten, dass die zitierte Rsp des EuGH zum Verbraucherschutzrecht auf die DSGVO übertragen werden könne. So verweise die DSGVO in ErwGr 42 selbst auf die Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen und hält fest, dass diese Richtlinie als Maßstab für die Beurteilung von Einwilligungserklärungen heranzuziehen sei.

Im datenschutzrechtlichen Kontext sei nach gefestigter Literaturmeinung ebenso auf einen solchen Durchschnittsverbraucher (hier: „Durchschnittsbenutzer“) abzustellen (vgl. Greve in Sydow, Kommentar Art. 12 Rz 11; Illibauer in Knyrim, DatKomm Art. 12 Rz 39; in Bezug auf das DSG 2000 auch Jahnel, Handbuch Rz 7/22 mwN).

Weiters gehe auch die Artikel-29-Datenschutzgruppe von einem Durchschnittsbenutzer aus (vgl. Artikel-29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/67 , WP259 rev.01, 17/DE, S. 16). Somit sei davon auszugehen, dass man sich bei der Überprüfung der datenschutzrechtlichen Einwilligungserklärungen in die Rolle eines durchschnittlichen Benutzers versetzen müsse, der den Anmeldeprozess mit durchschnittlicher Aufmerksamkeit durchläuft und der keine juristischen oder technischen Kenntnisse besitze (gemeint offenbar: besitzen müsse, Anm.).

Die Beschwerdeführerin führt zusammengefasst aus, dass das Konzept des Durchschnittsnutzers von der belangten Behörde zu weit gefasst worden sei. Das europäische Verbraucherleitbild sei zur Irreführung bezüglich Datenschutzfragen nicht heranzuziehen und es sei diesbezüglich von der belangten Behörde nicht ausreichend ermittelt worden

Korrekt sei jedenfalls, dass im Anwendungsbereich der DSGVO auf einen „durchschnittlich verständigen Betroffenen“ abzustellen sei (stellvertretend für viele etwa Greve in Sydow, DSGVO2 (2018) Art 12 Rz 12). Allerdings übersehe die belangte Behörde, dass nicht pauschal von einem „Durchschnittsnutzer“ an sich auszugehen sei, sondern eine solche Durchschnittsperson für die relevante Zielgruppe der Erklärungen zu berücksichtigen sei - wie auch aus den von ihr selbst zitierten Kommentarstellen eindeutig hervorgehe: „Der durchschnittlich verständige Betroffene als maßgeblicher Anknüpfungspunkt ist anhand der beabsichtigten wie auch der tatsächlich betroffenen Zielgruppe zu ermitteln“ (Greve in Sydow, DSGVO2 (2018) Art 12 Rz 12). Eine Datenschutzerklärung sei außerdem dann verständlich, „wenn sie von einem durchschnittlich verständigen Empfänger des jeweilig intendierten Empfängerkreises verstanden werden kann“ (Illibauer in Knyrim, DatKomm, Art 12 DSGVO Rz 39).

Nichts anderes gelte nach Ansicht der Artikel-29-Datenschutzgruppe und des Europäischen Datenschutzausschusses auch für Einwilligungserklärungen: Verantwortliche seien verpflichtet „zu prüfen, welche Art von Zielgruppe seiner Organisation ihre personenbezogenen Daten zur Verfügung stellt“ (Art-29- Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679 , WP259 rev.01, Seite 17, sowie gleichlautend in den diese ersetzenden European Data Protection Board, Guidelines 05/2020 on consent under Regulation 2016/679, Version 1.1, Seite 16).

Für die Beurteilung hinsichtlich der Informiertheit und Transparenz bei einer Einwilligungserklärung sei daher insgesamt auf einen durchschnittlich verständigen Nutzer des intendierten Empfängerkreises abzustellen, denn „wie eine Einwilligung formuliert sein muss und der Betroffene auf den vollständigen Text zugreifen kann, hängt vom jeweiligen Kontext und Adressatenkreis ab“ (Wolff in Schantz/Wolff, Das neue Datenschutzrecht (2017) Rz 523).

Die Datenschutzbehörde lasse neben dieser Präzisierung der Zielgruppe an sich auch offen, welche Merkmale oder Fähigkeiten sie beim Durchschnittsnutzer der Entscheidung zugrunde lege, d.h. welcher Altersgruppe dieser angehöre, ob dieser männlich oder weiblich sei und so weiter.

Richtigerweise müsse es bei der maßgeblichen Beurteilung auf das Verständnis eines durchschnittlichen Nutzers (d.h. Interessenten des Programms der Beschwerdeführerin) ankommen. Eine Person, die kein Interesse an der Teilnahme bei Kundenbindungsprogrammen habe, sei gerade nicht Zielgruppe bzw. Adressatenkreis und somit nicht Teil der Gruppe „durchschnittlicher Nutzer“.

Das Programm der Beschwerdeführerin werde überwiegend ( XXXX ) von XXXX genutzt, nur XXXX der Nutzer seien Männer. Die Nutzer seien im Schnitt rund XXXX Jahre alt. Ca. XXXX der Nutzer würden am Land leben, ca. XXXX im städtischen Raum.

Zur Frage der Zielgruppe bzw. des Adressatenkreises des „durchschnittlichen Nutzers“ habe die Datenschutzbehörde aber weder Feststellungen getroffen, noch enthalte die Bescheidbegründung dazu entsprechende Ausführungen.

Wenn die Datenschutzbehörde annehme, dass man sich in die Rolle eines durchschnittlichen Nutzers versetzen müsse, „der den Anmeldeprozess mit durchschnittlicher Aufmerksamkeit durchläuft“, so sei das nur eine unbelegte Aussage und widerspreche im Übrigen den Tatsachen. Von jemandem, der sich für ein Kundenbindungsprogramm anmelden möchte, sei zu erwarten, dass er sich die Teilnahme vorher überlege und das Anmeldeformular dann auch genau durchgehe, um zu wissen, wofür er sich hier anmelden könne.

Dazu hat das Bundesverwaltungsgericht Folgendes erwogen:

Zunächst ist darauf hinzuweisen, dass das Verbraucherschutzrecht und das Datenschutzrecht sehr wohl miteinander in enger Verbindung stehen, wie auch in der Literatur ausgeführt wird (vgl. Illibauer in Knyrim, DatKomm Art 12 DSGVO Rz 6, Manz, Wien 2022).

Der Oberste Gerichtshof (OGH) stellt in 6 Ob127/21a vom 18.03.2022 im Zusammenhang der konsumentenschutzrechtlichen Beurteilung von Vertragsklauseln auf den „durchschnittlich aufmerksamen Leser“ und „Durchschnittskonsumenten“ ab. In seiner Entscheidung 6 Ob 56/19g vom 24.10.2019 wird ebenso wiederholt auf „Durchschnittskonsumenten“ bzw. den „typischen (rechtsunkundigen) Durchschnittskunden“ abgestellt. Auch in der Entscheidung 9 Ob 57/20b vom 25.11.2020 wird auf den „Durchschnittsbetrachter“ abgestellt. In der Entscheidung 9 Ob 81/21h vom 14.07.2022 wird im Zusammenhang mit der Beurteilung einer von einem Kreditinstitut verwendeten Klausel auf den „Durchschnittsverbraucher“ abgestellt.

In der Entscheidung 6 Ob198/21t vom 29.08.2022 in einer Angelegenheit der DSGVO wird vom OGH auf den „Durchschnittsadressaten“ abgestellt.

In der Entscheidung 4 Ob84/19k vom 26.11.2019 ist bei einer UWG-rechtlichen Beurteilung von einem „angemessen gut unterrichteten und angemessen aufmerksamen und kritischen Durchschnittsverbraucher“ bzw. von „Durchschnittsadressaten“ und „Durchschnittsverbraucher“ die Rede.

Ebenso wird in der Entscheidung 6 Ob48/21h vom 06.08.2021 auf den Durchschnittsverbraucher bzw. den „wirtschaftlich nicht versierten Durchschnittskunden“ abgestellt.

Zur Transparenz führte der OGH aus: „Das Transparenzgebot begnügt sich nicht mit der formellen Textverständlichkeit, sondern verlangt, dass Inhalt und Tragweite vorgefasster Vertragsklauseln für den Verbraucher ‚durchschaubar‘ sind bzw. auf den typischen (rechtsunkundigen) Durchschnittskunden“ (7 Ob97/22y vom 9.11.2022 mwN).

Auch wenn der Beschwerdeführerin grundsätzlich zuzustimmen ist, dass die Einwilligung im Lichte des Kontexts und Adressatenkreises zu bewerten ist, ist Folgendes festzuhalten: Beim Programm der Beschwerdeführerin handelt es sich um kein spezifisches Programm für bestimmte Bevölkerungsschichten; es handelt sich vielmehr um ein Kundenbindungsprogramm, welches darauf ausgerichtet ist, so viele Personen wie möglich anzusprechen (zu den Partnerunternehmen der Beschwerdeführern vor Ort siehe XXXX ).

Auch wenn das Programm der Beschwerdeführerin derzeit vorwiegend von XXXX einer durchschnittlichen Altersgruppe genutzt wird, ist daraus nichts zu gewinnen. Selbst falls XXXX eines bestimmten Alters mehr dazu neigen würden, an Kundenbindungsprogrammen teilzunehmen als andere, sagt dies nichts darüber aus, ob sie die Einwilligungserklärungen im Detail lesen.

Vielmehr ist davon auszugehen, dass ein Großteil der Bevölkerung an Einsparungen beim Einkauf interessiert ist und dass Kunden der Partnerunternehmen, welche Produkte des täglichen Lebens anbieten, davon profitieren wollen, besondere Rabatte zu erhalten. Zwar ist der Beschwerdeführerin zuzustimmen, dass es sich bei Kundenbindungsprogrammen prinzipiell um längerdauernde Verträge handelt; allerdings handelt es sich im gegenständlichen Fall nicht um einen Vertragsabschluss, sondern um eine Einwilligung in XXXX . Diese Einwilligung ist einerseits jederzeit widerrufbar, andererseits handelt es sich um keine finanziell belastende Verpflichtung, die hier von den Kunden eingegangen wird.

Es ist daher davon auszugehen, dass die Kunden und Kundinnen, die eine Einwilligung in „Werbung und Marktforschung und den Abgleich Ihrer Daten mit Partnerunternehmen“ erteilen, dieser weniger Aufmerksamkeit schenken als etwa bei einem Abschluss finanziell belastender Verträge wie dem Erwerb einer Waschmaschine oder eines Geschirrspülers, beim Abschluss eines Mietvertrages oder gar beim Erwerb einer Immobilie.

Überdies ist festzuhalten, dass gerade Zustimmungserklärungen per „ XXXX “ auch spontan an der Kassa eines Partnerunternehmens abgegeben wurden und im Rahmen eines derartigen spontanen Beschlusses kaum die Zeit bestand, sich die Einwilligungserklärung genau anzusehen. Schon deshalb ist – auch situationsbezogen – nicht davon auszugehen, dass die Kunden und Kundinnen den Einwilligungserklärungen generell mehr als durchschnittliches Augenmerk schenkten.

Bei der Beurteilung der gegenständlichen Ersuchen um Einwilligung muss man sich daher - wie im angefochtenen Bescheid auch ausgeführt - in die Lage eines durchschnittlichen Kunden versetzen, der keine (näheren) juristischen oder technischen Kenntnisse besitzt (und der somit gewisse Schlagworte nicht hinterfragt, die einem im Datenschutzrecht tätigen Juristen sofort auffallen würden, wie etwa „ XXXX ", „ XXXX ", oder „ XXXX ") und der sich dem Anmeldeprozess lediglich mit durchschnittlicher Aufmerksamkeit widmet.

Aufgrund der obenstehenden Überlegungen ist davon auszugehen, dass im gegenständlichen Fall von einem durchschnittlich aufmerksamen und verständigen Kunden ausgegangen werden kann.

3.3.2.5. Zum physischen Anmeldeformular „ XXXX “:

Das im XXXX enthaltene physische Anmeldeformular diente ganz allgemein der Anmeldung zum Programm; mit Abgabe einer Unterschrift im Feld, das sich am Ende des Anmeldeformulars befindet, wurde eine datenschutzrechtliche Einwilligung abgegeben („ XXXX “); dies betrifft Datenverarbeitungen für Zwecke im Rahmen der Punkte XXXX bis XXXX der Datenschutzerklärung.

Unter einer „Einwilligung" ist gemäß Art. 4 Z 11 DSGVO Folgendes zu verstehen:

„Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.

Wie belangte Behörde ausführt, müssen nach der Rsp des EuGH „[...] die klaren und umfassenden Informationen den Nutzer in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen [...]‘, und muss gewährleistet werden, dass „[...] die Einwilligung in voller Kenntnis der Sachlage erteilt wird.“ Weiters müssen die Informationen „klar verständlich und detailliert" genug sein, um es dem Nutzer zu ermöglichen, „die Funktionsweise der verwendeten Cookies“ (gegenständlich: die Datenverarbeitung zum Zwecke der personalisierten Ansprache) zu verstehen (vgl. Urteil des EuGH vom 1. Oktober 2019, C-673/17 [Planet 49] Rz 74).

Auch die Art. 29-Datenschutzgruppe habe in diesem Zusammenhang bereits festgehalten, dass in einer Situation, in welcher ein Vertrag (gegenständlich: die Anmeldung zum Programm) mehrere Aspekte behandle, sich das Ersuchen um Einwilligung deutlich abzuheben habe (vgl. Artikel-29- Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/67 , WP259 rev.01, 17/DE, S. 17).

Diese Auslegung finde im Wortlaut von Art. 7 Abs. 2 DSGVO Deckung, wonach „[...]das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so (zu) erfolgen (hat), dass es von den anderen Sachverhalten klar zu unterscheiden ist [...]“ und dass „[...] Teile der Erklärung [...] dann nicht verbindlich (sind), wenn sie einen Verstoß gegen diese Verordnung darstellen“.

An die Erfüllung dieser Kriterien von Art. 4 Z 11 und Art. 7 Abs. 2 DSGVO sei zudem ein hoher Maßstab anzulegen:

Dies erhelle bereits aus der Überlegung, dass der europäische Gesetzgeber - anders noch als in der Richtlinie 95/46/EG , in der dies bloß rudimentär geregelt gewesen sei - sich dazu entschlossen habe, Anforderungen an eine datenschutzrechtliche Einwilligung in einer eigenständigen Bestimmung gemäß Art. 7 DSGVO zu normieren; darüber hinaus sei eine „Verletzung der Bedingungen für die Einwilligung“ in Art. 83 Abs. 5 lit. a DSGVO ausdrücklich als Straftatbestand genannt, womit der hohe Stellenwert der Kriterien nochmals bekräftigt werde

Weiters gehe auch der EuGH davon aus, dass an die Bedingungen, unter denen eine Einwilligung eingeholt werde, nunmehr ein (noch) strengerer Maßstab anzulegen sei; so verweise er darauf, dass der Wortlaut von Art. 4 Z 11 DSGVO, wo der Ausdruck „Einwilligung der betroffenen Person" im Sinne der Verordnung definiert werde, und insbesondere Art. 6 Abs. 1 lit. a DSGVO noch enger als der Wortlaut von Art. 2 lit. h der Richtlinie 95/46 erscheine (vgl. das Urteil des EuGH vom 1. Oktober 2019, C-673/17 [Planet 49] Rz 61).

Die belangte Behörde verweist auch auf die Rsp des OGH zur Richtlinie 93/13/EWG (der auf die ErwGr. 42 dritter Satz DSGVO ausdrücklich verweist), wonach sich das Transparenzgebot gemäß § 6 Abs. 3 KSchG „nicht mit formeller Textverständlichkeit" begnüge und dass „Inhalt und Tragweite vorgefasster Vertragsklauseln" für den Verbraucher „durchschaubar" sein müssen (vgl. RIS-Justiz RS0122169).

Nun könne aber in einem Fall wie diesem nicht davon ausgegangen werden, dass ein Benutzer, der sich dem Anmeldeprozess mit durchschnittlicher Aufmerksamkeit widme, erkenne, dass es sich bei dem am Ende des Anmeldeformulars platzierten Unterschriftenfeld um die Abgabe einer datenschutzrechtlichen Einwilligung handle. Vielmehr vermittle die Gesamtkonzeption des Anmeldeformulars und die Platzierung des Unterschriftenfelds den Eindruck, dass es sich hierbei um eine Unterschrift zur Anmeldebestätigung zum Programm handle

Ein Durchschnittsbenutzer werde daher nach allgemeiner Lebenserfahrung davon ausgehen, dass am Ende eines Anmeldeformulars, bei dem ein großes Unterschriftenfeld platziert sei, mit Abgabe der Unterschrift bloß die Anmeldung zur Mitgliedschaft bestätigt werde und nicht, dass an dieser Stelle eine datenschutzrechtliche Einwilligung für eine (umfangreiche) Datenverarbeitung abgegeben werde (vgl. zur optisch irreführenden Gestaltung von Anmeldeformularen auch den Bescheid vom 31. Juli 2018, GZ DSB-D213.642/0002-DSB/2018).

Daran vermöge auch nichts zu ändern, dass sich das Unterschriftenfeld ganz grundsätzlich in der XXXX befinde, die die Überschrift „ XXXX “ trage sowie, dass unter dem Unterschriftenfeld darauf hingewiesen werde, dass die Anmeldung XXXX .

Diesbezüglich sei zunächst festzuhalten, dass der Hinweis „ XXXX “ in kleiner Schriftgröße verfasst sei und sich am unteren Ende des Anmeldeformulars befinde, was von einem Durchschnittsbenutzer am Ende des Anmeldeprozesses nicht mehr ausreichend wahrgenommen werde; zudem erschließe sich der Datenschutzbehörde nicht, weshalb bloß die Wortfolge „ XXXX “ derart konzipiert sei, dass der Eindruck entstehe, dass die Anmeldung nur mit Unterschrift wirksam werde, weshalb also nicht auch das XXXX " fett gedruckt sei

Diese Ausführungen fänden auch in der Rsp des OGH Deckung, der in Bezug auf eine ähnliche Konstellation festgehalten habe, dass bei einer Zustimmungserklärung die zu übermittelnden Datenarten, deren Empfänger und der Übermittlungszweck abschließend zu bezeichnen seien und dass der Betroffene „mit einer solchen Klausel im Kleingedruckten“ (gegenständlich: der klein gedruckte Hinweis, dass eine Unterschrift zur Anmeldung nicht notwendig sei) nicht zu rechnen brauche (vgl. RIS-Justiz RS0111809).

Weiters sei auch zu berücksichtigen, dass zwischen der Überschrift „ XXXX “ und dem Unterschriftenfeld ein augenfälliger räumlicher Abstand bestehe und kein ausreichender Konnex - anders als etwa bei einer deutlich neben einem Ersuchen um Einwilligung platzierten Checkbox- gegeben sei. Die Vermittlung eines solch irreführenden Eindrucks widerspreche auch dem - nunmehr in Art. 5 Abs. 1 lit. a DSGVO ausdrücklichen normierten –Transparenzgrundsatz.

Die Einwilligungserklärung am physischen Anmeldeformular unter der Überschrift „ XXXX “ entspreche nicht den Anforderungen des Art. 4 Z 11 iVm Art. 7 Abs. 2 DSGVO.

So hebe sich die Einwilligungserklärung nicht ausreichend von den übrigen Elementen des Anmeldeformulars ab; weiters sei nicht von einer „unmissverständlichen“ und „in voller Kenntnis der Sachlage“ erteilten Einwilligungserklärung auszugehen, da ein Durchschnittsbenutzer - aufgrund der obigen Überlegungen - sich gar nicht des Umstands bewusst sein werde, dass er eine datenschutzrechtliche Einwilligung abgebe

Die Beschwerdeführerin führt in ihrer Beschwerde aus, dass es im vorliegenden Verfahren im Kern um die Frage gehe, ob die Gestaltung der konkreten Einwilligungsersuchen eine unmissverständlich abgegebene Willenserklärung der Nutzer annehmen lasse oder nicht. Voraussetzung einer unmissverständlich abgegebenen Einwilligungserklärung sei insbesondere, dass das entsprechende Ersuchen zur Erteilung einer Einwilligung von anderen Sachverhalten - durch geeignete Hervorhebungen - klar unterscheidbar sei (Kastelitz in Knyrim, DatKomm, Art 7 DSGVO Rz 21). Diesem „Unterscheidbarkeitsgebot“ sei durch gestalterische und inhaltliche Hervorhebungen derart Rechnung zu tragen, sodass die Einwilligung nicht beiläufig in Zusammenhang mit einer anderen Erklärung erteilt werde (Klement in Simitis/Hornung/Spiecker gen. Döhmann, DSGVO (2019) Art 7 Rz 77). Ein Betroffener müsse sich der Tatsache bewusst sein, durch welche Handlung er eine rechtsverbindliche Einwilligung in eine Datenverarbeitung erteile (vgl. etwa Feiler/Schmitt in Petsche/Mair, Handbuch Compliance3 (2019) 183).

Die Beschwerdeführerin verweist dabei auch auf folgende Rechtsmeinungen: „Es müssen dabei aber nicht zwingend verschiedene Erklärungen abgegeben werden, auch mehrere rechtserhebliche Erklärungen sind - schon nach dem Konzept des Art 7 Abs 2 DSGVO - sogar in einem möglich, wenn der Erklärungsinhalt dabei klar erkennbar ist (vgl. etwa Taeger/Schweda, Die gemeinsam mit anderen Erklärungen erteilte Einwilligung, ZD 2020, 124 (126)).

Notwendig sei allerdings, dass der Einwilligungstext dabei so gestaltet sei, dass dieser vom restlichen Text der Erklärung abgesetzt sei (Heckmann/Paschke in Ehmann/Selmayr, DSGVO2 (2018) Art 7 Rz 79). Dafür wäre grundsätzlich bereits ein eigener Absatz ausreichend (Schwartmann/Klein in Schwartmann/Jaspers/Thüsing/Kugelmann, DSGVO/BDSG (2018) Art 7 Rz 27 mwN).“

Die Beschwerdeführerin weist insbesondere darauf hin, dass sich die Einwilligung ausdrücklich nur auf die Beschwerdeführerin und „ XXXX ", dessen XXXX der Nutzer erhalten habe, beziehe und nicht XXXX . Es sei einem Nutzer daher klar bewusst, XXXX ihm (neben der Beschwerdeführerin) personalisierte Werbung zukommen lasse.

Dass die belangte Behörde davon ausgehe, dass der Hinweis „ XXXX “ in kleiner Schriftgröße verfasst sei, sei schlicht falsch.

Es sei einem Bonusprogramm inhärent, dass gewisse Informationen von Teilnehmern gesammelt und im Gegenzug dafür Rabatte, Gutschriften und Aktionen zur Verfügung gestellt würden. Anders gesagt, sei dies einer der wesentlichen Beweggründe, warum Nutzer an einem Bonusprogramm wie dem der Beschwerdeführerin teilnehmen würden. Nutzer könnten bei der Beschwerdeführerin mit jedem Einkauf Punkte sammeln, diese an der Kassa einlösen oder in attraktive Prämien eintauschen. Über personalisierte Angebote könnten Nutzer Extra-Punkte sammeln. Darauf werde bei der Beschwerdeführerin in transparenter Weise hingewiesen (dazu gleich) und werde dies von den Nutzern sehr gerne angenommen und genutzt. Ein vergleichsweise schwerwiegender Eingriff, wie er von der Datenschutzbehörde behauptet werde, sei daher nicht erkennbar.

Die Beschwerdeführerin habe sich bewusst für die Konzeptionierung der Abgabe der Einwilligung in XXXX durch eine Unterschrift entschieden: Das Unterschriftsfeld solle gerade die Aufmerksamkeit auf die Abgabe der datenschutzrechtlichen Einwilligung lenken und eine wohlbedachte Entscheidung fördern und die Nutzer vor Übereilung schützen. Das Erfordernis der Unterschrift habe daher Warnfunktion. Gerade bei einem Unterschriftenfeld am Ende lese ein Nutzer aufmerksamer und genauer als etwa in der Mitte eines langen Fließtextes.

Wie ersichtlich, befinde sich die Unterschriftszeile innerhalb des XXXX , der ausschließlich die gegenständliche Einwilligungserklärung zum Thema habe. Somit sei bereits durch die grafische Gestaltung klar, dass die Unterschrift sich nur auf die Einwilligung in XXXX , wie im XXXX transparent beschrieben, beziehen könne. Schließlich sage auch die XXXX Überschrift am Formular „ XXXX “ nichts davon, dass die Anmeldung unterschrieben werden müsste - sondern eben bloß die Kästchen ausgefüllt und dann (das Formular) an der Kassa abgegeben werden solle.

Die Aussage der belangten Behörde, dass „die Gesamtkonzeption des Anmeldeformulars und die Platzierung des Unterschriftenfelds den Eindruck vermittle, dass es sich hierbei um eine Unterschrift zur Anmeldebestätigung zum Programm handle“, sei unbegründet und entspreche, wie gezeigt, auch nicht den Tatsachen.

Auch würden XXXX der Nutzer, die sich über das XXXX für das Programm der Beschwerdeführerin anmelden, bei der Registrierung keine datenschutzrechtliche Einwilligungserklärung abgeben.

Die belangte Behörde wies in ihrer Stellungnahme vom 09.09.2020 darauf hin, dass einer Durchschaubarkeit der Ersuchen um Einwilligung auch deshalb große Bedeutung zukomme, da die Beschwerdeführerin von XXXX Partnerunternehmen, bei denen eine betroffene Person potenziell einkaufe, Daten erhalte, um daraus ein Profil zu erstellen.

Wenn XXXX % der Kunden nicht dem Profiling zugestimmt hätten, bedeute dies nicht im Umkehrschluss, dass die übrigen XXXX % eine Einwilligungserklärung in voller Kenntnis der Sachlage abgegeben hätten. Es liege im Gegenteil an der Verantwortlichen - und nicht an der belangten Behörde - im Rahmen ihrer Rechenschaftspflicht gemäß Art. 5 Abs. 2 iVm Art. 24 Abs. 1 DSGVO, nachzuweisen, dass eine Einwilligung in jedem Fall in voller Kenntnis der Sachlage abgegeben worden sei.

Tatsächlich vertrete die belangte Behörde die Auffassung, dass es einem Bonusprogramm inhärent sei, dass im Gegenzug für die Zurverfügungstellung von gewissen Informationen Rabatte und Gutschriften gewährt würden; dies bedeute aber nicht, dass die Informationen, die von der betroffenen Person zur Verfügung gestellt würden, ohne weiteres für ein umfangreiches Profiling gemäß Art. 4 Z 4 DSGVO verwendet würden und dass die Anforderungen von Art. 4 Z 11 iVm Art. 7 DSGVO unterlaufen werden könnten.

In der mündlichen Verhandlung vor dem Bundesverwaltungsgericht wies die belangte Behörde überdies auf die Unklarheit der Überschrift hin und problematisierte bei diesem Anlass und auch in der Stellungnahme vom 01.12.2022 die Tatsache, dass sich die Einwilligung auf XXXX verschiedene Zwecke bezöge.

Das Bundesverwaltungsgericht hat dazu erwogen:

Zunächst ist der belangten Behörde dahingehend zu folgen, dass die Teilnahme an einem Kundenbindungsprogramm nicht bedeutet, dass die betroffene Person damit rechnen muss, dass ihre Daten für Profiling verwendet werden.

Weiters trifft zu, dass das Unterschriftsfeld am Ende des Formulars den Gesamteindruck erweckt, dass es sich um eine Unterschrift für die Teilnahme am Kundenprogramm handelt. Dazu trägt auch bei, dass das Feld mit einem XXXX und dem Vermerk „ XXXX “ versehen ist. Auch was den Abstand vom Text betrifft, so ist der belangten Behörde beizupflichten, dass der Eindruck, dass es sich um eine Unterschrift zum Programm handeln könnte, verstärkt wird. Daran ändert auch die Tatsache nichts, dass das Unterschriftsfeld in XXXX integriert ist.

Was den Vorwurf des „Kleingedruckten“ betrifft, so ist der Beschwerdeführerin beizupflichten, dass sich der Satz unter dem Unterschriftsfeld größenmäßig nicht vom übrigen Text unterscheidet.

Der OGH hat zum „Kleingedrucktem“ und „Fettgedrucktem“ als Standardinformationen Folgendes festgehalten:

„6. Auch der erkennende Senat schließt es nicht von Vornherein aus, dass die Standardinformationen auch im Kleingedruckten erteilt werden können, sofern sie den Anforderungen nach Klarheit, Prägnanz und Auffälligkeit genügen. Wie schon vom Berufungsgericht ausgeführt, kann das der Fall sein, wenn sämtliche Zahlen in Entsprechung dieser Anforderungen im Kleingedruckten enthalten sind, weil ihnen der Durchschnittsbetrachter dann in der Regel gleichwertige Aufmerksamkeit entgegenbringt. Werden aber nur einzelne – etwa die für den Verbraucher besonders vorteilhaften – Zahlen im „normalen“ Text, die übrigen Informationen aber im Kleingedruckten platziert, wird dieser Anforderung in der Regel nicht entsprochen, weil letztere dann per se weniger ins Auge fallen und ihnen daher für gewöhnlich weniger Aufmerksamkeit geschenkt wird. Das gilt umso mehr, wenn die im Normaltext präsentierten Zahlen blickfangartig hervorgestrichen werden, gilt aber auch selbst bei Hervorhebung einzelner Informationen innerhalb des Kleingedruckten (zB durch Fettdruck oä), wenn ihnen nach dem Gesamteindruck der Werbung nicht ein mit den im Normaltext platzierten Zahlen vergleichbarer Auffälligkeitswert zukommt.“ (9 Ob57/20b vom 25.11.2020).

Im vorliegenden Fall ist zwar der Text durchgängig klein gedruckt, jedoch sind einige Passagen unter dem Unterschriftsfeld fettgedruckt, nämlich „ XXXX “ und „ XXXX “. Dies war für den Durchschnittsnutzer, der das XXXX noch dazu häufig im Geschäft ausfüllte, irreführend, weil beim flüchtigen Lesen der Eindruck erweckt wird, dass das Formular ohne Unterschrift nicht wirksam ist. Auch entspricht es einer gängigen Vorgangsweise, dass bei Abschluss eines Vertrages dieser zu unterschreiben ist.

Insgesamt ist also daher der belangten Behörde beizupflichten, dass (bereits aus diesen formalen Gründen) die hier vorgesehene Einwilligung nicht den Kriterien des Art. 4 Z 11 DSGVO iVm Art. 7 Abs. 2 DSGVO entspricht.

Soweit von der belangten Behörde erst im Rahmen der mündlichen Verhandlung vor dem Bundesverwaltungsgericht vorgebracht wurde, dass auch die Überschrift der Einwilligungserklärung missverständlich sei und dass überdies nicht sämtlichen genannten Zwecken im Rahmen einer einzigen Einwilligungserklärung zugestimmt werden dürfe, ist zunächst festzuhalten, dass die belangte Behörde bereits im Rahmen ihres amtswegigen Prüfverfahrens die Gelegenheit gehabt hätte, diese behaupteten Mängel geltend zu machen – zumal sich der Text der Einwilligungserklärung nicht geändert hat.

Da „Sache“ des Verfahrens jedoch die Rechtmäßigkeit der Einwilligungserklärung ist, hat sich das Bundesverwaltungsgericht nunmehr auch mit diesen neu vorgebrachten Einwänden auseinanderzusetzen. Es ist der belangten Behörde dahingehend zuzustimmen, dass die Überschrift „ XXXX “ keinen Hinweis auf das Profiling der Kundendaten zum Zweck der interessensgerichteten Werbung, XXXX enthält.

Der belangten Behörde ist darin beizupflichten, dass die Überschrift der Einwilligungserklärung zu wenig aussagekräftig ist: Wesentlich ist an der vorgesehenen Datenverarbeitung, dass hier die Erstellung eines Kundenprofils (für die genannten Zwecke) stattfinden soll. Dies müsste für den Nutzer des Programms auch gleich in der Überschrift sichtbar und prominent erkennbar sein. Die weiteren Details können dann – so wie dies derzeit bereits der Fall ist – im Text der Einwilligungserklärung abgebildet werden.

Es war daher Neuformulierung der Spruchpunkte 1. und 2. im oben genannten Sinn vorzunehmen.

Soweit die belangte Behörde rügt, dass die Einwilligung sich auf XXXX verschiedene Zwecke beziehe, so ist dazu anzumerken, dass diese Zwecke – wie auch von der Beschwerdeführerin in der mündlichen Verhandlung dargestellt wurde – eng zusammenhängen. Dementsprechend ist nachvollziehbar und wird auch für rechtmäßig erachtet, dass in diesem Fall eine einzige Einwilligungserklärung für die genannten, eng miteinander verbundenen Zwecke eingeholt wird.

Dies ändert nichts daran, dass die genannten Zwecke im weiteren Text der Einwilligungserklärung deutlich und detaillierter darzustellen sind, was derzeit grundsätzlich der Fall ist. Zwar fehlt im Text der Einwilligungserklärung der (in der Datenschutzerklärung sehr wohl enthaltende) Zusatz, dass es bei dem dargestellten Profiling um den Zweck der „interessensgerichteten“ Werbung geht, dies könnte aber bereits durch die Überschrift durch den in Spruchpunkt 1. genannten Hinweis klargestellt werden.

3.3.2.6. Zur elektronischen Anmeldung und Einwilligung über Webseite XXXX

Aus dem festgestellten Sachverhalt ergibt sich, dass die Bestätigung der Anmeldung im Zusammenhang mit dem XXXX Button „ XXXX “, der sich am Ende des Online-Anmeldeprozesses befand, eine datenschutzrechtliche Einwilligung darstellt. Dies betrifft die oben genannten Datenverarbeitungen für Zwecke der Zustellung interessensgerichteter Werbung, XXXX

Wie die belangte Behörde zutreffend feststellte, gelten die bereits zum „ XXXX “ getätigten Ausführungen im Hinblick auf den hohen Maßstab an die Erfüllung der Kriterien von Art. 4 Z 11 und Art. 7 Abs. 2 DSGVO auch für das Ersuchen um Einwilligung im Rahmen des Anmeldeprozesses auf der Webseite XXXX .

Die belangte Behörde führt aus, dass auch bei diesem Ersuchen um Einwilligung nicht davon ausgegangen werden könne, dass ein Benutzer, der sich dem Anmeldeprozess mit durchschnittlicher Aufmerksamkeit widme, erkenne, dass es sich bei dem Drücken des XXXX Buttons „ XXXX “ um die Abgabe einer datenschutzrechtlichen Einwilligung handle

Weiters weist sie darauf hin, dass im Vorfeld eine (nicht zu beanstandende) Einwilligungserklärung zum XXXX -Newsletter in der Form eingeholt wurde, dass proaktiv eine Checkbox angekreuzt werden musste, die sich in räumlicher Nähe zur Überschrift „ XXXX “ befand.

Nicht nachvollziehbar sei, weshalb die Beschwerdeführerin im nächsten Schritt die Methode des Ersuchens um Einwilligung ändere und anstelle einer Checkbox (für die erste Einwilligungserklärung zum Newsletter der Beschwerdeführerin) ein Benutzer nunmehr lediglich zwei Buttons zur Auswahl habe, um eine zweite Einwilligungserklärung abzugeben.

Weiters könnten die bereits oben getroffenen Ausführungen und die dort zitierte Rsp betreffend einen „irreführenden Eindruck", der für einen Durchschnittsbenutzer entstehe, auch auf den Online- Anmeldeprozess übertragen werden, da gegenständlich eine ähnliche Problematik bestehe:

Erstens habe der XXXX Button eine Doppelfunktion und diene dabei gleichzeitig der Abgabe einer (datenschutzrechtlichen) Einwilligung sowie auch der Bestätigung der Anmeldung zum XXXX Programm.

In den Ausführungen des Generalanwalts zum Fall Planet 49 sei eine derartige Doppelfunktion einer datenschutzrechtlichen Einwilligung aber gerade ausdrücklich verneint und ausgeführt worden, dass „[...] die Teilnahme an dem Online-Gewinnspiel und die Erteilung der Einwilligung in die Setzung von Cookies nicht Teil derselben Handlung sein (können)“ (vgl. GA 21. März 2019, C-673/17 [Planet 49] Rn 89).

Zweitens könne aufgrund der Formulierung „ XXXX “ - trotz der Überschrift „ XXXX “, die zudem räumlich versetzt sei - objektiv betrachtet nicht davon ausgegangen werden, dass hiermit eine datenschutzrechtliche Einwilligung abgegeben werde.

Vielmehr sei davon auszugehen, dass ein Benutzer nicht unmissverständlich im Sinne der Anforderungen des Art. 4 Z 11 DSGVO eine datenschutzrechtliche Einwilligung abgegeben habe, da aufgrund der Doppelfunktion unklar bleibe, ob der Durchschnittsbenutzer nicht doch lediglich den Anmeldeprozess abschließen habe wollen Schließlich sei festzuhalten, dass die beiden Auswahlbuttons eine unterschiedliche Farbe aufweisen würden ( XXXX und XXXX ).

Die Beschwerdeführerin habe im Rahmen der mündlichen Verhandlung vom 18.06.2020 (Frage 35) selbst eingeräumt, dass diese Konzeption (die unterschiedliche Farbauswahl) dazu diene, die Personen zur Abgabe einer Einwilligung zu bewegen.

Nun sei davon auszugehen, dass eine unterschiedliche Farbe des Buttons für sich genommen noch keine Verletzung der in der DSGVO normierten Anforderungen darstelle; ebenso sei einzuräumen, dass die Beschwerdeführerin ein Ersuchen um Einwilligung freilich nicht derart gestalten müsse, dass dieses aus ihrer Sicht unvorteilhaft sei und objektiv betrachtet nie mit einer Einwilligung zu rechnen sei.

Im vorliegenden Fall werde aber eine ungleiche Situation geschaffen, da der XXXX Button in Kombination mit dem Text „ XXXX “ der jeweiligen Person Vorteile suggeriere, während der XXXX Button in Kombination mit dem Text „ XXXX “ das Gegenteil vermittle.

Es werde lediglich die Anmeldung in der Variante „ XXXX " in den Vordergrund gerückt und nicht ausreichend klargestellt, dass es sich bei dieser Option faktisch um die Abgabe einer datenschutzrechtlichen Einwilligung handle.

Eine derartige Konzeption könne nach Auffassung der Datenschutzbehörde im Übrigen auch nicht mit dem in Art. 5 Abs. 1 lit. a DSGVO normierten Grundsatz der Verarbeitung nach Treu und Glauben vereinbar sein.

Die Beschwerdeführerin wendet zusammengefasst ein, dass die Ausgestaltung (Checkbox oder Button) ihr vorbehalten sei und nicht der DSGVO widerspreche. Auch stelle die Farbe der Buttons – wie schon die belangte Behörde eingeräumt hatte – keinen Datenschutzverstoß dar.

Die Beschwerdeführerin wies weiters darauf hin, dass der hier vorliegende Sachverhalt sich anders gestaltete als jener, der dem EuGH-Urteil (Planet 49) zugrunde liege und dass die Doppelfunktion des Buttons hier nicht relevant sei, wenn noch ein anderer Button (nämlich der XXXX ) zur Verfügung stehe. Auch werde durch das Wort „ XXXX “ klargestellt, dass es sich hierbei um eine Einwilligungserklärung handle. Wenn sich die belangte Behörde an dem Ausdruck „ XXXX “ stoße, so sei dazu zu bemerken: Tatsächlich biete die Einwilligung in Werbung auch den Vorteil, dass die XXXX -Nutzer in diesem Fall von XXXX profitieren könnten. Durch XXXX erhielten die Nutzer speziell auf sie XXXX Aktionen und Angebote und könnten damit mehr bzw. schneller Punkte bei der Beschwerdeführerin sammeln.

Zudem könne der Nutzer ungeachtet des Faktums, dass er bei Abgabe der Einwilligungserklärung von weiteren Vorteilen profitieren könne, frei entscheiden, diese Vorteile nicht zu nutzen (und durch Klick auf den XXXX Button dann keine datenschutzrechtliche Einwilligungserklärung abgeben) und sei sich, wenn er den XXXX Button drücke, des Umstands klar bewusst, dass er durch Drücken des XXXX Buttons eine datenschutzrechtliche Einwilligung im genau über dem Button befindlichen Umfang abgebe. Dies werde auch durch die Datenlage bestätigt, wonach ca. XXXX der Nutzer, die sich über den Online-Anmeldeprozess für das Programm anmelden, bei der Registrierung keine datenschutzrechtliche Einwilligungserklärung abgeben würden (also auf den XXXX Button klicken würden).

Das Bundesverwaltungsgericht hat dazu Folgendes erwogen:

Zunächst trifft es zu, dass es der Beschwerdeführerin freisteht, Check-Boxen oder Buttons zur Einholung einer Einwilligungserklärung zu verwenden. Auch ist die Farbe der Buttons für sich alleine nicht relevant, wie auch die belangte Behörde einräumt. Weiters ist der Beschwerdeführerin zuzustimmen, dass der dem (inzwischen ergangenen) Urteil „Planet 49“ zu Grunde liegende Sachverhalt sich von dem hier vorliegenden unterscheidet, insbesondere zumal auf der Website der Beschwerdeführerin die Möglichkeit besteht, sich mit dem einen ( XXXX ) oder anderen ( XXXX ) Button anzumelden.

Es ist allerdings der belangten Behörde zu folgen, dass die Aufschrift des XXXX Buttons missverständlich ist, zumal nicht nur jene Kunden, die in den Datenabgleich einwilligen, sondern auch andere Kunden grundsätzlich XXXX und daher „ XXXX “.

In Anbetracht des oben dargelegten Maßstabs, der an Einwilligungserklärungen anzulegen ist, sowie der oben angeführten Judikatur des EuGH ist daher davon auszugehen, dass auch das Ersuchen um Einwilligung in Form des Bestätigens des XXXX Buttons „ XXXX “, der sich am Ende des Online-Anmeldeprozesses unter XXXX befindet, nicht den Anforderungen des Art. 4 Z 11 iVm Art. 7 Abs. 2 DSGVO entspricht:

Aufgrund der Formulierung „ XXXX “ kann nicht von einer „unmissverständlichen“ und „in voller Kenntnis der Sachlage“ erteilten Einwilligungserklärung ausgegangen werden und wird sich ein Durchschnittsbenutzer - aufgrund der obigen Überlegungen - gar nicht des Umstands bewusst sein, dass er durch Drücken des XXXX Buttons eine datenschutzrechtliche Einwilligung abgibt.

Auch ist aus dem Argument, dass XXXX der Kunden, die die Online-Anmeldung gewählt haben, nicht zugestimmt haben, nichts zu gewinnen, da dies nichts darüber aussagt, ob die anderen die Einwilligungserklärung korrekt verstanden haben.

Schließlich ist auch hier festzuhalten, dass die Überschrift „ XXXX “ zu kurz greift und dass der belangten Behörde dahingehend zu folgen ist, dass bereits „auf der ersten Ebene“ (vor Klicken des Links, der zu weiteren Informationen führt) grundsätzlich ersichtlich sein muss, worauf sich die Einwilligung bezieht. Wesentlich ist an der vorgesehenen Datenverarbeitung, dass hier auch die Erstellung eines Kundenprofils stattfinden soll. Dies müsste für den Nutzer des Programms auch gleich sichtbar und prominent erkennbar sein. Die weiteren Details können dann – so wie dies derzeit bereits der Fall ist – im Text der Einwilligungserklärung auf der zweiten Ebene abgebildet werden.

Die Formulierung der Spruchpunkte 1. und 2.im oben genannten Sinn bezieht sich daher auch auf die elektronische Einwilligungserklärung.

3.3.2.7. Zur Rechtmäßigkeit der Verarbeitung

Zur Einwilligung als Erlaubnistatbestand

Nach dem ausdrücklichen Wortlaut von Art. 7 Abs. 2 DSGVO sind Teile einer Einwilligungserklärung dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

Da die gegenständlich überprüften Ersuchen um Einwilligung unter Verwendung der Methoden i) physisches Anmeldeformular im „ XXXX “ und ii) Webseite XXXX wie oben ausgeführt - nicht den Anforderungen von Art. 4 Z 11 DSGVO und Art. 7 Abs. 2 DSGVO entsprechen, handelt es sich um ungültige Einwilligungserklärungen.

Die Voraussetzungen des Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sind somit nicht gegeben.

Zu sonstigen Erlaubnistatbeständen

Es stellt sich die Frage, ob im Falle der Ungültigkeit der Einwilligungserklärung ersatzweise eine andere Bedingung von Art. 6 Abs. 1 DSGVO herangezogen werden kann.

Diesbezüglich ist zunächst zu bemerken, dass sich die Beschwerdeführerin im Rahmen des gegenständlichen Verfahrens für die genannte Datenverarbeitung ausschließlich auf die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO gestützt hat.

Dies entspricht auch dem vorgelegten Verzeichnis von Verarbeitungstätigkeiten und der Datenschutz-Folgenabschätzung der Beschwerdeführerin, die gerade nur die Einwilligung und sonst keine andere Bedingung von Art. 6 Abs. 1 lit. a DSGVO für die gegenständlich relevante Verarbeitung angeführt haben.

Wie der VwGH inzwischen klargestellt hat, ist es Sache der belangten Behörde (und des nachprüfenden Gerichts) die Rechtmäßigkeit der Ausübung der durch Art. 58 Abs. f DSGVO eingeräumten Abhilfebefugnisse und damit verbunden die Frage, ob die betreffende Datenverarbeitung durch [Beschwerdeführerin] rechtmäßig im Sinne des Artikels 6 DSGVO erfolgte, zu überprüfen (vgl. Ro 2021/04/0033 vom 08.02.2022). Dasselbe gilt für Anweisungsbefugnisse iSd Art. 58 Abs. 2 lit. d DSGVO (Ra 2019/04/0055 vom 12.11.2021).

Soweit die Beschwerdeführerin behauptet, dass die von der Einwilligungserklärung umfassten Datenabgleiche sich auch auf die Bestimmungen des Art. 6 Abs. 1 lit. b oder f DSGVO gründen könnten, ist dazu Folgendes festzuhalten:

Bei den in Rede stehenden Datenverarbeitungen (die der Definition des „Profiling“ entsprechen) handelt es sich - wie die Beschwerdeführerin selbst ausführt – um freiwillige Zusatzangebote. Schon daraus erhellt, dass diese nicht für die Vertragserfüllung notwendig sind, da sie für die vertragliche Erfüllung des Kundenbindungsprogramms der Beschwerdeführerin nicht erforderlich sind. Insofern scheinen die Ausführungen in der Stellungnahme der Beschwerdeführerin vom 16.08.2021, Seite 5, widersprüchlich zu sein.

Die belangte Behörde führte weiters in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht aus, dass in den Schlussanträgen des Generalanwalts in der Sache Bundeskartellamt die Auffassung vertreten werde, dass sich Facebook für die personalisierte Werbung nicht auf die Vertragserfüllung stützen könne.

Diese Sichtweise wird auch vom Europäischen Datenausschuss gestützt, der in seinen „Leitlinien 2/2019 für die Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Erbringung von Online-Diensten für betroffene Personen“ ausführt:

„Verträge für digitale Dienste können ausdrückliche Klauseln enthalten, die unter anderem zusätzliche Bedingungen für Werbung, Zahlungen oder Cookies festlegen. Ein Vertrag kann die Kategorien personenbezogener Daten und die Arten von Verarbeitungsvorgängen, die der Verantwortliche ausführen muss, um einen Vertrag im Sinne von Artikel 6 Absatz 1 Buchstabe b zu erfüllen, nicht künstlich erweitern. 32. Der Verantwortliche sollte in der Lage sein, die Erforderlichkeit der Datenverarbeitung unter Bezugnahme auf den grundlegenden und einvernehmlich anerkannten Vertragszweck zu begründen. Dies hängt nicht nur von der Sicht des Verantwortlichen, sondern auch von einer angemessenen Sicht der betroffenen Person beim Abschluss des Vertrags ab sowie von der Frage, ob der Vertrag ohne die fragliche Verarbeitung noch als „erfüllt“ gelten kann. Auch wenn der Verantwortliche selbst annimmt, dass sie Verarbeitung zur Erfüllung des Vertragszwecks erforderlich ist, ist es wichtig, auch die Perspektive einer durchschnittlichen betroffenen Person sorgfältig zu prüfen, um sicherzustellen, dass ein echtes gegenseitiges Verständnis über den vertraglichen Zweck besteht.

[…]

Beispiel 2

Derselbe Online-Einzelhändler möchte auf der Grundlage der Besuche der Nutzer auf der Website Profile ihrer Vorlieben und ihres Lebensstils erstellen. Der Abschluss eines Kaufvertrags hängt nicht von der Erstellung solcher Profile ab. Selbst wenn die Profilerstellung im Vertrag ausdrücklich erwähnt wird, macht dieser Umstand allein sie nicht für die Erfüllung des Vertrags „erforderlich“. Wenn der Online-Einzelhändler ein solches Profiling vornehmen möchte, muss er sich auf eine andere Rechtsgrundlage stützen.“

Somit kann die Verarbeitung für „ XXXX “ bzw. „ XXXX “ nicht auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden.

Soweit behauptet wird, Art. 6 Abs. 1 lit. f DSGVO könnte eine geeignete Rechtsgrundlage darstellen, so sind hier die berechtigten Interessen der Beschwerdeführerin bzw. ihrer Partnerunternehmen gegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, abzuwägen.

Selbst wenn man davon ausginge, dass die „Rabatte“ bei der Preisgestaltung nicht schon „eingepreist“ wären, wie die belangte Behörde vorbringt, kann nicht davon ausgegangen werden, dass die betroffenen Personen grundsätzlich „zwangsbeglückt“ werden und mit ihren Daten quasi dafür „bezahlen“ wollen. Bei den durchgeführten Datenabgleichen handelt es sich um „Profiling“ iSd DSGVO und schon deshalb um nicht unerhebliche Eingriffe in die Grundrechte und Grundfreiheiten der betroffenen Personen. Es ist daher von einem Interesse der betroffenen Personen auszugehen, nicht einem Profiling unterworfen zu werden, das die berechtigten Interessen der Beschwerdeführerin oder allfälliger Dritter überwiegt.

Davon abgesehen, dass andere Rechtsgrundlagen nicht geltend gemacht wurden, sind solche auch nicht erkennbar. Somit stehen die in Rede stehenden Datenverarbeitungen nicht mit der DSGVO in Einklang.

3.3.2.7. Zur Untersagung der Verwendung der Einwilligungserklärungen (neuer Spruchpunkt 1):

Nach Art. 58 Abs. 2 lit. f DSGVO kann eine Aufsichtsbehörde gegen den Verantwortlichen „[...] eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots“ verhängen.

Zur Abhilfebefugnis gemäß Art. 58 Abs. 2 lit. f DSGVO ist allgemein festzuhalten, dass dies auch die Befugnis umfasst, den Verantwortlichen anzuweisen, Ersuchen um Einwilligungen nicht mehr zu verwenden.

Dies ergibt sich u.a. aus dem Umstand, dass auch das Ersuchen um Einwilligung (also die Erhebung der Information, ob ein Betroffener eine Einwilligung abgeben will) eine „Verarbeitung“ im Sinne des Art. 4 Z 2 DSGVO ist (vgl. zum weiten Begriffsverständnis des sachlichen Anwendungsbereichs des insofern vergleichbaren Art. 2 lit. b der Richtlinie 95/46/EG das Urteil des EuGH vom 20. Dezember 2017, C-434/16 [Nowak] Rn 33 und die dort angeführte Rsp).

Wie oben ausgeführt, entsprechen die Ersuchen um Einwilligung, die unter Verwendung der Methoden i) physisches Anmeldeformular im „ XXXX “ und ii) Webseite XXXX eingeholt wurden und die als Erlaubnistatbestand für die Datenverarbeitung der Beschwerdeführerin für genannten Zwecke herangezogen werden, nicht den in der DSGVO normierten Anforderungen.

Der Beschwerdeführerin war daher die Verwendung dieser Ersuchen in dieser Form – wie sie zum Zeitpunkt der Bescheiderlassung der belangten Behörde vorlagen – zu untersagen.

Zwar steht es der Beschwerdeführerin frei, unter Berücksichtigung der im gegenständlichen Bescheid getroffenen Ausführungen der Datenschutzbehörde neue Einwilligungserklärungen zu konzipieren bzw. die Überschrift der inzwischen neu gestalteten Einwilligungserklärungen zu adaptieren und damit den in der DSGVO normierten Anforderungen vollständig entsprechen. Eine diesbezügliche Änderung kann jedoch nur mit Wirkung ex nunc (also für die Datenverarbeitung von Personen, die sich neu beim Programm registrieren bzw. für die Bestätigungen der bereits erfolgten – mangelhaften - Einwilligungserklärungen) erfolgen.

Wenngleich die Beschwerdeführerin ausgeführt hat, dass sie die Einwilligungserklärungen nicht mehr in der zum Zeitpunkt der Bescheiderlassung vorliegenden Form verwendet, so hat sie wiederholt angemerkt, dass sie die inzwischen verwendete Einwilligungserklärung lediglich aus Gründen der „Vorsicht“ verwendet. Überdies hat die Beschwerdeführerin in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht ausgeführt, dass XXXX .

Im Lichte dessen ist eine weitere Untersagung von Verarbeitungen auf der Grundlage von Einwilligungserklärungen, die den „alten“ Erklärungen entsprechen, gerechtfertigt (siehe dazu auch VwGH Ro 2021/04/0007 vom 14.12.2021, Rz 54)

3.3.2.8. Untersagung der gegenständlichen Verarbeitung von personenbezogenen Daten von den bereits am XXXX -Programm registrierten betroffenen Personen (neuer Spruchpunkt 2)

Auch wenn die Beschwerdeführerin die Einwilligungserklärungen – wie oben erwähnt - nicht mehr in der zum Zeitpunkt der Bescheiderlassung vorliegenden Form verwendet, werden dennoch nach den Angaben der Beschwerdeführerin in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht teilweise noch aufgrund der alten eingeholten Einwilligungserklärungen Verarbeitungen durchgeführt.

Da es im vorliegenden Fall für die genannte Verarbeitung an einer Rechtsgrundlage gemäß Art. 6 DSGVO mangelt, waren auch die Verarbeitungen zu untersagen, die aufgrund einer bereits erfolgen (mangelhaften) Einwilligung durchgeführt werden.

Das gemäß Art. 58 Abs. 2 lit. f DSGVO verhängte Verbot bezieht sich nur auf die bisherige Verarbeitung von Daten jener Kunden, die mittels der mangelhaften Einwilligungserklärungen zugestimmt haben und die ihre Einwilligung zu genannten Verarbeitungen nicht durch eine neuerliche Einwilligung bekräftigt haben.

Dazu ist Folgendes festzuhalten: Zwar ist es richtig, dass die per E-Mail verschickten Einwilligungserklärungen noch die nicht genügend aussagekräftige Überschrift enthalten und auch durch den Titel des E-Mails „ XXXX !“ nicht wirklich Klarheit geschaffen wird; allerdings ist davon auszugehen, dass durch den Umstand, dass eine Einwilligungserklärung nochmals geschickt wird, auch ein „Durchschnittsnutzer“ soweit sensibilisiert wird, dass er sich die Einwilligungserklärung durchlesen wird. Insofern scheint es nicht erforderlich, einen dritten Einwilligungsvorgang durchzuführen, sondern ist davon auszugehen, dass die verständigten Nutzer nunmehr freiwillig und informiert in die Datenverarbeitungen eingewilligt haben. Daran ändert auch die von der belangten Behörde monierte „große und prominente Platzierung des Einwilligungs-Buttons“ nichts.

3.3.2.9. Setzung einer Frist für die Umsetzung der Unterlassung (neuer Spruchpunkt 3.)

Es ist davon auszugehen, dass für die Umsetzung der Unterlassung der Verwendung der nicht DSGVO-konformen Einwilligungserklärung mit einer Frist von vier Monaten das Auslangen gefunden werden kann und insbesondere die Einholung einer weiteren Bestätigung der Einwilligung innerhalb dieser Frist zu bewerkstelligen sein wird.

Eine länger als vier Monate andauernde Frist, innerhalb derer personenbezogene Daten letztlich ohne Rechtsgrundlage im Umfang von Spruchpunkt 2. verarbeitet werden, ist auch nach Ansicht des Bundesverwaltungsgerichts nicht gebührend und auch nicht mit dem Grundsatz der Rechtmäßigkeit der Verarbeitung nach Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 DSGVO vereinbar.

Das Bundesverwaltungsgericht geht davon aus, dass die Beschwerdeführerin spätestens nach Ablauf dieser Frist ihre auf mangelhaften Einwilligungen basierenden Verarbeitungen auf der Basis von DSGVO-konformen Einwilligungserklärungen fortführen wird.

3.3.2.11. Zur Frage „Verwarnung statt Verbot“

Die Beschwerdeführerin bringt vor, es sei eine Verwarnung anstatt eines Verbotes auszusprechen gewesen.

Wie das Bundesverwaltungsgericht bereits ausgesprochen hat, ist ein Vorrang des Vorgehens nach § 11 zweiter Satz DSG nicht geboten, insbesondere da für die Einschränkung bzw. Festlegung der Vorgehensweise für die Inanspruchnahme der Abhilfebefugnisse keine Öffnungsklausel in der DSGVO vorhanden ist (vgl. BVwG W211 2217212-1/9E vom 02.03.2020).

Zudem bezieht sich - selbst wenn man die unionsrechtliche Konformität von § 11 DSG annehmen sollte - die genannte Bestimmung nur auf den Fall, dass die belangte Behörde eine Verwarnung anstelle einer Geldbuße gemäß Art. 83 DSGVO aussprechen möge.

Im Übrigen bezieht sich das in Spruchpunkt 1. und 2. ausgesprochene Verbot nur auf die Verwendung der ungültigen Einwilligungserklärungen und steht es der Beschwerdeführerin frei, die inzwischen verwendeten Einwilligungserklärungen im notwendigen Maß zu adaptieren.

Das in den neuen Spruchpunkten 1. und 2. ausgesprochene Verbot war zu verhängen, da eine Datenverarbeitung, die auf Grundlage der ungültigen Einwilligungserklärungen beruht, sofern nicht eine neue Einwilligung eingeholt wird, nicht im Einklang mit der DSGVO steht.

3.2.3.11. Zur behaupteten Verletzung von Verfahrensvorschriften:

Zunächst ist anzumerken, dass die belangte Behörde der Beschwerdeführerin zweimalig die Möglichkeit der Abgabe einer schriftlichen Stellungnahme eingeräumt hat sowie eine mündliche Verhandlung zu allen gegenständlich relevanten Fragen durchgeführt wurde.

Die belangte Behörde wies darauf hin, dass der Umstand, welche Partnerunternehmen am Programm teilnehmen, ebenso erörtert worden sei. Es könne darauf geschlossen werden, dass jene Kunden, die bei diesen Partnerunternehmen (insbesondere die Partnerunternehmen vor Ort, bei denen es sich großteils um Handelsunternehmen wie etwa XXXX oder XXXX handle) einkaufen, auch der Adressdatenkreis des XXXX -Programms seien.

Was die Frage des „Durchschnittsbenutzers“ oder „Durchschnittskunden“ betrifft, so ist auf die rechtlichen Ausführungen in Punkt 3.3.2.4 zu verweisen.

Wie die belangte Behörde zutreffend ausführt, handelt es sich bei der Frage, von welchem Maßstab bzw. welchen Kenntnissen bei einem sich beim Programm registrierenden Kunden auszugehen ist („Durchschnittsbenutzer"), um eine Rechtsfrage (vgl. anstelle vieler das Erkenntnis des VwGH vom 21. November 2018, Ra 2017/17/0042, RS-Nr. 1, wonach Rechtsfragen nicht dem Parteiengehör unterliegen).

Schließlich ist anzumerken, dass das Bundesverwaltungsgericht eine (weitere) mündliche Verhandlung durchgeführt hat, in der alle wichtigen Fragen erörtert wurden, sodass selbst bei Vorliegen eines fehlenden Parteiengehörs dieser Mangel saniert wäre (VwGH Ra 2019/06/0011 vom 26.02.2019 und viele andere).

3.4. Zu B) Zulässigkeit der Revision

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist zulässig, weil Rechtsfragen zu lösen waren, denen grundsätzliche Bedeutung im Sinne des Art 133 Abs. 4 B-VG zukommen. So fehlt es an Rechtsprechung des Verwaltungsgerichtshofs zur Gestaltung einer Einwilligungserklärung nach der DSGVO.

3.5. Es war daher spruchgemäß zu entscheiden.