TE Bvwg Erkenntnis 2024/5/28 W176 2249328-1

1. B-VG Art. 133 heute
2. B-VG Art. 133 gültig von 01.01.2019 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 138/2017
3. B-VG Art. 133 gültig ab 01.01.2019 zuletzt geändert durch BGBl. I Nr. 22/2018
4. B-VG Art. 133 gültig von 25.05.2018 bis 31.12.2018 zuletzt geändert durch BGBl. I Nr. 22/2018
5. B-VG Art. 133 gültig von 01.08.2014 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 164/2013
6. B-VG Art. 133 gültig von 01.01.2014 bis 31.07.2014 zuletzt geändert durch BGBl. I Nr. 51/2012
7. B-VG Art. 133 gültig von 01.01.2004 bis 31.12.2013 zuletzt geändert durch BGBl. I Nr. 100/2003
8. B-VG Art. 133 gültig von 01.01.1975 bis 31.12.2003 zuletzt geändert durch BGBl. Nr. 444/1974
9. B-VG Art. 133 gültig von 25.12.1946 bis 31.12.1974 zuletzt geändert durch BGBl. Nr. 211/1946
10. B-VG Art. 133 gültig von 19.12.1945 bis 24.12.1946 zuletzt geändert durch StGBl. Nr. 4/1945
11. B-VG Art. 133 gültig von 03.01.1930 bis 30.06.1934

1. DSG Art. 2 § 30 heute
2. DSG Art. 2 § 30 gültig von 25.05.2018 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 120/2017
3. DSG Art. 2 § 30 gültig ab 25.05.2018 zuletzt geändert durch BGBl. I Nr. 24/2018
4. DSG Art. 2 § 30 gültig von 01.01.2014 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 83/2013
5. DSG Art. 2 § 30 gültig von 01.01.2010 bis 31.12.2013 zuletzt geändert durch BGBl. I Nr. 133/2009
6. DSG Art. 2 § 30 gültig von 01.01.2000 bis 31.12.2009

1. VStG § 10 heute
2. VStG § 10 gültig ab 01.01.2008 zuletzt geändert durch BGBl. I Nr. 5/2008
3. VStG § 10 gültig von 01.02.1991 bis 31.12.2007

1. VStG § 19 heute
2. VStG § 19 gültig ab 01.07.2013 zuletzt geändert durch BGBl. I Nr. 33/2013
3. VStG § 19 gültig von 01.01.2012 bis 30.06.2013 zuletzt geändert durch BGBl. I Nr. 100/2011
4. VStG § 19 gültig von 01.02.1991 bis 31.12.2011

1. VStG 1950 § 45 gültig von 01.07.1988 bis 31.01.1991 wiederverlautbart durch BGBl. Nr. 52/1991
2. VStG 1950 § 45 gültig von 01.09.1950 bis 30.06.1988

1. VStG § 5 heute
2. VStG § 5 gültig ab 01.01.2019 zuletzt geändert durch BGBl. I Nr. 57/2018
3. VStG § 5 gültig von 01.02.1991 bis 31.12.2018

1. VStG § 64 heute
2. VStG § 64 gültig ab 01.01.2019 zuletzt geändert durch BGBl. I Nr. 57/2018
3. VStG § 64 gültig von 15.08.2018 bis 31.12.2018 zuletzt geändert durch BGBl. I Nr. 57/2018
4. VStG § 64 gültig von 01.01.2014 bis 14.08.2018 zuletzt geändert durch BGBl. I Nr. 33/2013
5. VStG § 64 gültig von 01.07.2013 bis 31.12.2013 zuletzt geändert durch BGBl. I Nr. 33/2013
6. VStG § 64 gültig von 01.03.2013 bis 30.06.2013 zuletzt geändert durch BGBl. I Nr. 33/2013
7. VStG § 64 gültig von 01.01.2002 bis 28.02.2013 zuletzt geändert durch BGBl. I Nr. 137/2001
8. VStG § 64 gültig von 01.02.1991 bis 31.12.2001

1. VwGVG § 38 heute
2. VwGVG § 38 gültig ab 01.01.2014

W176 2249328-1/7E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch den Richter Mag. NEWALD als Vorsitzenden und die fachkundigen Laienrichter Mag. BOGENDORFER und RAUB über die Beschwerde der XXXX , vertreten durch WOLF THEISS RAe GmbH & Co KG, gegen das Straferkenntnis der Datenschutzbehörde vom 12.10.2021, Zl. 2021-0.024.467 (D550.351), zu Recht erkannt:Das Bundesverwaltungsgericht hat durch den Richter Mag. NEWALD als Vorsitzenden und die fachkundigen Laienrichter Mag. BOGENDORFER und RAUB über die Beschwerde der römisch XXXX , vertreten durch WOLF THEISS RAe GmbH & Co KG, gegen das Straferkenntnis der Datenschutzbehörde vom 12.10.2021, Zl. 2021-0.024.467 (D550.351), zu Recht erkannt:

A)

Der Beschwerde wird Folge gegeben, das angefochtene Straferkenntnis behoben und das Verwaltungsstrafverfahren eingestellt.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.

Entscheidungsgründe:

I. Verfahrensgang:römisch eins. Verfahrensgang:

I.1. Die XXXX (Beschuldigte im Verwaltungsstrafverfahren vor der Datenschutzbehörde und Beschwerdeführerin vor dem Bundesverwaltungsgericht) ist über die XXXX (FN XXXX , im Folgenden auch XXXX ) als Alleingesellschafterin an der XXXX (FN XXXX , im Folgenden auch: XXXX ) beteiligt. Der Unternehmensgegenstand der XXXX lautet: „Betrieb eines Kundenbindungsprogrammes, insbesondere mittels Rabatten und Hilfsdienstleistungen.“ Dabei handelt es sich um den „ XXXX römisch eins.1. Die römisch XXXX (Beschuldigte im Verwaltungsstrafverfahren vor der Datenschutzbehörde und Beschwerdeführerin vor dem Bundesverwaltungsgericht) ist über die römisch XXXX (FN römisch XXXX , im Folgenden auch römisch XXXX ) als Alleingesellschafterin an der römisch XXXX (FN römisch XXXX , im Folgenden auch: römisch XXXX ) beteiligt. Der Unternehmensgegenstand der römisch XXXX lautet: „Betrieb eines Kundenbindungsprogrammes, insbesondere mittels Rabatten und Hilfsdienstleistungen.“ Dabei handelt es sich um den „ römisch XXXX

I.2. Die Datenschutzbehörde (belangte Behörde vor dem Bundesverwaltungsgericht) hat in Folge eines amtswegigen Prüfverfahrens, abgeschlossen mit Beschwerdevorentscheidung vom 11.12.2019 zur Zl. XXXX , ein Verwaltungsstrafverfahren zur Zl. XXXX gegen die XXXX als ausgewiesene datenschutzrechtliche Verantwortliche des „ XXXX eingeleitet und mit Straferkenntnis vom 26.07.2021 erledigt.römisch eins.2. Die Datenschutzbehörde (belangte Behörde vor dem Bundesverwaltungsgericht) hat in Folge eines amtswegigen Prüfverfahrens, abgeschlossen mit Beschwerdevorentscheidung vom 11.12.2019 zur Zl. römisch XXXX , ein Verwaltungsstrafverfahren zur Zl. römisch XXXX gegen die römisch XXXX als ausgewiesene datenschutzrechtliche Verantwortliche des „ römisch XXXX eingeleitet und mit Straferkenntnis vom 26.07.2021 erledigt.

I.3. Mit Aufforderung zur Rechtfertigung vom 15.07.2020 erhob die belangte Behörde gegen die Beschwerdeführerin und ihre Vorstandsmitglieder im Wesentlichen den Vorwurf, sie habe die im Verwaltungsstrafverfahren der XXXX zur Last gelegten Datenschutzverstöße betreffend den Betrieb des Kundenbindungsprograms „ XXXX " als gemeinsame Verantwortliche im Sinne von Art. 4 Z 7 iVm Art. 26 DSGVO mitzuverantworten.römisch eins.3. Mit Aufforderung zur Rechtfertigung vom 15.07.2020 erhob die belangte Behörde gegen die Beschwerdeführerin und ihre Vorstandsmitglieder im Wesentlichen den Vorwurf, sie habe die im Verwaltungsstrafverfahren der römisch XXXX zur Last gelegten Datenschutzverstöße betreffend den Betrieb des Kundenbindungsprograms „ römisch XXXX " als gemeinsame Verantwortliche im Sinne von Artikel 4, Ziffer 7, in Verbindung mit Artikel 26, DSGVO mitzuverantworten.

I.4. Mit Schreiben vom 15.09.2020 erstattete die Beschwerdeführerin fristgerecht Rechtfertigung und bestritt das Vorliegen einer gemeinsamen Verantwortlichkeit mit der XXXX für den „ XXXX “.römisch eins.4. Mit Schreiben vom 15.09.2020 erstattete die Beschwerdeführerin fristgerecht Rechtfertigung und bestritt das Vorliegen einer gemeinsamen Verantwortlichkeit mit der römisch XXXX für den „ römisch XXXX “.

Unternehmensgegenstand der Beschwerdeführerin sei unter anderem das Halten und die Verwaltung von Beteiligungen an Handelsunternehmen ( XXXX ), an Touristikunternehmen (insbesondere der XXXX ) sowie an Unternehmen im Bereich der Werbung und handelssektoraler Dienstleistungen. All diese Unternehmen unter dem Dach der Beschwerdeführerin würden entsprechend ihrem Unternehmensgegenstand operativ selbständig agieren, was auch die Verarbeitung personenbezogener Daten durch diese Unternehmen umfasse. Dies gelte insbesondere auch für die XXXX und den von ihr betriebenen „ XXXX “. Auch die Kriterien des Art. 26 DSGVO seien mangels gemeinsamer Festlegung von Zweck und Mitteln der Datenverarbeitung nicht erfüllt.Unternehmensgegenstand der Beschwerdeführerin sei unter anderem das Halten und die Verwaltung von Beteiligungen an Handelsunternehmen ( römisch XXXX ), an Touristikunternehmen (insbesondere der römisch XXXX ) sowie an Unternehmen im Bereich der Werbung und handelssektoraler Dienstleistungen. All diese Unternehmen unter dem Dach der Beschwerdeführerin würden entsprechend ihrem Unternehmensgegenstand operativ selbständig agieren, was auch die Verarbeitung personenbezogener Daten durch diese Unternehmen umfasse. Dies gelte insbesondere auch für die römisch XXXX und den von ihr betriebenen „ römisch XXXX “. Auch die Kriterien des Artikel 26, DSGVO seien mangels gemeinsamer Festlegung von Zweck und Mitteln der Datenverarbeitung nicht erfüllt.

I.5. Mit 12.10.2021 erließ die belangte Behörde das angefochtene Straferkenntnis gegen die Beschwerdeführerin. römisch eins.5. Mit 12.10.2021 erließ die belangte Behörde das angefochtene Straferkenntnis gegen die Beschwerdeführerin.

Zu Spruchpunkt I. wurde ihr vorgeworfen, die ab dem 02.05.2019 eingesetzten Formulare zur Einholung von Einwilligungserklärungen zur Verarbeitung von personenbezogenen Daten von den am „ XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch den „ XXXX “ und dessen Vertragspartner hätten nicht den datenschutzrechtlichen Anforderungen an eine wirksame Einwilligung gemäß der Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a und Art. 7 DSGVO entsprochen. Dadurch habe sie Verwaltungsübertretungen nach Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 iVm Art. 83 Abs. 5 lit. a DSGVO, ABl. L 2016/119, 1 idF L 2016/314, 72 und L 2018/127, 2 begangen.Zu Spruchpunkt römisch eins. wurde ihr vorgeworfen, die ab dem 02.05.2019 eingesetzten Formulare zur Einholung von Einwilligungserklärungen zur Verarbeitung von personenbezogenen Daten von den am „ römisch XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch den „ römisch XXXX “ und dessen Vertragspartner hätten nicht den datenschutzrechtlichen Anforderungen an eine wirksame Einwilligung gemäß der Artikel 4, Ziffer 11, in Verbindung mit Artikel 5, Absatz eins, Litera a und Artikel 7, DSGVO entsprochen. Dadurch habe sie Verwaltungsübertretungen nach Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 7, Absatz 2, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO, ABl. L 2016/119, 1 in der Fassung L 2016/314, 72 und L 2018/127, 2 begangen.

Zu Spruchpunkt II. wurde der Beschwerdeführerin und den namentlich genannten Mitgliedern ihres Vorstandes vorgeworfen, dass als Folge der rechtsunwirksamen Einwilligung somit die vom 02.05.2019 bis jedenfalls zum 31.01.2021 erfolgte Verarbeitung personenbezogener Daten der am „ XXXX “ registrierten betroffenen Personen zum Zweck des Profiling a) weder auf eine rechtswirksame Einwilligungserklärung, b) noch auf einen der sonst von Art. 6 Abs. 1 DSGVO abschließend normierten Erlaubnistatbestände gestützt werden hätte können. Dadurch habe sie Verwaltungsübertretungen nach Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 iVm Art. 83 Abs. 5 lit. a DSGVO, ABl L 2016/119, 1 idFL 2016/314, 72 und L 2018/127, 2 begangen.Zu Spruchpunkt römisch II. wurde der Beschwerdeführerin und den namentlich genannten Mitgliedern ihres Vorstandes vorgeworfen, dass als Folge der rechtsunwirksamen Einwilligung somit die vom 02.05.2019 bis jedenfalls zum 31.01.2021 erfolgte Verarbeitung personenbezogener Daten der am „ römisch XXXX “ registrierten betroffenen Personen zum Zweck des Profiling a) weder auf eine rechtswirksame Einwilligungserklärung, b) noch auf einen der sonst von Artikel 6, Absatz eins, DSGVO abschließend normierten Erlaubnistatbestände gestützt werden hätte können. Dadurch habe sie Verwaltungsübertretungen nach Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 6, Absatz eins, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO, ABl L 2016/119, 1 idFL 2016/314, 72 und L 2018/127, 2 begangen.

Das tatbestandsmäßige, rechtswidrige und schuldhafte Verhalten der genannten Mitglieder des Vorstandes der Beschwerdeführerin werde dabei dieser als beschuldigter juristischer Person (§ 30 Abs. 1 und Abs. 2 DSG) und datenschutzrechtlich (gemeinsam) Verantwortlichen im Sinne von Art. 4 Z 7 und Art. 26 DSGVO zugerechnet. Das tatbestandsmäßige, rechtswidrige und schuldhafte Verhalten der genannten Mitglieder des Vorstandes der Beschwerdeführerin werde dabei dieser als beschuldigter juristischer Person (Paragraph 30, Absatz eins und Absatz 2, DSG) und datenschutzrechtlich (gemeinsam) Verantwortlichen im Sinne von Artikel 4, Ziffer 7 und Artikel 26, DSGVO zugerechnet.

Wegen dieser Verwaltungsübertretungen werde gemäß § 30 Abs. 1 und Abs. 2 DSG iVm Art. 83 Abs. 5 lit. a DSGVO eine Geldstrafe von € 8.000.000,00 gegen die Beschwerdeführerin verhängt und habe sie ferner gemäß § 64 VStG € 800.000,00 als Beitrag zu den Kosten des Strafverfahrens zu zahlen. Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) betrage daher € 8.800.000,00 und sei, sofern keine Beschwerde erhoben werde, binnen zwei Wochen nach Eintreten der Rechtskraft einzuzahlen und vollstreckbar.Wegen dieser Verwaltungsübertretungen werde gemäß Paragraph 30, Absatz eins und Absatz 2, DSG in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO eine Geldstrafe von € 8.000.000,00 gegen die Beschwerdeführerin verhängt und habe sie ferner gemäß Paragraph 64, VStG € 800.000,00 als Beitrag zu den Kosten des Strafverfahrens zu zahlen. Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) betrage daher € 8.800.000,00 und sei, sofern keine Beschwerde erhoben werde, binnen zwei Wochen nach Eintreten der Rechtskraft einzuzahlen und vollstreckbar.

Dies begründete die belangte Behörde im Wesentlichen damit, dass die Beschwerdeführerin als Konzernmuttergesellschaft die XXXX zum Betrieb des unternehmens- und branchenübergreifenden Kundenbindungsprogramms „ XXXX “ gegründet habe, welche dann die im Tatzeitraum im operativen Betrieb eingesetzten Ersuchen um Einwilligung im Rahmen der Anmeldestrecken (i) Webseite (www. XXXX .at) und (ii) physisches Anmeldeformular – nach Genehmigung durch die beiden Geschäftsführer der XXXX – im Rahmen des „ XXXX “-Kundenbindungsprogrammes tatsächlich zur Einholung von Einwilligungserklärungen eingesetzt worden wären. Dies begründete die belangte Behörde im Wesentlichen damit, dass die Beschwerdeführerin als Konzernmuttergesellschaft die römisch XXXX zum Betrieb des unternehmens- und branchenübergreifenden Kundenbindungsprogramms „ römisch XXXX “ gegründet habe, welche dann die im Tatzeitraum im operativen Betrieb eingesetzten Ersuchen um Einwilligung im Rahmen der Anmeldestrecken (i) Webseite (www. römisch XXXX .at) und (ii) physisches Anmeldeformular – nach Genehmigung durch die beiden Geschäftsführer der römisch XXXX – im Rahmen des „ römisch XXXX “-Kundenbindungsprogrammes tatsächlich zur Einholung von Einwilligungserklärungen eingesetzt worden wären.

Nach Wiedergabe der Ermittlungsergebnisse aus dem amtswegigen Prüfverfahren gegen die XXXX , die der Beschwerdeführerin vollinhaltlich im Wege des Parteiengehörs zum gegenständlichen Verfahren zur Kenntnis gebracht und von ihr in tatsächlicher Hinsicht nicht bestritten worden seien, führte die belangte Behörde in rechtlicher Hinsicht aus, dass eine gemeinsame datenschutzrechtliche Verantwortlichkeit gemäß Art. 4 Z 7 iVm Art. 26 DSGVO zwischen der Beschwerdeführerin und der XXXX für den Betrieb des „ XXXX vorliege. Zwar hätten die Beschwerdeführerin und deren Vorstandsmitglieder als Beschuldigte im Verfahren durchgängig den Rechtsstandpunkt vertreten, dass erstere auf die verfahrensgegenständliche Datenverarbeitung bzw. auf den verfahrensgegenständlichen Einwilligungsprozess und dessen Änderung weder Einfluss genommen habe noch aktuell darauf Einfluss nehme und sei die XXXX von der XXXX vor diesem Hintergrund mit dem Ziel eingerichtet und ausgestattet worden, ein branchenunabhängiges Multipartnerprogramm als eigenständiges, gewinnorientiertes Unternehmen zu betreiben; die XXXX sei eingerichtet worden, ihre eigenen wirtschaftlichen Zwecke zu verfolgen und umzusetzen, während sich das Interesse und die Rolle der Beschwerdeführerin auf jene einer klassischen Holdinggesellschaft beschränkt habe und erhalte sie auch keinerlei Daten aus dem „ XXXX “. Dem werden jedoch die einschlägige Rechtsprechung des EuGH und die einschlägigen Leitlinien des Europäischen Datenschutzausschusses zum unionsrechtlichen Begriffsverständnis der (gemeinsamen) datenschutzrechtlichen Verantwortung entgegengehalten, so gehe der EuGH in seiner mittlerweile gefestigten Rechtsprechung zur insofern vergleichbaren Rechtslage nach Art. 2 lit. d der Richtlinie 95/46/EG von einem weiten Begriffsverständnis der „gemeinsamen Verantwortung“ aus und habe dieses in seiner weiteren Rechtsprechung bestätigt und ausdrücklich klargestellt, dass eine weite Auslegung des Begriffs des datenschutzrechtlichen „Verantwortlichen“ geboten sei.Nach Wiedergabe der Ermittlungsergebnisse aus dem amtswegigen Prüfverfahren gegen die römisch XXXX , die der Beschwerdeführerin vollinhaltlich im Wege des Parteiengehörs zum gegenständlichen Verfahren zur Kenntnis gebracht und von ihr in tatsächlicher Hinsicht nicht bestritten worden seien, führte die belangte Behörde in rechtlicher Hinsicht aus, dass eine gemeinsame datenschutzrechtliche Verantwortlichkeit gemäß Artikel 4, Ziffer 7, in Verbindung mit Artikel 26, DSGVO zwischen der Beschwerdeführerin und der römisch XXXX für den Betrieb des „ römisch XXXX vorliege. Zwar hätten die Beschwerdeführerin und deren Vorstandsmitglieder als Beschuldigte im Verfahren durchgängig den Rechtsstandpunkt vertreten, dass erstere auf die verfahrensgegenständliche Datenverarbeitung bzw. auf den verfahrensgegenständlichen Einwilligungsprozess und dessen Änderung weder Einfluss genommen habe noch aktuell darauf Einfluss nehme und sei die römisch XXXX von der römisch XXXX vor diesem Hintergrund mit dem Ziel eingerichtet und ausgestattet worden, ein branchenunabhängiges Multipartnerprogramm als eigenständiges, gewinnorientiertes Unternehmen zu betreiben; die römisch XXXX sei eingerichtet worden, ihre eigenen wirtschaftlichen Zwecke zu verfolgen und umzusetzen, während sich das Interesse und die Rolle der Beschwerdeführerin auf jene einer klassischen Holdinggesellschaft beschränkt habe und erhalte sie auch keinerlei Daten aus dem „ römisch XXXX “. Dem werden jedoch die einschlägige Rechtsprechung des EuGH und die einschlägigen Leitlinien des Europäischen Datenschutzausschusses zum unionsrechtlichen Begriffsverständnis der (gemeinsamen) datenschutzrechtlichen Verantwortung entgegengehalten, so gehe der EuGH in seiner mittlerweile gefestigten Rechtsprechung zur insofern vergleichbaren Rechtslage nach Artikel 2, Litera d, der Richtlinie 95/46/EG von einem weiten Begriffsverständnis der „gemeinsamen Verantwortung“ aus und habe dieses in seiner weiteren Rechtsprechung bestätigt und ausdrücklich klargestellt, dass eine weite Auslegung des Begriffs des datenschutzrechtlichen „Verantwortlichen“ geboten sei.

Umgelegt auf den gegenständlichen Fall bedeute dies, dass es für eine gemeinsame Verantwortlichkeit gemäß Art. 4 Z 7 iVm Art. 26 DSGVO zwischen der Beschwerdeführerin und der XXXX eben nicht darauf ankommt, dass die Beschwerdeführerin auf die einzelnen Verarbeitungsvorgänge Einfluss nehme oder selbst durchführe, selbst gewonnene Datensätze (mit-)verwalte, Zugang zu ihnen habe oder die verfahrensgegenständlichen Modalitäten zur Einholung von Einwilligungserklärungen zum Zweck des Profiling selbst gestaltet habe. Für das Entstehen einer gemeinsamen Verantwortung sei es nicht einmal Voraussetzung, dass es schriftliche Anleitungen oder Anweisungen hinsichtlich der Datenverarbeitung geben müsse. Vielmehr ergebe sich die gemeinsame datenschutzrechtliche Verantwortung der Beschwerdeführerin bereits daraus, dass sie, namentlich durch das nach der internen Ressortverteilung für den „ XXXX “ zuständige Vorstandsmitglied XXXX , in der Konzeptionsphase des Kundenbindungsprogrammes gemeinsam mit der Geschäftsführung der XXXX die strategische Ausrichtung zur Einrichtung und den Betrieb eines konzerneigenen Kundenbindungsprogrammes festgelegt und auch durch das Bereitstellen budgetärer Mittel den Betrieb des Kundenbindungsprogrammes überhaupt erst ermöglicht habe; die Geschäftsführung der XXXX habe sodann in Folge – unter Einhaltung der Vorgaben der Beschwerdeführerin als Muttergesellschaft und nach finanzieller Ausstattung durch eine weitere Tochtergesellschaft der Beschwerdeführerin – sämtliche Veranlassungen getroffen, um den operativen Geschäftsbetrieb vorzubereiten. Die Geschäftsführer der XXXX hätten insbesondere Verträge mit Partnerunternehmen geschlossen, die Funktionsweise des Kundenbindungsprogrammes im Detail festgelegt, datenschutzrechtlich relevante Dokumente und Informationen erstellt und die erforderliche IT-Infrastruktur eingerichtet. Die Veranlassungen des Vorstandes der Beschwerdeführerin, nämlich die Festlegung der Mittel und Zwecke zum Betrieb des „ XXXX “-Kundenbindungsprogrammes in Form einer konzerneigenen Servicegesellschaft und die Ausstattung derselben mit finanziellen und personellen Mitteln hierfür hätten es erst ermöglicht, dass der operative Geschäftsbetrieb – und damit sämtliche Datenverarbeitungsvorgänge, so auch die auf Basis der gewonnenen Kundendaten durchgeführte Profilbildung – am 02.05.2019 aufgenommen werden hätte können.Umgelegt auf den gegenständlichen Fall bedeute dies, dass es für eine gemeinsame Verantwortlichkeit gemäß Artikel 4, Ziffer 7, in Verbindung mit Artikel 26, DSGVO zwischen der Beschwerdeführerin und der römisch XXXX eben nicht darauf ankommt, dass die Beschwerdeführerin auf die einzelnen Verarbeitungsvorgänge Einfluss nehme oder selbst durchführe, selbst gewonnene Datensätze (mit-)verwalte, Zugang zu ihnen habe oder die verfahrensgegenständlichen Modalitäten zur Einholung von Einwilligungserklärungen zum Zweck des Profiling selbst gestaltet habe. Für das Entstehen einer gemeinsamen Verantwortung sei es nicht einmal Voraussetzung, dass es schriftliche Anleitungen oder Anweisungen hinsichtlich der Datenverarbeitung geben müsse. Vielmehr ergebe sich die gemeinsame datenschutzrechtliche Verantwortung der Beschwerdeführerin bereits daraus, dass sie, namentlich durch das nach der internen Ressortverteilung für den „ römisch XXXX “ zuständige Vorstandsmitglied römisch XXXX , in der Konzeptionsphase des Kundenbindungsprogrammes gemeinsam mit der Geschäftsführung der römisch XXXX die strategische Ausrichtung zur Einrichtung und den Betrieb eines konzerneigenen Kundenbindungsprogrammes festgelegt und auch durch das Bereitstellen budgetärer Mittel den Betrieb des Kundenbindungsprogrammes überhaupt erst ermöglicht habe; die Geschäftsführung der römisch XXXX habe sodann in Folge – unter Einhaltung der Vorgaben der Beschwerdeführerin als Muttergesellschaft und nach finanzieller Ausstattung durch eine weitere Tochtergesellschaft der Beschwerdeführerin – sämtliche Veranlassungen getroffen, um den operativen Geschäftsbetrieb vorzubereiten. Die Geschäftsführer der römisch XXXX hätten insbesondere Verträge mit Partnerunternehmen geschlossen, die Funktionsweise des Kundenbindungsprogrammes im Detail festgelegt, datenschutzrechtlich relevante Dokumente und Informationen erstellt und die erforderliche IT-Infrastruktur eingerichtet. Die Veranlassungen des Vorstandes der Beschwerdeführerin, nämlich die Festlegung der Mittel und Zwecke zum Betrieb des „ römisch XXXX “-Kundenbindungsprogrammes in Form einer konzerneigenen Servicegesellschaft und die Ausstattung derselben mit finanziellen und personellen Mitteln hierfür hätten es erst ermöglicht, dass der operative Geschäftsbetrieb – und damit sämtliche Datenverarbeitungsvorgänge, so auch die auf Basis der gewonnenen Kundendaten durchgeführte Profilbildung – am 02.05.2019 aufgenommen werden hätte können.

Insofern gleiche diese Fallkonstellation im Wesentlichen jener, die dem Urteil des EuGH vom 10.07.2018, C-25/17 [Zeugen Jehovas], zugrunde gelegen sei: Für eine gemeinsame Verantwortung sei es demnach bereits ausreichend, wenn die grobe Linie zur Datenverarbeitung von einem Verantwortlichen vorgegeben werde, die konkrete Umsetzung und Ausgestaltung dieser Vorgaben sowie die tatsächliche Datenverarbeitung aber dann von einem anderen Verantwortlichen vorgenommen werde. Auch der rechtliche Einwand der Beschwerdeführerin, wonach es sich bei der XXXX zwar um eine Gesellschaft innerhalb ihrer Unternehmensgruppe handle, diese jedoch unbeschadet dessen im Rahmen deren eigener Rechtspersönlichkeit in allen rechtsrelevanten Belangen völlig eigenständig agiere, vermöge nicht zu überzeugen.Insofern gleiche diese Fallkonstellation im Wesentlichen jener, die dem Urteil des EuGH vom 10.07.2018, C-25/17 [Zeugen Jehovas], zugrunde gelegen sei: Für eine gemeinsame Verantwortung sei es demnach bereits ausreichend, wenn die grobe Linie zur Datenverarbeitung von einem Verantwortlichen vorgegeben werde, die konkrete Umsetzung und Ausgestaltung dieser Vorgaben sowie die tatsächliche Datenverarbeitung aber dann von einem anderen Verantwortlichen vorgenommen werde. Auch der rechtliche Einwand der Beschwerdeführerin, wonach es sich bei der römisch XXXX zwar um eine Gesellschaft innerhalb ihrer Unternehmensgruppe handle, diese jedoch unbeschadet dessen im Rahmen deren eigener Rechtspersönlichkeit in allen rechtsrelevanten Belangen völlig eigenständig agiere, vermöge nicht zu überzeugen.

So ergebe sich die gemeinsame datenschutzrechtliche Verantwortung der Beschwerdeführerin im gegebenen Kontext anhand des – seitens der Beschuldigten im gegenständlichen Verfahren nicht bestrittenen – Umstandes, dass der Vorstand der Beschwerdeführerin die Einrichtung der XXXX zum Zweck des Betriebes des „ XXXX “-Kundenbindungsprogrammes beschlossen und veranlasst, und hierfür die erforderlichen finanziellen und personellen Mittel – wenn auch unter Zuhilfenahme einer weiteren Konzerntochtergesellschaft – bereitgestellt habe; die Beschwerdeführerin habe in Folge jedoch nicht einmal in Grundzügen dafür gesorgt, dass innerhalb der XXXX datenschutzrechtliche Vorgaben bei der Etablierung des Kundenbindungsprogrammes beachtet worden seien.So ergebe sich die gemeinsame datenschutzrechtliche Verantwortung der Beschwerdeführerin im gegebenen Kontext anhand des – seitens der Beschuldigten im gegenständlichen Verfahren nicht bestrittenen – Umstandes, dass der Vorstand der Beschwerdeführerin die Einrichtung der römisch XXXX zum Zweck des Betriebes des „ römisch XXXX “-Kundenbindungsprogrammes beschlossen und veranlasst, und hierfür die erforderlichen finanziellen und personellen Mittel – wenn auch unter Zuhilfenahme einer weiteren Konzerntochtergesellschaft – bereitgestellt habe; die Beschwerdeführerin habe in Folge jedoch nicht einmal in Grundzügen dafür gesorgt, dass innerhalb der römisch XXXX datenschutzrechtliche Vorgaben bei der Etablierung des Kundenbindungsprogrammes beachtet worden seien.

Aber auch aus gesellschaftsrechtlichen Gründen könne eine völlige Eigenständigkeit der XXXX , wie von der Beschuldigten suggeriert worden sei, nicht angenommen werden, da die – näher wiedergegebene – Rechtsprechung des OGH zu Pflichten für den Vorstand einer Konzernobergesellschaft im Rahmen der „Konzernleitungspflicht“ verdeutlichen würde, dass – jedenfalls in einem bestimmten Maß – der Vorstand der Muttergesellschaft die Konzernglieder in sein Tätigkeitsfeld aufnehmen müsse. Ein Mindestmaß an Konzernleitungspflicht und der Pflicht zur Überwachung ergäbe sich schon aus der bloßen Tatsache, dass Beteiligungen an anderen Unternehmen zum Vermögen der Konzernobergesellschaft gehören. Es steht daher dem Vorstand der Konzernobergesellschaft daher nicht frei, seine Tochtergesellschaften frei agieren zu lassen, sondern müsse er diese jedenfalls überwachen und für einen Informationsfluss – im Rahmen des rechtlich Zulässigen – sorgen.Aber auch aus gesellschaftsrechtlichen Gründen könne eine völlige Eigenständigkeit der römisch XXXX , wie von der Beschuldigten suggeriert worden sei, nicht angenommen werden, da die – näher wiedergegebene – Rechtsprechung des OGH zu Pflichten für den Vorstand einer Konzernobergesellschaft im Rahmen der „Konzernleitungspflicht“ verdeutlichen würde, dass – jedenfalls in einem bestimmten Maß – der Vorstand der Muttergesellschaft die Konzernglieder in sein Tätigkeitsfeld aufnehmen müsse. Ein Mindestmaß an Konzernleitungspflicht und der Pflicht zur Überwachung ergäbe sich schon aus der bloßen Tatsache, dass Beteiligungen an anderen Unternehmen zum Vermögen der Konzernobergesellschaft gehören. Es steht daher dem Vorstand der Konzernobergesellschaft daher nicht frei, seine Tochtergesellschaften frei agieren zu lassen, sondern müsse er diese jedenfalls überwachen und für einen Informationsfluss – im Rahmen des rechtlich Zulässigen – sorgen.

Aus alldem folge aber auch, dass die Beschwerdeführerin (gemeinsam) mit der XXXX für die Einhaltung der datenschutzrechtlichen Vorgaben im Zusammenhang mit dem Betrieb des XXXX “-Kundenbindungsprogrammes mitverantwortlich zeichne. Die Beschwerdeführerin habe im gegenständlichen Verfahren in Bezug auf die datenschutzrechtliche Beurteilung der Rechtmäßigkeit der verfahrensgegenständlichen Einwilligungserklärungen sowie zur Rechtmäßigkeit der auf Basis der eingeholten Einwilligungserklärungen durchgeführten Verarbeitungsvorgänge dieselbe Rechtsmeinung vertreten, wie die XXXX und deren rechtliches Vorbringen hierzu im Verwaltungsstrafverfahren zu XXXX auch zu ihrem eigenen rechtfertigenden Vorbringen erhoben – dieses Faktum spreche jedenfalls nicht gegen die gemeinsame Verantwortlichen-Eigenschaft.Aus alldem folge aber auch, dass die Beschwerdeführerin (gemeinsam) mit der römisch XXXX für die Einhaltung der datenschutzrechtlichen Vorgaben im Zusammenhang mit dem Betrieb des römisch XXXX “-Kundenbindungsprogrammes mitverantwortlich zeichne. Die Beschwerdeführerin habe im gegenständlichen Verfahren in Bezug auf die datenschutzrechtliche Beurteilung der Rechtmäßigkeit der verfahrensgegenständlichen Einwilligungserklärungen sowie zur Rechtmäßigkeit der auf Basis der eingeholten Einwilligungserklärungen durchgeführten Verarbeitungsvorgänge dieselbe Rechtsmeinung vertreten, wie die römisch XXXX und deren rechtliches Vorbringen hierzu im Verwaltungsstrafverfahren zu römisch XXXX auch zu ihrem eigenen rechtfertigenden Vorbringen erhoben – dieses Faktum spreche jedenfalls nicht gegen die gemeinsame Verantwortlichen-Eigenschaft.

Da die Beschwerdeführerin das Vorbringen der XXXX auch zu ihrem Vorbringen erhoben habe, schlage die rechtliche Beurteilung von deren Tatvorwurf auch auf das gegenständliche Verfahren durch. Die Beschwerdeführerin habe, als (gemeinsam mit der XXXX ) datenschutzrechtlich Verantwortliche, die objektive Tatseite der - Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 iVm Art. 83 Abs. 5 lit. a DSGVO (Spruchpunkt I.), sowie - Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 iVm Art. 83 Abs. 5 lit. a DSGVO (Spruchpunkt II.) erfüllt. Da die Beschwerdeführerin das Vorbringen der römisch XXXX auch zu ihrem Vorbringen erhoben habe, schlage die rechtliche Beurteilung von deren Tatvorwurf auch auf das gegenständliche Verfahren durch. Die Beschwerdeführerin habe, als (gemeinsam mit der römisch XXXX ) datenschutzrechtlich Verantwortliche, die objektive Tatseite der - Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 7, Absatz 2, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO (Spruchpunkt römisch eins.), sowie - Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 6, Absatz eins, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO (Spruchpunkt römisch II.) erfüllt.

Zur subjektiven Tatseite werde ausgeführt, die belangte Behörde könne gemäß § 30 Abs. 1 DSG eine Geldbuße gegen eine juristische Person verhängen, wenn Verstöße gegen Bestimmungen der DSGVO und des § 1 oder Artikel 2 1. Hauptstück des DSG durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund - der Befugnis zur Vertretung der juristischen Person, - der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder - einer Kontrollbefugnis innerhalb der juristischen Person innehaben. Gemäß § 30 Abs. 2 DSG können juristische Personen wegen Verstößen gegen Bestimmungen der DSGVO und des § 1 oder Artikel 2 1. Hauptstück des DSG auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in § 30 Abs. 1 DSG genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat. Entscheidend sei gewesen, bezogen auf die vorliegende Fallkonstellation der gemeinsamen datenschutzrechtlichen Verantwortung der Beschwerdeführerin (gemeinsam mit der XXXX ), ob der Vorstand der Beschwerdeführerin ein wirksames internes Kontrollsystem – sowohl während der Konzeptionsphase des „ XXXX “ als auch ab dem Zeitpunkt der Aufnahme des operativen Geschäftsbetriebes – innerhalb der Unternehmensgruppe implementiert habe, um sicherzustellen, dass ein Kundenbindungsprogramm dieser Dimension (über 2 Millionen Betroffene) zumindest in Grundzügen der DSGVO entspräche; dies insbesondere mit dem Ziel, im Ergebnis einen datenschutzrechtskonformen Geschäftsbetrieb – durch geeignete Steuerungs- und Lenkungsmaßnahmen der als Servicegesellschaft innerhalb der Unternehmensgruppe eingerichteten XXXX – zu effektuieren.Zur subjektiven Tatseite werde ausgeführt, die belangte Behörde könne gemäß Paragraph 30, Absatz eins, DSG eine Geldbuße gegen eine juristische Person verhängen, wenn Verstöße gegen Bestimmungen der DSGVO und des Paragraph eins, oder Artikel 2 1. Hauptstück des DSG durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund - der Befugnis zur Vertretung der juristischen Person, - der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder - einer Kontrollbefugnis innerhalb der juristischen Person innehaben. Gemäß Paragraph 30, Absatz 2, DSG können juristische Personen wegen Verstößen gegen Bestimmungen der DSGVO und des Paragraph eins, oder Artikel 2 1. Hauptstück des DSG auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Paragraph 30, Absatz eins, DSG genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat. Entscheidend sei gewesen, bezogen auf die vorliegende Fallkonstellation der gemeinsamen datenschutzrechtlichen Verantwortung der Beschwerdeführerin (gemeinsam mit der römisch XXXX ), ob der Vorstand der Beschwerdeführerin ein wirksames internes Kontrollsystem – sowohl während der Konzeptionsphase des „ römisch XXXX “ als auch ab dem Zeitpunkt der Aufnahme des operativen Geschäftsbetriebes – innerhalb der Unternehmensgruppe implementiert habe, um sicherzustellen, dass ein Kundenbindungsprogramm dieser Dimension (über 2 Millionen Betroffene) zumindest in Grundzügen der DSGVO entspräche; dies insbesondere mit dem Ziel, im Ergebnis einen datenschutzrechtskonformen Geschäftsbetrieb – durch geeignete Steuerungs- und Lenkungsmaßnahmen der als Servicegesellschaft innerhalb der Unternehmensgruppe eingerichteten römisch XXXX – zu effektuieren.

Das Unterlassen jeglicher Leitung und Kontrolle der XXXX durch den Vorstand der Beschwerdeführerin habe es erst ermöglicht, dass die gegenständlichen Ersuchen um Einwilligung zum Zweck des Profiling von der Geschäftsführung der XXXX genehmigt und damit im operativen Geschäftsbetrieb eingesetzt worden wären, obwohl deren Ausgestaltung – wie im amtswegigen Prüfverfahren sowie im Verwaltungsstrafverfahren jeweils betreffend die XXXX festgestellt worden sei – nicht den rechtlichen Anforderungen an eine wirksame Einwilligungserklärung entsprochen hätten. Das Unterlassen jeglicher Leitung und Kontrolle der römisch XXXX durch den Vorstand der Beschwerdeführerin habe es erst ermöglicht, dass die gegenständlichen Ersuchen um Einwilligung zum Zweck des Profiling von der Geschäftsführung der römisch XXXX genehmigt und damit im operativen Geschäftsbetrieb eingesetzt worden wären, obwohl deren Ausgestaltung – wie im amtswegigen Prüfverfahren sowie im Verwaltungsstrafverfahren jeweils betreffend die römisch XXXX festgestellt worden sei – nicht den rechtlichen Anforderungen an eine wirksame Einwilligungserklärung entsprochen hätten.

In Summe seien auf diese Art und Weise 2.285.021 Einwilligungserklärungen eingeholt und auf Basis dieser rechtsunwirksamen Einwilligungserklärungen seither (bis zur tatsächlichen Beendigung der Profilbildungsvorgänge durch die XXXX ) die personenbezogenen Daten dieser Betroffenen zum Zweck des Profiling im Rahmen des „ XXXX “-Kundenbindungsprogrammes verarbeitet worden. Bei einem Kundenbindungsprogramm dieser Dimension (mit über 2 Millionen betroffenen Personen) könne sich der Vorstand der Konzernobergesellschaft nicht darauf beschränken, eine eigene Servicegesellschaft einzurichten und diese mit der konkreten Umsetzung zu beauftragen. Es liege auf der Hand, dass bereits gesellschaftsrechtliche Sorgfaltspflichten, vielmehr aber die Vorgaben der DSGVO selbst (Art. 4 Z 7 iVm Art. 26 und Art. 5 Abs. 2 DSGVO) den Vorstand der Konzernobergesellschaft dazu zwingen würden, sich näher mit dieser Form der Datenverarbeitung auseinanderzusetzen, zumal der finanzielle und marketingtechnische Nutzen aus diesem Kundenbindungsprogramm gerade nicht der XXXX zukomme, sondern den einzelnen Konzerngesellschaften und damit im Ergebnis auch einen wirtschaftlichen Mehrwert für die Konzernobergesellschaft darstelle. Das Unterlassen jeglicher Kontrolle der XXXX seitens des Vorstandes der Beschwerdeführerin könne folglich nicht ohne Konsequenz für diese sein.In Summe seien auf diese Art und Weise 2.285.021 Einwilligungserklärungen eingeholt und auf Basis dieser rechtsunwirksamen Einwilligungserklärungen seither (bis zur tatsächlichen Beendigung der Profilbildungsvorgänge durch die römisch XXXX ) die personenbezogenen Daten dieser Betroffenen zum Zweck des Profiling im Rahmen des „ römisch XXXX “-Kundenbindungsprogrammes verarbeitet worden. Bei einem Kundenbindungsprogramm dieser Dimension (mit über 2 Millionen betroffenen Personen) könne sich der Vorstand der Konzernobergesellschaft nicht darauf beschränken, eine eigene Servicegesellschaft einzurichten und diese mit der konkreten Umsetzung zu beauftragen. Es liege auf der Hand, dass bereits gesellschaftsrechtliche Sorgfaltspflichten, vielmehr aber die Vorgaben der DSGVO selbst (Artikel 4, Ziffer 7, in Verbindung mit Artikel 26 und Artikel 5, Absatz 2, DSGVO) den Vorstand der Konzernobergesellschaft dazu zwingen würden, sich näher mit dieser Form der Datenverarbeitung auseinanderzusetzen, zumal der finanzielle und marketingtechnische Nutzen aus diesem Kundenbindungsprogramm gerade nicht der römisch XXXX zukomme, sondern den einzelnen Konzerngesellschaften und damit im Ergebnis auch einen wirtschaftlichen Mehrwert für die Konzernobergesellschaft darstelle. Das Unterlassen jeglicher Kontrolle der römisch XXXX seitens des Vorstandes der Beschwerdeführerin könne folglich nicht ohne Konsequenz für diese sein.

Die unternehmensinterne Auseinandersetzung mit den rechtlichen Erfordernissen an eine wirksame Einwilligung – und ausschließlich auf diese hätten die beiden gemeinsam Verantwortlichen sämtliche Verarbeitungsvorgänge zum Zweck des Profiling gestützt – sei auf auffallend oberflächliche Weise erfolgte. Die Beschwerdeführerin habe sich mit den datenschutzrechtlichen Vorgaben in Bezug auf den operativen Geschäftsbetrieb der XXXX so gut wie gar nicht beschäftigt, selbst demnach keinerlei Prüfschritte veranlasst und auch die konkrete Umsetzung der Vorgabe an die XXXX , ein konzerneigenes Kundenbindungsprogramm einzurichten, nicht weiter kontrolliert. Das Unterlassen jeglicher datenschutzrechtlichen Prüfpflicht an die Geschäftsführer der XXXX und den Konzerndatenschutzbeauftragten durch den Vorstand der Beschwerdeführerin sei als grob fahrlässiges Verhalten zu bewerten und ihr daher als juristischer Person und datenschutzrechtlich (gemeinsam mit der XXXX ) Verantwortlichen im Sinne von § 30 Abs. 1 und Abs. 2 DSG zuzurechnen gewesen. Gemäß § 30 Abs. 3 DSG habe die Datenschutzbehörde von der Bestrafung eines Verantwortlichen gemäß § 9 VStG abzusehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wurde. Die persönliche verwaltungsstrafrechtliche Verfolgung und Bestrafung der Vorstandsmitglieder der Beschwerdeführerin sei aufgrund der Ausschlussnorm des § 30 Abs. 3 DSG somit – aus rechtlichen Gründen – nicht zulässig gewesen, weil deren Verhalten gänzlich der Beschwerdeführerin zuzurechnen gewesen sei und kein verwaltungsstrafrechtlicher „Übergang“ verblieben sei, der nur den Geschäftsführern angelastet werden hätte können.Die unternehmensinterne Auseinandersetzung mit den rechtlichen Erfordernissen an eine wirksame Einwilligung – und ausschließlich auf diese hätten die beiden gemeinsam Verantwortlichen sämtliche Verarbeitungsvorgänge zum Zweck des Profiling gestützt – sei auf auffallend oberflächliche Weise erfolgte. Die Beschwerdeführerin habe sich mit den datenschutzrechtlichen Vorgaben in Bezug auf den operativen Geschäftsbetrieb der römisch XXXX so gut wie gar nicht beschäftigt, selbst demnach keinerlei Prüfschritte veranlasst und auch die konkrete Umsetzung der Vorgabe an die römisch XXXX , ein konzerneigenes Kundenbindungsprogramm einzurichten, nicht weiter kontrolliert. Das Unterlassen jeglicher datenschutzrechtlichen Prüfpflicht an die Geschäftsführer der römisch XXXX und den Konzerndatenschutzbeauftragten durch den Vorstand der Beschwerdeführerin sei als grob fahrlässiges Verhalten zu bewerten und ihr daher als juristischer Person und datenschutzrechtlich (gemeinsam mit der römisch XXXX ) Verantwortlichen im Sinne von Paragraph 30, Absatz eins und Absatz 2, DSG zuzurechnen gewesen. Gemäß Paragraph 30, Absatz 3, DSG habe die Datenschutzbehörde von der Bestrafung eines Verantwortlichen gemäß Paragraph 9, VStG abzusehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wurde. Die persönliche verwaltungsstrafrechtliche Verfolgung und Bestrafung der Vorstandsmitglieder der Beschwerdeführerin sei aufgrund der Ausschlussnorm des Paragraph 30, Absatz 3, DSG somit – aus rechtlichen Gründen – nicht zulässig gewesen, weil deren Verhalten gänzlich der Beschwerdeführerin zuzurechnen gewesen sei und kein verwaltungsstrafrechtlicher „Übergang“ verblieben sei, der nur den Geschäftsführern angelastet werden hätte können.

Zur Strafzumessung wurde festzuhalten, dass aufgrund des für das Geschäftsjahr 2020 ausgewiesenen Umsatzes in der Höhe von rund 15,877 Milliarden Euro als Strafrahmen gemäß Art. 83 Abs. 5 DSGVO bis zu vier Prozent (rund 635 Millionen Euro) des ausgewiesenen Umsatzes der Beschwerdeführerin heranzuziehen gewesen seien. Bezogen auf den vorliegenden Sachverhalt sei bei der Strafzumessung erschwerend berücksichtigt worden, dass es die Beschwerdeführerin – in ihrer Eigenschaft als gemeinsam mit der XXXX für den Betrieb des „ XXXX “-Kundenbindungsprogrammes Verantwortliche – auf die beschriebene Weise ermöglicht, dass durch die gegenständlichen Einwilligungsformulare, über die analoge Anmeldestrecke „Flyer“ konkret von 1.710.789 natürlichen Personen, sowie über die digitale Anmeldestrecke auf der Website konkret von 574.232 natürlichen Personen, auf rechtswidrige Weise eine Einwilligung zum Zwecke des Profiling eingeholt worden sei. Insgesamt sei daher von 2.285.021 Betroffenen eine ungültige Einwilligung erhoben und die personenbezogenen Daten dieser Betroffenen zum Zwecke des Profiling verarbeitet worden, ohne das hierfür eine taugliche Rechtsgrundlage vorgelegen sei. Die Verstöße seien über einen langen Tatzeitraum hindurch über mehrere Monate (vgl. Spruchpunkt I.) bzw. über ein Jahr und neun Monate (vgl. Spruchpunkt II.) auf unrechtmäßige Weise erfolgt. Mildernd wurde berücksichtigt, dass die belangte Behörde in Bezug auf die im Spruch geahndeten Verstöße nicht von vorsätzlicher Begehung ausgehe, sei dies im Verhältnis zu möglichen Höchststrafe deutlich strafmildernd in Ansatz gebracht worden; gegen die Beschuldigte lägen bei der belangten Behörde keinerlei einschlägigen Verstöße gegen die DSGVO vor, und habe die Beschwerdeführerin im Rahmen des gegenständlichen Ermittlungsverfahrens mitgewirkt und dadurch einen Beitrag zur Wahrheitsfindung geleistet.Zur Strafzumessung wurde festzuhalten, dass aufgrund des für das Geschäftsjahr 2020 ausgewiesenen Umsatzes in der Höhe von rund 15,877 Milliarden Euro als Strafrahmen gemäß Artikel 83, Absatz 5, DSGVO bis zu vier Prozent (rund 635 Millionen Euro) des ausgewiesenen Umsatzes der Beschwerdeführerin heranzuziehen gewesen seien. Bezogen auf den vorliegenden Sachverhalt sei bei der Strafzumessung erschwerend berücksichtigt worden, dass es die Beschwerdeführerin – in ihrer Eigenschaft als gemeinsam mit der römisch XXXX für den Betrieb des „ römisch XXXX “-Kundenbindungsprogrammes Verantwortliche – auf die beschriebene Weise ermöglicht, dass durch die gegenständlichen Einwilligungsformulare, über die analoge Anmeldestrecke „Flyer“ konkret von 1.710.789 natürlichen Personen, sowie über die digitale Anmeldestrecke auf der Website konkret von 574.232 natürlichen Personen, auf rechtswidrige Weise eine Einwilligung zum Zwecke des Profiling eingeholt worden sei. Insgesamt sei daher von 2.285.021 Betroffenen eine ungültige Einwilligung erhoben und die personenbezogenen Daten dieser Betroffenen zum Zwecke des Profiling verarbeitet worden, ohne das hierfür eine taugliche Rechtsgrundlage vorgelegen sei. Die Verstöße seien über einen langen Tatzeitraum hindurch über mehrere Monate vergleiche Spruchpunkt römisch eins.) bzw. über ein Jahr und neun Monate vergleiche Spruchpunkt römisch II.) auf unrechtmäßige Weise erfolgt. Mildernd wurde berücksichtigt, dass die belangte Behörde in Bezug auf die im Spruch geahndeten Verstöße nicht von vorsätzlicher Begehung ausgehe, sei dies im Verhältnis zu möglichen Höchststrafe deutlich strafmildernd in Ansatz gebracht worden; gegen die Beschuldigte lägen bei der belangten Behörde keinerlei einschlägigen Verstöße gegen die DSGVO vor, und habe die Beschwerdeführerin im Rahmen des gegenständlichen Ermittlungsverfahrens mitgewirkt und dadurch einen Beitrag zur Wahrheitsfindung geleistet.

Die konkret verhängte Strafe in der Höhe von 8.000.000 Euro (rund 1,25 % der maximalen Strafhöhe) erscheine daher im Hinblick auf den