BVwG W211 2281997-1

Spruch:

W211 2281997-1/5E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht erkennt durch die Richterin Mag.a Barbara SIMMA LL.M. als Vorsitzende und die fachkundige Laienrichterin Margareta MAYER-HAINZ und den fachkundigen Laienrichter Dr. Ulrich E. ZELLENBERG als Beisitzerin und Beisitzer über die Beschwerde der XXXX , vertreten durch XXXX , gegen den Bescheid der Datenschutzbehörde vom XXXX , Zl. XXXX , zu Recht:

A)

Der Beschwerde wird stattgegeben und der Spruch des angefochtenen Bescheides dahingehend abgeändert, dass dieser zu lauten hat:

„Die Beschwerde wird als unbegründet abgewiesen“.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

1. Mit verfahrenseinleitender Eingabe vom XXXX 2022 behauptete XXXX (= Beschwerdeführer vor der Datenschutzbehörde und mitbeteiligte Partei vor dem Bundesverwaltungsgericht, idF mP) eine Verletzung der Art. 5, 6 und 7 DSGVO durch die XXXX (= Beschwerdegegnerin vor der Datenschutzbehörde und Beschwerdeführerin vor dem Bundesverwaltungsgericht, idF BF) und brachte dazu zusammengefasst vor, wie folgt:

Die mP habe die Website der BF unter XXXX am XXXX 2022 besucht, die bei Aufruf mit einem Banner u.a. zur Zustimmung betreffend die verwendeten „Cookies“ auffordere. Dieses Banner sei so aufgebaut, dass die mP zwischen „Einstellungen verwalten“ (grauer Button) und „Alle akzeptieren“ (roter Button) wählen habe können. Bei Auswahl des Buttons „Einstellungen verwalten“ öffne sich ein Untermenü, das die mP in die Lage versetzt habe, jegliche Datensammlung, insbesondere die Platzierung von „Cookies“, abzulehnen. Nach Abwahl aller Optionen durch die mP sei ein neues Pop-Up-Fenster erschienen, das auf die zwingende Zustimmung zu mehreren Tracking Cookies hingewiesen habe, um Zugang zur Website der BF zu erhalten. Daher sei die mP gezwungen gewesen, das Setzen der Cookies zu akzeptieren, da anderenfalls der Zugang verwehrt worden wäre. In der Folge habe die BF Cookies sowie Tracking-Pixel auf dem Endgerät der mP platziert. Dies sei durch die der Beschwerde angeschlossenen Screenshots belegt, welche mehrere Interaktionen mit Google-Produkten zeigen würden. Darüber hinaus habe hinsichtlich der Österreichischen Webanalyse (ÖWA) zumindest eine Interaktion mit dem Host „ionct.net“ stattgefunden. Die Einwilligung zu diesen Verarbeitungen sei im Anschluss nicht mehr widerrufbar gewesen, da zwar eine Möglichkeit dafür vorgesehen sei, diese aber unweigerlich wieder zum Ausschluss von der Website führen würde. Zudem sei ein Rückgriff im Falle einer ungültigen Einwilligung auf das von der BF in ihren Datenschutzrichtlinien vorgebrachte berechtigte Interesse an der Datenverarbeitung unzulässig und verstoße gegen das Gebot von Treu und Glauben. Es liege keine gültige Einwilligung vor. Die unrechtmäßige Datenverarbeitung führe demnach zu einem Verstoß gegen die Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 und Art. 7 Abs. 3 DSGVO. Andere Rechtsgrundlagen würden nicht in Betracht kommen. Die mP übermittelte darüber hinaus mehrere, in der verfahrenseinleitenden Eingabe näher spezifizierte, Anregungen genereller Abhilfemaßnahmen sowie eine Anregung der Verhängung einer Geldbuße.

2. Mit Stellungnahme vom XXXX 2023 brachte die BF zusammengefasst und soweit verfahrensrelevant vor, dass die Datenschutzbehörde für die gegenständliche Beschwerde bereits deshalb unzuständig sei, da § 9 Abs. 1 DSG (das sogenannte Medienprivileg) anzuwenden sei. Das Medienprivileg sei weit auszulegen, was der VfGH bereits bestätigt habe, sodass auch Vorbereitungshandlungen, wie gegenständlich das Setzen von Cookies, davon erfasst seien. Weiters wohne die mP offenbar in Deutschland. Es fehle daher an einer Nahebeziehung oder sonstigen Verbindung nach Österreich, bzw. gebe es für diese keinen Grund, die beschwerdegegenständliche Website zu besuchen. Darüber hinaus gehe aus den vorgelegten Unterlagen kein Besuch der mP auf der Website XXXX hervor. Eine Beschwerdelegitimation sei nicht ersichtlich.

Im Hinblick auf die Verwendung von Cookies sei festzuhalten, dass die BF ein Medienunternehmen sei und zu einem sehr wesentlichen Teil auch aus Anzeigen- und Werbeeinnahmen finanziert werde. Dies stehe auch im öffentlichen Interesse, da das Medium einen Teil der unabhängigen Medienlandschaft darstelle, und die redaktionelle Unabhängigkeit auch wirtschaftliche Unabhängigkeit bedeute. Von einer „Pay or Okay“ Lösung habe die BF bisher Abstand genommen, da diese eine hohe Kostenbelastung verursachen würde. Die gegenständliche Datenverarbeitung basiere auf der bei Aufruf der Website eingeholten Einwilligung des:der Nutzer:in (Art. 6 Abs. 1 lit. a DSGVO). Diese erfülle die gesetzlichen Vorgaben. Es werde bis zur Entscheidung des:der Nutzer:in durch Auswahl in der Eingabemaske keine (nicht notwendige) Datenverarbeitung vorgenommen. Die Einwilligung sei freiwillig, da der:die Nutzer:in eine bewusste Entscheidung hin zu einer in Aussicht gestellten Gegenleistung (der Möglichkeit des Konsums des Inhalts der Website) treffe. Es stehe einem:einer Nutzer:in frei, bei Verweigerung jeglicher Datenverarbeitungen die Website zu verlassen, da es gleichwertige Informationsalternativen gebe. Sollte die Einwilligung wider Erwarten unwirksam sein, so sei auf das berechtigte Interesse an der Datenverarbeitung iSd Art. 6 Abs. 1 lit. f DSGVO zu verweisen.

3. Mit Stellungnahme vom XXXX 2023 widersprach die mP im Wesentlichen dem Vorbringen der BF und hielt alle Anträge aufrecht. Das Medienprivileg finde keine Anwendung, da die über die genannten Dienste verarbeiteten Daten nicht für die inhaltliche Aufbereitung journalistischer Informationen verwendet werden würden. Weiters sei für die Beschwerdelegitimation keine Nahebeziehung zu Österreich erforderlich. Die auf der Website vorgesehene Einwilligung sei unzulässig, denn es bestehe keine echte und freie Wahl, da im Ergebnis ausschließlich die Zustimmung zu zumindest vier Cookies (und damit Verarbeitungsvorgängen) einen Aufruf der Website ermögliche. Eine Einwilligung in diese Verarbeitungen sei für die Dienstleistung „Bereitstellung der Website“ nicht erforderlich. Zudem verstoße die BF gegen das Kopplungsverbot.

4. Mit dem angefochtenen Bescheid der Datenschutzbehörde (idF DSB) wurde der Beschwerde der mP stattgegeben und eine Datenschutzverletzung gemäß Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 DSGVO durch die BF festgestellt, da diese am XXXX 2022 – durch das Setzen von Cookies zur Verwendung der Dienste ,,Google Tag Manager", ,,Google Analytics", „Google Advertising Products" (zumindest die Cookies _ga und _gid) und „ÖWA" (zumindest die Cookies ioam2018/i00) – personenbezogene Daten der mP verarbeitet habe (Spruchpunkt I). Die DSB wies die BF an, die genannten Datenverarbeitungen binnen 4 Wochen zu beenden (Spruchpunkt II) und trug dieser auf, den Cookie-Banner der Website XXXX , mit welchem eine Einwilligung eingeholt werde, derart abzuändern, dass bei Besuch der Website eine gültige Einwilligung vorliege (Spruchpunkt III). Dazu führte sie in rechtlicher Hinsicht soweit verfahrensrelevant aus, wie folgt:

Die DSB sei zur Behandlung der Beschwerde zuständig, da die ePrivacy-Richtlinie und deren Umsetzung im TKG 2021 das Setzen und Auslesen von Cookies regle, jedoch die darauffolgende Datenverarbeitung in den Anwendungsbereich der DSGVO und des DSG falle. Das durch die BF vorgebrachte Medienprivileg gemäß § 9 Abs. 1 DSG sei auf die Verarbeitung personenbezogener Daten für journalistische Zwecke anwendbar, wenn die Verarbeitung ausschließlich das Ziel habe, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten. Dies treffe auf das Ausspielen personalisierter Werbung nicht zu. Die mP sei auch beschwerdelegitimiert, da zumindest ein entfernter Bezug zu Österreich, dem Land, in dem die Beschwerde eingebracht wurde, bestehe. So stehe fest, dass die BF sich in Österreich befinde, und die mutmaßliche Rechtsverletzung ebenfalls in Österreich stattgefunden habe.

Der sachliche Anwendungsbereich der DSGVO sei eröffnet, da die DSB bereits im Fall Google Analytics – im Einklang mit der Judikatur des Europäischen Datenschutzbeauftragten (EDSB) – ausgesprochen habe, dass Cookies, die einen einzigartigen Wert (random number) beinhalten und deren Zweck die Individualisierung bzw. Aussonderung von Personen sei, personenbezogene Daten darstellen würden. Der Einsatz von Cookies, die technisch für die Erbringung der Leistung eines Zeitungsportals nicht erforderlich seien, wohl aber unersetzlich für die wirtschaftliche Grundlage des Dienstes (Finanzierung durch Werbung), bedürfen der vorherigen Einwilligung der betroffenen Person. Dies treffe auf die verfahrensgegenständlich akzeptierten Cookies, um die Website der BF aufrufen zu können, zu, da kein klarer Zusammenhang mit dem vom:von der Teilnehmer:in oder Nutzer:in ausdrücklich angeforderten Dienst bestehe. So habe die Setzung der Cookies in erster Linie den Zwecken der Websitenanalyse, Reichweitenmessung sowie des Ausspielens von personalisierter Werbung gedient.

Eine Einwilligung habe zwingend freiwillig zu erfolgen. Im vorliegenden Fall sei es unstrittig, dass ein Zugriff auf die Website der BF nicht erfolgen könne, ohne die Abgabe einer Einwilligung für die genannten Dienste. Allein dieser Umstand schließe die freiwillige Einwilligung gemäß Art. 6 Abs. 1 lit a DSGVO aus, da die mP keine echte Wahlmöglichkeit habe. Zudem sei bei der BF auch keine, durch den EuGH als zulässig befundene, „Pay or Okay“ - Lösung implementiert, welche die geforderte Freiwilligkeit herstellen könne.

Gemäß Art. 58 Abs. 2 lit. c iVm lit. f DSGVO habe die DSB der BF daher auftragen müssen, zu recherchieren, ob die personenbezogenen Daten der mP zum aktuellen Zeitpunkt (noch) verarbeitet würden und bejahendenfalls diese Verarbeitung einzustellen. Darüber hinaus müsse gemäß Art. 58 Abs. 2 lit. d DSGVO als Abhilfebefugnis die Anweisung erfolgen, den Vorgang der Einholung der Zustimmung des:der Nutzer:in zu einer (durchzuführenden) Datenverarbeitung so abzuändern, dass dieser das Kriterium einer freiwilligen Einwilligung erfülle.

5. Gegen diesen Bescheid richtete sich die Beschwerde der BF vom XXXX 2023, worin diese soweit verfahrensrelevant ausführte, dass keine Zuständigkeit der DSB, da das Medienprivileg zu Unrecht unangewendet geblieben sei, und auch keine Beschwerdelegitimation bestehe. Zudem habe die DSB das Kriterium der Freiwilligkeit betreffend einer Einwilligung gemäß Art. 6 Abs. 1 lit a DSGVO verkannt, und bestünden zumutbare Alternativen zur Informationsbeschaffung. Die von der DSB erwähnte „Pay or Okay“ Lösung stelle eine unverhältnismäßige Kostenbelastung für kleinere Nachrichtenportale wie die BF dar.

6. Mit Stellungnahme vom XXXX 2023 legte die DSB die Beschwerde unter Anschluss des Verwaltungsaktes dem Bundesverwaltungsgericht vor, beantragte die Abweisung der Beschwerde und verwies vollinhaltlich auf den bekämpften Bescheid. Ergänzend führte sie aus, dass der EuGH bereits festgehalten habe, dass eine betroffene Person beim Besuch einer Website (betreffend ein soziales Online-Netzwerk) nicht alternativlos in eine Situation gebracht werden dürfe, in der sie der Verarbeitung ihrer personenbezogenen Daten zustimmen müsse, um diese Website zu besuchen. Vielmehr müsse der Person eine Alternative geboten werden, die nicht an eine Datenverarbeitung gebunden sei.

7. Mit Stellungnahme vom XXXX 2024 führte die mP soweit verfahrensrelevant schließlich noch weiter aus, dass sie nicht anzweifle, dass das Medienprivileg nicht anwendbar sei. Es widerspreche sich die BF selbst, wenn sie um eine Einwilligung mittels des „Cookie-Banners“ ersuche, obwohl das Medienprivileg ohnehin gelten solle. Zudem handle es sich gegenständlich um keine inhaltliche Aufbereitung von journalistischen Informationen. Zur monierten Beschwerdelegitimation verwies sie auf ihre Stellungnahme vom XXXX 2023 und führte erneut aus, dass eine Sperrwirkung durch Art. 6 Abs. 1 lit a DSGVO im Verhältnis zu weiteren Erlaubnistatbeständen bestehe. Darüber hinaus stelle die Einführung einer „Pay or Okay“ Lösung eine simple Alternative dar.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

1.1. Mittels Cookies lassen sich Informationen sammeln, die von einer Website generiert und über den Browser eines:einer Internetnutzer:in gespeichert werden. Es handelt sich um eine kleine Datei oder Textinformation (in der Regel kleiner als ein Kbyte), die von einer Website über den Browser eines:einer Internetnutzer:in auf der Festplatte des Computers oder mobilen Endgeräts platziert wird.

Ein Cookie erlaubt es der Website, sich an die Aktionen oder Vorlieben des:der Nutzer:in zu „erinnern“. Die meisten Webbrowser unterstützen Cookies, aber die Nutzer:innen können ihre Browser so einstellen, dass sie Cookies abweisen. Sie können Cookies auch jederzeit löschen.

Websites nutzen Cookies, um Nutzer:innen zu identifizieren, sich die Vorlieben ihrer Kund:innen zu merken und es den Nutzer:innen zu ermöglichen, Aufgaben abzuschließen, ohne Informationen neu eingeben zu müssen, wenn sie zu einer anderen Seite wechseln oder die Website später erneut besuchen.

Cookies können auch genutzt werden, um anhand des Online-Verhaltens Informationen für gezielte Werbung und Vermarktung zu sammeln. Unternehmen verwenden zum Beispiel Software, um das Nutzer:innenverhalten nachzuverfolgen und persönliche Profile zu erstellen, die es ermöglichen, den Nutzer:innen Werbung zu zeigen, die auf ihre zuvor durchgeführten Suchvorgänge zugeschnitten ist.

1.2. Die BF ist Betreiberin der Website XXXX und eine Medieninhaberin. Sie trifft die Entscheidung, unter welchen Voraussetzungen welche Cookies beim Aufruf der genannten Website gesetzt oder ausgelesen werden. Die Website der BF verzeichnet pro Monat ungefähr XXXX Aufrufe. Auf der Website XXXX unter der Rubrik „Impressum“ kommt die BF ihrer Offenlegungspflicht gemäß §§ 24, 25 MedienG nach, nennt die XXXX als einzige Gesellschafterin und bezeichnet sich selbst als Herausgeberin des Onlinemediums.

Im ÖWA Ranking für IV 2023 findet sich XXXX auf dem XXXX Platz mit XXXX Nettoreichweite gesamt, XXXX gesamter Bruttoreichweite und XXXX Anteil an Internetnutzer:innen. Im Vergleich dazu findet sich auf Platz 1 „orf.at“ mit einer gesamten Nettoreichweite von 5.028.478 Unique Usern und einem Anteil an Internetnutzer:innen von 71,1%, auf Platz 3 „heute.at“ mit einer gesamten Nettoreichweite von 3.497.380 Unique Usern und einem Anteil an Internetnutzer:innen von 49,4% und auf Platz 4 „krone.at“ mit einer gesamten Nettoreichweite von 3.139.680 Unique Usern und einem Anteil an Internetnutzer:innen von 44,4% (Platz 2 wird von „willhaben.at“ besetzt).

1.3. Die mP hat die Website XXXX zumindest einmalig am XXXX 2022 besucht und stimmte dabei der Setzung der unter 1.4. genannten Cookies (bzw. der damit verbundenen Dienste) zu. Bis zu dieser Zustimmung wurden keine (nicht notwendigen) Daten der mP verarbeitet. Beim Aufruf der Website erschien ein Banner, das um die Einwilligung zur Verarbeitung von personenbezogenen Daten ersuchte. Nach Verweigerung der Zustimmung zu jeglichen Verarbeitungsvorgängen durch die entsprechende Auswahl im Untermenü „Einstellungen verwalten“ und deren Bestätigung erschien ein weiteres „Pop-up“-Fenster. Dieses „Pop-up“-Fenster wies auf die unbedingte Erforderlichkeit der Dienste „Google Advertising Products“, „Google Tag Manager“, „Google Analytics“ und „ÖWA“ hin. Ein Besuch der Website ohne Zustimmung zu den genannten Diensten war nicht möglich.

Der Wortlaut des „Pop-up“-Fensters lautete wie folgt: „Wir respektieren Ihr Recht auf Datenschutz. Deswegen geben wir Ihnen auch Kontrolle darüber, welche Daten über Sie gespeichert werden. Um unsere Plattform sinnvoll betrieben zu können, sind jedoch zusätzliche Dienste notwendig. Die Zustimmung zu folgenden Anbietern ist daher unbedingt erforderlich: (…)“

1.4. Als Folge des Besuchs der Website XXXX wurden am XXXX 2022 folgende relevante Cookies am Endgerät der mP gesetzt und ausgelesen, die einen einzigartigen, zufallsgenerierten Wert (random number) beinhaltet haben:

​

1.5. Bei „Google Analytics“ (Cookies: _ga und _gid) handelt es sich um einen Messdienst, der es ermöglicht, Trafficeigenschaften zu messen. Hierzu zählt auch die Messung des Traffics von Besucher:innen, die eine spezifische Website besuchen. Dadurch kann das Verhalten von Website-Besucher:innen nachvollzogen und gemessen werden, wie diese mit einer spezifischen Website interagieren. Konkret kann sich ein:e Website-Betreiber:in ein „Google Analytics“-Konto anlegen und so mithilfe eines Dashboards Berichte zur Website betrachten. Ebenso kann mithilfe von „Google Analytics“ die Wirksamkeit von Werbekampagnen, die Website-Besitzer:innen auf Google-Anzeigendiensten durchführen, gemessen und optimiert werden.

1.6. Über den Dienst ÖWA wurden zumindest zwei Cookies gesetzt („ioam2018“ und „i00“):

„ioam2018“: Speichert einen Client-Hash für die Österreichische Webanalyse (ÖWA) zur Optimierung der Ermittlung der Kennzahlen Unique Clients und Visits.

„i00“: Dieses Cookie wird von der ÖWA (Österreichische Webanalyse) zur Wiedererkennung von Endgeräten benutzt. Wenn das Cookie unterdrückt wird, versucht die ÖWA das Gerät durch Kombination von IP-Adresse und Browser-Bezeichnung zu erkennen.

Beide Cookies werden in Kombination zur Reichweitenmessung und Analyse eingesetzt.

1.7. Die BF hat zum Entscheidungszeitpunkt des Bundesverwaltungsgerichtes ein „Pay or Okay“ System für den Besuch ihrer Website eingeführt.

2. Beweiswürdigung:

2.1. Die Ausführungen betreffend den allgemeinen Einsatz und die generelle Funktionsweise von Cookies stammen aus den Schlussanträgen des Generalanwalts in der Rechtssache C-673/17 (Planet49), Rz 36 ff.

2.2. Die Feststellungen unter 1.2. ergeben sich aus dem Verwaltungsakt und dem eigenen Vorbringen der BF im Laufe des Verfahrens in ihrer Beschwerde vom XXXX 2023, der Stellungnahme vom XXXX 2023 und einer amtswegigen Recherche des erkennenden Senats auf der Website der BF XXXX . Die Daten zum ÖWA Ranking sind der öffentlich zugänglichen Website und dem Ranking der ÖWA 2023-IV, abrufbar unter https://oewa.at/studie/planungsausweisung/ , entnommen.

2.3. Die Feststellungen zur mP, ihrem Besuch auf der Website der BF, zum Vorgang betreffend die Einholung der Zustimmung zur Verarbeitung von personenbezogenen Daten, zur zwingenden Zustimmung zu vier Diensten zum Zugang zu den Inhalten auf der Website der BF, zum genauen Wortlaut des „Pop-Up“ -Fensters und zur Zustimmung durch die mP beruhen auf dem Verwaltungs- und Gerichtsakt, insbesondere der Datenschutzbeschwerde der mP vom XXXX 2022 und den angeschlossenen Beilagen (Beilage 3 bis 11, betreffend die HAR-Datei und den Zugriff auf die Website XXXX ), sowie den Stellungnahmen vom XXXX 2023 und XXXX 2024. Dass die mP tatsächlich auf die Website zugegriffen hat, wird vom erkennenden Senat nicht angezweifelt.

2.4. Die getroffenen Feststellungen zu 1.4. beruhen auf der Datenschutzbeschwerde vom XXXX 2022, insbesondere der vorgelegten Beilage „11 - HAR-Datei nach Zwangseinwilligung.har“. Bei einer HAR-Datei handelt es sich um ein Archivformat, um Transaktionen eines Webbrowsers abzuspeichern, im konkreten Fall betreffend Daten zum Stichtag XXXX 2022.

2.5. Die unter 1.5. getroffenen Feststellungen beruhen auf dem Verwaltungsakt, insbesondere den amtswegigen Recherchen der DSB und einer Überprüfung dieser Recherche durch den erkennenden Senat unter https://developers.google.com/analytics/devguides/collection/gajs/cookie-usage sowie https://developers.google.com/analytics/devguides/collection/gtagjs/cookies-user-id (beide zuletzt abgefragt am XXXX 2024).

2.6. Die getroffenen Feststellungen ergeben sich aus den Vorbringen der Verfahrensparteien und einer Überprüfung der amtswegigen Recherche der DSB durch den erkennenden Senat unter https://oewa.at/tech-support/mcvd/ (zuletzt abgefragt am XXXX 2024).

2.7. Die Feststellung ergibt sich aus einer amtswegigen Recherche des erkennenden Senats betreffend die Website der BF unter XXXX (letzter Aufruf XXXX 2024).

3. Rechtliche Beurteilung:

Zu A)

3.1. Rechtsgrundlagen:

Artikel 4 DSGVO – Begriffsbestimmungen:

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

(…)

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

(…)

Artikel 5 DSGVO - Grundsätze für die Verarbeitung personenbezogener Daten:

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Artikel 6 DSGVO - Rechtmäßigkeit der Verarbeitung:

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

(…)

Artikel 7 DSGVO - Bedingungen für die Einwilligung:

(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Artikel 77 DSGVO - Recht auf Beschwerde bei einer Aufsichtsbehörde:

(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.

§ 1 DSG – Grundrecht auf Datenschutz:

(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

(…)

§ 1 MedienG – Begriffsbestimmungen:

(1) Im Sinn der Bestimmungen dieses Bundesgesetzes ist

1. „Medium“: jedes Mittel zur Verbreitung von Mitteilungen oder Darbietungen mit gedanklichem Inhalt in Wort, Schrift, Ton oder Bild an einen größeren Personenkreis im Wege der Massenherstellung oder der Massenverbreitung;

1a. „Medieninhalte“: Mitteilungen oder Darbietungen mit gedanklichem Inhalt in Wort, Schrift, Ton oder Bild, die in einem Medium enthalten sind;

2. „periodisches Medium“: ein periodisches Medienwerk oder ein periodisches elektronisches Medium;

3. „Medienwerk“: ein zur Verbreitung an einen größeren Personenkreis bestimmter, in einem Massenherstellungsverfahren in Medienstücken vervielfältigter Träger von Mitteilungen oder Darbietungen mit gedanklichem Inhalt;

4. „Druckwerk“: ein Medienwerk, durch das Mitteilungen oder Darbietungen ausschließlich in Schrift oder in Standbildern verbreitet werden;

5. „periodisches Medienwerk oder Druckwerk“: ein Medienwerk oder Druckwerk, das unter demselben Namen in fortlaufenden Nummern wenigstens viermal im Kalenderjahr in gleichen oder ungleichen Abständen erscheint und dessen einzelne Nummern, mag auch jede ein in sich abgeschlossenes Ganzes bilden, durch ihren Inhalt im Zusammenhang stehen;

5a. „periodisches elektronisches Medium“: ein Medium, das auf elektronischem Wege

a) ausgestrahlt wird (Rundfunkprogramm) oder

b) abrufbar ist (Website) oder

c) wenigstens vier Mal im Kalenderjahr in vergleichbarer Gestaltung verbreitet wird (wiederkehrendes elektronisches Medium);

6. „Medienunternehmen“: ein Unternehmen, in dem die inhaltliche Gestaltung des Mediums besorgt wird sowie

a) seine Herstellung und Verbreitung oder

b) seine Ausstrahlung oder Abrufbarkeit entweder besorgt oder veranlasst werden;

7. „Mediendienst“: ein Unternehmen, das Medienunternehmen wiederkehrend mit Beiträgen in Wort, Schrift, Ton oder Bild versorgt;

8. „Medieninhaber“: wer

a) ein Medienunternehmen oder einen Mediendienst betreibt oder

b) sonst die inhaltliche Gestaltung eines Medienwerks besorgt und dessen Herstellung und Verbreitung entweder besorgt oder veranlasst oder

c) sonst im Fall eines elektronischen Mediums dessen inhaltliche Gestaltung besorgt und dessen Ausstrahlung, Abrufbarkeit oder Verbreitung entweder besorgt oder veranlasst oder

d) sonst die inhaltliche Gestaltung eines Mediums zum Zweck der nachfolgenden Ausstrahlung, Abrufbarkeit oder Verbreitung besorgt;

9. „Herausgeber“: wer die grundlegende Richtung des periodischen Mediums bestimmt;

10. „Hersteller“: wer die Massenherstellung von Medienwerken besorgt;

11. „Medienmitarbeiter“: wer in einem Medienunternehmen oder Mediendienst an der inhaltlichen Gestaltung eines Mediums oder der Mitteilungen des Mediendienstes journalistisch mitwirkt, sofern er als Angestellter des Medienunternehmens oder Mediendienstes oder als freier Mitarbeiter diese journalistische Tätigkeit ständig und nicht bloß als wirtschaftlich unbedeutende Nebenbeschäftigung ausübt;

12. „Medieninhaltsdelikt“: eine durch den Inhalt eines Mediums begangene, mit gerichtlicher Strafe bedrohte Handlung, die in einer an einen größeren Personenkreis gerichteten Mitteilung oder Darbietung besteht.

(2) Zu den Medienwerken gehören auch die in Medienstücken vervielfältigten Mitteilungen der Mediendienste. Im übrigen gelten die Mitteilungen der Mediendienste ohne Rücksicht auf die technische Form, in der sie geliefert werden, als Medien.

3.2. In der Sache:

Gegenständlich moniert die mP, dass sie gezwungenermaßen Cookies akzeptieren musste, um auf die Inhalte der Website der BF zugreifen zu können, weil sie andernfalls keinen Zugang zu diesen Inhalten gehabt hätte. Im angefochtenen Bescheid sieht die DSB eine Verletzung datenschutzrechtlicher Bestimmungen dahingehend, dass die in Rede stehenden Cookies technisch nicht notwendig seien, und ihre Verwendung daher einer Einwilligung durch die betroffene Person unterliegen müsse. Im vorliegenden Fall sei es aber für die mP nicht möglich gewesen, ohne Bestätigung der Cookies iVm den Diensten „Google Tag Manager“, „Google Analytics“, „Google Advertising Products“ und „ÖWA“ auf die Website zu gelangen; es habe keine Auswahlmöglichkeit für die mP bestanden. Alleine aus diesem Umstand ergebe sich bereits, dass nicht von einer freiwilligen Einwilligung [in die Datenverarbeitung] gesprochen werden könne, da die mP keine echte Wahlmöglichkeit gehabt habe. Die Folgen einer unfreiwilligen Einwilligung sei ihre Ungültigkeit. Demzufolge könne die dem Setzen oder Auslesen von Cookies folgende Datenverarbeitung nicht auf Art. 6 Abs. 1 lit. a DSGVO gestützt werden. Auch die übrigen Tatbestände von Art. 6 Abs. 1 DSGVO kämen [für eine Rechtmäßigkeit der Verarbeitung] nicht in Betracht.

Der äußerste Rahmen für die Prüfbefugnis [des Verwaltungsgerichts] ist die „Sache“ des bekämpften Bescheides (VwGH 16.3.2016, Ra 2015/04/0042). Nach der Rechtsprechung des Verwaltungsgerichtshofes ist „Sache“ des Bescheidbeschwerdeverfahrens vor dem Verwaltungsgericht (nur) jene Angelegenheit, die den Inhalt des Spruchs der belangten Behörde gebildet hat (VwGH 9.9.2015, Ro 2015/03/0032, mwN), d.h. jene Angelegenheit, die von der belangten Behörde entschieden wurde (VwGH Ra 2015/04/0042) (vgl. VwGH 08.02.2022, Ro 2021/04/0033).

3.2.1. Allgemeines zur Anwendbarkeit der DSGVO, Zuständigkeit der DSB und Beschwerdelegitimation der mP:

Auf Basis der diesbezüglichen Vorbringen insbesondere der BF werden der rechtlichen Beurteilung die folgenden Überlegungen vorangestellt:

Für den erkennenden Senat haben sich Zweifel an der Anwendbarkeit der DSGVO auf den gegenständlichen Sachverhalt nicht ergeben: Die datenschutzrechtliche Verantwortlichkeit der BF iSd Art. 4 Z 7 DSGVO iZm den monierten Cookies auf ihrer eigenen Website beruht darauf, dass sie über die Zwecke und Mittel der gerügten Datenverarbeitung über die von ihr gesetzten Cookies auf der von ihr betriebenen Website entscheidet. Dass es sich bei den von den Cookies gesammelten Daten um personenbezogene Daten iSd Art. 4 Z 1 DSGVO handelt, ist nicht weiter strittig: die gegenständlichen Cookies enthalten einzigartige Kennnummern und wurden auf dem Endgerät bzw. im Browser der mP abgelegt. Mit diesen Kennungen war es der BF möglich, Website-Besucher:innen zu unterscheiden und auch die Information zu erhalten, ob es sich um eine:n neue:n oder um eine:n wiederkehrende:n Website-Besucher:in handelt. Ohne diese Kennnummern ist eine Unterscheidung von Website-Besucher:innen nicht möglich. In diesem Zusammenhang ist festzuhalten, dass alle Datensätze, die Identifizierungsmerkmale enthalten, mit denen Nutzer:innen ausgesondert werden können, nach der DSGVO als personenbezogene Daten gelten. Schon aus der Kombination der übermittelten Informationen beim Aufruf einer Website wie z.B. Online-Kennungen, IP-Adresse, Informationen zum Browser, Betriebssystem, Bildschirmauflösung, Sprachauswahl usw., kann ein „digitaler Fußabdruck“ generiert werden, der es erlaubt, das Endgerät und in weiterer Folge den:die konkrete:n Nutzer:in eindeutig zu individualisieren.

Darüber hinaus gibt es keine Zweifel daran, dass die BF eine Medieninhaberin iSd MedienG ist, die ein Medienunternehmen iSd § 1 Abs. 1 Z 6 lit. b MedienG betreibt und journalistisch tätig ist. Das Medienprivileg findet aber dennoch aus den folgenden Gründen im gegenständlichen Fall keine Anwendung: Die Verarbeitung personenbezogener Daten dient dann journalistischen Zwecken, wenn sie auf die Vermittlung von Informationen und Ideen über Fragen öffentlichen Interesses abzielt (vgl. EuGH 16.12.2008, C-73/07 [Satakunnan Markkinapörssi und Satamedia] Rz 61 = ECLI:EU:C:2008:727). Um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen, müssen Begriffe wie Journalismus, die sich auf diese Freiheit beziehen, im Ergebnis weit ausgelegt werden (ErwGr 153 letzter Satz DSGVO). Somit werden Daten grundsätzlich immer dann zu journalistischen Zwecken verarbeitet, wenn die Zielsetzung die Veröffentlichung für einen unbestimmten Personenkreis ist. Vor diesem Hintergrund muss das Privileg gemäß Abs. 1 nach unionsrechtlichem Verständnis ausgelegt werden (vgl. Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG)2 § 9 Rz 25 (Stand 1.2.2022, rdb.at)). Im Rahmen der Pressefreiheit und damit der journalistischen Tätigkeit erfasst der Kreis der von Art. 85 DSGVO geschützten journalistischen Tätigkeiten nicht nur die Veröffentlichung oder den Vertrieb der Zeitung (EGMR 10.1.2006, 50693/99 [Halis Dogan ua/Türkei] Rz 24), sondern auch die Arbeit der Journalist:innen selbst: die Beschaffung von Informationen, die Recherchetätigkeit, das Schreiben, aber auch Hilfstätigkeiten (vgl. EGMR 11.1.2000, 31457/96 [NEWS Verlag/Österreich] Rz 40; EGMR 17.9.2009, 13936/02 [Manole ua/Moldawien] Rz 104 f; zum Redaktionsgeheimnis: EGMR 27.3.1996, 17488/90 [Goodwin/UK])(vgl. Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG)2 § 9 Rz 31 (Stand 1.2.2022, rdb.at). Art 85 schützt damit das inhaltliche Tätigwerden der Presse (vgl. Rohner in Knyrim, DatKomm Art 85 DSGVO Rz 12 (Stand 1.12.2022, rdb.at)). Wie der EUGH zuletzt in C-73/07 (siehe oben) ausführte, sind nur solche Tätigkeiten von der Anwendung des Medienprivilegs erfasst, die „allein zu journalistischen Zwecken“ erfolgen und damit ausschließlich zum Ziel haben, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten. Diese Ansicht wird auch durch den Umstand erhärtet, dass der EuGH in der Rechtssache Buivids Kriterien festgelegt hat, die bei der Abwägung zwischen dem Grundrecht auf Datenschutz und dem Grundrecht auf freie Meinungsäußerung (Journalismus) zu berücksichtigen sind. Zu diesen Kriterien zählen „der Beitrag zu einer Debatte von allgemeinem Interesse, der Bekanntheitsgrad der betroffenen Person, der Gegenstand der Berichterstattung, das vorangegangene Verhalten der betroffenen Person, Inhalt, Form und Auswirkungen der Veröffentlichung, die Art und Weise sowie die Umstände, unter denen die Informationen erlangt worden sind, und deren Richtigkeit“ (vgl. EuGH 14.02.2019, C 345/17 [Buivids] Rz 65 = ECLI:EU:C:2019:122). Die genannten Kriterien treffen aber nicht auf die Situation der „Verarbeitung von personenbezogenen Daten für Werbezwecke“ zu. Daher ist bei der Frage der Anwendbarkeit des Medienprivilegs von der Notwendigkeit einer inhaltlichen Tätigkeit, wie von der DSB ausgeführt, auszugehen, die bei der Platzierung von Cookies zur Generierung von Werbeeinnahmen (als Gegenleistung für einen (sonst) kostenlosen Zugang zu journalistischen Inhalten) nicht vorliegt. Es bestand somit eine Zuständigkeit der DSB zur Entscheidung über die verfahrenseinleitende Datenschutzbeschwerde.

Art. 77 DSGVO gibt schließlich einer betroffenen Person das Recht, sich insbesondere bei der DSB in den Mitgliedstaaten ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes zu beschweren, und zählt damit demonstrativ, nicht abschließend, etwaige zuständige DSB auf. In der Literatur wird die Meinung vertreten, dass eine betroffene Person das Recht hat, sich an eine beliebige Aufsichtsbehörde zu wenden, da eine Aufsichtsbehörde schon dann „betroffen“ iSd Art 4 Z 22 lit c DSGVO ist, wenn bei ihr eine Beschwerde einlangt. Art. 77 DSGVO erlaubt jedoch kein ansatzloses forum shopping für Beschwerdeverfahren, und es besteht für BF keine Möglichkeit, frei zu wählen, bei welcher (nationalen) Aufsichtsbehörde eine Beschwerde eingebracht wird. Art. 77 DSGVO soll es einer betroffenen Person ermöglichen, eine Beschwerde bei einer Aufsichtsbehörde einzureichen, zu der ein räumliches und/oder sprachliches Naheverhältnis iZm dem Beschwerdesachverhalt besteht. Es ist daher notwendig, dass sich aus dem Vorbringen ein räumlicher, sachlicher oder sprachlicher Konnex zur angerufenen Aufsichtsbehörde ergibt, zB weil der:die BF den Wohnort oder gewöhnlichen Aufenthalt im Mitgliedstaat hat oder dessen Staatsbürger:in ist, sich die behauptete Rechtsverletzung im Mitgliedstaat ereignet oder ausgewirkt hat, oder der:die Beschwerdegegner:in Sitz oder Niederlassung im Mitgliedstaat oder seine Tätigkeit auf diesen ausgerichtet hat (vgl. Schweiger in Knyrim, DatKomm Art 77 Rz 20/1 DSGVO (Stand 1.12.2021, rdb.at)). Im gegenständlichen Beschwerdeverfahren fand die behauptete Rechtsverletzung in Österreich statt, und hat die Verantwortliche ihren Unternehmenssitz in Österreich. Es besteht somit ein hinreichender Konnex für eine Zuständigkeit der österreichischen DSB. Zudem ergibt sich aus den Feststellungen und der dazugehörenden Beweiswürdigung, dass die mP zumindest einmalig die Website der BF besucht hat, und damit ihre Daten durch die BF verarbeitet wurden.

3.2.2. Zur vorgebrachten Rechtsverletzung:

Wie bereits ausgeführt stützen sich die mP und die DSB in ihren rechtlichen Überlegungen darauf, dass die von der mP bei Zutritt zur Website der BF erteilte Zustimmung zu den vier näher festgestellten Cookies nicht im datenschutzrechtlichen Sinne freiwillig und daher ungültig gewesen ist, woraus sich mangels Rechtmäßigkeitstatbestand die Verletzung von Rechten der mP wegen der vorgenommenen Datenverarbeitung durch die gerügten Cookies ergeben hat.

Der erkennende Senat ist allerdings nicht der Meinung, dass gegenständlich die Einwilligung tatsächlich erzwungen wurde und demnach unfreiwillig war:

Allgemeines zum Geschäftsmodell „Daten gegen Dienstleistung“:

Art. 7 Abs. 4 DSGVO normiert ein sog. allgemeines (dh nicht auf punktuelle sektorale Regelungen eingeschränktes) Kopplungsverbot als besondere Ausprägung des Merkmals der Freiwilligkeit, wonach eine Einwilligung [in eine Datenverarbeitung] ua freiwillig erteilt werden muss. Zweck des Kopplungsverbots ist der Schutz der freien Willensbetätigung des:der Betroffenen im Rahmen einer Einwilligung, womit eine faktisch erzwungene Einwilligungserteilung (die ua beim Vorliegen eines „klaren Ungleichgewichts“ zwischen Betroffenen und Verantwortlichen vorliegen kann, aber nicht muss) verhindert werden soll. Dadurch kann im Ergebnis ein Eingriff in die Vertragsfreiheit (Privatautonomie) erfolgen. Ein Kopplungsverbot ist, kurz gesprochen, dadurch charakterisiert, dass es das Abhängigmachen (iS einer Bündelung) eines Vertragsabschlusses bzw. die Erbringung einer Leistung von der Erteilung einer Einwilligung der betroffenen Person in eine (sachfremde, dh nicht für die Abwicklung des Geschäfts erforderliche) Datenverarbeitung untersagt (vgl. Kastelitz in Knyrim, DatKomm Art 7 DSGVO Rz 33 (Stand 7.5.2020, rdb.at)).

Als offensichtlich nicht unter das Kopplungsverbot fallend beurteilt die dt. Datenschutzkonferenz „kostenlose“ Dienstleistungsangebote, die die Nutzer:innen mit der Zustimmung für eine werbliche Nutzung ihrer Daten „bezahlen“ (zB kostenloser E-Mail-Account gegen Zustimmung für Newsletter-Zusendung als „Gegenfinanzierung“; Gewinnspiele), was den Betroffenen jedoch als vertraglich ausbedungene Gegenleistung bei Vertragsabschluss klar und verständlich dargestellt werden müsse – nur dann bestünde keine Notwendigkeit mehr für eine Einwilligung. Hiermit werden Fälle angesprochen, bei denen die personenbezogenen Daten selbst zum Gegenstand einer Hauptleistungspflicht eines Rechtsgeschäfts werden. Gerade die Zulässigkeit dieses, in der Online-Welt gängigen, datenbasierten Geschäftsmodells ist iZm Art. 7 Abs. 4 DSGVO umstritten. Laut EDSA darf der Zugang zu Diensten und Funktionen nicht von der (hier nicht freiwillig erteilten) Einwilligung der Nutzer:innen zur Speicherung von Informationen oder zum Zugriff auf bereits auf dem Endgerät gespeicherte Information abhängig gemacht werden; damit werden insb. sogenannte „Cookie Walls“ angesprochen. Hinzuweisen ist in diesem Zusammenhang auch auf die RL über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, die zwar die ursprünglich im Kommissionsvorschlag enthaltene Formulierung von personenbezogenen Daten als Gegenleistung nicht mehr enthält. Dennoch bleibt es aber dabei, dass die Bereitstellung personenbezogener Daten durch Verbraucher:innen die gleichen vertraglichen Ansprüche gegen den Anbieter:innen auslöst wie die Zahlung eines Entgelts, womit Daten (zumindest indirekt) als „zivilrechtliches Währungssubstitut“ anerkannt werden (siehe Art. 3 Abs. 1 S 2; ErwGr 24). Die DSGVO ist jedoch vorrangig anzuwenden (Art. 3 Abs. 8; ErwGr 37 ff); auch die Zulässigkeit einer Datenverarbeitung richtet sich nach der DSGVO (s ErwGr 38), womit Konflikte mit dem Kopplungsverbot vorprogrammiert scheinen. Nach einer Ansicht wird es weiterhin möglich sein, „kostenlose“ Internetdienstleistungen zu erbringen, wobei jedoch das (entgeltliche) Austauschverhältnis „Leistung gegen personenbezogene Daten“ deutlicher als bisher in den Vordergrund gestellt werden muss. Die Artikel-29-Datenschutzgruppe vertritt dagegen die Ansicht, dass durch Art. 7 Abs. 4 DSGVO sichergestellt wird, dass die auf einer Einwilligung basierende Verarbeitung personenbezogener Daten weder direkt noch indirekt die vertragliche Gegenleistung darstellen kann. Bemerkenswert ist jedoch, dass die Artikel-29-Datenschutzgruppe und nunmehr auch der EDSA bei einem „echten“ alternativen Angebot durch denselben:dieselbe Anbieter:in, das (bis auf die nicht verlangte Einwilligung in die Datenverarbeitung) wirklich gleichwertig zum einwilligungsbasierten ist, aufgrund dieser Wahlmöglichkeit („Entkoppelung“) von der Nichtanwendbarkeit des Kopplungsverbots ausgehen – dabei aber die näheren Modalitäten, insb. hinsichtlich der Zulässigkeit einer entgeltlichen Alternative, offenlassen (vgl. Kastelitz in Knyrim, DatKomm Art 7 DSGVO Rz 38 (Stand 7.5.2020, rdb.at)).

Fehlende Freiwilligkeit einer Einwilligung bei marktbeherrschender Stellung des:der Diensteanbieter:in:

Die DSB verweist im angefochtenen Bescheid und in ihrer Stellungnahme bei Beschwerdevorlage auf das Urteil des EuGH vom 04.07.2023, C-252/21 [Meta Platforms u.a. (Conditions générales d’utilisation d’un réseau social)], ECLI:EU:C:2023:537, woraus sich ergeben würde, dass eine betroffene Person beim Besuch einer Website (im Fall vor dem EuGH ging es um ein soziales Online-Netzwerk) nicht alternativlos in eine Situation gebracht werden kann, in der sie der Verarbeitung ihrer personenbezogenen Daten zustimmen muss, um auf die Website gelangen und die Dienste wahrnehmen zu können.

Das zitierte Urteil ist aber aus Sicht des erkennenden Senats auf den gegenständlichen Sachverhalt nicht in dieser Form übertragbar, und zwar aus den folgenden Gründen:

Der EuGH stellte u.a. mit diesem Urteil zu C-252/21 (Meta) betreffend das entsprechende wettbewerbsrechtlich determinierte Vorabentscheidungsverfahren klar, dass es sich beim Facebook – Geschäftsmodell (Finanzierung durch Onlinewerbung, die auf den:die individuelle:n Nutzer:in nach Maßgabe des Konsumverhaltens zugeschnitten ist auf Basis der automatisierten Erstellung von detaillierten Profilen der Nutzer:innen) um ein besonders wichtiges und für den Wettbewerb zwischen Unternehmen notwendiges Modell der digitalen Wirtschaft handelt. So heißt es in den Randziffern 50 - 51 wörtlich: „Im Übrigen ist festzustellen, dass der Zugang zu personenbezogenen Daten sowie deren Verwertung im Rahmen der digitalen Wirtschaft von erheblicher Bedeutung sind. Diese Bedeutung wird im Ausgangsrechtsstreit durch das vom sozialen Netzwerk Facebook verfolgte Geschäftsmodell veranschaulicht, das, wie in Rn. 27 des vorliegenden Urteils dargelegt, vorsieht, dass durch die Kommerzialisierung von Werbenachrichten, die anhand von Nutzerprofilen (die ihrerseits auf von Meta Platforms Ireland erhobenen personenbezogenen Daten basieren) personalisiert werden, Einnahmen generiert werden. Wie u. a. die Kommission hervorgehoben hat, sind der Zugang zu personenbezogenen Daten und die Möglichkeit ihrer Verarbeitung zu einem bedeutenden Parameter des Wettbewerbs zwischen Unternehmen der digitalen Wirtschaft geworden. Daher würde der Ausschluss der Vorschriften über den Schutz personenbezogener Daten aus dem rechtlichen Rahmen, den die Wettbewerbsbehörden bei der Prüfung des Missbrauchs einer beherrschenden Stellung zu berücksichtigen haben, die tatsächliche wirtschaftliche Entwicklung verkennen und die Wirksamkeit des Wettbewerbsrechts in der Union gefährden.“

Diesem Urteil liegt die (datenschutzrechtliche) Ausgangssituation zu Grunde, dass Dienste/Dienstleistungen (z.B. Facebook, WhatsApp, etc..) kostenlos für registrierte Nutzer:innen zur Verfügung gestellt werden, die große Datenmengen bzw. Daten mit hoher Sensibilität (Art. 9 DSGVO) auf die genannten Dienste hochladen bzw. mit deren Hilfe generieren, wenn diese im Gegenzug (gewinnbringend) verwertet werden dürfen, wobei der hinter diesen Diensten/Plattformen stehende Konzern eine marktbeherrschende Stellung innehat: so lautete die relevante Vorlagefrage dazu (vgl. RZ 140; Hervorhebungen nicht im Original): „Mit seiner sechsten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 6 Abs. 1 Unterabs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO dahin auszulegen sind, dass eine Einwilligung, die der Nutzer eines sozialen Online-Netzwerks dem Betreiber eines solchen Netzwerks erteilt hat, als eine Einwilligung angesehen werden kann, die die in Art. 4 Nr. 11 dieser Verordnung vorgesehenen Gültigkeitsvoraussetzungen – insbesondere diejenige der freiwilligen Erteilung der Einwilligung – erfüllt, wenn dieser Betreiber auf dem Markt für soziale Online-Netzwerke eine beherrschende Stellung einnimmt.“

Der EuGH antwortete (zusammengefasst) in den Randziffern 147-154 (Hervorhebungen nicht im Original), dass der Umstand einer marktbeherrschenden Stellung für soziale Netzwerke bei der Beurteilung der Wirksamkeit der Einwilligung berücksichtigt werden muss, da er geeignet ist, die Wahlfreiheit des:der Nutzer:in zu beeinträchtigen. Außerdem kann aufgrund einer solchen beherrschenden Stellung zwischen der betroffenen Person und dem:der Verantwortlichen ein klares Ungleichgewicht im Sinne des 43. Erwägungsgrundes der DSGVO bestehen. Nutzer:innen müssen die Freiheit haben, im Zuge des Vertragsabschlusses die Einwilligung in bestimmte Datenverarbeitungsvorgänge, die für die Erfüllung des Vertrags nicht erforderlich sind, einzeln zu verweigern, ohne dazu gezwungen zu sein, auf die Nutzung des vom:von der Betreiber:in des sozialen Online-Netzwerks angebotenen Dienstes vollständig zu verzichten, was bedingt, dass ihnen, gegebenenfalls gegen ein angemessenes Entgelt, eine gleichwertige Alternative angeboten wird, die nicht mit solchen Datenverarbeitungsvorgängen einhergeht.

Der DSB kann bei genauer Durchsicht des EuGH Urteils zu C-252/21 (Meta) nicht dahingehend gefolgt werden, dass die Aussagen des EuGH in der RZ 150 zur Möglichkeit, die Einwilligung zu Datenverarbeitungsvorgängen zu verweigern, ohne dazu gezwungen zu sein, auf die Nutzung des Dienstes zu verzichten, generell auf alle Websitangebote anzuwenden ist: diese Aussagen des EuGH stehen nicht nur in einem kontextuellen Zusammenhang mit Dienstanbieter:innen in einer marktbeherrschenden Stellung, sondern präzisiert der EuGH in der RZ 150 selbst, dass eine betroffene Person nicht gezwungen werden darf, auf die Nutzung der Dienste des sozialen Online-Netzwerks zu verzichten.

Entsprechendes trifft aber auf den gegenständlichen Sachverhalt nicht zu: das Onlineangebot der BF ist mit der Größe und damit einhergehenden Bedeutung für die soziale Kommunikation eines sozialen Netzwerks des Meta-Konzerns nicht gleichzusetzen. Der EuGH hebt auch gerade in der RZ 151 des zitierten Urteils den großen Umfang der fraglichen Datenverarbeitungen bei Facebook und die damit verbundenen erheblichen Auswirkungen auf die Nutzer:innen hervor, was ebenfalls nicht nur nicht auf die avisierten Datenverarbeitungen durch die Cookies beim Onlineangebot der BF zutrifft, sondern darüber hinaus außerdem nicht auf die Art der Daten der betroffenen Personen, die dort verarbeitet werden: auch in diesem Punkt ist eine Vergleichbarkeit der Sachverhalte nicht gegeben.

Von einer entsprechenden marktbeherrschenden Stellung der BF als Websitebetreiberin und einem deswegen entstehenden Druck auf Nutzer:innen, einer Cookie-Verwendung zustimmen zu müssen, weil andernfalls ein quasi-monopolistischer Onlinedienst nicht zugänglich sein würde, kann gegenständlich auch nicht ausgegangen werden:

Die BF ist eine Medieninhaberin, die journalistische Artikel und Beiträge auf ihrer Website XXXX veröffentlicht, die ungefähr XXXX (eigene Angabe der BF) Aufrufe im Monat verzeichnet. Folgt man der aktuellen Studie der ÖWA (ÖWA 2023 – IV), so rangiert das Einzelangebot von XXXX im vierten Quartal 2023 (als Teil des Dachangebotes der XXXX ) auf Platz XXXX von 87 Studienteilnehmer:innen mit gesamt XXXX Aufrufen (durch Unique Nutzer:innen = XXXX Mio. Österreicher:innen) im Monat, wobei der Anteil an „Online-Abrufen“ bei XXXX liegt. Vom Vorliegen einer (speziell im Bereich der Onlinemedien) marktbeherrschenden Stellung, die aber ein wesentliches Element des zitierten Vorlageersuchens an den EuGH in C-252/21 (Meta) bildete, das im Übrigen ein wettbewerbsrechtliches Verfahren betraf, kann vor diesem Hintergrund nicht ausgegangen werden.

Gegenteiliges wurde im Übrigen weder von der mP noch von der DSB vorgebracht.

Nun verkennt das Bundesverwaltungsgericht nicht, dass die Anforderungen an die datenschutzrechtliche Einwilligung die Privatautonomie einschränken können (siehe Kommentierung weiter oben). Der gegenständlich zu prüfende Sachverhalt zeichnet sich dadurch aus, dass eine Medieninhaberin ein journalistisch-redaktionelles Onlineangebot gegen eine Gegenleistung zur Verfügung stellen möchte: diese Gegenleistung bestand zum prüfungsrelevanten Zeitpunkt darin, durch die Ermöglichung von Cookies personenbezogene Daten über das Nutzer:innenverhalten zu sammeln.

Würde man dem Vorbringen der mP und der Bescheidbegründung der DSB folgen wollen, soll es nicht mehr der BF überlassen sein, unter welchen Bedingungen, dh unter Anforderung welcher Gegenleistung, sie ihren Onlineinhalt Nutzer:innen zugänglich machen will. Nach der Bescheidbegründung müsste die BF, um die Zugänglichkeit auf ihr Angebot auch für jene Nutzer:innen zu gewährleisten, die einer Verarbeitung ihrer Daten durch Cookies nicht zustimmen wollen, echte Alternativangebote schaffen, wie zB ein „Pay or Okay“ Modell, um den Zugang zur Website jedenfalls zu ermöglichen.

Wodurch aber im gegenständlichen Sachverhalt ein derartiger Eingriff in die Privatautonomie der BF, nämlich dahingehend ihr vorzuschreiben, unter welchen Bedingungen die BF die Nutzung ihres Onlineangebots ermöglichen soll, gerechtfertigt sein soll, ist für den erkennenden Senat nicht ersichtlich und wurde auch von der mP und der DSB nicht substantiiert releviert: wie bereits ausführlich dargestellt kommt dem Angebot der BF keine marktbeherrschende Stellung zu. Sie bietet darüber hinaus nicht nur keine lebensnotwendigen Güter an, sondern stellt auch in ihrem eigenen Kompetenzbereich (nur) eine unter mehreren/vielen Anbieter:innen von journalistisch aufbereiteten Inhalten auf Basis einer Wochenpublikation dar, und können geneigte Nutzer:innen journalistisch aufbereitete Inhalte auch von (vielen) anderen Anbieter:innen (im deutschsprachigen Raum und darüber hinaus) erhalten bzw. abrufen. Sollte aber dennoch jedenfalls auf Inhalte des XXXX zugegriffen werden wollen, bestand und besteht nicht nur die alternative Möglichkeit, die Printausgabe käuflich zu erwerben und zu lesen, sondern auch, besonders interessant für Leser:innen im Ausland, ein Digitalabonnement zum von der BF festzulegenden Preis abzuschließen. Im Lichte dieser Gesamtschau kann nicht erkannt werden, warum aus Gründen des Datenschutzes für die mP jedenfalls ein Anspruch (subjektives Recht) auf Zugang zu den Onlineinhalten auf der Website der BF zu den von ihr, der mP, vorgegebenen Bedingungen bestehen muss. Der mit ihrer Interpretation des Rechtmäßigkeitstatbestands des Art. 6 Abs. 1 lit. a DSGVO einhergehende Eingriff in die Privatautonomie der BF fehlt es im gegenständlichen Sachverhalt an einer Verhältnismäßigkeit.

Demnach besteht für die mP kein Anspruch auf Zugang zu den Websiteinhalten zu den von ihr vorgegebenen Bedingungen, und ist die BF nicht verpflichtet, einen solchen Zugang jedenfalls unter Zurverfügungstellung einer Alternativlösung des „Pay or Okay Modells“ zu gewährleisten. Nur ergänzend ist darauf hingewiesen, dass die BF mittlerweile im Übrigen ein „Pay or Okay Modell“ eingeführt hat, und es bereits davor die Möglichkeit eines Digitalabonnements gegeben hat: einen Anspruch auf einen bestimmten – günstigen - Abonnementpreis kann die mP jedenfalls auch nicht geltend machen.

In diesem Lichte kann aber nun nicht mehr davon ausgegangen werden, dass die Einwilligung der mP zu den monierten Cookies tatsächlich jedenfalls erzwungen wurde.

Für die Annahme eines Rechtsgeschäfts, bei dem die personenbezogenen Daten des Betroffenen selbst zum Gegenstand einer Hauptleistungspflicht des:der Kontrahierenden werden, ist es weiter notwendig, dass dies stärker als bisher – im Sinne einer klaren Information - in den Vordergrund tritt. Das hier relevante Element, dass eine „kostenlose“ Internetdienstleistung im Sinne eines (entgeltlichen) Austauschverhältnisses „Leistung gegen personenbezogene Daten“ stattfindet, muss somit durch den:die Verantwortliche:n hinreichend genau artikuliert werden.

Mit dem festgestellten „Pop-Up“ –Fenster kam die BF aber dieser Voraussetzung nach: so wies sie die mP beim Versuch, einen „kostenlosen“ Zugang ohne Einwilligung in die Verarbeitung der personenbezogenen Daten zu erlangen, eindeutig daraufhin, dass ein Betrieb der Website ohne jegliche Datenverarbeitung und somit (evident) ohne jegliche Art von Gegenleistung „nicht sinnvoll sei“ und daher „zwingend eine Zustimmung zu zumindest vier ausgewählten Diensten notwendig wäre“.

Demnach wurde die mP bei ihrem Besuch der Website ausreichend klar und deutlich über das Leistungsangebot und die damit einhergehenden Bedingungen sowie über die Natur der Gegenleistung informiert. Es stand ihr weiter zu jenem Zeitpunkt ohne wesentliche Einschränkung ihrer Lebensführung, aber auch ihrer Wahrnehmung ihrer Rechte aus der Freiheit der Meinungsäußerung und Information, frei, das Angebot des Tausches Inhalte gegen personenbezogene Daten nicht anzunehmen, bzw. andere zur Verfügung stehende Wege einer entsprechenden Information zu gehen, nicht zuletzt zB den Abschluss eines (Digital-) Abonnements. Ein Recht auf Zugang unter Voraussetzungen, die die mP bevorzugen würde, besteht jedenfalls weder aus datenschutzrechtlichen, noch aus anderen rechtlichen Grundlagen heraus.

3.2.3. Ergebnis:

Im Lichte der vorstehenden Begründung fand daher die Verarbeitung der personenbezogenen Daten der mP durch die BF beim Websitebesuch am XXXX 2022 auf Basis des Rechtsfertigungstatbestands des Art. 6 Abs. 1 lit. a DSGVO statt und war damit rechtmäßig.

Da in diesem Sinne jedenfalls die Feststellung einer Datenschutzverletzung durch die DSB in Spruchpunkt 1. des angefochtenen Bescheids zu Unrecht erfolgte, verlieren die Spruchpunkte 2. und 3. des angefochtenen Bescheids ihre Grundlage.

4. Zum Entfall der mündlichen Verhandlung:

Gemäß § 24 Abs. 1 VwGVG hat auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen. Eine mündliche Verhandlung wurde nicht beantragt.

Im gegenständlichen Fall kann das Unterbleiben einer – nicht beantragten - mündlichen Verhandlung darauf gestützt werden, dass der Sachverhalt aus der Aktenlage in Verbindung mit der Beschwerde geklärt ist. Das Bundesverwaltungsgericht hat vorliegend daher ausschließlich über Rechtsfragen zu erkennen (vgl. EGMR 05.09.2002, Appl. Nr. 42057/98, Speil/Österreich). Auch nach der Rechtsprechung des Verfassungsgerichtshofs kann eine mündliche Verhandlung unterbleiben, wenn der Sachverhalt unbestritten und die Rechtsfrage von keiner besonderen Komplexität ist (VfSlg. 17.597/2005; VfSlg. 17.855/2006; zuletzt etwa VfGH 18.6.2012, B 155/12).

Zu B) Zulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig, da es an einer Rechtsprechung des Verwaltungsgerichtshofes betreffend die Qualität der Einwilligung nach Art. 6 Abs. 1lit. a DSGVO im Kontext eines Geschäftsmodells eines:einer Verantwortlichen in nicht-marktbeherrschender Stellung, das eine kostenlose Dienstleistung im Austausch für personenbezogene Daten (als vertragliche Hauptleistungspflicht) vorsieht, fehlt.