Entscheidungsdatum
12.03.2019Norm
AVG §78Spruch
W214 2223400-1/11E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Dr. Eva SOUHRADA-KIRCHMAYER als Vorsitzende sowie die fachkundigen Laienrichterinnen Mag. Huberta MAITZ-STRASSNIG und Mag. Claudia KRAL-BAST als Beisitzerinnen über die Beschwerde des XXXX (Erstbeschwerdeführer) und des XXXX (Zweitbeschwerdeführer), beide vertreten durch XXXX , gegen den zweiten Spruchpunkt 1. und Spruchpunkt 2. des Bescheides der Datenschutzbehörde vom 06.08.2019, Zl. XXXX , zu Recht erkannt:
A)
Die Beschwerde wird gemäß § 28 Abs. 2 Verwaltungsgerichtsverfahrensgesetz, BGBl. I Nr. 33/2013 idgF (VwGVG), als unbegründet abgewiesen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:
1. Die Beschwerdeführer beantragten am 23.05.2018 bei der Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) als Interessenvertreter von XXXX die Genehmigung von Verhaltensregeln gemäß Art. 40 Abs. 5 DSGVO. Nach den Ausführungen der Beschwerdeführer sollen diese Verhaltensregeln dem Zweck dienen, zur ordnungsgemäßen Anwendung der DSGVO im Bereich der XXXX in Bezug auf alle XXXX beizutragen, indem sie die Anwendung der DSGVO im Hinblick auf branchenspezifische Verarbeitungstätigkeiten konkretisieren. Sie sind auf Unternehmen, die XXXX sind und die ihr Hauptverarbeitungsgebiet in Österreich haben […] in Bezug auf die Verarbeitung personenbezogener Daten für Zwecke ihrer XXXX hinsichtlich ihrer Verarbeitungstätigkeit in Österreich anwendbar. Für Verarbeitungstätigkeiten für journalistische Zwecke soll ausschließlich Teil XXXX ) Anwendung finden. Die Verhaltensregeln (Fassung vom XXXX ) gliedern sich in folgende Bereiche:
XXXX
2. Mit Schreiben vom 20.06.2018 gab die belangte Behörde eine erste Stellungnahme zu dem vorgelegten Entwurf idF 23.05.2018 ab.
3. In weiterer Folge wurde unter Berücksichtigung der Anregungen der belangten Behörde ein weiterer Entwurf idF 11.09.2018 vorgelegt.
4. Am 20.11.2018 wurde bei der belangten Behörde eine mündliche Verhandlung durchgeführt, in deren Rahmen der Entwurf idF 11.09.2018 er erörtert wurde.
5. In weiterer Folge wurde, unter Berücksichtigung der Ergebnisse der mündlichen Verhandlung vom 20.11.2018, ein Entwurf idF 09.01.2019 durch die Beschwerdeführer vorgelegt.
6. Nach telefonischer Kontaktaufnahme seitens der belangten Behörde und Erörterung des Entwurfs idF 09.01.2019 im Rahmen Förderpflicht gemäß Art. 57 Abs. 1 lit. m DSGVO wurde ein überarbeiteter Entwurf idF 11.03.2019 vorgelegt.
7. Nach nochmaliger telefonischer Kontaktaufnahme seitens der belangten Behörde und Erörterung des Entwurfs idF 11.03.2019 wurde ein letzter Entwurf idF XXXX durch die Beschwerdeführer vorgelegt.
8. Mit Bescheid der belangten Behörde vom 06.08.2019 wurde der Antrag der Beschwerdeführer teilweise genehmigt (erster Spruchpunkt 1.), hinsichtlich einzelner Spruchpunkte abgewiesen (zweiter Spruchpunkt 1.) bzw. mit geänderter Formulierung erteilt (Spruchpunkt 2. und 3.), die Genehmigung gemäß (erstem) Spruchpunkt 1. unter der Bedingung erteilt, dass die zur Überwachung der vorgelegten Verhaltensregeln vorgesehen Überwachungsstelle (VAVD) im Sinne von Art. 41 Abs. 1 und 2 DSGVO akkreditiert werde (Spruchpunkt 4.) sowie die Beschwerdeführerinnen verpflichtet, eine Verwaltungsabgabe zu entrichten (Spruchpunkt 5.).
Begründend wurde zunächst ausgeführt, dass die belangte Behörde gemäß § 18 Abs. 1 DSG als nationale Aufsichtsbehörde im Sinne des Art. 51 DSGVO eingerichtet und daher gemäß Art. 40 Abs. 5 in Verbindung mit Art. 57 Abs. 1 lit. m in Verbindung mit Art. 58 Abs. 3 lit. d DSGVO für die Genehmigung von Verhaltensregeln zuständig sei.
Aus Art. 40 Abs. 2 DS-GVO gehe hervor, dass „Verbände“ und „andere Vereinigungen“, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten würden, Verhaltensregeln auf freiwilliger Basis ausarbeiten könnten, wobei der Begriff „Verbände“ als die „maßgeblichen Interessensträger“ für die von diesen Verhaltensregeln betroffenen Branchenangehörigen zu verstehen sei. Im vorliegenden Fall handle es sich bei der Erstbeschwerdeführerin um eine Interessenvertretung von XXXX und bei der Zweitbeschwerdeführerin um die Berufs- und Standesorganisation der XXXX . Die Beschwerdeführer besäßen daher zweifelsfrei Repräsentationsrelevanz und seien daher legitimiert, gemeinsam einen entsprechenden Antrag auf Genehmigung von Verhaltensregeln zu stellen. Weiters begründete die belangte Behörde die Nichtgenehmigung einzelner Punkte der zur Genehmigung vorgelegten Verhaltensregeln.
9. Gegen den zweiten Spruchpunkt 1. und Spruchpunkt 2. dieses Bescheides erhoben die Beschwerdeführer fristgerecht Beschwerde an das Bundesverwaltungsgericht und führten unter Bezugnahme auf die DSGVO und die ePrivacy-Richtlinie aus, dass die teilweise Nichtgenehmigung rechtswidrig erfolgt sei. Beantragt wurde die Aufhebung des zweiten Spruchpunktes 1. und des Spruchpunktes 2. Weiters wurde die Einholung einer Vorabentscheidung durch den Europäischen Gerichtshof im Zusammenhang mit der Freiwilligkeit einer datenschutzrechtlichen Einwilligung im Sinne des Art. 4 Z 1, 7 Abs. 4 DSGVO sowie der Begrifflichkeit „unbedingt erforderlich“ in Art. 5 Abs. 3 der Richtlinie 2002/58/EG in der durch Richtlinie 2009/136/EG geänderten Fassung angeregt.
10. Die belangte Behörde machte von Möglichkeit einer Beschwerdevorentscheidung nicht Gebrauch, legte die Beschwerde samt den bezughabenden Verwaltungsunterlagen dem Bundesverwaltungsgericht zur Entscheidung vor und gab eine Stellungnahme dahingehend ab, dass es in der Natur von branchenspezifischen Verhaltensregeln liege, dass sich diese nicht auf eine konkrete Situation bezögen, sondern allgemeine Geltung für jede Kategorien von Verantwortlichen oder Auftragsverarbeitern besäßen, welche sich den Verhaltensregeln unterworfen hätten. Verhaltensregeln müssten daher einen ausreichenden Präzisierungsgrad aufweisen, um allgemein auf die Situation von Rechtsunterworfenen Anwendung finden zu können. Umgekehrt könne die belangte Behörde gewisse Aspekte von Verhaltensregeln nicht genehmigen, die zu viel Interpretationsspielraum und Unklarheiten offenließen bzw. die im Widerspruch zur DSGVO stünden. Des Weiteren wurde in dieser Stellungnahme auf einzelne Punkte der Beschwerde eingegangen. Diese Stellungnahme wurde den Beschwerdeführern zur Kenntnis und allfälligen Stellungnahme übermittelt.
11. Die Beschwerdeführer nahmen dazu mit Schreiben vom 10.03.2020 Stellung. Es sei festzuhalten, dass die von der belangten Behörde zur Rechtfertigung der Abweisung der Verhaltensregeln in den Punkten XXXX und XXXX herangezogenen EDSA-Leitlinien 1/2019 im Zeitpunkt der Einreichung der Verhaltensregeln zur Genehmigung noch nicht erlassen waren. Weiters sei der Ansicht der belangten Behörde entgegenzutreten, dass Verhaltensregeln nur Präzisierungen dazu treffen dürfen, was eine rechtlich zulässige Verarbeitungstätigkeit sei. Die Regel XXXX würde den Vorgaben der EDSA-Leitlinien 1/2019 entsprechen. Eine weitergehende Präzisierung, wie von der Behörde gefordert, sei nicht erforderlich und letztlich auch nicht möglich.
Zu XXXX . (Tracking-Cookies bei XXXX ) merkten die Beschwerdeführer an, dass die belangte Behörde inhaltlich gar nicht auf diesen Punkt eingegangen sei. Bei den Ausführungen zu XXXX (Tracking-Cookies bei Gratisangeboten) scheine die belangte Behörde in ihrer Argumentation der Erforderlichkeit im Sinne des Art. 7 Abs. 4 DSGVO mit der unbedingten Erforderlichkeit des Art. 5 Abs. 3 ePrivacy-Richtlinie bzw. § 96 Abs. 3 TKG zu vermengen. Die Beschwerdeführer legten erneut ihrem rechtlichen Standpunkt zu dieser Regelung dar und verwiesen auf einen Erwägungsgrund in einem Entwurf der finnischen Ratspräsidentschaft zur ePrivacy-Verordnung. Weiters wiederholten die Beschwerdeführer im Wesentlichen ihre Argumentation betreffend Punkt XXXX .
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
Der unter Punkt I. dargelegte Verfahrensgang und die vorgelegten Verhaltensregeln vom 24.04.2019 werden den Sachverhaltsfeststellungen zugrunde gelegt.
Die Beschwerdeführer beantragten mit Schreiben vom 23.05.2018 bei der belangten Behörde die Genehmigung von Datenschutz-Verhaltensregeln XXXX . Dazu erging eine Stellungnahme der belangten Behörde.
Der belangten Behörde wurde von den Beschwerdeführern daraufhin ein überarbeiteter Entwurf in der Fassung vom 11.09.2018 vorgelegt.
Am 20.11.2018 fand zur Erörterung der Verhaltensregeln eine mündliche Verhandlung bei der belangten Behörde statt.
Daraufhin wurde in überarbeiteter Entwurf vom 09.01.2019 vorgelegt. Nach telefonischer Kontaktaufnahme seitens der belangten Behörde und Erörterung des Entwurfs wurde ein weiterer überarbeiteter Entwurf vom 11.03.2019 vorgelegt.
Nach einer weiteren telefonischen Kontaktaufnahme und Erörterung seitens der belangten Behörde wurde der gegenständliche Entwurf idF vom XXXX vorgelegt. Dem Antrag auf Genehmigung wurde von der belangten Behörde größtenteils stattgegeben; hinsichtlich der Punkte XXXX wurde der Antrag abgewiesen (zweiter Spruchpunkt 1.). Punkt XXXX . wurde mit der Maßgabe einer bestimmten Modifizierung genehmigt (Spruchpunkt 2. des Bescheides).
Die Beschwerdeführer erhoben gegen den zweiten Spruchpunkt 1. (der nunmehr als „2.“ zu bezeichnen sei) und gegen Spruchpunkt 2. (der nunmehr als „3.“ zu bezeichnen sei) fristgerecht Beschwerde an das Bundesverwaltungsgericht.
2. Beweiswürdigung:
Diese Feststellungen ergeben sich aus dem Verwaltungsakt und dem gegenständlichen Gerichtsakt und sind unstrittig. Soweit Darstellungen über den Inhalt angeblicher Gespräche zwischen dem Rechtsvertreter der Beschwerdeführer mit einem Sachbearbeiter der belangten Behörde strittig sind, sind diese für den hier relevanten Sachverhalt unerheblich. Strittig sind allerdings einige Rechtsfragen.
3. Rechtliche Beurteilung:
3.1. Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß § 27 Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.
Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I 2013/33 idF BGBl. I 2013/122, geregelt (§ 1 leg.cit.). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.
Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.
Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.
Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Art. 130 Abs. 1 Z 1 B-VG dann in der Sache selbst zu entscheiden, wenn (1.) der maßgebliche Sachverhalt feststeht oder (2.) die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.
3.2. Rechtslage:
Die belangte Behörde hat ihrem Bescheid die folgenden Rechtsgrundlagen zugrunde gelegt: Art. 40, Art. 41; Art. 51 Abs. 1, Art. 57 Abs. 1 lit. m und Art. 58 Abs. 3 lit. d der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung), ABl L 2016/119, 1 (im Folgenden: DSGVO), § 18 Abs. 1 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF, § 78 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 (AVG), BGBl. Nr. 51/1991 idgF, iVm §§ 1, 3 Abs. 1 und TP 1 der Bundesverwaltungsabgabenverordnung 1983 (BVwAbgV), BGBl. Nr. 24 idgF.
Diese Bestimmungen sind – mit Ausnahme von Art. 41 DSGVO, der sich auf eine unabhängige Überwachungsstelle bezieht, die akkreditiert werden kann, und den abgabenrechtlichen Regelungen, die hier nicht mehr relevant sind, da die Genehmigung unter der Bedingung der Akkreditierung der Überwachungsstelle und die Verpflichtung der Zahlung von Abgaben nicht angefochten wurde – auch im gegenständlichen Beschwerdeverfahren vor dem Bundesverwaltungsgericht heranzuziehen. Darüber hinaus ist auch § 1 Abs. 1 und 2 DSG von Relevanz. Überdies ist auch § 9 Abs. 1 DSG in die rechtlichen Erwägungen einzubeziehen.
Art. 7 DSGVO lautet:
„Artikel 7
Bedingungen für die Einwilligung
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind“.
Erwägungsgrund 43 DSGVO lautet:
„(43) Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern. Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“
Art. 40 DSGVO lautet:
„Artikel 40
Verhaltensregeln
(1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen.
(2) Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung dieser Verordnung beispielsweise zu dem Folgenden präzisiert wird:
a)
faire und transparente Verarbeitung;
b)
die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen;
c)
Erhebung personenbezogener Daten;
d)
Pseudonymisierung personenbezogener Daten;
e)
Unterrichtung der Öffentlichkeit und der betroffenen Personen;
f)
Ausübung der Rechte betroffener Personen;
g)
Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist;
h)
die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32;
i)
die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten;
j)
die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder
k)
außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gemäß den Artikeln 77 und 79.
(3) Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können Verhaltensregeln, die gemäß Absatz 5 des vorliegenden Artikels genehmigt wurden und gemäß Absatz 9 des vorliegenden Artikels allgemeine Gültigkeit besitzen, können auch von Verantwortlichen oder Auftragsverarbeitern, die gemäß Artikel 3 nicht unter diese Verordnung fallen, eingehalten werden, um geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe des Artikels 46 Absatz 2 Buchstabe e zu bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, die geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
(4) Die Verhaltensregeln gemäß Absatz 2 des vorliegenden Artikels müssen Verfahren vorsehen, die es der in Artikel 41 Absatz 1 genannten Stelle ermöglichen, die obligatorische Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten, vorzunehmen, unbeschadet der Aufgaben und Befugnisse der Aufsichtsbehörde, die nach Artikel 55 oder 56 zuständig ist.
(5) Verbände und andere Vereinigungen gemäß Absatz 2 des vorliegenden Artikels, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor, die nach Artikel 55 zuständig ist. Die Aufsichtsbehörde gibt eine Stellungnahme darüber ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet.
(6) Wird durch die Stellungnahme nach Absatz 5 der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung genehmigt und beziehen sich die betreffenden Verhaltensregeln nicht auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so nimmt die Aufsichtsbehörde die Verhaltensregeln in ein Verzeichnis auf und veröffentlicht sie.
(7) Bezieht sich der Entwurf der Verhaltensregeln auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so legt die nach Artikel 55 zuständige Aufsichtsbehörde — bevor sie den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung genehmigt — ihn nach dem Verfahren gemäß Artikel 63 dem Ausschuss vor, der zu der Frage Stellung nimmt, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder — im Fall nach Absatz 3 dieses Artikels — geeignete Garantien vorsieht.
(8) Wird durch die Stellungnahme nach Absatz 7 bestätigt, dass der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder — im Fall nach Absatz 3 — geeignete Garantien vorsieht, so übermittelt der Ausschuss seine Stellungnahme der Kommission.
(9) Die Kommission kann im Wege von Durchführungsrechtsakten beschließen, dass die ihr gemäß Absatz 8 übermittelten genehmigten Verhaltensregeln bzw. deren genehmigte Änderung oder Erweiterung allgemeine Gültigkeit in der Union besitzen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
(10) Die Kommission trägt dafür Sorge, dass die genehmigten Verhaltensregeln, denen gemäß Absatz 9 allgemeine Gültigkeit zuerkannt wurde, in geeigneter Weise veröffentlicht werden.
(11) Der Ausschuss nimmt alle genehmigten Verhaltensregeln bzw. deren genehmigte Änderungen oder Erweiterungen in ein Register auf und veröffentlicht sie in geeigneter Weise.
Art. 51 Abs. 1 DSGVO lautet:
„Artikel 51
Aufsichtsbehörde
(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden „Aufsichtsbehörde“).“
Art. 57 Abs. 1 DSGVO lautet:
„Artikel 57
Aufgaben
(1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
a) bis l) […]
m)
die Ausarbeitung von Verhaltensregeln gemäß Artikel 40 Absatz 1 fördern und zu diesen Verhaltensregeln, die ausreichende Garantien im Sinne des Artikels 40 Absatz 5 bieten müssen, Stellungnahmen abgeben und sie billigen;
n) bis v) […]“
Art. 58 Abs. 3 DSGVO lautet:
„Art. 58
Befugnisse
(3) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Genehmigungsbefugnisse und beratenden Befugnisse, die es ihr gestatten,
s) bis c) […]
d)
eine Stellungnahme abzugeben und Entwürfe von Verhaltensregeln gemäß Artikel 40 Absatz 5 zu billigen,
e) bis j) […]“
§ 1 Abs. 1 und 2 DSG lauten:
„§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.“
§ 9 Abs. 1 DSG lautet:
„Freiheit der Meinungsäußerung und Informationsfreiheit
§ 9. (1) Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes – MedienG, BGBl. Nr. 314/1981, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes finden die Bestimmungen dieses Bundesgesetzes sowie von der DSGVO die Kapitel II (Grundsätze), III (Rechte der betroffenen Person), IV (Verantwortlicher und Auftragsverarbeiter), V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), VI (Unabhängige Aufsichtsbehörden), VII (Zusammenarbeit und Kohärenz) und IX (Vorschriften für besondere Verarbeitungssituationen) keine Anwendung. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses (§ 31 MedienG) zu beachten.“
Art. 5 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 (ABl. 2009, L 337, S. 11) geänderten Fassung (im Folgenden: Richtlinie 2002/58) lautet:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie [95/46] u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
ErwGr 66 der RL 2009/136/EG lautet:
„Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie [95/46] über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.“
§ 96 Abs. 3 TKG 2003 lautet:
„(3) Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er verarbeiten wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Der Teilnehmer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen. Das Auskunftsrecht nach dem Datenschutzgesetz und der DSGVO bleibt unberührt.“
3.3. Umgelegt auf den gegenständlichen Fall bedeutet dies Folgendes:
Allgemeines:
Die vorgelegten Verhaltensregeln enthalten Regelungen, die einerseits die Verarbeitung von Daten durch XXXX zu journalistischen Zwecken (Abschnitt XXXX ), andererseits die Verwendungen für andere Zwecke, etwa für XXXX oder der XXXX betreffen.
Es fällt auf, dass Abschnitt XXXX von der belangten Behörde genehmigt wurde, obwohl § 9 Abs. 1 DSG (so genanntes „Medienprivileg“) in den dort vorgesehenen weiten Ausnahmen von der DSGVO auch das gesamte Kapitel IV, in dem sich auch Art. 40 (Verhaltensregeln) befindet, vom Anwendungsbereich ausnimmt. Da § 9 Abs. 1 DSG (entgegen einer früheren Fassung im Datenschutz-Anpassungsgesetz 2018) die Ausnahmen (durch die Streichung der Passage „soweit erforderlich“) nicht mehr relativiert und eine Interessenabwägung im Sinne der Erforderlichkeit der Ausnahme nicht mehr zulässt, stellt sich die Frage, inwieweit die Erlassung von Verhaltensregeln im Bereich der Datenverarbeitungen für journalistische Zwecke überhaupt rechtlich zulässig wäre bzw. inwieweit die Regelung des § 9 unionsrechtswidrig ist, da keinerlei sachlicher Grund erkennbar ist, dass für den journalistischen Bereich keine Verhaltensregeln erlassen werden können. Die belangte Behörde hat als Rechtsgrundlage für ihre Genehmigung § 9 DSG gar nicht erwähnt und dies auch nicht näher erläutert. Es ist unklar, ob die belangte Behörde von einer Nichtanwendung des § 9 DSG (zumindest bezüglicher dieser Ausnahme) aufgrund offenkundiger Unionsrechtswidrigkeit ausgeht. Da das Kapitel A aber genehmigt wurde und somit für das Bundesverwaltungsgericht nicht beschwerdegegenständlich ist, erübrigen sich im konkreten Fall weitere Erwägungen zu einer Unionrechtswidrigkeit des § 9 Abs. 1 DSG.
Zu den von der belangten Behörde nicht genehmigten Bestimmungen fällt auf, dass es sich dabei weniger um Präzisierungen im Sinne der in Art. 40 Abs. 2 DSGVO genannten Beispielehandelt, sondern um die Festschreibung bestimmter rechtlicher Interpretationen.
Zum beschwerdegegenständlichen Vorbringen:
Zur Nummerierung der Spruchpunkte:
Die Spruchpunkte des Bescheides wurden zwar fehlerhaft nummeriert (es gibt zwei Spruchpunkte 1.), wobei allerdings in der Begründung des Bescheides die richtige Nummerierung verwendet wird. Da aber dadurch keine Beschwer der Beschwerdeführer gegeben ist und auch erkennbar ist, welche Teile des Bescheides angefochten werden, wird von einer formellen Umnummerierung im Sinne einer Spruchänderung des Bescheides abgesehen.
Zum abgewiesenen Punkt XXXX und der Modifizierung von Punkt XXXX ( XXXX ), Seite XXXX der Verhaltensregeln idF XXXX und der Modifizierung von Punkt XXXX der Verhaltensregeln idF XXXX :
Der nicht genehmigte Punkt XXXX lautet:
siehe dazu z. B. die Verhaltensregeln gemäß Art. DSGVO für die Ausübung der Adressverlage und Direktmarketingunternehmen gem. § 151 Gewerbeordnung 1994, https://www.wko.at/branchen/information-consulting/werbung-marktkommunikation/verhaltensregeln.pdf, abgerufen am 12.03.2020.
XXXX
Der nicht genehmigte Teil des Punktes XXXX lautet:
Die Bindung der Gewährung einer Vergünstigung an die Einwilligung in mehrere Zwecke ist jedoch unter den in XXXX genannten Voraussetzungen grundsätzlich zulässig:
XXXX
Zunächst ist anzumerken, dass der Abschnitt B. für Verarbeitungstätigkeiten gilt, die nicht unter Kapitel XXXX (Regeln für den Bereich XXXX ) fallen.
Die belangte Behörde begründet die Nichtgenehmigung dieser Bestimmung im Wesentlichen damit, dass offenbleibt, für welche konkreten Verarbeitungstätigkeiten eine Einwilligung abgegeben wird und auf welche Weise die personenbezogenen Daten der betroffenen Personen verarbeitet werden, weshalb die Beurteilung, ob eine Einwilligung den Anforderungen der DSGVO gemäß Art. 7 entspreche, ausgehend von einer solch allgemeinen Formulierung nicht möglich sei. Daher sei XXXX in dieser Form nicht genehmigungsfähig.
Die Beschwerdeführer berufen sich auf datenschutzrechtliche Literatur (Kühling/Buchner, Feiler/Forgó, Ehmann/Selmayr) wonach dem Wortlaut von Art. 7 Abs. 4 DSGVO kein absolutes Koppelungsverbot zu entnehmen sei und etwa zivilrechtliche Verträge, die als Gegenleistung bestimmte Daten erheben, durch das Koppelungsverbot nicht generell untersagt seien.
Dazu ist aus Sicht des Bundesverwaltungsgerichts Folgendes zu bemerken:
Hinsichtlich der Beurteilung, ob die Freiwilligkeit einer Einwilligung gegeben ist, ist insbesondere Art. 7 Abs. 4 DSGVO relevant, wonach dem Umstand in größtmöglichem Umfang Rechnung getragen werden muss, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Der Vollständigkeit halber wird festgehalten, dass für die Verarbeitung von personenbezogenen Daten, die für die Vertragserfüllung erforderlich sind, Art. 6 Abs. 1 lit. b DSGVO zur Anwendung kommt.
Gemäß ErwGr 43 DSGVO (welcher sich auf Art. 7 DSGVO bezieht) gilt die Einwilligung nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.
Dazu führt die so genannte „Art. 29 Datenschutzgruppe“ in ihren „Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679“1, WP259 rev.01 vom 28.11.2017, welche auch vom Europäischen Datenschutzausschuss (EDSA) am 25.05.2018 bekräftigt wurden, auf S. 9 f. unter anderem aus (Unterstreichungen durch das BVwG, Anm.):
„Artikel 7 Absatz. 4 DSG-VO weist unter anderem darauf hin, dass eine Situation, in der die Einwilligung mit der Annahme von Vertragsbedingungen „gebündelt“ wird oder die Erfüllung eines Vertrags oder die Erbringung einer Dienstleistung mit dem Ersuchen um Einwilligungen eine Verarbeitung von personenbezogenen Daten „verknüpft“ werden, die für die Erfüllung des Vertrags nicht erforderlich sind, als in höchstem Maße unerwünscht angesehen wird. Wird die Einwilligung in einer solchen Situation erteilt, gilt sie nicht als freiwillig erteilt (Erwägungsgrund 43). Mit Artikel 7 Absatz 4 soll sichergestellt werden, dass der Zweck der Verarbeitung personenbezogener Daten nicht getarnt oder mit der Erfüllung eines Vertrags oder der Erbringung einer Dienstleistung gebündelt wird, für die diese personenbezogenen Daten nicht erforderlich sind. Dadurch stellt die DSG-VO sicher, dass die Verarbeitung personenbezogener Daten, um deren Einwilligung ersucht wird, nicht direkt oder indirekt zur Gegenleistung für einen Vertrag werden kann. Die beiden Rechtsgrundlagen für die rechtmäßige Verarbeitung personenbezogener Daten, d.h. Einwilligung und Vertrag, können nicht zusammengeführt werden und ihre Grenzen dürfen nicht verschwimmen. […] Artikel 7 Absatz 4 ist nur dann maßgeblich, wenn die geforderten Daten nicht für die Erfüllung des Vertrags (einschließlich der Erbringung einer Dienstleistung) erforderlich sind und die Erfüllung dieses Vertrags von Erhalt dieser Daten auf der Grundlage der Einwilligung abhängig gemacht wird. Wenn die Verarbeitung dagegen erforderlich ist, um den Vertrag zu erfüllen (einschließlich der Erbringung einer Dienstleistung), findet Artikel 7 Absatz 4 keine Anwendung.
Der Zwang, in die Verwendung personenbezogener Daten über das unbedingt erforderliche Maß hinaus einzuwilligen, schränkt die Wahlmöglichkeiten der betroffenen Person ein und steht einer freiwillig erteilten Einwilligung im Wege. Da das Ziel des Datenschutzrechts der Schutz der Grundrechte ist, ist die Kontrolle des Einzelnen über seine personenbezogenen Daten von grundlegender Bedeutung und es besteht die starke Vermutung, dass eine Einwilligung in die nicht erforderliche Verarbeitung personenbezogener Daten nicht als eine zwingende Gegenleistung im Austausch für die Erfüllung eines Vertrags oder die Erbringung einer Dienstleistung gesehen werden kann.
Wenn der Verantwortliche die Erfüllung eines Vertrags mit dem Ersuchen um Einwilligung verknüpft, geht eine betroffene Person, die dem Verantwortlichen ihre personenbezogenen Daten nicht für die Verarbeitung zur Verfügung stellen möchte, folglich das Risiko ein, dass ihr Leistungen verwehrt werden, um die sie ersucht hat.
Zur Bewertung, ob eine solche Situation der Bündelung oder Verknüpfung vorliegt, muss festgestellt werden, welchen Umfang der Vertrag hat und welche Daten für die Erfüllung des Vertrags erforderlich wären. Gemäß der Stellungnahme 6/2014 der WP29 ist der Begriff „erforderlich für die Erfüllung eines Vertrags“ eng auszulegen. Die Verarbeitung muss für die Erfüllung des Vertrags mit jeder einzelnen betroffenen Person erforderlich sein. Dies kann beispielsweise die Verarbeitung der Anschrift der betroffenen Person umfassen, so dass online gekaufte Waren zugestellt werden können, oder die Verarbeitung von Kreditkartendetails zum Zwecke der Zahlungsdurchführung. Im Beschäftigungskontext kann dieser Rechtsgrund beispielsweise die Verarbeitung von Lohn- und Gehaltsinformationen sowie von Bankangaben gestatten, damit Löhne und Gehälter ausgezahlt werden können. Es muss eine direkte und objektive Verbindung zwischen der Verarbeitung der Daten und dem Zweck für die Erfüllung des Vertrags bestehen.
Wenn ein Verantwortlicher personenbezogene Daten verarbeiten möchte, die tatsächlich für die Erfüllung eines Vertrags erforderlich sind, ist die Einwilligung nicht die geeignete Rechtsgrundlage. [...]
Artikel 7 Absatz 4 ist nur dann maßgeblich, wenn die geforderten Daten nicht für die Erfüllung des Vertrags (einschließlich der Erbringung einer Dienstleistung) erforderlich sind und die Erfüllung dieses Vertrags vom Erhalt dieser Daten auf der Grundlage der Einwilligung abhängig gemacht wird. Wenn die Verarbeitung dagegen erforderlich ist, um den Vertrag zu erfüllen (einschließlich der Erbringung einer Dienstleistung), findet Artikel 7 Absatz 4 keine Anwendung.
Die Wahl des Gesetzgebers, unter anderem die Konditionalität als Annahme für das Fehlen einer freien Einwilligung hervorzuheben, zeigt, dass das Auftreten der Konditionalität sorgfältig geprüft werden muss. Der Begriff „in größtmöglichem Umfang Rechnung tragen“ in Artikel 7 Absatz 4 legt nahe, dass der Verantwortliche besondere Sorgfalt walten lassen muss, wenn ein Vertrag (zu dem auch die Erbringung einer Dienstleistung zählen könnte) mit dem Ersuchen um Einwilligung in die Verarbeitung der mit diesem Vertrag verbundenen personenbezogenen Daten verknüpft ist.
Da der Wortlaut von Artikel 7 Abs. 4 DSGVO nicht auf absolute Weise ausgelegt wird, kann es sehr begrenzten Raum für Fälle geben, in denen diese Konditionalität die Einwilligung nicht ungültig machen würde. Der Begriff „gilt als“ in Erwägungsgrund 43 zeigt jedoch deutlich, dass solche Fälle die absolute Ausnahme darstellen werden. In den Artikel 7 Absatz 4 liegt die Beweislast jedenfalls eindeutig beim Verantwortlichen […].
Der Verantwortliche könnte argumentieren, dass seine Organisation den betroffenen Personen eine echte Wahlmöglichkeit bietet, wenn diese die Möglichkeit hätten, zwischen einer Dienstleistung zu wählen, die die Einwilligung in die Verwendung personenbezogener Daten für zusätzliche Zwecke umfasst und einer vergleichbaren Dienstleistung, die von demselben Verantwortlichen angeboten wird und keine Einwilligung in die Verwendung von Daten für zusätzliche Zwecke beinhält. Solange die Möglichkeit besteht, dass der Verantwortliche den Vertrag erfüllt oder die Dienstleistungen erbringt, die Gegenstand des Vertrags sind, ohne dass in die fragliche andere oder zusätzliche Datennutzung eingewilligt werden muss, bedeutet dies, dass es nicht länger eine an Bedingungen geknüpfte Dienstleistung ist. Die beiden Dienstleistungen müssen jedoch wirklich gleichwertig sein.
Die WP29 vertritt die Ansicht, dass eine Einwilligung nicht als freiwillig erteilt angesehen werden kann, wenn ein Verantwortlicher argumentiert, dass eine Wahlmöglichkeit besteht zwischen seiner Dienstleistung, zu der die Einwilligung in die Verwendung personenbezogener Daten für zusätzliche Zwecke gehört und einer vergleichbaren Dienstleistung, die von einem anderen Verantwortlichen angeboten wird. In einem solchen Fall würde die Wahlmöglichkeit vom Verhalten anderer Markteilnehmer abhängig gemacht werden und davon ob eine betroffene Einzelperson die Dienstleistungen des anderen Verantwortlichen wirklich als gleichwertig ansehen würde. Dies würde darüber hinaus bedeuten, dass der Verantwortliche die Entwicklungen des Marktes verfolgen müsste, um eine fortgesetzte Gültigkeit der Einwilligung in die Datenverarbeitungstätigkeiten sicherzustellen, da ein Wettbewerber seine Dienstleistungen zu einem späteren Zeitpunkt ändern könnte. Die Verwendung dieses Arguments bedeutet folglich, dass die Einwilligung die Bedingungen der DS-GVO nicht einhält.“
In den „Guidelines 2/2019 on the processing of personal data under Article 6 (1) (b) GDPR in the context of the provision of online services to data subjects”2 des EDSA vom 09.04.2019 wird im Kapitel 3.3. “Processing for online behavioural advertising” ausgeführt:
„Considering that data protection is a fundamental right guaranteed by Article 8 of the Charter of Fundamental Rights, and taking into account that one of the main purposes of the GDPR is to provide data subjects with control over information relating to them, personal data cannot be considered as a tradeable commodity. Data subjects can agree to processing of their personal data, but cannot trade away their fundamental rights.”
Aus der Stellungnahme der Art. 29-Datenschutzgruppe/des EDSA kann hergeleitet werden, dass die Freiwilligkeit einer Einwilligung zur Verwendung von Daten, die für die Vertragserfüllung nicht erforderlich sind, nur in absoluten Ausnahmefällen gegeben ist.
Auch aus der von den Beschwerdeführern zitierten Literatur ist die generelle Zulässigkeit datenschutzrechtlicher Einwilligungen für Vergünstigungen nicht ableitbar. Vielmehr wird es darauf ankommen, wie der konkrete Fall und die konkrete Verarbeitung de facto gestaltet ist.
Der Oberste Gerichtshof hat sich in seiner Entscheidung 6 Ob140/18h vom 31.08.2018 (siehe dazu auch das darauf verweisende Urteil 6 Ob56/19g vom 24.10.2019) im Zusammenhang mit AGB-Bestimmungen mit dem Koppelungsverbot befasst und hat zum Spannungsverhältnis zwischen Art. 7 Abs. 4 DSGVO und dem ErwGr 43 Folgendes ausgeführt (Unterstreichung durch das BVwG, Anm.):
„[…]
4.2.2. Die Frage des „Koppelungsverbotes“, also ob der Vertragsabschluss von einer Zustimmung zu einer (dafür nicht erforderlichen) Datenverarbeitung abhängig gemacht werden kann, wurde in der höchstgerichtlichen Judikatur hingegen noch nicht behandelt. Anders als in Deutschland (§ 28 Abs 3b BDSG, dazu Revision S 7f) bestand in Österreich nach altem Datenschutzrecht auch keine diesbezügliche ausdrückliche Bestimmung.
[…]
4.3.3. Art 4 Z 11 DSGVO definiert die „Einwilligung“ der betroffenen Person nunmehr als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.
4.4.1. Während diese Grundlagen also im Wesentlichen unverändert blieben (setzt man „ohne Zwang“ mit „freiwillig“ gleich), so enthält die DSGVO nunmehr zusätzliche Regelungen zur Freiwilligkeit der Einwilligung in Artikel 7 Abs 4:
„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“
4.4.2. Dazu erläutert der Erwägungsgrund 43: „... Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“
Während also nach dem Verordnungstext dem Umstand der Koppelung bei der Beurteilung der Freiwilligkeit größtmöglich Rechnung zu tragen ist, spricht der Erwägungsgrund eindeutig für ein unbedingtes Verbot der Koppelung.
4.4.3.[ …]
4.4.4. Das Spannungsverhältnis zwischen dem Text der Verordnung und dem Erwägungsgrund 43 ist offensichtlich dahin aufzulösen, dass an die Beurteilung der „Freiwilligkeit“ der Einwilligung strenge Anforderungen zu stellen sind. Bei der Koppelung der Einwilligung zu einer Verarbeitung vertragsunabhängiger personenbezogener Daten mit einem Vertragsschluss ist grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen (vgl Ehmann/Selmayr/Heckmann/Paschke, DS-GVO Rz 52 ff). Solche Umstände wurden im vorliegenden Fall jedoch nicht vorgebracht.
4.4.5. Zur Befassung des EuGH bestand kein Anlass, weil sich das vorstehende Ergebnis bereits aus dem Wortlaut der DSGVO und dem zitierten Erwägungsgrund ergibt. Auf konkrete Umstände, aus denen sich im Einzelfall ausnahmsweise eine Zulässigkeit der Koppelung ergeben könnte, hat sich die Beklagte nicht berufen, sodass im vorliegenden Fall auch kein Raum für die Klärung der Frage besteht, in welchen Fällen ausnahmsweise trotz des grundsätzlichen Verbots eine derartige Koppelung zulässig sein kann.
Das Bundesverwaltungsgericht verkennt nicht, dass in Punkt XXXX – anders als in dem dem zitierten OGH-Urteil zugrundeliegenden Fall – eine Alternative zum Vergünstigungsmodell angeboten wird, wobei jedoch nicht ersichtlich ist, wer diese Alternative anbietet (siehe dazu die Ausführungen der Art. 29-Datenschutzgruppe/des EDSA, S. 17, vorletzter und letzter Absatz bzw. S. 18 erster Absatz dieses Erkenntnisses). Selbst in dem Fall, dass die Alternative vom selben Verantwortlichen angeboten wird, wird es auf die konkrete Ausgestaltung des Vertrags und der Verarbeitung ankommen, also etwa, welche geeigneten Garantien zur Wahrung der Betroffenenrechte vorgesehen sind, welche personenbezogene Daten von der betroffenen Person verlangt werden und wie die Relation zu einem Alternativangebot (ohne Vergünstigungen) aussieht. Die Zulässigkeit eines (teilweisen) „Wegverhandeln“ des eigenen Grundrechts auf Datenschutz kann jedenfalls in dieser Allgemeinheit nicht festgestellt werden.
Das Bundesverwaltungsgericht teilt daher die Ansicht der belangten Behörde, dass eine Genehmigung der Möglichkeit einer Einwilligung zu einer Datenverarbeitung als Gegenleistung für Vergünstigungen in dieser allgemeinen Formulierung, wie sie gegenständlich getroffen wurde, nicht zu erteilen ist. In diesem Zusammenhang ist darauf hinzuweisen, dass Verhaltensregeln zwar datenschutzrechtliche Regelungen branchenspezifisch präzisieren sollen, diese jedoch – zumal sie naturgemäß generell-abstrakte Wirkung haben – nicht pauschal Fälle regeln können, die einer Einzelfallbetrachtung und –beurteilung bedürfen.
Daher war die Beschwerde diesbezüglich abzuweisen.
Zum abgewiesenen Punkt XXXX :
Der nicht genehmigte Punkt XXXX lautet:
XXXX
Punkt XXXX . der Verhaltensregeln normiert, dass die XXXX an eine Person, welche dieses XXXX hat, auf Basis rechtmäßig erhobener und verarbeiteter Kontaktinformationen in der Regel nicht unter den Begriff der XXXX falle, sondern eine Datenverarbeitung zu journalistischen Zwecken darstelle.
Hierzu führt die belangte Behörde aus, dass Begriffe wie Journalismus zwar weit auszulegen seien (vgl. ErwGr 153 letzter Satz DSGVO), der Verarbeitungszweck einer solchen Datenbank jedoch vordergründig jener des XXXX sei. Weiters hätten sich die Eingriffe in das Grundrecht auf Datenschutz nach gefestigter Rechtsprechung des EuGH auf das absolut notwendige Ausmaß zu beschränken (vergleiche das Urteil vom 14.02 2019, C-345/17, Buivids, Rn 64 sowie die dort angeführte Rechtsprechung). Würde man jedoch der Überlegung der Beschwerdeführern folgen und bejahen, dass XXXX , so wäre es einer betroffenen Person – ausgehend von der österreichischen Umsetzung von Art. 85 Abs. 1 DSGVO im § 9 Abs. 1 DSG („Medienprivileg“) und der damit verbundenen Pauschalausnahmen der Betroffenenrechte – nicht nur verwehrt, eine entsprechende Löschung ihrer personenbezogenen Daten aus der genannten Datenbank zu beantragen, vielmehr erhalte sie mangels Anwendbarkeit von Art. 13 bis Art. 15 DSGVO gar keine Information darüber, dass Ihre personenbezogenen Daten in einer solchen Datenbank gespeichert seien. Vor diesem Hintergrund sei die belangte Behörde der Ansicht, dass der Begriff journalistischer Zweck im vorliegenden Kontext nicht derart weit auszulegen sei, weshalb. XXXX in dieser Form nicht genehmigungsfähig sei.
Die Beschwerdeführer verwe