Entscheidungen
BVwG Entscheidungen
BVwG Volltexte

BVwG W256 2246230-1

BVwGW256 2246230-17.6.2024

B-VG Art133 Abs4
DSGVO Art13
DSGVO Art17
DSGVO Art21
DSGVO Art22
DSGVO Art4
DSGVO Art5 Abs1 lita
DSGVO Art6
DSGVO Art7
DSGVO Art83
VStG 1950 §45 Abs1 Z1
VStG 1950 §64
VwGVG §52 Abs8

European Case Law Identifier: ECLI:AT:BVWG:2024:W256.2246230.1.00

 

Spruch:

 

W256 2246230-1/49E

 

 

IM NAMEN DER REPUBLIK!

 

Das Bundesverwaltungsgericht hat durch die Richterin Mag. Caroline Kimm als Vorsitzende und die fachkundigen Laienrichterinnen Dr. Claudia Rosenmayr-Klemenz und Mag. Adriana Mandl als Beisitzerinnen über die Beschwerde der XXXX GmbH, vertreten durch XXXX Rechtsanwälte GmbH, gegen das Straferkenntnis der Datenschutzbehörde vom 26. Juli 2021, Zl. D550.248 (2021-0.267.590) nach Durchführung einer mündlichen Verhandlung zu Recht erkannt:

A) I. Der Beschwerde wird hinsichtlich Spruchpunkt I. Folge gegeben, das Straferkenntnis hinsichtlich Spruchpunkt I. behoben und das Verfahren hinsichtlich Spruchpunkt I. gemäß § 45 Abs. 1 Z 1 VStG eingestellt.

II. Der Beschwerde gegen Spruchpunkt II. des Straferkenntnisses wird teilweise Folge gegeben und der Spruch des Straferkenntnisses dahingehend abgeändert, dass er insgesamt zu lauten hat:

„Beschuldigte juristische Person: XXXX GmbH (FN XXXX m)

Die XXXX GmbH mit Sitz in XXXX (zugleich Tatort), hat als Verantwortliche im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016, S. 1, durch das tatbestandsmäßige, rechtswidrige und schuldhafte Verhalten folgende Verwaltungsübertretung begangen:

Die Beschuldigte hat durch die vom 2. Mai 2019 bis zum 31. Jänner 2021 erfolgte automatisierte Verarbeitung der Teilnahme- und Einkaufsdaten von am „ XXXX “ mittels der (bis zum 3. März 2020 eingesetzten) Methode „Webseite“ www. XXXX at und der (bis zum 3. Februar 2020 eingesetzten) Methode Anmeldebroschüre „Flyer“ registrierten betroffenen Personen zum Zweck der Erstellung von Profilen über deren Einkaufsverhalten eine unrechtmäßige Datenverarbeitung durchgeführt, weil diese weder auf eine rechtsgültige Einwilligungserklärung, noch auf eine andere Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO gestützt werden konnte.

Die Beschuldigte hat dadurch im Ergebnis

 die Grundsätze für die Verarbeitung von personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) verletzt und

 personenbezogene Daten verarbeitet, ohne dass hierfür ein geeigneter Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO vorlag.

Verwaltungsübertretung nach: Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 iVm Art. 83 Abs. 5 lit. a DSGVO

Wegen dieser Verwaltungsübertretung wird folgende Strafe verhängt:

Geldstrafe von gemäß

Euro 500.000 (in Worten: Art. 83 Abs. 5 lit. a DSGVO

Fünfhunderttausend Euro)

Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen:

Euro 50.000 als Beitrag zu den Kosten des Strafverfahrens, das sind 10 % der Strafe.

Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher

Euro 550.000 (in Worten: fünfhundertfünfzigtausend Euro).“

III. Die Beschwerdeführerin hat gemäß § 52 Abs. 8 VwGVG keine Kosten des verwaltungsgerichtlichen Verfahrens zu tragen.

B) Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.

 

Entscheidungsgründe:

I. Verfahrensgang:

zum Vorverfahren:

Mit Schreiben vom 5. September 2019 brachte die belangte Behörde der Beschwerdeführerin zur Kenntnis, dass sie ein zur Zahl D213.895/0003 protokolliertes amtswegiges Prüfverfahren gegen sie einleite und wurde die Beschwerdeführerin zur Beantwortung eines Fragenkatalogs aufgefordert.

Dieser Aufforderung ist die Beschwerdeführerin mit Schreiben vom 16. September 2019 und vom 7. Oktober 2019 unter gleichzeitiger Vorlage diverser Unterlagen nachgekommen.

Mit dem Bescheid vom 23. Oktober 2019, GZ: DSB-D213.895/0003-DSB/2019 (im Folgenden: Ausgangsbescheid) entschied die belangte Behörde im amtswegigen Prüfverfahren gegen die Beschwerdeführerin wie folgt:

„1. Das amtswegige Prüfverfahren war berechtigt und es wird festgestellt, dass das Ersuchen um Einwilligung zur Verarbeitung von personenbezogenen Daten von den am „ XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch die XXXX GmbH mit dem Wortlaut

„Einwilligungserklärung: Ich erkläre mich [..] damit einverstanden, dass die XXXX GmbH sowie die XXXX Partner, bei denen ich meine XXXX Karte verwendet habe, (1) meine Teilnahmedaten und Einkaufsdaten zusammenführen und analysieren, um mir für mich relevante und auf meine Interessen zugeschnittene, individualisierte Informationen zum XXXX Programm zukommen zu lassen und Angebote zum Sammeln und Einlösen von XXXX auf meine Bedürfnisse anzupassen (sog. „Profiling“ [..]), um (2) mir Werbung mit personalisierten Angeboten über Produkte und Dienstleistungen des Betreibers und der XXXX Partner [..] zuzusenden, und (3) dass meine auf diese Weise gewonnenen personenbezogenen Daten bei Widerruf meiner Einwilligung, spätestens nach Ende meiner Mitgliedschaft gelöscht werden. [..].“

unter Verwendung folgender Methoden:

i) Webseite www. XXXX .at

ii) XXXX App

iii) XXXX in der Filiale eines Partners und

iv) Anmeldebroschüre („Flyer“)

nicht den Anforderungen an eine Einwilligung gemäß Art. 4 Z 11 DSGVO und Art. 7 DSGVO entspricht und dass folglich die Verarbeitung von personenbezogenen Daten von den am „ XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch die XXXX GmbH mangels gültiger Einwilligung unzulässig ist.

2. Die XXXX GmbH wird angewiesen, innerhalb einer Frist von drei Monaten bei sonstiger Exekution, das in Spruchpunkt 1. genannte Ersuchen um Einwilligung unter Verwendung der in Spruchpunkt 1. i) bis iv) genannten Methoden gemäß Art. 4 Z 11 DSGVO und Art. 7 DSGVO anzupassen.

3. Der XXXX GmbH wird untersagt und die XXXX GmbH wird angewiesen, die gemäß Spruchpunkt 1. eingeholten Einwilligungen ab 1. Mai 2020 zum Zweck des Profiling nicht mehr zu verwenden. Dies gilt nicht, sofern von den betroffenen Personen innerhalb derselben Frist eine gültige Einwilligung, unter Einhaltung der Anforderungen an eine Einwilligung gemäß Spruchpunkt 2, eingeholt wird.

Rechtsgrundlagen: Art. 4 Z 4 und Z 11, Art. 5 Abs. 1 lit. a., Art. 6 Abs. 1 lit. a, Art. 7 Abs. 1 und Abs. 2, Art. 12 Abs. 1, Art. 13 Abs. 1 lit. c, Art. 57 Abs. 1 lit. a und lit. h, Art 58 Abs. 1 lit. b und Abs. 2 lit. d und lit. f [..] DSGVO [..]“

Dazu stellte die belangte Behörde u.a. fest, dass die Beschwerdeführerin Betreiberin des XXXX sei. Bei diesem XXXX handle es sich um ein unternehmens- und branchenübergreifendes Kundenbindungsprogramm. Unterschiedliche Unternehmen würden daran teilnehmen. Dazu schließe die Beschwerdeführerin als Betreiberin mit den Unternehmen einen Vertrag ab. Kunden, die in den Filialen der teilnehmenden Partner Produkte erwerben und einkaufen, könnten sich als Mitglied für den XXXX registrieren. Die Mitglieder könnten bei jedem Einkauf die XXXX Karte vorzeigen, die vor Bezahlung durch den jeweiligen Partner gescannt werde. Im Rahmen des Kundenbindungsprogramms würden die Mitglieder Punkte sammeln. Diese könnten u.a. dazu verwendet werden, um Rabatte zu erhalten. Die Beschwerdeführerin weise in ihrer Datenschutzerklärung in Punkt 3. darauf hin, dass sie näher dargestellte Mitgliederstammdaten und Einkaufsdaten verarbeite. In Punkt 4.4. der Datenschutzerklärung werde unter der Überschrift „automationsunterstützte Verarbeitung und Analyse (Profiling für Zielgruppenselektionen, […]“ darauf hingewiesen, dass nur sofern das Mitglied einwillige, der Betreiber als alleiniger Verantwortlicher die beim Betreiber und bei den Partnern verarbeiteten Mitgliederstammdaten und Einkaufsdaten des Mitglieds zur automationsunterstützten Personalisierung von Werbe- und Marketingmaßnahmen weiterverwende, analysiere und so neue Marketing-Profilingdaten gewinne. Rechtsgrundlage für die Verarbeitung sei laut Punkt 4.4.5. die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Laut Punkt 4.4.6. sei die Einwilligung freiwillig und könne jederzeit widerrufen werden.

Weiters stellte die belangte Behörde fest, dass die gegenständliche Einwilligung zum Profiling nach Punkt 4.4. der Datenschutzerklärung durch die in Spruchpunkt 1 i) bis iv) dargestellten Methoden eingeholt werde. Im Wesentlichen werde bei sämtlichen Methoden, wenn auch in unterschiedlicher Form, zunächst die Datenschutzerklärung den Betroffenen zur Kenntnis gebracht und anschließend in Bezug auf die Onlineversionen unter der Überschrift „Genießen Sie Ihre persönlichen Vorteile“ der Betroffene um die im Spruch ausgeführte Einwilligung zum in Punkt 4.4. der Datenschutzerklärung dargestellten Profiling ersucht. Prüfgegenstand sei nunmehr die Frage, ob dieses Ersuchen um Einwilligung den in der DSGVO normierten Anforderungen entspreche. Werde dies verneint, sei weiters zu prüfen, welche Auswirkungen dies auf die Zulässigkeit der Verarbeitung von personenbezogenen Daten zum Zweck des Profiling habe und ob im Falle einer Unzulässigkeit ein Verbot der Datenverarbeitung auszusprechen sei. Die Datenschutzbehörde habe bereits in einem ähnlich gelagerten Fall ausgesprochen, dass eine Einwilligung den Anforderungen des Art. 4 Z 11 DSGVO und Art. 7 DSGVO entsprechend und insbesondere in verständlicher Form erfolgen müsse. Diesen Anforderungen entspreche die vorliegende Einwilligung bei jeder der vier Anmeldearten nicht. Dazu führte die belangte Behörde in Bezug auf die hier wesentlichen Methoden „Flyer“ und Webseite aus, die betroffene Person erhalte im Rahmen der Anmeldung zum XXXX unter Verwendung der Webseite www. XXXX .at unter dem Abschnitt mit der Überschrift „Genießen Sie ihre persönlichen Vorteile“ zunächst keine sichtbaren Informationen darüber, dass mit „persönlicher Vorteil“ die Verarbeitung personenbezogener Daten zum Zweck des Profiling gemeint sei. Auch in der in diesem Abschnitt eingebetteten Box werde zunächst bloß auf die AGB und die Datenschutzerklärung verwiesen („Ich erkläre mich gemäß Punkt 5.5. und 5.6. AGB [ebenso Punkte 4.4. und 4.5. der Datenschutzerklärung“] damit einverstanden, dass …“). Erst nachdem die Box entsprechend hinuntergescrollt werde, werde auf die Verarbeitung personenbezogener Daten zum Zweck des Profiling verwiesen; die Information zum Profiling sei daher in keiner „leicht zugänglichen Form“ und auch in keiner „klaren und knappen Form“ verfügbar. Weiters sei festzuhalten, dass eine betroffene Person die auf den ersten Blick sichtbaren Optionen „Ja“ und „Nein“, die bloß allgemein auf den Erhalt oder Nichterhalt von „exklusiven Vorteilen und Aktionen“ verweisen, nach allgemeiner Lebenserfahrung nicht mit Profiling assoziiere und es sich daher auch um keine „klare und einfache Sprache“ und insofern um keine rechtsgültige Einwilligung handle. Der europäische Gesetzgeber habe ausdrückliche Anforderungen an ein Ersuchen um eine Einwilligung in Art. 7 DSGVO normiert, die zusätzlich und unabhängig von den AGB und der Datenschutzerklärung einzuhalten seien. Wenn ein Vertrag also (wie gegenständlich die Anmeldung zum XXXX ) mehrere Aspekte behandle, habe sich das Ersuchen um Einwilligung deutlich abzuheben. In Bezug auf die Anmeldebroschüre („Flyer“) werde am Ende des Anmeldeformulars das Feld „Unterschrift“ vorgegeben. Unterhalb des Feldes „Unterschrift“ sei der Hinweis „Diese Unterschrift gilt nur für die Einwilligungserklärung und ist freiwillig. Ihre Anmeldung zum XXXX ist auch ohne Unterschrift wirksam“ vorhanden. Die „Einwilligungserklärung“ selbst sei jedoch wiederum oberhalb des Feldes „Unterschrift“ platziert. Davon ausgehend sei festzuhalten, dass sich das Anmeldeformular ganz allgemein auf die Anmeldung zum XXXX beziehe. Da das Feld „Unterschrift“ jedoch am Ende des Anmeldeformulars platziert sei, werde der Eindruck vermittelt, dass es sich hierbei um die Unterschrift als Bestätigung zur Anmeldung zum XXXX handle. Dabei sei auch nach allgemeiner Lebenserfahrung davon auszugehen, dass ein Durchschnittsbenutzer, der sich zum XXXX anmelde (und somit einen Vertrag abschließe) damit rechne, dass es sich hierbei um die Unterschrift zur Bestätigung der Anmeldung – und nicht um die Abgabe einer datenschutzrechtlichen Einwilligung zum Profiling – handle. An diesen Ausführungen könne auch der darunter platzierte Hinweis nichts ändern, dass diese Unterschrift nur für die Einwilligungserklärung gelte: Dieser sei erstens nach links versetzt, sodass er sich unter dem Feld „Datum“ und nicht direkt unter dem Feld „Unterschrift“ befinde. Erschwerend komme in beiden Fällen hinzu, dass kein gut sichtbarer Hinweis auf die Möglichkeit eines Widerrufs gemäß Art. 7 Abs. 3 letzter Satz DSGVO vorhanden sei, obwohl die DSGVO dem eine herausragende Bedeutung beimesse. Die Einwilligung könne daher insgesamt nicht als Rechtsgrundlage gemäß Art. 6 Abs. 1 lit. a DSGVO herangezogen werden.

Gegen diese Entscheidung erhob die Beschwerdeführerin Beschwerde an das Bundesverwaltungsgericht.

Mit der Beschwerdevorentscheidung der belangten Behörde vom 11. Dezember 2019 wurde der Beschwerde der Beschwerdeführerin teilweise stattgegeben und der Spruch dahingehend abgeändert, dass er insgesamt zu lauten habe:

„1. Das amtswegige Prüfverfahren war berechtigt und es wird festgestellt, dass

a) das Ersuchen um Einwilligung zur Verarbeitung von personenbezogenen Daten von den am „ XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch die Beschwerdeführerin mit dem Wortlaut […]

unter Verwendung der Methoden i) Webseite XXXX und ii) Anmeldebroschüre („Flyer“) nicht den Anforderungen an eine Einwilligung gemäß Art 4 Z 11 DSGVO und Art 7 DSGVO entspricht und dass

b) für die bisherige Verarbeitung von personenbezogenen Daten von den am XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch die XXXX GmbH neben der Einwilligung, die unter Verwendung der Methoden i) Webseite XXXX und ii) Anmeldebroschüre („Flyer“) eingeholt wurden, keine andere Rechtsgrundlage nach Art. 6 DSGVO in Betracht kommt und die genannte bisherige Verarbeitung daher unrechtmäßig erfolgt ist.

2) Der XXXX GmbH wird die Verarbeitung von personenbezogenen Daten von den am „ XXXX registrierten betroffenen Personen zum Zweck des Profiling im Umfang von Spruchpunkt 1 untersagt.

3) Für die Umsetzung von Spruchpunkt 2. wird der Beschwerdeführerin eine Frist von sechs Monaten eingeräumt.

Rechtsgrundlagen: [..] Art. 4 Z 4 und Z 11, Art. 5 Abs. 1 lit. a. Art. 6 Abs. 1 lit. a, Art. 7, Art. 12 Abs. 1, Art. 13 Abs. 1 lit. c, Art. 57 Abs. 1 lit. a, lit. d und lit. h, Art. 58 Abs. 1 lit. b und lit. d sowie Abs. 2 lit. d und lit. f [..] DSGVO [..]“

Begründend führte die belangte Behörde aus, aus dem Beschwerdevorbringen gehe hervor, dass es sich beim Anmeldeprozess bei den Methoden XXXX App“ und „ XXXX “ um einen Screen-für Screen Anmeldeprozess handle und damit sichergestellt sei, dass das Ersuchen um Einwilligung vom übrigen Anmeldeprozess deutlich abgehoben sei. Dies habe zur Folge, dass die volle Aufmerksamkeit des Betroffenen auf den gegenwärtigen Anmeldeschritt gerichtet sei. Es sei daher von einem ausreichenden Transparenzniveau und somit von einer ausreichenden Einwilligung auszugehen, weshalb der Spruch dementsprechend anzupassen gewesen sei. Die Einwilligung bei den Methoden „Webseite“ und „Flyer“ entspreche jedoch – wie bereits im Ausgangsbescheid ausgeführt – nach wie vor nicht den Anforderungen an eine transparente Einwilligung. Dabei werde ergänzend festgehalten, dass es sich vorliegend um eine „zweifache“ Einwilligung handle, weil durch die Erklärung nicht nur eine Einwilligung für die Datenverarbeitung zum Zweck des Profiling für die Beschwerdeführerin, sondern gleichzeitig auch für die 14 weiteren Partner eingeholt werde. Darauf werde nicht gut sichtbar hingewiesen. Ein Durchschnittsbenutzer könne nicht damit rechnen, dass er eine Einwilligungserklärung an 15 Verantwortliche im Hinblick auf die Verarbeitung seiner Daten zum Zweck des Profiling erteile. Dies sei ein weiteres Indiz dafür, dass die vorliegende Einwilligungserklärung nicht in einer ausreichend nachvollziehbaren Art gestaltet sei. Die vorliegenden Einwilligungen könnten daher nicht als gültige Rechtsgrundlage gemäß Art. 6 Abs. 1 lit. a DSGVO für eine Verarbeitung herangezogen werden.

Mit Schreiben vom 27. Dezember 2019 stellte die Beschwerdeführerin einen Vorlageantrag.

Mit Erkenntnis vom 31. August 2021, Zl. W256 2227693-1/10E gab das Bundesverwaltungsgericht der Beschwerde der Beschwerdeführerin statt und hob die Beschwerdevorentscheidung in vollem Umfang ersatzlos auf. Begründend wurde im Wesentlichen ausgeführt, die belangte Behörde habe in ihrem Ausgangsbescheid den Prüfgegenstand allein auf die Überprüfung der Einwilligungserklärungen als Rechtsgrundlage für die verfahrensgegenständliche Datenverarbeitung beschränkt.

Dagegen erhob die belangte Behörde Amtsrevision an den Verwaltungsgerichtshof, welcher das Erkenntnis des Bundesverwaltungsgerichts vom 31. August 2021, Zl. W256 2227693-1/10E im Umfang der ersatzlosen Behebung der Spruchpunkte 2 und 3 der Beschwerdevorentscheidung wegen Rechtswidrigkeit des Inhalts aufgehoben hat. Betreffend die ersatzlose Behebung des Spruchpunktes 1 der Beschwerdevorentscheidung wurde die Revision hingegen als unbegründet abgewiesen.

Mit Erkenntnis des Bundesverwaltungsgerichts vom 28. September 2023, W256 2227693-1/44E wurde die Beschwerde mit der Maßgabe abgewiesen, dass die Spruchpunkte 2 und 3 der Beschwerdevorentscheidung wie folgt zu lauten haben:

„2) Der XXXX GmbH wird die automatisierte Verarbeitung der Teilnahme- und Einkaufsdaten von am „ XXXX Club“ mittels der Methode „Webseite“ www. XXXX at (in der Fassung 23. Oktober 2019) und Anmeldebroschüre „Flyer“ registrierten betroffenen Personen zum Zweck der Erstellung von Profilen über deren Einkaufsverhalten untersagt.

3) Für die Umsetzung von Spruchpunkt 2 wird der Beschwerdeführerin eine Frist von sechs Monaten ab Rechtskraft der Entscheidung eingeräumt.“

zum hier gegenständlichen Verwaltungsstrafverfahren:

Am 29. Jänner 2020 wurde der Beschwerdeführerin ein Ladungsbescheid der belangten Behörde vom 22. Jänner 2020 zugestellt. Darin wurde der Beschwerdeführerin zur Last gelegt, folgende Verwaltungsübertretungen begangen zu haben:

„Die XXXX GmbH (FN XXXX m) mit Sitz in XXXX (zugleich Tatort), ist Verantwortliche im Sinne von Art. 4 Z 7 Datenschutz- Grundverordnung, ABl. Nr. L 119 vom 4.5.2016, S. 1 (im Folgenden: DSGVO) für jegliche tatsächlich vorgenommene Verarbeitung personenbezogener Daten im Zusammenhang mit dem Betrieb eines Kundenbindungsprogrammes mit der Bezeichnung „ XXXX , wobei es sich bei diesem XXXX um ein unternehmens- und branchenübergreifendes Kundenbindungsprogramm handelt. Die Datenschutzbehörde hat ein amtswegiges Prüfverfahren („Datenschutzüberprüfung“) zur GZ: DSB-D213.895 gegen die hier Beschuldigte als Betreiberin des „ XXXX “ eingeleitet, welches mit Bescheid vom 23. Oktober 2019 zur GZ: DSB-D213.895/0003-DSB/2019 (geändert durch die Beschwerdevorentscheidung der Datenschutzbehörde vom 11. Dezember 2019 zur GZ: DSB-D062.297/0001-DSB/2019) erledigt wurde. Aufgrund der Ermittlungsergebnisse des in der Sache geführten amtswegigen Prüfverfahrens ergibt sich nunmehr mit Blick auf das vorliegende Verwaltungsstrafverfahren gegen die Beschuldigte jedenfalls seit dem 2. Mai 2019 der Verdacht, dass a) das Ersuchen um Einwilligung zur Verarbeitung von personenbezogenen Daten von den am „ XXXX registrierten betroffenen Personen zum Zweck des Profiling durch die Beschwerdeführerin mit dem Wortlaut: „Einwilligungserklärung: Ich erkläre mich gemäß Punkt 5.5. und 5.6. AGB (ebenso Punkte 4.4. und 4.5. der Datenschutzerklärung) damit einverstanden, dass die XXXX GmbH sowie die XXXX Partner, bei denen ich meine XXXX Karte verwendet habe, (1) meine Teilnahmedaten und Einkaufsdaten zusammenführen und analysieren, um mir für mich relevante und auf meine Interessen zugeschnittene, individualisierte Informationen zum XXXX Programm zukommen zu lassen und Angebote zum Sammeln und Einlösen von XXXX auf meine Bedürfnisse anzupassen (sog. „Profiling“ für Zielgruppenselektionen, Werbemaßnahmen und aggregierte Auswertungen für Sortimentsoptimierung sowie Tracking zur Erfolgsmessung von Werbemaßnahmen), um (2) mir Werbung mit personalisierten Angeboten über Produkte und Dienstleistungen des Betreibers und der XXXX Partner per Post, E-Mail, SMS, MMS, Push-Nachrichten, Nachrichten über Apps und Messenger zuzusenden, und (3) dass meine auf diese Weise gewonnenen personenbezogenen Daten bei Widerruf meiner Einwilligung, spätestens nach Ende meiner Mitgliedschaft gelöscht werden. Meine Einwilligung ist für den Vertragsabschluss nicht zwingend notwendig und ich kann sie jederzeit mit Wirkung für die Zukunft gegenüber der XXXX GmbH ( XXXX postalisch, per E-Mail an datenschutz@ XXXX .at oder telefonisch ( XXXX ) widerrufen.“ unter Verwendung der Methoden i) Webseite www XXXX at und ii) Anmeldeformular („Flyer“) nicht den Anforderungen an eine Einwilligung gemäß Art. 4 Z 11 DSGVO und Art. 7 DSGVO entspricht und dass b) für die bisherige Verarbeitung von personenbezogenen Daten von den am „ XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch die XXXX GmbH neben der Einwilligung, die unter Verwendung der Methoden i) Webseite www. XXXX und ii) Anmeldeformular („Flyer“) eingeholt wurden, keine andere Rechtsgrundlage nach Art. 6 DSGVO in Betracht kommt und die genannte bisherige Verarbeitung daher unrechtmäßig erfolgt ist. Es besteht daher der Verdacht, dass die XXXX GmbH durch die oben beschriebenen Verarbeitungsvorgänge gegen die Grundsätze und die Erlaubnistatbestände der DSGVO verstoßen sowie ihre Pflichten als Verantwortliche nicht erfüllt hat, dies alles zumindest unter Außerachtlassung der gebotenen Sorgfalt. In Bezug auf die verwaltungsstrafrechtliche Verantwortlichkeit der beschuldigten juristischen Person – im Sinne des Verbandsverantwortlichkeitsmodells des Art. 83 DSGVO – besteht im vorliegenden Zusammenhang der Verdacht, dass ein hinreichender Konnex zwischen den handelnden natürlichen Personen und der juristischen Person vorliegt, der es erlaubt, ihr das rechtswidrige und schuldhafte Verhalten zuzurechnen.

Verwaltungsübertretungen: Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1, Art. 7, Art. 12 Abs. 1, Art. 13 Abs. 1 iVm Art. 83 Abs. 5 lit. a und lit. b DSGVO“

Am 26. Februar 2020 wurden die beiden Geschäftsführer der Beschwerdeführerin von der belangten Behörde einvernommen. Dabei wurde der bereits im Ladungsbescheid genannte Vorwurf von der belangten Behörde wiederholt.

In ihrer Stellungnahme vom 29. Mai 2020 führte die Beschwerdeführerin zusammengefasst im Wesentlichen aus, Alleingesellschafterin der Beschwerdeführerin sei zwar die XXXX m.b.H. und Alleingesellschafterin dieser wiederum die XXXX AG. Die Beschwerdeführerin sei aber in Zusammenhang mit den Datenverarbeitungen zum XXXX datenschutzrechtlicher Sicht allein verantwortlich. Die XXXX AG habe in der Vergangenheit Überlegungen zur Einrichtung eines unternehmensübergreifenden Kundenbindungsprogramms angestellt und im Jahr 2016 die strategische Entscheidung getroffen, nicht dem Multipartner-Kundenbindungsprogramm XXXX beizutreten, sondern in der XXXX -Gruppe selbst ein solches Multipartner- Kundenbindungsprogramm aufzubauen. Zu diesem Zweck sei in der XXXX -Gruppe unter der Leitung des zuständigen Vorstandsmitglieds der XXXX AG ein Projektteam eingerichtet worden, das die wesentlichen Grundzüge der Ausgestaltung dieses Kundenbindungsprogramms entwickelt habe. Während dieser Konzeptionsphase hätten mit dem Vorstandsmitglied 14-tägige Projektsteuerkreise stattgefunden und dabei seien auch bereits datenschutzrechtliche Überlegungen zur Realisierung eines solchen Programms angestellt worden. Zu diesem Zweck habe auch noch auf der Grundlage der Rechtslage vor Inkrafttreten der DSGVO die Anmeldung eines Informationsverbundsystems bei der DSB stattgefunden. Gegen Ende des Jahres 2017 sei die Konzeptionsphase beendet worden, weil zu diesem Zeitpunkt die Eckpunkte des Programms festgestanden seien. Damit hätten auch die Projektsteuerkreistermine mit dem Vorstandsmitglied geendet. Die Umsetzung des Programms sei in die Hände der Beschwerdeführerin und damit in jene ihrer Geschäftsführer gelegt worden. Zu diesem Zweck sei im Dezember 2017 die Umfirmierung und Änderung des Unternehmensgegenstandes der Beschwerdeführerin sowie die Neubestellung ihrer Geschäftsführung erfolgt. Unter der alleinigen Verantwortung der Geschäftsführer der Beschwerdeführerin habe die Beschwerdeführerin die konkrete Umsetzung und Ausgestaltung des Kundenbindungsprogramms entwickelt. Die Beschwerdeführerin habe sich dafür externer und interner Berater bedient, das heiße Berater, die in einem Dienstverhältnis zu Unternehmen der XXXX -Gruppe stehen, und solche, bei denen dies nicht der Fall sei, insbesondere Rechtsanwälte. Zu den wesentlichen internen Beratern habe der Datenschutzbeauftragte und Leiter der XXXX -internen Datenschutzabteilung, XXXX , gehört. Dieser sei bei der XXXX m.b.H. angestellt. Unter einem legte die Beschwerdeführerin Screenshots bzw. Kopien der jeweiligen Anmeldestrecken sowie der (gleichgelagerten) Anmeldebroschüre des bereits genannten Kundenbindungsprogrammes XXXX vor und erstattete dazu ein näheres Vorbringen. Eine Anmeldung mittels Anmeldebroschüre sei seit 3. Februar 2020 nicht mehr möglich, wobei Profiling auf Basis der über die Papier-Flyer und die Webseite abgegebenen Einwilligungserklärungen nach wie vor durchgeführt werde. Es seien mit Stand 3. Februar 2020 682.071 Registrierungen mittels Webseite (davon hätten 574.232 Personen ihre Einwilligung zum Zweck der personalisierten Ansprache erteilt) sowie 1.948.181 mittels Anmeldebroschüre (davon hätten 1.710.789 Personen ihre Einwilligung zum Zweck der personalisierten Ansprache erteilt) erfolgt. Zusätzlich führte die Beschwerdeführerin aus, dass die drei Online-Anmeldeprozesse sehr ähnlich aufgebaut seien, weshalb die belangte Behörde in der Beschwerdevorentscheidung zu Recht zur Ansicht gelangt sei, dass die Einwilligung zum Profiling über die XXXX App und den XXXX rechtmäßig sei. Die Einwilligung zum Profiling bei der Anmeldung zum XXXX über die XXXX App oder den XXXX unterscheide sich aber inhaltlich nicht von der Webseite und der Anmeldebroschüre. Aus diesem Grund sei nicht nachvollziehbar, weshalb die belangte Behörde im Ladungsbescheid in Punkt 1) davon ausgehe, dass das Ersuchen um Einwilligung bei den Anmeldearten „Webseite“ und „Anmeldebroschüre“ nicht den Anforderungen an eine Einwilligung gemäß Art. 4 Z 11 DSGVO entspreche. Im Übrigen könne die Beschwerdeführerin aus näheren Gründen auf die alternativen Rechtsgrundlagen des Art. 6 Abs. 1 lit. f und Art. 6 Abs. 4 DSGVO zurückgreifen. Davon abgesehen fehle es für eine Bestrafung aber ohnedies schon an dem erforderlichen Verschulden. Die Beschwerdeführerin habe sich im Vorfeld umfassend und intensiv mit der Ausgestaltung des Anmeldeprozesses auseinandergesetzt und zwar intern und auch extern durch Rechtsanwälte.

Am 21. Juli 2020 übermittelte die belangte Behörde der Beschwerdeführerin eine Aufforderung zur Rechtfertigung, mit welcher ihr – soweit hier wesentlich – erneut der mit dem Ladungsbescheid dargelegte Tatvorwurf vorgehalten wurde. Ergänzend wurde ihr darin u.a. mitgeteilt, dass der Tatvorwurf aufgrund der Rechtsprechung des Verwaltungsgerichtshofes dahingehend ergänzt werde, dass die Geschäftsführer der Beschwerdeführerin die vorgeworfenen Verwaltungsübertretungen aufgrund von mangelnder Kontrolle und Überwachung zu verantworten hätten. Dies insbesondere dadurch, dass die Geschäftsführer die Einhaltung der datenschutzrechtlichen Bestimmungen im Zusammenhang mit dem operativen Betrieb des Kundenbindungsprogrammes, im Besonderen in Bezug auf die rechtliche Ausgestaltung der Einwilligungserklärungen und damit einhergehenden Informationsverpflichtungen, nicht in ausreichendem Maße sichergestellt hätten. Das rechtswidrige und schuldhafte Verhalten der genannten Personen werde dabei der XXXX GmbH als beschuldigten juristischen Person zugerechnet.

Die Beschwerdeführerin erstattete am 15. September 2020 eine Rechtfertigung. Darin wiederholte sie im Wesentlichen ihr bisheriges Vorbringen. Ergänzend wurde vorgebracht, dass die Geschäftsführer der Beschwerdeführerin die eingeholten (rechtsanwaltlichen) Auskünfte zur Ausgestaltung der Einholung der Einwilligung über die einzelnen Kanäle sorgfältig geprüft hätten, um sicherzustellen, dass das Ersuchen um Einwilligung bei allen verwendeten Methoden den Anforderungen an eine wirksame Einwilligung nach Art. 4 Z 1 DSGVO genüge. Nachdem die eingeholten Informationen ergeben hätten, dass aufgrund des Anmeldeprozesses eine wirksame Einwilligung nach der genannten Gesetzesstelle jedenfalls vorliege, hätten die Geschäftsführer auf Grundlage vorgenannter überzeugender Auskünfte auf deren Richtigkeit derselben vertraut und sich für die in Rede stehende Ausgestaltung der einzelnen Methoden der Anmeldung entschieden. Die beiden Geschäftsführer hätten von Beginn an alle erforderlichen Schritte gesetzt, um die Datenverarbeitungsprozesse DSGVO-konform auszugestalten. Insbesondere hätten diese die Implementierung eines die gesamte Organisation und damit auch die Datenverarbeitungen des XXXX durchdringenden Compliance Management Systems veranlasst und hierfür die erforderlichen Erkundigungen bei Beratern bzw. Rechtsanwälten eingeholt. Auf Basis der übereinstimmenden Ergebnisse vorgenannter Erkundigungen hätten die Geschäftsführer die Entscheidungen hinsichtlich der Anmeldeprozesse getroffen. Es könne den Geschäftsführern bzw. der Beschwerdeführerin daher keine Außerachtlassung der gebotenen Sorgfalt vorgeworfen werden, selbst wenn eine andere Art der Kontrolle oder Überwachung zu einem anderen Ergebnis im Hinblick auf die Entscheidungen zum Anmeldeprozess auf der Webseite und dem Anmeldeformular geführt hätte. Die von der belangten Behörde bemängelten Entscheidungen seien das Ergebnis rechtlicher Wertungen zur Frage, ob eine Einwilligung rechtskonform erfolgt sei. Selbst die belangte Behörde habe im Prüfverfahren zunächst noch eine strengere Auslegung dieser Normen vertreten als im gegenständlichen Verwaltungsstrafverfahren in puncto Anmeldung per XXXX App und XXXX . Der Beschwerdeführerin bzw. den Geschäftsführern könnten vor diesem Hintergrund die angelasteten Verwaltungsübertretungen aufgrund von mangelnder Kontrolle und Überwachung in subjektiver Hinsicht nicht zugerechnet werden, zumal diese Auskünfte mehrerer Rechtsanwälte eingeholt hätten, welche zur Einschätzung gelangt seien, dass aufgrund des dargestellten und von ihnen beurteilten Anmeldeprozesses rechtswirksame Einwilligungen in das Profiling vorliegen würden. Die Geschäftsführer hätten ihre in Rede stehenden Entscheidungen im Vertrauen auf die übereinstimmenden Erkundigungen sowie unter sorgfältiger Abwägung dieser eingeholten Auskünfte getroffen. Dabei hätten die Geschäftsführer auch die mit den vorgenannten Auskünften übereinstimmenden Auskünfte des für die XXXX -Gruppe zuständigen Datenschutzbeauftragten eingeholt. Es handle sich dabei um richtige, jedenfalls vertretbare Rechtsansichten. Wäre die Auffassung der belangten Behörde richtig, würden Geschäftsführer trotz Vorhandensein von Compliance Management Systemen und trotz Vertrauen auf (externe) Rechtsauskünfte immer haften, wenn die belangte Behörde eine andere Rechtsansicht vertrete. Festzuhalten sei zudem, dass den Geschäftsführern bewusst gewesen sei, dass eine Datenverarbeitung auf eine Rechtsgrundlage gestützt werden müsse. Deshalb sei auch eine Einwilligung ausgearbeitet und von externen Rechtsanwälten geprüft worden. Der Umstand, dass die belangte Behörde sich der jedenfalls vertretbaren Rechtsansicht hinsichtlich der Einwilligung in den beiden eingangs genannten Anmeldemethoden „Webseite“ und „Anmeldeformular“ nicht anschließe, bedeute nicht, dass den Geschäftsführern die Außerachtlassung der gebotenen Sorgfalt aufgrund von mangelnder Kontrolle und Überwachung subjektiv vorgeworfen werden könne Ganz im Gegenteil seien die Geschäftsführer konkret durch die Einholung der zahlreichen Auskünfte und einer darauf beruhenden sorgfältigen Abwägung ihren Kontroll- und Überwachungspflichten ordnungsgemäß nachgekommen. Insbesondere sei hervorzuheben, dass die belangte Behörde selbst den Inhalt des Einwilligungstexts in den bemängelten Verwendungsmethoden nicht kritisiere, sondern lediglich Kritik daran übe, wie der Einwilligungstext im Kontext der Webseite und des Anmeldeformulars eingebettet sei. Die Geschäftsführer hätten sich mit Rechtsanwälten um die korrekte Ausgestaltung der Einwilligung bemüht. Der Umstand, dass die entsprechenden Abwägungen der eingeholten Rechtsauskünfte durch die Geschäftsführer zu einem anderen Ergebnis als der Ansicht der belangten Behörde geführt hätten, könne den Geschäftsführern nicht als eine ihnen zurechenbare Sorgfaltswidrigkeit angelastet werden, weshalb der subjektive Vorwurf schon aus diesen Gründen auszuschließen sei. Im Übrigen handle es sich bei der verfahrensgegenständlichen Verwaltungsübertretung (wenn überhaupt) jedenfalls nur um ein einmaliges, geringfügiges und nicht vorwerfbares – jedenfalls aber entschuldbares – Versehen, weshalb die Voraussetzungen für ein Absehen von einer Strafe nach § 11 DSG sowie § 45 Abs. 1 Z 4 VStG – allenfalls unter bloßer Abmahnung bzw. Verwarnung – vorliegen würden.

Die belangte Behörde forderte die Beschwerdeführerin mit Schreiben vom 8. März 2021 auf, Dokumente (bspw. Rechtsgutachten, Textvorschläge, etc.), aus denen ableitbar sei, auf welcher rechtlichen Basis die Geschäftsführung im Ergebnis die Entscheidung getroffen habe, sowie die verfahrensgegenständlichen Einwilligungserklärungen – unter Verwendung der Methoden i) Webseite www. XXXX .at und ii) Anmeldeformular („Flyer“) – für den operativen Betrieb freizugeben und einzusetzen, vorzulegen.

Daraufhin wurde von der Beschwerdeführerin mit Schriftsatz vom 12. April 2021 ein Schreiben der Rechtsanwaltskanzlei XXXX Rechtsanwälte GmbH (im Folgenden: XXXX ) vom 12. April 2021 als Bestätigung dafür, dass die Entwicklung der Anmeldestrecke in enger Abstimmung mit den Rechtsanwälten erfolgt sei, vorgelegt.

In ihrer Stellungnahme vom 30. April 2021 wiederholte die Beschwerdeführerin im Wesentlichen ihr bisheriges Vorbringen.

Mit Verfügung vom 1. Juni 2021 wurde der Beschwerdeführerin die aufgrund einer amtswegigen Erhebung festgestellte veränderte Anmeldestrecke auf der Webseite der Beschwerdeführerin zum Parteiengehör übermittelt.

Dazu teilte die Beschwerdeführerin mit Stellungnahme vom 22. Juni 2021 der belangten Behörde mit, dass die Anmeldestrecke auf der Webseite der Beschwerdeführerin geändert und am 5. März 2020 für den Echtbetrieb freigegeben worden sei. Seither sei eine Anmeldung nur mehr über die geänderte Anmeldestrecke auf der Webseite möglich. Eine Anmeldung über das physische Anmeldeformular sei seit 3. Februar 2020 nicht mehr möglich. Im Übrigen teilte die Beschwerdeführerin der belangten Behörde mit, dass die bisher für sie operative Geschäftsführerin ihre Tätigkeit mit 31. Jänner 2021 zurückgelegt habe.

Mit dem gegenständlich angefochtenen Straferkenntnis sprach die belangte Behörde aus, dass die Beschwerdeführerin als Verantwortliche durch das tatbestandsmäßige, rechtswidrige und schuldhafte Verhalten ihrer im Tatzeitraum vertretungsbefugten Organe folgende Verwaltungsübertretungen begangen habe:

„I. Die ab dem 02.05.2019 eingesetzten Formulare zur Einholung von Einwilligungserklärungen zur Verarbeitung von personenbezogenen Daten von den am „ XXXX “ registrierten betroffenen Personen zum Zweck des Profilings durch die Beschuldigte [...] mit dem Wortlaut [..]

a) Webseite www. XXXX at (in der hier festgestellten Ausgestaltung eingesetzt von 02.05.2019 bis 05.03.2020 – Tatzeitraum I.a.), und

b) Anmeldeformular „Flyer“ (in der hier festgestellten Ausgestaltung eingesetzt von 02.05.2019 bis 03.02.2020 – Tatzeitraum I.b.),

hat nicht den datenschutzrechtlichen Anforderungen an eine wirksame Einwilligung gemäß der Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a und Art. 7 DSGVO entsprochen.

Dadurch wurden Betroffene dazu veranlasst, in die Verarbeitung ihrer personenbezogenen Daten zum Zweck des Profilings durch die Beschuldigte [..] einzuwilligen, ohne dass die Voraussetzungen für eine rechtswirksame Einwilligung vorlagen.

[..]

II. Als Folge der rechtsunwirksamen Einwilligung konnte somit die vom 02.05.2019 bis zum 31.01.2021 [..] erfolgte Verarbeitung personenbezogener Daten der am „ XXXX “ registrierten betroffenen Personen zum Zweck des Profilings durch die Beschuldigte - weder auf eine rechtswirksame Einwilligungserklärung, - noch auf einen der sonst von Art. 6 Abs. 1 DSGVO abschließend normierten Erlaubnistatbestände gestützt werden. [..]“

Die Beschwerdeführerin habe daher im Ergebnis den Grundsatz der Verarbeitung von personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) verletzt und personenbezogene Daten verarbeitet, ohne dass hierfür eine geeignete Rechtsgrundlage nach Art. 6 DSGVO vorgelegen habe. Dies sei dadurch ermöglicht worden, dass die im Tatzeitraum zur Vertretung nach außen berufenen und intern mit der Kontrolle und Überwachung sämtlicher datenschutzrechtlicher Angelegenheiten verantwortlichen [namentlich genannten] Geschäftsführer gemeinsam als vertretungsbefugte Organe im Sinne des § 30 Abs. 1 und Abs. 2 DSG durch Außerachtlassung der gebotenen Sorgfalt aufgrund mangelnder Kontrolle und Überwachung die oben dargestellten Verwaltungsübertretungen zu verantworten hätten.

Das tatbestandsmäßige, rechtswidrige und schuldhafte Verhalten der namentlich genannten Geschäftsführer werde im Hinblick auf § 30 Abs. 1 und Abs. 2 DSG der Beschwerdeführerin als beschuldigter juristischer Person und datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Z 7 DSGVO zugerechnet.

Der Beschwerdeführerin seien daher Verwaltungsübertretungen zu I. nach Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 iVm Art. 83 Abs. 5 lit. a DSGVO sowie zu II. nach Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 iVm Art. 83 Abs. 5 lit. a DSGVO anzulasten und es werde wegen dieser Verstöße gemäß Art. 83 Abs. 5 lit. a DSGVO iVm § 30 DSG eine Geldbuße in Höhe von EUR 2.000.000,00 über die Beschwerdeführerin verhängt. Zudem habe die Beschwerdeführerin gemäß § 64 VStG einen Beitrag in Höhe von 10 % der Strafe, sohin EUR 200.000,00, zu den Kosten des Strafverfahrens zu leisten.

Rechtlich hielt die belangte Behörde im Wesentlichen fest, die Beschwerdeführerin habe die Verarbeitung der personenbezogenen Daten der am XXXX teilnehmenden betroffenen Personen zum Zweck des Profiling auf die Rechtsgrundlage der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO gestützt. An die Kriterien von Art. 4 Z 11 und Art. 7 DSGVO sei ein hoher Maßstab anzulegen, Inhalt und Tragweite vorgefasster Vertragsklauseln müssten nach der Rechtsprechung des OGH für den Verbraucher „durchschaubar“ sein. Die betroffene Person erhalte im Rahmen der Anmeldung zum XXXX unter Verwendung der Webseite www. XXXX unter dem Abschnitt mit der Überschrift „Genießen Sie ihre persönlichen Vorteile“ zunächst keine sichtbaren Informationen darüber, dass mit „persönlicher Vorteil“ die Verarbeitung personenbezogener Daten zum Zweck des Profiling gemeint sei. Auch in der in diesem Abschnitt eingebetteten Box werde zunächst bloß auf die AGB und die Datenschutzerklärung verwiesen („Ich erkläre mich gemäß Punkt 5.5. und 5.6. AGB [ebenso Punkte 4.4. und 4.5. der Datenschutzerklärung“] damit einverstanden, dass …“). Erst nachdem die Box entsprechend hinuntergescrollt werde, werde auf die Verarbeitung personenbezogener Daten zum Zweck des Profiling verwiesen; die Information zum Profiling sei daher in keiner „leicht zugänglichen Form“ und auch in keiner „klaren und knappen Form“ verfügbar. Weiters sei festzuhalten, dass eine betroffene Person die auf den ersten Blick sichtbaren Optionen „Ja“ und „Nein“, die bloß allgemein auf den Erhalt oder Nichterhalt von „exklusiven Vorteilen und Aktionen“ verweisen würden, nach allgemeiner Lebenserfahrung nicht mit Profiling assoziiere und es sich daher auch um keine „klare und einfache Sprache“ und insofern um keine rechtsgültige Einwilligung handle. Der europäische Gesetzgeber habe ausdrückliche Anforderungen an ein Ersuchen um Einwilligung in Art. 7 DSGVO normiert, die zusätzlich und unabhängig von den AGB und der Datenschutzerklärung einzuhalten seien. Wenn ein Vertrag also (wie gegenständlich die Anmeldung zum XXXX ) mehrere Aspekte behandle, habe sich das Ersuchen um Einwilligung deutlich abzuheben. In Bezug auf die Anmeldebroschüre („Flyer“) werde am Ende des Anmeldeformulars das Feld „Unterschrift“ vorgegeben. Unterhalb des Feldes „Unterschrift“ sei der Hinweis „Diese Unterschrift gilt nur für die Einwilligungserklärung und ist freiwillig. Ihre Anmeldung zum XXXX ist auch ohne Unterschrift wirksam“ vorhanden. Die „Einwilligungserklärung“ selbst sei jedoch wiederum oberhalb des Feldes „Unterschrift“ platziert. Davon ausgehend sei festzuhalten, dass sich das Anmeldeformular ganz allgemein auf die Anmeldung zum XXXX beziehe. Da das Feld „Unterschrift“ jedoch am Ende des Anmeldeformulars platziert sei, werde der Eindruck vermittelt, dass es sich hierbei um die Unterschrift als Bestätigung zur Anmeldung zum XXXX handle. Dabei sei auch nach allgemeiner Lebenserfahrung davon auszugehen, dass ein Durchschnittsbenutzer, der sich zum XXXX anmelde (und somit einen Vertrag abschließe) damit rechne, dass es sich hierbei um die Unterschrift zur Bestätigung der Anmeldung – und nicht um die Abgabe einer datenschutzrechtlichen Einwilligung zum Profiling – handle. An diesen Ausführungen könne auch der darunter platzierte Hinweis nichts ändern, dass diese Unterschrift nur für die Einwilligungserklärung gelte: Dieser sei erstens nach links versetzt, sodass er sich unter dem Feld „Datum“ und nicht direkt unter dem Feld „Unterschrift“ befinde. Ein Durchschnittsbenutzer werde – ausgehend von der gegenständlichen Gestaltung des Ersuchens um Einwilligung – nicht davon ausgehen, dass er eine datenschutzrechtliche Einwilligung im Hinblick auf die Verarbeitung seiner personenbezogenen Daten zum Zwecke des Profiling erteile. Vor diesem Hintergrund sei davon auszugehen, dass die Ersuchen um Einwilligung unter Verwendung a) der Webseite und b) des Anmeldeformulars („Flyer“) nicht den in Art. 4 Z 11 DSGVO und Art. 7 Abs. 2 iVm Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 lit. a DSGVO normierten Anforderungen entsprochen haben. Nach dem ausdrücklichen Wortlaut von Art. 7 Abs. 2 DSGVO seien Teile einer Einwilligungserklärung dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen. Da das Ersuchen um Einwilligung zum Zwecke des Profiling unter Heranziehung der Methoden i) Webseite www. XXXX at und ii) Anmeldeformular („Flyer“) nicht den Anforderungen gemäß Art. 4 Z 11 DSGVO und Art. 7 Abs. 2 DSGVO entspreche, handle es sich um eine ungültige Einwilligungserklärung und folglich könne diese auch nicht als Rechtsgrundlage gemäß Art. 6 Abs. 1 lit. a DSGVO herangezogen werden. Daher seien sämtliche Verarbeitungsvorgänge im Zusammenhang mit dem Profiling durch die Verantwortliche auf rechtswidrige Art und Weise erfolgt, da diese von keinem der (abschließend normierten) Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO legitimiert werde. Die ersatzweise Heranziehung eines Alternativtatbestandes komme deshalb nicht in Betracht, da die Beschwerdeführerin sich von Beginn an für eine Rechtsgrundlage zu entscheiden habe. Doch selbst, wenn man all diesen Überlegungen nicht folge und davon ausgehe, dass sich die Verantwortliche zu einem späteren Zeitpunkt – etwa im Rahmen eines Verfahrens vor der Aufsichtsbehörde – erstmalig auf einen Alternativerlaubnistatbestand stützen könne, sei zu bemerken, dass eine Interessenabwägung gegen sie ausschlagen würde und eine (zulässige) Weiterverarbeitung nicht in Betracht käme. Die Beschwerdeführerin habe sohin die objektive Tatseite der Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 iVm Art. 83 Abs. 5 lit. a DSGVO (Spruchpunkt I.), sowie Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 iVm Art. 83 Abs. 5 lit. a DSGVO (Spruchpunkt II.) verletzt. Zur subjektiven Tatseite hielt die belangte Behörde im Wesentlichen fest, dass die Geschäftsführer bereits anhand des klaren Wortlautes der Bestimmungen der DSGVO erkennen hätten müssen, dass die hier gegenständlichen Einwilligungserklärungen mit hoher Wahrscheinlichkeit nicht den Anforderungen der DSGVO entsprechen. Es liege somit auf subjektiver Tatseite Verschulden in Form von Fahrlässigkeit vor. Zum Absehen von der Bestrafung gemäß § 11 DSG bzw. § 45 VStG sei festzuhalten, dass das Bundesverwaltungsgericht bereits rechtskräftig bestätigt habe, dass § 11 DSG kein Vorrang einer Verwarnung entnommen werden könne. Es könne auch nicht davon ausgegangen werden, dass die Bedeutung des hier strafrechtlich geschützten Rechtsgutes gering sei, jedenfalls bestehe ein abstrakt hohes Interesse. Ob die Intensität seiner Beeinträchtigung durch die Tat und das Verschulden des Beschuldigten gering seien, sei somit nicht relevant und könne daher auch nicht zur Einstellung des Verfahrens nach § 45 Abs. 1 Z 4 VStG führen.

Im Hinblick auf die Strafzumessung sei aufgrund des Jahresumsatzes der Beschwerdeführerin der Strafrahmen bis zu EUR 20.000.000 heranzuziehen und es komme auch Art. 83 Abs. 3 DSGVO, wonach im Falle eines Verstoßes gegen mehrere Bestimmungen der DSGVO der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß übersteigen dürfe, zur Anwendung. Erschwerend sei berücksichtigt worden, dass die Beschwerdeführerin von circa 2.285.021 natürlichen Personen in Österreich eine ungültige Einwilligung erhoben habe und bis dato die personenbezogenen Daten dieser Betroffenen zum Zwecke der personalisierten Ansprache aufgrund einer ungültigen Einwilligung verarbeite. Die Verarbeitung sei somit im gesamten Tatzeitraum (seit 2. Mai 2019) unrechtmäßig erfolgt. Mildernd sei berücksichtigt worden, dass die belangte Behörde in Bezug auf die im Spruch geahndeten Verstöße nicht von vorsätzlicher, sondern von fahrlässiger Begehung ausgehe, dass gegen die Beschwerdeführerin bei der belangten Behörde keinerlei einschlägigen früheren Verstöße gegen die DSGVO vorliegen würden, dass die Beschwerdeführerin im Rahmen des gegenständlichen Ermittlungsverfahrens vor der belangten Behörde mitgewirkt und dadurch einen Beitrag zur Wahrheitsfindung geleistet habe, dass die Beschwerdeführerin einen Bilanzverlust erzielt habe, dass die Beschwerdeführerin bzw. deren Geschäftsführer sich im Februar bzw. März 2020 in Reaktion auf den Bescheid der belangten Behörde im amtswegigen Prüfverfahren dazu entschlossen hätten, a) das verfahrensgegenständliche Papierformular „Flyer“ nicht mehr zur Einholung von Einwilligungserklärungen einzusetzen und b) die digitale Anmeldestrecke zur Einholung der Einwilligungserklärung über die Webseite zu adaptieren, sowie die aktuelle COVID-19 Pandemie und sämtliche daraus resultierenden erforderlichen Umstrukturierungsmaßnahmen im Betrieb.

Die konkret verhängte Strafe in der Höhe von EUR 2.000.000,00 scheine daher im Hinblick auf den verwirklichten Tatunwert, gemessen am zur Verfügung stehenden Strafrahmen des Art. 83 Abs. 5 DSGVO (hier bis zu EUR 20.000.000) tat- und schuldangemessen und befinde sich aufgrund der vorliegenden Milderungsgründe am untersten Ende des zur Verfügung stehenden Strafrahmens.

Dagegen richtet sich die vorliegende Beschwerde. Nach Darstellung des Verfahrensganges, auch in Bezug auf das amtswegig geführte (Vor-)Verfahren, zu welchem als Beweismittel die Beischaffung des zugrundliegenden Aktes W256 2227693-1 beantragt wurde, wurde zusammengefasst vorgebracht, dass hinsichtlich von Spruchpunkt I. das Straferkenntnis aufzuheben und das Verfahren einzustellen sei. Nach Art. 83 DSGVO sei ausschließlich die Bestrafung des Verantwortlichen wegen einer unzulässigen Verarbeitung personenbezogener Daten zulässig. Der bloße Einsatz der nach Ansicht der belangten Behörde unzulässigen Formulare sei eine straflose Vortat. Dies ergebe sich insbesondere aus dem Wortlaut des Art. 83 Abs. 2 und 3 DSGVO und zuletzt aus dem Gegenstand und Ziel der DSGVO, die sich auf den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten beziehe. Davon abgesehen habe die belangte Behörde der Beschwerdeführerin den in Spruchpunkt I. vorgeworfenen Verstoß gegen Art. 7 Abs. 2 DSGVO erstmals im Straferkenntnis konkretisiert vorgeworfen und es sei in diesem Zeitpunkt bereits Verfolgungsverjährung eingetreten gewesen. Die Anforderungen an eine wirksame Einwilligung seien entgegen der Ansicht der Datenschutzbehörde erfüllt und die Verarbeitung erfolge im Einklang mit der DSGVO und den Geschäftsführern sei in keiner Weise ein Außerachtlassen der gebotenen Sorgfalt oder eine mangelnde Kontrolle und Überwachung in diesem Zusammenhang anzulasten. Zur objektiven Tatseite sei festzuhalten, dass kein Verstoß gegen die DSGVO vorliege. Die von der Beschwerdeführerin eingesetzten Ersuchen um Einwilligung würden jeweils den einschlägigen Vorgaben entsprechen, insbesondere sei durch die vorgesehene Gestaltung für die Nutzer unmissverständlich sichergestellt, dass sie bei der Unterschrift bzw. bei Betätigen eines Buttons eine datenschutzrechtliche Einwilligungserklärung abgeben. Die Anmeldeprozesse online seien im Wesentlichen gleichartig aufgebaut. Bereits in den AGB seien die Zwecke der Datenverarbeitung – darunter das Profiling – fett hervorgehoben. Insbesondere sei dort auch das Wort „Profiling“ mehrmals fett hervorgehoben. In der Datenschutzerklärung seien die Zwecke der Datenverarbeitung – wie etwa Profiling – ebenfalls fett hervorgehoben. Hinsichtlich der Erteilung der Zustimmung zu den AGB und der Bestätigung betreffend die Datenschutzerklärung müsse der Betroffene eine nicht vorausgewählte Checkbox aktiv anklicken. Er habe in allen drei Anmeldeformen die Möglichkeit, die AGB und die Datenschutzerklärung zur Gänze zu lesen, bevor er seine diesbezügliche Erklärung abgebe. Bei der Erklärung zum Profiling stünden dem Betroffenen zwei alternativ auswählbare und nicht vorausgewählte Checkboxen zur Verfügung. Die Einwilligungserklärung zum Profiling beginne mit einem Verweis auf konkrete Bestimmungen in den AGB (Punkte 5.5. und 5.6.) und der Datenschutzerklärung (Punkte 4.4. und 4.5.) und enthalte ausdrücklich das Wort „Profiling“. Die AGB und die Datenschutzerklärung enthalten, wie ausgeführt, in den verwiesenen Bestimmungen dieses Wort ebenfalls ausdrücklich und fett gedruckt. Der unmittelbar neben der Checkbox zur Einwilligung zum Profiling platzierte Text laute: „JA, ich stimme der Verarbeitung meiner Daten gemäß untenstehender Einwilligungserklärung zu und möchte somit von exklusiven Vorteilen und Aktionen profitieren.“ Der unmittelbar neben der Checkbox zur Ablehnung des Profiling platzierte Text laute: „NEIN, ich stimme der Verarbeitung meiner Daten gemäß untenstehender Einwilligungserklärung nicht zu und möchte somit nicht von exklusiven Vorteilen und Aktionen profitieren.“ Bei der Anmeldung über die Webseite erfolge die Einholung der oben beschriebenen Erklärungen nicht Screen für Screen, sondern diese würden auf einem Screen nacheinander eingeholt werden. Der Betroffene könne hier die Reihenfolge der Abgabe der Erklärungen selbst bestimmen. Die Einwilligungserklärung zum Profiling befinde sich hier zwar in einer Scrollbox, jedoch finde sich am Ende des Screens unmittelbar über dem Button „Jetzt anmelden“ eine Übersicht der eingegebenen persönlichen Informationen sowie der Hinweis auf die abgegebenen Erklärungen. Die letzte Zeile laute fett gedruckt „Profiling: Zustimmung erteilt“ bzw „Profiling: Zustimmung nicht erteilt“, sofern eine entsprechende Erklärung abgegeben worden sei. Wenn keine Erklärung abgegeben worden sei, finde sich dort der Text: „Profiling: Bitte wählen Sie bei Profiling eine Antwort aus, um mit der Anmeldung fortzufahren.“ Daneben befinde sich ein Bleistiftsymbol. Wenn der Betroffene darauf klicke, werde er automatisch direkt zur Einwilligungserklärung gescrollt. Die Anmeldung könne nur (mit dem Button „Jetzt anmelden“) abgeschlossen werden, nachdem (u.a.) eine Erklärung („ja“ oder „nein“) betreffend Profiling abgeben worden sei. Es sei für den Betroffenen in Zusammenhang mit der Einwilligungserklärung bereits auf den ersten Blick (ohne scrollen zu müssen) folgende Information ersichtlich: „Ich erkläre mich gemäß Punkt 5.5. und 5.6. AGB (ebenso Punkte 4.4. und 4.5. der Datenschutzerklärung) damit einverstanden, dass die XXXX GmbH sowie die XXXX Partner, bei denen ich meine XXXX Karte verwendet habe, (l) meine Teilnahmedaten und Einkaufsdaten zusammenführen und analysieren, um mir für mich relevante und auf meine Interessen zugeschnittene (…)“. Durch diese Information sei für den Betroffenen auf den ersten Blick erkennbar, dass seine Teilnahmedaten und Einkaufsdaten auf Basis der Einwilligung zum Profiling zusammengeführt und analysiert werden. Weiters sei hervorzuheben, dass die Anmeldung über die Webseite für die Darstellung auf Mobiltelefonen gegenüber der Darstellung auf einem herkömmlichen Computer (Webversion) optimiert sei. Bei der von den Betroffenen in überwiegendem Maße verwendeten Mobilversion sei der Button "Jetzt anmelden“ noch näher an der letzten Zeile „Profiling: Zustimmung erteilt“ bzw. „Profiling: Zustimmung nicht erteilt“ platziert, sodass dadurch die Aufmerksamkeit des Betroffenen noch intensiver auf die erteilte bzw. nicht erteilte Zustimmung zum Profiling gelenkt werde. Im Übrigen übersehe die belangte Behörde, dass direkt neben den anzuhakenden Optionen („Ja“, „Nein“) zum Profiling ein ausdrücklicher Hinweis auf „untenstehende Einwilligungserklärung“ erfolge, in welcher der Zweck der Verarbeitung ausdrücklich genannt werde. Diese Information sei direkt unter dem Verweis sowie inhaltlich kurz und prägnant. Dabei sei auch für den Betroffenen sofort erkennbar, welche Datenverarbeitungen, nämlich das Zusammenführen und Analysieren der Teilnahme- und Einkaufsdaten, auf Basis der Einwilligung erfolgen würden. Die Ansicht der belangten Behörde, dass der Text „Exklusive Vorteile und Aktionen“ hervorgehoben sei und die Information zum „Profiling“ nebensächlich abgehandelt werde, sei daher unzutreffend. Auch im Rahmen der physischen Anmeldung mittels „Flyer“ enthalte das Anmeldeformular mehrmals deutliche Hinweise in Bezug auf das Profiling, insbesondere in den darin vollständig abgedruckten AGB. Die Einholung zur Einwilligung erfolge auf der letzten Seite der Anmeldebroschüre. Dabei fänden sich vor allem drei Abschnitte: AGB/Datenschutzerklärung/Einwilligungserklärung. Durch Ausfüllen und Abgabe des Anmeldeformulars erkläre sich der Teilnehmer mit den AGB einverstanden. Die Einwilligungserklärung bestehe aus dem gut sichtbaren Wort „Einwilligungserklärung“, gefolgt vom Einwilligungstext. Unter der Einwilligungserklärung finde sich ein Pflichtfeld für das Datum, gekennzeichnet durch ein Sternchen, sowie rechts daneben das optionale Feld „Unterschrift“. Direkt unter diesem Feld befinde sich der Einwilligungstext, laut dem die Unterschrift nur für die Einwilligungserklärung gelte und freiwillig sowie die Anmeldung zum XXXX auch ohne Unterschrift wirksam sei. Schon angesichts dieses Hinweises könne den Ausführungen der belangten Behörde, der Kunde gehe davon aus, dass die Unterschrift für die Anmeldung sei, nicht gefolgt werden. Hinzu komme, dass das Unterschriftenfeld auch nicht mit einem Sternchen versehen sei.

Auf subjektiver Tatseite liege kein Verschulden vor. Die belangte Behörde gehe von einem Verschulden aus, ohne jedoch entsprechende Ermittlungen dazu getätigt zu haben. Allgemein habe die belangte Behörde verkannt, dass das Verschulden von der Behörde zu beweisen sei. Die Beschwerdeführerin habe im Rahmen ihrer Mitwirkungspflicht ausreichende Informationen vorgelegt und die gesetzten Schritte genau dargestellt; die belangte Behörde habe daher zu Unrecht das Verschulden bejaht und - ohne Feststellungen dazu - Fahrlässigkeit angenommen. Dass die belangte Behörde der Beschwerdeführerin zur Last lege, die Geschäftsführer seien den Ergebnissen der beigezogenen Rechtsanwälte mit Fachgebiet Datenschutzrecht gefolgt und davon nicht abgewichen, entbehre jeder Logik: Es könne von Geschäftsführern nicht verlangt werden, einerseits Rechtsanwälte mit ausgewiesenem Tätigkeitsschwerpunkt im jeweiligen Rechtsgebiet beizuziehen und andererseits von deren Ergebnissen abzuweichen, ohne selbst über entsprechendes Fachwissen zu verfügen, sofern es sich nicht um für jedermann erkennbare, offenkundige Widersprüche handle. Die Beschwerdeführerin habe dargestellt, dass die Entstehung der Dokumente unter Einbindung der Rechtsanwaltskanzlei erfolgt sei und diese im Zuge dessen den rechtlichen Rahmen, somit die Möglichkeiten aus rechtlicher Sicht, aufgezeigt habe. Dies sei ein intensiver Prozess zwischen den herangezogenen Rechtsanwälten und der Beschwerdeführerin mit unmittelbarer Beteiligung der benannten Geschäftsführer selbst gewesen, der sich über einen längeren Zeitraum erstreckt habe. Die Rechtsanwälte hätten weiters die finalen Dokumente geprüft und mit den benannten Geschäftsführern abgestimmt. Auch habe bereits seit dem Jahr 2016 eine intensive Auseinandersetzung intern zu diesem Thema stattgefunden. Es habe somit eine intensive, mehrjährige Auseinandersetzung sowohl intern als auch extern stattgefunden. Unrichtig sei auch der Vorwurf, die Ausgestaltung der Einwilligungserklärungen habe klar dem Wortlaut von Art. 7 Abs. 2 DSGVO widersprochen und die Geschäftsführer hätten erkennen können, dass die Einwilligungserklärungen mit hoher Wahrscheinlichkeit nicht den Anforderungen der DSGVO entsprechen würden. Das zeige sich schon daran, dass bei erstmaligem Einsatz der Erklärungen am 2. Mai 2019 noch kaum verlässliche Judikatur zur DSGVO vorgelegen sei. Gerade da Art. 7 Abs. 2 DSGVO unbestimmte Gesetzesbegriffe enthalte, bestehe in diesem Bereich erheblicher Auslegungsspielraum, welcher erst durch (höchstgerichtliche) Judikatur in einer Rechtssicherheit schaffenden Weise konkretisiert werde. Die Frage, ob eine rechtswidrige Einwilligung zur Verarbeitung personenbezogener Daten zum Zweck des Profiling vorliege, sei jedenfalls im vorliegenden Fall eindeutig eine Auslegungsfrage unbestimmter Rechtsbegriffe. Das zeige sich ganz deutlich an den Ergebnissen des dargestellten Prüfverfahrens. Sei die belangte Behörde noch im Erstbescheid der Ansicht gewesen, dass die im Rahmen aller Anmeldearten eingeholte Einwilligung nicht rechtswirksam sei, habe sie dies in der Beschwerdevorentscheidung auf die zwei auch hier gegenständlichen Anmeldearten eingeschränkt. Aus der Begründung in der Beschwerdevorentscheidung sei ersichtlich, dass im Ergebnis die Platzierung des Wortes "Profiling" im Anmeldeprozess den Ausschlag gegeben habe, ob - aus der Sicht der belangten Behörde - eine wirksame bzw. nicht wirksame Einwilligung zu Zwecken des Profiling abgegeben worden sei. Aber selbst wenn von einer Verwaltungsübertretung auszugehen sei und ein vorwerfbares Verhalten im Sinne eines Verschuldens auf Seiten der Beschwerdeführerin als gegeben angesehen werden könnte, wäre dennoch von einer Bestrafung abzusehen gewesen, da mit einer Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO bzw. § 11 DSG bzw. einer Ermahnung gemäß § 45 Abs. 1 Z 4 VStG das Auslangen gefunden werden hätte können. Davon absehen sei auch die verhängte Strafe zu hoch bemessen und diese wäre bei vollständiger und rechtsrichtiger Berücksichtigung aller Umstände deutlich niedriger anzusetzen gewesen. Hinzu komme, dass die belangte Behörde als einzigen erschwerenden Umstand die Vielzahl an Personen gewertet habe; diesem habe sie zahlreiche Milderungsgründe mit erheblichem Gewicht gegenübergestellt. Bereits deshalb widerspreche die Höhe der verhängten Geldbuße Art. 83 Abs. 5 DSGVO. Darüber hinaus sei der Beschwerdeführerin, wenn überhaupt, ein nicht vorwerfbarer Verbotsirrtum vorzuwerfen. Diesen Milderungsgrund habe die belangte Behörde nicht berücksichtigt, obwohl auch Art. 83 Abs. 2 DSGVO verlange, den Grad der Verantwortung einzubeziehen. Die Verhängung eines Verfahrenskostenbeitrages sei im Übrigen unionsrechtswidrig. Das VStG sei nur insoweit anzuwenden, als die DSGVO keine speziellen Bestimmungen enthalte. Die DSGVO (Art. 83f) regle mögliche Sanktionen, einschließlich Geldbußen, bei Verstößen gegen die DSGVO abschließend. Selbst wenn der Verwaltungskostenbeitrag nach nationalem Recht nicht als Sanktion gelte, sei dieser Begriff im Anwendungsbereich der DSGVO autonom auszulegen. Da der Verwaltungskostenbeitrag materiell dieselbe Wirkung wie eine weitere Geldbuße habe, sei er als Sanktion iSd DSGVO zu sehen. Art. 84 DSGVO belasse für eine solche zusätzliche Geldbuße jedoch keine innerstaatliche Regelungsbefugnis, vielmehr seien die Geldbußen nach Art. 83 DSGVO abschließend geregelt. § 64 VStG müsse daher in einem Verwaltungsstrafverfahren gemäß Art. 83 DSGVO unangewendet bleiben. Das ergebe sich im Übrigen auch aus dem Verhältnismäßigkeitsgrundsatz gemäß Art. 49 GRC und Art. 83 Abs. 1 DSGVO. Letztlich wurde angemerkt, dass die belangte Behörde zu Unrecht die Ermittlungsergebnisse des amtswegigen Prüfverfahrens zur GZ DSB-D213.895/0003-DSB/2019 im Verwaltungsstrafverfahren herangezogen habe.

Die belangte Behörde legte die Beschwerde dem Bundesverwaltungsgericht samt Verwaltungsakten vor und erstattete eine Gegenschrift. Darin verwies sie u.a. im Hinblick auf die geltend gemachte Verfolgungsverjährung zu Spruchpunkt I. darauf, dass sich anhand des Wortlautes der Verfolgungshandlung zweifelsfrei der Tatvorwurf, wonach die in Rede stehenden Einwilligungserklärungen nicht sämtlichen – von der DSGVO normierten Anforderungen – entsprochen hätten, ergebe. So komme in der Aufforderung zur Rechtfertigung vom 17. Juli 2021 klar und deutlich zum Ausdruck, dass die Einwilligungserklärungen nicht den „Anforderungen an eine Einwilligung gemäß Art. 4 Z 11 DSGVO und Art. 7 DSGVO“ entsprochen hätten. Sowohl anhand der Begriffsdefinition des Art. 4 Z 11 als auch anhand des Art. 7 DSGVO würden sich weitreichende Vorgaben im Hinblick auf die Anforderungen an eine wirksame Einwilligungserklärung ergeben. Schon aus dem Wortlaut der Aufforderung zur Rechtfertigung vom 17. Juli 2021, konkret durch den Hinweis auf die Anforderungen des Art. 4 Z 11 in Verbindung mit Art. 7 DSGVO, ergebe sich, dass die vorgeworfene Tat die Nichteinhaltung sämtlicher Vorgaben der DSGVO in Bezug auf eine rechtswirksame Einwilligungserklärung umfasse.

Mit ergänzender Stellungnahme vom 4. Jänner 2022 beantragte die belangte Behörde, den EuGH gemäß Art. 267 AEUV mit der Frage der unmittelbaren Strafbarkeit einer juristischen Person gemäß Art. 83 DSGVO und mit der Frage der Vereinbarkeit von § 30 DSG mit Art. 83 DSGVO zu befassen; in eventu das Verfahren bis zur Entscheidung des EuGHs in der Rechtssache C-807/21 gemäß § 38 AVG iVm §§ 17 und 38 VwGVG auszusetzen.

Dazu wurde von der belangten Behörde vorgebracht, dass das Kammergericht Berlin mit Beschluss vom 6. Dezember 2021, GZ 2 Ws 250/21, dem EuGH folgende Fragen zur Auslegung von Art. 83 DSGVO zur Vorabentscheidung nach Art. 267 AEUV vorgelegt habe:

„1. Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?

2. Wenn die Frage zu 1. bejaht werden sollte: Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?“

Mit Beschluss des Bundesverwaltungsgerichts vom 31. März 2022, W256 2246230-1/12E, wurde das Verfahren gemäß § 17 VwGVG iVm § 38 AVG bis zur Vorabentscheidung durch den EuGH über die mit Beschluss des Kammergerichtes Berlin vom 6.12.2021, Zl. 3 Ws 250/21 (beim EuGH anhängig unter C-807/21 ), vorgelegten Fragen ausgesetzt.

Mit Urteil des EuGHs vom 05.12.2023, Zl. C-807/21 , erkannte dieser zu den oben wiedergegebenen Fragen wie folgt:

„1. Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.

2. Art. 83 der Verordnung 2016/679 ist dahin auszulegen, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.“

Die Beschwerdeführerin erstattete am 23. Jänner 2024 eine Stellungnahme. Darin führte diese aus, aufgrund des Urteils des EuGH vom 5. Dezember 2023 stehe für das vorliegende Verfahren nunmehr fest, dass die Verhängung einer Geldbuße nach Art. 83 DSGVO gegen die Beschwerdeführerin von – zumindest – folgenden Voraussetzungen, die kumulativ vorliegen müssen, abhänge: die Feststellung der im angefochtenen Straferkenntnis zur Last gelegten Tathandlungen, die rechtliche Einordnung dieser Tathandlungen unter einen der in Art. 83 Abs. 2 DSGVO angeführten Tatbestände, die Feststellung der Zurechenbarkeit dieser Tathandlungen zur Beschwerdeführerin und die Feststellung einer verschuldeten Begehung dieser Tathandlungen. Dabei sei hervorzuheben, dass nach dem erwähnten Urteil des EuGHs das Verschulden nicht nur für die Bemessung einer Geldbuße, sondern bereits eine Bedingung für die Strafbarkeit darstelle. Die Beschwerdeführerin rege die Aussetzung des Verfahrens bis zur Entscheidung des EuGHs in der Rechtssache GZ: C-383/23 an, weil der EuGH den Unternehmensbegriff trotz seiner Ausführungen zum relevanten Jahresumsatz in seinem Urteil vom 5. Dezember 2023 darin womöglich präzisiere.

Dazu führte die belangte Behörde in ihrer Stellungnahme vom 30. Jänner 2024 im Wesentlichen aus, die belangte Behörde habe im angefochtenen Strafbescheid ausdrücklich die subjektive Tatseite im Lichte des als erwiesen angenommenen Sachverhalts näher beleuchtet und begründet. Aufgrund des Urteils des EuGHs sei nunmehr zu berücksichtigen, dass die Voraussetzung des Verschuldens für die Verhängung einer Geldbuße nach Art. 83 DSGVO unionsautonom auszulegen und insbesondere im Lichte der Rechtsprechung des EuGHs zu beurteilen sei. Der von der Beschwerdeführerin ins Treffen geführte Verbotsirrtum werde von der Rechtsprechung des EuGHs nicht zugelassen. So seien vom EuGH beispielsweise in der Rechtssache „Schenker“ unmissverständliche Aussagen in Bezug auf den Verbotsirrtum getroffen worden und darauf habe der EuGH in seinem Urteil „Deutsche Wohnen SE (C-807/21 )“ ausdrücklich verwiesen. Es müsse bei jeder Strafbemessung einer Geldbuße im Einzelfall von der Aufsichtsbehörde sichergestellt werden, dass die jeweilige Geldbuße den Kriterien des Art. 83 DSGVO entspreche. Damit eine Geldbuße abschreckend und wirksam sei, müsse stets die tatsächliche Leistungsfähigkeit des Beschuldigten berücksichtigt werden. Auch im vorliegenden Fall habe das Gericht im Rahmen der rechtlichen Beurteilung die Höhe der verhängten Geldbuße anhand der Kriterien nach Art. 83 Abs. 1 und 2 DSGVO zu überprüfen und müsse dieses in diesem Zusammenhang zunächst die tatsächliche Leistungsfähigkeit der Beschwerdeführerin feststellen. Wenn die Beschwerdeführerin einem Unternehmen im Sinne von Art. 101 und 102 AUEV angehöre, müsse der gesamte Jahresumsatz des Unternehmens für die Prüfung herangezogen werden. Zur Frage, ob und unter welchen Voraussetzungen der Umsatz der wirtschaftlichen Einheit heranzuziehen sei, verweise der EuGH auf seine gefestigte Rechtsprechung im Wettbewerbsrecht. Die Frage, ob mehrere Personen eine wirtschaftliche Einheit bilden, hänge im Wesentlichen davon ab, ob die einzelne (im Verfahren betroffene Einheit) in ihrer Entscheidung frei sei oder ob die Muttergesellschaft einen entscheidenden Einfluss auf die Tochtergesellschaft ausübe. Ein bestimmender Einfluss liege vor, „wenn die Tochtergesellschaft trotz eigener Rechtspersönlichkeit ihr Marktverhalten nicht autonom bestimme, sondern im Wesentlichen Weisungen der Muttergesellschaft befolge, und zwar vor allem wegen der wirtschaftlichen, organisatorischen und rechtlichen Bindungen, die die beiden Rechtssubjekte verbinden“. In solch einem Fall seien die Gesellschaften Teil derselben wirtschaftlichen Einheit. Laut Firmenbuchauszug vom 30. Jänner 2024 sei die XXXX m.b.H. Alleingesellschafterin der Beschwerdeführerin (100 % Beteiligung). Von dieser wiederum sei die XXXX AG Alleingesellschafterin (100 % Beteiligung). Von dieser wiederum sei die XXXX Gesellschaft mit beschränkter Haftung Alleinaktionärin (100 % Beteiligung). Daher könne die sogenannte „Akzo-Vermutung“ anhand der oben angeführten Judikatur des EuGH für den konkreten Fall angewendet und somit vermutet werden, dass die Muttergesellschaften einen entscheidenden Einfluss auf die Beschwerdeführerin ausüben. Es obliege der Beschwerdeführerin, durch geeignete Beweismittel diese Vermutung zu widerlegen bzw. nachzuweisen, dass ihre Tochtergesellschaft auf dem Markt eigenständig auftrete. Die genannten juristischen Personen würden somit nach Ansicht der Datenschutzbehörde eine wirtschaftliche Einheit bilden.

Dazu führte die Beschwerdeführerin im Rahmen des Parteiengehörs in ihrer Stellungnahme vom 23. Februar 2024 aus, der EuGH habe in seinem Urteil zwar festgehalten, dass die Mitgliedstaaten keine über diese verfahrensrechtlichen Anforderungen hinausgehenden materiellen Voraussetzungen vorsehen dürfen, die zu den in Art. 83 Abs. 1 bis 6 DSGVO geregelten hinzutreten. § 5 VStG habe jedoch auch eine verfahrensrechtliche Komponente. Die nach Abs. 1 Satz 2 leg. cit. erforderliche Glaubhaftmachung, dass die Beschwerdeführerin an der Verletzung der Verwaltungsvorschrift (hier: der DSGVO) kein Verschulden treffe, gelte aufgrund des Strafrahmens nach Art. 83 Abs. 5 DSGVO nicht (§ 5 Abs. 1a VStG). Im Übrigen habe die belangte Behörde im Straferkenntnis Feststellungen getroffen (die konkreten natürlichen Personen, das Organisationsverschulden), die im Lichte der EuGH-Rechtsprechung nicht zu treffen gewesen wären. Konkret habe sie den Spruch (zusammenfassend) so gefasst, dass die Beschwerdeführerin zwei Verstöße gegen die DSGVO aufgrund der Außerachtlassung der gebotenen Sorgfalt sowie aufgrund mangelnder Kontrolle und Überwachung ihrer im Tatzeitraum bestellten Geschäftsführer zu verantworten habe. Es könne dahinstehen, ob die belangte Behörde den Tatvorwurf aufgrund des Anwendungsvorrangs des Unionsrechts auch anders umschreiben hätte können. Da sie es nicht getan habe, sei die im angefochtenen Straferkenntnis konkret umschriebene Tat jene, die der Beurteilung durch das Verwaltungsgericht zugrunde zu legen sei. Sei aufgrund des Anwendungsvorrangs des Unionsrechts die Tat im angefochtenen Straferkenntnis aber falsch umschrieben, weil keine natürliche Person als Täter anzuführen gewesen wäre, dann führe dies nach der Rechtsprechung des VwGH zwangsläufig zur Aufhebung des Straferkenntnisses und zur Einstellung des Verwaltungsstrafverfahrens durch das Verwaltungsgericht (VwGH 13.12.2019, Ra 2019/02/0184). Aus dem unionsrechtlichen Grundsatz der persönlichen Verantwortlichkeit ergebe sich weiters, dass das Verwaltungsgericht prüfen müsse, ob der behauptete Verstoß (wenn er festgestellt werde) 1.) durch Handlungen einer Person, die berechtigt sei, für das Unternehmen der Beschwerdeführerin tätig zu werden, begangen worden sei und 2.) vorsätzlich oder fahrlässig begangen worden sei. Wie Generalanwalt Campos Sánchez-Bordona in seinem Schlussantrag iS Deutsche Wohnen zutreffend festgestellt habe, „setzt die Beurteilung der Frage, ob [die in der DSGVO vorgesehenen Verpflichtungen] eingehalten wurden, einen komplexen Bewertungs- und Beurteilungsprozess voraus, der über die bloße Feststellung eines formalen Verstoßes hinausgeht“. Die Komplexität dieses Bewertungs- und Beurteilungsprozesses sei somit bei der Beurteilung, ob ein objektiv tatbestandsmäßiges Verhalten, welches der juristischen Person zurechenbar sei, vorsätzlich oder fahrlässig begangen worden sei, zu berücksichtigen. Wende man diesen Verschuldensmaßstab bei der Auslegung von Art. 83 DSGVO an, so komme es für die Beurteilung der subjektiven Tatseite darauf an, ob die für die Beschwerdeführerin berechtigt handelnden Personen „a) wussten, dass die Einwilligungserklärungen auf der Webseite und das Anmeldeformular Flyer nicht den datenschutzrechtlichen Anforderungen an eine wirksame Einwilligung gemäß Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a und Art 7 DSGVO entsprachen; oder b) sich darüber nicht in Unkenntnis befinden konnten oder dies hätten wissen müssen“. Nur wenn ein solcher Grad des Verschuldens festgestellt werden könne, könne eine Sanktion nach Art. 83 DSGVO überhaupt verhängt werden. Vor dem Hintergrund dieses Verschuldensmaßstabs seien auch die Aussagen des EuGHs in seinem Urteil iS Schenker zu sehen. Da der EuGH im Urteil Schenker ein Verschulden bereits bejaht habe, weil die betroffenen Unternehmen sich „über die Wettbewerbswidrigkeit ihres Verhaltens nicht im Unklaren sein konnten“, habe naturgemäß auch kein Vertrauensschutz infolge eines anwaltlichen Rats bestanden. Nur wenn das Verwaltungsgericht zum Schluss komme, dass die Beschwerdeführerin sich „nicht im Unklaren sein konnte“, dass die von der belangten Behörde sanktionierten Gestaltungen der Einverständniserklärung gegen die DSGVO verstießen, sei damit überhaupt Raum für eine Sanktion nach Art. 83 DSGVO. Das bedeute aber im Gegenschluss, dass auch nach der wettbewerbsrechtlichen Rechtsprechung des EuGHs ein schuldausschließender Rechtsirrtum nicht schlechthin ausgeschlossen sei; vielmehr gelte dies nur dann, wenn sich der Betreffende über die Wettbewerbswidrigkeit seines Verhaltens nicht im Unklaren sein konnte.

Über Aufforderung des Bundesverwaltungsgerichts, konkrete Nachweise (z.B. Notizen, Mails, Beratungsergebnisse usw.) dafür vorzulegen, dass auf Grundlage vollständiger Sachverhaltsinformationen eine fundierte rechtliche Auseinandersetzung zur Sicherstellung der Rechtskonformität der hier gegenständlichen Datenverarbeitung („Profiling“) unter Heranziehung von Rechtsanwälten mit ausgewiesenem Tätigkeitsschwerpunkt in diesem Rechtsbereich stattgefunden haben, legte die Beschwerdeführerin erneut ein Schreiben der Rechtsanwaltskanzlei XXXX vom 5. März 2024 vor.

Ebenso wurden von der Beschwerdeführerin über Aufforderung des Bundesverwaltungsgerichts die Jahresumsätze der Beschwerdeführerin (EUR 27.239.998,36), der XXXX m.b.H. (EUR 196.862.538,14) und der XXXX AG (EUR 41.261.501,20) für das Jahr 2020 bekanntgegeben.

Am 20. März 2024 fand eine mündliche Verhandlung vor dem Bundesverwaltungsgericht statt, an welcher sich die Beschwerdeführerin und die beiden zum Tatzeitraum bestellten Geschäftsführer sowie deren Rechtsvertretung beteiligten. Weiters wurde der Datenschutzbeauftragte der Beschwerdeführerin, XXXX , als Zeuge einvernommen.

Mit Schreiben vom 3. April 2024 und vom 27. Mai 2024 wurden von der Beschwerdeführerin diverse Unterlagen (u.a. Honorarnoten betreffend die Rechtsberatung durch die Rechtsanwaltskanzleien XXXX und die XXXX GmbH sowie ein schriftlicher Auftrag an die Rechtsanwaltskanzlei XXXX ) sowie u.a. die Bilanz der Beschwerdeführerin für das Jahr 2020 sowie die Bilanz und die Gewinn- und Verlustrechnung für das Jahr 2020 der XXXX Gesellschaft mit beschränkter Haftung vorgelegt.

Dazu wurde der belangten Behörde Parteiengehör eingeräumt.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Die Beschwerdeführerin betreibt seit Mai 2019 ein unternehmens- und branchenübergreifendes Kundenbindungsprogramm unter der Bezeichnung „ XXXX “. Kunden der daran teilnehmenden Handelsgeschäfte können sich als Mitglieder registrieren, auf Basis ihrer Einkäufe Punkte sammeln und diese in der Folge für den Erhalt von verschiedenen „exklusiven“ Vorteilen bzw. Rabatten einlösen.

Der Beschwerdeführerin obliegt als Betreiberin des XXXX die Verwaltung der Mitgliedschaft und die Abwicklung des Kundenbindungsprogrammes sowie die Werbung für Produkte, Waren und Dienstleistungen sowie die Bereitstellung des XXXX Service.

Alleingesellschafterin der Beschwerdeführerin ist die XXXX m.b.H., Alleingesellschafterin dieser ist die XXXX AG, Alleinaktionärin dieser ist wiederum die XXXX Gesellschaft mit beschränkter Haftung.

Die Beschwerdeführerin erzielte im Jahr 2020 einen Jahresumsatz in Höhe von EUR 27.239.998,36. Im Geschäftsjahr 2020 ergibt sich bei der Beschwerdeführerin ein Bilanzverlust in der Höhe von EUR 21.907.118,11.

Die XXXX m.b.H. erzielte im Jahr 2020 einen Jahresumsatz in der Höhe von EUR 196.862.538,14. Die XXXX AG erzielte im Jahr 2020 einen Jahresumsatz von EUR 41.261.501,20. Die XXXX Gesellschaft mit beschränkter Haftung erzielte im Jahr 2020 keine Umsatzerlöse.

Im Tatzeitraum stellte sich die Sachlage wie folgt dar:

Für die Teilnahme am XXXX und dementsprechend für die Verwaltung der Mitgliedschaft erfasste die Beschwerdeführerin Teilnahmedaten des jeweiligen Mitglieds, insbesondere über die vom Mitglied ausgefüllten Anmeldeformulare. Dabei handelte es sich (laut der Datenschutzerklärung) um folgende Daten:

„Mitgliederstammdaten“:

Daten zur Person (Kundennummer, Anrede, Geschlecht, Vor-/Nachname, Geburtsdatum; optional: Titel vorgestellt/ nachgestellt)

- Adress- und Kontaktdaten (Anschrift; optional: Telefonnummer, E-Mail-Adresse) mit Geolokation (X-Koordinate, Y-Koordinate, Zählersprengelnummer der Adresse, Qualität der Geocodierung)

- Erlaubte Kontaktart (Telefon, E-Mail, Post)

- Zulässigkeit Profiling (ja/nein) und Änderungsdatum-Profiling

- Daten zu den verfügbaren XXXX (Gesamt, Vormonat, Aktueller Monat) „Teilnahmedaten“:

- Mitgliederstammdaten [siehe oben]

- Analytische Kundennummer

- Kunden-Status und Kunden-Status-Information

- Zugangsnummer

- Erstellungs- und Registrierungsdatum

- Registrierungskanal

- Verkaufsstelle und Kassa der Registrierung

- IP-Adresse bei der Registrierung (bei Online-Registrierung)

- Partner bei der Registrierung (ID des XXXX Partners)

- Anzahl der XXXX Karten

- Änderungsdatum Erlaubnis für Postsendung, E-Mail-Sendung und Telefonkontakt

- IP-Adresse Erlaubnis für E-Mail-Sendung

- Status Geolokation und Datum der Adressprüfung

- Zustimmung zu den AGB

- Datum letzter AGB-Änderung

- Erlaubnis für Stammdatenzugriff des jeweiligen XXXX Partners

- Formular-ID bei Anmeldung mittels Papierformular und Digitalisierungsdatum

- Verfügbare Kartentypen (Plastikkarte, iOS, Android, Print@Home)

Zusätzlich wurden der Beschwerdeführerin die unter Verwendung der XXXX Karte bei einer Transaktion des Mitglieds bei einem XXXX Partner angefallenen Daten (sogenannte Einkaufsdaten) zum Zweck der Abwicklung des Programmes von diesem Partner übermittelt und von der Beschwerdeführerin erfasst und zwar (laut Datenschutzerklärung):

- Daten, die bei Einkäufen in Verkaufsstellen und im Rahmen sonstiger Vertriebskanäle (z. B. Webshop) generiert werden (Kaufort/-zeit, Kassa, erworbene Ware/Dienstleistung, Einkaufsfrequenz, Produktkategorie, in Anspruch genommene Rabattierung und Aktion, Gutschein-ID, gewährte und eingelöste XXXX und gezahlter Preis)

- Transaktions-ID, Datum, Partner, Verkaufsstelle, Kassennummer, gesammelte/eingelöste XXXX , Umsatz, nicht rabattfähiger Umsatz, POS ID, Promotion, ID, Mehrwertsteuer

- Bezahlart (bar oder Kartenart).

Nur sofern das jeweilige Mitglied im Rahmen der Anmeldung seine Einwilligung dazu erklärt hat, wurden diese Teilnahme- und Einkaufsdaten von der Beschwerdeführerin automationsunterstützt zusammengeführt und analysiert und dadurch Profile der Mitglieder über deren Einkaufsverhalten zum Zweck der personalisierten Werbung erstellt (sogenannte Marketing-Profiling Daten). Diese Einwilligung konnte jederzeit widerrufen werden und war für den Vertragsabschluss nicht zwingend (gewesen).

Die Anmeldung zum Programm war für jede natürliche Person, die das 16. Lebensjahr vollendet und ihren Hauptwohnsitz im EWR/Schweiz hatte, möglich und war (soweit verfahrensgegenständlich relevant) mithilfe eines physischen Anmeldeformulars („Flyers“) oder online auf der Webseite möglich.

Die Einholung der Einwilligung mittels „Flyer“ wurde so durchgeführt, dass in Filialen der XXXX Partner eine Anmeldebroschüre („Flyer“) ausgelegt war. Bei Bezahlung an der Kasse in solchen Filialen wurde diese Anmeldebroschüre Kunden, die noch nicht beim XXXX registriert waren, aber Interesse an der Teilnahme hatten, überreicht. Auf dieser Anmeldebroschüre fanden sich allgemeine Hinweise zum oben dargestellten Geschäftsmodell der Beschwerdeführerin und anschließend waren darauf die AGB der Beschwerdeführerin abgedruckt. Auch wurde auf die Datenschutzerklärung und ihre Auffindbarkeit hingewiesen.

In Punkt 4. der AGB wurde der Kunde über den Leistungsumfang der Beschwerdeführerin informiert. U.a. wurde dem Kunde darin mitgeteilt, dass er bei Verwendung der XXXX beim Kauf eines Produktes oder einer Dienstleistung bei einem XXXX Partner XXXX sammelt, welche er bei den XXXX Partner einlösen und dafür unterschiedliche Vorteilsangebote erhalten kann (4.4.1.). In Punkt 4.3.1. wurde dazu näher ausgeführt, dass das Mitglied Informationen über die jeweiligen Vorteile bei den jeweiligen XXXX Partnern erhält, aber auch die Beschwerdeführerin die Kunden in regelmäßigen Abständen per Post oder per E-Mail – per E-Mail, sofern das Mitglied sich für diese Möglichkeit entschieden hat – darüber informieren wird. In Punkt 5.4. der AGB wurde der Kunde darauf aufmerksam gemacht, dass seine personenbezogenen Daten für Zwecke der Verwaltung der Mitgliedschaft, Abwicklung des Kundenbindungsprogrammes, Werbung (ohne Profiling) sowie personalisierte Werbung mit Profiling verwendet werden. Punkt 5.5. der AGB (mit Punkt 4.4. der Datenschutzerklärung ident) lautete auszugsweise wie folgt: „[..] 5.5.1. Nur sofern das Mitglied einwilligt, wird der Betreiber als alleiniger Verantwortlicher die beim Betreiber und bei den XXXX Partnern verarbeiteten Mitgliederstammdaten und Einkaufsdaten des Mitglieds zur automationsunterstützten Personalisierung von Werbe- und Marketingmaßnahmen [..] weiterverwenden, analysieren und so neue Marketing-Profilingdaten gewinnen. Die Einwilligung des Mitglieds zur Verarbeitung seiner Daten gemäß diesem Unterpunkt ist für den Vertragsabschluss sowie seine Durchführung nicht zwingend. [..] 5.5.3. Bei dieser Art der Datenverarbeitung handelt es sich um Profiling gemäß Art 4 Z 4 DSGVO. Es werden Profile über das Mitglied erstellt, welche auf die Wahrscheinlichkeit zukünftiger Einkäufe schließen lassen, Zielgruppenselektionen sowie aggregierte Auswertungen für Sortimente, Regal- und Filialoptimierung vorgenommen und individualisierte Werbe- und Marketingmaßnahmen entwickelt. Das Mitglied erhält vom Betreiber per Post, E-Mail, SMS, MMS, Push-Nachrichten, Nachrichten über die App oder Messenger auf sein Einkaufsverhalten angepasste Mitteilungen über besondere Vorteilsangebote und zur Bewerbung von Produkten und Gewinnspielen des Betreibers und auch der XXXX Partner. [..] 5.5.5. Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten gemäß diesem Unterpunkt ist Art 6 Abs 1 lit a DSGVO (Einwilligung). Die Einwilligung erfolgt auf dem Teilnahmeformular in den Ladengeschäften der XXXX Partner, der Webseite XXXX at oder in der XXXX App. 5.5.6. Die Einwilligung ist freiwillig und das Mitglied hat auch das Recht auf jederzeitigen Widerruf der Einwilligung. Wenn das Mitglied die Einwilligung nicht erteilt oder diese widerruft, werden seine personenbezogenen Daten nicht (mehr) automationsunterstützt verarbeitet und analysiert (kein Profiling [..]) und erhält das Mitglied keine (profilierten) Newsletter und Werbung mehr durch den Betreiber. Das Mitglied kann dennoch weiterhin am XXXX teilnehmen und XXXX sammeln und einlösen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitungen wird durch den Widerruf nicht berührt.“

In Punkt 3. und 4. der Datenschutzerklärung fand sich eine genaue Auflistung über die Kategorien der von der Beschwerdeführerin verarbeiteten Daten sowie eine Erläuterung, zu welchen Zwecken eine solche Verarbeitung stattfindet. Insbesondere wurde in Punkt 4.3.1. darüber aufgeklärt, dass für Zwecke der Werbung (ohne Profiling) näher dargestellte Teilnehmerdaten (u.a. Name, Anschrift) des Mitglieds auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO verwendet werden.

Am Ende der Anmeldebroschüre fand sich ein abtrennbares Anmeldeformular, welches – im Falle einer Anmeldung – bei der Kassa abzugeben war.

Das Anmeldeformular enthielt erneut einen Hinweis zu den AGB und der Datenschutzerklärung sowie dem Umstand, dass sich der Kunde mit der Abgabe der Anmeldung mit den AGB einverstanden erklärt.

Daran anschließend wurden die persönlichen Daten des Kunden eingeholt (Anrede, Vorname, Nachname, Geburtsdatum, Straße samt Hausnummer/Stiege/Türnummer, PLZ, Ort und Land). Falls vorhanden, konnte ein Titel angegeben werden. Ebenfalls konnte – falls gewünscht – eine Mobilfunknummer und eine E-Mail-Adresse („für [die] persönlichen Vorteile und zur Kommunikation“) angegeben werden.

Unterhalb davon erklärte sich der Kunde damit einverstanden, dass rechtlich bedeutsame Erklärungen an die bekanntgegebene E-Mail-Adresse zugestellt werden können. Konkret war dieser Hinweis unterhalb des Feldes für die E-Mail-Adresse platziert und zwar derart, dass dem in Rot und fett gedruckten Wort „E-Mail“ und dem anschließenden in Schwarz und nicht fett gedruckten Hinweis dazu, ein weißer Kreis zum Ankreuzen vorangestellt wurde. Unterhalb davon fand sich die in Punkt 5.5. der AGB bzw. 4.4. der Datenschutzerklärung dargestellte Einwilligungserklärung.

Das Wort „Einwilligungserklärung“ war fett und in Schwarz gedruckt. Der anschließende Text der Einwilligungserklärung war in Schwarz und nicht fett abgedruckt. Eine vorangestellte Ankreuzmöglichkeit wie bei der E-Mail fand sich hier nicht, sondern der Kunde konnte dazu eine Unterschrift abgeben.

Das Feld für die Unterschrift fand sich rechtsbündig am Ende des Anmeldeformulars und zwar etwas abgesetzt von der Einwilligungserklärung. Links davon fand sich auf gleicher Höhe das für die Anmeldung erforderliche Pflichtfeld „Datum“. Das Feld für die Unterschrift war nicht mit einem Sternchen („Pflichtfeld“) verzeichnet.

Unterhalb dieser beiden Felder fand sich folgender Text: „Diese Unterschrift gilt nur für die Einwilligungserklärung und ist freiwillig. Ihre Anmeldung zum XXXX ist auch ohne Unterschrift wirksam.“ Dieser Text war nicht fett abgedruckt.

Im Wesentlichen stellte sich dies wie folgt dar:

„[Kreis] E-Mail [in Rot]: [..]

Einwilligungserklärung: Ich erkläre mich gemäß Punkt 5.5. und 5.6. AGB (ebenso Punkte 4.4. und 4.5. der Datenschutzerklärung) damit einverstanden, dass die XXXX GmbH sowie die XXXX Partner, bei denen ich meine XXXX Karte verwendet habe, (1) meine Teilnahmedaten und Einkaufsdaten zusammenführen und analysieren, um mir für mich relevante und auf meine Interessen zugeschnittene, individualisierte Informationen zum XXXX Programm zukommen zu lassen und Angebote zum Sammeln und Einlösen von XXXX auf meine Bedürfnisse anzupassen (sog. „Profiling“ [..]), um (2) mir Werbung mit personalisierten Angeboten über Produkte und Dienstleistungen des Betreibers und der XXXX Partner per Post, E-Mail, SMS, MMS, Push-Nachrichten, Nachrichten über Apps und Messenger zuzusenden, und (3) dass meine auf diese Weise gewonnenen personenbezogenen Daten bei Widerruf meiner Einwilligung, spätestens nach Ende meiner Mitgliedschaft gelöscht werden. Meine Einwilligung ist für den Vertragsabschluss nicht zwingend notwendig und ich kann sie jederzeit mit Wirkung für die Zukunft gegenüber der XXXX GmbH XXXX postalisch, per E-Mail an XXXX oder telefonisch XXXX widerrufen.“

 

Datum* Unterschrift

[][][][][][][] [ ] [][][][][][]

Tag Monat Jahr

Diese Unterschrift gilt nur für die Einwilligungserklärung und ist freiwillig. Ihre Anmeldung zum XXXX ist auch ohne Unterschrift wirksam.“

Die Einholung der Einwilligung online auf der Webseite wurde so durchgeführt, dass die Person in einem ersten Schritt („Jetzt anmelden“) anzukreuzen hatte, ob sie eine Karte besitzt oder nicht („Ja“ oder „Nein“). In einem zweiten Schritt wurden die persönlichen Daten der Person und zwar Anrede, Vorname, Nachname, Geburtsdatum, Straße samt Hausnummer/Stiege/Türnummer, PLZ, Ort und Land sowie E-Mail-Adresse verlangt. In einem dritten Schritt wurden der Person zunächst die AGB in einem Feld zum Runterscrollen zur Verfügung gestellt und die Bestätigung der AGB durch Anklicken einer (als Pflichtfeld ausgewiesenen) Box eingefordert. In weiterer Folge wurde unter der Überschrift „Datenschutz ist uns wichtig“ die Datenschutzerklärung in einem Feld zum Runterscrollen zur Verfügung gestellt und ebenfalls die Bestätigung dazu durch Anklicken einer (als Pflichtfeld ausgewiesenen) Box eingefordert. In einem vierten Schritt wurde der Person unter der Überschrift „Genießen Sie Ihre ganz persönlichen Vorteile“ die Möglichkeit eingeräumt, durch Drücken eines jeweils vorangestellten weißen Buttons entweder „Ja, ich stimme der Verarbeitung meiner Daten gemäß unten stehender Einwilligungserklärung zu und möchte somit von exklusiven Vorteilen und Aktionen profitieren“ oder „Nein, ich stimme der Verarbeitung meiner Daten gemäß unten stehender Einwilligungserklärung nicht zu und möchte somit nicht von exklusiven Vorteilen und Aktionen profitieren.“ anzukreuzen. Daran anschließend wurde der Person die (beim Flyer bereits wiedergegebene und idente) Einwilligungserklärung in einem Feld zum Runterscrollen zur Verfügung gestellt. Auf den ersten Blick war folgender Text sichtbar: „Ich erkläre mich gemäß Punkt 5.5. und 5.6. AGB (ebenso Punkte 4.4. und 4.5. der Datenschutzerklärung) damit einverstanden, dass die XXXX GmbH sowie die XXXX Partner, bei denen ich meine XXXX Karte verwendet habe, (l) meine Teilnahmedaten und Einkaufsdaten zusammenführen und analysieren, um mir für mich relevante und auf meine Interessen zugeschnittene“. In einem letzten Schritt wurde der Person unter der Überschrift „Überprüfen Sie Ihre Eingabe“ in einer Überschriftstabelle angezeigt, ob die Eingabe vollständig war. Dazu wurden die Posten Anrede, Geburtsdatum, Adresse, Telefon, Zugangsnummer, AGB, Datenschutzerklärung, Profiling untereinander dargestellt und jeweils mit Hinweisen versehen. Am Ende jeder Zeile befand sich ein Bleistiftsymbol. War z.B. das Geburtsdatum unvollständig, so fand sich rechts neben dem Posten Geburtsdatum der Hinweis „Ihr Geburtsdatum ist unvollständig“. Wurden die AGB nicht akzeptiert, so fand sich rechts davon der Hinweis „Bitte akzeptieren Sie die AGB“. Wurde bei Profiling keine Antwort angeklickt, so fand sich rechts davon der Hinweis „Bitte wählen Sie bei Profiling eine Antwort aus, um mit der Anmeldung fortzufahren“. Durch Anklicken des jeweiligen Bleistiftsymbols am Ende der Zeile wurde die Person automatisch zum entsprechenden Eingabefeld auf der Webseite (zurück-)geleitet.

Durch Drücken eines rechts unterhalb liegenden grauen Buttons „Jetzt anmelden“ konnte man den Anmeldeprozess abschließen. Die Darstellung dieses letzten Anmeldeprozesses war von der verwendeten Version (Webversion (PC)/Mobilversion (Mobiltelefon)) abhängig. Bei der Mobilversion war die letzte Zeile „Jetzt anmelden“ näher an der letzten Zeile „Profiling: Zustimmung erteilt oder Zustimmung nicht erteilt“.

Im Wesentlichen stellte sich die Einholung der Einwilligungserklärungen in der Version PC wie folgt dar:

„Datenschutz ist uns wichtig

Hier finden Sie die Datenschutzerklärung des XXXX

[Feld mit der Datenschutzerklärung zum Runterscrollen]

[Feld zum Anklicken] Ja, ich habe die Datenschutzerklärung gelesen und zur Kenntnis genommen*

Genießen Sie Ihre ganz persönlichen Vorteile

O JA, ich stimme der Verarbeitung meiner Daten gemäß unten stehender Einwilligungserklärung zu und möchte somit von exklusiven Vorteilen und Aktionen profitieren.

O NEIN, ich stimme der Verarbeitung meiner Daten gemäß unten stehender Einwilligungserklärung nicht zu und möchte somit nicht von exklusiven Vorteilen und Aktionen profitieren.

[Feld mit folgendem Text zum Runterscrollen]:

Ich erkläre mich gemäß Punkt 5.5. und 5.6. AGB (ebenso Punkte 4.4. und 4.5. der Datenschutzerklärung) damit einverstanden, dass die XXXX GmbH sowie die XXXX , bei denen ich meine XXXX Karte verwendet habe,

(1) meine Teilnahmedaten und Einkaufsdaten zusammenführen und analysieren, um mir für mich relevante und auf meine Interessen zugeschnittene, individualisierte Informationen zum XXXX Programm zukommen zu lassen und Angebote zum Sammeln und Einlösen von XXXX auf meine Bedürfnisse anzupassen (sog. „Profiling“ [..]), um

(2) mir Werbung mit personalisierten Angeboten über Produkte und Dienstleistungen des Betreibers und der XXXX Partner per Post, E-Mail, SMS, MMS, Push-Nachrichten, Nachrichten über Apps und Messenger zuzusenden, und

(3) dass meine auf diese Weise gewonnenen personenbezogenen Daten bei Widerruf meiner Einwilligung, spätestens nach Ende meiner Mitgliedschaft gelöscht werden. Meine Einwilligung ist für den Vertragsabschluss nicht zwingend notwendig und ich kann sie jederzeit mit Wirkung für die Zukunft gegenüber der XXXX GmbH ( XXXX postalisch, per E-Mail an XXXX at oder telefonisch ( XXXX ) widerrufen.

*Pflichtfeld“

Das Anmeldeformular „Flyer“ ist seit 3. März 2020 nicht mehr in Verwendung. Die Anmeldungsmöglichkeit auf der Webseite in der oben dargestellten Fassung ist ebenfalls seit 5. März 2020 nicht mehr in Verwendung bzw. wurde adaptiert.

zur Sachlage nach Erhalt des Straferkenntnisses

Die Beschwerdeführerin hat die aufgrund der automatisierten Verarbeitung der Teilnahme- und Einkaufsdaten erstellten Profile über das Einkaufsverhalten von am „ XXXX “ mittels der Methode „Webseite“ www. XXXX at (in der bis 5. März 2020 geltenden Fassung) und Anmeldebroschüre „Flyer“ registrierten betroffenen Personen in Reaktion auf das Straferkenntnis im August 2021 gelöscht. Auch werden in Bezug auf derart registrierte Personen keine solchen Profile mittels Profiling (mehr) automationsunterstützt erstellt.

zur Sachlage vor Mai 2019:

Die XXXX AG stellte in der Vergangenheit Überlegungen zur Einrichtung eines unternehmensübergreifenden Kundenbindungsprogramms an und traf im Jahr 2016 die strategische Entscheidung, nicht dem Multipartner-Kundenbindungsprogramm XXXX beizutreten, sondern in der XXXX -Gruppe selbst ein solches Multipartner- Kundenbindungsprogramm aufzubauen. Zu diesem Zweck wurde unter der Leitung des zuständigen Vorstandsmitglieds der XXXX AG ein Projektteam eingerichtet, das die wesentlichen Grundzüge der Ausgestaltung dieses Kundenbindungsprogramms entwickelte. Diesem Projektteam gehörten der Datenschutzbeauftragte der XXXX -Gruppe, XXXX , sowie die beiden zum Tatzeitpunkt bestellten Geschäftsführer der Beschwerdeführerin an. Während dieser Konzeptionsphase fanden mit dem Vorstandsmitglied 14-tägige Projektsteuerkreise statt.

Im Jänner 2017 erfolgte der Start des offiziellen Projekts XXXX durch Vorstandsauftrag der XXXX AG und der Formierung des Projektteams für die Etablierung dieses Kundenbindungsprogramms. Während der Konzeptionsphase wurden auch bereits datenschutzrechtliche Überlegungen zur Realisierung eines solchen Programms angestellt. Zu diesem Zweck erfolgte noch auf der Grundlage der Rechtslage vor Inkrafttreten der DSGVO die Anmeldung eines Informationsverbundsystems bei der DSB.

Gegen Ende des Jahres 2017 wurde die Konzeptionsphase beendet, weil zu diesem Zeitpunkt die Eckpunkte des Programms feststanden. Damit endeten auch die Projektsteuerkreistermine mit dem Vorstandsmitglied. Die Umsetzung des Programms wurde in die Hände der Beschwerdeführerin und damit in jene ihrer Geschäftsführer gelegt. Dies inkludierte u.a. die Erstellung der erforderlichen Unterlagen und die Etablierung der erforderlichen Prozesse zur Erfüllung der datenschutzrechtlichen Vorgaben.

Die XXXX -Gruppe verfügt über datenschutzrechtliche Richtlinien, die jeder einzelnen Gesellschaft zur Verfügung gestellt werden. Die Beschwerdeführerin hat auf Basis der Richtlinien der XXXX -Gruppe eigene Richtlinien im Datenschutzbereich ausgearbeitet. Die Richtlinien der XXXX -Gruppe sind ein Rahmenwerk, das einen Mindeststandard definiert, die dann von einzelnen Gesellschaften angepasst und konkretisiert und schlussendlich in Kraft gesetzt werden.

Die Beschwerdeführerin bediente sich zur Erfüllung der datenschutzrechtlichen Vorgaben externer und interner Berater, das heißt Berater, die in einem Dienstverhältnis zu Unternehmen der XXXX -Gruppe stehen und solche, bei denen dies nicht der Fall ist, insbesondere Rechtsanwälte. Zu den wesentlichen internen Beratern zählte der Datenschutzbeauftragte der Beschwerdeführerin und der XXXX AG, XXXX , welcher bei der XXXX m.b.H. angestellt ist.

Zu den externen Beratern zählte zunächst die Kanzlei XXXX sowie ab Anfang 2018 die Rechtsanwaltskanzlei XXXX GmbH, welche in einem ersten Schritt die Zustimmungserklärungen für das Profiling ausgearbeitet und der Geschäftsführung der Beschwerdeführerin vorgelegt hat. Die Geschäftsführung der Beschwerdeführerin hat sodann gemeinsam mit dem Datenschutzbeauftragten entschieden, eine zweite Meinung einzuholen und in weiterer Folge wurde zusätzlich ab August 2019 die Rechtsanwaltskanzlei XXXX mit der Durchführung einer auch in datenschutzrechtlicher Hinsicht durchzuführenden Gesamtprüfung des XXXX , insbesondere der Ausarbeitung der in Rede stehenden Einwilligungserklärungen, die in den verschiedenen Kanälen (u.a. Webseite und Flyer) verwendet werden sollen, beauftragt. Diese hat in einem weiteren Schritt die Entwürfe der in den genannten Kanälen verwendeten Einwilligungserklärungen in Zusammenarbeit mit der Beschwerdeführerin, insbesondere den beiden Geschäftsführern und dem Datenschutzbeauftragten, überarbeitet. Dabei kam es regelmäßig zu Telefonkonferenzen sowie auch zu zahlreichen physischen Treffen, in denen die Entwürfe im Detail mit der Geschäftsführung und dem Datenschutzbeauftragten besprochen wurden. In Summe wurden von der Rechtsanwaltskanzlei XXXX alleine für diese Einwilligungserklärungen über 100 Arbeitsstunden aufgewendet und letztlich wurden die Einwilligungserklärungen in den unterschiedlichen Verwendungsmethoden von der Rechtsanwaltskanzlei für DSGVO-konform erachtet.

Die Geschäftsführer hatten keine rechtlichen Bedenken in Bezug auf die finale Gestaltung der Einwilligungsformulare und haben diese genehmigt. Die Geschäftsführer haben insbesondere darauf vertraut, dass die gemeinsam mit der Rechtsanwaltkanzlei ausgearbeiteten Einwilligungserklärungen den Anforderungen der DSGVO entsprechend gestaltet wurden und darauf aufbauende Datenverarbeitungen DSGVO-konform waren.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Beweiswürdigung:

Der oben wiedergegebene Verfahrensgang und Sachverhalt ergibt sich aus dem Verwaltungs- und Gerichtsakt, insbesondere auch aus der Niederschrift über die mündliche Verhandlung vor dem Bundesverwaltungsgericht. Der Verfahrensgang zum amtswegigen Prüfverfahren ergibt sich aus dem über Begehren der Beschwerdeführerin in das Verfahren eingebrachten Verwaltungsakt zu W256 2227693-1.

Dass die Beschwerdeführerin die in Rede stehende Datenverarbeitung auf die gemeinsam mit der Rechtsanwaltskanzlei ausgearbeiteten Einwilligungserklärungen gestützt hat, ergibt sich schon aus dem Hinweis in der Datenschutzerklärung und den AGB, wonach die Datenverarbeitung nur sofern das Mitglied einwilligt, durchgeführt werde. Dies deckt sich im Übrigen auch mit dem eigenen Vorbringen der Beschwerdeführerin im gesamten Verfahren in Übereinstimmung mit den Angaben des Datenschutzbeauftragten im Rahmen der mündlichen Verhandlung (Verhandlungsschrift Seite 30ff: „VR: War von vorherein klar, dass das Profiling auf die Einwilligungserklärungen gestützt wird oder wurden auch andere Rechtsgrundlagen besprochen? Z: Gute Frage. Die anderen Rechtsgrundlagen kamen erst etwas später. Mein Favorit sind immer Einwilligungserklärungen. VR: Wer hat entschieden, dass die Datenverarbeitung auf die Einholung von Einwilligungserklärungen gestützt werden soll? Z: Die Geschäftsführung mit mir gemeinsam. VR: Wurde dazu anwaltlicher Rat eingeholt? Z: Ja. VR: Wurden auch andere Rechtsgrundlagen mit den Rechtsanwaltskanzleien besprochen? Z: Ziemlich sicher, ja. Ich tue mir schwer, dass ich nichts verwechsle. So wie ich es gesagt habe: Ich verlange immer eine Einwilligungserklärung. Das ist auch eine Empfehlung von mir an die Geschäftsführung, dem wurde auch nachgekommen und es war in Ordnung. [..])“.

Dass sich die Beschwerdeführerin im Vorfeld sowohl intern als auch extern intensiv mit den Vorgaben der DSGVO in Bezug auf die Ausgestaltung der in Rede stehenden Einwilligungserklärungen auseinandergesetzt hat, ergibt sich aus dem Vorbringen der Beschwerdeführerin in Zusammenschau mit den von ihr vorgelegten Unterlagen, insbesondere den Schreiben der Rechtsanwaltskanzlei XXXX .

Die in den Feststellungen genannten Jahresumsätze bzw. der Bilanzverlust der Beschwerdeführerin wurden von der Beschwerdeführerin bekanntgegeben bzw. vorgelegt.

3. Rechtliche Beurteilung:

Die hier maßgeblichen Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ABl. L 119 vom 04.05.2016, im Folgenden: DSGVO, lauten wie folgt:

„Art 4 Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

[..]

4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

[..]

Art 5 Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

[..]

Art 6 Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

[..]

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

[..]

(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist — unter anderem

a)

jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,

  

 

b)

den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,

  

 

c)

die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,

  

 

d)

die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,

  

 

e)

das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.

  

[..]

Art 7 Bedingungen für die Einwilligung

(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Art 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

a)

den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

  

 

b)

gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

  

 

c)

die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

  

 

d)

wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

  

(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

[..]

f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

[..]

Art 17 Recht auf Löschung [..]

Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a)

Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

  

 

b)

Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

[..]

  

Art 21 Widerspruchsrecht

(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

(2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

[..]

Art 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

(2) Absatz 1 gilt nicht, wenn die Entscheidung

a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder

c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

[..]

Art. 83

Allgemeine Bedingungen für die Verhängung von Geldbußen

(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;

f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;

i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;

j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und

k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.

[..]

(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;

[..]“

ErwGr 148 zur DSGVO lautet wir folgt:

„Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verstößen gegen diese Verordnung zusätzlich zu den geeigneten Maßnahmen, die die Aufsichtsbehörde gemäß dieser Verordnung verhängt, oder an Stelle solcher Maßnahmen Sanktionen einschließlich Geldbußen verhängt werden. Im Falle eines geringfügigeren Verstoßes oder falls voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, kann anstelle einer Geldbuße eine Verwarnung erteilt werden. Folgendem sollte jedoch gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes, dem vorsätzlichen Charakter des Verstoßes, den Maßnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln und jedem anderen erschwerenden oder mildernden Umstand. Für die Verhängung von Sanktionen einschließlich Geldbußen sollte es angemessene Verfahrensgarantien geben, die den allgemeinen Grundsätzen des Unionsrechts und der Charta, einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, entsprechen.“

 

Daraus folgt in rechtlicher Hinsicht:

Zunächst ist festzuhalten, dass das Vorbringen der Beschwerdeführerin, dass die Ergebnisse im Verfahren betreffend den amtswegigen Bescheid von der belangten Behörde nicht verwendet werden hätten dürfen, vom Bundesverwaltungsgericht nicht geteilt wird:

Zutreffend ist, dass der Verfassungsgerichtshof und – diesem folgend – ein Teil der Lehre (Öhlinger, Thienel; vgl. auch Berka/Binder/Kneihs Rn. 1611 ff) aus Art. 90 Abs. 2 B-VG ein verfassungsgesetzlich gewährleistetes, subjektives Recht ableiten, welches darin besteht, dass niemand unter Strafsanktion verhalten werden darf, sich im Strafverfahren oder in einem Stadium vor Einleitung eines solchen selbst einer strafbaren Handlung zu bezichtigen (verfassungsrechtliches Verbot eines Zwanges zur Selbstbezichtigung). Dies soll nicht nur für das gerichtliche Strafverfahren, sondern auch für das Verwaltungsstrafverfahren gelten („materielles Anklageprinzip“; Mayer, ecolex 2014, 745; VfSlg 9950, 11.829, 11.923, 12.454, 14.988, 15.858).

Das Recht, sich nicht selbst zu belasten, steht dem Auskunftspflichtigen persönlich zu, nicht jedoch einer juristischen Person wie der Beschwerdeführerin, womit die Berufung auf dieses Recht im vorliegenden Fall ausscheidet (Zavadil in Knyrim, DatKomm Art 58 DSGVO Rn. 12 [Stand 1.3.2021, rdb.at] mit Verweis auf Nguyen in Gola, DS-GVO2 Art 58 Rn. 5).

Selbst wenn man das verfassungsrechtliche Verbot eines Zwanges zur Selbstbezichtigung auch auf juristische Personen anwenden würde, sind gesetzliche Auskunftspflichten nur dann verfassungswidrig, wenn sie dazu dienen, einer Behörde Informationen über ein strafbares Verhalten des Auskunftspflichtigen zu verschaffen (VfSlg 14.987 – einschränkende Interpretation einer Meldepflicht; VfSlg 15.600; VwGH 29.11.2000, 98/09/0242; 27.6.2001, 98/09/0363). Jedoch sind Melde- oder Auskunftspflichten, die nicht intentional auf eine Informationsbeschaffung zum Zwecke strafrechtlicher Verfolgung des Verpflichteten gerichtet sind, zulässig (VfSlg 5235, 5295, 11.549) (vgl. zu alldem Muzak, B-VG6 Art 90 [Stand 1.10.2020, rdb.at]).

Ein solcher Fall liegt hier vor, zumal im vorliegenden Fall die von der belangten Behörde geforderte Mitwirkung der Beschwerdeführerin im Administrativverfahren nicht einen Grad erreicht hat, dass nicht mehr von einem „fairen Verfahren“ iSd Art. 6 EMRK gesprochen werden kann. Auch der Verwaltungsgerichtshof nimmt an, dass durch Art. 90 Abs 2 B-VG eine Mitwirkungspflicht des Beschuldigten im Verwaltungsstrafverfahren nicht ausgeschlossen wird (VwSlgNF 5007 A; VwGH 18.5.1988, 88/02/0050; 11.5.1990, 90/18/0022).

Die Einbringung von Ermittlungsergebnissen aus dem amtswegigen Prüfverfahren durch die belangte Behörde ist sohin vorliegend nicht zu beanstanden (siehe zu alledem BVwG, 27.03.2024, W214 2243436-1/39E).

Dabei wird der Vollständigkeit halber angemerkt, dass die Beschwerdeführerin in ihrer Beschwerde an das Bundesverwaltungsgericht die Beischaffung des dem amtswegigen Prüfverfahren zugrundeliegenden Verfahrensaktes W256 2227693-1 selbst begehrt und im Übrigen auf die dortigen Ermittlungsergebnisse im Rahmen der mündlichen Verhandlung auch selbst verwiesen hat.

zu den Tatvorwürfen:

Im vorliegenden Fall wurden der Beschwerdeführerin von der belangten Behörde mit dem angefochtenen Straferkenntnis zwei Verstöße gegen die DSGVO vorgeworfen.

Zum einen wurde ihr in Spruchpunkt I. zur Last gelegt, dass die von ihr auf der Webseite vom 2. Mai 2019 bis 5. März 2020 sowie im Rahmen der Anmeldebroschüre „Flyer“ vom 2. Mai 2019 bis 3. Februar 2020 eingesetzten und (auch) eingeholten Einwilligungserklärungen zur Verarbeitung von personenbezogenen Daten von den am „ XXXX “ registrierten betroffenen Personen zum Zweck des Profilings in ihrer Ausgestaltung nicht den Anforderungen an eine wirksame Einwilligungserklärung entsprechen würden, wodurch sie gegen Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 iVm Art. 83 Abs. 5 lit. a DSGVO verstoßen habe (Tatvorwurf I.).

Zum anderen wurde ihr in Spruchpunkt II. zur Last gelegt, dass als Folge der rechtsunwirksamen Einwilligungserklärungen die vom 2. Mai 2019 bis zum 31. Jänner 2021 erfolgte Verarbeitung personenbezogener Daten der am „ XXXX “ registrierten betroffenen Personen zum Zweck des Profilings durch die Beschwerdeführerin weder auf eine rechtswirksame Einwilligungserklärung, noch auf einen der sonst von Art. 6 Abs. 1 DSGVO abschließend normierten Erlaubnistatbestände gestützt werden könne, wodurch sie gegen Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 iVm Art. 83 Abs. 5 lit. a DSGVO verstoßen habe (Tatvorwurf II.).

zu Tatvorwurf I. (Spruchpunkt A.I).:

Art. 83 Abs. 4 bis 6 DSGVO enthält einen umfangreichen Katalog an Tatbeständen, die bei Verstößen mit Sanktionen bewehrt sind. Nach dessen hier maßgeblichem Abs. 5 lit. a DSGVO wird ein Verstoß gegen die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9 unter Strafe gestellt. Damit wird hinreichend klargestellt, dass ein Verstoß gegen jede einzelne dieser Bestimmungen und zwar explizit auch („einschließlich“) gegen die Bestimmung des Art. 7 DSGVO und die darin angeführten Bedingungen für die Einwilligung die Verhängung einer Geldbuße zu rechtfertigen vermag.

Wenn die Beschwerdeführerin in ihrer Beschwerde demgegenüber ausführt, die Sanktionsnorm des Art. 83 DSGVO stelle ausschließlich eine unzulässige Verarbeitung von personenbezogenen Daten, nicht aber einen Verstoß gegen die in Art. 7 DSGVO normierten Bedingungen für die Einwilligung unter Strafe, kann dies schon mit dem klaren Wortlaut des Abs. 5 lit. a DSGVO nicht in Einklang gebracht werden.

Daran ändert auch der Verweis der Beschwerdeführerin auf Art. 83 Abs. 2 lit. a DSGVO nichts, weil die Bestimmung des Art. 83 DSGVO in Absatz 2 lediglich die Kriterien für die Bemessung einer Strafe bei einem Verstoß festlegt, nicht aber – wie in den Absätzen 4 bis 6 – eine Aussage über das Vorliegen eines strafbewehrten Verstoßes an sich trifft.

Nach Art. 83 Abs. 2 DSGVO wird bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall Folgendes gebührend berücksichtigt und zwar u.a. nach lit. a die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfanges oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens.

Damit wird zwar dem Schutzzweck der DSGVO entsprechend klargestellt, dass (bei der Strafbemessung) ein Verstoß nach der DSGVO nicht losgelöst von einer Datenverarbeitung betrachtet werden kann („der betreffenden Verarbeitung“), nicht aber, dass der Verstoß in der (unzulässigen) Datenverarbeitung an sich begründet sein muss. Diese Sichtweise ergibt sich auch zweifelsfrei aus dem von der Beschwerdeführerin in diesem Zusammenhang selbst ins Treffen geführten Art. 83 Abs. 3 DSGVO, wonach bereits bei einem („gleichen“) Verarbeitungsvorgang mehrere Bestimmungen nach der DSGVO verletzt sein können.

Dabei ist auch auf den Bedeutungsgehalt von Art. 7 DSGVO hinzuweisen. Art. 7 DSGVO normiert in seinen Absätzen 1 bis 4 – wie von der belangten Behörde auch selbst zuerkannt wurde – eine Reihe von Bedingungen, die zum einen für die Einwilligung gelten, damit diese eine Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 lit. a DSGVO legitimieren kann. Zum anderen finden sich darin aber auch dem – der DSGVO innewohnenden – Fairness- und Transparenzgebot geschuldete umfassende Pflichten des Verantwortlichen, die er zu erfüllen und überdies nach Abs. 1 nachzuweisen hat.

Während Art. 7 Abs. 1 DSGVO die Pflicht des Verantwortlichen nennt, eine Einwilligung nachweisen zu können, fordert Art. 7 Abs. 2 DSGVO im Sinne der Informiertheit des Betroffenen die transparente optische und sprachliche Ausgestaltung einer schriftlichen Einwilligungserklärung durch den Verantwortlichen für den Fall, dass die Erklärung noch andere Sachverhalte betrifft. In Art. 7 Abs. 3 DSGVO findet sich wiederum das Gebot der freien Widerrufbarkeit der Einwilligung und der damit verbundenen Pflicht des Verantwortlichen, die betroffene Person über einen solchen Widerruf transparent zu belehren. Art. 7 Abs. 4 DSGVO enthält letztlich die Bedingung der Freiwilligkeit einer Einwilligung, womit – wie u.a. im Fall des Art. 7 Abs. 3 DSGVO – die Selbstbestimmung des Betroffenen hervorgehoben wird.

Bei den Absätzen 1 bis 4 des Art. 7 DSGVO handelt es sich dementsprechend um verschiedene – auf unterschiedliche Zielrichtungen ausgerichtete – Tatbestände („Bedingungen“), die jeweils auf unterschiedliche Art und Weise verwirklicht und insofern auch jeweils für sich genommen verletzt werden können (vgl. dazu Klement in Simitis u.a.[Hrsg.], Datenschutzrecht [2019] Art. 7 Rn. 97, wonach Art. 83 Abs. 5 lit. a DSGVO auf die amtliche Überschrift des Art. 7, mithin auf alle dort angeführten Rechtspflichten, Bezug nimmt).

Schließlich muss nicht jeder Verstoß gegen die in Art. 7 DSGVO normierten Bedingungen zwingend eine unrechtmäßige Datenverarbeitung und damit einen Verstoß nach Art. 6 Abs. 1 DSGVO zur Folge haben. Denkbar sind hier beispielsweise Fälle, in denen ein Verantwortlicher eine Datenverarbeitung bereits auf einen Erlaubnistatbestand des Art. 6 Abs. 1 DSGVO stützen könnte, dieser jedoch vorsorglich und zusätzlich eine Einwilligung dazu von der betroffenen Person einholt. Wie aus Art. 17 Abs. 1 lit. b DSGVO deutlich wird, entfällt der gesetzliche Erlaubnistatbestand nämlich nicht deshalb, weil zusätzlich eine Einwilligung eingeholt wurde. Das gilt erst recht, wenn sich die Einwilligung als unwirksam herausstellt (vgl. dazu Klement in Simitis u.a.[Hrsg.], Datenschutzrecht [2019] Art. 7, Rn. 34; auch EuGH 4.7.2023, C-252/21 , ECLI:EU:C:2023:537 Rn. 92). Ebenso muss eine Verletzung der in Art. 7 Abs. 1 DSGVO normierten Nachweispflicht einer eingeholten Einwilligungserklärung nicht per se mit einer unrechtmäßigen Datenverarbeitung einhergehen (vgl. erneut Klement a.a.O. Rn. 45, wonach der Erlaubnistatbestand des Art. 6 Abs. 1 lit. a nur auf das Vorliegen einer wirksamen Einwilligung, nicht aber auf die Erfüllung der Nachweispflicht Bezug nimmt). Gerade solche Fälle, in denen der Verantwortliche zwar die ihm in Art. 7 DSGVO auferlegten Verpflichtungen nicht erfüllt, dennoch aber eine rechtsgültige Datenverarbeitung vorliegt, zeigen den eigenständigen Bedeutungsgehalt von Art. 7 DSGVO deutlich.

Die belangte Behörde ist daher im vorliegenden Fall zu Recht davon ausgegangen, dass schon die für eine Datenverarbeitung erfolgte Einholung einer nicht den Anforderungen des Art. 7 DSGVO entsprechenden Einwilligungserklärung nach Art. 83 Abs. 5 lit. a DSGVO strafbewehrt sein kann.

Konkret wurde der Beschwerdeführerin mit dem vorliegenden Straferkenntnis in Spruchpunkt I. ein Verstoß gegen Art. 7 Abs. 2 DSGVO vorgeworfen. Die Beschwerdeführerin wendet in ihrer Beschwerde dagegen ein, dass ihr dieser Tatvorwurf bisher von der belangten Behörde so nicht vorgehalten worden und nun auch im Übrigen bereits verjährt sei.

Nach § 31 Abs. 1 VStG ist die Verfolgung einer Person unzulässig, wenn gegen sie binnen einer Frist von einem Jahr keine Verfolgungshandlung (§ 32 Abs. 2) vorgenommen worden ist. Diese Frist ist ausgehend von dem Zeitpunkt zu berechnen, an dem die strafbare Tätigkeit abgeschlossen worden ist oder das strafbare Verhalten aufgehört hat; ist der zum Tatbestand gehörende Erfolg erst später eingetreten, so beginnt die Frist erst von diesem Zeitpunkt an zu laufen.

Gemäß § 32 Abs. 2 VStG ist eine Verfolgungshandlung jede von einer Behörde gegen eine bestimmte Person als Beschuldigten gerichtete Amtshandlung (Ladung, Vorführungsbefehl, Vernehmung, Ersuchen um Vernehmung, Strafverfügung udgl.), und zwar auch dann, wenn die Behörde zu dieser Amtshandlung nicht zuständig war, die Amtshandlung ihr Ziel nicht erreicht oder der Beschuldigte davon keine Kenntnis erlangt hat.

Nach der ständigen Rechtsprechung des Verwaltungsgerichtshofes sind an Verfolgungshandlungen im Sinne des § 32 Abs. 2 VStG hinsichtlich der Umschreibung der angelasteten Tat die gleichen Anforderungen wie an die Tatumschreibung im Spruch des Straferkenntnisses nach § 44a Z 1 VStG zu stellen. Die Tatumschreibung hat so präzise zu sein, dass der Beschuldigte seine Verteidigungsrechte wahren kann und er nicht der Gefahr einer Doppelbestrafung ausgesetzt ist. Diese Rechtsschutzüberlegungen sind auch für die Prüfung der Frage anzustellen, ob eine taugliche Verfolgungshandlung im Sinn des § 32 Abs. 2 VStG gegeben ist. Das bedeutet, dass die der beschuldigten Person vorgeworfene Tat (lediglich) unverwechselbar konkretisiert sein muss, damit diese in die Lage versetzt wird, auf den Vorwurf entsprechend zu reagieren und damit ihr Rechtsschutzinteresse zu wahren (vgl. VwGH, 30.04.2021, Ra 2020/05/0043, mwN).

Fallgegenständlich wurde der Beschwerdeführerin sowohl mit dem Ladungsbescheid vom 22. Jänner 2020, im Rahmen der Vernehmung vom 26. Februar 2020, als auch mit der Aufforderung zur Rechtfertigung vom 17. Juli 2020 im Hinblick auf den im Straferkenntnis enthaltenen Tatvorwurf I. zur Last gelegt, dass sie für eine Datenverarbeitung zum Zweck des Profilings Einwilligungserklärungen mit einem bestimmten (wörtlich wiedergegebenen) Wortlaut verwendet habe, die nicht den Anforderungen des Art. 7 DSGVO entsprechen würden. Dadurch bestehe der Verdacht, dass die Beschwerdeführerin gegen die Grundsätze und die Erlaubnistatbestände der DSGVO verstoßen sowie ihre Pflichten als Verantwortliche nicht erfüllt habe.

Die belangte Behörde führte dazu im Rahmen ihrer Gegenschrift aus, ihr diesbezüglicher Vorwurf der Nichteinhaltung sämtlicher Vorgaben der DSGVO in Bezug auf eine rechtswirksame Einwilligungserklärung sei ausreichend konkretisiert und vor allem die im Straferkenntnis erfolgte Bestrafung nach Art. 7 Abs. 2 DSGVO sei davon mitumfasst (gewesen).

Diesem Vorbringen der belangten Behörde kann vor dem Hintergrund der oben dargestellten Rechtsprechung des Verwaltungsgerichtshofes jedoch nicht gefolgt werden.

Aufgrund der in Art. 7 DSGVO bereits dargelegten vielfältigen, in den Abs. 1 bis 4 gesondert dargestellten Anforderungen an eine Einwilligungserklärung wäre es vielmehr erforderlich gewesen, der Beschwerdeführerin einen Verstoß gegen Art. 7 Abs. 2 DSGVO, insbesondere der darin enthaltenen Tatbestandselemente, konkret und unverwechselbar vorzuhalten.

Der bloß allgemein gehaltene Vorwurf, es liege ein Verstoß gegen sämtliche Bedingungen des Art. 7 DSGVO vor, konnte die Beschwerdeführerin jedenfalls nicht in die Lage versetzen, zu erkennen, welche der in den Absätzen 1 bis 4 normierten Bedingung unter Zugrundlegung welcher Verhaltensweise im vorliegenden Fall genau verletzt und inwiefern ihr insofern ein Verstoß vorgeworfen wurde. Ohne Kenntnis der ihr konkret zur Last gelegten Tathandlung konnte die Beschwerdeführerin folglich auch nicht entsprechend reagieren.

Daran ändert auch der in den Verfolgungshandlungen enthaltene Verweis auf das amtswegige Prüfverfahren nichts, weil sich die belangte Behörde darin ebenfalls nur allgemein mit Art. 7 DSGVO auseinandergesetzt und im Ergebnis auch mehrere auf unterschiedlichen Verhaltensweisen beruhende Verstöße gegen datenschutzrechtliche Bestimmungen wie z.B. durch das Fehlen einer sichtbaren Widerrufsmöglichkeit nach Art. 7 Abs. 3 DSGVO, das Fehlen einer Unterscheidung der vorliegenden Datenschutzerklärung sowohl zum Anmeldeprozess als auch zur Datenschutzerklärung anderer Partner jeweils nach Art. 7 Abs. 2 DSGVO sowie ohne nähere Begründung laut dem Spruch auch nach Art. 7 Abs. 1 DSGVO als verwirklicht angesehen hat. Welche Außerachtlassung welcher Bestimmung durch welche Verhaltensweise letztendlich das vorliegende Verwaltungsstrafverfahren im Hinblick auf Tatvorwurf I. konkret begründet hat, kann daraus jedoch nicht abgeleitet werden und dies wurde mit dem generellen Vorhalt in den genannten Verfolgungshandlungen auch in keiner Weise klargestellt.

Damit war die Beschwerdeführerin aber somit nicht nur in ihren Verteidigungsmöglichkeiten beschränkt, sondern auch vor einer möglichen Doppelbestrafung nicht geschützt. Zwar wird nicht verkannt, dass diese Verstöße in Zusammenhang mit einer Datenverarbeitung (zum Zweck des Profilings) und damit entsprechend Art. 83 Abs. 3 DSGVO in einem zu bestrafen wären. Anhaltspunkte dafür, dass diese auf unterschiedliche Zwecke ausgerichteten und auch ansonsten nicht miteinander verbundenen Delikte einander im Sinne einer Scheinkonkurrenz ausschließen und damit bereits die Bestrafung wegen eines Deliktes die Bestrafung wegen des anderen Deliktes ausschließen würde, liegen jedoch nicht vor (siehe zur Scheinkonkurrenz ausführlich VwGH, 29.03.2021, Ra 2020/02/0298).

Die im Straferkenntnis im Spruch zu Tatvorwurf I. erfolgte Bezugnahme auf Art. 7 Abs. 2 DSGVO erfolgte erstmals am 26. Juli 2021. In der Begründung wurde darin näher festgehalten, dass die optische Ausgestaltung der Einwilligungserklärung sich nicht ausreichend von der Anmeldung zum XXXX hervorhebe und insofern nicht den Anforderungen des Art. 7 Abs. 2 DSGVO gerecht werde.

Damit wäre der Tatvorwurf zwar nach Ansicht des Gerichts ausreichend konkretisiert worden (vgl. dazu VwGH, 11.09.2023, Ra 2023/09/0068, wonach bei der Beurteilung der Tauglichkeit einer Verfolgungshandlung in Form eines Straferkenntnisses nicht alleine auf dessen Spruch abzustellen, sondern das Straferkenntnis in seiner Gesamtheit als Verfolgungshandlung zu betrachten ist). Da zu diesem Zeitpunkt allerdings bereits in Bezug auf den am 5. März 2020 bzw. am 3. Februar 2020 abgeschlossenen Tatvorwurf I. Verfolgungsverjährung eingetreten ist, besteht für eine Bestrafung kein Raum (mehr). Es war daher wie in Spruchpunkt A.I. zu entscheiden.

zu Tatvorwurf II. (Spruchpunkt A.II).:

In Spruchpunkt II. wurde der Beschwerdeführerin ein Verstoß gegen Art. 6 Abs. 1 DSGVO vorgeworfen, weil für die in Rede stehende Datenverarbeitung zum Profiling weder eine gültige Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, noch eine sonstige Rechtsgrundlage des Art. 6 DSGVO vorliege. Es bestehen von Seiten des Gerichts keine Bedenken daran, dass der hier in Rede stehende Tatvorwurf der Beschwerdeführerin von der belangten Behörde ausreichend konkretisiert vorgehalten wurde und dazu wurde im Übrigen auch kein Vorbringen erstattet.

Unbestritten ist, dass die Beschwerdeführerin – sofern eine Einwilligung dazu erteilt wurde – im Tatzeitraum 2. Mai 2019 bis 31. Jänner 2021 Einkaufs- und Teilnahmedaten zusammengeführt und daraus Profile über registrierte Mitglieder erstellt hat, welche auf das zukünftige Einkaufsverhalten von diesen schließen ließen. Dazu hat sie ihren Mitgliedern im Rahmen der Anmeldung – sofern hier wesentlich – mittels Flyer und Webseite vorgefertigte Einwilligungserklärungen zur Verfügung gestellt.

zur objektiven Tatseite:

Damit eine Einwilligung wirksam ist und eine Datenverarbeitung nach Art. 6 DSGVO legitimieren kann, müssen verschiedene formale Voraussetzungen erfüllt sein.

Art. 7 Abs. 2 1. Satz DSGVO verlangt von der verantwortlichen Stelle insbesondere die transparente Ausgestaltung einer schriftlichen Einwilligungserklärung für den Fall, dass die Erklärung noch andere Sachverhalte betrifft. Das Ersuchen muss in diesem Fall „in verständlicher und leicht zugänglicher Form“ sowie „in einer klaren und einfachen Sprache“ erfolgen, damit es von anderen Sachverhalten klar zu unterscheiden ist. Die Regelung enthält demnach die Vorgabe, dass eine Einwilligung, soll sie zusammen mit anderen Erklärungen schriftlich erteilt werden, besonders hervorzuheben ist. Darüber hinaus fordert Art. 7 Abs. 2 1. Satz DSGVO aber nicht nur eine gestalterische, sondern auch eine inhaltliche Transparenz. Eine schriftliche Einwilligungsklausel muss, um der Vorschrift zu genügen, nicht nur so platziert sein, dass sie der Betroffene nicht übersehen kann, etwa durch einen besonderen Abstand zum übrigen Text, durch eine Einrahmung oder Hervorhebung mittels Fettdruck. Darüber hinaus muss sie vielmehr auch inhaltlich der betroffenen Person das „Ob“ und „Wie“ einer Einwilligungserklärung in einer klaren und einfachen Sprache vor Augen führen (vgl. Kühling/Buchner in Kühling/Buchner, Datenschutz-Grundverordnung, BDSG4 [2020], Art. 7 Rn. 25).

Ein Dokument verfügt über einen anderen Sachverhalt, wenn dieser Darstellungen enthält, die über den reinen Einwilligungstext hinausgehen und hierdurch dazu geeignet sind, die Einwilligung in den Hintergrund zu drängen. Hierdurch besteht das Risiko, dass der Betroffene die Einwilligung in eine Verarbeitung seiner Daten nicht aktiv wahrnimmt und diese z.B. im Rahmen des Bestätigens der AGB untergeht. Der Einwilligungstext ist insofern derart zu formatieren, dass dieser deutlich lesbar und erkennbar ist und von dem restlichen Text der Erklärung abgesetzt ist (vgl. Heckmann/Paschke in Ehmann/Selmayr, Datenschutzgrundverordnung3 [2018] Art. 7, Rn. 83).

In engem Zusammenhang mit der inhaltlichen Transparenz muss zusätzlich beachtet werden, dass eine Einwilligung nach der Begriffsbestimmung des Art. 4 Z 11 DSGVO auch in Kenntnis der Sachlage („in informierter Weise und unmissverständlich abgegebene Willensbekundung“) zu erfolgen hat. Die betroffene Person muss abschätzen können, welche Auswirkungen die Erteilung einer Einwilligung für sie hat, insbesondere muss sie die Umstände der Datenverarbeitung sowie die Tragweite der Einwilligung eindeutig und klar erkennen können. Die Informationen müssen insofern so aufbereitet sein, dass sie auch für einen durchschnittlichen Verbraucher ohne besondere juristische Vorbildung verständlich sind (Buchner, Art. 7 Rn. 59f). Damit soll verhindert werden, dass Betroffene sprachlich überfordert oder durch wohlklingende, aber an der Sache vorbeigehende Formulierungen verführt werden (vgl. Heckmann/Paschke in Ehmann/Selmayr, Datenschutzgrundverordnung3 [2018] Art. 7, Rn. 87).

Wie bereits dargestellt, wurde die in Rede stehende datenschutzrechtliche Einwilligungserklärung sowohl beim Flyer als auch bei der Webseite von der Beschwerdeführerin nicht gesondert, sondern gemeinsam mit der Anmeldung zum XXXX und der dafür erforderlichen Bestätigung ihrer AGB und ihrer Datenschutzerklärung eingeholt.

Der insofern nach Art. 7 Abs. 2 1. Satz DSGVO geschuldeten transparenten Ausgestaltung der schriftlichen Einwilligungserklärung wurde die Beschwerdeführerin dabei in beiden Fällen nicht gerecht.

Schon die belangte Behörde führte dazu in Bezug auf den Flyer zutreffend aus, dass die Beschwerdeführerin das Unterschriftsfeld am Ende des Formulars platziert und damit den Gesamteindruck vermittelt hat, dass es sich eigentlich um eine Unterschrift für die Teilnahme am Kundenprogramm handelt. Dazu trägt auch bei, dass das Feld direkt neben dem für die Anmeldung als Pflichtfeld ausgewiesenen Datumsfeld platziert ist. Auch was den (größeren) Abstand vom Einwilligungstext betrifft, so ist der belangten Behörde beizupflichten, dass der Eindruck, dass es sich um eine Unterschrift zum Programm handeln könnte, verstärkt wird. Daran ändert auch der darunter platzierte Hinweis, dass diese Unterschrift nur für die Einwilligungserklärung gilt, nichts, weil dieser in keiner Weise vom sonstigen Text hervorgehoben und damit besonders ersichtlich ist. Zudem befindet er sich auch nach links versetzt und damit unterhalb des Pflichtfeldes „Datum“ und nicht direkt unter dem Unterschriftsfeld. Auch der Umstand, dass es sich bei dem Feld „Unterschrift“ um kein mit einem Sternchen versehenes Pflichtfeld handelt, entkräftet diesen Anschein nicht, weil – wie von der belangten Behörde zutreffend ausgeführt – ein durchschnittlicher Verbraucher bei einem Unterschriftsfeld – welches am Ende eines Anmeldeformulars platziert ist – nicht von einem Pflichtfeld ausgehen wird, sondern vielmehr davon, dass die Unterschrift der Bestätigung der Anmeldung zum XXXX dient.

Insgesamt ist daher der belangten Behörde beizupflichten, dass ein Kunde bereits aufgrund der optischen Ausgestaltung der Einwilligungserklärung im Rahmen des physischen Anmeldevorganges nicht aktiv wahrgenommen haben wird, dass er hier eigentlich eine Einwilligungserklärung zum Datenprofiling unterschrieben hat. Die mittels Flyer eingeholte Einwilligung erfüllt daher – entsprechend den Ausführungen der belangten Behörde – nicht die Kriterien des Art. 7 Abs. 2 1. Satz DSGVO.

Nichts Anderes gilt in Bezug auf die Webseite. Auch hier führte die belangte Behörde zutreffend aus, dass ein durchschnittlicher Verbraucher mit der fett gedruckten Überschrift zur Einwilligungserklärung „Genießen Sie Ihre ganz persönlichen Vorteile“ nicht davon ausgehen wird, dass es sich hier eigentlich um die Einholung einer Einwilligung zur Durchführung von Profiling handelt. Auch im darauffolgenden Einwilligungstext („Ja“, „Nein“) finden sich keine Hinweise dazu, sondern wird der Erhalt bzw. Nichterhalt von „exklusiven“ Vorteilen von der Abgabe bzw. Nichtabgabe zur Datenverarbeitung gemäß „untenstehender Einwilligungserklärung“ abhängig gemacht. Diese (auch in der Überschrift suggerierte) Formulierung ist nicht nur missverständlich, weil letztlich laut dem eigenen Geschäftsmodell der Beschwerdeführerin auch Personen, die nicht in den Datenabgleich einwilligen, bei Anmeldung „exklusive“ Vorteile erhalten sollen. Sie hat vielmehr auch zur Folge, dass Betroffene zur Abgabe einer Einwilligungserklärung und zwar ohne Kenntnis der eigentlichen Auswirkungen verleitet werden. Daran ändert auch nichts, dass der Betroffene schließlich gemäß der „unten stehenden Einwilligungserklärung“ über den in Rede stehenden Datenabgleich in Kenntnis gesetzt wird, weil er dazu den Text erst einmal hinunterscrollen muss und der Hinweis zum Profiling erst dann sichtbar und im Übrigen im Vergleich zur Überschrift auch nicht fett hervorgehoben wird. Schließlich ist der belangten Behörde aber auch hier dahingehend zu folgen, dass bereits „auf einer ersten Ebene“ (anhand der Überschrift) grundsätzlich ersichtlich sein muss, worauf sich die Einwilligung überhaupt bezieht. Insofern können auch die Ausführungen der Beschwerdeführerin, die betroffene Person werde in den AGB und in der Datenschutzerklärung über das Profiling und zwar fett markiert informiert, nicht greifen.

Sofern die Beschwerdeführerin in diesem Zusammenhang darauf hinweist, dass der Betroffene vor Abschluss seiner Anmeldung nochmals ausdrücklich in der Übersichtstabelle auf die Abgabe einer Einwilligungserklärung zum Profiling hingewiesen und durch Anklicken eines Bleistiftsymbols dorthin auch zurückgeleitet wird, ist festzuhalten, dass dadurch erneut die Aufmerksamkeit des Betroffenen vordergründig auf den Erhalt von Vorteilen gelenkt und damit der (irreführende) Eindruck erzeugt wird, dass der Erhalt von „exklusiven“ Vorteilen von der Abgabe einer Einwilligung abhängt. Dieser Eindruck wird im Übrigen durch den Hinweis in der Übersichtstabelle, der Anmeldeprozess könne erst nach Abgabe einer (eigentlich ansonsten nicht als Pflichtfeld ausgewiesenen) Erklärung zum Profiling abgeschlossen werden, verstärkt.

Insgesamt ist daher der belangten Behörde auch hier beizupflichten, dass die mittels Webseite eingeholte Einwilligung nicht die Kriterien des Art. 7 Abs. 2 1. Satz DSGVO erfüllt.

Nach dem ausdrücklichen Wortlaut von Art. 7 Abs. 2 letzter Satz DSGVO sind Teile einer Einwilligungserklärung dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

Da die gegenständlich überprüften Ersuchen um Einwilligung unter Verwendung der Methoden „Flyer“ und „Webseite“ – wie oben ausgeführt – nicht den Anforderungen von Art. 4 Z 11 DSGVO und Art. 7 Abs. 2 DSGVO entsprechen, handelt es sich um ungültige Einwilligungserklärungen.

Die Voraussetzungen des Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sind somit nicht gegeben gewesen.

Die Beschwerdeführerin brachte dazu im Verfahren vor, für die gegenständliche Datenverarbeitung könne aber auch (hilfsweise) auf Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 4 DSGVO zurückgegriffen werden.

Der Ansicht der belangten Behörde, eine ungültige Einwilligungserklärung bewirke in jedem Fall eine unrechtmäßige Datenverarbeitung und mache eine Überprüfung sonstiger Rechtsgrundlagen entbehrlich, kann nicht gefolgt werden (siehe dazu oben zwischenzeitig auch EuGH 4.7.2023, C-252/21 , ECLI:EU:C:2023:537 Rn. 92; sowie VwGH, 08.02.2022, Ro 2021/04/0033-8).

Da auch die DSGVO keine bestimmten Zulässigkeitsanforderungen in Bezug auf die hier vorliegende Datenverarbeitung des „Profiling“ festlegt, ist auch in dieser Hinsicht keine Einschränkung des Anwendungsbereichs des Art. 6 DSGVO erkennbar. Art. 22 DSGVO regelt nicht die Zulässigkeit von Profiling an sich, sondern die Nutzung bestimmter Ergebnisse einer solchen Datenverarbeitung. Ob und wie personenbezogene Daten zu Zwecken einer Persönlichkeitsbewertung automatisiert verarbeitet werden dürfen, bestimmt sich demnach nicht nach Art. 22 DSGVO, sondern – wie aus Erwägungsgrund 72 der DSGVO hervorgeht – nach den allgemeinen Regeln der DSGVO zu den Grundsätzen und der Rechtmäßigkeit einer Datenverarbeitung (vgl. dazu Buchner in Kühling/Buchner, Datenschutz-Grundverordnung, BDSG4 [2020], Art. 22 Rn. 11a).

Im Übrigen geht aus Art. 21 Abs. 1 und 2 DSGVO auch eindeutig hervor, dass der europäische Gesetzgeber andere, insbesondere u.a. den Erlaubnistatbestand des Art. 6 Abs. 1 lit. f DSGVO, als mögliche Rechtsgrundlage für Profiling in Betracht ziehen wollte.

Nach Art. 6 Abs. 1 lit. f DSGVO ist die Verarbeitung personenbezogener Daten nur zulässig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Somit ist nach dieser Bestimmung die Verarbeitung personenbezogener Daten unter drei kumulativen Voraussetzungen zulässig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen (vgl. u.a. VwGH Ro 2020/04/0037, Rn. 52; EuGH 4.7.2023, C-252/21 , ECLI:EU:C:2023:537, Rn. 106).

Der EuGH hat zuletzt in seinem Urteil vom 4. Juli 2023 ausdrücklich festgehalten, dass eine solche Verarbeitung nur dann als zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich angesehen werden kann, wenn der fragliche Betreiber den Nutzern, bei denen die Daten erhoben wurden, ein mit der Datenverarbeitung verfolgtes berechtigtes Interesse mitgeteilt hat, wenn diese Verarbeitung innerhalb der Grenzen dessen erfolgt, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist und wenn sich aus einer Abwägung der einander gegenüberstehenden Interessen unter Würdigung aller relevanten Umstände ergibt, dass die Interessen oder Grundrechte und Grundfreiheiten dieser Nutzer gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen (EuGH 4.7.2023, C-252/21 , ECLI:EU:C:2023:537, Rn. 126).

Außerdem ergibt sich aus dem Erwägungsgrund 47 der DSGVO, dass die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen insbesondere dann überwiegen können, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer solchen Verarbeitung rechnet.

Die vorliegende Datenverarbeitung dient – wie das Ermittlungsverfahren hervorgebracht hat – dem Zweck personalisierter Werbung. Nach Erwägungsgrund 47 kann die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung schon grundsätzlich als eine einem berechtigten Interesse des Verantwortlichen dienende Verarbeitung betrachtet werden (vgl. EuGH 4.7.2023, C-252/21 , ECLI:EU:C:2023:537, Rn. 115). Dabei fällt im vorliegenden Fall überdies ins Gewicht, dass die von der vorliegenden Datenverarbeitung betroffene Person infolge ihrer Anmeldung zum XXXX bereits Kunde der Beschwerdeführerin ist. Eine bestehende Kundenbeziehung begründet zusätzlich ein berechtigtes Interesse, an den Kunden mit Direktwerbung heranzutreten (vgl. Ehmann in Simitis/Hornung/Spiecker [Hrsg.], Datenschutzrecht [2019], Anhang 3 zu Art. 6, Rn. 26).

Zum Erfordernis der Erforderlichkeit ist festzuhalten, dass die zur Adressierung notwendigen Daten (Name und physische oder elektronische Adresse) jedenfalls für den Zweck der Direktwerbung als notwendig anzusehen sind. Im Bereich von Bestandskunden oder Mitgliedern kann sich die Erforderlichkeit überdies auf bestimmte Basismerkmale (Alter, Geschlecht) sowie auf vergangene Transaktionen und auf ableitbare Vorlieben und Interessen erstrecken und zwar insbesondere dann, wenn diese Daten für interessensgerechtere Werbung als Selektionskriterium herangezogen werden (vgl. Ehmann in Simitis/Hornung/Spiecker [Hrsg.], Datenschutzrecht [2019], Anhang 3 zu Art.6, Rn. 29 und Rn. 40).

Im vorliegenden Fall wurden – wie festgestellt – die Teilnahmedaten (Name, Adresse, usw.) mit den Einkaufsdaten (Einkaufsort, Produkt, usw.) des Mitglieds in der Weise automatisiert miteinander verknüpft, dass daraus eine Präferenz in Bezug auf das Einkaufsverhalten des Mitglieds abgeleitet und damit zielgerichtete Werbung an dieses adressiert werden konnte. Diese (Teilnahme-)Daten wurden der Beschwerdeführerin einerseits im Rahmen der Anmeldung u.a. durch das Mitglied selbst bekannt, zum anderen wurden diese (Einkaufs-)Daten der Beschwerdeführerin durch den jeweiligen Partner u.a. zum Zweck der Abwicklung des Kundenbindungsprogrammes übermittelt. Es bestehen im vorliegenden Fall keine Gründe, an der Rechtmäßigkeit ihrer Verarbeitung durch die Beschwerdeführerin an sich zu zweifeln. Ebenso bestehen – wie oben ausgeführt – keine Bedenken daran, dass solche Daten für die Verwirklichung des vorliegenden Zwecks der personalisierten Werbung notwendig und auch angemessen sind.

Im Übrigen wurde der betroffenen Person im Rahmen der Anmeldung von der Beschwerdeführerin auch mitgeteilt, dass diese Daten u.a. zum Zweck der Durchführung von personalisierter Werbung und damit u.a. im diesbezüglichen Interesse der Beschwerdeführerin mittels Profiling verwendet werden.

Dabei stützte sich die Beschwerdeführerin allerdings ausschließlich auf Art. 6 Abs. 1 lit. a DSGVO und sie führte dazu u.a. in ihren AGB zusätzlich aus, dass eine solche Datenverarbeitung „nur sofern das Mitglied einwilligt“ durchgeführt werde. Damit hat die Beschwerdeführerin der betroffenen Person aber gegenüber zum Ausdruck gebracht, dass die betroffene Person die Durchführung einer solchen Datenverarbeitung selbst in der Hand habe. Da im vorliegenden Fall die betroffenen Personen weder bei dem Flyer noch bei der Webseite – wie bereits ausgeführt – eine Einwilligung zum vorliegenden Profiling wahrgenommen haben, mussten sie angesichts der Formulierung „nur sofern das Mitglied einwilligt“ davon ausgehen, dass eine solche Datenverarbeitung eben nicht durchgeführt werde.

Dabei wird nicht verkannt, dass gerade am XXXX teilnehmende Personen an bedürfnisorientierten Vorteilen explizit interessiert und dementsprechend auch den Erhalt von Informationen darüber grundsätzlich erwarten. Dass ihre Daten dazu von der Beschwerdeführerin automatisiert verknüpft und damit ein Profil über ihre persönlichen Einkaufsvorlieben erstellt wird, kann allerdings nicht von einer solchen Erwartungshaltung umfasst sein. Dazu hätte es vielmehr einer entsprechenden Mitteilung durch die Beschwerdeführerin bedurft (vgl. dazu Art. 13 Abs. 2 lit. f DSGVO und dazu Dix in Simitis/Hornung/Spiecker [Hrsg.], Datenschutzrecht [2019], Art. 13, Rn. 16; Bäcker in Kühling/Buchner, Datenschutz-Grundverordnung, BDSG4 [2020], Art. 13, Rn. 52a mit Hinweis auf die Formulierung „zumindest“).

Eine solche Mitteilung fand im vorliegenden Fall aufgrund der gegenteiligen Information der Beschwerdeführerin, die in Rede stehende Datenverarbeitung werde „nur sofern das Mitglied einwillige“ durchgeführt, aber eben gerade nicht statt.

Da die betroffenen Personen somit aber mit einer Datenverarbeitung in der vorliegenden Form von Profiling nicht nur nicht gerechnet, sondern eine solche angesichts der Ausführungen der Beschwerdeführerin in ihren AGB sogar explizit ausgeschlossen haben, überwiegen in einer Gesamtbetrachtung die Geheimhaltungsinteressen der betroffenen Personen die berechtigten Interessen der Beschwerdeführerin. Art. 6 Abs. 1 lit. f DSGVO kann aus diesem Grund nicht zur Anwendung gelangen.

Nichts Anderes kann aber für die von der Beschwerdeführerin ebenfalls geltend gemachte Bestimmung des Art. 6 Abs. 4 DSGVO und die dort eingeräumte Möglichkeit einer Zweckänderung gelten.

Nach dieser Bestimmung kann der Verantwortliche nach dem 2. Satzteil des Abs. 4 prüfen, ob eine Zweckänderung mit demjenigen Zweck, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. Dabei hat er diverse in lit. a bis e normierte Kriterien zu berücksichtigen, u.a. nach lit. b den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen. Dabei kommt es nach Erwägungsgrund 50 darauf an, „in welchem Kontext die Daten erhoben wurden, insbesondere auf die vernünftigen Erwartungen der betroffenen Person, die auf ihre Beziehung zu dem Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten […]“.

Entscheidend für dieses Kriterium sind dementsprechend u.a. die Handlungen des Verantwortlichen und die daraus ableitenden Erwartungen der betroffenen Person. Von einer Zweckvereinbarkeit kann nicht ausgegangen werden, wenn die betroffene Person nicht damit rechnen musste, dass der Verantwortliche ihre personenbezogenen Daten zu einem anderen Zweck weiterverarbeitet. Dabei hat der Verantwortliche vor einer Weiterverarbeitung die betroffene Person zumindest über die Zwecke und die Zweckänderung zu informieren. Eine solche Information schließt auch Maßnahmen der Profilbildung mit ein. Sie können nur dann als vereinbar angesehen werden, wenn sie für die betroffene Person im Zeitpunkt der Datenerhebung vorherzusehen waren. Mit Profilbildungen, die nicht zuvor bekannt waren, muss die betroffene Person nicht rechnen; sie entsprechen nicht ihren vernünftigen Erwartungen (vgl. Albrecht in Simitis/Hornung/Spiecker [Hrsg.], Datenschutzrecht [2019], Art. 6 Abs. 4, Rn. 43ff, insbesondere Rn. 47 und 51).

Diesen Anforderungen hält die vorliegende Information der Beschwerdeführerin – wie schon zu Art. 6 Abs. 1 lit. f DSGVO ausgeführt – aber nicht stand. Dementsprechend konnte sich die Beschwerdeführerin auch nicht auf Art. 6 Abs. 4 DSGVO stützen.

Sonstige in Betracht zu ziehende Rechtsgrundlagen sind nicht erkennbar und solche wurden im Übrigen auch nicht vorgebracht.

zur subjektiven Tatseite:

An dieser Stelle ist zu berücksichtigen, dass die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer solchen Geldbuße zu beachten hat, in Art. 83 Abs. 1 bis 6 DSGVO genau und ohne Ermessensspielraum für die Mitgliedstaaten ausgeführt sind (vgl. die Urteile vom EuGH vom 05.12.2023, C-807/21 , Rn. 45; sowie ebenso vom 05.12.2023, C-683/21 , Rn. 67).

Die belangte Behörde hielt im angefochtenen Straferkenntnis zur subjektiven Tatseite zusammengefasst fest, dass die Geschäftsführer der Beschwerdeführerin im konkreten Fall durch Außerachtlassung der gebotenen Sorgfalt sowie aufgrund mangelnder Kontrolle und Überwachung die erfolgte Verarbeitung personenbezogener Daten der am „ XXXX “ registrierten betroffenen Personen zum Zweck des Profilings durch die Beschuldigte zu verantworten haben.

Der EuGH hat in seinen Entscheidungen C-807/21 (Rn. 76 und 77) und C-683/21 (Rn. 79 und 80) ausgesprochen, dass Art. 83 der Verordnung 2016/679 dahingehend auszulegen ist, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.

Weiters hat der EuGH darin klargestellt, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt, sowie, dass die Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt.

Der EuGH hat überdies in der Rechtssache „Meta Platforms Inc.“ festgehalten, dass nach Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten u. a. für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (EuGH vom 04.07.2023, Zl. C-252/21 , Rn. 95). Die in der DSGVO vorgesehenen Grundsätze, Verbote und Pflichten richten sich insbesondere an „Verantwortliche“. Deren Verantwortung und Haftung erstreckt sich nach den Ausführungen im 74. Erwägungsgrund der DSGVO auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind. Diese Haftung ist es, die bei einem der in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße die Grundlage dafür bildet, nach Art. 83 DSGVO eine Geldbuße gegen den Verantwortlichen zu verhängen (vgl. erneut EuGH vom 05.12.2023, Zl. C-807/21 , Rn. 38).

Der belangten Behörde ist daher zunächst beizupflichten, dass die Beschwerdeführerin jedenfalls eine Erkundigungspflicht hinsichtlich der einschlägigen Bestimmungen der DSGVO (hier im Zusammenhang mit der von ihr zum Zweck der Legitimation der in Rede stehenden Datenverarbeitung verwendeten Einwilligungserklärungen) und zwar vor Beginn der in Rede stehenden Datenverarbeitung traf.

Des Weiteren ist der belangten Behörde zuzustimmen, dass die Beschwerdeführerin bzw. die für sie handelnden Personen, insbesondere die beiden Geschäftsführer der Beschwerdeführerin sowie der Datenschutzbeauftragte, zumindest hätten erkennen müssen, dass die letztendlich gewählte Gestaltung der dafür eingesetzten Einwilligungserklärungen und damit eine darauf aufbauende Datenverarbeitung nicht im Einklang mit der DSGVO stand.

Dies aus folgenden Gründen:

Wie bereits oben zur objektiven Tatseite ausgeführt, ist im Hinblick auf die optische Gestaltung der verwendeten Einwilligungserklärungen im physischen Anmeldeformular festzuhalten, dass das Formular betreffend die Einholung der Einwilligungserklärungen aufgrund des gewählten Abstands vom Text sowie aufgrund des Umstandes, dass es einer gängigen Vorgangsweise entspricht, dass bei Abschluss eines Vertrages dieser zu unterschreiben ist, irreführend gestaltet war, weil der Eindruck erweckt wird, dass das Formular ohne Unterschrift nicht wirksam ist, sowie in Bezug auf die elektronische Anmeldestrecke, dass die Aufschrift „Genießen Sie ihre ganz persönlichen Vorteile“ ohne weiterführende und vor allem gut sichtbare Hinweise auf Profiling missverständlich und irreführend war.

Dabei wird nicht verkannt, dass – wie von der Beschwerdeführerin unter Verweis auf die Schlussanträge des Generalanwaltes in der Rechtssache C-807/21 , Rn. 80 moniert wurde – die Beurteilung der Einhaltung der in der DSGVO vorgesehenen Verpflichtungen, einschließlich derer, von denen die Verarbeitung von Daten (Art. 5 DSGVO) und deren Rechtmäßigkeit (Art. 6 DSGVO) abhängt, mitunter einen komplexen Bewertungs- und Beurteilungsprozess voraussetzen kann.

Im vorliegenden Fall stützte die Beschwerdeführerin die in Rede stehende Verarbeitung jedoch ihren eigenen Angaben zufolge maßgeblich und gegenüber den betroffenen Personen ausschließlich auf die von ihr dazu eingeholten Einwilligungserklärungen. Dass die von ihr gewählte optische Gestaltung der Einwilligungserklärung aufgrund der oben dargestellten irreführenden Faktoren nicht den Anordnungen einer in „informierter Weise und unmissverständlich abgegebenen Willensbekundung“ iSd Art. 4 Z 11 DSGVO entspricht, ergibt sich bereits aus dem reinen Wortlaut der Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 DSGVO. Dies hätte der Beschwerdeführerin als Betreiberin eines Kundenbindungsprogrammes jedenfalls auffallen müssen.

Daran ändert auch nichts, dass – wie von der Beschwerdeführerin moniert – die belangte Behörde hinsichtlich der Einwilligungserklärungen bei den Methoden XXXX App“ und „ XXXX “ noch im Ausgangsbescheid von einer ungültigen Einwilligungserklärung, in der Beschwerdevorentscheidung jedoch angesichts des Screen-für-Screen Anmeldeprozesses von einer ausreichenden transparenten Ausgestaltung und damit (doch) von einer gültigen Einwilligungserklärung ausgegangen ist, weil dadurch in Bezug auf die hier gegenständlichen – nicht Screen-für-Screen – ausgestalteten Einwilligungserklärungen überhaupt keine Aussage getroffen wird.

Es lag zum Tatzeitpunkt auch keine höchstgerichtliche Rechtsprechung oder entsprechende Verwaltungspraxis zu den zitierten Bestimmungen vor, aufgrund derer die Beschwerdeführerin entgegen der dargestellten, irreführenden Faktoren darauf vertrauen hätte können, dass die Gestaltung der DSGVO entspricht. Insbesondere ist festzuhalten, dass schon nach der vor Inkrafttreten der DSGVO geltenden Datenschutzrichtlinie RL 95/46/EG eine Einwilligung ohne jeden Zweifel und in Kenntnis der Sachlage erteilt werden musste, weshalb die von der Beschwerdeführerin geäußerte Rechtsunsicherheit infolge des Inkrafttretens der DSGVO in dieser Hinsicht zweifelsohne nicht bestand. Dass sie sich bei der Gestaltung an eine Anmeldebroschüre eines bereits bestehenden Kundenbindungsprogrammes angelehnt habe, ändert ebenfalls nichts daran, dass ihr die offenkundig irreführenden Faktoren im vorliegenden Fall selbst hätten auffallen müssen.

Es ist daher davon auszugehen, dass es der Beschwerdeführerin bzw. dem regelmäßig mit Datenschutzfragen befassten Datenschutzbeauftragten sowie auch den Geschäftsführern, auffallen hätte müssen, dass die bei den Einwilligungserklärungen gewählte Vorgangweise missverständlich und damit eine darauf aufbauende Datenverarbeitung rechtswidrig war.

Daraus folgt, dass auf subjektiver Tatseite zumindest Verschulden in Form von Fahrlässigkeit der Beschwerdeführerin vorliegt. Dies wurde auch von der belangten Behörde für den gesamten Zeitraum geprüft. Eine nähere Auseinandersetzung mit dem Vorbringen der Beschwerdeführerin in Bezug auf die Anwendbarkeit des § 5 Abs. 1a VStG konnte vor diesem Hintergrund unterbleiben.

Sofern die Beschwerdeführerin in diesem Zusammenhang das Vorliegen eines entschuldbaren Verbotsirrtums ins Treffen führt, ist ihr Folgendes entgegenzuhalten:

Der EuGH hat in seinem Urteil vom 18. Juni 2013, Schenker & Co. U. a., C-681/11 , EU:C:2013:404, im europäischen Kartellverfahren bereits klargestellt, dass der Umstand, dass ein Unternehmen sein Verhalten, auf dem die Feststellung der Zuwiderhandlung beruht, rechtlich unrichtig einstuft, nicht dazu führen kann, dass ihm keine Geldbuße auferlegt wird, sofern es sich über die Wettbewerbswidrigkeit seines Verhaltens nicht im Unklaren sein kann (a.a.O. Rn 38) und zwar ungeachtet, ob auf den Rechtsrat eines Anwalts oder eine bestandskräftige Entscheidung einer mitgliedstaatlichen Behörde oder eines Gerichts vertraut wurde (a.a.O. Rn 41). Damit ist der EuGH den Schlussanträgen der Generalanwältin in dieser Rechtssache, die einen schuldausschließenden Verbotsirrtum aufgrund eines anwaltlichen, nicht aber eines internen Rats unter Auflistung strenger Mindestanforderungen (noch) zugelassen hätte (Rn. 62 ff), nicht gefolgt.

Auf dieses Urteil des EuGHs hat der EuGH in seiner zur DSGVO ergangenen Entscheidung „Deutsche Wohnen“ und zwar im Zusammenhang mit seinen Ausführungen zum Verschulden (Rn. 76) ausdrücklich und ohne jegliche einschränkende Bemerkung verwiesen. Die Anwendbarkeit dieser im europäischen Kartellverfahren entwickelten Rechtsprechung zur Unbeachtlichkeit eines Verbotsirrtums kann im datenschutzrechtlichen Kontext daher nicht in Abrede gestellt werden (vgl. Bergt in Kühling/Buchner, Datenschutz-Grundverordnung, BDSG4 [2020], Art. 83, Rn. 37).

Dabei darf der Ordnung halber aber auch nicht übersehen werden, dass der Beschwerdeführerin die Rechtswidrigkeit der Ausgestaltung der (über anwaltlichen und auch internen Rat) verfassten Einwilligungserklärungen – wie oben ausgeführt – bereits selbst hätte auffallen müssen, weshalb das Vorliegen eines Verbotsirrtums ohnedies auch aus diesen Erwägungen auszuschließen gewesen wäre (siehe dazu die von der Generalanwältin in der Rechtssache C-681/11 aufgestellten Mindestanforderungen für einen schuldausschließenden Verbotsirrtum, insbesondere in Rn. 64 und 68).

zur Strafbemessung:

Gemäß Art. 83 Abs. 5 lit. a DSGVO werden bei Verstößen gegen die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9 im Einklang mit Absatz 2 Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.

Der Begriff „Unternehmen“ iSd Art. 101 und 102 AEUV hat keine Bedeutung für die Frage, ob und unter welchen Voraussetzungen eine Geldbuße nach Art. 83 DSGVO gegen eine verantwortliche juristische Person verhängt werden kann, er ist nämlich nur relevant, um die Höhe einer Geldbuße zu bestimmen, die gemäß Art. 83 Abs. 4 bis 6 DSGVO verhängt wird (vgl. EuGH vom 05.12.2023, C-807/21 , Rn. 53, 54). Zum Begriff des „Unternehmens“ im Sinne dieser Bestimmung hat der EuGH in der Rechtssache C-807/21 (Deutsche Wohnen SE) weiter festgehalten, dass der Verweis im 150. Erwägungsgrund der DSGVO auf den Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV in diesem speziellen Zusammenhang der Berechnung von Geldbußen, die für in Art. 83 Abs. 4 bis 6 DSGVO genannte Verstöße verhängt werden, zu verstehen ist (vgl. Rn. 55ff). Dieser Unternehmensbegriff umfasst für die Zwecke der Anwendung der in den Art. 101 und 102 AEUV niedergelegten Wettbewerbsregeln jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Er bezeichnet somit eine wirtschaftliche Einheit, auch wenn diese in rechtlicher Hinsicht aus mehreren natürlichen oder juristischen Personen besteht. Diese wirtschaftliche Einheit besteht in einer einheitlichen Organisation persönlicher, materieller und immaterieller Mittel, die dauerhaft einen bestimmten wirtschaftlichen Zweck verfolgt (mit Verweis auf das Urteil vom 6. Oktober 2021, Sumal, C-882/19 , EU:C:2021:800, Rn. 41 und die dort angeführte Rechtsprechung).

Als Kriterien für die Beurteilung des Vorliegens einer wirtschaftlichen Einheit dienen wirtschaftliche, rechtliche sowie organisatorische Verflechtungen zwischen der Mutter- und Tochtergesellschaft (z.B. Höhe der Beteiligung, personelle oder organisatorische Verflechtungen sowie Weisungen und das Bestehen von internen Vereinbarungen). Der EuGH hat hierzu festgestellt, dass in dem besonderen Fall, wenn eine Muttergesellschaft 100 % oder fast 100 % des Kapitals ihrer Tochtergesellschaft hält, die gegen die Wettbewerbsregeln der Union verstoßen hat, zum einen diese Muttergesellschaft einen bestimmenden Einfluss auf das Verhalten dieser Tochtergesellschaft ausüben kann und zum anderen eine widerlegbare Vermutung besteht, dass diese Muttergesellschaft tatsächlich einen solchen Einfluss auf das Verhalten ihrer Tochtergesellschaft ausübt (vgl. zu all diesen Ausführungen insbesondere EuGH vom 20.01.2011, C-90/09 P ; 10.09.2009, C-97/08 P ).

Im vorliegenden Fall handelt es sich bei der Beschwerdeführerin um eine 100 % Tochter der XXXX m.b.H., welche wiederum eine 100 % Tochter der XXXX AG ist, welche wiederum eine 100 % Tochter der XXXX Gesellschaft mit beschränkter Haftung ist. Dabei ist festzuhalten, dass die XXXX AG im Jahr 2016 die Entscheidung getroffen hat, in der XXXX -Gruppe ein Multipartner- Kundenbindungsprogramm aufzubauen und wurde zu diesem Zweck, nämlich zur Etablierung eines Kundenbindungsprogrammes für die XXXX -Gruppe, die Beschwerdeführerin im Jahr 2017 gegründet. Der Datenschutzbeauftragte der Beschwerdeführerin, XXXX , ist sowohl bei der XXXX m.b.H, als auch bei der XXXX AG angestellt. Die XXXX -Gruppe verfügt über (datenschutzrechtliche) Richtlinien, die jeder einzelnen Gesellschaft zur Verfügung stehen und adaptiert werden können. Es besteht somit auch eine enge organisatorische/personelle Verflechtung zwischen den genannten Gesellschaften und damit nach der angeführten EuGH-Judikatur die Vermutung, dass die genannten Muttergesellschaften einen entscheidenden Einfluss auf die Beschwerdeführerin ausüben. Es wäre an der Beschwerdeführerin gelegen gewesen, diese Vermutung durch geeignete Beweismittel zu widerlegen bzw. nachzuweisen, dass die Tochtergesellschaft auf dem Markt eigenständig auftritt (sogenannte Akzo-Vermutung, Rs C-97/08 P , Akzo Nobel u. a./Kommission, Rn. 59 und 60, und verbundene Rechtssachen C-293/13 und 294/13 P, Fresh Del Monte Produce/Kommission und Kommission/Fresh del Monte Produce; vgl. dazu auch EuGH vom 27.01.2021, C-595/18 P , Rn. 32). Die Beschwerdeführerin hat sich dazu nicht geäußert. Weder hat sie zu den Ausführungen der belangten Behörde in ihrer Stellungnahme vom 30. Jänner 2024, wonach zwischen den genannten Unternehmen eine wirtschaftliche Einheit bestehe, ein Vorbringen erstattet, noch hat sie in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht trotz ausdrücklicher Nachfrage des Gerichts ein weiteres Vorbringen zu dieser Frage erstattet. Somit besteht für das Bundesverwaltungsgericht kein Zweifel, dass im gegebenen Fall eine wirtschaftliche Einheit der genannten Unternehmen vorliegt.

Vor diesem Hintergrund ist festzuhalten, dass der Jahresumsatz der gesamten wirtschaftlichen Einheit, sohin der Beschwerdeführerin, der XXXX m.b.H., der XXXX AG und der XXXX Gesellschaft mit beschränkter Haftung, heranzuziehen ist.

Für die von der Beschwerdeführerin beantragte Aussetzung des Verfahrens bis zur Entscheidung des EuGHs in der Sache C-383/23 (ILVA) verblieb vorliegend kein Raum mehr, da sich bereits aus dem Urteil Rechtssache C-807/21 (Deutsche Wohnen SE) ergab, dass für die Beurteilung der Strafbemessung der weltweit erzielte Jahresumsatz des vorangegangenen Geschäftsjahrs der wirtschaftlichen Einheit heranzuziehen ist.

Zur Frage, an welches Ereignis das vorangegangene Geschäftsjahr anknüpft, dessen Umsatz die Obergrenze der möglichen Geldbuße bestimmt, ist festzuhalten, dass nach der Rechtsprechung des EuGHs im Kartellrecht zu dem nahezu gleichlautenden Art. 23 VO Nr. 1 / 2003 der Bezugszeitraum das der Sanktionsverhängung vorausgegangene Geschäftsjahr darstellt (EuGH, Urteil vom 26. Januar 2017 - C-637/13 P - Badezimmerkartell Laufen Austria, Rn. 49; EuGH, Urteil vom 04. September 2014 - C-408/12 P - YKK u.a. Rn. 90). Da Art. 83 DSGVO die kartellrechtliche Regelung zum Vorbild hat, ist mithin die Höhe des Jahresumsatzes im letzten abgeschlossenen Geschäftsjahr vor Erlass des Bußgeldbescheides/Straferkenntnisses maßgebend. Auf den Zeitpunkt der gerichtlichen Entscheidung kommt es ebenso wenig an wie auf den Zeitpunkt des maßgeblichen Verstoßes (vgl. auch die Leitlinien 04/2022 des Europäischen Datenschutzausschusses für die Berechnung von Geldbußen im Sinne der DSGVO, Version 2.1, angenommen am 24. Mai 2023, Rn. 131 [in der Folge: Leitlinien EDSA 04/2022]).

Da das Straferkenntnis am 26. Juli 2021 erlassen wurde, ist somit der Jahresumsatz für 2020 maßgebend. Auf der Grundlage eines Umsatzes für 2020 der Beschwerdeführerin, der XXXX m.b.H., der XXXX AG und der XXXX Gesellschaft mit beschränkter Haftung, von EUR 265.364.038,00 ergibt sich daraus eine Obergrenze für die Geldbuße von 20 Millionen Euro.

Bei der Bemessung der Geldbuße innerhalb dieses Bußgeldrahmens war für das Bundesverwaltungsgericht Folgendes maßgebend:

Zunächst ist darauf hinzuweisen, dass die belangte Behörde im Spruch des angefochtenen Straferkenntnisses zwei Verstöße anführte: den Verstoß gegen die rechtskonforme Ausgestaltung der Einwilligungserklärung und die daraus folgende rechtswidrige Datenverarbeitung. Da im Sinne der obigen Ausführungen hinsichtlich des Verstoßes gegen die rechtskonforme Ausgestaltung der Einwilligungserklärung bereits Verfolgungsverjährung eingetreten ist, liegt der vorliegenden Bestrafung nur (mehr) ein Tatvorwurf zugrunde.

Nach Art. 83 Abs. 1 DSGVO stellt jede Aufsichtsbehörde sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. In Art. 83 Abs. 2 DSGVO sind Zumessungskriterien aufgeführt, die bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall "gebührend" zu berücksichtigen sind. Relevant sind danach insbesondere Art, Schwere und Dauer des Verstoßes, die Zahl der von der Verarbeitung betroffenen Personen, das Ausmaß des Schadens, die Kategorie der betroffenen personenbezogenen Daten, das Bemühen des Unternehmens, den Schaden zu begrenzen, Art und Umfang der Kooperation mit den Datenschutzbehörden und der Grad der Verantwortlichkeit.

Der Umsatz des Unternehmens ist in Art. 83 Abs. 2 DSGVO nicht als Kriterium für die Bemessung der Geldbuße genannt. Daraus folgt jedoch nicht, dass dem Umsatz des Unternehmens bei der Bemessung der Geldbuße keine Bedeutung zukommt. „Zum einen bestimmt der Umsatz bei umsatzstarken Unternehmen die Bußgeldobergrenze und spannt dadurch erst den Rahmen auf, in den der konkrete Datenschutzverstoß einzuordnen und einzupassen ist. Der Bußgeldrahmen gibt der konkreten Zumessung die notwendige Orientierung. Zum anderen müssen Geldbußen gegen Unternehmen gem. Art. 83 Abs. 1 DSGVO wirksam und abschreckend sein. Dies richtet sich auch nach der Ahndungsempfindlichkeit des jeweiligen Unternehmens. Je größer das Unternehmen ist, desto geringer ist regelmäßig die Ahndungsempfindlichkeit und desto höher ist im Regelfall das Bußgeld zu bemessen, damit es seine spezialpräventive Wirkung entfalten kann. Die Höhe des Umsatzes ist für die Unternehmensgröße und damit für die Ahnungsempfindlichkeit ein geeigneter Indikator; der Bilanzgewinn und sonstige Kennzahlen der wirtschaftlichen Leistungsfähigkeit des Unternehmens können zusätzlich berücksichtigt werden“ (siehe hierzu erneut BVwG, 27.03.2024, W214 2243436-1/39E m.w.H.). Auch die Leitlinien des EDSA zur Berechnung von Geldbußen gehen (mit Verweis auf einen diesbezüglich verbindlichen Beschluss 1/2021 des EDSA, Rn. 411 und 412) davon aus, dass bei der Berechnung der Geldbuße der Größe des Unternehmens Rechnung zu tragen ist, weshalb dessen Umsatz zu berücksichtigen ist (siehe dazu die abermals die Leitlinien EDSA 04/2022, Rn. 63ff.)

Da der Strafrahmen nach Art. 83 DSGVO bis EUR 20.000.000 sehr hoch ist, ist die Bedeutung des geschützten Rechtsgutes jedenfalls nicht als gering einzustufen.

Vor dem Hintergrund, dass die Beschwerdeführerin die personenbezogenen Daten der Betroffenen für ihre Geschäftstätigkeit zum Zwecke der personalisierten Ansprache schuldhaft unrechtmäßig verarbeitet hat, die Verarbeitung das gesamte Bundesgebiet Österreichs betraf, die Verarbeitung von personenbezogenen Daten eine zentrale Tätigkeit der Beschwerdeführerin darstellt, eine große Anzahl natürlicher Personen (ca. 2.285.021) von der unrechtmäßigen Verarbeitung betroffen war und die Verarbeitung über einen Zeitraum von beinahe zwei Jahren erfolgte, ist festzuhalten, dass der Verstoß, auch wenn er fahrlässig begangen wurde, jedenfalls nicht geringfügig war, sondern vielmehr bei Beurteilung nach den in Art. 83 Abs. 2 lit. a DSGVO aufgestellten Kriterien einen mittleren bis hohen Schweregrad aufweist. Bei Berücksichtigung der Tatsache, dass bezüglich der Gestaltung des Anmeldeformulars eine gröbere Fahrlässigkeit als bei der Gestaltung der Online-Einwilligung vorlag (wobei aber auch in diesem Fall die Beschwerdeführerin eindeutig die Missverständlichkeit hätte erkennen müssen), ist bei einer Gesamtbetrachtung die Berechnungsgrundlage für einen mittleren Verstoß heranzuziehen.

Wenn die Beschwerdeführerin die Anwendung des § 11 DSG releviert und demnach einer Abmahnung der Vorzug gegeben werden soll, ist darauf hinzuweisen, dass das dort vorgesehene Prinzip der Verhältnismäßigkeit bereits in Art. 83 DSGVO verankert ist. Ein Vorrang des Vorgehens nach § 11 DSG lässt sich der Systematik und dem Anwendungsvorrang der DSGVO jedenfalls nicht entnehmen; betreffend einen möglichen Versuch, die belangte Behörde (oder das Gericht) über die DSGVO hinaus zu binden (vgl. Bresich, Dopplinger, Dörnhöfer, Kunnert, Riedl, DSG (2018) S 131, § 11, Anmerkung 6), fehlt es an einer entsprechenden Öffnungsklausel bzw. Ermächtigung in der DSGVO. Gegenständlich kommt aber nach Ansicht des Bundesverwaltungsgerichts aufgrund der oben dargestellten Schwere des Verstoßes eine bloße Abmahnung ebenso wenig wie eine Einstellung des Verfahrens oder eine bescheidmäßige Ermahnung gemäß § 45 Abs. 1 Z 4 VStG in Betracht, zumal die Bedeutung des strafrechtlich geschützten Rechtsgutes (grundrechtlich geschütztes Verbot der Verarbeitung personenbezogener Daten ohne Rechtsgrundlage) jedenfalls nicht als gering anzusehen ist. Obendrein ist in diesem Zusammenhang auf ErwGr 148 zur DSGVO hinzuweisen (siehe zu alledem in einem gleichgelagerten Fall: BVwG, 27.03.2024, W214 2243436-1/39E).

Nach den Leitlinien EDSA 04/2022 ist bei einem Verstoß mittleren Schweregrades ein Ausgangsbetrag von 10 % bis 20 % des gesetzlichen Höchstmaßes (EUR 20.000.000,00) anzunehmen. Vor dem Hintergrund der obigen Ausführungen scheint für das Bundesverwaltungsgericht daher ein vorläufiger Ausgangbetrag von EUR 2.000.000,00 (10 % des gesetzlichen Höchstmaßes) angemessen.

Da der Umsatz der Unternehmensgruppe der Beschwerdeführerin unter 500.000.000,00 liegt, hat nach den Leitlinien EDSA 04/2022 eine Anpassung anhand der Größe des Unternehmens stattzufinden. Aufgrund eines Unternehmensumsatzes wie dem der Beschwerdeführerin in Höhe von EUR 265.364.038,00 empfiehlt der EDSA die Berechnungen auf der Grundlage eines Betrags zwischen 40 % und 100 % des ermittelten Ausgangsbetrags vorzunehmen. Zumal der Unternehmensumsatz näher an der Untergrenze von EUR 250.000.000,00 als an der Obergrenze von EUR 500.000.000,00 liegt, war ein endgültiger Ausgangbetrag in der Höhe von 50 % des vorläufigen Ausgangsbetrages, sohin ein Betrag von EUR 1.000.000 anzunehmen.

Mildernd berücksichtigte die belangte Behörde die fahrlässige Begehung, das Nichtvorliegen früherer Verstöße bei der belangten Behörde gegen die DSGVO, die Mitwirkung der Beschwerdeführerin im gegenständlichen Ermittlungsverfahrens vor der Datenschutzbehörde, den Bilanzverlust, die Adaptierung der Einwilligungsformulare nach Erlass des Bescheides der Datenschutzbehörde im amtswegigen Prüfverfahren sowie die (aktuelle) COVID-19 Pandemie und sämtliche daraus resultierenden erforderlichen Umstrukturierungsmaßnahmen im Betrieb. Zusätzlich mildernd waren von Seiten des Bundesverwaltungsgerichts die festgestellten umfassenden Bemühungen der Beschwerdeführerin, eine DSGVO-konforme Ausgestaltung der Einwilligungserklärungen und damit Datenverarbeitung anhand intensiver interner und externer Beratungen bereits im Vorfeld sicherzustellen, sowie der Umstand, dass die Beschwerdeführerin auch nach Erhalt des Straferkenntnisses um Schadensminderung bemüht und die in Rede stehenden Datenverarbeitungen im August 2021 auch gelöscht bzw. eingestellt hat, in Betracht zu ziehen.

Aufgrund der vorliegenden und neu hinzugekommenen Milderungsgründe (wobei die fahrlässige Begehung bereits bei der Einstufung der Schwere des Verstoßes berücksichtigt wurde), war der Ausgangsbetrag anzupassen, sodass eine Geldbuße in Höhe von EUR 500.000,00 angemessen scheint. Die von der belangten Behörde konkret verhängte Geldbuße in der Höhe von EUR 2.000.000,00 liegt daher über der vom Bundesverwaltungsgericht festgesetzten Geldbuße, wobei nicht übersehen werden darf, dass sich die Geldbuße der belangten Behörde (noch) auf zwei Tatvorwürfe bezogen hat.

Dazu ist zu bemerken, dass das Bundesverwaltungsgericht bei der Festsetzung der Geldbuße auch selbst Ermessen zu üben hatte. So führt Wessely in Raschauer/Wessely (Hrsg), Kommentar zum VStG - Verwaltungsstrafgesetz3 (2023) § 19 Rn. 26, Folgendes aus:

„Anlässlich seiner Entscheidung hat das VwG nicht bloß die Ermessensübung durch die Verwaltungsstrafbehörde zu prüfen, sondern das Ermessen selbst zu üben und eine neue Strafzumessung vorzunehmen (VwGH 31.1.2012, 2009/05/0123). Dies insbesondere bei einer Änderung des Schuldspruchs. IdS gilt es idR bei teilweiser Stattgebung der Beschwerde (VwGH 27.5.2008, 2007/05/0235) etwa durch Reduzierung des Tatzeitraums (VwGH 22.4.2010, 2007/07/0015; 21.2.2012, 2010/11/0245), bei Wegfall von Vormerkungen wegen zwischenzeitig eingetretener Tilgung (VwGH 27.5.2008, 2007/05/0235) oder Hervortreten weiterer Milderungsgründe (VwGH 22.4.1998, 97/03/0353), also in Fällen einer qualitativen oder quantitativen Reduktion des Tatvorwurfs auch die Strafe herabzusetzen. Zwingend ist dies allerdings nicht. So bedarf es etwa dann keiner Herabsetzung, wenn das VwG den durch die Tat verwirklichten Unwert höher einschätzt als die Verwaltungsbehörde oder wenn sich die wirtschaftliche Situation des Beschuldigten zwischenzeitig gebessert hat (VwGH 27.5.2008, 2007/05/0235; 23.2.2022, Ra 2020/17/0024; 29.3.2022, Ro 2020/02/0003); ein solches Vorgehen bedarf jedoch einer entsprechenden Begründung (VwGH 22.4.1998, 97/03/0353).“

Die vom Bundesverwaltungsgericht errechnete Geldbuße scheint tat- und schuldangemessen und befindet sich am unteren Ende des zur Verfügung stehenden Strafrahmens. Für eine weitere Herabsetzung der Sanktion besteht insbesondere aufgrund der Vielzahl an betroffenen Personen und der Dauer des Verstoßes kein Raum. Ein (noch) niedrigerer Betrag würde im vorliegenden Fall den in Art. 83 Abs. 1 DSGVO normierten Kriterien für eine Geldbuße, wonach diese in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein muss, nicht mehr gerecht werden.

Der Beschwerde war daher im genannten Umfang stattzugeben und die Geldbuße auf EUR 500.000,00 herabzusetzen.

Aufgrund der zitierten Rechtsprechung des EuGH C-807/21 , wonach es nicht notwendig ist, eine bestimmte Person in einer Leitungsfunktion festzumachen, die das schuldhafte Verhalten gesetzt hat, ist davon auszugehen, dass die Abs. 1 und 2 des § 30 DSG nicht mehr anzuwenden sind und das schuldhafte Verhalten der Geschäftsführer nicht im Spruch des Straferkenntnisses der belangten Behörde anzuführen ist (siehe dazu auch VwGH 01.02.2024, Ra 2020/04/0187-20, Rn. 28, wonach die „aus dem nationalen Recht (dem VStG) abgeleitete Vorgabe, wonach für eine Verhängung einer Geldbuße nach der DSGVO über eine juristische Person im Spruch des Straferkenntnisses alle notwendigen Elemente für eine Bestrafung der natürlichen Person aufzunehmen seien, unangewendet hätte bleiben müssen […]“).

Der Spruch des angefochtenen Straferkenntnisses war daher in dieser Hinsicht und auch im Hinblick auf die ersatzlose Behebung von Spruchpunkt I. entsprechend abzuändern.

Die von der Beschwerdeführerin dazu ins Treffen geführte Judikatur des VwGH zu § 44a VStG, wonach die Streichung einer natürlichen Person im Spruch eines Straferkenntnisses in den Fällen, in denen die Verantwortlichkeit einer juristischen Person untrennbar mit diesen natürlichen Personen verbunden ist, eine unzulässige Änderung des Tatvorwurfs bewirkt, war angesichts der dargelegten höchstgerichtlichen Vorgaben nicht (mehr) einschlägig.

zu den Kosten des Verwaltungsstrafverfahrens sowie des Beschwerdeverfahrens:

Gemäß § 64 Abs. 1 VStG ist im Straferkenntnis auszusprechen, dass der Bestrafte einen Beitrag zu den Kosten des Strafverfahrens zu leisten hat. Gemäß § 64 Abs. 2 VStG ist dieser Beitrag für das Verfahren erster Instanz mit 10 % der verhängten Strafe, mindestens jedoch mit 10 Euro zu bemessen. Der Beitrag zu den Kosten war aufgrund der nunmehr verhängten Strafe auf 50.000,00 Euro zu reduzieren.

Da damit der Beschwerde teilweise Folge gegeben wurde, waren der Beschwerdeführerin keine Kosten des Beschwerdeverfahrens aufzuerlegen (§ 52 Abs. 1 und Abs. 2 VwGVG).

Sofern die Beschwerdeführerin in diesem Zusammenhang ausführt, die Verhängung einer Geldbuße sei – wie sich aus Art. 84 DSGVO ergebe – in Art. 83 DSGVO abschließend geregelt und es bestünde insofern für § 64 VStG kein Raum, verkennt sie, dass die aufgrund von § 64 VStG auferlegten Kosten nicht als Sanktion, sondern – wie auch bereits der EuGH in seinem Urteil vom 14. 10. 2021, Rs C-231/20 , MT, u.a. festgehalten hat – als ein Beitrag zu den Verfahrenskosten zu verstehen sind. Konkret führte der EuGH in diesem Urteil zu § 64 VStG aus, dass nach der Rechtsprechung des Gerichtshofs Gerichtsgebühren grundsätzlich zum ordnungsgemäßen Funktionieren des Gerichtssystems beitragen, da sie eine Finanzierungsquelle für die gerichtliche Tätigkeit der Mitgliedstaaten darstellen (Rn. 56). Die Vorschreibung eines Verfahrenskostenbeitrags von 10 % der verhängten Geldstrafe verstoße nicht „an sich gegen den Grundsatz der Verhältnismäßigkeit“ (Rn. 56), es sei aber Sache des nationalen Gerichts, „sich zu vergewissern, dass ein solcher Beitrag zu den Kosten, da er auf der Grundlage eines Prozentsatzes der Höhe der verhängten Geldstrafe vorgeschrieben wird, bei der konkreten Festsetzung seiner Höhe [..] im Hinblick auf die tatsächlichen Kosten eines solchen Verfahrens weder überhöht ist, noch das in Art. 47 der Charta verankerte Recht auf Zugang zu den Gerichten verletzt“ werde (Rn. 57).

Insofern hat auch der Verwaltungsgerichtshof in seinem Erkenntnis vom 10. Dezember 2021, Ra 2020/17/0013, unter Zugrundelegung des Urteils des EuGH vom 14. Oktober 2021, MT, C-231/20 , ausgesprochen, dass u.a. die Rechtsgrundlage für die Vorschreibung eines Beitrages zu den Kosten des Strafverfahrens gemäß § 64 Abs. 2 VStG grundsätzlich mit dem Unionsrecht vereinbar sei. Dass im vorliegenden Fall Umstände vorliegen, die – wie im Urteil des EuGHs dargelegt – zu einer anderen Beurteilung führen müssten, ist nicht ersichtlich und wurde dies von der Beschwerdeführerin auch nicht aufgezeigt.

Es war daher spruchgemäß zu entscheiden.

Zahlungsinformation

Sie haben den Gesamtbetrag von EUR 550.000,00 (Strafe, Kosten des verwaltungsbehördlichen Verfahrens) binnen zwei Wochen auf das Konto des Bundesverwaltungsgerichtes (BVwG) mit dem IBAN AT840100000005010167 (BIC BUNDATWW) unter Angabe der Verfahrenszahl spesenfrei für den Empfänger einzuzahlen. Bei Verzug muss damit gerechnet werden, dass der Betrag nach erfolgter Mahnung zwangsweise eingetrieben werden wird.

zu B) Zulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen. Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Es fehlt an Rechtsprechung des Verwaltungsgerichtshofes zu Art. 7 DSGVO, insbesondere zu dessen Abs. 2 DSGVO, und zwar auch im Lichte der Konkretisierungserfordernisse der §§ 32 Abs. 2 und 44 a VStG. Ebenso fehlt es an Rechtsprechung des Verwaltungsgerichtshofes zum entschuldbaren Verbotsirrtum im Anwendungsbereich der DSGVO.

Es war daher auszusprechen, dass die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist.

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)

Stichworte