BVwG W258 2227269-1

Spruch:

W258 2227269-1/39E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch den Richter Mag. Gerold PAWELKA-SCHMIDT als Vorsitzenden und die fachkundigen Laienrichterin Mag.a Julia Maria WEISS als Beisitzerin und den fachkundigen Laienrichter Gerhard RAUB als Beisitzer über die Beschwerde der XXXX , vertreten durch Schönherr Rechtsanwälte GmbH, 1010 Wien, gegen die Spruchpunkte I., II.a), IV., V. und VI. des Straferkenntnisses der Datenschutzbehörde vom 23.10.2019, GZ XXXX , nach Durchführung einer mündlichen Verhandlung am 20.11.2024 und 28.11.2024, im Umlaufweg zu Recht erkannt:

A)

Der Beschwerde wird teilweise Folge gegeben und

I.) das Verfahren hinsichtlich des Spruchpunktes II.a., soweit es sich auf die Umzugshäufigkeit bezieht, gemäß § 45 Abs 1 Z 1 2. Fall VStG eingestellt,

II.) der Tatzeitraum zu II. eingeschränkt auf: „ab 25.05.2018 bis Februar 2019“ sowie

III.) die Geldbuße gemäß § 30 DSG auf

EUR 16.000.000 (in Worten: sechzehn Millionen Euro)

und

III.) die Verfahrenskosten gemäß § 64 Abs 2 VStG auf EUR 1.600.000 (in Worten: eine Million und sechshunderttausend Euro) herabgesetzt.

III.) Im Übrigen wird das angefochtene Straferkenntnis mit der Maßgabe bestätigt, dass es zu lauten hat

a) in Spruchpunkt

I.

„Sie hat im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“ für ihr Produkt „DAM-Zielgruppenadressen“ die Wahrscheinlichkeit, mit der sich eine natürliche Person für Wahlwerbung einer bestimmten Partei interessiert („ XXXX -Affinitäten“) verarbeitet, nämlich für die in ihrer DAM-Datenbank enthaltenen natürlichen Personen berechnet, ihnen zugeordnet und gespeichert und verkauft, letzteres um es Dritten zu ermöglichen, Streuverluste in der Werbung zu verringern, nämlich

a) zugeordnet und gespeichert bis zum 21.02.2019 für etwa XXXX natürliche Personen und

b) bis zum 30.06.2018 berechnet für und verkauft an die XXXX hinsichtlich aller in a) genannten Daten und bis zum 21.02.2019 an den XXXX und die XXXX hinsichtlich aller in a) genannten Daten eingeschränkt auf natürliche Personen mit Adressen in XXXX .“,

II.a)

„1.) Sie hat für ihr Produkt „DAM-Zielgruppenadressen“ hinsichtlich der in ihrer DAM-Datenbank enthaltenen Personen zumindest eine Liste der empfangenen Pakete samt dem Zeitpunkt ihres Empfangs aus dem Geschäftsbereich der Paketzustellung übernommen („Kennzahlen“) und daraus die Paketfrequenz der jeweiligen Person berechnet, dh die Anzahl der Pakete, welche die Person in einem bestimmten Zeitraum empfangen hat, und in Folge die Daten anonymisiert, um daraus ein Hochrechnungsmodell für Marketingzwecke zu erstellen.

2.) Hinsichtlich des Vorwurfs, sie habe im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“ die „Umzugsaffinität“, bzw die zu ihrer Berechnung verwendete „Umzugshäufigkeit“, unrechtmäßig verarbeitet, wird das Verfahren gemäß § 45 Abs 1 Z 1 2. Fall VStG eingestellt.“ und

VI.)

„Sie hat es unterlassen, ein mangelfreies Verzeichnis von Verarbeitungstätigkeiten zur Anwendung „DAM–Zielgruppenadressen“ zu erstellen, indem sie es unterlassen hat, darin eine ausreichende Beschreibung der Datenkategorie „Marketing“ aufzunehmen, nämlich

„MARKETING, wie Teilzahler, Kundenkarten, Schnäppchenjäger, Tierliebhaber, Sport, Sinus Milieu, Neurotypen, Reisen, Bio, Nachtschwärmer, Freizeitgriller, Paket Score, Heimwerker, Onlinekäufer, Brand, Style High Fashion, Lebensphase, XXXX -Affinität, Einkommen, Kaufkraft, Landwirtschaft, Anzahl Kinder, Baby, Kleinkind, Kind, Schulkind, Jugendliche, Familienstand“;“

sowie

b) in den verletzten Rechtsvorschriften zu den Spruchpunkten:

I. “Art 5 Abs 1 lit a iVm Art 9 Abs 1 iVm Art 83 Abs 5 lit a DSGVO",

II.a.1.): „Art 5 Abs 1 lit a 2. und 3. Fall iVm Art 83 Abs 5 lit a DSGVO, Art 5 Abs 1 lit b iVm Art 6 Abs 4 iVm Art 83 Abs 5 lit a DSGVO“,

IV.: „Art 35 Abs 3 lit b iVm Art 35 Abs 7 lit c iVm Art 83 Abs 4 lit a DSGVO“ und

V. und VI.: „Art 30 Abs 1 lit c DSGVO iVm Art 83 Abs 4 lit a DSGVO".

B)

Die Revision ist gemäß Art 133 Abs 4 B-VG zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

1. Auf Grund von Medienberichten über den angeblichen Verkauf personenbezogener Daten, insbesondere von Informationen über die „politische Affinität“ bestimmter Personen, hat die belangte Behörde am 08.01.2019 ein amtswegiges Prüfverfahren gegen die Beschwerdeführerin eingeleitet, das mit Bescheid vom 11.02.2019 zur GZ DSB- XXXX beendet worden ist.

2. Aufgrund der Ermittlungsergebnisse des amtswegigen Prüfverfahrens leitete die belangte Behörde ein Verwaltungsstrafverfahren gegen die Beschwerdeführerin ein und hat ihr mit Aufforderung zur Rechtfertigung vom 20.02.2019 die folgenden Verwaltungsübertretungen zu Last gelegt: Die Beschwerdeführerin stehe im Verdacht

1. besondere Kategorien personenbezogener Daten gemäß Art 9 DSGVO („ XXXX affinitäten“) im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“ unrechtmäßig verarbeitet zu haben, indem sie keine Einwilligung der betroffenen Personen eingeholt habe und die Datenverarbeitung auch sonst auf keinen der in Art 9 DSGVO abschließend aufgezählten Tatbestände gestützt werden könne,

2. personenbezogene Daten wie bspw.

‒ Spendenaffinität

‒ Bioaffinität

‒ Partnerschaft

‒ Jahreseinkommen

‒ Erwerbsart

‒ Qualifikation

‒ Konsumorientierte Basis

‒ Nachtschwärmer

‒ Paketfrequenz (Anzahl der Pakete in einem bestimmten Zeitraum)

‒ Umzugsaffin

‒ Investmentaffin

‒ Lebensphase

im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“ unrechtmäßig verarbeitet zu haben (Speicherung und Verkauf an Dritte), indem sie keine Einwilligung der betroffenen Personen eingeholt habe und die Datenverarbeitung auch sonst auf keinen der in Art 6 Abs 1 DSGVO abschließend aufgezählten Rechtmäßigkeitstatbestände gestützt werden könne,

3. dadurch gegen ihre Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung betreffend die Anwendung „DAM-Zielgruppenadressen“ (Anm.: DAM steht für Daten- und Adressmanagement) verstoßen zu haben, indem die Datenschutz-Folgenabschätzung entgegen den zeitlichen Angaben in der Datenschutz-Folgenabschätzung nicht im Zeitraum März bis Juni 2018, sondern zu einem späteren Zeitpunkt, jedenfalls aber nach dem 25.05.2018, durchgeführt worden sei,

4. die Datenschutz-Folgenabschätzung zur Anwendung „DAM – Zielgruppenadressen“ fehlerhaft erstellt zu haben, weil in ihr die Verarbeitung von besonderen Kategorien personenbezogener Daten verneint werde, obwohl laut Anhang 2D die „ XXXX affinität“ errechnet werde, und als Ergebnis das Vorliegen eines hohen Risikos daher jedenfalls verneint werde,

5. das Verzeichnis zur Verarbeitungstätigkeit „DAM – Zielgruppenadressen“ fehlerhaft erstellt zu haben, weil darin

‒ a. eine Verarbeitung besonders schutzwürdiger Daten, darunter auch die politische Meinung, sowie

‒ b. eine umfangreiche Verarbeitung von sensiblen Daten

verneint werde,

6. das Verzeichnis zur Verarbeitungstätigkeit „DAM – Zielgruppenadressen“ mangelhaft erstellt zu haben, weil darin nicht alle tatsächlich verarbeiteten Datenkategorien angeführt seien,

7. die Vornahme einer Konsultation gemäß Art 36 DSGVO unterlassen zu haben und

8. ihre Pflichten nach Art 14 DSGVO nicht erfüllt zu haben, indem sie Betroffene nicht im erforderlichen Ausmaß darüber informiert habe, welche nicht direkt beim Betroffenen erhobenen Daten von wem und auf welche Weise erhoben und im Anschluss an Dritte übermittelt – bspw. verkauft oder auf andere Weise zur Verfügung gestellt – werden,

sohin Verwaltungsübertretungen gemäß

Zu 1): Art 5 Abs 1, Art 9 iVm Art 83 Abs 5 lit a DSGVO

Zu 2): Art 5 Abs 1, Art 6 Abs 1 iVm Art 83 Abs 5 lit a DSGVO

Zu 3) + 4): Art 35 iVm Art 83 Abs 4 lit a DSGVO

Zu 5 + 6): Art 30 iVm Art 83 Abs 4 lit a DSGVO

Zu 7): Art 36 iVm Art 83 Abs 4 lit a DSGVO

Zu 8): Art 14 iVm Art 83 Abs 5 lit b DSGVO

begangen zu haben.

3. Nach Durchführung eines Beweisverfahrens und einer mündlichen Verhandlung am 23.09.2019 sprach die die belangte Behörde mit Straferkenntnis vom 23.10.2019 aus,

die Beschuldigte habe als Verantwortliche im Sinne des Art 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016, S 1, Folgendes zu verantworten:

zu I.: von 25.05.2018 bis 21.02.2019,

zu II.: ab dem 25.05.2018,

zu IV.: ab dem 25.05.2018,

zu V.: ab dem 25.05.2018 und

zu VI.: ab dem 25.05.2018,

I. die unrechtmäßige Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art 9 DSGVO („ XXXX affinitäten“) im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“; dies, indem keine Einwilligung der betroffenen Personen eingeholt wurde und die Datenverarbeitung auch sonst auf keinen der in Art 9 DSGVO abschließend aufgezählten Tatbestände gestützt werden kann;

II.

a) die unrechtmäßige Weiterverarbeitung personenbezogener Daten, namentlich die Anzahl empfangener Pakete während eines bestimmten Zeitraumes (Paketfrequenz) und die Häufigkeit von Umzügen betroffener Personen im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“; dies, indem keine Einwilligung der betroffenen Personen eingeholt wurde und die Datenverarbeitung auch sonst auf keinen der in Art 6 Abs 1 DSGVO abschließend aufgezählten Rechtmäßigkeitstatbestände gestützt werden kann und die Daten betreffend die Paketfrequenz und die Umzugshäufigkeit einer nicht von Art 6 Abs 4 DSGVO gedeckten Zweckänderung zugeführt wurden;

IV. die Fehlerhaftigkeit der Datenschutz-Folgenabschätzung zur Anwendung „DAM – Zielgruppenadressen“, da in dieser die Verarbeitung von besonderen Kategorien personenbezogener Daten verneint worden sei, obwohl die „ XXXX affinität“ errechnet und verarbeitet worden sei, und dennoch im Ergebnis das Vorliegen eines hohen Risikos jedenfalls verneint worden sei,

V. die Fehlerhaftigkeit des Verzeichnisses zur Verarbeitungstätigkeit „DAM – Zielgruppenadressen“, da laut diesem

a) eine Verarbeitung besonders schutzwürdiger Daten, darunter auch die politische Meinung, sowie

b) eine umfangreiche Verarbeitung von sensiblen Daten verneint werde und

VI. die Mangelhaftigkeit des Verzeichnisses zur Verarbeitungstätigkeit „DAM – Zielgruppenadressen“, da darin nicht alle tatsächlich verarbeiteten Datenkategorien angeführt worden seien und dieses sohin nicht ausreichend detailliert erstellt worden sei.

Das pflichtwidrige Verhalten werde der juristischen Person XXXX zugerechnet, weil die für die Zuwiderhandlungen verantwortlichen natürlichen Personen zu der wirtschaftlichen Einheit gehören würden, die durch die Verantwortliche als juristische Person gebildet werde.

Die Verantwortliche habe dadurch folgende Rechtsvorschrift(en) verletzt:

Zu I.: Art. 5 Abs. 1 lit. a, Art. 9 iVm Art. 83 Abs. 5 lit. a DSGVO

Zu II.a): Art. 5 Abs. 1 lit. a und lit. b, Art. 6 Abs. 1 und Abs. 4 iVm Art. 83 Abs. 5 lit. a DSGVO

Zu IV.: Art. 35 iVm Art. 83 Abs. 4 lit. a DSGVO

Zu V. und VI.: Art. 30 iVm Art. 83 Abs. 4 lit. a DSGVO.

Über sie werde daher gemäß Art 83 Abs 5 lit a DSGVO eine Geldbuße in Höhe von XXXX verhängt und der Ersatz der Verfahrenskosten in Höhe von XXXX auferlegt.

Hingegen werde das Verfahren in Bezug auf den Tatvorwurf,

II b) der unrechtmäßigen Verarbeitung durch die Speicherung und den Verkauf personenbezogener Daten der Kategorien

- Spendenaffinität

- Bioaffinität

- Partnerschaft

- Jahreseinkommen

- Erwerbsart

- Qualifikation

- Konsumorientierte Basis

- Nachtschwärmer

- Investmentaffinität

- Lebensphase,

III. die Beschuldigte habe dadurch gegen ihre Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung betreffend die Anwendung „DAM-Zielgruppenadressen“ verstoßen, indem die Datenschutz-Folgenabschätzung nicht im Zeitraum März bis Juni 2018, sondern zu einem späteren Zeitpunkt, jedenfalls aber nach dem 25. Mai 2018, durchgeführt wurde,

VII. wonach die Beschuldigte die Vornahme einer Konsultation gemäß Art 36 DSGVO (zu Unrecht) unterlassen habe,

VIII. wonach die Beschuldigte ihre Pflichten nach Art. 14 DSGVO nicht erfüllt habe, indem sie Betroffene nicht im erforderlichen Ausmaß darüber informiert habe, welche nicht direkt beim Betroffenen erhobenen Daten von wem und auf welche Weise erhoben und im Anschluss an Dritte übermittelt – bspw. verkauft oder auf andere Weise zur Verfügung gestellt – werden,

jeweils gemäß § 45 Abs. 1 Z 1 (1. Fall) VStG eingestellt.

4. Gegen dieses Erkenntnis wendet sich die gegenständliche Beschwerde vom 25.11.2019 wegen Feststellungsmängeln, unrichtiger rechtlicher Beurteilung, rechtswidriger Verschuldenszumessung und Bemessung der Strafhöhe und beantragte mit näherer Begründung das Straferkenntnis ersatzlos zu beheben und das Verfahren gemäß § 38 VwGVG iVm § 45 Abs 1 VStG einzustellen, in eventu das Verfahren gemäß § 38 VwGVG iVm § 45 Abs 1 Z 4 VStG iVm § 11 DSG unter Erteilung einer Verwarnung oder iVm § 33a VStG durch Beratung oder iVm § 45 Abs 1 Z 1 VStG unter Ermahnung einzustellen in eventu die Strafhöhe auf ein tat- und schuldangemessenes Maß herabzusetzen. Ua sei es für die Verhängung einer Geldbuße nach der DSGVO gegen eine juristische Person, wie der Betroffenen, nicht ausreichend, einen Straftatbestand zu erfüllen, es muss ihr als juristische Person, die nicht selbst handeln kann, auch das Handeln einer natürlichen Person zugerechnet werden. Diese gemäß § 30 DSG vorzunehmende Zurechnung habe die belangte Behörde unterlassen.

5. Mit Aktenvorlage vom 07.01.2020, hg eingelangt am 09.01.2020, legte die belangte Behörde dem Bundesverwaltungsgericht die Beschwerde unter Anschluss des Verwaltungsakts vor, bestritt das Beschwerdevorbringen und beantragte unter näherer Begründung die Beschwerde abzuweisen. Ua führte die belangte Behörde aus, da es sich bei Geldbußen nach DSGVO um ein Verbandsverantwortlichkeitsmodell eigener Art handle, durch das grundrechtlich geforderte Verfahrensgarantien nicht geschmälert werden würden, bliebe für eine Zurechnungsregelung wie § 30 DSG kein Raum.

6. Mit Erkenntnis des Bundesverwaltungsgerichtes vom 26.11.2020, W258 2227269-1/14E wurde der Beschwerde Folge gegeben, das angefochtene Straferkenntnis behoben und das Verfahren gemäß § 45 Abs 1 Z 3 VStG eingestellt. Begründend führte das Bundesverwaltungsgericht unter Verweis auf VwGH 12.05.2020, Ro 2019/04/0229, aus, dass die belangte Behörde weder im verwaltungsbehördlichen Beweisverfahren noch im Spruch eine natürliche Person benannt habe, deren Verhalten der Beschwerdeführerin zugerechnet werden hätte sollen. Auch in der Begründung des Straferkenntnisses werde kein tatbestandsmäßiges, rechtswidriges und schuldhaftes Verhalten einer natürlichen Person dargelegt, das der juristischen Person zugerechnet werden soll. Allerdings sei nach der Rechtsprechung des VwGH, wenn sich der Tatvorwurf gegen die Beschwerdeführerin als juristische Person richte – wegen der Abhängigkeit der Strafbarkeit der juristischen Person von der Übertretung der ihr zurechenbaren natürlichen Person – darin auch der Vorwurf gegen die darin zu nennende natürliche Person enthalten. Das Straferkenntnis sei deshalb zu beheben gewesen.

7. Mit Erkenntnis des Verwaltungsgerichtshofes vom 01.02.2024, Ra 2020/04/0187 wurde dieses Erkenntnis wegen Rechtswidrigkeit des Inhalts aufgehoben. Der VwGH führte in seiner Begründung aus, dass das BVwG zwar grundsätzlich im Einklang mit der Rechtsprechung des VwGH die aus dem nationalen Recht (dem VStG) abgeleitete Vorgabe, wonach für eine Verhängung einer Geldbuße nach der DSGVO über eine juristische Person im Spruch des Straferkenntnisses alle notwendigen Elemente für eine Bestrafung der natürlichen Person aufzunehmen seien angewendet habe. Allerdings habe der EuGH mit Urteil vom 05.12.2023, C-807/21, Deutsche Wohnen zwischenzeitlich ausgesprochen, dass Art 58 Abs 2 lit i und Art 83 DSGVO einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art 83 Abs 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde. Diese vom BVwG angewendete nationale Vorgabe habe daher nunmehr unangewendet zu bleiben. Das BVwG hätte das angefochtene Straferkenntnis demnach nicht schon mit der Begründung aufheben dürfen, dass die belangte Behörde im Spruch des Straferkenntnisses die natürliche Person, deren Verstoß gegen die DSGVO der mitbeteiligten Partei zugerechnet werden sollte, nicht benannt habe.

8. Mit Stellungnahme vom 11.11.2024 (OZ 27) gab die Beschwerdeführerin bekannt, dass sie die Rechtsansicht der Höchstgerichte akzeptiere und ihr Vorbringen, dass die XXXX affinitäten keine personenbezogenen Daten und keine Daten über politische Meinungen sind, nicht weiter aufrecht halte.

Ergänzend brachte sie vor, hinsichtlich der Paketfrequenz, dass sich die dahingehende Verarbeitung auf eine Datenanonymisierung beschränkt habe und sie nicht die Paketfrequenzen, sondern die – nicht spruchgegenständlichen – Paketaffinitäten für Marketingzwecke verarbeitet habe. Außerdem Verstoße die Verwertung der Datenschutzfolgenabschätzung gegen das Verbot des Zwanges zur Selbstbezichtigung.

Zur subjektiven Tatseite führte sie aus, dass sie über die Rechtswidrigkeit ihres Verhaltens im Unklaren gewesen sei und ihr dies, mangels klarer Regelung bzw gefestigter Rechtsprechung, auch nicht vorwerfbar sei.

Hinsichtlich der Strafbemessung führte die Beschwerdeführerin diverse Milderungsgründe an und führte unter dem Titel „Geständnis“ aus, dass sie nunmehr einsehe, dass sie Daten über die politische Meinung von Personen ohne Einwilligung verarbeitet habe, sie dies aber niemals beabsichtigt habe und darüber im Unklaren gewesen sei. Sie bedauere Daten über die politische Meinung verarbeitet zu haben und habe diese mittlerweile auch gelöscht. Im Übrigen seien die Verfahrenskosten aufgrund der Strafhöhe unverhältnismäßig hoch und daher rechtswidrig.

9. Am 19.11.2024 holte das Bundesverwaltungsgericht eine Auskunft betreffend rechtskräftig verhängter Verwaltungsstrafen gegen die Beschwerdeführerin bei der belangten Behörde ein (OZ 29, 30).

10. Mit Schreiben vom 26.11.2024 (OZ 33) legte die Beschwerdeführerin ua die Verträge, Kündigungserklärungen und Löschbestätigungen der Abnehmer:innen der XXXX affinitäten vor.

11. Am 20.11.2024 (OZ 31) und 28.11.2024 (OZ 34) wurde über die Beschwerde mündlich verhandelt.

12. Mit Schriftsatz vom 20.12.2024 (OZ 37) legte die Beschwerdeführerin eine Entscheidung des Europäischen Datenschutzbeauftragen Entscheidung des Europäischen Datenschutzbeauftragen („EDPS“) zur dortigen Zahl Case 2023-1205 vor.

Beweis wurde erhoben durch Einsichtnahme in den Verwaltungsakt, in den hg Akt zum amtswegig geführten Verfahren W258 2217446-1, insbesondere die Verhandlungsprotokolle vom 22.11.2019 OZ 8 und vom 30.10.2020 OZ 27, die in dem Verfahren vorgelegte Datenschutzfolgenabschätzung („DSFA“) (W258 2217446-1 OZ 1, S 45) und das Verfahrensverzeichnis („VVZ“) (W258 2217446-1 OZ 1, S 39), jeweils betreffend die Datenanwendung „DAM-Zielgruppenadresse“, die Lizenz für den Personendatenbestand inklusive personenbezogener Merkmale der XXXX , abgeschlossen am 23.08.2017 zwischen der BF einerseits und dem XXXX und der XXXX andererseits (OZ 33, Beilage ./1) (in Folge XXXX ), das Kündigungsschreiben der Lizenz für den Personendatenbestand inkl. Personenbezogener Merkmale der XXXX des XXXX und der XXXX vom 16.11.2018, eingelangt bei der BF am 20.11.2018 (OZ 33, Beilage ./2) (in Folge XXXX ), die Lizenz für den Personendatenbestand inklusive personenbezogener Merkmale der XXXX , abgeschlossen am 02.08.2017 zwischen der BF einerseits und der XXXX andererseits (OZ 33, Beilage ./3) (in Folge XXXX ) das Schreiben „Vertragskündigung“ der XXXX vom 03.11.2017 (OZ 33, Beilage ./4) (in Folge XXXX ) und die Löschbestätigung / E-Mailkorrespondenz vom 04.03.2019 bis 01.04.2019 zwischen der BF und dem XXXX (OZ 33, Beilage ./6) sowie durch Einvernahme von XXXX als informierte Vertreterin der Beschwerdeführerin sowie XXXX , XXXX , XXXX , XXXX und XXXX . als Zeugen.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Der folgende Sachverhalt steht fest:

1.1. Allgemeines:

1.1.1. Die Beschwerdeführerin betreibt ua seit 03.04.2001 ua das Gewerbe „Adressverlag und Direktmarketingunternehmen“.

1.1.2. In Ausübung dieses Gewerbes betreibt sie eine Datenanwendung „DAM-Zielgruppenadressen“, um im Rahmen ihres Produktes „Adress Shop“ juristischen Personen personenbezogene Daten zu Marketingzwecken zu verkaufen. Dabei werden – neben diverser Verarbeitungen zur kaufmännischen Unterstützung – Zielgruppenadressen verarbeitet, Kundenbestandsdaten um zusätzliche Marketinginformationen angereichert, geeignete Personen nach Anforderung eines Interessenten gezählt und gegebenenfalls ausgewählt und die Daten an Kunden geliefert.

1.1.3. Soweit verfahrensrelevant werden zumindest die folgenden Informationen natürlicher Personen verwendet:

Stammdaten, wie Anrede, Geschlecht, Titel, Vor- und Nachname, Adresse, Geburtsdatum sowie bestimmte Marketinginformationen, wie „ XXXX -Affinität“, „Paketaffinität“ und „Umzugsaffinität“.

1.2. Zur Ermittlung und Zuordnung der Marketinginformationen:

Die Beschwerdeführerin bezog die Rohdaten für die Datenanwendung DAM-Zielgruppenadressen von Adresshändlern und ihrem eigenen Datenbestand. Die Rohdaten umfassen etwa XXXX Datensätze, inklusive Dubletten, veralteter Datensätze, Datensätze von verstorbenen Personen etc.

Im Anschluss wurden die Daten im Rahmen der Qualitätssicherung bereinigt. Danach wurden für die verbleibenden einzelnen Datensätze ua die Marketinginformationen errechnet und den einzelnen Betroffenen zugeordnet.

Danach wurden jene Betroffene ausgefiltert, die der Datenweitergabe widersprochen haben, in der Robinsonliste oder in anderen Sperrlisten eingetragen waren und Unmündige, Minderjährige sowie Personen ohne Geburtsdatum.

Nach diesem Prozess standen der Beschwerdeführerin – über den Verarbeitungszeitraum hinweg – etwa XXXX Datensätze für die Datenweitergabe zur Verfügung, wobei etwa XXXX Datensätze tatsächlich vermarktet worden sind.

1.3. Zur Verarbeitung der „ XXXX affinitäten“:

1.3.1. Die Marketingkategorie „ XXXX -Affinität“ setzt sich aus den Datenfeldern „ÖVP AFFIN“, „SPÖ AFFIN“, „FPÖ AFFIN“, „NEOS AFFIN“ und „GRÜN AFFIN“ zusammen, denen jeweils ein einzelner Wert, nämlich „sehr niedrig“, „niedrig“, „hoch“ oder „sehr hoch“, zugeordnet sein kann.

1.3.2. Den konkreten Wert für die Datenfelder zur „ XXXX -Affinität“ ermittelt die Beschwerdeführerin, indem sie anonyme Meinungsumfragen durchführt. Dabei werden soziodemographische Daten, wie Alter, formale Bildung und Einkommensverhältnisse, der Wohnort sowie ein etwaiges Interesse an Wahlwerbung der jeweiligen politischen Parteien abgefragt. Im Anschluss werden anhand der sozidemografischen Daten und des Wohnorts Marketinggruppen innerhalb eines Rasters gebildet und für jede diese Marketinggruppe unter Berücksichtigung der Meinungsumfragen aber auch von regionalen Wahlergebnissen berechnet, mit welcher Wahrscheinlichkeiten eine Person mit bestimmten soziodemographischen Daten und einer bestimmten Regionszugehörigkeit Interesse an Werbung von den genannten politischen Parteien hat. Durch die Einordnung einer konkreten Person in eine bestimmte Marketinggruppe werden ihr die für diese Marketinggruppe berechneten Wahrscheinlichkeitswerte ebenfalls zugeordnet wodurch letztlich die konkreten Werte der Datenfelder für die jeweilige XXXX affinität befüllt werden können.

1.3.3. Die Vorarbeiten für die Berechnung des Selektionskriteriums mit der internen Bezeichnung „ XXXX affinität“ begannen im Jänner 2015. Im April 2015 erfolgte der erste konkrete Auftrag für dieses Marketingmerkmal und die „ XXXX affinität“ wurde erstmals berechnet. Die XXXX -Affinitäten wurden für jeden Kunden individuell von der Technik erstellt.

1.3.4. Soweit relevant wurden zwei Verträge über die Lieferung, Aktualisierung und Nutzung ua der „ XXXX affinitäten“ abgeschlossen:

Zwischen der BF einerseits und dem XXXX und der XXXX andererseits eingeschränkt auf natürliche Personen mit Adressen im Bundesland XXXX , mit monatlichen Aktualisierungen, Vertragsbeginn 01.08.2017 und einer sechsmonatigen Kündigungsfrist zu den Kündigungsterminen 31.07. und 01.02., erstmalig am 31.07.2018. Der Vertrag wurde von dem XXXX und der XXXX mit Kündigungserklärung vom 16.11.2018, der BF zugegangen am 20.11.2018, gekündigt und endete somit am 31.07.2019.

Zwischen der BF und der XXXX hinsichtlich aller verfügbaren natürlichen Personen Österreichs, mit monatlichen Aktualisierungen, Vertragsbeginn 01.07.2017 und einer sechsmonatigen Kündigungsfrist zu den Kündigungsterminen 30.06. und 31.12., erstmalig am 30.06.2018. Der Vertrag wurde von der XXXX mit Kündigungserklärung vom 03.11.2017, der BF zugegangen am 08.11.2017, gekündigt und endete somit am 30.06.2018.

1.3.5. Die Beschwerdeführerin hat bis zum 22.02.2019 während aufrechter Vertragslaufzeit die Daten vertragsgemäß geliefert. Ab dem 22.02.2019 hat sie keine Daten mehr geliefert.

1.3.6. Insgesamt wurden etwa XXXX verschiedenen Personen eine „ XXXX affinität“ zugeschrieben.

1.3.7. Da die „ XXXX -Affinitäten“ kaum nachgefragt waren und man vor dem Hintergrund der medialen Berichterstattung zur DSGVO ein Imagerisiko erkannt hat, hat die Beschwerdeführerin ab Februar 2018 überlegt, die „ XXXX -Affinitäten“ nicht mehr zu vermarkten. Nachdem am 20.11.2018 die Kündigungserklärung des letzten Kunden eingelangt war, wurde beschlossen, die „ XXXX -Affinitäten“ nicht mehr zu vermarkten und die Beschwerdeführerin hat die Daten nach dem 20.11.2018 nicht mehr allgemein vermarktet, sondern nur noch in Bezug auf den aufrechten, aber bereits gekündigten, Vertrag mit dem XXXX und der XXXX .

1.3.8. Die Beschwerdeführerin hat die Datenart „ XXXX affinität“ seit dem 22.02.2019 nicht mehr für den Adresshandel bzw Marketingzwecke verarbeitet und hinsichtlich jener Personen, die kein Auskunftsbegehren an die BF gerichtet hatten, an diesem Tag gelöscht.

1.3.9. Die Berechnung und Weitergabe der „ XXXX affinität“ zu den in der Datenanwendung „DAM-Zielgruppenadressen“ enthaltenen Personen hatte – neben dem wirtschaftlichen Aspekt für die BF – den Zweck, es Kunden der BF zu ermöglichen, Streuverluste in der Werbung zu verringern.

1.3.10. Die Beschwerdeführerin hat für die Verarbeitung der „ XXXX -Affinität“ keine Zustimmung der Personen eingeholt, von denen der Wert ermittelt oder zugeordnet worden ist.

1.4. Zur Verarbeitung der „Paketfrequenz“:

In der Datenanwendung DAM-Zielgruppenadressen des Geschäftsbereichs „Adressverlage und Direktmarketing“ wurden zumindest seit August 2017 bis Februar 2019 für Personen, die in der DAM-Datenbank enthalten waren überdies der Wert „Paketaffinitäten“ ermittelt und ihnen zugeordnet, um sie zu vermarkten. Die „Paketaffinität“ sagt aus, mit welcher Wahrscheinlichkeit eine Person am Empfang von Paketen interessiert ist. Die „Paketaffinitäten“ wurden am 15.03.2019 gelöscht. Wenn die Daten Gegenstand eines Auskunftsbegehrens nach Art 15 DSGVO waren, wurden sie unter Umständen erst danach, spätestens aber am 13.05.2019 gelöscht.

Die „Paketaffinität“ einer bestimmten Person wurde berechnet, indem ihre Adresse und bestimmte soziodemografischen Daten auf ein Hochrechnungsmodell angewendet worden und der durch das Modell ermittelte Wert der jeweiligen Person zugeordnet worden ist.

Das Hochrechnungsmodell hat die Beschwerdeführerin jährlich erstellt. Sie hat dafür mit statistischen Methoden auf Basis der Paketfrequenz einer bestimmten Region und soziodemografischer Daten einen Wahrscheinlichkeitswert ermittelt, mit dem eine Person aus einer bestimmten Region und mit bestimmten demografischen Daten am Empfang von Paketen interessiert ist.

Die für das Modell erforderliche Paketfrequenz einer Region hat die Beschwerdeführerin in zwei Schritten ermittelt:

Im ersten Schritt hat sie für die in ihrer DAM-Datenbank enthaltenen Personen zumindest eine Liste der empfangenen Pakete samt dem Zeitpunkt ihres Empfangs aus dem Geschäftsbereich der Paketzustellung übernommen („Kennzahlen“), und daraus die Paketfrequenz der jeweiligen Person berechnet, dh die Anzahl der Pakete, welche die Person in einem bestimmten Zeitraum empfangen hat. Dabei wurden die Kennzahlen auch von Personen übernommen, die keine Kunden der Beschwerdeführerin waren, indem etwa die Empfangsbestätigungen der Pakete herangezogen worden sind. Davon waren zumindest XXXX Personen betroffen.

Im zweiten Schritt wurden mehrere Personen einer bestimmten Region anhand ihrer Adressen zusammengefasst und aus ihren Paketfrequenzen eine durchschnittliche Paketfrequenz für diese Region berechnet.

Die betroffenen Personen haben in die Weiterverarbeitung der Zustelldaten zur Erstellung der Paketfrequenz und in weiterer Folge zur Erstellung des Hochrechnungsmodells für die „Paketaffinitäten“ nicht eingewilligt.

1.5. Zur Verarbeitung der „Umzugshäufigkeit“:

1.5.1. Zur Datenverarbeitung:

In der Datenanwendung DAM-Zielgruppenadressen des Geschäftsbereichs „Adressverlage und Direktmarketing“ hat die Beschwerdeführerin von Jänner 2017 bis Februar 2019 auch sogenannte „Umzugsaffinitäten“ ermittelt und einzelnen Personen zugeordnet, um sie zu vermarkten.

Dabei wurde ein Hochrechnungsmodell erstellt, mit dem auf Grund von bestimmten Eingangsinformationen, nämlich der Adresse, berechnet werden sollte, mit welcher Wahrscheinlichkeit an dieser Adresse ein Umzug stattfinden wird.

Das Hochrechnungsmodell wurde dann auf die Personen in der DAM-Datenbank angewendet, indem ihre jeweilige Adresse in das Hochrechnungsmodell eingegeben und der zurückgelieferte Wert der Person als „Umzugsaffinität“ in Form einer Kategorisierung, nämlich „hoch“, „mittel“ und „niedrig“, zugeordnet worden ist.

Das Hochrechnungsmodell wurde jährlich geprüft und allenfalls angepasst bzw neu erstellt. Für die Erstellung des Hochrechnungsmodells wurde jedenfalls die Umzugshäufigkeit einer Person herangezogen.

Die Umzugshäufigkeit wurde einerseits extern zugekauft, nämlich von der XXXX . Andererseits wurde die Umzugshäufigkeit auch aus Nachsendeaufträgen abgeleitet, welche der Geschäftsbereich „Adressverlage und Direktmarketing“ aus dem Bereich „Postzustellung“, nämlich dem Bereich des Dienstleistungsangebotes des Nachsendeauftrages (in Folge „Bereich Nachsendeaufträge“), erhalten hat.

1.5.2. Zur etwaigen Rechtsgrundlage:

Die betroffenen Personen haben in die Weiterverarbeitung der Nachsendeaufträge zur Erstellung der „Umzugshäufigkeit“ und in weiterer Folge zur Erstellung des Hochrechnungsmodells für die „Umzugsaffinitäten“ nicht eingewilligt.

Sofern sie eine Weiterverwendung ihrer Umzugsdaten zu Marketingzwecken nicht wünschen, müssen sie dem aktiv widersprechen. Hierfür werden die Betroffenen bei der Erstellung des Nachsendeauftrags über die Weiterverwendung der Nachsendeauftragsdaten informiert und haben die Möglichkeit, der Weiterverwendung der Daten zu widersprechen. Zusätzlich erhalten sie innerhalb einer Woche ein Informationsschreiben mit einer Antwortkarte, mit dem sie dem neuerlich auf die Datenweitergabe zu Marketingzwecken informiert werden und auf die Möglichkeit der Untersagung hingewiesen werden. Eine Untersagung ist auch in einer der Filialen der Beschwerdeführerin oder über die Website der Beschwerdeführerin möglich.

Die konkrete Text der Information und der Widerspruchsmöglichkeit lautet:

„Information über Datennutzung: Ihre personenbezogenen Daten (Anrede, Titel, Vorname, Nachname, Geburtsdatum, Adresse) können von der XXXX an Dritte gem. § 151 Gewerbeordnung zu Marketingzwecken übermittelt werden.

Sie sind jederzeit und ohne Angabe von Gründen berechtigt, die Übermittlung an Dritte zu Marketingzwecken zu untersagen. In diesem Fall kreuzen Sie das nachfolgende Kästchen an oder richten Sie Ihren Widerspruch XXXX .

[Auswahlbox] Ich bin mit einer Datenweitergabe nicht einverstanden.“

1.6. Zur subjektiven Tatseite:

1.6.1. Hinsichtlich der XXXX affinitäten:

Zur Vorbereitung der Beschwerdeführerin auf die DSGVO:

Die Beschwerdeführerin startete das Projekt „Fit für die DSGVO“, um sich datenschutzrechtlich auf die DSGVO vorzubereiten. Es wurden ua Projektziele definiert, ein Lenkungsausschuss eingerichtet der ab Dezember 2017 regelmäßig getagt hat, der Fortschritt per Ampelsystem kontrolliert. Für die organisatorische Ausgestaltung der Datenschutzstruktur wurde ein externer Berater beigezogen. Insgesamt entstanden Kosten von etwa zwei Millionen Euro. Organisatorisch wurden in den einzelnen Fachbereichen sogenannte „Datenschutzmanager“ eingerichtet, denen die Beurteilung der datenschutzrechtlichen Zulässigkeit von Verarbeitungstätigkeiten oblag. Die Datenschutzbeauftragte war in die Prüfung der Datenanwendungen der jeweiligen Fachbereiche einzubeziehen.

Die Rechtsabteilungen hat die Rahmenbedingungen für die Arbeit der Datenschutzmanager vorgegeben; sie war in der Beurteilung einzelner Datenanwendungen aber – sieht man davon ab, dass die Datenschutzbeauftragte organisatorisch der Rechtsabteilung zugeordnet war – bis Jänner 2019 nicht eingebunden.

Zur Datenschutzmanagerin des Bereichs „DAM Zielgruppenadressen“:

Für den Bereich „DAM Zielgruppenadressen“ war XXXX als Datenschutzmanagerin zuständig. Sie hatte ein technisches aber kein juristisches Studium absolviert. Während ihres Studiums hat sie eine Lehrveranstaltung zum Thema Datenschutz besucht und sich im Rahmen ihrer Tätigkeit in der Hochschülerschaft mit dem Thema Datenschutz auseinandergesetzt. Danach hat sie sich etwa 10,5 Jahre nicht mehr mit datenschutzrechtlichen Themen beschäftigt.

Dann hat sie begonnen, bei der Beschwerdeführerin zu arbeiten. Eine ihrer Aufgaben bestand darin, die datenschutzrechtlichen Auskunftsbegehren zu beantworten. Das waren etwa zwei bis drei pro Jahr. Sie hat auch Meldungen an das Datenverarbeitungsregister (DVR-Meldungen) erstellt. Sie hat dafür das DSG 2000 und einschlägige Entscheidungen gelesen, mit Freunden, die mit der Materie zu tun hatten, gesprochen und mit einem Juristen der Beschwerdeführerin, der für Datenschutzfragen zuständig war, einzelne Fragen geklärt. Sie hatte großes Interesse am Thema Datenschutz. Zur Vorbereitung auf die DSGVO hat sie dann ein eintägiges Seminar und einen dreitägigen TÜV Lehrgang zum zertifizierten Datenschutzbeauftragten besucht und letzteren bestanden. Sie hat mehrere weitere Datenschutzseminare und Veranstaltungen besucht und in diesem Rahmen auch Vorträge zum Thema gehalten, wie die Beschwerdeführerin sich auf das Thema DSGVO vorbereite. Die Definition personenbezogener Daten kennt sie nicht.

Zur Datenschutzbeauftragten der Beschwerdeführerin:

In den Jahren 2017 bis 2020 war XXXX die Datenschutzbeauftragte der BF. Sie hat Jura in Deutschland studiert und ist zugelassene Rechtsanwältin in Deutschland. Sie hat sich bereits in ihrem Studium mit Datenschutz beschäftigt und datenschutzrechtliche Erfahrungen in einem deutschen Konzern gesammelt. Während dieser Tätigkeit hat sie auch Datenschutzseminare besucht und Zusatzausbildungen absolviert, etwa in Deutschland einen Master in IT-Recht. Vor dem 25.05.2018 wurde sie als Datenschutzbeauftragte zertifiziert.

Zur datenschutzrechtlichen Prüfung der „ XXXX -Affinitäten“ durch die Beschwerdeführerin:

XXXX hat die Datenanwendung „DAM-Zielgruppenadressen“ bereits vor Einführung der DSGVO, nämlich ca im Jahr 2010 oder 2011, geprüft und als zulässig beurteilt. Sie wurde auch ins Datenverarbeitungsregister eingetragen. Die „ XXXX -Affinitäten“ wurden damals aber noch nicht verarbeitet.

Sie hat die Datenanwendung, und damit auch die „Sinus-Geo-Milieus“ und „ XXXX -Affinitäten“ im Zuge der Vorbereitung auf die DSGVO und erneut auf Grund einer öffentlichkeitswirksamen Debatte in Deutschland geprüft.

XXXX hat hierzu mit dem XXXX Kontakt aufgenommen und gehalten. In diesem Rahmen wurde auch die Zulässigkeit der Verarbeitung von „Sinus-Geo-Milieus“, einer besonderen Art der Marketingklassifikationen, besprochen. Die Zulässigkeit von XXXX -Affinitäten war nicht Thema. Ergebnis dieser Besprechungen war, dass die Verarbeitung von Marketingklassifikationen datenschutzrechtlich zulässig sei.

Weiters stand sie in Bezug auf die „Sinus-Geo-Milieus“ auch mit Kollegen des XXXX , in Kontakt und erhielt die Auskunft, dass sie ihre Verwendung in Deutschland unter Einbindung einer deutschen Aufsichtsbehörde geprüft und für zulässig erachtet haben. Es gebe dazu auch ein Gutachten, in das aus vertraglichen Gründen aber nicht Einsicht genommen werden könne. Die Zulässigkeit von XXXX -Affinitäten war nicht Thema.

Wenngleich die Verarbeitung von Affinitäten vom XXXX und der XXXX als zulässig erachtet worden ist, wurde im Wesentlichen mit der § 151 GewO begründet; sie haben die Zulässigkeit nicht damit begründet, dass es sich bei den Affinitäten um keine personenbezogenen Daten handelt.

Sie hat auch eine Rechtsrecherche in der Rechtsdatenbank des Bundes (RIS), durchgeführt. Dabei hat sie eine Entscheidung der Datenschutzbehörde oder der Datenschutzkommission zu den „Sinus-Geo-Milieus“ gefunden.

Sie hat diese Entscheidungen dahingehend fehlinterpretiert als dass sie angenommen hat, dass die Datenschutzbehörde Marketingklassifikationen bzw. statistische Werte, die einzelnen Personen zugeschrieben werden, als nicht personenbezogen angesehen hat. Sie hat von der vermeintlichen Einordnung der „Sinus-Geo-Milieus“ als nicht personenbezogen auf die „ XXXX affinitäten“ geschlossen.

Tatsächlich hat sich die Datenschutzkommission bzw die Datenschutzbehörde vor der Anwendbarkeit der DSGVO in zumindest vier Entscheidungen, nämlich DSK 20.05.2005, K120.908/0009-DSK/2005, DSB 10.03.2016, DSB-D122.322/0001-DSB/2016, 06.12.2017, DSB-D216.435/0005-DSB/2017 und 13.02.2018, DSB-D122.754/0002-DSB/2018, mehr oder weniger mit der Frage der datenschutzrechtlichen Einordnung von Marketingklassifikationen auseinandergesetzt. Aus all diesen Entscheidungen lässt sich ableiten, dass es sich bei Marketingklassifikationen bzw. bei Wahrscheinlichkeitswerten, die einzelnen Personen zugeschrieben werden, um personenbezogene Daten handelt (siehe dazu auch Punkt 1.6.1.1).

Sie hat weiters Vortragende in Datenschutzkursen, die sie zur Vorbereitung auf die DSGVO besucht hat, zur Frage der Zulässigkeit der Verarbeitung von Marketingklassifikationen in Hinblick auf § 151 GewO befragt, dabei auch Rechtsanwälte, aber keine befriedigende Antwort erhalten. Ein darüber hinausgehender Austausch mit Rechtsanwälten fand nicht statt.

Letztlich hat sie die Frage der Zulässigkeit der Datenanwendung auch in ihrem Team diskutiert. Einer ihrer Mitarbeiter, XXXX , hat im Februar 2018 Bedenken dahingehend geäußert, dass es sich bei den „ XXXX -Affinitäten“ um personenbezogene Daten handeln könnte und sie problematisch sein könnten. Dies Bedenken hat XXXX im wöchentlichen Jour Fixe mit den Teamleitern des Bereichs „DAM“ und dessen Leiter, XXXX , (in Folge „Jour Fixe“) diskutiert, die Meinung war aber nicht mehrheitsfähig. Sowohl sie als auch der Zeuge XXXX sind davon ausgegangen, dass die Bedenken nicht zutreffen, weil es sich bei den Affinitäten um keine personenbezogenen Daten handelt; Zeuge XXXX ging zusätzlich davon aus, dass ihre Verarbeitung durch die Gewerbeordnung gedeckt sei. Eine weitere Prüfung der Bedenken des XXXX fand nicht statt.

XXXX kam zu dem Ergebnis, dass es sich bei „Sinus-Geo-Milieus“ um statistische Daten handle, die nicht personenbezogen wären. Und zwar auch dann nicht, wenn sie konkreten Personen zugeschrieben worden sind. Auf Grund der Ähnlichkeit der „Sinus-Geo-Milieus“ ist sie in weiterer Folge davon ausgegangen, dass es sich auch bei den „ XXXX -Affinitäten“ nicht um personenbezogene Daten handelt.

Sie hat dieses Ergebnis auch mit der Datenschutzbeauftragten der Beschwerdeführerin, XXXX , besprochen. Auch die Datenschutzbeauftragte war der Meinung, dass es sich bei statistischen Daten – trotz ihrer Zuordnung zu einer bestimmten Person – nicht um personenbezogene Daten handelt, und hat daher die Datenanwendung DAM Zielgruppenadressen und die „ XXXX -Affinitäten“ ohne ihre Meinung zum Personenbezug zu hinterfragen oder rechtlich zu (über-)prüfen, ebenfalls als datenschutzrechtlich unproblematisch gesehen.

Zur Rechtslage zu Marketingklassifikationen vor dem 25.05.2018:

Die Datenschutzkommission und die Datenschutzbehörde hat im Zusammenhang mit Marketingklassifikationen vor dem 25.05.2018 zumindest vier Entscheidungen getroffen:

In (von der Beschwerdeführerin zitierten) DSK K120.908/0009-DSK/2005 vom 20.05.2005 war unter anderem die Vollständigkeit einer Auskunft (auch) in Bezug statistisch berechneter Daten, wie Jahresmindesteinkommen, gegenständlich. Dazu führt die DSK zwar aus, dass die Heranziehung dieser Daten für andere Zwecke sachlich unsinnig sei, weil ihre Exaktheit im Einzelfall nicht gegeben sei. Sie bejaht aber das Vorliegen personenbezogener Daten, zumal sie die Frage erörtert, inwieweit hinsichtlich dieser Datenarten auch ihre Herkunft beauskunftet werden muss, was – weil das Auskunftsrecht gemäß § 26 DSG 2000 das Vorliegen personenbezogener Daten voraussetzt hat – nicht erforderlich wäre, wenn es sich bei den statistisch ermittelten Daten um keine personenbezogenen Daten gehandelt hätte. Diese Entscheidung war vor der Anwendbarkeit der DSGVO im RIS abrufbar.

In DSB-D122.322/0001-DSB/2016 vom 10.3.2016 hat sie ausgesprochen, dass es sich bei der Zuschreibung von Marketingklassifikationen um keinen Vorgang der automatisierten Einzelentscheidung handelt, der dem besonderen Auskunftsrecht gemäß § 49 Abs 3 DSG 2000 unterliegt (Rn 29). Weiters, dass die Auftraggeberin dem Betroffenen über den Inhalt der Daten, einschließlich der dem Betroffenen zugeschriebenen Marketingklassifikationsdaten, gemäß § 26 Abs 1 DSG 2000 Auskunft erteilt hat (Rn 31). Diese Entscheidung ist zumindest seit dem 03.06.2016 im RIS abrufbar.

In DSB-D216.435/0005-DSB/2017 vom 06.12.2017 hat sie ausgesprochen, dass die Zuschreibung von Marketingklassifikationen gemäß § 151 Abs 6 GewO wie im vorliegenden Fall kein Vorgang der automatisierten Einzelentscheidung sei, der dem besonderen Auskunftsrecht gemäß § 49 Abs 3 DSG 2000 unterliege. Weiters, dass das allgemeine Auskunftsrecht gemäß § 26 Abs 1 und 4 DSG jedoch in jedem Fall verständliche Erklärungen für interne Schlüsselbegriffe (wie etwa „innovative Aufsteiger“) umfasse, für deren Bewertung und Zuordnung zum Einschreiter ebenfalls eine nähere Erklärung erforderlich sei (Rn 16 f). Diese Entscheidung ist zumindest seit dem 03.01.2018 im RIS abrufbar.

In (von der Beschwerdeführerin zitierten) DSB-D122.754/0002-DSB/2018 vom 13.02.2018, hat sie hinsichtlich „auf Grundlage soziodemografischer Daten nach einer Wahrscheinlichkeitsrechnung zugeschriebenen Marketingklassifikationen“, nämlich „Wahrscheinlichkeitswert_traditioneller“ ausgesprochen, dass der Beschwerdeführer in seinem Recht auf Auskunft verletzt worden sei, weil dieser Begriff nicht verständlich erklärt worden sei. Das setzt voraus, dass die Datenschutzbehörde davon ausgegangen ist, dass es sich bei „Wahrscheinlichkeitswert_traditioneller“ um personenbezogene Daten handelt, andernfalls hätte sie ein Auskunftsrecht nach § 26 DSG hinsichtlich dieser Datenart bereits dem Grunde nach verneint. Ob die Entscheidung bereits vor dem 25.05.2018 im RIS abrufbar gewesen ist, kann nicht festgestellt werden.

In der österreichischen Literatur hat geht auch Jahnel in Handbuch Datenschutzrecht (2010) Rz 3/72 davon aus, dass mit Hilfe statistischer Hochrechnungen ermittelte Einschätzungen einer wahrscheinlichen Zugehörigkeit einer Person zu einer bestimmten Ziel- oder Altersgruppe als personenbezogene Daten zu qualifizieren sind.

Auch der deutsche BGH hat mit 28. 01.2014, VI ZR 156/13 – entgegen der Ansicht der BF –(dtBGH 28. 01.2014, VI ZR 156/13; OZ 1, DSB-D550.148/0003-DSB/2019) in diesem Sinne entschieden, zumal er im Urteil die grundsätzliche Berichtigung eines „Scorewerts“ sowie die Pflicht zu seiner Beauskunftung und damit auch seinen Personenbezug bejaht hat (Urteil des Bundesgerichtshofs vom 28. 01.2014 zu VI ZR 156/13).

Auch der EUGH hat sich bereits detailliert zum Personenbezug von Informationen auseinandersetzt, der in EuGH 22.06.2017, C-434/16, NOWAK ausführt:

„33 Wie der Gerichtshof bereits festgestellt hat, ist der Anwendungsbereich der Richtlinie 95/46 sehr weit und sind die von ihr erfassten personenbezogenen Daten vielfältig (Urteil vom 7. Mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, Rn. 59 und die dort angeführte Rechtsprechung).

34 In der Verwendung des Ausdrucks „alle Informationen“ im Zusammenhang mit der Bestimmung des Begriffs „personenbezogene Daten“ in Art. 2 Buchst. a der Richtlinie 95/46 kommt nämlich das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine weite Bedeutung beizumessen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt.

35 Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist.“

1.6.2. Hinsichtlich der „Paketfrequenz“:

Es war der Beschwerdeführerin bewusst, dass eine Verbindung ihrer Tätigkeit als Adresshändler mit ihrer Tätigkeit als Postdienstleister rechtlich problematisch sein könnte. Sie hatte daher eine „Chinese Wall“ zwischen den Bereichen errichtet, die allerdings hinsichtlich der Paketfrequenz und der Umzugshäufigkeit durchlässig war. Eine detaillierte rechtliche Prüfung der Abgrenzung der Geschäftsbereiche gab es nicht. Es wurde erst im Jänner 2019 begonnen, diese Lücken zu schließen.

1.6.3. Hinsichtlich der „Umzugshäufigkeit“:

Siehe die Ausführungen zu Punkt 1.6.2.

1.7. Zur Datenschutz-Folgenabschätzung zur Datenanwendung „DAM Zielgruppenadressen“:

1.7.1. Zur objektiven Tatseite:

Die Datenschutzmanagerin, XXXX , hat die Datenschutz-Folgenabschätzung (DSFA) bezüglich der DAM-Zielgruppenadressen inhaltlich erstellt. Im Rahmen der Erstellung DSFA hat sie den Rat der Datenschutzbeauftragten, XXXX , eingeholt.

In der DSFA zur Anwendung „DAM Zielgruppenadressen“ wird auszugsweise ausgeführt:

In Anhang 2B-1, mit dem Titel „PRIVACY IMPACT ASSESSMENT / DSFA (GEM. ARTIKEL 35) - ZIELGRUPPENADRESSEN VOR BERÜCKSICHTIGUNG DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN“:

in Anhang 2D, „Zielgruppenadressen nach § 151 GewO“ unter der Überschrift „Gem. § 151 Abs. 6 erhobene Marketingklassifikationen“

​

sowie unter Punkt 2, „ZUSAMMENFASSENDES ERGEBNIS“:

„Aufgrund der Bewertung der Notwendigkeit und Verhältnismäßigkeit der beschriebenen Verarbeitungstätigkeit sowie der angeführten Maßnahmen zur Behandlung von identifizierten Risiken geht die XXXX davon aus, dass

kein hohes Risiko […]

für die Rechte und Freiheiten von natürlichen Personen besteht.“

1.7.2. Zur subjektiven Tatseite:

Da die Datenschutzmanagerin der Meinung, dass es sich bei der Marketingklassifikation „ XXXX -Affinitäten“ um keine personenbezogenen Daten handelt (siehe Punkt 1.6.1 „Zur datenschutzrechtlichen Prüfung der „ XXXX -Affinitäten“ durch die Beschwerdeführerin“), hat sie die „ XXXX -Affinitäten“ nicht darauf geprüft, ob sie besondere Kategorien von Daten sein könnten, und hat dementsprechend das Vorliegen besonderer Kategorien von Daten und in Folge das Vorliegen eines hohen Risikos in der DSFA verneint.

Auch die Datenschutzbeauftragte ging davon aus, dass es sich bei den „ XXXX -Affinitäten“ um keine personenbezogenen Daten handelt (siehe Punkt 1.6.1 „Zur datenschutzrechtlichen Prüfung der „ XXXX -Affinitäten“ durch die Beschwerdeführerin“), weshalb sie der Einschätzung der Datenschutzmanagerin gefolgt ist und nichts Abweichendes beraten hat.

1.8. Zum Verzeichnis der Verarbeitungstätigkeiten zur Datenanwendung „DAM Zielgruppenadressen“

1.8.1. Zur objektiven Tatseite:

Im Verzeichnis von Verarbeitungstätigkeiten (VVZ) der Beschwerdeführerin zur Anwendung „DAM Zielgruppenadressen“ werden die verarbeiteten Datenarten wie folgt aufgeschlüsselt:

„[…]

DATENKategorien personenbezogener Daten | Adressdaten, Daten zur Identifikation, Kontaktdaten, Marketing, Personenstammdaten

[…]“

Eine detailliertere Aufschlüsselung der Datenart „Marketing“ findet sich weder im Hauptdokument noch in etwaigen Anhängen zum VVZ.

Tatsächlich hat die Beschwerdeführerin im Zusammenhang mit den genannten „Daten“ ua die folgenden Datenarten verarbeitet:

MARKETING, wie Teilzahler, Kundenkarten, Schnäppchenjäger, Tierliebhaber, Sport, Sinus Milieu, Neurotypen, Reisen, Bio, Nachtschwärmer, Freizeitgriller, Paket Score, Heimwerker, Onlinekäufer, Brand, Style High Fashion, Lebensphase, XXXX -Affinität, Einkommen, Kaufkraft, Landwirtschaft, Anzahl Kinder, Baby, Kleinkind, Kind, Schulkind, Jugendliche, Familienstand;

Im Verzeichnis von Verarbeitungstätigkeiten der Beschwerdeführerin zur Anwendung „DAM Zielgruppenadressen“ wird im Abschnitt „RISIKEN“ wie folgt ausgeführt:

„Erfolgt eine umfangreiche Bearbeitung von sensiblen Daten? | Nein […]

Erfolgt eine Verarbeitung besonders schutzbedürftiger Daten (Ethnische Herkunft, politische Meinung, ...)? | Nein“

1.8.2. Zur subjektiven Tatseite:

Die Datenschutzmanagerin hat entschieden, dass eine umfangreiche Bearbeitung sensibler Daten und eine Verarbeitung besonders schutzbedürftiger Daten, darunter die politische Meinung, verneint werden soll, weil sie der Meinung war, dass es sich bei der Marketingklassifikation „ XXXX -Affinitäten“ um keine personenbezogenen Daten und damit auch nicht um besondere Kategorien personenbezogener Daten handelt (siehe Punkt 1.6.1 „Zur datenschutzrechtlichen Prüfung der „ XXXX -Affinitäten“ durch die Beschwerdeführerin“).

Das VVZ hätte in einem Anhang die verarbeiteten Datenarten detailliert aufschlüsseln sollen. Aus einem Versehen wurde der Anhang aber lediglich der DSFA als Anhang 2D „Verarbeitete Daten“, nicht jedoch auch dem VVZ angefügt. Dieser Anhang enthält eine detaillierte Aufschlüsselung der verwendeten Datenarten, etwa der einzelnen Affinitäten.

1.9. Zur Strafbemessung:

1.9.1. Der Umsatz der Beschwerdeführerin beträgt laut der Gewinn und Verlustrechnung für das Geschäftsjahr 2018 XXXX und für das Geschäftsjahr 2023 XXXX .

Der Konzernweite Umsatz der Beschwerdeführerin beträgt laut der Gewinn und Verlustrechnung für das Geschäftsjahr 2018 XXXX und für das Geschäftsjahr 2023 XXXX Im Q1-3 2024 erwirtschaftete die Beschwerdeführerin einen Umsatzerlös von XXXX .

1.9.2. Das gegenständliche Straferkenntnis wurde gegenüber der Beschwerdeführerin am 28.10.2019 zugestellt und damit erlassen.

1.9.3. Umfang der Zusammenarbeit (Art 83 Abs 2 lit f DSGVO)

Die Beschwerdeführerin hat im Rahmen des Ermittlungsverfahrens vor der Datenschutzbehörde, sowie im Verfahren vor dem Bundesverwaltungsgericht kooperativ mitgewirkt und dadurch einen wesentlichen Beitrag zur Wahrheitsfindung beigetragen.

1.9.4. Von der Beschwerdeführerin getroffene Maßnahmen zur Schadenslinderung (Art 83 Abs 2 lit c DSGVO)

Die Beschwerdeführerin schloss mit dem Großteil der betroffenen Personen Vergleiche ab und zahlte in diesem Zusammenhang XXXX an betroffene Personen aus. Die Beschwerdeführerin bot Betroffenen über ihre Website an, sowohl einfache als auch notarielle Unterlassungserklärungen für betroffene Personen abzugeben.

1.9.5. Vorstrafen (Art 83 Abs 2 lit e DSGVO)

Über die Beschwerdeführerin wurde mit Strafverfügung vom 06.09.2019 (D550.150/0001-DSB/2019) wegen der Verletzung ihrer Pflicht zur Zusammenarbeit mit der Aufsichtsbehörde gemäß Art 31 iVm Art 83 Abs 4 lit a DSGVO eine Geldstrafe iHv EUR 600 verhängt.

Mit Erkenntnis des BVwG vom 23.02.2024, W137 2248575-1/31E wurde über die Beschwerdeführerin wegen der Verletzung ihrer Pflicht zur Erleichterung der Rechtsausübung von Betroffenenrechten gemäß § 28 Abs 2 VwGVG iVm Art 12 Abs 2 iVm Art 83 Abs 5 lit b DSGVO eine Geldstrafe iHv EUR 500.000 verhängt.

1.9.6. Art des Bekanntwerdens des Verstoßes (Art 83 Abs 2 lit h DSGVO)

Die belangte Behörde nahm die mediale Berichterstattung über die Vorgangsweise der XXXX , wonach diese behaupteterweise unter anderem personenbezogene Daten verkaufe und es sich bei diesen Daten teils auch um besondere Kategorien von Daten („sensible Daten“) - insbesondere die politische Meinung - handle, zum Anlass, ein amtswegiges Prüfverfahren einzuleiten. Aufgrund der dortigen Ermittlungsergebnisse leitete die belangte Behörde das gegenständliche Verwaltungsstrafverfahren ein.

1.9.7. Erlangte finanzielle Vorteile, vermiedene Verluste (Art 83 Abs 2 lit k DSGVO)

Die Beschwerdeführerin hat durch die Verarbeitung der XXXX affinitäten finanzielle Vorteile erlangt.

Der Umsatz für den gesamten Bereich der Datenbereitstellung für adressierte Werbung im Rahmen des Daten- und Adressmanagement im Jahr 2018 betrug XXXX .

Der Gesamtumsatz durch die Vermarktung der XXXX affinitäten betrug XXXX .

2. Der festgestellte Sachverhalt gründet in der folgenden Beweiswürdigung:

2.1. Zu den allgemeinen Feststellungen:

2.1.1. Die Feststellung zu 1.1.1 gründet auf dem unbedenklichen Vorbringen der Beschwerdeführerin und einer damit in Einklang stehenden Einschau in das Gewerbeinformationssystem Austria, GISA-Zahl XXXX .

2.1.2. Die Feststellungen zu 1.1.2 gründen auf der vorgelegten Datenschutz-Folgenabschätzung Zielgruppenadressen, insbesondere Kapitel 1.3.3 und Anhang 2D der Stellungnahme der Beschwerdeführerin vom 22.01.2019 (OZ 1 „DSB-D550.148001-DSB2019 | Aufforderung zur Rechtfertigung 20.02.2019“, S 33, 64 ff).

2.1.3. Die Feststellungen zu 1.3.1 gründen auf dem in der Stellungnahme der Beschwerdeführerin vom 22.01.2019 vorgelegten, beispielhaften Auszug aus ihrer Datenbank, aus dem die unterschiedlichen zuordenbaren Werte hervorgehen (OZ 1 „DSB-D550.148001-DSB2019 | Aufforderung zur Rechtfertigung 20.02.2019“, S 16). Zwar sind in dieser Aufstellung die Angaben „Paketaffinität“ und „Umzugsaffinität“ nicht enthalten; ihre Verwendung ergibt sich aber aus dem Vorbringen der Beschwerdeführerin vor der Datenschutzbehörde (Stellungnahme BF vom 10.09.2019, Punkte 2.4 f, OZ 1; DSB-D550.148/0015-DSB/2019, S 176 f) und den damit übereinstimmenden Angaben der Zeugin XXXX vor der belangten Behörde über die Berechnung und Verwendung dieser Affinitäten (Abschrift der Tonaufzeichnung vom 24.05.2019 S 5 f; OZ 1, D550.148/0014-DSB/2019, S 20 f).

2.2. Zu den Feststellungen zu 1.2., Ermittlung und Zuordnung der Marketinginformationen:

Die Feststellungen zur Vorgehensweise bei der Ermittlung der Marketinginformationen gründen in den entsprechenden Angaben in der DSFA (DSFA S 6 f). Die Angaben zur Anzahl der Datensätze ist in der DSFA zwar widersprüchlich angegeben, etwa Anzahl der für die Weitergabe verfügbaren Datensätze XXXX einerseits (DSFA) und XXXX andererseits (DSFA Anhang 2B-1 S 1) oder Anzahl der tatsächlich vermarkteten Datensätze XXXX einerseits (DSFA S 6) und XXXX andererseits (DSFA Anhang 2B-1 S 1). XXXX konnte in Ihrer Einvernahme aber nachvollziehbar darlegen, dass es sich um Momentaufnahmen zu unterschiedlichen Zeitpunkten gehandelt habe (VH-Protokoll vom 28.11.2024 S 7), weshalb die jeweiligen Werte als Bandbreite der verarbeiteten Datensätze über die gesamte Verarbeitungsdauer festgestellt worden sind.

Zwar scheint es auf den ersten Blick nicht nachvollziehbar, warum nur ein Teil der verfügbaren Datensätze tatsächlich vermarktet worden sein soll; aus Anhang 2B-1 S 1 der DSFA geht aber hervor, dass nur ein Teil der grundsätzlich handelbaren Datensätze für postalische Werbesendungen zur Verfügung stehe („Für die Vermarktung von Zielgruppenadressen für postalische Werbesendungen stehen […] Adressen zur Verfügung“), weshalb die nicht vermarkteten Datensätze dadurch erklärbar sind, dass sie, etwa durch Fehlen von Post-Adressen, nicht für die Zustellung postalischer Werbesendungen geeignet gewesen und damit dem Zweck der Datenwendung, Bereitstellung von Zielgruppenadressen, nicht dienlich gewesen sind.

2.3. Zu den Feststellungen zur XXXX affinität:

2.3.1. Die Feststellungen zu 1.3.1. gründen auf dem in der Stellungnahme der Beschwerdeführerin vom 22.01.2019 enthaltenen beispielhaften Zuordnung der XXXX affinitäten (OZ 1 „DSB-D550.148001-DSB2019 | Aufforderung zur Rechtfertigung 20.02.2019“, S 16) und auf ihren Anhang 3 „Datenbankauszug XXXX affinität bei unterschiedlichen Wohnsitzen“ (W258 2217446-1, OZ 1 S 185).

2.3.2. Die Feststellungen zu 1.3.2 gründen grundsätzlich auf dem Vorbringen der Beschwerdeführerin im amtswegigen Prüfverfahren, insbesondere der Stellungnahme der Beschwerdeführerin vom 22.01.2019, Seite 2 (OZ 1 „DSB-D550.148001-DSB2019 | Aufforderung zur Rechtfertigung 20.02.2019“, S 14); ebenso auf Seite 4 (OZ 1 „DSB-D550.148001-DSB2019 | Aufforderung zur Rechtfertigung 20.02.2019“, S 16), wonach bei der Berechnung der Wahrscheinlichkeitswerte für die jeweilige XXXX affinität regionale Wahlergebnisse stark gewichtet werden, und auf Anhang 3 zur Stellungnahme der Beschwerdeführerin vom 22.01.2019 – „Datenbankauszug XXXX affinität bei unterschiedlichen Wohnsitzen“ (W258 2217446-1, OZ 1 S 185), wonach in der Datenbank zu den jeweiligen Personen die jeweiligen XXXX affinitäten gespeichert werden.

2.3.3. Die Feststellungen zu 1.3.3 gründen auf der – zur Aussage der informierten Vertreterin XXXX erhobenen (VH-Protokoll vom 20.11.2024, S 5) – Stellungnahme der Beschwerdeführerin vom 11.11.2024, in der die Beschwerdeführerin den zeitlichen Ablauf der Bereitstellung der XXXX affinitäten, sowie den Verkauf an politische Parteien ausführlich und nachvollziehbar darlegte (vgl OZ 27, S 3, 22). Dass die XXXX -Affinitäten wurden für jeden Kunden individuell von der Technik erstellt worden sind, gründet in den Angaben der Zeugin XXXX vor der belangten Behörde, wonach die XXXX affinität immer individuell von der Technik erstellt worden sei, weil sie eine spezielle Zielgruppe betroffen haben (OZ 1, DSB-D550.148/0014-DSB/2019, S 20).

2.3.4. Die Feststellungen zur Lieferung der Daten an die Vertragspartner (Punkt 1.3.5) gründen in den Lizenzverträgen; die Feststellungen zum Ende der Datenlieferung gründen in der Aussage der informierten Vertreterin („Es gab eine relativ lange Kündigungsfrist. Nach der Berichterstattung Anfang 2019 haben wir aber trotz aufrechtem Vertragsverhältnisses die Daten gelöscht. Und zwar haben wir am 22.02.2019 den ersten Teil gelöscht, nämlich all jene Datensätze von Personen, die kein Auskunftsbegehren gestellt hatten.“ (VH-Protokoll vom 20.11.2024, S 10)) und den Überlegungen unter Punkt 2.3.6.. Dem abweichenden Vorbringen der Beschwerdeführerin im behördlichen Verwaltungsstrafverfahren, wonach der Vertrag mit dem XXXX bzw. mit der XXXX bereits mit Kündigung am 18.11.2018 geendet habe, konnte daher nicht gefolgt werden (Stellungnahme BF vom 10.09.2019, S 10, OZ 1, DSB-D550.148/0015-DSB/2019 S 174), zumal auch im Schriftverkehr zwischen dem XXXX und der BF, worin der XXXX am 07.03.2019 ausführt, dass „wir den Vertrag bereits im November 2018 gekündigt [haben] und dieser […] mit 31.07.2019 aus[läuft].“ (Stellungnahme und Urkundenvorlage der BF vom 26.11.2024, OZ 33, Beilage ./6 „Löschbestätigung / E-Mailverkehr XXXX “ S 2). Vor diesem Hintergrund war auch der Aussage der Zeugin XXXX , wonach die Löschung lediglich aus technischen Überlegungen auf nach Weihnachten verschoben werden musste, nur dahingehend zu verstehen, dass sie mit technischen Überlegungen vertragstechnische gemeint haben muss (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 22).

2.3.5. Die Anzahl der zugeschrieben „ XXXX affinitäten“ (Punkt 1.3.6) gründet in den übereinstimmenden Aussage XXXX (VH-Protokoll vom 20.11.2024, OZ 31, S 9) und der Zeugin XXXX (VH-Protokoll vom 20.11.2024, OZ 31, S 28). Zwar fällt auf, dass die genannte Zahl der Betroffenen niedriger ist, als die in der DSFA genannten Zahl der Datensätze. Das ist aber durch die im Wesentlichen übereinstimmende Rechtfertigung der BF (VH-Protokoll vom 20.11.2024, OZ 31, S 10) und die Aussage der Zeugin XXXX (VH-Protokoll vom 20.11.2024, OZ 31, S 28 f) erklärbar, wonach manchen Personen auf Grund unterschiedlicher Adressen mehrere Affinitäten zugeordnet und damit mehrere sie betreffende Datensätze erstellt worden sind, sowie durch die ergänzende Aussage der Zeugin XXXX , dass zu manchen Adressen aus statistischen Gründen keine XXXX affinität berechnet werden konnte (VH-Protokoll vom 20.11.2024, OZ 31, S 35 f). Auch die Angaben unter Punkt 1. des XXXX , wonach „Consumer Data [derzeit] etwa XXXX natürliche Personen [umfasse]“ schadet nicht, weil einerseits die konkreten Adressdaten erst aus einer Zuordnung mit der ebenfalls lizenzierten Datenbank XXXX , das ist der Adressdatenbestand der BF, ermittelt werden (Punkt 1. 2. Absatz) und die Lizenz ua gerade für die Datennutzung für Direct-Mailings (das sind Zusendungen von Werbesendungen per Post) eingeräumt wird (Punkt 3.2) sowie andererseits sich aus dem Vertrag nicht ergibt, dass für alle Personen auch die XXXX affinitäten berechnet worden sind; durch beide Umstände kann es aber, wie vorher ausgeführt, zu einer Reduktion der eindeutigen Personen kommen, für die die XXXX affinitäten berechnet bzw. zugeschrieben worden sind.

2.3.6. Die Feststellungen zum Ausstieg aus der Vermarktung der „ XXXX -Affinitäten“ und ihrer Hintergründe, gründen grundsätzlich in den diesbezüglich in Einklang zu bringenden Angaben der Zeugin XXXX („Wir haben dann im Zuge der medialen Berichterstattung über die Einführung der DSGVO, wo wir gesehen haben, dass die Öffentlichkeit sehr sensibilisiert ist für dieses Thema, in der DAM Gruppe diskutiert, ob wir die Daten der Affinitäten und Sinus-Geo-Milieus löschen sollen.“ Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 22 und „Es war eine Mischung aus mehreren Ursachen. Wie ich schon gesagt habe, es gab ja noch einen Kunden, der es bezieht, aber der hat schon gesagt, dass er nach Ablauf des Vertragszeitraumes die Daten nicht mehr benötigt. Auch unter diesem Aspekt war eine Löschung sinnvoll.“ Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 32 f) und des Zeugen XXXX („Hintergrund war auch, dass hinsichtlich der XXXX affinitäten wir eine geringe Kundenanzahl hatten und nicht viel damit verdient haben. Deswegen hat man sich dann entschlossen, das Produkt „auszuphasen“, […] das war eine Reputationsentscheidung““ Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 49).

Das Einlangen der Kündigungserklärung gründet in dem auf dem XXXX enthaltenen Eingangsstempel.

Dass erst nach Einlangen der Kündigungserklärung beschlossen wurde, die „ XXXX -Affinitäten“ nicht mehr zu vermarkten, gründet auf den Angaben der Zeugin XXXX . Sie sagt zwar aus, dass die Entscheidung etwa im Oktober 2018 (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 22) bzw im Herbst erfolgt sei (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 24), was auch auf einen früheren Zeitpunkt hindeuten könnte.

Es ist aber einerseits nachvollziehbar, dass eine Entscheidung zum Ausstieg, die auch aus wirtschaftlichen Gründen erfolgt ist, dann getroffen wird, wenn der letzte Kunde gekündigt hat; dies im Besonderen, weil im konkreten Fall bereits seit Februar 2018 (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 24) ergebnislos über einen Ausstieg nachgedacht worden ist. Andererseits hat die Zeugin XXXX als Entscheidungsgrundlage für den Ausstieg aus den „ XXXX -Affinitäten“ angegeben, dass es noch einen Kunden gegeben habe, der die Daten noch bezogen hat, „aber der hat schon gesagt, dass er nach Ablauf des Vertragszeitraumes die Daten nicht mehr benötigt.“ Es muss den Beteiligten zum Zeitpunkt der Aussage daher bereits klargewesen sein, dass der Vertrag nur mehr auslaufen wird, weshalb die Aussage – und damit auch die Entscheidung – nach dem Einlangen der Kündigungserklärung erfolgt sein muss (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 32 f).

Dass der bestehende Vertrag noch erfüllt werden sollte, gründet in den Überlegungen zu Punkt 2.3.5.

2.3.7. Die Feststellungen zur Löschung der XXXX affinitäten (Punkt 1.3.8) ergeben sich ua aus der Rechtfertigung der BF, dass sie die Daten auf Grund der Medienberichte Anfang 2019 – trotz aufrechter Vertragsverhältnisse – am 22.02.2019 gelöscht habe, sofern sie nicht Gegenstand eines Auskunftsbegehrens waren (PV XXXX , Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 10 f). Es ist nachvollziehbar, dass auf Grund von negativer öffentlicher Berichterstattung die Entscheidung getroffen wird, kritisierte Datenverwendungen einzustellen. Die zwar in Bezug auf den Zeitpunkt leicht abweichende aber sonst im Wesentlichen damit übereinstimmende Aussage der Zeugin XXXX , wonach die Daten ab Jänner 2019 nicht mehr gelöscht worden seien, weil es auf Grund eines Presseartikels so viele Anfragen gegeben habe (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 22), ist mit der Rechtfertigung in Einklang zu bringen, zumal der Sachverhalt mehrere Jahre zurückliegt und die Erinnerungen der Zeugin daher, insbesondere hinsichtlich genauer Zeitpunkt, ungenau sein können und sie in ihrer Einvernahme vor der belangten Behörde ohnehin auch von Februar 2019 als Löschungszeitpunkt ausgegangen ist (Abschrift der Tonaufzeichnung zur Zeugeneinvernahme vom 24.05.2019, OZ 1 DSB-D550.148/0014-DSB/2019, ZV XXXX , S 23).

2.3.8. Die Feststellungen zu 1.3.9 gründen im Hinblick auf den Zweck der Verarbeitung der XXXX affinitäten für Kunden der BF in der Stellungnahme der Beschwerdeführerin vom 22.01.2019, Seite 2 (OZ 1 „DSB-D550.148001-DSB2019 | Aufforderung zur Rechtfertigung 20.02.2019“, S 14) sowie der Aussage des XXXX , dem damaligen Leiter des Bereichs Daten- und Adressmanagement („Wir haben das […] gemappt […] um Streuverlust in der Werbung zu vermeiden.“ (VH-Protokoll vom 20.11.2024, S 49) und „Aber das Ziel des Produktes ist jedenfalls Streuverluste in der Werbung zu minimieren.“ (VH-Protokoll vom 20.11.2024, S 51)). Dass die Beschwerdeführerin mit der Verwendung der „ XXXX affinitäten“ wirtschaftliche Aspekte verfolgt hat, gründet darin, dass die BF die XXXX affinitäten gegen Entgelt vermarktet hat ( XXXX und XXXX , jeweils Punkt 11.) und der Aussage des Zeugen XXXX , wonach die Einstellung der Vermarktung der XXXX affinitäten auch deswegen diskutiert worden sei, weil „wir […] nicht viel damit verdient haben.“ (VH-Protokoll vom 20.11.2024, S 49).

2.3.9. Die Feststellung zu 1.3.10, wonach die Beschwerdeführerin keine Einwilligung eingeholt hat, gründet auf den – zur Aussage der informierten Vertreterin XXXX erhobenen – Angaben der Beschwerdeführerin in ihrer Stellungnahme vom 11.11.2024, S 21, wonach sie einräumt die XXXX affinitäten „ohne Einwilligung“ verarbeitet zu haben (siehe OZ 27, S 21). Zwar hat die informierte Vertreterin über konkrete Rückfrage ergänzt, dass etwa 2017 und „jedenfalls vor der DSGVO“ die BF von einem „opt in“ in ein „opt out“ Modell umgestellt hat (VH-Protokoll vom 28.11.2024, OZ 34, S 8); vor dem Hintergrund des Geständnisses ist aber davon auszugehen, dass in Hinblick auf die Ermittlung und Weitergabe der XXXX affinitäten mit Beginn des Tatzeitraumes, dh seit dem 25.05.2018, keine „opt in“ Erklärung (mehr) vorgelegen haben.

2.4. Zur Verarbeitung der „Paketfrequenz“:

Die Feststellungen zur Verarbeitung der Paketaffinitäten und Umzugsfrequenz gründen grundsätzlich auf den im Wesentlichen übereinstimmenden Anhaben der Zeugin XXXX vor der belangten Behörde als auch von XXXX als Vertreterin der Beschwerdeführerin vor der belangten Behörde und vor dem erkennenden Gericht.

Die Feststellungen zum Startzeitpunkt der Verwendung der Paketaffinitäten gründet auf den Angaben der Zeugin XXXX , wonach „das […] wahrscheinlich seit Februar 2019 nicht mehr gemacht wird.“ und „[d]ies […] ca 1,5 Jahre gemacht [wurde]“ (ZV XXXX DSB am 24.05.2019, OZ 1, D550.148014, S 24); zwar hat die Beschwerdeführerin angegeben, die Paketaffinitäten wären bereits seit Jänner 2016 berechnet worden (Stellungnahme XXXX vom 10.09.2019; Punkt 2.4 S 12 (OZ 1; DSB-D550.148/0015-DSB/2019 S 176)), vor dem Hintergrund des relevanten Tatzeitraumes mit Anwendbarkeit der DSGVO am 25.05.2018, konnte der Beginnzeitpunkt mit „zumindest“ August 2017 festgestellt werden. Die Feststellung, dass die Paketaffinität mit der Bezeichnung „Paketfrequenz“ einer bestimmten Person zugeordnet worden ist, gründet in einer nach Art 15 DSGVO erteilten Auskunft der Beschwerdeführerin (Straferkenntnis, OZ 1, XXXX , S 57); dass es sich bei der „Paketfrequenz“ nicht etwa um die durchschnittliche Anzahl der Pakete handelt, die diese Person in einem bestimmten Zeitraum erhalten hat sondern tatsächlich um die berechnete „Affinität“ gehandelt hat, ergibt sich daraus, dass der „Paketfrequenz“ eine Bezeichnung, wie „niedrig“, und nicht etwa eine konkrete Zahl zugeordnet worden ist, wie es bei einer Frequenz, die als Berechnungsgrundlage für ein Modell dienen soll, zu erwarten wäre.

Der Endzeitpunkt für die Berechnung und die Vermarktung der Paketaffinitäten gründet in der Aussage der XXXX , wonach „Die Paketaffinität wird seitdem ersten Halbjahr 2019 nicht mehr berechnet und auch nicht mehr verwendet.“ (Strafverhandlungsschrift vom 23.09.2019, OZ 1, DSB-D550.148/0016-DSB/2019 23.09.2019, S 36) und „das wird wahrscheinlich seit Februar 2019 nicht mehr gemacht“ (ZV XXXX DSB am 24.05.2019, OZ 1, D550.148014, S 24) und ist vor dem Hintergrund der Medienberichte, die mit Februar 2019 die Verarbeitung der „ XXXX affinitäten“ im Besonderen aber auch der „Affinitäten“ im Allgemeinen als problematisch erscheinen haben lassen, nachvollziehbar. Die Aussagen stehen überdies im Einklang mit den Angaben der XXXX in der hg Verhandlung am 28.11.2024, wonach sie nach der medialen Berichterstattung und noch vor dem Einlangen der „Aufforderung zur Stellungnahme“ im Verwaltungsstrafverfahren entschieden habe, die Daten zu löschen (Verhandlungsprotokoll vom 28.11.2024, OZ 34, S 2 f) und die Aufforderung zur Rechtfertigung mit 20.02.2019 datiert ist.

Der Zeitpunkt der Löschung der „Paketaffinitäten“ gründet in den Angaben der XXXX , wonach die tatsächliche Löschung aus technischen Gründen erst später erfolgen konnte (Verhandlungsprotokoll vom 28.11.2024, OZ 34, S 2 f) und bei anhängigen Auskunftsbegehren länger, längstens aber bis 13.05.2019 verarbeitet worden sind (Verhandlungsprotokoll vom 28.11.24, OZ 34, S 7).

Die Feststellungen zur Erstellung des Hochrechnungsmodells sowie der Ermittlung der „Paketfrequenz“ und der „Paketaffinität“ gründet in einer Zusammenschau der nachvollziehbaren Angaben der XXXX in der Verhandlung am 20.11.2024 (VH-Protokoll vom 20.11.2024, OZ 31, S 11) und der Zeugin XXXX vor der belangten Behörde („Daraus kann man eine Paketfrequenz berechnen. Im Anschluss […] machen Sie dann auch wieder für die Folgejahre Hochrechnungsmodelle. Daraus kann man dann wieder Hochrechnungen erstellen.“ (Abschrift der Tonaufzeichnung vom 24.05.2019, OZ 1, D550.148/0014-DSB/2019, S 21) sowie ihren Angaben zur grundsätzlichen Vorgehensweise bei der Erstellung der „Rechenmodelle“ (Abschrift der Tonaufzeichnung vom 24.05.2019, OZ 1, D550.148/0014-DSB/2019, S 20)) mit den damit im wesentlichen übereinstimmenden Angaben zur Berechnung der Zielgruppenadressen bzw Affinitäten in der Datenschutzfolgenabschätzung (S 6 f; W258 2217446-1, OZ 1, S 50 ff). Die Feststellung, dass zumindest die Liste der Empfangen Pakete und der Empfangszeitpunkt vom Geschäftsbereich der Paketzustellung übernommen worden ist, gründet einerseits auf den allgemeinen Angaben der Zeugin XXXX , wonach „wir […] vom Paketbereich [wissen], die Person […] bekommt in einem […] Zeitraum […] Pakete“ und „im Anschluss an diese Datenübermittlung durch den Paketbereich […] machen [s]ie dann […] Hochrechnungsmodelle“ (ZV XXXX , Abschrift der Tonaufzeichnung vom 24.05.2019, OZ 1, D550.148014, S 21) und XXXX , wonach „eine Kennzahl aus dem Paketbereich in den DAM-Bereich übermittelt und dann statistisch bewertet [wird]“ (Strafverhandlungsschrift vom 23.09.2019, OZ 1, DSB-D550.148016-DSB2019, S 35) und dass es zwar eine „Chinese Wall“ zwischen den einzelnen Geschäftsbereichen gegeben habe, die aber durchlässig gewesen sei, „etwa bei den Paketfrequenzen, die für Hochrechnungen verwendet worden sind“ (VH-Protokoll vom 20.11.2024, OZ 31, S 6) und andererseits auf der Überlegung, dass bei der Berechnung einer Frequenz die Anzahl der Ereignisse in einem bestimmten Zeitraum berechnet werden und daher für die Berechnung sowohl eine Auflistung der empfangenen Pakete als auch der Empfangszeitraum erforderlich ist.

Dass die Hochrechnungsmodelle jährlich erstellt worden sind, gründet in der Aussage der Zeugen XXXX , wonach alle Modelle jedes Jahr geprüft und allenfalls neu berechnet werden und dass das auch für die Paketaffinitäten gilt („Und dann überprüfen wir das Modell mit den Daten des Jahres, welches wir vorher ausgesondert haben. Denn diese Wahrscheinlichkeit muss dann auf dieses Jahr zutreffen. Haben wir dann starke Abweichungen, dann verändern wir das Modell. Wir rechnen es nochmal durch und schauen wie gut ist die Prognose nach dem neuen Modell. Das ist die generelle Vorgehensweise bei allen Hochrechnungen.“ bzw „wir […] vom Paketbereich [wissen], die Person […] bekommt in einem […] Zeitraum […] Pakete“ und „im Anschluss an diese Datenübermittlung durch den Paketbereich […] machen [s]ie dann auch wieder für die Folgejahre Hochrechnungsmodelle“) (ZV XXXX , Abschrift der Tonaufzeichnung vom 24.05.2019, OZ 1, D550.148014, S 21).

Dass von der Berechnung auch Personen betroffen waren, die nicht Kunden der Beschwerdeführerin waren, und wie sie dennoch berücksichtigt werden konnten, gründet in den nachvollziehbaren Angaben der Zeugin XXXX (DSB vom 24.05.2019, OZ 1 D550.148014, S 23).

Die Anzahl von der Weitergabe der „Paketfrequenzen“ betroffenen Personen gründet in der Überlegung, dass die Beschwerdeführerin XXXX für einen Großteil der Paketzustellungen in Österreich verantwortlich ist und daher für die meisten Adressen Österreichs Paketzustellungen vornimmt, die gesamte Datenbank der DAM-Zielgruppenadressen für postalische Werbesendungen etwa XXXX Adressen umfasst (DSFA Anhang 2B-1 S 1, S 25 ), aber nicht alle diese Personen Pakete durch die Beschwerdeführerin erhalten haben und einige Personen mehrere Adressen haben, weshalb nicht XXXX sondern XXXX Personen festzustellen waren.

Dass keine Einwilligung zur Weiterverarbeitung der Paketfrequenzen eingeholt wurde ergibt sich aus den Angaben der XXXX in der hg Verhandlung (VH-Protokoll vom 28.11.2024, OZ 34, S 8). Zwar hat die informierte Vertreterin über konkrete Rückfrage ergänzt, dass etwa 2017 und „jedenfalls vor der DSGVO“ die BF von einem „opt in“ in ein „opt out“ Modell umgestellt hat (VH-Protokoll vom 28.11.2024, OZ 34, S 8); vor dem Hintergrund des Geständnisses zu den XXXX affinitäten und einem fehlenden Vorbringen ist aber davon auszugehen, dass auch in Hinblick auf Paketfrequenzen mit Beginn des Tatzeitraumes, dh seit dem 25.05.2018, keine „opt in“ Erklärung (mehr) vorgelegen haben.

2.4.1. Die Feststellungen zu den Verträgen über die Lizenzierung der XXXX affinitäten (Punkt 1.3.4) gründen auf den vorgelegten Verträgen ( XXXX und XXXX ) die sich im Wesentlichen mit den Angaben der informierten Vertreterin XXXX (VH-Protokoll vom 20.11.2024 S 10) und dem – zu ihrer Aussage erhobenen – Vorbringen decken (OZ 27, S 3, 22). Die monatlichen Aktualisierungen der Daten gründen im Besonderen in den Punkten 8.4 (monatliche Updates) und 11.1. (Lizenzentgelt inkl. Lieferung von monatlichen Updates) der Lizenzverträge. Die Angaben zu den Kündigungen der Verträge waren durch die Kündigungserklärungen, nämlich dem XXXX und dem XXXX , objektivierbar, ebenfalls durch den Schriftverkehr zwischen dem XXXX am 07.03.2019 ausführt, dass „wir den Vertrag bereits im November 2018 gekündigt [haben] und dieser […] mit 31.07.2019 aus[läuft].“ (Stellungnahme und Urkundenvorlage der BF vom 26.11.2024, OZ 33, Beilage ./6 „Löschbestätigung / E-Mailverkehr XXXX “ S 2) weshalb den zum Teil abweichenden Angaben der informierten Vertreterin XXXX („Das heißt im November 2018 haben wir gekündigt“ (VH-Protokoll vom 20.11.2024 S 10)) nicht gefolgt werden konnte.

Hinsichtlich dem Umfang der Datenlieferungen fällt zwar auf, dass in den im Anhang der Lizenzverträge aufgelisteten Datenarten die Datenart „ XXXX affinität“ enthalten ist und ihr Typ mit lediglich „1 BIT“ angegeben wird ( XXXX und XXXX jeweils S. 16), was bedeuten würde, dass die Datenart „ XXXX affinität“ nur zwei Zustände einnehmen kann und damit nicht geeignet wäre, die XXXX affinitäten für mehrere Parteien in mehreren Ausprägungen abzubilden. Daraus kann aber nicht geschlossen werden, dass die XXXX affinitäten tatsächlich nicht Vertragsgegenstand waren, zumal einerseits einige Datenfelder im Anhang der Lizenzverträge geschwärzt worden sind, und aus ihnen daher der Umfang der Datenübermittlung nicht abschließend bestimmt werden kann. Andererseits deutet die Verwendung eines binären Datentyps der Länge 1, die üblicherweise im Sinne von „wahr“ und „falsch“ bzw „vorhanden“ und „nicht vorhanden“ verwendet werden, gerade darauf hin, dass zu deinem Datensatz XXXX affinitäten zur Übermittlung vorhanden sind oder nicht.

2.5. Zur Verarbeitungen der Umzugshäufigkeit:

2.5.1. Zur Datenverarbeitung:

Die Feststellungen zur grundsätzlichen Ermittlung und Zuordnung der „Umzugsaffinitäten“ sowie dem Zweck gründen in den übereinstimmenden Angaben der Zeugin XXXX und von XXXX .

Die Feststellungen zum Startzeitpunkt gründen in den Angaben der Beschwerdeführerin („Die erste erstellte Prognose und Zuordnung zu Personen fand[…] im Jänner 2017 statt.“, Stellungnahme BF vom 10.09.2019, S 13; OZ 1, DSB-D550.148/0015-DSB/2019, S 177).

Die Feststellungen zum Hochrechnungsmodell und der Prüfungsfrequenz gründen auf die Aussagen der Zeugen XXXX im Verfahren vor der belangten Behörde, in der sie die Erstellung der Hochrechnungsmodelle für den Bereich Paketaffinität und Umzugsaffinität beschrieben hat (Abschrift der Tonaufzeichnung zur Zeugeneinvernahme von Frau XXXX “, S 5 f; OZ 1, DSB-D550.148/0014-DSB/2019 S 20 f). Dass die Zuschreibung der Werte in Form einer Kategorisierung erfolgt ist, gründet in dem Vorbringen der Beschwerdeführerin (Stellungnahme BF vom 10.09.2019, Punkte 2.5, OZ 1; DSB-D550.148/0015-DSB/2019, S 177), die mit einer von der Beschwerdeführerin erteilten Auskunft nach Art 15 DSGVO übereinstimmt, in der die Umzugsaffinität als „niedrig“ klassifiziert wird (Straferkenntnis; OZ 1; XXXX , S 57).

Strittig ist, woher die Beschwerdeführerin die Daten zur „Umzugshäufigkeit“ bezogen hat. Während die belangte Behörde davon ausgegangen ist, dass die Beschwerdeführerin diese Daten sowohl aus vergangener Nachsendeaufträge ableitet, als auch von der XXXX zugekauft hat, verneint die Beschwerdeführerin – mit näherer Begründung – die Verwendung vergangener Nachsendeaufträge. Den Angaben der Beschwerdeführerin kann nicht gefolgt werden.

So hat die Zeugin XXXX , die als Verantwortliche für die Zielgruppenadressen den unmittelbarsten Überblick über die Ermittlung der Affinitäten gehabt haben muss, vor der DSB allgemein zu den Auswahlkriterien der Zielgruppenadressen angegeben, dass „eine weitere Datenquelle […] der Nachsendeauftrag [sei]“ sowie dass die Beschwerdeführerin „[zur Umzugsaffinität] vergangene Nachsendeaufträge [nehme] und […] eine Wahrscheinlichkeit[ berechne,] wie wahrscheinlich es ist, dass an dieser Adresse wieder ein Umzug stattfinden wird. […] “ und „Daten von anderen XXXX her[nehme], Daten die [sie] von alternativen Quellen geliefert bekommen haben/ und führe[…] diese mit [ihren] eigenen Nachsendeauftragsdaten zusammen.“ (Abschrift der Tonaufzeichnung zur Zeugeneinvernahme XXXX vom 24.05.2019, S 6 bzw OZ 1, DSB-D550.148/0014-DSB/2019, 21).

Die Zeugin konnte sich zwar in Verhandlung am 20.11.2024 befragt zu Herkunft der Datenart „Umzugshäufigkeit“ nur an XXXX erinnern. Dieser Aussage kann aber ihre Aussage vor der belangten Behörde nicht in Zweifel ziehen. Einerseits ist ihre Aussage vor der belangten Behörde zeitlich näher am Tatgeschehen, weshalb davon auszugehen ist, dass sich die Zeugin damals besser erinnern konnte.

Andererseits hat sie über den Vorhalt ihrer früheren Aussage, ihre Aussage nicht etwa korrigiert und insbesondere nicht versucht, den Widerspruch mit einer Unschärfe der Verwendung der Begriffe „Umzugsaffinitäten“ und „Umzugshäufigkeiten“, wie sie die Beschwerdeführerin vermeint, zu rechtfertigen, sondern gesteht den Widerspruch ein und weist auf eine falsche Erinnerung hin.

Es ist der Beschwerdeführerin zwar dahingehen zuzustimmen, dass die Zeugin in ihrer Aussage tatsächlich nicht sorgfältig zwischen der „Umzugshäufigkeit“ einerseits und der „Umzugsaffinität“ andererseits, unterscheidet. Vor dem Hintergrund ihrer Beschreibung, wie die Berechnung der Affinitäten erfolgt, insbesondere, dass auf Grund bestimmter Datenarten in einem ersten Schritt Modelle entwickelt werden, die dann verwendet werden, um Affinitäten zu berechnen, erhellt aber, dass die Nachsendeaufträge nur dafür genutzt werden konnten, um Umzugshäufigkeit zu ermitteln, die verwendet werden, um ein taugliches Modell zur Berechnung von „Umzugsaffinitäten“ zu entwickeln. Eine andere sinnvolle Anwendung der Nachsendeaufträge ist bei keinem der für die Ermittlung einer konkreten „Umzugsaffinität“ erforderlichen Schritten ersichtlich.

Denkbar könnte einzig sein, dass aktuelle Nachsendeaufträge verwendet werden, um die Adressen in der DAM-Datenbank zur aktualisieren und damit auch Umzugsaffinitäten zu aktualisieren. Die Zeugin hat aber von „vergangene[n] Nachsendeaufträge[n]“ gesprochen; mehrere und veraltete Nachsendeaufträge werden aber gerade nicht zur Adressaktualisierung benötigt, weshalb dieser Argumentation kein Raum verbleibt.

Die Aussage der Zeugin scheint zwar auch im Widerspruch zu den Angaben von XXXX zu stehen, wonach die Umzugshäufigkeit ausschließlich von XXXX zugekauft worden sei. XXXX hat aber ebenfalls angegeben, dass die „die Affinität […] berechnet […] und […] da auch die Nachsendeauftragsdaten verwendet [worden sind].“ (VH-Protokoll vom 20.11.2024, OZ 31, S 12) und „Im Falle eines Umzugs wird die neue Adresse gemäß Nachsendeauftrag dann verwendet, wenn die betroffene Person dem gemäß Gewerbeordnung nicht widersprochen hat.“ (Verhandlungsprotokoll vom 23.09.2019, DSB-D550.148/0016-DSB/2019, S 34). Sie bestätigt damit dem Grund nach, dass die Nachsendeauftragsdaten bei der Berechnung der „ XXXX affinitäten“ verwendet worden sind. Da die Verwendung der Nachsendeaufträge aber nur im Rahmen der Entwicklung des Modells in Form einer „Umzugshäufigkeit“ sinnvoll ist (vgl die vorherigen Überlegungen), bestätigt sie damit auch die Verwendung der Nachsendeaufträge zur Berechnung einer „Umzugshäufigkeit“.

Letztlich kann auch die von der belangten Behörde herangezogene beispielhafte Auskunft der Beschwerdeführerin nach Art 15 DSGVO entgegen den Ausführungen der Beschwerdeführerin daran nichts ändern. Zwar wird darin in der Rubrik „Gespeicherte Daten“ die Datenart „Anzahl der Umzüge“ erwähnt und als Datenquelle XXXX bzw als Lieferant der oben angeführten Daten XXXX ausgewiesen (Straferkenntnis, OZ 1, XXXX , S 58). Daraus kann aber nur geschlossen werden, dass die XXXX der Beschwerdeführerin das Datum „Anzahl der Umzüge“ übermittelt hat. Hingegen kann daraus nicht abgeleitet werden, dass die Beschwerdeführerin Umzugshäufigkeiten nicht auch aus anderen Quellen erhalten bzw ermittelt hat, wie es die Zeugin XXXX ursprünglich ausgeführt hat.

2.5.2. Zur etwaigen Rechtsgrundlage:

Dass die Beschwerdeführerin keine Einwilligung der Betroffenen Personen zur Verarbeitung der „Umzugshäufigkeit“ eingeholt hat, gründet in den Angaben der XXXX in der hg Verhandlung (Verhandlungsprotokoll vom 28.11.2024, OZ 34, S 8). Zwar hat die informierte Vertreterin über konkrete Rückfrage ergänzt, dass etwa 2017 und „jedenfalls vor der DSGVO“ die BF von einem „opt in“ in ein „opt out“ Modell umgestellt hat (VH-Protokoll vom 28.11.2024, OZ 34, S 8); vor dem Hintergrund, dass sie vor der belangten Behörde auch erwähnt hat, dass „bei Nachsendeaufträgen […] die Möglichkeit [erfolgt] der Datenverarbeitung zu widersprechen (opt out nach der Gewerbeordnung)“ (Verhandlungsprotokoll vom 23.09.2019, DSB-D550.148/0016-DSB/2019, S 32), des Geständnisses zu den XXXX affinitäten und einem fehlenden Vorbringen ist aber davon auszugehen, dass auch in Hinblick auf Paketfrequenzen mit Beginn des Tatzeitraumes, dh seit dem 25.05.2018, keine „opt in“ Erklärung (mehr) vorgelegen haben.

Dass im Zuge der Beauftragung eines Nachsendeauftrags Betroffene über die Datenverwendung und eine „opt-out“ Möglichkeit informiert werden und die Art der Information, gründet darüber hinaus auf der Aussage der Zeuge XXXX (Abschrift der Tonaufzeichnung zur Zeugeneinvernahme von Frau XXXX vom 24.05.2019, OZ 1, DSB-D550.148/0014-DSB/2019, S 21). Der konkrete Text gründet auf den Angaben in der DSFA zur Datenanwendung „DAM-Zielgruppenadressen“ (DSFA S 11).

2.6. Zu den Feststellungen zur subjektiven Tatseite:

2.6.1. Hinsichtlich der XXXX affinitäten:

Zur Vorbereitung der Beschwerdeführerin auf die DSGVO:

Die Feststellungen zur Vorbereitung der Beschwerdeführerin auf die DSGVO gründen auf den Angaben der Beschwerdeführerin im behördlichen Verwaltungsstrafverfahren (Stellungnahme BF vom 10.09.2019 S 2 f, DSB-D550.148/0015-DSB/2019 S 166 f).

Die Feststellung, wonach die Datenschutzbeauftragte bei der Prüfung einzelner Datenanwendungen einzubeziehen war, gründet auf der Angabe der Zeugin XXXX (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 39).

Die Feststellung, wonach die Rechtsabteilung nicht in die Beurteilung der Datenanwendungen eingebunden war, gründet in den entsprechenden Angaben der XXXX (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 5).

Zur Datenschutzmanagerin des Bereichs „DAM Zielgruppenadressen“:

Die Feststellungen zur Datenschutzmanagerin des Bereichs „DAM Zielgruppenadressen“ gründen auf den Angaben der Zeugin XXXX in der Verhandlung am 20.11.2024 (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 17 ff). Dass sie die Definition „personenbezogene Daten“ nicht kennt, gründet ebenfalls auf ihrer Befragung (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 36).

Zur Datenschutzbeauftragten der Beschwerdeführerin:

Die Feststellungen zur Datenschutzbeauftragten der Beschwerdeführerin gründen auf den Angaben der Zeugin XXXX in der Verhandlung am 20.11.2024 (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 38 f).

Zur datenschutzrechtlichen Prüfung der „ XXXX -Affinitäten“ durch die Beschwerdeführerin:

Die Feststellungen zur datenschutzrechtlichen Prüfung der „ XXXX -Affinitäten“ durch die Beschwerdeführerin gründen grundsätzlich auf den Angaben der Zeugin XXXX in der Verhandlung am 20.11.2024 (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 19 ff, insbesondere 19, 21, 31, 32, 34). Dass die Datenanwendung neuerlich wegen einer öffentlichkeitswirksamen Debatte in Deutschland geprüft worden ist, gründet in den Angaben des Zeugen XXXX (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 49).

Die Feststellungen, wonach der XXXX und die XXXX gegenüber der Zeugin XXXX nicht erörtert haben, dass es sich bei den Affinitäten um keine personenbezogenen Daten handelt, gründen in den folgenden Überlegungen:

Die Zeugin erwähnt in ihrer Aussage vor dem erkennenden Gericht lediglich, dass die Zulässigkeit der Marketingklassifikationen als zulässig erachtet worden sind („In diesen Gesprächen ist es auch zum Ergebnis gekommen, dass diese statistische Zuordnung zulässig sei“; „Grundsätzlich war die Meinung aller Personen in dieser Arbeitsgruppe [des XXXX ], dass diese Marketingmerkmale weiterhin zulässig sind.“ (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 21, 31)). Auch auf die konkrete Frage, ob in dem vom Kollegen der Firma XXXX erwähnten Gutachten, die Einschätzung vertreten worden ist, dass es sich nicht um personenbezogene Daten handelt, konnte sich die Zeugin nicht erinnern (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 21), und über die konkrete des BFV, ob im Rahmen der Arbeitsgruppe des XXXX auch Rechtsthemen rund um das heute erörterte Thema Personenbezug von Marketingklassifikation und Gewerbeordnung erörtert worden ist, geht sie auf das Thema Personenbezug nicht ein, sondern bezieht sich auf die Gewerbeordnung („Auf jeden Fall, weil ja eine lange Zeit unklar war, wird die Gewerbeordnung unter der DSGVO weiter gelten. Dahingehend war es eine große Erleichterung, so nach dem Motto „Ja“, als die Gewerbeordnung novelliert wurde und an die DSGVO angepasst worden ist.“ und setzt dann lediglich allgemein fort „Nichtsdestotrotz gab es viele Punkte über die diskutiert wurde […]“ (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 31)). Auch der Zeuge XXXX im Zusammenhang mit Treffen mit dem XXXX , lediglich Überlegungen zur Gewerbeordnung, nicht aber zum Personenbezug („Wir haben uns relativ intensiv auch mit XXXX getroffen. Es haben dort alle diskutiert. Und aber die einheitliche Meinung, solange die Gewerbeordnung so ist, wie sie ist, dann passt das.“ (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 53)). Ebenso spricht auch der Zeuge XXXX lediglich davon, dass der XXXX zum Ergebnis gekommen ist, dass die Wahrscheinlichkeiten „okay“ sind („Mit XXXX [gesprochen worden ist]. Die Branche hat das evaluiert und ist zum Ergebnis gekommen, dass die Wahrscheinlichkeiten Okay sind.“ (Verhandlungsprotokoll vom 28.11.2024, OZ 34, S 10)) und der Zeuge XXXX , dass beim XXXX prioritär regelmäßig Erkundigungen zum § 151 GewO eingeholt worden sind (Verhandlungsprotokoll vom 28.11.2024, OZ 34, S 26). Letztlich erscheint es auch vor dem Hintergrund der damaligen Rechtslage (siehe Punkt 1.6.1.1) unwahrscheinlich, dass der XXXX die Meinung vertreten haben soll, dass es sich bei Sinus-Geo-Milieus oder sonstigen Marketingklassifikationen trotz ihrer Zuordnung zu bestimmten Personen um keine personenbezogenen Daten gehandelt haben soll.

Dass die XXXX -Affinität kein Thema im Arbeitskreis des XXXX und bei der XXXX war, gründet darauf, dass die Zeugin XXXX einerseits angibt, sich primär mit den Sinus-Geo-Milieus beschäftigt zu haben und auf Grund ihrer Ähnlichkeit auf die XXXX -Affinitäten geschlossen hat (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 20, 21) und sie über konkrete Frage, ob bei der Besprechung mit XXXX „ XXXX -Affinitäten“ ein Thema waren, auf die „Sinus-geo-Milieus“ verweist, („eher über die Sinus Geo Milieus“, „Wir haben darüber gesprochen, wie diese Geo Milieus datenschutzrechtlich einzuordnen sind.“ (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 21)); vor diesem Hintergrund kann die Angabe der Zeugin über die konkrete Frage, ob in der Arbeitsgruppe des XXXX die XXXX affinitäten behandelt worden sind, „ich kann mich nicht erinnern“ (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 32)) nur so gewertet werden, dass auch in der Arbeitsgruppe des XXXX die XXXX -Affinitäten kein Thema waren.

Dass die Zeugin XXXX eine Entscheidung der Datenschutzbehörde oder der Datenschutzkommission fehlinterpretiert hat gründet aus den angeführten Entscheidungen der jeweiligen Behörden und den Ausführungen unter Punkt 1.6.1.1.

Die Feststellung wonach sie im Zusammenhang mit Datenschutzkursen auch mit Anwälten gesprochen hat, gründet auf der Angabe der Zeugin XXXX (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 34). Dass es keinen darüber hinausgehenden Austausch mit Anwälten gegeben hat, gründet darin, dass dies keiner der Personen, die operativ mit der Datenanwendung DAM-Zielgruppenadressen beschäftig war, dh die Zeugen XXXX , XXXX und XXXX , ausgesagt hat. Auch aus der Aussage des Vorgesetzten der Zeugin XXXX , des Zeugen XXXX , kann das nicht abgeleitet werden. Lediglich der Zeuge XXXX spricht davon, dass auch mit Anwälten gesprochen worden ist („Es wurde mit Anwälten gesprochen.“, „Über Frage, ob sich die XXXX beraten hat lassen, auch von Anwälten hinsichtlich der XXXX affinitäten: Ja genau. Das kann ich jetzt nicht sagen, aber man hat die Runden gezogen.“, „Nein, damit meine ich nicht zu den XXXX affinitäten. Das ist in diesem Detailierungsgrad nicht zum Thema gestanden, sondern es ging allgemein um Affinitäten.“ (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 10)); er war als Bereichsleiter und Vorgesetzter des Zeugen XXXX in die Prüfung der Datenanwendung aber nur insoweit eingebunden, als er sich berichten ließ („Ich wurde allerdings generell über die Affinitäten informiert, auch datenschutzrechtlich. Mir wurde mitgeteilt, dass sie datenschutzrechtlich Okay wären.“, Verhandlungsprotokoll vom 28.11.2024, OZ 34, S 9) und hatte daher als Manager für weitere sieben bis acht andere Bereiche lediglich einen allgemeinen Überblick (Verhandlungsprotokoll vom 28.11.2024, OZ 34, S 9); es ist daher davon auszugehen, dass er damit nicht im Detail über anwaltliche Kontakte Bescheid gewusst hat und kein über den von XXXX erwähnten anwaltlicher Kontakt im Rahmen von Schulungen bestand.

Dass die Besprechungen lediglich auf § 151 GewO bezogen waren, gründet auf ihren überzeugenden Angaben, wonach sie bereits zu § 151 GewO keine zufriedenstellenden Angaben erhalten hat und daher tiefergehende Fragen sinnlos gewesen wären (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 34 f) in Zusammenschau mit dem Umstand, dass die Möglichkeit in Seminaren einzelfallbezogene Fragen vertiefend zu besprechen sehr begrenzt sind.

Die Feststellungen, wonach die Zeugin XXXX die Zulässigkeit der Datenanwendung auch in ihrem Team diskutiert hat, zu den Bedenken des XXXX , ihrer Erörterung im Jour Fixe der Teamleiter und das Ergebnis der Erörterung gründen auf ihren Angaben vor dem erkennenden Gericht („Nun, das war eine Meinung in der Diskussion, die wir sehr ernst genommen haben. Trotzdem haben wir das aufgenommen, bzw. die Meinung aufgenommen, die bei uns mehrheitsfähig war. Wir haben aber die Bedenken ernst genommen und in der Leitungsgruppe diskutiert.“, Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 26). Dass der Zeuge XXXX Bedenken hinsichtlich des Personenbezugs hatte, hat er ebenfalls bestätigt („Nun ich habe Bedenken gehabt im Sinne, dass man sich das genau anschauen muss, etwa ob ein Personenbezug vorliegt.“, Verhandlungsprotokoll vom 28.11.2024, OZ 34, S 13). Dass die Zeugin XXXX im Jour Fixe die Meinung vertreten hat, dass kein Personenbezug vorliege gründet darin, dass sie angab, keine Zweifel an dieser Einordnung gehabt zu haben (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 20) bzw von ihrer Argumentation überzeugt war (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 25). Zwar konnte sich der Zeuge XXXX nicht erinnern, ob Bedenken an der Zulässigkeit der XXXX -Affinitäten erörtert worden sind, das kann aber auf Grund des langen zurückliegenden Zeitraums und dadurch erklärbar sein, dass er die Meinung als nicht relevant und gegen seine eigene Überzeugung erachtet und sie sich daher nicht gesondert gemerkt hat (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 49). Dass er sowohl davon ausgegangen ist, dass es sich bei den Affinitäten nicht um personenbezogene Daten gehandelt hat und ihre Verarbeitung durch die Gewerbeordnung gedeckt sei, gründet auf seiner hg Einvernahme („Aber wir haben ja diese Daten nicht persönlich bei den oder von den Betroffenen erhoben. Wir haben das ja nur gemappt und letztlich dann, um Streuverlust in der Werbung zu vermeiden.“ (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 49) und „[…] aber die einheitliche Meinung [in der Diskussion mit dem XXXX war], solange die Gewerbeordnung so ist, wie sie ist, dann passt das. Und die Gewerbeordnung wurde dann zwar geändert, aber ausschließlich der Begriff von DSG auf DSGVO gewechselt, aber inhaltlich war es genau die gleiche Aussage. Aus dem konnten wir schließen, dass sich da erstmal rechtlich sich nichts ändert.“ (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 53)).

Die Feststellung, wonach nach der Erörterung der Meinung des Zeugen XXXX im Jour Fixe, wonach es sich bei den XXXX -Affinitäten um personenbezogene Daten handeln könne, keine weitere Prüfung seiner Bedenken stattgefunden hat, gründet auf den folgenden Überlegungen:

Zu Frage inwieweit der Zeuge XXXX eine rechtliche Überprüfung der Zulässigkeit der Partei auf durchgeführt hat, führte er aus, dass er Bedenken geäußert habe, nach seinen Vorhebungen einer gemeinsamen Prüfung – auch für sich – zum Ergebnis gekommen ist, dass die Datenverarbeitung zulässig sei (Verhandlungsprotokoll vom 28.11.2024, OZ 34, S 15).

Dem kann nicht gefolgt werden.

So hat die Zeugin XXXX , ausgesagt, dass der Zeuge XXXX Bedenken geäußert habe und diese Bedenken in der Leitungsgruppe erörtert aber verworfen worden seien. Als Grund hierfür gibt sie an, dass diese Meinung nicht mehrheitsfähig gewesen sei. Dass Herr XXXX recherchiert und seine Meinung geändert hätte, erwähnt sie nicht. Das wäre aber zu erwarten gewesen, wenn Herr XXXX tatsächlich Recherchen oder eine detaillierte Überprüfung durchgeführt hätte, die zu einem anderen Ergebnis geführt hätten.

Zwar hat der Zeuge XXXX seine Recherchetätigkeit beschrieben; er beschreibt sie aber entweder allgemein „Literatur dargelegt“ oder in Hinblick auf seine Bedenken zum Personenbezug nicht relevant, etwa zum § 151 GewO und einer Literaturmeinung dazu oder, ob politische Parteien die Daten nutzen dürfen. Hinsichtlich des Personenbezugs gibt er lediglich eine Überlegung zur Veränderung der XXXX -Affinitäten je nach Adresse an. Auf etwaige Aspekte, die gegen den Personenbezug sprechen würden und Gegenstand seiner Recherche sein hätten müssen (siehe Punkt 1.6.1 „Zur Rechtslage zu Marketingklassifikationen vor dem 25.05.2018“), erwähnt er nicht (Verhandlungsprotokoll vom 28.11.2024, OZ 34, S 14 ff).

Letztlich ist der Zeuge XXXX Fragen nach seiner Tätigkeit im Zusammenhang mit der Prüfung der XXXX affinitäten auffallend ausgewichen und er steht bei der Beschwerdeführerin in einem Abhängigkeitsverhältnis, weil er bei ihr beschäftigt ist (Verhandlungsprotokoll vom 28.11.2024, OZ 34, S 11). Diese Abhängigkeit besteht bei der Zeugin XXXX nicht, weil sie bereits in Pension ist (OZ 25). Sie hat die ihr gestellten Fragen in diesem Zusammenhang auch konkret, überlegt und ruhig beantwortet, weshalb ihrer Aussage zu folgen war.

Die Feststellungen, zur rechtlichen Einordnung der „Sinus-Geo-Milieus“ und „ XXXX -Affinitäten“ durch die Zeugin XXXX gründet in ihren Angaben vor dem erkennenden Gericht (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 19 f und 25 „Grundsätzlich fand ich meine Argumentation aus damaliger Sicht überzeugend.“). Dass sie dennoch beauskunftet worden und über Verlangen gelöscht worden sind, sowie dass in der DSFA und im VVZ genannt werden, obwohl das eigentlich nicht erforderlich wäre, wenn sie keine personenbezogenen Daten sind, mag mit den geltend gemachten Transparenzgründen erklärbar sein (etwa PV Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 41, ZV XXXX Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 21). Dass Frau XXXX deswegen von einer Zulässigkeit der Verwendung der „ XXXX -Affinitäten“ ausgehe, weil § 151 Abs 6 GewO die Verarbeitung rechtfertige (in diesem Sinne die Beschwerdeführerin in OZ 27 S 20 oder PV Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 9), erwähnt sie nicht, weshalb – vor dem Hintergrund, dass sie Prüfung primär durch Frau XXXX durchgeführt worden ist – den diesbezüglichen Abgaben der BF nicht zu folgen war.

Die Feststellungen zur Abstimmung der Zeugin XXXX mit der Datenschutzbeauftragten und zur Prüfung der „ XXXX -Affinitäten“ durch die Datenschutzbeauftragten gründen auf den Angaben der Datenschutzbeauftragten („Ich habe sie damals geprüft und mich auch mit der Datenschutzmanagerin dazu abgestimmt.“, „es handelt sich ja um Statistiken und Wahrscheinlichkeitswerte. […] Wenn es sich um anonyme Statistiken handelt, dann sind das keine personenbezogenen Daten.“ (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 39 f)).

Die Feststellung, wonach die Datenschutzbeauftragte eine weiterführende Prüfung des Personenbezugs der „ XXXX -Affinitäten“ und eine Hinterfragung ihrer Meinung unterlassen habe sowie, selbst die Meinung vertreten hat, dass es sich um keine personenbezogenen Daten handle, gründet auf den folgenden Überlegungen:

So gab sie selbst an, dass der Personenbezug nicht zur Debatte gestanden ist („Es ist nicht zur Debatte gestanden, dass es sich um personenbezogene Daten handelt, es wurde einfach über eine Person eine Statistik darüber gelegt, eigentlich sogar nur eine Wahrscheinlichkeit.“ (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 40).

Über Frage der Datenschutzbehörde zu ihrer Bewertung der „ XXXX -Affinität“ hat sie lediglich auf „keine großen Zweifel“ und auf das Vorliegen von Statistiken und Wahrscheinlichkeiten verwiesen („[…] Ich hatte keinen großen Zweifel daran sonst hätte ich das Produkt untersagen lassen. […] Für mich war wesentlich, dass es sich um Statistiken und Wahrscheinlichkeiten handelt und nicht um Daten die bei der betroffenen Person ermittelt oder erhoben worden sind, Damit sind sie für mich datenschutzrechtlich nicht relevant, weil Statistiken.“ (Abschrift der Tonaufzeichnung zur Zeugeneinvernahme von Frau XXXX vom 24.05.2019, OZ 1, DSB-D550.148/0014-DSB/2019, S 35).

Auch vom BFV befragt, ob in der deutschen Jurisprudenz die Zuschreibung von Wahrscheinlichkeitswerten als personenbezogene Daten qualifiziert worden sind, erläutert sie keine eigene aktive Tätigkeit, sondern gibt lediglich an, nichts gehört zu haben, dass „wir“ uns damit auseinandergesetzt haben und berichtet dann über vermutete Kontakte des Fachbereichs mit deutschen XXXX (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 44).

Konfrontiert mit der Frage, warum sie vor dem Hintergrund der Definition „personenbezogener Daten“ nach Art 4 Z 1 DSGVO trotz Zuschreibung einzelner Affinitäten zu konkreten Personen dennoch nicht vom Vorliegen personenbezogener Daten ausgegangen ist, verweist sie wiederum nicht auf eigene Recherchen und Überlegungen zum Personenbezug sondern beruft sich auf die unklare Rechtslage auf Grund der neuen DSGVO, fehlendes Wissen Dritter, die im wesentlichen unveränderte Gewerbeordnung und verweist auf XXXX als „Expertin“ („Wer sich da wirklich auskannte war sicher die Frau XXXX . Im Bereich DAM kannte sie sich am besten aus, sie hat lange dort gearbeitet. Sie hat sogar sich in der Freizeit mit der DSGVO beschäftigt und auch Schulungen absolviert.“ Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 46).

Das steht auch im Einklang mit dem Eindruck des erkennenden Senats, dass die Zeugin XXXX offenbar von ihrer Rechtsansicht völlig überzeugt war, zumal sie in der Verhandlung sichtlich bewegt zu erkennen gegeben hat, die Urteile zu akzeptieren, aber sie nach wie vor nicht verstehe („[…] Wir haben das Urteil akzeptiert […] Ich verstehe es ehrlich gesagt bis heute nicht, insbesondere, weil es auch Konsequenzen für andere Statistiken gibt, die jeder verwenden kann.“ Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 44) und es nicht davon auszugehen ist, dass jemand eine gefestigte Überzeugung, sei sie auch objektiv irrig, einer tiefergehenden Überprüfung unterziehen würde, insbesondere dann nicht, wenn die zuständige Datenschutzmanagerin, XXXX , die selbe Meinung vertritt.

Vor diesem Hintergrund lässt ihre Aussage, wonach sie sich mit (auch externen) Dritten abgestimmt hat (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 40) lediglich auf eine allgemeine Abstimmung, nicht jedoch auf eine tiefgehende rechtliche Prüfung schließen.

Zur Rechtslage zu Marketingklassifikationen vor dem 25.05.2018:

Die Feststellungen zur Rechtsmeinung zu Marketingklassifikationen vor dem 25.05.2018 gründen in den jeweils zitierten Quellen.

Die Abrufbarkeit der Entscheidung DSK K120.908/0009-DSK/2005 vom 20.05.2005 im RIS vor der Anwendbarkeit der DSGVO gründet – in Ermangelung eines Veröffentlichungsdatums im RIS – darauf, dass die Entscheidung bereits dreizehn Jahre vor Anwendbarkeit der DSGVO ergangen ist.

Die Negativfeststellung zur Abrufbarkeit der Entscheidung DSB-D122.754/0002-DSB/2018 vom 13.02.2018 gründet darauf, dass im RIS zu der Entscheidung kein Veröffentlichungsdatum angeführt wird, sie relativ knapp vor Anwendbarkeit der DSGVO ergangen ist und als Datum der letzten Änderung im RIS 29.01.2019 angeführt ist.

2.6.2. Hinsichtlich der „Paketfrequenz“:

Die Feststellungen gründen auf den Angaben der informierten Vertreterin, wonach es bereits vor der negativen medialen Berichterstattung über die Datenverarbeitungen der Beschwerdeführerin, eine „Chinese Wall“ zwischen dem Geschäftsbereich gegeben hat, die sich allerdings als löchrig erwiesen hat (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 6). Wäre die Verbindung zwischen den Geschäftsbereichen als unbedenklich gesehen worden, wäre eine solche „Chinese Wall“, dh eine Abschottung zwischen den einzelnen Geschäftsbereichen, nicht erforderlich gewesen. Auch die Aussage des Zeugen XXXX weist in die Richtung, wenn er sagt, man habe überlegt, den Bereich des Direktmarketings baulich von den anderen Geschäftsbereichen zu trennen („Auch beim Umzug der XXXX im Jahr 2017 […] wurde diskutiert, inwieweit man den Direktmarketingbereich getrennt ausgestalten sollte vom restlichen Bereich. Dies als Datenschutz- und Datensicherheitsmaßnahme.“; Verhandlungsprotokoll vom 28.11.2024, OZ 34, S 12).

Hätte es eine detaillierte rechtliche Prüfung zu der Frage gegeben, hätte die informierte Vertreterin auch keine „Löcher“ der „Chinese Wall“ zu schließen gehabt („Ich war daher beschäftigt dann die Löcher in der „Chinese Wall“ zu stopfen.“; Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 6); unterstellt man der Beschwerdeführerin nämlich kein vorsätzliches Handeln, wäre die Prüfung zum Ergebnis gekommen, dass die Datenweitergaben zwischen den Geschäftsbereichen zulässig sind, weshalb sie mangels Rechtswidrigkeiten keine Lücken zu schließen (und im Übrigen auch keine Chinese-Wall zur errichten) gehabt hätte.

Auch die sorglose Aussage der verantwortlichen Datenschutzmanagerin „Wenn ich weiß, dass eine Person umgezogen ist und nicht mehr an dieser Adresse wohnt, warum soll ich diese Information dann nicht auch für andere Geschäftsbereiche nutzen können?“ darauf hin, dass der Geschäftsbereich DAM eine fundierte rechtliche Analyse zur Zulässigkeit des Datenaustausches zwischen den Geschäftsbereichen unterlassen hat (Abschrift der Tonaufzeichnung zur Zeugeneinvernahme von Frau XXXX vom 24.05.2019 S 9, OZ 1, DSB-D550.148/0014-DSB/2019, S 24).

2.6.3. Hinsichtlich der „Umzugshäufigkeit“:

Siehe die Ausführungen zu Punkt 2.6.2.

2.7. Zu den Feststellungen zur Datenschutzfolgenabschätzung:

2.7.1. Zur objektiven Tatseite:

Dass die Datenschutzmanagerin die DSFA erstellt hat, gründet in ihrer Aussage (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 24). Die Feststellungen zur Beratung durch die Datenschutzbeauftragte gründet ebenfalls in der Aussage der Datenschutzmanagerin und der Datenschutzbeauftragen (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 41) und darin, dass die Datenschutzbeauftrage das unterschriftlich bestätigt hat („Der Rat des Datenschutzbeauftragten zu dieser Datenschutz-Folgenabschätzung wurde eingeholt:“; OZ 1 „DSB-D550.148/0001-DSB/2019 | Aufforderung zur Rechtfertigung 20.02.2019“, S 42).

Die Feststellungen zum Inhalt Datenschutzfolgeabschätzung gründen in der DSFA, nämlich zur Verneinung des Vorliegens besonderer Kategorien personenbezogener Daten auf Anhang 2B-1 S 1 (OZ 1 „DSB-D550.148/0001-DSB/2019 | Aufforderung zur Rechtfertigung 20.02.2019“, S 50), zur Nennung der „ XXXX -Affinität“ auf Anhang 2D, S 3 (OZ 1 „DSB-D550.148/0001-DSB/2019 | Aufforderung zur Rechtfertigung 20.02.2019“, S 66) und zur Risikobewertung auf S 17 (OZ 1 „DSB-D550.148/0001-DSB/2019 | Aufforderung zur Rechtfertigung 20.02.2019“, S 42).

2.7.2. Zur subjektiven Tatseite:

Die Feststellungen zu den Beweggründen der Datenschutzmanagerin für ihre Einschätzung gründet in ihrer Aussage zur DSFA, warum sie nicht von besonderen Kategorien von Daten ausgegangen ist („Nun, da es sich um statistische Daten gehandelt hat, erschien mir diese Einschätzung als nicht zutreffend.“, „Grundsätzlich fand ich meine Argumentation aus damaliger Sicht überzeugend.“ (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 25); siehe dazu die beweiswürdigenden Überlegungen zu Punkt 2.6.1 „Zur datenschutzrechtlichen Prüfung der „ XXXX -Affinitäten“ durch die Beschwerdeführerin:“). Dass sie daraufhin auch das Vorliegen eines hohen Risikos verneint hat, ist eine logische Folge.

Die Datenschutzbeauftrage konnte sich zur DSFA zwar nicht mehr an Details erinnern (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 41 f); die Feststellungen zu ihrer Rolle ergeben sich aber daraus, dass sie der festen Überzeugung war, dass es sich bei den Affinitäten um keine personenbezogenen Daten gehandelt hat, weshalb davon auszugehen ist, dass sie die Datenschutzmanagerin auch nicht anders beraten hat (siehe Punkt 2.6.1, „Die Feststellung, wonach die Datenschutzbeauftragte eine weiterführende Prüfung des Personenbezugs der „ XXXX -Affinitäten“ bzw eine Hinterfragung ihrer Meinung unterlassen hat […]“).

2.8. Zu den Feststellungen zum Verfahrensverzeichnis:

2.8.1. Zur objektiven Tatseite:

Die Feststellungen zu 1.8.1 ergeben sich aus dem vorgelegten Verzeichnis von Verarbeitungstätigkeiten der Beschwerdeführerin (siehe OZ 1 „DSB-D550.148001-DSB2019 | Aufforderung zur Rechtfertigung 20.02.2019“, S 22, 24).

Die Feststellung zu den tatsächlich von der Beschwerdeführerin im Zusammenhang mit den genannten „Daten“ verarbeiteten Datenarten gründet auf Anhang 2D der DSFA (W258 2217446-1 OZ 1, S 39).

2.8.2. Zur subjektiven Tatseite:

Die Feststellungen, zur Entscheidungsfindung der Datenschutzmanagerin und ihren Beweggründen gründet auf ihrer Aussage, wonach zwar ihr Mitarbeiter federführend war, sie aber ebenfalls mitgearbeitet hat und er daher an ihre Vorgaben gebunden gewesen ist. (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 26).

Dass die Datenarten im VVZ eigentlich in einem Anhang aufgelistet werden hätten sollen und der Anhang versehentlich nur der DSFA, nicht aber dem VVZ beigefügt worden ist, gründet auf den folgenden Überlegungen:

Zwar findet sich im VVZ kein Anhang und auch kein Verweis auf einen Anhang. Tatsächlich wurde aber ein Dokument erstellt, das eine detaillierte Aufstellung der in der Datenanwendung „DAM-Zielgruppenadressen“ verwendeten Datenarten enthält, welcher der DSFA als Anhang beigefügt worden ist; es ist nicht nachvollziehbar, warum einerseits in der DSFA eine detaillierte Aufstellung der Datenkategorien erfolgt ist, eine solche aber nicht auch im VVZ erfolgen hätte sollen, dienen beide Dokumente doch ua demselben Zweck, nämlich der nationalen Aufsichtsbehörde zu ermöglichen, sich einen raschen und vollständigen Überblick über die Datenanwendungen zu verschaffen. Hinzu kommt, dass die Datenschutzmanagerin überzeugend auf den Anhang hingewiesen hat, indem sie über Vorhalt der unzureichenden Beschreibung der Datenarten Unverständnis darüber geäußert hat, dass eine Nennung der Datenarten in einem Anhang zum VVZ unzulässig sein soll („Ich habe es besser gefunden einen Anhang zum Verfahrensverzeichnis vorzunehmen und bei etwaigen Änderungen den ganzen Anhang zu tauschen. Und dann in Summe, das was im Anhang drinnen steht, als Marketingdaten zu führen. […] es macht nach meinem Verständnis keinen Unterschied, ob ich die Daten detailliert im Anhang oder direkt im Verfahrensverzeichnis anführe. Es stelle aber einen Unterschied im Aufwand dar.“; Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 27). Letztlich ist auch zu berücksichtigen, dass das VVZ in einem speziellen Objektverwaltungsprogramm der Beschwerdeführerin, XXXX , erstellt worden ist, dass strukturierte Eingaben vorsieht und es daher denkbar ist, dass es diesbezüglich zu einem Eingabefehler gekommen ist, indem etwa eine Verlinkung nicht übernommen worden oder ein Upload der Beilage gescheitert ist oder vergessen wurde („Wenn ich konkret gefragt werde, ob ich den Anhang auch hochgeladen habe: Ich glaube zwar ja, ich kann es aber nicht mehr auf die Bibel schwören. Ich habe viel hochgeladen.“ ZV XXXX , Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 28).

Die Feststellungen zum Inhalt der Beilage 2D der DSFA gründen in der vorgelegten DSFA (OZ 1 „DSB-D550.148/0001-DSB/2019 | Aufforderung zur Rechtfertigung 20.02.2019“, S 64 ff).

2.9. Zur Strafbemessung:

2.9.1. Die Feststellungen zu 1.9.1 ergeben sich aus den vorgelegten Gewinn und Verlustrechnungen bzw Quartalsergebnissen der Beschwerdeführerin bzw des Konzerns (OZ 31, Beilage ./A bzw Beilage ./1).

2.9.2. Die Feststellungen zum Erlass des Straferkenntnisses gründen auf dem im Verwaltungsakt erliegenden Rückschein (OZ 1, XXXX , S 146).

2.9.3. Die Feststellungen zur Kooperation der Beschwerdeführerin (Punkt 1.9.3) ergeben sich aus dem bisherigen Verfahrensverlauf, woraus klar ersichtlich ist, dass die Beschwerdeführerin stets Bereitschaft zeigte die Fragen der belangten Behörde zu beantworten und die geforderten Unterlagen bereitzustellen. Zuletzt zeigte sich dies auch in der mündlichen Verhandlung, in der die Vertreterin der Beschwerdeführerin ( XXXX ) transparent über die internen Abläufe berichtete, das Prozedere hinsichtlich der geschlossenen Vergleiche offenlegte und Unterlagen zur Beurteilung des Umsatzes bereitwillig offenlegte und diese auch erläuterte (vgl Verhandlungsprotokoll vom 20.11.2024, OZ 31 und Verhandlungsprotokoll vom 28.11.2024, OZ 34).

2.9.4. Die Feststellung zu 1.9.4, wonach die Beschwerdeführerin mit den meisten betroffenen Personen Vergleiche abschloss bzw Unterlassungserklärungen abgab, ergibt sich aus der glaubhaften Aussage der XXXX . In der mündlichen Verhandlung gab sie dazu an, dass der Großteil der Rechtsstreitigkeiten mit Vergleichen beigelegt werden konnte (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 13).

2.9.5. Die Feststellungen zu den Vorstrafen der Beschwerdeführerin in Punkt 1.9.4 ergeben sich aus der amtswegig eingeholten Information bezüglich bisheriger Vorstrafen der Beschwerdeführerin bei der belangten Behörde (OZ 29).

2.9.6. Die Feststellung zu 1.9.6 ergibt sich aus der Aufforderung zur Rechtfertigung vom 20.02.2019, wonach die mediale Berichterstattung die belangte Behörde zu einer näheren Prüfung und schlussendlich Einleitung des gegenständlichen Verfahrens veranlasste (siehe OZ 1 „DSB-D550.148001-DSB2019 | Aufforderung zur Rechtfertigung 20.02.2019“, S 5).

2.9.7. Die Feststellungen zu Punkt 1.9.7 ergeben sich aus dem zu Aussage der Beschwerdeführerin erhobenen Vorbringen der Beschwerdeführerin (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 5) in ihrer Stellungnahme vom 11.11.2024 bezüglich der jeweils erzielten Umsätze (OZ 27, S 23).

3. Rechtlich folgt daraus:

Zu A)

Die zulässige Beschwerde ist teilweise berechtigt.

3.1. Zu Spruchpunkt I. des Straferkenntnisses, unrechtmäßige Verarbeitung der „ XXXX affinitäten“:

3.1.1. Zur Erfüllung des objektiven Tatbestands:

Wird gegen die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß ua den Artikeln 5 und 9 DSGVO verstoßen, werden im Einklang mit Artikel 83 Abs 2 DSGVO Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist (Art 83 Abs 5 lit a DSGVO).

Gemäß Art 5 Abs 1 lit a erster Fall DSGVO, müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Gemäß Art 9 Abs 1 dritter Fall DSGVO ist die Verarbeitung personenbezogener Daten, aus denen politische Meinungen hervorgehen, untersagt, sofern nicht eine Ausnahme des Art 9 Abs 2 DSGVO vorliegt.

Die Beschwerdeführerin hat im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“ für natürliche Personen berechnet, mit welcher Wahrscheinlichkeit, sie Interesse an Werbung von fünf politischen Parteien hat („ XXXX -Affinität“) und sie den einzelnen Personen zugeordnet, gespeichert, und an Dritte verkauft, nämlich

zugeordnet und gespeichert zumindest seit dem 25.05.2018 bis zum 22.02.2019 für etwa XXXX natürliche Personen und

zumindest seit dem 25.05.2018 bis zum 30.06.2018 berechnet für und verkauft an die XXXX hinsichtlich aller Daten und zumindest seit dem 25.05.2018 bis zum 22.02.2019 den XXXX und die XXXX hinsichtlich natürlicher Personen mit Adressen in XXXX .

Zweck war es, Kunden diese Informationen zu Marketingzwecken zu verkaufen, i.e. um es Kunden zu ermögliche, Streuverluste in der Werbung zu verringern. Die Beschwerdeführerin hat keine Einwilligung der Personen eingeholt, denen sie die „ XXXX -Affinitäten“ zugeordnet hat.

Die Beschwerdeführerin hat damit entgegen dem ab 25.05.2018 anwendbaren Verarbeitungsverbot des Art 9 Abs 1 DSGVO ab dem 25.05.2018 die Wahrscheinlichkeit, mit der sich eine betroffene Person für Wahlwerbung einer bestimmten Partei interessiert („ XXXX -Affinitäten“), und somit personenbezogene Daten, aus denen die politische Meinung hervorgeht (zur Einordnung der „ XXXX -Affinitäten“ als personenbezogene Daten, aus denen die politische Meinung hervorgeht, OGH 15.04.2021, 6 Ob 35/21x Rn 30, 32 ff und VwGH 14.12.2021, Ro 2021/04/0007, Rn 53; ihre Vorbehalte hat die Beschwerdeführerin mit Schriftsatz vom 11.11.2024, OZ 27, zurückgezogen), für betroffene Personen, nämlich den in der Kundendatenbank der Beschwerdeführerin enthaltenen natürlichen Personen, berechnet, ihnen zugeordnet und gespeichert und verkauft, letzteres um es Dritten zu ermöglichen, Streuverluste in der Werbung zu verringern, und zwar

zugeordnet und gespeichert bis zum 22.02.2019 für etwa XXXX natürliche Personen und

bis zum 30.06.2018 berechnet für und verkauft an die XXXX hinsichtlich aller Daten und bis zum 22.02.2019 den XXXX und die XXXX hinsichtlich natürlicher Personen mit Adressen in XXXX ,

und sohin verarbeitet.

Eine Ausnahme vom Verarbeitungsverbot liegt nicht vor, zumal die Beschwerdeführerin die ausdrückliche Einwilligung der betroffenen Personen iSd Art 9 Abs 2 lit a DSGVO nicht eingeholt hat, eine Verarbeitung auf Grund des Rechts eines Mitgliedstaats iSd Art 9 Abs 2 lit g DSGVO iVm § 151 GewO ausscheidet, weil die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß § 151 Abs 4 GewO ebenfalls nur zulässig ist, sofern ein ausdrückliches Einverständnis der betroffenen Person zur Verarbeitung dieser Daten für Marketingzwecke Dritter vorliegt, und auch kein anderer der Erlaubnistatbestände des Art 9 Abs 2 DSGVO gegeben ist.

Auch § 151 Abs 6 GewO kommt als allfällige Rechtsgrundlage aus den folgenden Gründen nicht in Frage:

Gemäß § 151 Abs 6 GewO ist es den zur Ausübung des Gewerbes der Adressverlage und Direktmarketingunternehmen berechtigten Gewerbetreibenden erlaubt, für Marketingzwecke erhobene Marketinginformationen und -klassifikationen, die namentlich bestimmten Personen auf Grund von Marketinganalyseverfahren zugeschrieben werden („Marketinginformationen“), nur für Marketingzwecke zu verwenden und – unter weiteren Voraussetzungen – an Dritte weiterzugeben.

Als speziellere Bestimmung könnte § 151 Abs 6 GewO nach dem Grundsatz „lex specialis derogat legi generali“ der Regelung des § 151 Abs 4 GewO vorgehen, wonach es für die Verwendung besonderer Kategorien von Daten der Zustimmung der Betroffenen bedarf. § 151 Abs 6 GewO würde bei dieser Interpretation auch die Verarbeitung besonderer Kategorien von Daten umfassen und könnte die Verarbeitung der Datenarten zur „ XXXX affinität“ durch die Beschwerdeführerin rechtfertigen.

Eine derartige Interpretation des § 151 Abs 6 GewO scheitert vor dem Hintergrund des Art 9 Abs 2 lit g DSGVO aber an einer europarechtskonformen Auslegung. Die Ausnahme vom Verarbeitungsverbot besonderer Kategorien personenbezogener Daten gemäß Art 9 Abs 2 lit g DSGVO, wonach die Verarbeitung auf Grund des Unionsrechts oder des Rechts eines Mitgliedstaats zulässig ist, erfährt nämlich eine wesentliche Einschränkung: Der Rechtsakt muss aus Gründen eines erheblichen öffentlichen Interesses erforderlich sein.

Das durch den Rechtsakt verfolgte Interesse muss daher der Allgemeinheit als solcher dienen. Durch das Erfordernis der „Erheblichkeit“ sollen überdies Maßnahmen ausgesondert werden, die zwar der Allgemeinheit dienen, die für diese jedoch nicht so erheblich sind, dass die Allgemeinheit ohne die in Rede stehende Maßnahme ernsthaft beeinträchtigt wäre (Schiff in Ehmann/Selmayr Datenschutz-Grundverordnung² Art 9 Rz 52). Erfasst werden besonders schützenswerte Belange des Gemeinwohls bzw Gemeinschaftsgüter (Schulz in Gola DS-GVO² Art 9 Rz 30).

Ein öffentliches Interesse liegt ua nach den Erwägungsgründen 46, 52 und 55 der DSGVO insbesondere vor, wenn personenbezogene Daten auf dem Gebiet des Arbeitsrechts und des Rechts der sozialen Sicherheit einschließlich Renten sowie zwecks Sicherstellung und Überwachung der Gesundheit und Gesundheitswarnungen, Prävention oder Kontrolle ansteckender Krankheiten und anderer schwerwiegender Gesundheitsgefahren, für humanitäre Zwecke, einschließlich der Überwachung von Epidemien und deren Ausbreitung, oder in humanitären Notfällen, insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen, oder durch staatliche Stellen zu verfassungsrechtlich oder völkerrechtlich verankerten Zielen von staatlich anerkannten Religionsgemeinschaften verarbeitet werden.

Wirtschaftliche Interessen oder Adressverlage und Direktmarketingunternehmen werden nicht genannt. Lediglich an einer Stelle, die nicht besondere Kategorien von Daten oder öffentliche Interessen betrifft, bezieht sich der EU-Verordnungsgeber auf Datenverarbeitungen zum Zwecke der Direktwerbung, nämlich zur Frage, wann von einem berechtigten (Datenverarbeitungs-)Interesse im Sinne des Art 6 Abs 1 lit f DSGVO ausgegangen werden kann (Erwägungsgrund 47 der DSGVO).

Auch wenn in den Erwägungsgründen nicht ausdrücklich genannt, besteht an einem funktionierenden Wirtschaftssystem ein (erhebliches) öffentliches Interesse, hat es doch erhebliche Auswirkungen auf den öffentlichen und privaten Haushalt und damit mittelbare Auswirkungen auf die in den Erwägungsgründen genannten Beispiele für öffentliche Interessen, etwa durch die Finanzierbarkeit des öffentlichen Gesundheitssystems oder von Einsatzkräften für den Katastrophendienst. Auf das Bestehen bestimmter – nicht systemkritischer – Wirtschaftsbereiche lässt sich das vor dem Hintergrund der Erwägungsgründe nicht mehr verallgemeinern. Grundsätzlich kein erhebliches öffentliches Interesse im Sinne des Art 9 Abs 2 lit g DSGVO wird anzunehmen sein, wenn durch die Rechtsnorm lediglich die Tätigkeit eines bestimmten Wirtschaftsbereichs erleichtert werden soll; die Allgemeinheit wäre in derartigen Fällen ohne die in Rede stehende Maßnahme regelmäßig nicht ernsthaft beeinträchtigt.

Eine Regelung, wonach Adressenverlag- und Direktwerbeunternehmen auch ohne Zustimmung der Betroffenen Marketinginformationen verarbeiten dürfen, die gleichzeitig besondere Kategorien personenbezogener Daten sind, erleichtert zwar die Tätigkeit dieser Gewerbe, ihr Fehlen stellt das Bestehen der Gewerbe aber nicht in Frage. So ist es ihnen möglich, Marketinginformationen ohne Zustimmung der betroffenen Personen zu verarbeiten, solange sie keiner der in Art 9 Abs 1 DSGVO genannten besonderen Kategorien personenbezogener Daten entsprechen, womit regelmäßig das Auslangen gefunden werden kann. Dass die Allgemeinheit ohne eine derartige Regelung ernsthaft beeinträchtigt sein könnte, ist nicht ersichtlich. Eine derartige Regelung liegt daher nicht im erheblichen öffentlichen Interesse.

Eine Interpretation des § 151 Abs 6 GewO, wonach entgegen § 151 Abs 4 GewO bei der Verarbeitung von für Marketingzwecke erhobenen Marketinginformationen und -klassifikationen auch dann keine Zustimmung der betroffenen Person erforderlich ist, wenn es sich bei den Marketinginformationen und –klassifikationen um besondere Kategorien personenbezogener Daten im Sinne des Art 9 Abs 1 DSGVO handelt, scheidet demnach bei europarechtskonformer Auslegung aus.

Die Beschwerdeführerin kann die Verarbeitung der Datenarten zur „ XXXX affinität“ somit nicht auf Art 9 Abs 2 lit g DSGVO iVm § 151 Abs 4 oder 6 GewO stützten.

Ergebnis

Die Beschwerdeführerin hat damit gegen das Rechtmäßigkeitsgebot des Art 5 Abs 1 lit a erster Fall DSGVO iVm dem Verarbeitungsverbot besonderer Kategorien personenbezogener Daten des Art 9 Abs 1 DSGVO verstoßen. Die Strafbarkeit dieses Verstoßes gründet sich auf Art 83 Abs 5 lit a DSGVO.

Eine weitergehende Zurechnung des Handelns einer bestimmten natürlichen Person an die Beschwerdeführerin als juristische Person (siehe Bescheidbeschwerde vom 25.11.2019, S 54 ff) ist nicht erforderlich, zumal § 30 Abs 1 und 2 DSG und die aus dem VStG abgeleitete Vorgabe, wonach für eine Verhängung einer Geldbuße nach der DSGVO über eine juristische Person im Spruch des Straferkenntnisses alle notwendigen Elemente für eine Bestrafung der natürlichen Person aufzunehmen seien, unangewendet zu bleiben haben (vgl EuGH 05.12.2023, C-807/21, Deutsche Wohnen, Rz 51, 77 und VwGH 01.02.2024, Ra 2020/04/0187).

3.1.2. Zur subjektiven Tatseite:

Für die Verhängung einer Geldbuße gemäß Art 83 DSGVO ist es erforderlich, dass der Verantwortliche einen in Art 83 Abs 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat (EuGH 05.12.2023, C‑807/21, Deutsche Wohnen SE).

Der Beschwerdeführerin ist ein solch fahrlässiges Verhalten vorzuwerfen:

Auf organisatorischer Seite ist der Beschwerdeführerin zwar zuzugestehen, dass sie sich mit beachtlichen Ressourcen-Aufwand auf die Anwendbarkeit der Datenschutz Grundverordnung vorbereitet hat.

Die aus dem Projekt „Fit für die DSVO“ herausgegangene Aufteilung zwischen einer Erstbeurteilung einer Datenverwendung in den jeweiligen Fachbereich einerseits und einer verpflichtenden Einbindung der Datenschutzbeauftragten andererseits scheint auf den ersten Blick zweckmäßig zu sein, zumal die Fachbereiche den besten Einblick in die von Ihnen vorgenommenen Datenverwendung haben und die Datenschutzbeauftragte eine rechtlich unabhängige Kontrolle ermöglichen sollte.

Im konkreten Fall gestaltet sich diese Aufteilung allerdings als problematisch, weil die Erstbeurteilung damit Personen auferlegt worden ist, die – wenngleich datenschutzrechtlich ausgebildeten – juristischen Laien sein konnten/bzw waren und – als aus dem Fachbereich kommend – ein starkes Interesse an der Durchführung der geplanten „eigenen“ Datenverarbeitungen haben können. Besonders bedeutsam wird dieser Aspekt, wenn – wie hier – Datenverwendungen auf Grund einer neuen Rechtslage zu beurteilen sind, die bereits im Fachbereich vorgenommen werden und ihre datenschutzrechtliche Unzulässigkeit zu einer Einstellung oder Reduktion des Geschäftsbereichs führen könnte. Es bestand daher die beachtliche Gefahr grundlegender juristischer Fehlinterpretationen aufgrund fehlender allgemeiner juristischer Kenntnisse und eines „Confirmation-Bias“, dem organisatorisch – zumindest in der Übergangszeit auf die DSGVO – nicht Rechnung getragen worden ist.

Zwar könnten durch die Einbindung der Datenschutzbeauftragte die genannten Probleme verhindert oder zumindest reduziert werden; die alleinige Nachprüfung durch die Datenschutzbeauftragte gerät aber bei einem großen Unternehmen wie der Beschwerdeführerin unweigerlich an ihre Grenzen, wenn, wie hier, bei der Vorbereitung auf die DSGVO sämtliche Datenverwendungen der Beschwerdeführerin zu prüfen sind. Es kann in so einem Fall nicht davon ausgegangen werden, dass genügend Zeit besteht, um sich mit den jeweiligen Datenanwendungen ausreichend auseinanderzusetzen.

Das ist der Beschwerdeführerin vorzuwerfen; entgegen ihrer Meinung lag damit auch kein wirksames Überwachungs- und Kontrollsystem vor, dass eine verschuldensbegründende Zurechnung an die Beschwerdeführerin ausschließen könnte (vgl Bescheidbeschwerde vom 25.11.2019, S 48 ff).

Hinsichtlich der konkreten Datenverarbeitungen, sind die Datenschutzmanagerin und die Datenschutzbeauftragte davon ausgegangen, dass es sich bei statistischen Werten nicht um personenbezogene Daten handelt, und zwar auch dann, wenn sie konkreten Personen zugeschrieben werden. Diese Rechtsansicht war insbesondere vor dem Hintergrund der bereits vor Anwendbarkeit der DSGVO zur in diesen Aspekten vergleichbaren Datenschutz-Richtlinie (95/46/EG ) und dem DSG 2000 vorliegenden Judikatur der Datenschutzkommission, der Datenschutzbehörde (wobei der Beschwerdeführerin die Entscheidung DSB-D122.754/0002-DSB/2018 nicht vorwerfbar ist, zumal nicht festgestellt werden konnte, ob sie vor der Anwendbarkeit bereits im RIS veröffentlicht gewesen ist) und des EuGH (EuGH 22.06.2017, C-434/16, Nowak) unvertretbar (vgl Punkt 1.6.1. „Zur Rechtslage zu Marketingklassifikationen vor dem 25.05.2018:“; vgl auch VwGH 14.12.2021, Ro 2021/04/0007, Rz 29 f, wonach vor dem Hintergrund [der Rechtsprechung Nowak] eine Qualifikation der XXXX affinitäten als Informationen „über“ die betreffenden Personen „nicht ernstlich in Zweifel gezogen werden“ könne und OGH 15.04.2021, 6Ob35/21x Rn 30, wonach das „gewünschte Auslegungsergebnis, wonach eine dem Kläger selbst zugeschriebene (hohe) Empfänglichkeit für Parteiwerbung […]kein personenbezogenes Datum sein soll, aus Art 4 Z 1 DSGVO keinesfalls ableiten lässt.“ und die Auslegung „unzweifelhaft“ sei); und zwar auch dann, wenn es noch keine ausdrückliche höchstgerichtliche Rechtsprechung zu den „ XXXX -Affinitäten“ gegeben hat. Auch der von der Beschwerdeführerin mehrfach angeführte § 151 Abs 6 GewO kann daran nichts ändern, zumal der Begriff der „personenbezogenen Daten“ in Art 4 Z 1 DSGVO definiert wird, sohin in einer unmittelbar anwendbaren europarechtlichen Norm, der – mangels Öffnungsklausel – offenkundig eine nationale Bestimmung, wie die Gewerbeordnung, nicht derogieren vermag.

Der Datenschutzmanagerin ist vorzuwerfen, dass sie bei ihrer Meinungsbildung auffallend sorglos war, zumal sie eine einschlägige datenschutzrechtliche Entscheidung denkunmöglich interpretiert und eine abweichende Rechtsmeinung zwar im Jour Fixe ua mit ihrem Vorgesetzten diskutiert, aber „mangels Mehrheitsfähigkeit“ und trotz der damit verbundenen drohenden massiven Auswirkungen, i.e. die drohende Verarbeitung besonderer Kategorien personenbezogener Daten von XXXX Österreicher:innen, keine weiteren Rechercheschritte gesetzt hat.

Die weiteren von der Datenschutzmanagerin ergriffen Recherchetätigkeiten waren ungeeignet ihren Fehler aufzudecken, zumal im Austausch mit dem XXXX die Zulässigkeit der Verarbeitung von Affinitäten nicht damit begründet worden ist, dass es sich dabei um keine personenbezogenen Daten handelt – weshalb auch kein entsprechender Branchenstandard bestand –, einem Gutachten Glauben geschenkt worden ist, das ihr weder vorgelegen ist noch sich auf die österreichische Rechtslage bezogen hat und sie bei datenschutzrechtlichen Vorträgen und Kursen (bereits zu grundlegenderen Themen) keine befriedigenden Antworten erhalten hat.

Der Datenschutzbeauftragten ist vorzuwerfen, dass sie sich – in offenbarer Unkenntnis der bestehenden Rechtsprechung sowie trotz einer neuen Rechtslage – auf ihre bestehende (irrige) Meinung verlassen hat, dass es sich bei statistischen Daten auch dann um keine personenbezogenen Daten handelt, wenn sie konkreten Personen zugeschrieben werden, und keine eigenen relevanten Recherchen durchgeführt hat.

Dem Vorgesetzten der Datenschutzmanagerin, dem Leiter des Daten- und Adressmanagements, ist vorzuwerfen, dass er trotz der geäußerten abweichenden Meinung eines Mitarbeiters der Datenschutzmanagerin und trotz der damit verbundenen drohenden massiven Auswirkungen, i.e. die drohende Verarbeitung besonderer Kategorien personenbezogener Daten von XXXX Österreicher:innen, keine ergänzenden und geeigneten Recherchetätigkeiten durchgeführt oder durchführen hat lassen.

Diese vorwerfbare Fehlscheinschätzung hat letztlich dazu geführt, dass die Beschwerdeführerin die „ XXXX -Affinitäten“ nicht weiter dahingehend überprüft hat, ob es sich tatschlich um eine besondere Kategorie von Daten iSd Art 9 Abs 1 DSGVO handelt und ob und unter welchen Voraussetzungen ihre Verarbeitung zulässig sein könnte. Dass eine objektive und sorgfältige Prüfung uU (wenngleich unzutreffend) ergeben hätte können, dass es sich bei den „ XXXX -Affinitäten“ um keine besonderen Kategorien handelt, kann die Fehler nicht heilen, zumal eine solche Prüfung gerade nicht durchgeführt worden ist. Von einem entschuldbaren Verbotsirrtum kann entgegen der Meinung der Beschwerdeführerin keinesfalls gesprochen werden; auch etwaige von der Beschwerdeführerin vorgebrachte Rechtsmeinungen, die ihre Ansicht stützten sollen, können daran nichts ändern, zumal sie erst nach dem Tatzeitraum veröffentlicht worden sind (etwa XXXX , ecolex 2019, 715, EuGH 01.10.2019, C-673/17 und EuG 26.04.2023, T-557/20 oder OZ 37). Im Gegenteil ist jedenfalls von einem grob fahrlässigen Verhalten auszugehen.

Dieses fahrlässige Verhalten muss sich die Beschwerdeführerin zurechnen lassen; eine Handlung oder Kenntnis eines Leitungsorgans der Beschwerdeführerin, ist hierfür nicht erforderlich (EuGH 05.12.2023, C‑807/21, Deutsche Wohnen SE, Rz 77).

Es ist daher in einer Gesamtbetrachtung von einer fahrlässigen Tatbegehung der Beschwerdeführerin auszugehen.

3.1.3. Zu den Argumenten der BF:

Wenn die Beschwerdeführerin vorbringt, die Rechtsprechung habe (überraschend) eine neue Datenkategorie „errechnete politische Meinung“ entwickelt (vgl OZ 34, S 40) ist ihr entgegenzuhalten, dass die Rechtsprechung tatsächlich keine neue Datenkategorie geschaffen hat. Die gegenständlichen XXXX affinitäten wurden von der Rechtsprechung lediglich einheitlich als personenbezogenen Daten iSd Art 4 Z 1 DSGVO und in Folge als besondere Kategorie von Daten beurteilt, nämlich als Datenart, aus der die politische Meinung hervorgeht.

Da die Beschwerdeführerin bereits vorwerfbar an der Einordnung der „ XXXX -Affinitäten“ als personenbezogene Daten gescheitert ist, kann sie sich aber ohnehin nicht auf etwaige Unsicherheiten bei der Einordnung der XXXX -Affinitäten als besondere Kategorien von Daten berufen.

Sofern die Beschwerdeführerin auf Entscheidungen, Vorgänge oder eine vereinzelt gebliebene abweichende Literaturmeinung verweist (wie etwa zum angeblich differenzierenden Betrachtung des Personenbezugs EuGH 01.10.2019, C-673/17 und EuG 26.04.2023, T-557/20; Urteil des Upper Tribunal 22.04.2024, UA-2023-000512-GIA, XXXX ; ein dem Artikel folgendes erstinstanzliches Urteil oder einem Artikel des Vertreters im gegenständlichen Verfahren Böszörmenyi, Personenbezug statistischer Wahrscheinlichkeitswerte, Dako 2024/50 ua zu Bonitätsscoring, wobei die im Artikel zitierte Mindermeinung, wonach es sich bei solchen Wahrscheinlichkeitswerten nicht um personenbezogene Daten handle, zwischenzeitlich obsolet ist, zumal der dtBGH danach sinngemäß ausgesprochen hat, dass es sich dabei um personenbezogene Daten handelt (28. 01.2014, VI ZR 156/13); und zuletzt mit OZ 37 auf die Entscheidung des Europäischen Da-tenschutzbeauftragen („EDPS“) zur dortigen Zahl Case 2023-1205), ist ihr entgegen zu halten, dass – unabhängig von ihrem tatsächlichen Aussagegehalt – sie erst nach der Beurteilung der Datenverarbeitung durch die Beschwerdeführerin ergangen oder veröffentlicht worden sind, weshalb sie ihre Fehleinschätzung im Tatzeitraum nicht rechtfertigen kann.

Auch eine angebliche Uneinheitlichkeit in der Argumentation im Verwaltungsrechtsweg im amtswegigen Verfahren vermag zu keiner unklaren Rechtslage zum Zeitpunkt der Prüfung durch die Beschwerdeführerin führen; hinzukommt, dass alle Entscheidungen ohnehin zum selben Ergebnis geführt haben und sich die unterschiedliche Argumentation lediglich auf die Frage des Vorliegens besonderer Kategorien personenbezogener Daten bezogen hat. In Bezug auf die Frage, ob personenbezogene Daten vorliegen, waren die Argumente der DSB, des BVwG, des VwGH und des OGH einheitlich.

Unabhängig von der festgestellten eindeutigen Rechtslage, wäre das Argument der Beschwerdeführerin aber ohnehin nicht geeignet, ihr Verschulden auszuschließen, zumal daraus nicht hervorgeht, dass es sich bei den „ XXXX -Affinitäten“ mit maßgeblicher Wahrscheinlichkeit nicht um personenbezogene Daten handelt. Die Beschwerdeführerin hätte daher – selbst wenn man den Argumenten der Beschwerdeführerin folgen würde – maximal Zweifel an der datenschutzrechtlichen Einordnung der „ XXXX -Affinitäten“ haben können. In einem solchen Fall wäre sie aber gehalten gewesen, sich rechtlich fundiert, etwa mit einem externen und rechtlich fundierten Gutachten, mit der Thematik zu beschäftigten, was sie nicht getan hat.

Sofern sich die Beschwerdeführerin auf Unklarheiten von und ihrer Beschäftigung mit § 151 Gewerbeordnung beruft, ist ihr entgegen zu halten, dass es sich bei § 151 GewO zwar um einen Erlaubnistatbestand im Sinne des Art 6 Abs 1 lit e DSGVO oder eine Ausnahme vom Verarbeitungsverbot nach Art 9 Abs 2 lit g DSGVO handeln könnte, der Beschwerdeführerin aber nicht ein Irrtum über die Anwendbarkeit eines Erlaubnistatbestands, sondern über das Vorliegen von personenbezogenen Daten vorgeworfen wird.

3.1.4. Präzisierung Spruchpunkt I.:

Der Spruch eines Straferkenntnisses muss so gefasst sein, dass die Subsumtion der als erwiesen angenommenen Tat unter die verletzte Verwaltungsvorschrift eindeutig und vollständig erfolgt, also aus der Tathandlung sogleich auf das Vorliegen der bestimmten Übertretung geschlossen werden kann. Dabei hat die Umschreibung der Tat bereits im Spruch – und nicht erst in der Begründung – so präzise zu sein, dass der Beschuldigte seine Verteidigungsrechte wahren kann und er nicht der Gefahr einer Doppelbestrafung ausgesetzt ist, und sie darf keinen Zweifel daran bestehen lassen, wofür der Täter bestraft worden ist (vgl VwGH 12.04.2023, Ra 2020/05/0066, RS1). Das Verwaltungsgericht hat einen unpräzisen Spruch gegebenenfalls zu präzisieren (VwGH 12.06.2024, Ra 2022/02/0146, Rz 13).

Unabhängig vom tatsächlichen Verarbeitungszeitraum (siehe dazu im Detail Punkt 3.1.1.) ist fallgegenständlich nur der von der belangten Behörde angenommene Tatzeitraum vom 25.05.2018 bis zum 21.02.2019 heranzuziehen, weil eine Ausdehnung auf den 22.02.2019 unzulässig wäre (siehe VwGH 01.06.2023, Ra 2022/07/0186, Rz 21 f).

Wie die Beschwerdeführerin zutreffend angemerkt hat (siehe Bescheidbeschwerde vom 25.11.2019, S 70 f), ist Spruchpunkt I. des Straferkenntnisses – insbesondere hinsichtlich der als erwiesen angenommen Tat – zu weit gefasst. Um den Anforderungen des § 44a Z 1 VStG zu genügen, war die Umschreibung des Tatvorwurfs spruchgemäß zu präzisieren.

3.2. Zu Spruchpunkt II. a) des Straferkenntnisses, unrechtmäßige Weiterverarbeitung der Paketfrequenz und Umzugshäufigkeit:

3.2.1. Zur (zweckändernden) Weiterverarbeitung der „Paketfrequenz“:

Zur Erfüllung des objektiven Tatbestands:

Wird gegen die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß ua den Artikeln 5 und 9 DSGVO verstoßen, werden im Einklang mit Artikel 83 Abs 2 DSGVO Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist (Art 83 Abs 5 lit a DSGVO).

Gemäß Art 5 Abs 1 lit a 2. und 3. Fall DSGVO, müssen personenbezogene Daten nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden und gemäß Art 5 Abs 1 lit b DSGVO müssen sie für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

Eine Weiterverarbeitung ist gemäß Art 6 Abs 4 DSGVO möglich, wenn eine Einwilligung der betroffenen Person vorliegt oder die Zweckänderung auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, beruht, bzw eine Vereinbarkeit der Zweckänderung iSd Art 6 Abs 4 ua lit a bis e DSGVO vorliegt. Für eine solche sind ua zu berücksichtigen

jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung (lit a),

den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen (lit b),

die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden (lit c),

die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen (lit d) und

das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann (lit e).

Gemäß § 12 Abs 1 PMG ist die Beschwerdeführerin von Gesetzes wegen als Universaldienstbetreiber benannt. Gemäß § 6 Abs 1 leg cit ist der Universaldienst ein Mindestangebot an Postdiensten, die allgemein zur Aufrechterhaltung der Grundversorgung der Nutzerinnen und Nutzer als notwendig angesehen werden, die flächendeckend im Bundesgebiet angeboten werden und zu denen alle Nutzerinnen und Nutzer zu einem erschwinglichen Preis Zugang haben.

Gemäß § 6 Abs 2 PMG umfasst der Universaldienst die Leistungen Abholung, Sortierung, Transport und Zustellung von Postsendungen bis 2 kg und bis 10 kg und Dienste für Einschreib- und Wertsendungen.

Für den vorliegenden Fall bedeutet das:

Die Beschwerdeführerin hat hinsichtlich der in ihrer DAM-Datenbank enthaltenen Personen zumindest eine Liste der empfangenen Pakete samt dem Zeitpunkt ihres Empfangs aus dem Geschäftsbereich der Paketzustellung übernommen („Kennzahlen“), und daraus die Paketfrequenz der jeweiligen Person berechnet, dh die Anzahl der Pakete, welche die Person in einem bestimmten Zeitraum empfangen hat. Dabei hat sie die Kennzahlen auch von Personen übernommen, die keine Kunden der Beschwerdeführerin waren, indem etwa die Empfangsbestätigungen der Pakete herangezogen worden sind. Sie hat hierfür bei den Betroffenen keine Einwilligung eingeholt. In Folge wurden die Daten in anonymisierter Form verwendet, um ein Hochrechnungsmodell für Marketingzwecke zu erstellen.

Die Beschwerdeführerin muss als Universaldienstleister auf Grund ihres gesetzlichen Auftrages durch das PMG die zur Leistungserbringung erforderlichen Daten verarbeiten und sie verfügt somit auf Grund ihrer Tätigkeit notwendigerweise über eine Vielzahl an personenbezogenen Daten, wie Informationen zur Paketzustellung, die ihr nur auf Grund ihrer aus dem PMG erwachsenden Versorgungsaufträge (privilegiert) zugänglich sind.

Die Übernahme der Daten von Paketempfängern im Zusammenhang der Erfüllung von Aufgaben als Universaldienstleister, um sie für die Erstellung eines Hochrechnungsmodells für die Berechnung und Zuschreibung von Marketingklassifikationen, hier „Paket-Affinitäten“, zu verwenden, ist für die Betroffene nicht nachvollziehbar und vorhersehbar und steht daher im Widerspruch zum Verarbeitungsgrundsatz nach Treu und Glauben und Transparenz gemäß Art 5 Abs 1 lit a DSGVO.

Weiters liegt für die zweckändernde Weiterverarbeitung weder eine Einwilligung noch eine entsprechende Rechtsgrundlage im Sinne des Art 6 Abs 4 DSGVO vor, zumal der von der Beschwerdeführerin angezogene § 151 Gewerbeordnung einerseits eine Übermittlung von Daten aus einem Kunden- und Interessentendateisystem ohne Einwilligung der betroffenen Personen gemäß Abs 5 leg cit nur für bestimmte abschließend aufgezählte Datenarten zulässt und sich die Datenarten empfangene Pakete und Zeitpunkt des Paketempfangs darin nicht wiederfinden. Andererseits stellt § 151 Gewerbeordnung keine Rechtsgrundlage nach Art 6 Abs 4 DSGVO dar, weil eine solche voraussetzt, eines der in Art 23 Abs 1 DSGVO genannten Ziele zu schützen. Das – soweit relevant – in leg cit genannte wichtige wirtschaftliche Interesse der Union oder eines Mitgliedstaates liegt Hinblick auf die bloße Erleichterung der Tätigkeit von Adresshändlern- und Direktmarketingunternehmen nicht vor (siehe dazu die Ausführungen zu § 151 Abs 6 GewO unter Punkt 3.1.1, die zwar auf ein „erhebliches“ öffentliches Interesse abstellen, aber auf die Überlegungen zum wichtigen wirtschaftlichen Interesse übertragen werden können).

Die daher ua zu prüfenden Buchstaben a bis e des Art 6 lit Abs 4 DSGVO führen auch nicht zu einer zulässigen Zweckänderung, zumal die Beschwerdeführerin die Daten zum Empfang von Paketen von Kunden aber auch von nicht Kunden ausschließlich deswegen erlangen kann, weil sie Universaldienstleister Paketdienstleistungen anbietet und diesbezüglich keinerlei Verbindung zu Marketingzwecken besteht (lit a und b). Vor diesem Hintergrund können auch die Tatsachen, dass es sich bei den gegenständlichen Datenarten um keine besondere Kategorien personenbezogener Daten oder über strafrechtliche Verurteilungen oder Straftaten gemäß Art 10 DSGVO handelt (lit c) und die Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen als gering einzustufen sind, insbesondere weil die Daten nach der Übernahme und Berechnung eines Durchschnittswert durch die Berechnung eines regionalen Durchschnitts anonymisiert werden (lit d und e), die Zweckänderung nicht zulässig machen.

Die Weiterverarbeitung der Kennzahlen aus dem Geschäftsbereich „Paketzustellung“ für den Bereich Geschäftsbereich „Adressverlage und Direktmarketing“ erweist sich daher gemäß Art 5 lit a 2. und 3. Fall iVm Art 83 Abs 5 lit a DSGVO sowie Art 5 lit b iVm Art 6 Abs 4 DSGVO iVm Art 83 Abs 5 lit a DSGVO als rechtswidrig.

Zur subjektiven Tatseite:

Es wäre der Beschwerdeführerin zumutbar und angebracht gewesen, sich substanziell mit der Rechtsfrage nach der datenschutzrechtlichen Zulässigkeit der von ihr vorgenommenen (Weiter-)Verarbeitungsvorgänge zu befassen und im Ergebnis das Produktangebot des Geschäftsbereiches „Adressverlage und Direktmarketing“ mit den rechtlichen Vorgaben der DSGVO in Einklang zu bringen. Dies im Besonderen, weil ihr bewusst war, dass die Verbindung zwischen den Geschäftsbereichen als Postdienstleister und als Adresshändler rechtlich problematisch sein könnte. Ihr Verhalten ist daher als fahrlässig zu werten.

Da die zweckändernde Weiterverarbeitung im Februar 2019 beendet worden ist, war im Spruch der belangten Behörde der Tatzeitraum entsprechend anzupassen.

Zu den Argumenten der Beschwerdeführerin:

Entgegen dem Vorbringen der Beschwerdeführerin (vgl deren Argumentation zur Datenanonymisierung bzw Differenzierung zwischen Paketfrequenz und Paketaffinität, OZ 27, S 6 f) besteht die Rechtswidrigkeit ihres Verhaltens bereits in der unrechtmäßigen Weiterverarbeitung der Anzahl der empfangenen Pakete während eines bestimmten Zeitraumes aus dem Geschäftsbereich der Paketzustellung. Genau darüber spricht Spruchpunkt II.a. auch ab. Auf die Argumentation der Beschwerdeführerin, dass das Modell der Paketfrequenz anonymisiert bzw die Paketaffinität nicht spruchgegenständlich gewesen sei, kam es daher nicht mehr an.

3.2.2. Zur Weiterverarbeitung der Umzugshäufigkeit:

Hierzu ist in Hinblick auf die zweckändernde Weiterverwendung grundsätzlich auf die rechtlichen Überlegungen zur Weiterverarbeitung der Paketfrequenz zu verweisen, zumal die Beschwerdeführerin auch hier die Nachsendeaufträge (priviligiert) als Universaldienstleister erhält und sich der von der Beschwerdeführerin angezogene § 151 Gewerbeordnung als ungeeignet erweist, weil § 151 Abs 5 Gewerbeordnung keine taugliche Norm im Sinne des Art 6 Abs 4 DSGVO iVm Art 23 Abs 1 DSGVO darstellt.

Die Weiterverwendung der Umzugshäufigkeit unterscheidet sich aber in einem entscheidenden Punkt von der Weiterverwendung der Paketfrequenz: Zwischen der Beschwerdeführerin und den betroffenen Personen besteht auf Grund des Nachsendeauftrags ein Vertragsverhältnis (Art 6 Abs 4 lit b DSGVO).

Betroffene werden darüber hinaus über die Weiterverwendung der Daten – gerade noch ausreichend – informiert. Zwar wäre die Umschreibung der Datenverarbeitung „zu Marketingzwecken“ grundsätzlich zu allgemein, weil sich betroffene Personen kein Bild über die konkreten Datenverarbeitungen machen könnten. Im konkreten Fall besteht die Datenverarbeitung aber im Wesentlichen aus einer Durchschnittsberechnung mit anschließender Anonymisierung und ist somit an der untersten Schwelle einer Verwendung „zu Marketingzwecken“ angesiedelt. Von dieser untersten Schwelle würde eine betroffene Person bei einer Verwendung zu „Marketingzwecken“ aber jedenfalls ausgehen, weshalb die Information im konkreten Fall gerade noch ausreicht, um es Betroffenen zu ermöglichen, die Datenverarbeitungen bewerten zu können.

Es wird Betroffenen weiters die Möglichkeit eingeräumt, der Datenverwendung einfach durch anwählen eines Auswahlfeldes widersprechen können. Weiters wird die Paketfrequenz lediglich verwendet wird, um aus ihr einen regionalen Durchschnittswerde für die Erstellung des Hochrechnungsmodells zu errechnen, dh die möglichen Folgen für die Betroffenen sind gering.

Vor diesem Hintergrund erweist sich die Weiterverarbeitung der Nachsendeaufträge für den Bereich Geschäftsbereich „Adressverlage und Direktmarketing“ gemäß Art 5 lit b iVm Art 6 Abs 4 DSGVO als zulässig, weshalb das Verfahren in diesem Punkt einzustellen war.

Auf die Frage, ob die belangte Behörde den Tatvorwurf hinsichtlich der Umzugshäufigkeit ausreichend präzisiert hat, war angesichts dieses Ergebnisses nicht weiter einzugehen.

3.2.3. Zu den Argumenten der Beschwerdeführerin:

Entgegen dem Vorbringen der Beschwerdeführerin besteht die Rechtswidrigkeit ihres Verhaltens bereits in der unrechtmäßigen Weiterverarbeitung der Anzahl der empfangenen Pakete während eines bestimmten Zeitraumes aus dem Geschäftsbereich der Paketzustellung. Genau darüber spricht Spruchpunkt II.a. ab. Auf die Argumentation der BF, dass das Modell der Paketfrequenz anonymisiert bzw die Paketaffinität nicht spruchgegenständlich gewesen sei (vgl deren Argumentation zur Datenanonymisierung bzw Differenzierung zwischen Paketfrequenz und Paketaffinität, OZ 27, S 6 f), kam es daher nicht an.

3.2.4. Präzisierung Spruchpunkt II.a.:

Die von der belangten Behörde in Spruchpunkt II.a. umschriebene Tathandlung war zu allgemein gefasst, weshalb sie spruchgemäß zu präzisieren war (vgl Punkt 3.1.4).

3.3. Zu Spruchpunkt IV. des Straferkenntnisses, Fehlerhaftigkeit der Datenschutz-Folgenabschätzung:

Die belangte Behörde sprach die Fehlerhaftigkeit der Datenschutz-Folgenabschätzung zur Anwendung „DAM – Zielgruppenadressen“ aus, weil in dieser die Verarbeitung von besonderen Kategorien personenbezogener Daten verneint wurde, obwohl die „ XXXX affinität“ errechnet und verarbeitet wurde, und dennoch im Ergebnis das Vorliegen eines hohen Risikos jedenfalls verneint wurde.

Die Beschwerdeführerin brachte dazu vor, dass die Tathandlung von der belangten Behörde ungenau umschrieben worden sei. Sofern der Tatvorwurf darauf abziele, dass die Beschwerdeführerin (unzulässigerweise) eine Verarbeitung besonderer Kategorien personenbezogener Daten verneint habe, führte sie aus, dass Art 35 DSGVO nicht verlange, dass die Rechtsgrundlagen angeführt werden, weshalb dieses Verkennen denkunmöglich zu einem Verstoß führen kann. Sofern der Tatvorwurf aber auf das Verkennen des Risikos der XXXX affinitäten abziele, so wäre dies ein Unterlassungsdelikt, welches nur durch ein aktives Tun beseitigt werden könne. Die belangte Behörde habe es unterlassen diesen actus contrarius zu umschreiben. Außerdem setzte das Erkennen des Risikos voraus, dass erkannt wird, dass die XXXX affinitäten sensible Daten sind. Dieser Unrechtsgehalt sei bereits durch Spruchpunkt I. und die dort umschriebene Tathandlung abgegolten. Eine abermalige Bestrafung sei unzulässig. Im Übrigen sei die zur Anwendung gelangte Gesetzesbestimmung nicht ausreichend präzisiert worden.

3.3.1. Zur Erfüllung des objektiven Tatbestands:

Verstößt ein Verantwortlichen gegen die Plicht nach Art 35 DSGVO, werden im Einklang mit Artikel 83 Abs 2 DSGVO Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist (Art 83 Abs 4 lit a DSGVO).

Gemäß Art 35 Abs 1 DSGVO hat ein Verantwortlicher vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge (vgl Art 35 Abs 1 DSGVO). Eine Datenschutz-Folgenabschätzung ist insbesondere bei umfangreichen Verarbeitungen besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Abs 1 DSGVO erforderlich (vgl Art 35 Abs 3 lit b DSGVO; bzw Artikel-29-Datenschutzgruppe, Datenschutz-Folgenabschätzung, WP248 rev.01, S 9). Eine Datenschutz-Folgenabschätzung hat ua zumindest eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen zu enthalten (Art 35 Abs 7 lit c DSGVO).

Ein (objektiver) Verstoß gegen Art 35 DSGVO liegt nicht nur bei der (gänzlichen) Unterlassung der Durchführung einer Datenschutz-Folgenabschätzung, sondern auch dann vor, wenn die Datenschutz-Folgenabschätzung fehlerhaft (bzw „nicht ordnungsgemäß“ durchgeführt worden) ist (vgl idS Trieb in XXXX , DatKomm Art 35 DSGVO Rz 11; sowie Artikel-29-Datenschutzgruppe, Datenschutz-Folgenabschätzung, WP248 rev.01, S 5 sowie ErwGr 84 DSGVO, wonach der Verantwortliche für die Durchführung der Datenschutzfolgenabschätzung verantwortlich ist).

Für den vorliegenden Fall bedeutet das:

Die Beschwerdeführerin hat ua die XXXX affinität von Personen verarbeitet. Bei den XXXX affinitäten handelt es sich – wie unter Punkt 3.1.1.2 ausgeführt um personenbezogener Daten besonderen Kategorie (sensible Daten) iSd Art 9 Abs 1 DSGVO (vgl VwGH 14.12.2021, Ro 2021/04/0007, Rz 53). Die Verarbeitung war mit rund XXXX betroffenen Personen auch „umfangreich“ iSv Art 35 Abs 3 lit b DSGVO. Eine derart umfangreiche Verarbeitung von personenbezogener Daten besonderen Kategorie birgt jedenfalls ein hohes Risiko, welches in einer ordnungsgemäßen Datenschutz-Folgenabschätzung auszuweisen ist.

Die gegenständlich von der Beschwerdeführerin in der DSFA zur Anwendung „DAM – Zielgruppenadressen“, wozu auch die Verarbeitung der gegenständlichen XXXX affinitäten gehört, vorgenommene Bewertung, dass „kein hohes Risiko“ vorliegt, ist daher unrichtig. Die Datenschutz-Folgenabschätzung war demnach fehlerhaft bzw wurde nicht ordnungsgemäß durchgeführt.

Damit ist der objektive Tatbestand einer Verletzung des Art 35 Abs 3 lit b DSGVO iVm Art 35 Abs 7 lit c DSGVO erfüllt. Die Strafbarkeit dieses Verstoßes gründet sich auf Art 83 Abs 4 lit a DSGVO.

3.3.2. Zur subjektiven Tatseite:

Da die Fehlerhaftigkeit der Bewertung auf der unrichtigen Einordnung der XXXX -Affinitäten als nicht personenbezogene Daten beruht, die als fahrlässig zu werten ist (siehe Punkt 3.1.2), muss sich die Beschwerdeführerin auf dem sorglosen Verhalten basierenden Folgefehler ebenfalls als fahrlässiges Verhalten zurechnen lassen.

Die fehlerhafte Erstellung der DSFA ist daher als fahrlässig zu bewerten.

3.3.3. Die Argumente der Beschwerdeführerin können daran nichts ändern:

Entgegen der Ausführungen der Beschwerdeführerin in ihrer Bescheidbeschwerde geht – wie bereits aus Punkt 4) der Aufforderung zur Rechtfertigung – aus Spruchpunkt IV. des gegenständlichen Straferkenntnisses klar hervor, dass die Verwaltungsübertretung in der Fehlerhaftigkeit der Datenschutz-Folgenabschätzung liegt, dies dadurch, dass „in dieser die Verarbeitung von besonderen Kategorien personenbezogener Daten verneint wurde, obwohl die „ XXXX affinität“ errechnet und verarbeitet wurde, und dennoch im Ergebnis das Vorliegen eines hohen Risikos jedenfalls verneint wurde.“ (vgl das Straferkenntnis vom 23.10.2019, S 3).

Aufgrund der Umstände des vorliegenden Falles ist es für das Verwaltungsgericht nicht zweifelhaft, dass für die Beschwerdeführerin als Beschuldigten die ihr vorgeworfenen Übertretungen von Anfang an ausreichend konkretisiert waren. Die Beschwerdeführerin war in der Lage, sich im gesamten Verfahren und unter anderem auch in der mündlichen Verhandlung vor dem Verwaltungsgericht umfassend zu den ihm zur Last gelegten Vorwürfen zu äußern. Auch die Gefahr einer Doppelbestrafung ist für den Verwaltungsgerichtshof im vorliegenden Fall nicht erkennbar, die Tat (fehlerhafte DSFA), als auch die Tatumstände (verkennen des Vorliegens sensibler Daten und verkennen des hohen Risikos) dem Spruch ausreichend präzise entnommen werden können (vgl diesbezüglich VwGH 04.12.2017, Ra 2017/02/0118, Rz 8; dort im Hinblick auf Tatzeit und Tatort).

Inwiefern die Durchführung einer fehlerhaften Datenschutz-Folgenabschätzung ein Unterlassungsdelikt darstellen soll, ist nicht erkennbar, schließlich bezieht sich der Tatvorwurf auf das (aktive) verneinen eines hohen Risikos, obwohl besondere Kategorien von Daten verarbeitet wurden.

Sofern die Beschwerdeführerin vermeint, der Unrechtsgehalt sei bereits durch Spruchpunkt I. und die dort umschriebene Tathandlung abgegolten, ist ihr entgegenzuhalten, dass die Anforderungen an die Rechtmäßigkeit einer Datenverarbeitung und die Regelungen zu den Pflichten eines Verantwortlichen unterschiedliche Ziele verfolgen. So führt nach der Rechtsprechung des EuGH der Verstoß gegen formelle bzw allgemeine Pflichten der DSGVO (dort Art 26 und 30 DSGVO) nicht zu einer unrechtmäßigen Verarbeitung (vgl EuGH 04.05.2023, C-60/22, Bundesrepublik Deutschland, Rz 59 ff). In dieser Entscheidung hob der EuGH die Unterschiede zwischen den in Kapitel II geregelten „Grundsätzen“ und den in Kapitel IV Abschnitt 1 geregelten „allgemeinen Pflichten“ hervor. Da es sich bei der Verpflichtung eine (ordnungsgemäße) DSFA durchzuführen, wie bei der Verpflichtung der Führung eines Verzeichnisses von Verarbeitungstätigkeiten nach Art 30 DSGVO, ebenfalls um eine den Verantwortlichen treffende Verpflichtung handelt, kann die zitierte Rechtsprechung des EuGH auf den vorliegenden Fall übertragen werden. Diese Ansicht wird dadurch bestätigt, dass auch der EuGH – so wie dies auch hier der Fall ist – zur Abgrenzung ua auf die unterschiedlichen Sanktionsnormen des Art 83 Abs 4 bzw 5 DSGVO verwiesen hat (vgl EuGH 04.05.2023, C-60/22, Bundesrepublik Deutschland, Rz 63). Darüber hinaus ist eine DSFA vor Aufnahme der Verarbeitungstätigkeit durchzuführen, wohingegen sich die Rechtswidrigkeit immer erst nach Aufnahme der Verarbeitung herausstellen kann. Die beiden Verstöße fallen daher zwingend schon zeitlich auseinander. Insofern ist der Verstoß einer fehlerhaften DSFA nicht wie von der Beschwerdeführerin behauptet bereits durch die unrechtmäßige Verarbeitung iSv Spruchpunkt I. konsumiert oder ähnliches (vgl dazu auch EDSA, Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO, Version 2.1, angenommen am 24.05.2023, Rz 30-45).

Die Beschwerdeführerin ist verpflichtet, die Datenschutzfolgenabschätzung mit der gebührenden Sorgfalt durchzuführen, die sie im gegenständlichen Fall nicht gewahrt hat. Entgegen der Meinung der Beschwerdeführerin kommt es damit zur Beurteilung der Rechtswidrigkeit der Datenschutzfolgenabschätzung auf die Frage, ob die in der Datenschutzfolgenabschätzung enthaltenen Angaben der (vorwerfbar unrichtigen) Rechtsmeinung der Beschwerdeführerin korrekt widergibt, nicht an.

Zur geltend gemachten Verletzung im Recht auf Selbstbezichtigung „nemo tenetur“ bzw auf ein Beweismittelverwertungsverbot von Beweismitteln die im Administrativverfahren auf Grund der Mitwirkungspflicht nach Art 31 DSGVO erlangt worden sind, hier die DSFA und das VVZ, ist Folgendes auszuführen:

Der Grundsatz zum Verbot zur Selbstbezichtigung gründet in Art 6 Abs 1 EMRK. Der Verwaltungsgerichtshof geht unter Verweis auf ständige Rechtsprechung des EGMR zu Art 6 Abs 1 EMRK davon aus, dass dem Beschuldigten im Strafverfahren grundsätzlich das Recht zukommt, sich selbst nicht belasten zu müssen. Die Garantie ist dabei nicht auf Aussagen beschränkt, sondern umfasst auch den Zwang zur eigenhändigen Herausgabe von Beweismaterial. Das Schweigerecht (Selbstbezichtigungsverbot) ist aber kein absolutes Recht, sondern kann Beschränkungen unterworfen werden. Für deren Zulässigkeit hat der EGMR nach der Art eines beweglichen Systems folgende Kriterien als maßgeblich erachtet: Art und Schwere des Zwangs zur Beweiserlangung, das Gewicht des öffentlichen Interesses an der Verfolgung der Straftat und der Bestrafung des Täters, die Existenz angemessener Verfahrensgarantien und die Verwertung der so erlangten Beweismittel. Auskunftspflichten gegenüber der Behörde können eine (allenfalls unzulässige) Beschränkung des Rechts, sich nicht selbst belasten zu müssen, bedeuten, wenn auf der Grundlage der so erlangten Fakten Sanktionen gegenüber dem Pflichtigen verhängt werden. Ein solcher Eingriff ist aber nach der Rechtsprechung mit Art 6 Abs 1 EMRK vereinbar, wenn die Auskunftspflichten zum angestrebten Zweck nicht unverhältnismäßig sind und den Kerngehalt des Verbots nicht verletzen. Der Verwaltungsgerichtshof ist wiederholt von einer Mitwirkungspflicht der Partei selbst in einem Strafverfahren ausgegangen, wenn es etwa der Behörde nicht möglich ist, den entscheidungswesentlichen Sachverhalt ohne Mitwirkung des Beschuldigten festzustellen (VwGH 24.02.2014, 2013/17/0834 Punkt 2.2.).

Die vom Beschwerdeführer monierte (strafbewehrte) normierte Vorlagepflicht von DSFA und VVZ dient nun der belangten Behörde gerade dazu, den entscheidungsrelevanten Sachverhalt zu ermitteln. Ohne diese Dokumente wäre die Ermittlung nur unter unverhältnismäßigem Aufwand, wie Hausdurchsuchungen unter Beiziehung von Datenforensikern, möglich. Hinzu kommt, dass die Urkunden im Administrativverfahren nicht verlangt worden sind, um ihre Richtigkeit zu prüfen, sondern um Medienberichten zur Verarbeitung der „ XXXX -Affinitäten“ durch die Beschwerdeführerin auf den Grund zu gehen. Wenn die belangte Behörde in weiterer Folge die Fehlerhaftigkeit der Urkunden erkennt und unabhängig vom eigentlichen Ermittlungszweck, nämlich die Rechtmäßigkeit der XXXX affinität zu prüfen, ein Strafverfahren über die Unrichtigkeit der DSFA oder VVZ einleitet und führt, steht der „nemo tenetur“ Grundsatz dem nicht entgegen, insbesondere auch, weil, dürfte sie die Urkunden nicht verwenden, der Nachweis ihrer Unrichtigkeit nicht erbracht werden könnte.

3.4. Zu Spruchpunkt V. des Straferkenntnisses, Fehlerhaftigkeit des Verzeichnisses zur Verarbeitungstätigkeit:

Die belangte Behörde sprach aus, dass das VVZ fehlerhaft sei, weil darin a) eine Verarbeitung besonders schutzwürdiger Daten, darunter auch die politische Meinung, sowie b) eine umfangreiche Verarbeitung von sensiblen Daten verneint wurde (Spruchpunkt V.).

3.4.1. Zur Erfüllung des objektiven Tatbestands:

Verstößt ein Verantwortlichen gegen die Plicht nach Art 30 DSGVO, werden im Einklang mit Artikel 83 Abs 2 DSGVO Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist (Art 83 Abs 4 lit a DSGVO).

Gemäß Art 30 Abs 1 DSGVO hat jeder Verantwortlicher – sofern nicht eine der hier nicht relevanten Ausnahmen des Art 30 Abs 5 DSGVO vorliegt, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Darin sind diverse, in Art 30 Abs 1 und 2 DSGVO näher angeführte, Angaben zur jeweiligen Verarbeitungstätigkeit aufzunehmen, wozu auch eine Beschreibung der Kategorien personenbezogener Daten gehört (vgl Art 30 Abs 1 lit c DSGVO). Dies soll ua den Nachweis ermöglichen, dass der Verantwortliche Daten im Einklang mit der DSGVO verarbeitet (vgl ErwGr 82 DSGVO). Ein Verstoß gegen die hier normierte formelle Pflicht kann sowohl durch die gänzliche Unterlassung der Führung eines Verarbeitungsverzeichnisses, als auch durch ein unvollständiges Verarbeitungsverzeichnis erfüllt werden (siehe idS Hartung in Kühling/Buchner, DS-GVO BDSG4, Art 30, Rz 40). Zweck der Angabe der Kategorien personenbezogener Daten ist die Ermöglichung einer Rechtmäßigkeitskontrolle. Maßstab hierfür ist ein Detailgrad, der den Aufsichtsbehörden eine Überprüfung ermöglicht (vgl Hartung in Kühling/Buchner, DS-GVO BDSG4, Art 30, Rz 19).

Für den vorliegenden Fall bedeutet das:

Die Beschwerdeführerin hat in ihrem Verzeichnis von Verarbeitungstätigkeiten zu den verarbeiteten Kategorien personenbezogener Daten angegeben, dass „eine umfangreiche Bearbeitung von sensiblen Daten“ bzw „eine Verarbeitung besonders schutzbedürftiger Daten (Ethnische Herkunft, politische Meinung, ...)“ verneint, obwohl sie „ XXXX -Affinitäten“ und sohin personenbezogener Daten, aus denen die politische Meinung hervorgeht, verarbeitet hat.

Diese Angaben der Beschwerdeführerin in ihrem Verzeichnis von Verarbeitungstätigkeiten zur Anwendung „DAM Zielgruppenadressen“ sind daher objektiv falsch bzw fehlerhaft. Die ausdrückliche Verneinung der Verarbeitung von sensiblen bzw besonders schutzbedürftigen Daten zur politischen Meinung erschwert es und kann es unmöglich machen, anhand dieses Verzeichnisses die Rechtmäßigkeit der vorliegenden Verarbeitung zu überprüfen (siehe dazu auch EDSA, Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO, Version 2.1, angenommen am 24.05.2023, Rz 28, Beispiel 1b, wonach die Versäumnis eine Verarbeitungstätigkeit in den Aufzeichnungen anzuführen ebenfalls einen Verstoß darstellt). Derartige Datenkategorien sind viel mehr sogar gesondert hervorzuheben (vgl Hartung in Kühling/Buchner, DS-GVO BDSG4, Art 30, Rz 19). Die Verneinung der Verarbeitung von sensiblen Daten sowie der politischen Meinung betroffener Personen stellt daher jedenfalls einen Verstoß dar.

Damit ist der objektive Tatbestand einer Verletzung des Art 30 Abs 1 lit c DSGVO erfüllt. Die Strafbarkeit dieses Verstoßes gründet sich auf Art 83 Abs 4 lit a DSGVO.

3.4.2. Zur subjektiven Tatseite:

Da die Fehlerhaftigkeit der Angaben im VVZ auf der unrichtigen Einordnung der XXXX -Affinitäten als nicht personenbezogene Daten beruht, die als fahrlässig zu werten ist (siehe Punkt 3.1.2), muss sich die Beschwerdeführerin auf dem sorglosen Verhalten basierenden Folgefehler als fahrlässiges Verhalten zurechnen lassen.

Die fehlerhafte Erstellung der DSFA ist daher als fahrlässig zu bewerten.

3.4.3. Die Einwände der Beschwerdeführerin können daran nichts ändern:

Sofern die Beschwerdeführerin vermeint, der Unrechtsgehalt sei bereits durch Spruchpunkt I. und die dort umschriebene Tathandlung abgegolten, zur geltend gemachten Verletzung im Recht auf Selbstbezichtigung „nemo tenetur“ und zur wahrheitsgetreuen Abbildung der Meinung Beschwerdeführerin im VVZ, siehe die entsprechenden Ausführungen unter Punkt 3.3.3..

3.5. Zu Spruchpunkt VI. des Straferkenntnisses, Mangelhaftigkeit des Verzeichnisses zur Verarbeitungstätigkeit:

Hinsichtlich der VVZ sprach die belangte Behörde auch aus, dass es mangelhaft sei, weil darin nicht alle tatsächlich verarbeiteten Datenkategorien angeführt wurden und dieses sohin nicht ausreichend detailliert erstellt wurde (Spruchpunkt VI.).

3.5.1. Zur Erfüllung des objektiven Tatbestands:

Hinsichtlich der Anforderungen an ein Verzeichnis von Verarbeitungstätigkeiten wird auf die Ausführungen zu Punkt 3.4.1 verwiesen.

Für den vorliegenden Fall bedeutet das:

Die Beschwerdeführerin hat im Verzeichnis von Verarbeitungstätigkeiten zur Datenanwendung „DAM Zielgruppenadressen“ zu den Verarbeiteten Kategorien personenbezogener Daten „nur“ angegeben, dass „Adressdaten, Daten zur Identifikation, Kontaktdaten, Marketing, Personenstammdaten“ verarbeitet werden.

Die Angabe „Marketing“ ist vor dem Hintergrund, dass die Beschwerdeführerin Datenarten wie „ XXXX -Affinität“, „Paketaffinität“ und „Umzugsaffinität“ verarbeitet, aber zu allgemein, um eine Aussage darüber zu treffen, welche konkreten Marketinginformationen verarbeitet werden und ermöglicht damit nicht den Nachweis, dass die Beschwerdeführerin Daten im Einklang mit der DSGVO verarbeitet (vgl ErwGr 82 DSGVO; siehe auch Hartung in Kühling/Buchner, DS-GVO BDSG4, Art 30, Rz 19). Sie ist damit jedenfalls unvollständig (siehe dazu auch EDSA, Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO, Version 2.1, angenommen am 24.05.2023, Rz 28, Beispiel 1b, wonach die Versäumnis eine Verarbeitungstätigkeit in den Aufzeichnungen anzuführen ebenfalls einen Verstoß darstellt).

Entgegen der Ansicht der Beschwerdeführerin reicht es nicht, dass die für ein VVZ erforderlichen Angaben in verschiedenen und miteinander nicht verbundenen Urkunden verteilt vorliegen, zumal Art 30 Abs 1 DSGVO von ein[em] Verzeichnis spricht indem zumindest sämtliche der in lit a bis g enthaltenen Angaben enthalten sein müssen und eine solche Auslegung dem darin innewohnenden Zweck widerstreiten würde, eine Darstellung der verwendeten Datenanwendungen gesammelt der Aufsichtsbehörde zur Verfügung zu stellen (Abs 4 leg cit) um den Nachweis zu erbringen, dass die Beschwerdeführerin Daten im Einklang mit der DSGVO verarbeitet (vgl ErwGr 82 DSGVO)

Damit ist der objektive Tatbestand einer Verletzung des Art 30 Abs 1 lit c DSGVO erfüllt. Die Strafbarkeit dieses Verstoßes gründet sich auf Art 83 Abs 4 lit a DSGVO.

3.5.2. Zur subjektiven Tatseite:

Die Beschwerdeführerin hat eine detaillierte Auflistung der verarbeiteten Datenkategorien erstellt, um sie dem VVZ und der DSFA als Anhang beizufügen. Gegen die Auflistung von den verwendeten Datenarten in einem Anhang zum VVZ bestehen keine Bedenken. Die Beschwerdeführerin hat diesen Anhang aber versehentlich nicht dem VVZ, sondern nur der DSFA zugeordnet. Dieses Versehen muss sie sich als fahrlässiges Verhalten zurechnen lassen, wobei hier gerade noch von einer Strafbarkeit ausgehen ist.

3.5.3. Die Argumente der Beschwerdeführerin können daran nichts ändern:

Wenn die Beschwerdeführerin darauf verweist, dass im VVZ ohnehin eine beispielhafte Aufzählung der Datenarten, nämlich „zB Kaufkraft, Sinus Milieus und Bioaffinität“, enthalten sei, ist ihr entgegenzuhalten, dass die Aufzählung gerade nur beispielhaft bleibt und dadurch nicht den Nachweis ermöglicht, dass die Beschwerdeführerin die Daten im Einklang mit der DSGVO verarbeitet. Auch ein an zwei Stellen und ohne Bezug auf die konkret verarbeitetet Datenarten im VVZ enthaltener Verweis auf die DSFA, in der dann wiederrum in einem Anhang die konkreten Datenarten verwiesen wird, ist – entgegen dem in der Verhandlung erstattet Vorbringen der Beschwerdeführerin – nicht ausreichend (OZ34, S 29).

Wenn die Beschwerdeführerin zum erforderlichen Detaillierungsgrad auf eine Entscheidung des OGH verweist, in der er im Rahmen einer Rechtmäßigkeitsprüfung Daten wie Name, Telefonnummer, Adresse und Öffnungszeiten einer Ärztin zusammenfassend als „Profildaten“ bezeichnet hat, kann daraus entgegen der Ansicht der Beschwerdeführerin nicht der Schluss gezogen werden, dass dies eine zulässige Umschreibung der Kategorien personenbezogener Daten nach Art 30 Abs 1 lit c DSGVO wäre, zumal diese Aussage in einem gänzlich anderen Zusammenhang getätigt wurde (vgl OGH 20.09.2024, 6 Ob 221/23b, Rz 71; bzw das diesbezügliche Vorbringen der Beschwerdeführerin in OZ 27, S 11).

Zur geltend gemachten Verletzung im Recht auf Selbstbezichtigung „nemo tenetur“ siehe die Ausführungen unter Punkt 3.3.3.

3.5.4. Präzisierung Spruchpunkt VI.:

Es ist der Beschwerdeführerin zuzustimmen, dass es sich bei einer unterlassenen aber gebotenen Detaillierung von Datenkategorien um ein Unterlassungsdelikt handelt, weshalb der Spruch entsprechend anzupassen war (vgl zum Unterlassungsdelikt VwGH 19.04.2023, Ra 2022/07/0079, Rz 10 und zur Präzisierung des Spruches VwGH 16.05.2022, Ra 2021/07/0049, Rz 30).

Hinsichtlich der pauschalen Anführung von Art 30 DSGVO durch die belangte Behörde ist die vom Verwaltungsgericht vorgenommene Präzisierung und Einschränkung auf Art 30 Abs 1 lit c DSGVO vom Verfahrensgegenstand erfasst und dehnt den Strafvorwurf auch nicht unzulässig aus: Die von der belangten Behörde verwendete Formulierung „nicht alle tatsächlich verarbeiteten Datenkategorien“ lässt – entgegen der Argumentation der Beschwerdeführerin – klar erkennen, dass nicht nur das Fehlen der XXXX affinitäten, sondern sämtliche („alle“) zur Anwendung „DAM – Zielgruppenadressen“ verarbeiteten Daten gemeint sind, weshalb die Beschwerdeführerin ihre Verteidigungsrechte in Kenntnis des Tatvorwurfes wahren konnte.

3.6. Zur Strafbemessung:

Die für die Strafbemessung maßgebliche Bestimmung des Art. 83 DSGVO lautet auszugsweise wie folgt:

„Art 83 (1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Art 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;

f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;

i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;

j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und

k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

(3) Verstößt ein Verantwortlicher oder Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.

(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweiten erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist:

a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;

[...]

(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist:

a) die Grundsätze der Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;

b) die Rechte der betroffenen Personen gemäß den Artikeln 12 bis 22;

[...]“

3.6.1. Zur Verhängung einer Gesamtstrafe für alle Verarbeitungsvorgänge:

Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß (vgl Art 83 Abs 3 DSGVO). Es gilt somit das Absorptionsprinzip, das wegen des Anwendungsvorrangs des Unionsrecht § 22 VStG, in dem das Kumulationsprinzip normiert wird, vorgeht (vgl AB 1761 BlgNR XXV. GP , 14; Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 83 DSGVO Rz 12).

Gleiche oder miteinander verbundene Verarbeitungsvorgänge sind dadurch definiert, dass ein einheitliches Verhalten aus mehreren Teilen bestehen kann, deren Ausführung von einem einheitlichen Willen bestimmt ist.

Die Verbindung muss dabei in inhaltlicher (betroffene Person, Zweck und Art der Verarbeitung), räumlicher und zeitlicher Hinsicht bestehen, sodass von einer natürlichen Handlungseinheit gesprochen werden kann (vgl zu alledem EDPB Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO, Version 2.1, Angenommen am 24. Mai 2023, Rz 25 ff).

Im vorliegenden Fall ist von miteinander verbundenen Verarbeitungsvorgängen ausgehen, weil alle die der Beschwerdeführerin vorgeworfenen Tathandlungen, nämlich XXXX affinitäten von betroffenen Personen verarbeitet zu haben und hinsichtlich dieser Datenverarbeitung eine fehlerhafte Datenschutz-Folgenabschätzung und ein fehlerhaftes Verfahrensverzeichnis erstellt zu haben, die Anzahl empfangener Pakete während eines bestimmten Zeitraumes (Paketfrequenz) und Nachsendeaufträge weiterverarbeitet zu haben und hinsichtlich der Datenverarbeitung für die „DAM-Zielgruppenadressen“ ein mangelhaftes Verfahrensverzeichnis erstellt zu haben, vom selben Willen getragen sind und auf denselben Zweck abzielen, nämlich die Marketingdatenbank „DAM-Zielgruppenadressen“ zu erstellen und zu pflegen, um die darin enthaltenen Datenarten, insbesondere die hier gegenständlichen XXXX -Affinitäten und die auf Grund der hier gegenständlichen Paketfrequenzen und Umzugshäufigkeiten berechneten Paketaffinitäten und Umzugsaffinitäten, zu vermarkten, (potentiell) dieselben Personen betroffen waren, nämlich (potentiell) jene Personen, die in der Marketingdatenbank enthalten waren, die Art der Verarbeitung, nämlich Erstellung von Hochrechnungsmodellen und ihre Anwendung und Zuordnung ihrer Ergebnisse auf die in der Marketingdatenbank enthaltenen Personen, und im selben räumlichen und zeitlichen Zusammenhang erfolgt sind.

Die von der Beschwerdeführerin vertretene gegenteilige Meinung kann nicht überzeugen, zumal sich die von ihr angezogene Judikatur des Verwaltungsgerichtshofs auf das Kumulationsprinzip bezieht und daher nicht einschlägig ist, § 44a VStG, der vorschreibt, dass im Spruch des Straferkenntnisses die Tathandlungen und die verhängte Strafe enthalten sein muss, vor dem Hintergrund des europarechtlich und damit vorrangig eingeräumten Absorptionsprinzip nicht einschlägig interpretiert werden kann und sich aus der erforderlichen individuellen – und höchstgerichtlich nachvollziehbaren – Beurteilung der einzelnen Tathandlungen nicht schließen lässt, ob auf Grund der erfolgten individuellen Beurteilung Einzelstrafen oder eine Gesamtstrafe zu verhängen ist.

3.6.2. Zur Ermittlung der Geldbuße

Die maximale Geldbuße für den schwerwiegendsten Verstoß, i.e. gegen die Artikel 5 und 9 DSGVO, beträgt bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist (Art 83 Abs 5 lit a DSGVO).

Stichtag für die Bestimmung des „vorangegangenen Geschäftsjahres“ ist die Entscheidung der belangten Behörde (EDPB Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO, Version 2.1, angenommen am 24. Mai 2023, Rz 131; LG Bonn vom 11.11.2020 - 29 OWi 1/20, Rn 101 f (abrufbar unter https://openjur.de/u/2310641.html ; oder zu den mit Artikel 83 DSGVO kartellrechtlichen Regelungen EuGH, 26.01.2017, C-637/13 P, Badezimmerkartell Laufen Austria, Rn 49 und EuGH 04.09.2014, C-408/12 P, YKK u.a., Rn 90).

Das Straferkenntnis wurde am 28.10.2019 gegenüber der Beschwerdeführerin erlassen, weshalb der Umsatz des Geschäftsjahres 2018 zu berücksichtigen ist.

Der Konzernumsatz der Beschwerdeführerin für das Geschäftsjahr 2018 beläuft sich auf XXXX .

Zur Einordnung der Tathandlungen (vgl dazu EDPB, Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO Version 2.1):

Hinsichtlich der rechtswidrigen Verarbeitung der XXXX affinitäten hat die Beschwerdeführerin für natürliche Personen rechtswidrig berechnet, mit welcher Wahrscheinlichkeit, sie Interesse an Werbung von fünf politischen Parteien hat („ XXXX -Affinität“) und sie den einzelnen Personen zugeordnet, gespeichert, und an Dritte verkauft, nämlich zugeordnet und gespeichert für etwas weniger als neun Monate für etwa XXXX natürliche Personen und für etwas mehr als ein Monat berechnet und verkauft alle Daten und etwas weniger als neun Monate hinsichtlich natürlicher Personen mit Adressen in XXXX . Zweck der Zuordnung war es, Kunden diese Informationen zu Marketingzwecken zu verkaufen, i.e. um es Kunden zu ermögliche, Streuverluste in der Werbung zu verringern.

Bei den „ XXXX -Affinitäten“ handelt es sich um besondere Kategorien von personenbezogenen Daten iSd Art 9 Abs 1 DSGVO.

Sie hat durch die Verarbeitung fahrlässig gegen Art 5 Abs 1 erster Fall DSGVO iVm Art 9 Abs 1 DSGVO verstoßen.

Da die Daten nach ihrer Berechnung in weiterer Folge nur an zwei politische Parteien zum Zwecke verkauft worden sind, um natürliche Personen zielgerichtet zu bewerben, ist durch die Berechnung, Zuordnung und Weitergabe lediglich von einem geringen ideellen Schaden der Betroffenen auszugehen.

Vor dem Hintergrund, dass durch die Datenverarbeitung über einen längeren Zeitraum systematisch ein Großteil der in Österreich lebenden Menschen nach ihren vermuteten politischen Interessen eingestuft worden sind, ist aber dennoch von einem Verstoß mit hohem Schweregrad auszugehen. Dass die Daten – wie die Beschwerdeführerin vorbringt – mit einer gewissen Unschärfe behaftet sind, ändert an dieser Einstufung nichts.

Hinsichtlich der zweckändernden Weiterverarbeitung der „Paketfrequenz“ hat die Beschwerdeführerin– soweit verfahrensrelevant – etwas weniger als neun Monate eine Liste der empfangenen Pakete samt dem Zeitpunkt ihres Empfangs („Paketfrequenz“ oder „Kennzahlen“) vom Geschäftsbereich Paketzustellung in den Geschäftsbereich „Adressverlage und Direktmarketing“ übernommen, um daraus ein Hochrechnungsmodell zu erstellen, mit dem bestimmten natürlichen Personen zugeschrieben werden konnte, mit welcher Wahrscheinlichkeit sie am Empfang von Paketen interessiert ist. Davon waren XXXX Personen betroffen.

Bei den „Kennzahlen“ handelt es sich um keine besonders geschützte Kategorie von personenbezogenen Daten.

Sie hat durch die Verarbeitung fahrlässig gegen die Grundsätze „Treu und Glauben“ und „Transparenz“ iSd Art 5 Abs 1 lit a 2. und 3. Fall DSGVO sowie gegen den Zweckbindungsgrundsatz iSd Art 5 Abs 1 lit b DSGVO iVm Art 6 Abs 4 DSGVO iVm Art 83 Abs 5 DSGVO verstoßen.

Da die Daten nach ihrer Übernahme aus dem Geschäftsbereich „Paketzustellung“ und der Berechnung eines Durchschnittswerts durch die Erstellung eines regionalen Durchschnittswerts anonymisiert worden sind, ist nicht davon auszugehen, dass den Betroffenen durch die Verarbeitung ein physischer Schaden entstanden ist. Von einem maßgeblichen – wenn überhaupt – ideellen Schaden kann nicht ausgegangen werden.

Vor dem Hintergrund der bloß fahrlässigen Begehung, dem Vorliegen von Daten, die nicht besonders geschützt sind und dem Umstand, dass sie Daten nach der Übernahme – sieht man von der Berechnung des Durchschnittswertes ab – anonymisiert worden sind, ist trotz der großen Anzahl an Betroffenen und der Dauer des Verstoßes dennoch von einem Verstoß mit geringem Schweregrad auszugehen.

Hinsichtlich der Fehlerhaftigkeit der Datenschutz-Folgenabschätzung hat die Beschwerdeführerin zur Anwendung „DAM – Zielgruppenadressen“ zwar eine fehlerhafte DSFA erstellt. Dies, weil sie vorwerfbar irrig davon ausgegangen ist, dass es sich bei den „Affinitäten“ im Allgemeinen und bei den „ XXXX -Affinitäten“ im Besonderen um keine personenbezogenen Daten handelt und daher das Vorliegen eines hohen Risikos für die Betroffenen verneint hat.

Sie hat damit fahrlässig gegen Art 35 Abs 3 lit b DSGVO iVm Art 35 Abs 7 lit c DSGVO iVm Art 83 Abs 4 DSGVO verstoßen.

Vor dem Hintergrund, dass die Datenschutzfolgenabschätzung grundsätzlich erstellt worden ist und die Fehleinschätzung lediglich ein Folgefehler auf Grund einer (vorwerfbar) irrigen Rechtsansicht darstellt und für die Betroffenen – im Gegensatz zur Verarbeitung an sich – kein Schaden erkennbar ist, war von einem Verstoß mit geringem Schweregrad auszugehen.

Hinsichtlich der Fehlerhaftigkeit des Verzeichnisses zur Verarbeitungstätigkeit

Die Beschwerdeführerin hat im Verzeichnisses zur Verarbeitungstätigkeit „DAM Zielgruppenadressen“ zu den verarbeiteten Kategorien personenbezogener Daten „eine umfangreiche Bearbeitung von sensiblen Daten“ bzw „eine Verarbeitung besonders schutzbedürftiger Daten (Ethnische Herkunft, politische Meinung, ...)“ verneint, obwohl sie „ XXXX -Affinitäten“ und sohin personenbezogener Daten, aus denen die politische Meinung hervorgeht, verarbeitet hat. Dies, weil sie vorwerfbar irrig die „ XXXX -Affinitäten“ als nicht personenbezogene Daten eingeordnet hat.

Sie hat damit fahrlässig gegen Art 30 Abs 1 lit c DSGVO iVm Art 83 Abs 4 DSGVO verstoßen.

Vor dem Hintergrund, dass das Verfahrensverzeichnis grundsätzlich erstellt worden ist und die Fehleinschätzung lediglich ein Folgefehler auf Grund einer (vorwerfbar) irrigen Rechtsansicht darstellt und für die Betroffenen – im Gegensatz zur Verarbeitung an sich – kein Schaden erkennbar ist, war von einem Verstoß mit geringem Schweregrad auszugehen.

Hinsichtlich der Mangelhaftigkeit des Verzeichnisses zur Verarbeitungstätigkeit hat die Beschwerdeführerin im Verzeichnis von Verarbeitungstätigkeiten zur Datenanwendung „DAM Zielgruppenadressen“ zu den Verarbeiteten Kategorien personenbezogener Daten nur angegeben, dass sie „Adressdaten, Daten zur Identifikation, Kontaktdaten, Marketing, Personenstammdaten“ verarbeitet, wobei die Angabe „Marketing“ vor dem Hintergrund, dass die Beschwerdeführerin Datenarten wie „ XXXX -Affinität“, „Paketaffinität“ und „Umzugsaffinität“ verarbeitet, zu allgemein ist, um eine Aussage darüber zu treffen, welche konkreten Marketinginformationen verarbeitet werden und es hat damit nicht den Nachweis ermöglicht, dass die Beschwerdeführerin Daten im Einklang mit der DSGVO verarbeitet.

Dies, weil sie die Beschwerdeführerin zwar eine detaillierte Auflistung der verarbeiteten Datenkategorien erstellt hat, sie aber versehentlich nur der DSFA nicht aber auch dem VVZ zugeordnet hat.

Sie hat damit fahrlässig gegen Art 30 Abs 1 lit c DSGVO iVm Art 83 Abs 4 DSGVO verstoßen.

Vor dem Hintergrund, dass sowohl das Verfahrensverzeichnis als auch eine ausreichende Kategorisierung der verwendeten Datenarten in einer Beilage vorgenommen worden ist, und sich die Rechtswidrigkeit des VVZ lediglich aus dem Umstand ergibt, dass die Beilage dem VVZ versehentlich nicht zugeordnet worden und die Beilage ohnehin der DSFA zugeordnet worden ist, weshalb sie auch der belangten Behörde zur Prüfung der Datenanwendung zur Verfügung stand, war von einem Verstoß mit äußerst geringem Schweregrad auszugehen.

Darüber hinaus war mildernd zu werten, dass

die Beschwerdeführerin umfassend mit der Datenschutzbehörde und dem Bundesverwaltungsgericht zusammengearbeitet hat, und damit in weiten Teilen zur Erhellung des Sachverhaltes wesentlich beigetragen hat (Art 83 Abs 2 lit f DSGVO);

die Beschwerdeführerin die Daten zu den XXXX affinitäten gelöscht und die Weitergabe der „Paketfrequenz“ zwischen den Geschäftsbereichen „Paketzustellung“ geschlossen hat zwar erst nach Einleitung des amtswegigen Prüfverfahrens aber unmittelbar danach und damit deutlich vor einer Entscheidung gelöscht hat und somit einen etwaigen Schaden der Betroffenen reduziert hat, sowie weiters mit dem Großteil der betroffenen Personen Vergleiche abgeschlossen und in diesem Zusammenhang XXXX an betroffene Personen ausgezahlt hat sowie Betroffenen über ihre Website angeboten hat, sowohl einfache als auch notarielle Unterlassungserklärungen für betroffene Personen abzugeben, und hat damit Maßnahmen getroffen den Schaden der Betroffenen zu lindern (Art 83 Abs 2 lit c DSGVO);

die lange Verfahrensdauer von fünf Jahren und zehn Monaten (Art 83 Abs 2 lit k DSGVO), die der Beschwerdeführerin nicht zugerechnet werden kann, zumal sie durch einen zweiten Rechtsgang und eine Aussetzung des Revisionsverfahrens bis zur Entscheidung des EuGH in der Rechtssache C-807/21, Deutsche Wohnen, (vgl dazu VwGH 27.09.2018, Ra 2017/17/0391, RS 5) und nicht maßgeblich durch vereinzelte Fristerstreckungsanträge der Beschwerdeführerin im Verfahren vor der belangten Behörde bedingt war (OZ 34, S 37);

und erschwerend, dass

die Beschwerdeführerin aus der rechtswidrigen Verarbeitung von personenbezogenen Daten XXXX Betroffener einen wirtschaftlichen Vorteil gezogen hat, wobei sie sowohl einen Vorteil aus dem Verkauf der XXXX -Affinitäten als auch aus der Erstellung der Hochrechnungsmodelle für die Paketaffinitäten, die in weiterer Folge vermarktet worden sind, gezogen hat (Art 83 Abs 2 lit k DSGVO).

Einschlägige frühere Verstöße der Beschwerdeführerin liegen nicht vor, zumal zwar zwei Geldbußen gegen die Beschwerdeführerin verhängt worden sind, nämlich die Strafverfügung der DSB vom 06.09.2019, GZ DSB-D550.150/0001-DSB/2019, sowie das Straferkenntnis des BVwG vom 18.04.2024, GZ: W137 2248575-1/31, die sich aber gegen andere Rechtsgüter richten, nämlich die mangelnde Zusammenarbeit mit der Datenschutzbehörde und die Erschwerung der Wahrnehmung von Betroffenenrechten.

Spezialpräventive Gründe zur Bestrafung der Beschwerdeführerin bestehen, obwohl sie sich nach Ihren Angaben aus dem Geschäftsbereich der Vermarktung der Partei seit 31.12.2021 „weitgehend“ zurückgezogen hat, nach wir vor, zumal ihr es ja grundsätzlich offen stehen würde, die Tätigkeiten wieder aufzunehmen. Anderes gilt nur hinsichtlich jener Datenverarbeitungen und Betroffener, zu denen die Beschwerdeführerin Unterlassungserklärungen abgegeben hat. Im Vergleich zur Entscheidung durch die belangte Behörde, waren spezialpräventive Gründe daher geringer zu werten.

Auch generalpräventive Gründe für eine Bestrafung liegen vor, zumal die Intention des Verordnungsgebers, durch die mögliche Verhängung hoher Geldbußen, die Durchsetzung der DSGVO sicherzustellen, vereitelt würde, würde man, insbesondere in schweren Fällen, wie dem gegenständlichen, von einer Bestrafung absehen oder eine Geldbuße wesentlich reduzieren. Vor diesem Hintergrund reicht – entgegen der Meinung der Beschwerdeführerin – die negative Berichterstattung über die gegenständlichen Datenverwendungen keinesfalls aus, um keine generalpräventiven Gründe für eine Bestrafung annehmen zu können.

Zu den Argumenten der Beschwerdeführerin:

Eine allfällige Orientierung an alten Verhaltensregeln und einer etwaigen Planung sich neuen Verhaltensregeln zu unterwerfen, ist entgegen der Ansicht der Beschwerdeführerin nicht mildernd zu berücksichtigen, zumal sich die Beschwerdeführerin sich genehmigten Verhaltensregeln gerade nicht unterworfen hat (Art 83 Abs 2 lit j DSGVO).

Dass die Beschwerdeführerin nur geringe finanzielle Vorteile durch die Verarbeitung der XXXX affinität erzielt hat, ändert nichts daran, dass wirtschaftliche Vorteile erzielt worden sind.

Inwiefern die Aufwendungen der Beschwerdeführerin im Zuge der Vorbereitungen auf die DSGVO strafmildernd zu werten sind, ist nicht nachvollziehbar, zumal sie die Realisierung der hier in Frage stehenden Taten gerade nicht verhindert haben.

Wenn die Beschwerdeführerin mildernd vorbringt, sich in der DSFA um eine Risikoeinschätzung bemüht hat, ist ihr einerseits entgegen zu halten, dass die Risikoeinschätzung gerade unrichtig vorgenommen worden ist und andererseits eine Maßnahme nicht als mildernd gewertet werden kann, zu deren Durchführung die Beschwerdeführerin ohnehin rechtlich verpflichtet ist.

Für die von der Beschwerdeführerin gewünschten Bemessung der Geldbuße am tatbezogenen Umsatz, fehlt es an einer rechtlichen Grundlage, zumal Art 83 Abs 4 und 5 DSGVO auf den gesamten weltweit erzielten Jahresumsatz des vorangegangenen Geschäftsjahrs verweisen.

Die von der Beschwerdeführerin als mildernd vorgebrachten konkreten Datenverarbeitungen, wurden bei der Einordnung der Tathandlungen bereits entsprechend berücksichtigt.

Hinsichtlich der – von der Beschwerdeführerin vorgebrachten – einwandfreien technisch organisatorischen Maßnahmen war kein Milderungsgrund anzunehmen, weil hinsichtlich der Bewertung der „ XXXX -Affinitäten“ auch ein Organisationsverschulden vorgelegen ist.

Das „Geständnis“ der Beschwerdeführerin war nicht als mildernd zu werten, weil das bloße Zugeben von Tatsachen ohne Eingeständnis der subjektiven Merkmale des strafbaren Verhaltens nicht mildernd wirkt (RIS-Justiz RS0091585; Fabrizy/Michel-Kwapinski/Oshidari, StGB14 § 34 Rz 14 (Stand 10.3.2022, rdb.at)), und die Beschwerdeführerin in ihrem Verhalten gerade kein Fahrlässiges Handeln erblickt hat (Verhandlungsprotokoll vom 20.11.2024, OZ 31, S 3).

3.7. Ergebnis:

In einer Gesamtabwägung erscheint vor dem Hintergrund des von der Behörde noch herangezogenen niedrigen Umsatzes der Beschwerdeführerin iHv XXXX und einem nunmehr festgestellten konzernweiten Umsatzes der Beschwerdeführerin iHv XXXX , die von der belangten Behörde ausgesprochene Strafe iHv XXXX am untersten Bereich angesetzt zu sein, um gerade noch wirksam, verhältnismäßig und angemessen zu sein.

Vor dem Hintergrund, dass im Vergleich zur Entscheidung durch die belangte Behörde das erkennende Gericht hinsichtlich des schwersten Vergehens, nämlich der Verarbeitung der „ XXXX -Affinitäten“ von einer geringeren Anzahl an Betroffenen ausgeht, XXXX (Straferkenntnis vom 23.10.2019, S 44, OZ 1, XXXX , S 46), die Schadensminderung durch den Abschluss von Vergleichen und das Anbieten von Unterlassungserklärungen stärker ausgeprägt ist, das Verfahren hinsichtlich der Verarbeitung der „Umzugsfrequenz“ bzw „Umzugsaffinitäten“ eingestellt worden ist, es hinsichtlich des Tatzeitraumes zu der Verarbeitung der „Paketfrequenz“ zu einer Einschränkung des Tatzeitraumes gekommen ist, spezialpräventive Gründe durch das Anbot und den Abschluss von Unterlassungserklärungen mit den Betroffenen – wodurch eine Widerbetätigung im Geschäftsfeld erschwert wird – reduziert sind, der Milderungsgrund der langen Verfahrensdauer hinzutritt und der Erschwernisgrund einer einschlägigen Vorstrafe entfallen ist, waren in einer Gesamtabwägung dennoch die Geldbuße auf

EUR 16.000.000,00 (sechzehn Millionen) Euro

und die Verfahrenskosten unter Berücksichtigung von § 64 VStG entsprechend herabzusetzen. Die Reduktion der Anzahl der Betroffenen war nicht stärker zu berücksichtigen, weil im Endergebnis die Beschwerdeführerin dennoch über einen längeren Zeitraum systematisch einen Großteil der in Österreich lebenden Menschen nach ihren vermuteten politischen Interessen eingestuft hat.

3.8. Es war daher spruchgemäß zu entscheiden.

Zu B) Zulässigkeit der Revision:

Gemäß § 25a Abs 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art 133 Abs 4 B-VG zulässig ist. Dieser Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art 133 Abs 4 B-VG zulässig, weil es an Rechtsprechung des Verwaltungsgerichtshofes zum Kumulationsprinzip des Art 83 Abs 3 DSGVO fehlt, nämlich nach welchen Kriterien zu unterscheiden ist, ob gleiche oder miteinander verbundene Verarbeitungsvorgänge iSd Art 83 Abs 3 DSGVO vorliegen.