TE Bvwg Erkenntnis 2024/4/18 W137 2248575-1

1. B-VG Art. 133 heute
2. B-VG Art. 133 gültig von 01.01.2019 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 138/2017
3. B-VG Art. 133 gültig ab 01.01.2019 zuletzt geändert durch BGBl. I Nr. 22/2018
4. B-VG Art. 133 gültig von 25.05.2018 bis 31.12.2018 zuletzt geändert durch BGBl. I Nr. 22/2018
5. B-VG Art. 133 gültig von 01.08.2014 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 164/2013
6. B-VG Art. 133 gültig von 01.01.2014 bis 31.07.2014 zuletzt geändert durch BGBl. I Nr. 51/2012
7. B-VG Art. 133 gültig von 01.01.2004 bis 31.12.2013 zuletzt geändert durch BGBl. I Nr. 100/2003
8. B-VG Art. 133 gültig von 01.01.1975 bis 31.12.2003 zuletzt geändert durch BGBl. Nr. 444/1974
9. B-VG Art. 133 gültig von 25.12.1946 bis 31.12.1974 zuletzt geändert durch BGBl. Nr. 211/1946
10. B-VG Art. 133 gültig von 19.12.1945 bis 24.12.1946 zuletzt geändert durch StGBl. Nr. 4/1945
11. B-VG Art. 133 gültig von 03.01.1930 bis 30.06.1934

1. DSG Art. 2 § 30 heute
2. DSG Art. 2 § 30 gültig von 25.05.2018 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 120/2017
3. DSG Art. 2 § 30 gültig ab 25.05.2018 zuletzt geändert durch BGBl. I Nr. 24/2018
4. DSG Art. 2 § 30 gültig von 01.01.2014 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 83/2013
5. DSG Art. 2 § 30 gültig von 01.01.2010 bis 31.12.2013 zuletzt geändert durch BGBl. I Nr. 133/2009
6. DSG Art. 2 § 30 gültig von 01.01.2000 bis 31.12.2009

1. VStG 1950 § 10 gültig von 01.07.1988 bis 31.01.1991 wiederverlautbart durch BGBl. Nr. 52/1991
2. VStG 1950 § 10 gültig von 01.01.1965 bis 30.06.1988 zuletzt geändert durch BGBl. Nr. 275/1964

1. VStG 1950 § 19 gültig von 01.03.1978 bis 31.01.1991 wiederverlautbart durch BGBl. Nr. 52/1991

1. VStG 1950 § 5 gültig von 01.07.1988 bis 31.01.1991 wiederverlautbart durch BGBl. Nr. 52/1991
2. VStG 1950 § 5 gültig von 01.09.1950 bis 30.06.1988

1. VStG 1950 § 64 gültig von 01.01.1991 bis 31.01.1991 wiederverlautbart durch BGBl. Nr. 52/1991
2. VStG 1950 § 64 gültig von 01.07.1988 bis 31.12.1990 zuletzt geändert durch BGBl. Nr. 516/1987
3. VStG 1950 § 64 gültig von 01.01.1965 bis 30.06.1988 zuletzt geändert durch BGBl. Nr. 275/1964

1. VwGVG § 28 heute
2. VwGVG § 28 gültig ab 01.01.2019 zuletzt geändert durch BGBl. I Nr. 138/2017
3. VwGVG § 28 gültig von 01.01.2014 bis 31.12.2018

W137 2248575-1/31E

IM NAMEN DER REPUBLIK!

Schriftliche Ausfertigung des am 23.02.2024 mündlich verkündeten Erkenntnisses

Das Bundesverwaltungsgericht erkennt durch den Richter Mag. Peter HAMMER als Vorsitzender und die fachkundigen Laienrichterinnen Mag. Ursula ILLIBAUER sowie Mag. Martina CHLESTIL als Beisitzerinnen über die Beschwerde der XXXX gegen das Straferkenntnis der Datenschutzbehörde vom 28.09.2021, GZ: D550.289 2021-0.538.938, nach Durchführung einer mündlichen Verhandlung zu Recht:Das Bundesverwaltungsgericht erkennt durch den Richter Mag. Peter HAMMER als Vorsitzender und die fachkundigen Laienrichterinnen Mag. Ursula ILLIBAUER sowie Mag. Martina CHLESTIL als Beisitzerinnen über die Beschwerde der römisch XXXX gegen das Straferkenntnis der Datenschutzbehörde vom 28.09.2021, GZ: D550.289 2021-0.538.938, nach Durchführung einer mündlichen Verhandlung zu Recht:

A)

I. Die Beschwerde wird gemäß § 28 Abs. 2 VwGVG iVm Art. 12 Abs. 2 iVm Art. 83 Abs. 5 lit. b DSGVO mit der Maßgabe als unbegründet abgewiesen, dass die Geldstrafe gemäß § 30 DSG mit € 500.000 (in Worten: fünfhunderttausend Euro) bestimmt wird.römisch eins. Die Beschwerde wird gemäß Paragraph 28, Absatz 2, VwGVG in Verbindung mit Artikel 12, Absatz 2, in Verbindung mit Artikel 83, Absatz 5, Litera b, DSGVO mit der Maßgabe als unbegründet abgewiesen, dass die Geldstrafe gemäß Paragraph 30, DSG mit € 500.000 (in Worten: fünfhunderttausend Euro) bestimmt wird.

II. Der zu zahlende Gesamtbetrag (unter Berücksichtigung von § 64 VStG) beträgt daher € 550.000 (in Worten: fünfhundertfünfzigtausend Euro).römisch II. Der zu zahlende Gesamtbetrag (unter Berücksichtigung von Paragraph 64, VStG) beträgt daher € 550.000 (in Worten: fünfhundertfünfzigtausend Euro).

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.Die Revision ist gemäß Artikel 133, Absatz 4, B-VG zulässig.

Entscheidungsgründe:

I. Verfahrensgang:römisch eins. Verfahrensgang:

1. Die XXXX (= Beschwerdeführerin vor dem Bundesverwaltungsgericht und Beschuldigte im Verwaltungsstrafverfahren vor der Datenschutzbehörde) ist als Adresshändlerin mit dem Ziel tätig gewesen, ihren werbetreibenden Kunden den zielgerichteten Versand von Werbung zu ermöglichen sowie Streuverluste in der Werbung zu verringern. Im Rahmen dieser Tätigkeit hat sie – unter anderem – Informationen bzw. Marketingklassifikationen zu den „Parteiaffinitäten“ der gesamten österreichischen Bevölkerung erhoben, und auch aufgrund des Medienechos innerhalb weniger Monate mehr als 30.000 datenschutzrechtliche Anfragen von betroffenen Personen erhalten. Zur Bewältigung der Anfragenflut hat die verantwortliche Beauftragte der Beschwerdeführerin ein Web-Kontaktformular zur Geltendmachung der meistgenutzten Betroffenenrechte gemäß Art. 15, 17 und 21 DSGVO implementiert und andere Kontaktmöglichkeiten in diesem Kontext begrenzt.1. Die römisch XXXX (= Beschwerdeführerin vor dem Bundesverwaltungsgericht und Beschuldigte im Verwaltungsstrafverfahren vor der Datenschutzbehörde) ist als Adresshändlerin mit dem Ziel tätig gewesen, ihren werbetreibenden Kunden den zielgerichteten Versand von Werbung zu ermöglichen sowie Streuverluste in der Werbung zu verringern. Im Rahmen dieser Tätigkeit hat sie – unter anderem – Informationen bzw. Marketingklassifikationen zu den „Parteiaffinitäten“ der gesamten österreichischen Bevölkerung erhoben, und auch aufgrund des Medienechos innerhalb weniger Monate mehr als 30.000 datenschutzrechtliche Anfragen von betroffenen Personen erhalten. Zur Bewältigung der Anfragenflut hat die verantwortliche Beauftragte der Beschwerdeführerin ein Web-Kontaktformular zur Geltendmachung der meistgenutzten Betroffenenrechte gemäß Artikel 15,, 17 und 21 DSGVO implementiert und andere Kontaktmöglichkeiten in diesem Kontext begrenzt.

2. Mit verfahrenseinleitender Maßnahme vom 26.06.2020 übermittelte die Datenschutzbehörde (idF auch Behörde oder DSB), aufgrund amtswegiger Wahrnehmungen, betreffend die Beschuldigte, eine Aufforderung zur Rechtfertigung, da der Verdacht bestehe, diese habe ab 07.01.2019 fortlaufend bis dato, zumindest jedenfalls bis zum 26.05.2020, systematisch Betroffenenrechte im Sinne von Art. 12 ff DSGVO verletzt. Dies insbesondere dadurch, dass diese die Ausübung von Betroffenenrechten durch die obligatorisch vorgesehene Nutzung eines „Datenschutzformulars“ für Betroffene eingeschränkt, Anträge auf Auskunft gemäß Art. 15 DSGVO teilweise nicht fristgerecht, teilweise mangelhaft, teilweise gar nicht beantwortet, keine Informationen über die Inanspruchnahme der Fristenerstreckung im Sinne des Art. 12 Abs. 3 DSGVO mitgeteilt und die Aufforderung an betroffene Personen, ihre Identität im Sinne von Art. 12 Abs. 6 DSGVO durch Vorlage weiterer Dokumente und/oder Informationen nachzuweisen, nicht innerhalb der gesetzlich vorgesehenen Frist veranlasst habe.2. Mit verfahrenseinleitender Maßnahme vom 26.06.2020 übermittelte die Datenschutzbehörde in der Fassung auch Behörde oder DSB), aufgrund amtswegiger Wahrnehmungen, betreffend die Beschuldigte, eine Aufforderung zur Rechtfertigung, da der Verdacht bestehe, diese habe ab 07.01.2019 fortlaufend bis dato, zumindest jedenfalls bis zum 26.05.2020, systematisch Betroffenenrechte im Sinne von Artikel 12, ff DSGVO verletzt. Dies insbesondere dadurch, dass diese die Ausübung von Betroffenenrechten durch die obligatorisch vorgesehene Nutzung eines „Datenschutzformulars“ für Betroffene eingeschränkt, Anträge auf Auskunft gemäß Artikel 15, DSGVO teilweise nicht fristgerecht, teilweise mangelhaft, teilweise gar nicht beantwortet, keine Informationen über die Inanspruchnahme der Fristenerstreckung im Sinne des Artikel 12, Absatz 3, DSGVO mitgeteilt und die Aufforderung an betroffene Personen, ihre Identität im Sinne von Artikel 12, Absatz 6, DSGVO durch Vorlage weiterer Dokumente und/oder Informationen nachzuweisen, nicht innerhalb der gesetzlich vorgesehenen Frist veranlasst habe.

3. Mit Rechtfertigung vom 04.09.2020 brachte die Beschuldigte zusammengefasst vor, dass das Verfahren einzustellen sei, da die Behörde keine konkrete Umschreibung der Tathandlung vorgenommen habe. Es liege keine systematische Verletzung von Betroffenenrechten vor und habe die Beschuldigte ein wirksames Kontrollsystem eingeführt, um den Vorgaben der DSGVO zu entsprechen. Dies habe sie, durch die Expertise von fachlich qualifizierten Beratern aus dem Bereich des Datenschutzes, abgesichert. Sie habe zudem allen Anfragen betroffener Personen in gesetzeskonformer Weise möglichst rasch und effizient entsprochen, eine Ausweiskopie sei aufgrund der Menge der verarbeiteten Daten zwingend notwendig gewesen, das eingerichtete Kontaktformular stelle den besten Weg (im Sinne des Art. 12 Abs. 2 DSGVO) dar, um mit einer hohen Anzahl an Anfragen umgehen zu können und habe eine betroffene Person, welche ein E-Mail an nicht mehr genutzte E-Mailadressen der Beschuldigten sendete, umgehend einen Hinweis auf das neue Kontaktformular erhalten. Es handle sich nicht um eine obligatorisch zu nutzende Kontaktmöglichkeit, da die Möglichkeit bestanden habe, Anfragen auch weiterhin postalisch oder per Telefax einzubringen. Anliegen, welche nicht über das Kontaktformular bearbeitbar seien, würden weiterhin per E-Mail akzeptiert, hierauf sei in den Datenschutzhinweisen und am Kontaktformular selbst hingewiesen worden. Des Weiteren habe sich die Behörde geweigert, der Beschuldigten beratend zur Seite zu stehen. Eine verspätete Auskunft sei nie erfolgt und könne hinsichtlich der behaupteten Unvollständigkeit von Auskünften nur auf die divergierenden Rechtsansichten zwischen den Beschwerdeführern und der Beschuldigten hingewiesen werden, welche im Rahmen eines verwaltungsbehördlichen oder gerichtlichen Verfahrens zu klären seien. Auch habe ein systematisches „Nicht-Beantworten“ von Anfragen Betroffener nicht stattgefunden. Im Fall eines strafbaren Verhaltens der Beschuldigten seien die Unbescholtenheit, der Mitteleinsatz, Ressourceneinsatz, der kontinuierliche Verbesserungsprozess, die bloße Fahrlässigkeit, der fehlende Schaden, die Kooperation mit der Behörde und die Auswirkungen der Pandemie strafmildernd zu berücksichtigen. Der Eingabe war ein Konvolut an verfahrensrelevanten Dokumenten angeschlossen.3. Mit Rechtfertigung vom 04.09.2020 brachte die Beschuldigte zusammengefasst vor, dass das Verfahren einzustellen sei, da die Behörde keine konkrete Umschreibung der Tathandlung vorgenommen habe. Es liege keine systematische Verletzung von Betroffenenrechten vor und habe die Beschuldigte ein wirksames Kontrollsystem eingeführt, um den Vorgaben der DSGVO zu entsprechen. Dies habe sie, durch die Expertise von fachlich qualifizierten Beratern aus dem Bereich des Datenschutzes, abgesichert. Sie habe zudem allen Anfragen betroffener Personen in gesetzeskonformer Weise möglichst rasch und effizient entsprochen, eine Ausweiskopie sei aufgrund der Menge der verarbeiteten Daten zwingend notwendig gewesen, das eingerichtete Kontaktformular stelle den besten Weg (im Sinne des Artikel 12, Absatz 2, DSGVO) dar, um mit einer hohen Anzahl an Anfragen umgehen zu können und habe eine betroffene Person, welche ein E-Mail an nicht mehr genutzte E-Mailadressen der Beschuldigten sendete, umgehend einen Hinweis auf das neue Kontaktformular erhalten. Es handle sich nicht um eine obligatorisch zu nutzende Kontaktmöglichkeit, da die Möglichkeit bestanden habe, Anfragen auch weiterhin postalisch oder per Telefax einzubringen. Anliegen, welche nicht über das Kontaktformular bearbeitbar seien, würden weiterhin per E-Mail akzeptiert, hierauf sei in den Datenschutzhinweisen und am Kontaktformular selbst hingewiesen worden. Des Weiteren habe sich die Behörde geweigert, der Beschuldigten beratend zur Seite zu stehen. Eine verspätete Auskunft sei nie erfolgt und könne hinsichtlich der behaupteten Unvollständigkeit von Auskünften nur auf die divergierenden Rechtsansichten zwischen den Beschwerdeführern und der Beschuldigten hingewiesen werden, welche im Rahmen eines verwaltungsbehördlichen oder gerichtlichen Verfahrens zu klären seien. Auch habe ein systematisches „Nicht-Beantworten“ von Anfragen Betroffener nicht stattgefunden. Im Fall eines strafbaren Verhaltens der Beschuldigten seien die Unbescholtenheit, der Mitteleinsatz, Ressourceneinsatz, der kontinuierliche Verbesserungsprozess, die bloße Fahrlässigkeit, der fehlende Schaden, die Kooperation mit der Behörde und die Auswirkungen der Pandemie strafmildernd zu berücksichtigen. Der Eingabe war ein Konvolut an verfahrensrelevanten Dokumenten angeschlossen.

4. Mit Aufforderung zur Rechtfertigung vom 21.12.2020 an die Beschuldigte, die Vorstandsmitglieder und die verantwortliche Beauftragte weitete die Datenschutzbehörde den Kreis der Beschuldigten aus und konkretisierte die vorgeworfenen Tathandlungen mit der Darstellung von 18 (nicht abschließend ausgeführten) Datenschutzbeschwerden und führte zusammengefasst aus:

Es bestehe der Verdacht, die – für den Tatzeitraum im Firmenbuch ausgewiesenen –organschaftlichen Vertreter der Beschuldigten sowie die verantwortliche Beauftragte im Sinne des § 9 Abs. 2 VStG hätten im Zusammenhang mit der Planung, Entwicklung und Einführung sowie Durchführung und Überwachung eines „Datenschutzmanagement-Konzepts“ in Bezug auf die Behandlung von Betroffenenrechten im Sinne von Art. 12 bis 22 DSGVO, zumindest durch Außerachtlassung der gebotenen Sorgfalt sowie aufgrund mangelnder Kontrolle und Überwachung, die vorgeworfenen Verwaltungsübertretungen begangen. Diese hätten jedenfalls bei der Implementierung der DSGVO kein wirksames internes Kontrollsystem eingeführt, um Verletzungen von Betroffenenrechten aufgrund der zu erwartenden erhöhten Anfragen bzw. Antragstellungen zu vermeiden. Dies führe im Ergebnis zu einer systematischen Verletzung von Betroffenenrechten.Es bestehe der Verdacht, die – für den Tatzeitraum im Firmenbuch ausgewiesenen –organschaftlichen Vertreter der Beschuldigten sowie die verantwortliche Beauftragte im Sinne des Paragraph 9, Absatz 2, VStG hätten im Zusammenhang mit der Planung, Entwicklung und Einführung sowie Durchführung und Überwachung eines „Datenschutzmanagement-Konzepts“ in Bezug auf die Behandlung von Betroffenenrechten im Sinne von Artikel 12 bis 22 DSGVO, zumindest durch Außerachtlassung der gebotenen Sorgfalt sowie aufgrund mangelnder Kontrolle und Überwachung, die vorgeworfenen Verwaltungsübertretungen begangen. Diese hätten jedenfalls bei der Implementierung der DSGVO kein wirksames internes Kontrollsystem eingeführt, um Verletzungen von Betroffenenrechten aufgrund der zu erwartenden erhöhten Anfragen bzw. Antragstellungen zu vermeiden. Dies führe im Ergebnis zu einer systematischen Verletzung von Betroffenenrechten.

5. Mit Rechtfertigung vom 15.02.2021 brachten die Beschuldigten gemeinschaftlich und ergänzend zur Rechtfertigung vom 04.09.2020 soweit wesentlich vor, dass die Behörde idente Vorwürfe erhebe und nun ebenfalls die Vorstandsmitglieder und die verantwortliche Beauftragte als Beschuldigte führe. Durch dieses unzulässige Verhalten sei Scheinkonkurrenz mit dem im Juni 2020 eingeleiteten Verfahren gegeben. Soweit diese davon ausgehe, dass ein Dauerdelikt vorliege, sei darauf hinzuweisen, dass es sich bei Art. 12 DSGVO und Art. 15 DSGVO um Delikte handle, welche mit Eintritt der Rechtswidrigkeit enden. Es sei in den Vorwürfen keine sanktionierbare Tat umschrieben, die den genannten natürlichen Personen vorgeworfen werden könne. Die Behörde habe, entgegen der höchstgerichtlichen Judikatur, „zur Sicherheit“ ein Verwaltungsstrafverfahren gegen die Vorstände und die verantwortliche Beauftragte eingeleitet, obwohl dies für die Verantwortlichkeit einer juristischen Person nicht erforderlich sei. Dieses Vorgehen mache den Beschuldigten die Verteidigung ihrer Rechtspositionen unmöglich, da sämtliche Vorhalte undifferenziert seien. Gerade die anhaltende Gefahr einer Datenschutzverletzung, durch die manuelle Bearbeitung aller einlangenden Anfragen von betroffenen Personen, habe es erforderlich gemacht, den Prozess durch ein Kontaktformular teilweise zu automatisieren. Seit 17.07.2019 sei das Kontaktformular implementiert und würde ein Großteil der Betroffenenanfragen über diesen Kanal abgewickelt werden. Dieses sei nie obligatorisch gewesen und haben den Betroffenen auch eine E-Mailadresse für Detailauskünfte zur Verfügung gestanden. Nach der Umstellung auf das DSGVO-Kontaktformular sei es vorgekommen, dass Betroffene weiterhin die alte E-Mailadresse der Beschuldigten nutzten. In solchen Fällen hätten diese vom Postfach XXXX automatisch die Rückmeldung erhalten, dass sie das DSGVO-Kontaktformular zu verwenden hätten, dies auch, wenn sich deren Anliegen bereits in Bearbeitung befunden habe. Am 22.04.2020 sei das Postfach endgültig abgeschaltet und den Betroffenen, die sich an dieses Postfach wendeten, eine Unzustellbarkeits-Benachrichtigung übermittelt worden. Abschließend sei aufzuzeigen, dass hinsichtlich der überwiegenden Zahl der von der Behörde vorgebrachten Fälle die Verfolgungsverjährung bereits eingetreten sei. Ein allfälliger Verstoß gegen das Erleichterungsgebot sei überdies nicht unmittelbar strafbewehrt, denn gemäß Art. 83 Abs. 5 lit b DSGVO dürfe eine Geldbuße nur bei Verstößen gegen Rechte der Betroffenen verhängt werden.5. Mit Rechtfertigung vom 15.02.2021 brachten die Beschuldigten gemeinschaftlich und ergänzend zur Rechtfertigung vom 04.09.2020 soweit wesentlich vor, dass die Behörde idente Vorwürfe erhebe und nun ebenfalls die Vorstandsmitglieder und die verantwortliche Beauftragte als Beschuldigte führe. Durch dieses unzulässige Verhalten sei Scheinkonkurrenz mit dem im Juni 2020 eingeleiteten Verfahren gegeben. Soweit diese davon ausgehe, dass ein Dauerdelikt vorliege, sei darauf hinzuweisen, dass es sich bei Artikel 12, DSGVO und Artikel 15, DSGVO um Delikte handle, welche mit Eintritt der Rechtswidrigkeit enden. Es sei in den Vorwürfen keine sanktionierbare Tat umschrieben, die den genannten natürlichen Personen vorgeworfen werden könne. Die Behörde habe, entgegen der höchstgerichtlichen Judikatur, „zur Sicherheit“ ein Verwaltungsstrafverfahren gegen die Vorstände und die verantwortliche Beauftragte eingeleitet, obwohl dies für die Verantwortlichkeit einer juristischen Person nicht erforderlich sei. Dieses Vorgehen mache den Beschuldigten die Verteidigung ihrer Rechtspositionen unmöglich, da sämtliche Vorhalte undifferenziert seien. Gerade die anhaltende Gefahr einer Datenschutzverletzung, durch die manuelle Bearbeitung aller einlangenden Anfragen von betroffenen Personen, habe es erforderlich gemacht, den Prozess durch ein Kontaktformular teilweise zu automatisieren. Seit 17.07.2019 sei das Kontaktformular implementiert und würde ein Großteil der Betroffenenanfragen über diesen Kanal abgewickelt werden. Dieses sei nie obligatorisch gewesen und haben den Betroffenen auch eine E-Mailadresse für Detailauskünfte zur Verfügung gestanden. Nach der Umstellung auf das DSGVO-Kontaktformular sei es vorgekommen, dass Betroffene weiterhin die alte E-Mailadresse der Beschuldigten nutzten. In solchen Fällen hätten diese vom Postfach römisch XXXX automatisch die Rückmeldung erhalten, dass sie das DSGVO-Kontaktformular zu verwenden hätten, dies auch, wenn sich deren Anliegen bereits in Bearbeitung befunden habe. Am 22.04.2020 sei das Postfach endgültig abgeschaltet und den Betroffenen, die sich an dieses Postfach wendeten, eine Unzustellbarkeits-Benachrichtigung übermittelt worden. Abschließend sei aufzuzeigen, dass hinsichtlich der überwiegenden Zahl der von der Behörde vorgebrachten Fälle die Verfolgungsverjährung bereits eingetreten sei. Ein allfälliger Verstoß gegen das Erleichterungsgebot sei überdies nicht unmittelbar strafbewehrt, denn gemäß Artikel 83, Absatz 5, Litera b, DSGVO dürfe eine Geldbuße nur bei Verstößen gegen Rechte der Betroffenen verhängt werden.

6. Mit einfacher Ladung vom 17.05.2021 lud die Behörde XXXX (Datenschutzbeauftragte der XXXX bis Juni 2020) zur Einvernahme als Zeugin vor und führte die Einvernahme am 01.06.2021 durch. Dabei gab diese zusammengefasst an, es sei nie vorgesehen gewesen Betroffenenrechte einzuschränken und habe die Anfragenflut eine Umstellung zwingend erforderlich gemacht. Die verantwortliche Beauftragte habe das Kontaktformular für zulässig erklärt, dieses sei ab Juni/Juli 2019 zum Einsatz gekommen. Ob Vorstandsmitglieder in den Prozess eingebunden waren, sei ihr nicht bekannt. Seit 2018 habe als Kontaktmöglichkeit die postalische Zustellung, das Fax, das Kundenservicecenter und eine E-Mailadresse bestanden. Mit Deaktivierung der E-Mailadresse sei automatisch auf das Kontaktformular verwiesen worden, andere Änderungen der Kontaktmöglichkeiten habe es nicht gegeben. Die Einschränkung auf drei Betroffenenrechte im Kontaktformular sei nur erfolgt, da betroffene Personen diese überwiegend beantragten, andere Anliegen seien durch postalische Übermittlung, Fax oder über das Kundenservicecenter immer zulässig gewesen. Über diese Information sei in den Datenschutzhinweisen aufgeklärt worden. Auch bereits eingebrachte Anliegen seinen von der Umstellung betroffen gewesen. 6. Mit einfacher Ladung vom 17.05.2021 lud die Behörde römisch XXXX (Datenschutzbeauftragte der römisch XXXX bis Juni 2020) zur Einvernahme als Zeugin vor und führte die Einvernahme am 01.06.2021 durch. Dabei gab diese zusammengefasst an, es sei nie vorgesehen gewesen Betroffenenrechte einzuschränken und habe die Anfragenflut eine Umstellung zwingend erforderlich gemacht. Die verantwortliche Beauftragte habe das Kontaktformular für zulässig erklärt, dieses sei ab Juni/Juli 2019 zum Einsatz gekommen. Ob Vorstandsmitglieder in den Prozess eingebunden waren, sei ihr nicht bekannt. Seit 2018 habe als Kontaktmöglichkeit die postalische Zustellung, das Fax, das Kundenservicecenter und eine E-Mailadresse bestanden. Mit Deaktivierung der E-Mailadresse sei automatisch auf das Kontaktformular verwiesen worden, andere Änderungen der Kontaktmöglichkeiten habe es nicht gegeben. Die Einschränkung auf drei Betroffenenrechte im Kontaktformular sei nur erfolgt, da betroffene Personen diese überwiegend beantragten, andere Anliegen seien durch postalische Übermittlung, Fax oder über das Kundenservicecenter immer zulässig gewesen. Über diese Information sei in den Datenschutzhinweisen aufgeklärt worden. Auch bereits eingebrachte Anliegen seinen von der Umstellung betroffen gewesen.

7. Mit 02.06.2021 gewährte die Behörde allen Beteiligten Parteiengehör hinsichtlich der erfolgten Zeugeneinvernahme vom 01.06.2021.

8. Mit Ladungsbescheid vom 02.06.2021 lud die Behörde die verantwortliche Beauftragte zur Einvernahme am 30.06.2021, wobei diese zusammengefasst und soweit wesentlich angab:

Der Vorstand sei über die hohe Zahl an Anfragen informiert gewesen und habe den Auftrag erteilt, diese ordnungsgemäß abzuarbeiten, das Budget für die benötigte Arbeitskraft habe dieser freigegeben und ihr die notwendige Anordnungsbefugnis erteilt. Für die Umsetzung gab es zeitliche Vorgaben und habe die verantwortliche Beauftragte den Vorstand quartalsweise über den Fortschritt der Anfragenbearbeitung informiert. Für die Implementierung des Formulars sei die Expertise von XXXX und der XXXX in Anspruch genommen worden (ausschließlich mündliche Beratungen), darüber hinaus sei die verantwortliche Beauftragte mit den datenschutzrechtlichen Vorschriften vertraut. Sie habe eigenverantwortlich das Formular zur Verwendung freigegeben, der Vorstand sei nicht involviert gewesen. Nach Implementierung des Formulars sei mit einer automatischen Antwort auf dieses verwiesen worden, bevor die zuvor verwendete E-Mailadresse endgültig deaktiviert worden sei. Für die Ausübung anderer Betroffenenrechte, als die im Kontaktformular genannten, habe immer eine Kontaktmöglichkeit per Post, Fax und Kundenservicecenter bestanden.Der Vorstand sei über die hohe Zahl an Anfragen informiert gewesen und habe den Auftrag erteilt, diese ordnungsgemäß abzuarbeiten, das Budget für die benötigte Arbeitskraft habe dieser freigegeben und ihr die notwendige Anordnungsbefugnis erteilt. Für die Umsetzung gab es zeitliche Vorgaben und habe die verantwortliche Beauftragte den Vorstand quartalsweise über den Fortschritt der Anfragenbearbeitung informiert. Für die Implementierung des Formulars sei die Expertise von römisch XXXX und der römisch XXXX in Anspruch genommen worden (ausschließlich mündliche Beratungen), darüber hinaus sei die verantwortliche Beauftragte mit den datenschutzrechtlichen Vorschriften vertraut. Sie habe eigenverantwortlich das Formular zur Verwendung freigegeben, der Vorstand sei nicht involviert gewesen. Nach Implementierung des Formulars sei mit einer automatischen Antwort auf dieses verwiesen worden, bevor die zuvor verwendete E-Mailadresse endgültig deaktiviert worden sei. Für die Ausübung anderer Betroffenenrechte, als die im Kontaktformular genannten, habe immer eine Kontaktmöglichkeit per Post, Fax und Kundenservicecenter bestanden.

9. Mit ergänzender Rechtfertigung vom 30.06.2021 nahmen die weiteren Beschuldigten zur Zeugeneinvernahme vom 01.06.2021 Stellung und konkretisierten diese.

10. Mit 01.07.2021 gewährte die Behörde allen Beteiligten Parteiengehör hinsichtlich der erfolgten Beschuldigteneinvernahme vom 30.06.2021.

11. Mit ergänzenden Aufforderung vom 15.07.2021 an die Beschuldigten verlangte die Datenschutzbehörde die Vorlage der unterschriebenen Bestellung der verantwortlichen Beauftragten für den gegenständlichen Tatzeitraum, falls diese nicht vorhanden oder ungültig sei, den Beschluss des Gesamtvorstands über die Bestellung zur verantwortlichen Beauftragten bzw. sonstige dahingehende Dokumente und Informationen über den Umfang der übernommenen Verantwortung.

12. Mit Eingabe vom 26.07.2021 nahmen alle weiteren Beschuldigten zur Beschuldigteneinvernahme vom 30.06.2021 Stellung, konkretisierten die gemachten Angaben und kamen den Aufforderungen der Datenschutzbehörde nach.

13. Mit 28.09.2021 erließ die Behörde das angefochtene Straferkenntnis gegen die Beschuldigte XXXX wegen der Verletzung ihrer Pflicht zur Erleichterung der Rechtsausübung von Betroffenenrechten, stellte alle weiteren Tatvorwürfe gegen die Beschuldigte sowie die weiteren (individuellen) Beschuldigten ein und führte begründend im Wesentlichen aus: 13. Mit 28.09.2021 erließ die Behörde das angefochtene Straferkenntnis gegen die Beschuldigte römisch XXXX wegen der Verletzung ihrer Pflicht zur Erleichterung der Rechtsausübung von Betroffenenrechten, stellte alle weiteren Tatvorwürfe gegen die Beschuldigte sowie die weiteren (individuellen) Beschuldigten ein und führte begründend im Wesentlichen aus:

Durch den Einsatz des verpflichtend zu verwendenden Kontaktformulars habe die Beschuldigte den Erleichterungsgrundsatz verletzt und betroffenen Personen die Ausübung ihrer Rechte erschwert. Dies insbesondere dadurch, dass sie Anfragen über andere Kanäle (deaktivierte E-Mailadresse oder Kundenservicecenter) nicht angenommen, auf das Kontaktformular verwiesen oder Anbringen erst nach Weigerung der betroffenen Personen, dieses zu verwenden, bearbeitet habe. Soweit die Beschuldigte behaupte, auch andere Kanäle zuzulassen, so habe sie die betroffenen Personen nicht ausreichend über diese Möglichkeiten aufgeklärt und vielmehr den Eindruck erweckt, dass ausschließlich eine Kontaktaufnahme über das vorgesehene Formular möglich sei, da auch geschulte Mitarbeiter der Beschuldigten ausschließlich auf das Kontaktformular verwiesen hätten. Es handle sich daher de facto um eine obligatorische Nutzung des Kontaktformulars. Auch sei die damit verbundene Einschränkung auf drei (von der Beschuldigten) konkrete Betroffenenrechte unzulässig. Ein im Kontaktformular nicht vorgesehenes Betroffenenrecht habe eine betroffene Person über das allgemeine Kontaktformular „Serviceangebot – Sonstige Services“, per Brief/Fax oder bis zum 13.12.2020 per E-Mail geltend machen müssen. Eine dahingehende Information sei nur intransparent erteilt und der Eindruck erweckt worden, dass elektronisch ausschließlich drei Betroffenenrechte geltend gemacht werden könnten. Ebenfalls habe das Kontaktformular eine Identifizierung ausschließlich mittels eines gültigen Lichtbildausweises vorgesehen, andere Identifizierungsmethoden seien nicht möglich gewesen. Aufgrund der vollständigen Deaktivierung des E-Mailpostfachs XXXX mit 15.12.2020, sei eine solche Kontaktaufnahme verhindert worden. Die Sorgfaltswidrigkeit ergebe sich aus dem zurechenbaren Handeln der Vorstandsmitglieder, da diese kein wirksames internes Kontrollsystem implementierten und der verantwortlichen Beauftragten, welche zumindest hätte erkennen müssen, dass die genehmigten Maßnahmen nicht dem Erleichterungsgebot des Art. 12 Abs. 2 DSGVO entsprechen. Ein Verbotsirrtum liege nicht vor. Gemäß § 30 Abs. 3 DSG sei die Verhängung einer Verwaltungsstrafe gegen natürliche Personen unzulässig, wenn bereits eine solche gegen die juristische Person verhängt worden sei.Durch den Einsatz des verpflichtend zu verwendenden Kontaktformulars habe die Beschuldigte den Erleichterungsgrundsatz verletzt und betroffenen Personen die Ausübung ihrer Rechte erschwert. Dies insbesondere dadurch, dass sie Anfragen über andere Kanäle (deaktivierte E-Mailadresse oder Kundenservicecenter) nicht angenommen, auf das Kontaktformular verwiesen oder Anbringen erst nach Weigerung der betroffenen Personen, dieses zu verwenden, bearbeitet habe. Soweit die Beschuldigte behaupte, auch andere Kanäle zuzulassen, so habe sie die betroffenen Personen nicht ausreichend über diese Möglichkeiten aufgeklärt und vielmehr den Eindruck erweckt, dass ausschließlich eine Kontaktaufnahme über das vorgesehene Formular möglich sei, da auch geschulte Mitarbeiter der Beschuldigten ausschließlich auf das Kontaktformular verwiesen hätten. Es handle sich daher de facto um eine obligatorische Nutzung des Kontaktformulars. Auch sei die damit verbundene Einschränkung auf drei (von der Beschuldigten) konkrete Betroffenenrechte unzulässig. Ein im Kontaktformular nicht vorgesehenes Betroffenenrecht habe eine betroffene Person über das allgemeine Kontaktformular „Serviceangebot – Sonstige Services“, per Brief/Fax oder bis zum 13.12.2020 per E-Mail geltend machen müssen. Eine dahingehende Information sei nur intransparent erteilt und der Eindruck erweckt worden, dass elektronisch ausschließlich drei Betroffenenrechte geltend gemacht werden könnten. Ebenfalls habe das Kontaktformular eine Identifizierung ausschließlich mittels eines gültigen Lichtbildausweises vorgesehen, andere Identifizierungsmethoden seien nicht möglich gewesen. Aufgrund der vollständigen Deaktivierung des E-Mailpostfachs römisch XXXX mit 15.12.2020, sei eine solche Kontaktaufnahme verhindert worden. Die Sorgfaltswidrigkeit ergebe sich aus dem zurechenbaren Handeln der Vorstandsmitglieder, da diese kein wirksames internes Kontrollsystem implementierten und der verantwortlichen Beauftragten, welche zumindest hätte erkennen müssen, dass die genehmigten Maßnahmen nicht dem Erleichterungsgebot des Artikel 12, Absatz 2, DSGVO entsprechen. Ein Verbotsirrtum liege nicht vor. Gemäß Paragraph 30, Absatz 3, DSG sei die Verhängung einer Verwaltungsstrafe gegen natürliche Personen unzulässig, wenn bereits eine solche gegen die juristische Person verhängt worden sei.

14. Gegen das genannte Straferkenntnis wurde mit 25.10.2021 Beschwerde eingebracht und darin zusammengefasst ausgeführt, dass die Beschwerdeführerin nicht das vorgeworfene Tatbild verwirklicht habe. Sie habe die Ausübung von Betroffenenrechten nicht behindert. Vielmehr sei die Zurverfügungstellung eines Kontaktformulars eine Erleichterung. Auch handle es sich bei Art. 12 DSGVO um keine Strafnorm und sei dieser Artikel für diesen Zweck auch zu unbestimmt. Zudem könne eine Zurechnung zu den Vorstandsmitgliedern nicht erfolgen, wobei auch der Spruch des Straferkenntnisses in hohem Maße unbestimmt sei und es habe die Behörde die objektive und subjektive Tatseite bei der die Strafzumessung grob verkannt. Die Beschwerdeführerin beantrage daher, den Spruchpunkt I. der Behörde ersatzlos zu beheben und das Verfahren einzustellen, in eventu das Verfahren unter Erteilung einer Verwarnung einzustellen, in eventu das Strafmaß herabzusetzen.14. Gegen das genannte Straferkenntnis wurde mit 25.10.2021 Beschwerde eingebracht und darin zusammengefasst ausgeführt, dass die Beschwerdeführerin nicht das vorgeworfene Tatbild verwirklicht habe. Sie habe die Ausübung von Betroffenenrechten nicht behindert. Vielmehr sei die Zurverfügungstellung eines Kontaktformulars eine Erleichterung. Auch handle es sich bei Artikel 12, DSGVO um keine Strafnorm und sei dieser Artikel für diesen Zweck auch zu unbestimmt. Zudem könne eine Zurechnung zu den Vorstandsmitgliedern nicht erfolgen, wobei auch der Spruch des Straferkenntnisses in hohem Maße unbestimmt sei und es habe die Behörde die objektive und subjektive Tatseite bei der die Strafzumessung grob verkannt. Die Beschwerdeführerin beantrage daher, den Spruchpunkt römisch eins. der Behörde ersatzlos zu beheben und das Verfahren einzustellen, in eventu das Verfahren unter Erteilung einer Verwarnung einzustellen, in eventu das Strafmaß herabzusetzen.

15. Mit Schreiben vom 22.11.2021 legte die Behörde die Beschwerde samt dem Verwaltungsakt dem Bundesverwaltungsgericht vor, beantragte die Abweisung der Beschwerde, verwies vollinhaltlich auf das bekämpfte Straferkenntnis und führte zur Bescheidbeschwerde im Wesentlichen aus, dass die Behörde nie behauptet habe, dass ein Kontaktformular keine Erleichterung darstelle. Es gehe um die für Betroffenen zwingende Kanalisierung der Eingaben über das bereitgestellte Kontaktformular, handle es sich bei Art. 12 Abs. 2 iVm § 83 Abs. 5 DSGVO um eine ausreichend bestimmte Strafnorm und es seien auch die weiteren Darstellungen der Beschwerdeführerin nicht nachvollziehbar.15. Mit Schreiben vom 22.11.2021 legte die Behörde die Beschwerde samt dem Verwaltungsakt dem Bundesverwaltungsgericht vor, beantragte die Abweisung der Beschwerde, verwies vollinhaltlich auf das bekämpfte Straferkenntnis und führte zur Bescheidbeschwerde im Wesentlichen aus, dass die Behörde nie behauptet habe, dass ein Kontaktformular keine Erleichterung darstelle. Es gehe um die für Betroffenen zwingende Kanalisierung der Eingaben über das bereitgestellte Kontaktformular, handle es sich bei Artikel 12, Absatz 2, in Verbindung mit Paragraph 83, Absatz 5, DSGVO um eine ausreichend bestimmte Strafnorm und es seien auch die weiteren Darstellungen der Beschwerdeführerin nicht nachvollziehbar.

16. Mit ergänzender Stellungnahme vom 04.01.2022 regte die Behörde die Aussetzung des gegenständlichen Beschwerdeverfahrens an, da beim EuGH ein Vorabentscheidungsersuchen dazu anhängig sei, ob eine juristische Person unmittelbar Betroffene im Bußgeldverfahren wegen eines Verstoßes gegen Art. 83 DSGVO sein könne.16. Mit ergänzender Stellungnahme vom 04.01.2022 regte die Behörde die Aussetzung des gegenständlichen Beschwerdeverfahrens an, da beim EuGH ein Vorabentscheidungsersuchen dazu anhängig sei, ob eine juristische Person unmittelbar Betroffene im Bußgeldverfahren wegen eines Verstoßes gegen Artikel 83, DSGVO sein könne.

17. Mit ergänzender Stellungnahme vom 20.07.2022 führte die Behörde zum Verschulden der Beschwerdeführerin zusammengefasst aus, dass ein Verbotsirrtum in jeder Hinsicht ausgeschlossen sei. Diese habe entgegen der eindeutigen Empfehlung der konsultierten Experten für Datenschutzschulungen eine Einschränkung bei der Ausübung von Betroffenenrechten vorgenommen. Der Eingabe waren Schulungsunterlagen der Beschwerdeführerin angeschlossen.

18. Mit Beschluss des Bundesverwaltungsgerichtes vom 12.10.2022 wurde das Verfahren hinsichtlich des beim EuGH anhängigen Verfahrens zu C-807/21 ausgesetzt.

Mit Beschluss des Geschäftsverteilungsausschusses des Bundesverwaltungsgerichts vom 30.08.2023 wurde das gegenständliche Verfahren der Gerichtsabteilung W137 neu zugewiesen.

19. Mit Urteil vom 05.12.2023 erging die Entscheidung des EuGH in der Rechtssache C-807/21. Dieser führte soweit verfahrensrelevant aus, dass Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 DSGVO dahin auszulegen seien, dass sie einer nationalen Regelung entgegenstünden, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden könne, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet worden sei. Art. 83 DSGVO sei dahin auszulegen, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden dürfe, wenn nachgewiesen sei, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen sei, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen habe.19. Mit Urteil vom 05.12.2023 erging die Entscheidung des EuGH in der Rechtssache C-807/21. Dieser führte soweit verfahrensrelevant aus, dass Artikel 58, Absatz 2, Buchst. i und Artikel 83, Absatz eins bis 6 DSGVO dahin auszulegen seien, dass sie einer nationalen Regelung entgegenstünden, wonach eine Geldbuße wegen eines in Artikel 83, Absatz 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden könne, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet worden sei. Artikel 83, DSGVO sei dahin auszulegen, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden dürfe, wenn nachgewiesen sei, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen sei, einen in Artikel 83, Absatz 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen habe.

20. Mit Stellungnahme vom 12.01.2024 führte die Datenschutzbehörde im Wesentlichen aus, dass das Vorbringen der Beschwerdeführerin - soweit es sich auf die Zurechnungen einer schuldhaft handelnden Person beziehe - ins Leere ginge. Für die Bemessung des Strafrahmens sei auf den wettbewerbsrechtlichen Begriff der wirtschaftlichen Einheit abzustellen, bei einer systematischen Verletzung von Betroffenenrechten von einem hohen Schweregrad auszugehen und von einem Verschulden in der Form der Fahrlässigkeit auszugehen. Es komme in diesem Zusammenhang nicht auf § 5 VStG an, da Art. 83 DSGVO nach der Rechtsprechung des EuGH den Straftatbestand abschließend regle.20. Mit Stellungnahme vom 12.01.2024 führte die Datenschutzbehörde im Wesentlichen aus, dass das Vorbringen der Beschwerdeführerin - soweit es sich auf die Zurechnungen einer schuldhaft handelnden Person beziehe - ins Leere ginge. Für die Bemessung des Strafrahmens sei auf den wettbewerbsrechtlichen Begriff der wirtschaftlichen Einheit abzustellen, bei einer systematischen Verletzung von Betroffenenrechten von einem hohen Schweregrad auszugehen und von einem Verschulden in der Form der Fahrlässigkeit auszugehen. Es komme in diesem Zusammenhang nicht auf Paragraph 5, VStG an, da Artikel 83, DSGVO nach der Rechtsprechung des EuGH den Straftatbestand abschließend regle.

21. Mit Stellungnahme vom 12.01.2024 und 15.01.2024 führte die Beschwerdeführerin im Wesentlichen aus, dass der Spruch des Straferkenntnisses keine eindeutige Aussage zum Verschuldensgrad enthalte, ein entschuldbarer Verbotsirrtum vorliege, es sich bei Art. 12 Abs. 2 DSGVO um eine unbestimmte Norm handle und die Behörde eine wahllose Beurteilung bezüglich der relevanten Onlinewerkzeuge (Kontaktformular) vornehme.21. Mit Stellungnahme vom 12.01.2024 und 15.01.2024 führte die Beschwerdeführerin im Wesentlichen aus, dass der Spruch des Straferkenntnisses keine eindeutige Aussage zum Verschuldensgrad enthalte, ein entschuldbarer Verbotsirrtum vorliege, es sich bei Artikel 12, Absatz 2, DSGVO um eine unbestimmte Norm handle und die Behörde eine wahllose Beurteilung bezüglich der relevanten Onlinewerkzeuge (Kontaktformular) vornehme.

22. Am 26.01.2024, 02.02.2024 und 23.02.2024 fand am Bundesverwaltungsgericht eine mündliche Beschwerdeverhandlung statt, in welcher die Parteien die Gelegenheit hatten ihren Standpunkt zu erörtern, Zeugenbefragungen stattfanden und die verfahrensgegenständlichen Rechtsfragen diskutiert wurden. Mit Stellungnahme vom 30.01.2024 replizierte die Beschwerdeführerin auf das Vorbringen der Behörde in der mündlichen Verhandlung vom 26.01.2024, legte ein IT-Gutachten zum Kontaktformular vor und führte soweit verfahrensrelevant aus, dass das Erleichterungsgebot keine Strafnorm darstellen könne und die Auferlegung eines Kostenbeitrags in Millionenhöhe dem Verhältnismäßigkeitsgebot nicht entsprechen würde. Mit verfahrensleitenden Beschlüssen wurden Anträge auf weitere Zeugeneinvernahmen sowie auf die Einholung eines Gutachtens abgewiesen. Im Anschluss an den letzten Verhandlungstermin verkündete der erkennende Senat die Entscheidung samt den wesentlichen Entscheidungsgründen.

23. Mit (nicht bloß verfahrensleitendem) Beschluss vom 26.02.2024 berichtigte das Bundesverwaltungsgericht einen Schreibfehler in der Protokollierung der mündlich verkündeten Entscheidung im Verhandlungsprotokoll vom 23.02.2024; diese Berichtigung wurde von den Parteien nicht bekämpft.

II. Das Bundesverwaltungsgericht hat erwogen:römisch II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

1.1. Hintergrund des gegenständlichen Verfahrens ist die Tätigkeit der Beschwerdeführerin (einer juristischen Person) als Adressverlag und die damit in Verbindung stehende Zuordnung von Personen-/Adressdaten in spezifische Sinus-Geo-Milieus. In diesem Zusammenhang langten ab 07.01.2019 binnen weniger Tage mehrere tausend Datenschutzanfragen im Postfach XXXX ein. Insgesamt langten von 07.01.2019 bis 30.06.2019 33.290 Anfragen Betroffener ein, wobei 32.590 elektronisch gestellt wurden. Im Juli 2019 erfolgten nur noch 18 Datenschutz-Anfragen.1.1. Hintergrund des gegenständlichen Verfahrens ist die Tätigkeit der Beschwerdeführerin (einer juristischen Person) als Adressverlag und die damit in Verbindung stehende Zuordnung von Personen-/Adressdaten in spezifische Sinus-Geo-Milieus. In diesem Zusammenhang langten ab 07.01.2019 binnen weniger Tage mehrere tausend Datenschutzanfragen im Postfach römisch XXXX ein. Insgesamt langten von 07.01.2019 bis 30.06.2019 33.290 Anfragen Betroffener ein, wobei 32.590 elektronisch gestellt wurden. Im Juli 2019 erfolgten nur noch 18 Datenschutz-Anfragen.

1.2. Zum Zeitpunkt des 07.01.2019 bot die Beschwerdeführerin auf ihrer Homepage folgende Kontaktmöglichkeiten (auch für Datenschutzangelegenheiten) an:

- Briefverkehr

- E-Mail-Postfach XXXX - E-Mail-Postfach römisch XXXX

- Kundenservice-Kontaktformular (online) mit Freitextfeld

1.3. Eine spezifische Kontaktmöglichkeit für Datenschutzangelegenheiten war – ungeachtet der zusätzlichen Tätigkeit als Adressverlag (mit umfassender Kundenkategorisierung) und somit einer Materie, die datenschutzrechtliche Anfragen in deutlich höherem Ausmaß wahrscheinlich macht, als die Kerntätigkeit der Beschwerdeführerin – nicht vorgesehen.

1.4. Das Postfach XXXX (im MS Outlook-System) war zum Zeitpunkt des 07.01.2019 zwar vorhanden, aber nur für einschlägige Kontakte etwa mit der Behörde oder (erst) den weiterführenden Kontakt mit den Betroffenen bei datenschutzrechtlichen Anfragen vorgesehen. Dieses Postfach wurde allerdings von Dritten unmittelbar vor und nach dem 07.01.2019 im Zusammenhang mit Anfragen betreffend die Sinus-Geo-Milieus medial explizit kommuniziert, wobei gleichzeitig zur Stellung entsprechender Anfragen aufgerufen wurde. Systemisch war das Postfach XXXX für ein derartiges Kommunikationsvolumen und die strukturierte Abarbeitung einschlägiger Anträge nicht vorgesehen bzw. (bei Wahrung einer strukturierten und gesicherten Bearbeitung) effektiv nicht geeignet. Bis 30.06.2019 langten über diesen Kanal mehr als 30.000 Anfragen ein.1.4. Das Postfach römisch XXXX (im MS Outlook-System) war zum Zeitpunkt des 07.01.2019 zwar vorhanden, aber nur für einschlägige Kontakte etwa mit der Behörde oder (erst) den weiterführenden Kontakt mit den Betroffenen bei datenschutzrechtlichen Anfragen vorgesehen. Dieses Postfach wurde allerdings von Dritten unmittelbar vor und nach dem 07.01.2019 im Zusammenhang mit Anfragen betreffend die Sinus-Geo-Milieus medial explizit kommuniziert, wobei gleichzeitig zur Stellung entsprechender Anfragen aufgerufen wurde. Systemisch war das Postfach römisch XXXX für ein derartiges Kommunikationsvolumen und die strukturierte Abarbeitung einschlägiger Anträge nicht vorgesehen bzw. (bei Wahrung einer strukturierten und gesicherten Bearbeitung) effektiv nicht geeignet. Bis 30.06.2019 langten über diesen Kanal mehr als 30.000 Anfragen ein.

1.5. Am 17.07.2019 wurde das Postfach XXXX mit einer Auto-Reply versehen, die auf die Nutzung des ebenfalls am 17.07.2019 installierten Datenschutz-Kontaktformulars verwies. Dieses sah zunächst nur drei Betroffenenrechte konkret (und darüber hinaus ein Freitextfeld) vor. Die Implementierung des Datenschutz-Kontaktformulars erfolgte in der grundsätzlichen Absicht, den betroffenen Personen die Ausübung ihrer Rechte gemäß der DSGVO zu erleichtern und die strukturierte Bearbeitung der Anfragen zu erleichtern.1.5. Am 17.07.2019 wurde das Postfach römisch XXXX mit einer Auto-Reply versehen, die auf die Nutzung des ebenfalls am 17.07.2019 installierten Datenschutz-Kontaktformulars verwies. Dieses sah zunächst nur drei Betroffenenrechte konkret (und darüber hinaus ein Freitextfeld) vor. Die Implementierung des Datenschutz-Kontaktformulars erfolgte in der grundsätzlichen Absicht, den betroffenen Personen die Ausübung ihrer Rechte gemäß der DSGVO zu erleichtern und die strukturierte Bearbeitung der Anfragen zu erleichtern.

1.6. Das ab 17.07.2019 eingerichtete Kontaktformular ermöglichte die elektronische Antragstellung von drei spezifischen Betroffenenrechten (Auskunft, Widerspruch und Löschung der Daten für Marketingzwecke Dritter). Am Ende des Kontaktformulars befand sich ein Hinweis auf die Datenschutzhinweise der Beschwerdeführerin unter XXXX (Startseite bzw. „landing page“ sowie Information zu Kontaktmöglichkeiten).1.6. Das ab 17.07.2019 eingerichtete Kontaktformular ermöglichte die elektronische Antragstellung von drei spezifischen Betroffenenrechten (Auskunft, Widerspruch und Löschung der Daten für Marketingzwecke Dritter). Am Ende des Kontaktformulars befand sich ein Hinweis auf die Datenschutzhinweise der Beschwerdeführerin unter römisch XXXX (Startseite bzw. „landing page“ sowie Information zu Kontaktmöglichkeiten).

Wenn ein Betroffener eines dieser drei Betroffenenrechte („Auskunft, Widerspruch, Löschung der Daten für Marketingzwecke Dritter“) statt über das hierfür vorgegebene Kontaktformular über die E-Mail-Adresse des Postkundenservice ( XXXX – im Folgenden) geltend machte, wurde dieser ausdrücklich auf die ausschließliche Nutzung des Kontaktformulars verwiesen.Wenn ein Betroffener eines dieser drei Betroffenenrechte („Auskunft, Widerspruch, Löschung der Daten für Marketingzwecke Dritter“) statt über das hierfür vorgegebene Kontaktformular über die E-Mail-Adresse des Postkundenservice ( römisch XXXX – im Folgenden) geltend machte, wurde dieser ausdrücklich auf die ausschließliche Nutzung des Kontaktformulars verwiesen.

1.7. Ab dem 17.07.2019 wurden neue Eingänge betroffener Personen, welche am E-Mail-Postfach XXXX einlangten nicht mehr bearbeitet. Bereits zuvor eingegangene Anfragen (vor dem 17.07.2019) von Betroffenen, die sich bereits ausreichend identifiziert hatten, wurden auch nach Implementierung des Kontaktformulars und Umstellung des Postfaches bearbeitet. Alle restlichen offenen Anfragen, bei denen es sich um nicht vollständige Anfragen bzw. nicht ausreichend identifizierte Anfragen handelte, wurden nicht weiterbearbeitet.1.7. Ab dem 17.07.2019 wurden neue Eingänge betroffener Personen, welche am E-Mail-Postfach römisch XXXX einlangten nicht mehr bearbeitet. Bereits zuvor eingegangene Anfragen (vor dem 17.07.2019) von Betroffenen, die sich bereits ausreichend identifiziert hatten, wurden auch nach Implementierung des Kontaktformulars und Umstellung des Postfaches bearbeitet. Alle restlichen offenen Anfragen, bei denen es sich um nicht vollständige Anfragen bzw. nicht ausreichend identifizierte Anfragen handelte, wurden nicht weiterbearbeitet.

Der Vorschlag zum Einsatz des gegenständlichen Kontaktformulars wurde sowohl mit internen als auch externen Beratern besprochen. Es gibt keine Belege, dass die eingeholten Rechtsauskünfte der externen Berater (Rechtsanwälte) auf Grundlage vollständiger Sachverhaltsinformationen erteilt wurden und welche konkrete Auskunft diesen gegeben wurde. Die Beratung erfolgte mündlich und wurde zum Einsatz des Kontaktformulars kein Rechtsgutachten eingeholt.

1.8. Das Postfach XXXX wurde nicht ausschließlich für datenschutzrechtliche Angelegenheiten, sondern für sämtliche (allgemeine) Belange der Beschwerdeführerin verwendet bzw. zur Verfügung gestellt.1.8. Das Postfach römisch XXXX wurde nicht ausschließlich für datenschutzrechtliche Angelegenheiten, sondern für sämtliche (allgemeine) Belange der Beschwerdeführerin verwendet bzw. zur Verfügung gestellt.