Entscheidungsdatum
07.06.2024Norm
B-VG Art133 Abs4Spruch
W256 2246230-1/49E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Mag. Caroline Kimm als Vorsitzende und die fachkundigen Laienrichterinnen Dr. Claudia Rosenmayr-Klemenz und Mag. Adriana Mandl als Beisitzerinnen über die Beschwerde der XXXX GmbH, vertreten durch XXXX Rechtsanwälte GmbH, gegen das Straferkenntnis der Datenschutzbehörde vom 26. Juli 2021, Zl. D550.248 (2021-0.267.590) nach Durchführung einer mündlichen Verhandlung zu Recht erkannt:Das Bundesverwaltungsgericht hat durch die Richterin Mag. Caroline Kimm als Vorsitzende und die fachkundigen Laienrichterinnen Dr. Claudia Rosenmayr-Klemenz und Mag. Adriana Mandl als Beisitzerinnen über die Beschwerde der römisch XXXX GmbH, vertreten durch römisch XXXX Rechtsanwälte GmbH, gegen das Straferkenntnis der Datenschutzbehörde vom 26. Juli 2021, Zl. D550.248 (2021-0.267.590) nach Durchführung einer mündlichen Verhandlung zu Recht erkannt:
A) I. Der Beschwerde wird hinsichtlich Spruchpunkt I. Folge gegeben, das Straferkenntnis hinsichtlich Spruchpunkt I. behoben und das Verfahren hinsichtlich Spruchpunkt I. gemäß § 45 Abs. 1 Z 1 VStG eingestellt. A) I. Der Beschwerde wird hinsichtlich Spruchpunkt römisch eins. Folge gegeben, das Straferkenntnis hinsichtlich Spruchpunkt römisch eins. behoben und das Verfahren hinsichtlich Spruchpunkt römisch eins. gemäß Paragraph 45, Absatz eins, Ziffer eins, VStG eingestellt.
II. Der Beschwerde gegen Spruchpunkt II. des Straferkenntnisses wird teilweise Folge gegeben und der Spruch des Straferkenntnisses dahingehend abgeändert, dass er insgesamt zu lauten hat:römisch II. Der Beschwerde gegen Spruchpunkt römisch II. des Straferkenntnisses wird teilweise Folge gegeben und der Spruch des Straferkenntnisses dahingehend abgeändert, dass er insgesamt zu lauten hat:
„Beschuldigte juristische Person: XXXX GmbH (FN XXXX m)„Beschuldigte juristische Person: römisch XXXX GmbH (FN römisch XXXX m)
Die XXXX GmbH mit Sitz in XXXX (zugleich Tatort), hat als Verantwortliche im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016, S. 1, durch das tatbestandsmäßige, rechtswidrige und schuldhafte Verhalten folgende Verwaltungsübertretung begangen:Die römisch XXXX GmbH mit Sitz in römisch XXXX (zugleich Tatort), hat als Verantwortliche im Sinne des Artikel 4, Ziffer 7, der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016, S. 1, durch das tatbestandsmäßige, rechtswidrige und schuldhafte Verhalten folgende Verwaltungsübertretung begangen:
Die Beschuldigte hat durch die vom 2. Mai 2019 bis zum 31. Jänner 2021 erfolgte automatisierte Verarbeitung der Teilnahme- und Einkaufsdaten von am „ XXXX “ mittels der (bis zum 3. März 2020 eingesetzten) Methode „Webseite“ www. XXXX at und der (bis zum 3. Februar 2020 eingesetzten) Methode Anmeldebroschüre „Flyer“ registrierten betroffenen Personen zum Zweck der Erstellung von Profilen über deren Einkaufsverhalten eine unrechtmäßige Datenverarbeitung durchgeführt, weil diese weder auf eine rechtsgültige Einwilligungserklärung, noch auf eine andere Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO gestützt werden konnte. Die Beschuldigte hat durch die vom 2. Mai 2019 bis zum 31. Jänner 2021 erfolgte automatisierte Verarbeitung der Teilnahme- und Einkaufsdaten von am „ römisch XXXX “ mittels der (bis zum 3. März 2020 eingesetzten) Methode „Webseite“ www. römisch XXXX at und der (bis zum 3. Februar 2020 eingesetzten) Methode Anmeldebroschüre „Flyer“ registrierten betroffenen Personen zum Zweck der Erstellung von Profilen über deren Einkaufsverhalten eine unrechtmäßige Datenverarbeitung durchgeführt, weil diese weder auf eine rechtsgültige Einwilligungserklärung, noch auf eine andere Rechtsgrundlage gemäß Artikel 6, Absatz eins, DSGVO gestützt werden konnte.
Die Beschuldigte hat dadurch im Ergebnis
? die Grundsätze für die Verarbeitung von personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) verletzt und
? personenbezogene Daten verarbeitet, ohne dass hierfür ein geeigneter Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO vorlag.? personenbezogene Daten verarbeitet, ohne dass hierfür ein geeigneter Erlaubnistatbestand nach Artikel 6, Absatz eins, DSGVO vorlag.
Verwaltungsübertretung nach: Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 iVm Art. 83 Abs. 5 lit. a DSGVOVerwaltungsübertretung nach: Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 6, Absatz eins, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO
Wegen dieser Verwaltungsübertretung wird folgende Strafe verhängt:
Geldstrafe von gemäß
Euro 500.000 (in Worten: Art. 83 Abs. 5 lit. a DSGVOEuro 500.000 (in Worten: Art. 83 Absatz 5, Litera a, DSGVO
Fünfhunderttausend Euro)
Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen:Ferner haben Sie gemäß Paragraph 64, des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen:
Euro 50.000 als Beitrag zu den Kosten des Strafverfahrens, das sind 10 % der Strafe.
Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher
Euro 550.000 (in Worten: fünfhundertfünfzigtausend Euro).“
III. Die Beschwerdeführerin hat gemäß § 52 Abs. 8 VwGVG keine Kosten des verwaltungsgerichtlichen Verfahrens zu tragen. römisch III. Die Beschwerdeführerin hat gemäß Paragraph 52, Absatz 8, VwGVG keine Kosten des verwaltungsgerichtlichen Verfahrens zu tragen.
B) Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig. B) Die Revision ist gemäß Artikel 133, Absatz 4, B-VG zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:römisch eins. Verfahrensgang:
zum Vorverfahren:
Mit Schreiben vom 5. September 2019 brachte die belangte Behörde der Beschwerdeführerin zur Kenntnis, dass sie ein zur Zahl D213.895/0003 protokolliertes amtswegiges Prüfverfahren gegen sie einleite und wurde die Beschwerdeführerin zur Beantwortung eines Fragenkatalogs aufgefordert.
Dieser Aufforderung ist die Beschwerdeführerin mit Schreiben vom 16. September 2019 und vom 7. Oktober 2019 unter gleichzeitiger Vorlage diverser Unterlagen nachgekommen.
Mit dem Bescheid vom 23. Oktober 2019, GZ: DSB-D213.895/0003-DSB/2019 (im Folgenden: Ausgangsbescheid) entschied die belangte Behörde im amtswegigen Prüfverfahren gegen die Beschwerdeführerin wie folgt:
„1. Das amtswegige Prüfverfahren war berechtigt und es wird festgestellt, dass das Ersuchen um Einwilligung zur Verarbeitung von personenbezogenen Daten von den am „ XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch die XXXX GmbH mit dem Wortlaut „1. Das amtswegige Prüfverfahren war berechtigt und es wird festgestellt, dass das Ersuchen um Einwilligung zur Verarbeitung von personenbezogenen Daten von den am „ römisch XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch die römisch XXXX GmbH mit dem Wortlaut
„Einwilligungserklärung: Ich erkläre mich [..] damit einverstanden, dass die XXXX GmbH sowie die XXXX Partner, bei denen ich meine XXXX Karte verwendet habe, (1) meine Teilnahmedaten und Einkaufsdaten zusammenführen und analysieren, um mir für mich relevante und auf meine Interessen zugeschnittene, individualisierte Informationen zum XXXX Programm zukommen zu lassen und Angebote zum Sammeln und Einlösen von XXXX auf meine Bedürfnisse anzupassen (sog. „Profiling“ [..]), um (2) mir Werbung mit personalisierten Angeboten über Produkte und Dienstleistungen des Betreibers und der XXXX Partner [..] zuzusenden, und (3) dass meine auf diese Weise gewonnenen personenbezogenen Daten bei Widerruf meiner Einwilligung, spätestens nach Ende meiner Mitgliedschaft gelöscht werden. [..].“ „Einwilligungserklärung: Ich erkläre mich [..] damit einverstanden, dass die römisch XXXX GmbH sowie die römisch XXXX Partner, bei denen ich meine römisch XXXX Karte verwendet habe, (1) meine Teilnahmedaten und Einkaufsdaten zusammenführen und analysieren, um mir für mich relevante und auf meine Interessen zugeschnittene, individualisierte Informationen zum römisch XXXX Programm zukommen zu lassen und Angebote zum Sammeln und Einlösen von römisch XXXX auf meine Bedürfnisse anzupassen (sog. „Profiling“ [..]), um (2) mir Werbung mit personalisierten Angeboten über Produkte und Dienstleistungen des Betreibers und der römisch XXXX Partner [..] zuzusenden, und (3) dass meine auf diese Weise gewonnenen personenbezogenen Daten bei Widerruf meiner Einwilligung, spätestens nach Ende meiner Mitgliedschaft gelöscht werden. [..].“
unter Verwendung folgender Methoden:
i) Webseite www. XXXX .ati) Webseite www. römisch XXXX .at
ii) XXXX App ii) römisch XXXX App
iii) XXXX in der Filiale eines Partners und iii) römisch XXXX in der Filiale eines Partners und
iv) Anmeldebroschüre („Flyer“)
nicht den Anforderungen an eine Einwilligung gemäß Art. 4 Z 11 DSGVO und Art. 7 DSGVO entspricht und dass folglich die Verarbeitung von personenbezogenen Daten von den am „ XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch die XXXX GmbH mangels gültiger Einwilligung unzulässig ist.nicht den Anforderungen an eine Einwilligung gemäß Artikel 4, Ziffer 11, DSGVO und Artikel 7, DSGVO entspricht und dass folglich die Verarbeitung von personenbezogenen Daten von den am „ römisch XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch die römisch XXXX GmbH mangels gültiger Einwilligung unzulässig ist.
2. Die XXXX GmbH wird angewiesen, innerhalb einer Frist von drei Monaten bei sonstiger Exekution, das in Spruchpunkt 1. genannte Ersuchen um Einwilligung unter Verwendung der in Spruchpunkt 1. i) bis iv) genannten Methoden gemäß Art. 4 Z 11 DSGVO und Art. 7 DSGVO anzupassen. 2. Die römisch XXXX GmbH wird angewiesen, innerhalb einer Frist von drei Monaten bei sonstiger Exekution, das in Spruchpunkt 1. genannte Ersuchen um Einwilligung unter Verwendung der in Spruchpunkt 1. i) bis iv) genannten Methoden gemäß Artikel 4, Ziffer 11, DSGVO und Artikel 7, DSGVO anzupassen.
3. Der XXXX GmbH wird untersagt und die XXXX GmbH wird angewiesen, die gemäß Spruchpunkt 1. eingeholten Einwilligungen ab 1. Mai 2020 zum Zweck des Profiling nicht mehr zu verwenden. Dies gilt nicht, sofern von den betroffenen Personen innerhalb derselben Frist eine gültige Einwilligung, unter Einhaltung der Anforderungen an eine Einwilligung gemäß Spruchpunkt 2, eingeholt wird. 3. Der römisch XXXX GmbH wird untersagt und die römisch XXXX GmbH wird angewiesen, die gemäß Spruchpunkt 1. eingeholten Einwilligungen ab 1. Mai 2020 zum Zweck des Profiling nicht mehr zu verwenden. Dies gilt nicht, sofern von den betroffenen Personen innerhalb derselben Frist eine gültige Einwilligung, unter Einhaltung der Anforderungen an eine Einwilligung gemäß Spruchpunkt 2, eingeholt wird.
Rechtsgrundlagen: Art. 4 Z 4 und Z 11, Art. 5 Abs. 1 lit. a., Art. 6 Abs. 1 lit. a, Art. 7 Abs. 1 und Abs. 2, Art. 12 Abs. 1, Art. 13 Abs. 1 lit. c, Art. 57 Abs. 1 lit. a und lit. h, Art 58 Abs. 1 lit. b und Abs. 2 lit. d und lit. f [..] DSGVO [..]“Rechtsgrundlagen: Artikel 4, Ziffer 4 und Ziffer 11,, Artikel 5, Absatz eins, Litera a,, Artikel 6, Absatz eins, Litera a,, Artikel 7, Absatz eins und Absatz 2,, Artikel 12, Absatz eins,, Artikel 13, Absatz eins, Litera c,, Artikel 57, Absatz eins, Litera a und Litera h,, Artikel 58, Absatz eins, Litera b und Absatz 2, Litera d und Litera f, [..] DSGVO [..]“
Dazu stellte die belangte Behörde u.a. fest, dass die Beschwerdeführerin Betreiberin des XXXX sei. Bei diesem XXXX handle es sich um ein unternehmens- und branchenübergreifendes Kundenbindungsprogramm. Unterschiedliche Unternehmen würden daran teilnehmen. Dazu schließe die Beschwerdeführerin als Betreiberin mit den Unternehmen einen Vertrag ab. Kunden, die in den Filialen der teilnehmenden Partner Produkte erwerben und einkaufen, könnten sich als Mitglied für den XXXX registrieren. Die Mitglieder könnten bei jedem Einkauf die XXXX Karte vorzeigen, die vor Bezahlung durch den jeweiligen Partner gescannt werde. Im Rahmen des Kundenbindungsprogramms würden die Mitglieder Punkte sammeln. Diese könnten u.a. dazu verwendet werden, um Rabatte zu erhalten. Die Beschwerdeführerin weise in ihrer Datenschutzerklärung in Punkt 3. darauf hin, dass sie näher dargestellte Mitgliederstammdaten und Einkaufsdaten verarbeite. In Punkt 4.4. der Datenschutzerklärung werde unter der Überschrift „automationsunterstützte Verarbeitung und Analyse (Profiling für Zielgruppenselektionen, […]“ darauf hingewiesen, dass nur sofern das Mitglied einwillige, der Betreiber als alleiniger Verantwortlicher die beim Betreiber und bei den Partnern verarbeiteten Mitgliederstammdaten und Einkaufsdaten des Mitglieds zur automationsunterstützten Personalisierung von Werbe- und Marketingmaßnahmen weiterverwende, analysiere und so neue Marketing-Profilingdaten gewinne. Rechtsgrundlage für die Verarbeitung sei laut Punkt 4.4.5. die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Laut Punkt 4.4.6. sei die Einwilligung freiwillig und könne jederzeit widerrufen werden.Dazu stellte die belangte Behörde u.a. fest, dass die Beschwerdeführerin Betreiberin des römisch XXXX sei. Bei diesem römisch XXXX handle es sich um ein unternehmens- und branchenübergreifendes Kundenbindungsprogramm. Unterschiedliche Unternehmen würden daran teilnehmen. Dazu schließe die Beschwerdeführerin als Betreiberin mit den Unternehmen einen Vertrag ab. Kunden, die in den Filialen der teilnehmenden Partner Produkte erwerben und einkaufen, könnten sich als Mitglied für den römisch XXXX registrieren. Die Mitglieder könnten bei jedem Einkauf die römisch XXXX Karte vorzeigen, die vor Bezahlung durch den jeweiligen Partner gescannt werde. Im Rahmen des Kundenbindungsprogramms würden die Mitglieder Punkte sammeln. Diese könnten u.a. dazu verwendet werden, um Rabatte zu erhalten. Die Beschwerdeführerin weise in ihrer Datenschutzerklärung in Punkt 3. darauf hin, dass sie näher dargestellte Mitgliederstammdaten und Einkaufsdaten verarbeite. In Punkt 4.4. der Datenschutzerklärung werde unter der Überschrift „automationsunterstützte Verarbeitung und Analyse (Profiling für Zielgruppenselektionen, […]“ darauf hingewiesen, dass nur sofern das Mitglied einwillige, der Betreiber als alleiniger Verantwortlicher die beim Betreiber und bei den Partnern verarbeiteten Mitgliederstammdaten und Einkaufsdaten des Mitglieds zur automationsunterstützten Personalisierung von Werbe- und Marketingmaßnahmen weiterverwende, analysiere und so neue Marketing-Profilingdaten gewinne. Rechtsgrundlage für die Verarbeitung sei laut Punkt 4.4.5. die Einwilligung nach Artikel 6, Absatz eins, Litera a, DSGVO. Laut Punkt 4.4.6. sei die Einwilligung freiwillig und könne jederzeit widerrufen werden.
Weiters stellte die belangte Behörde fest, dass die gegenständliche Einwilligung zum Profiling nach Punkt 4.4. der Datenschutzerklärung durch die in Spruchpunkt 1 i) bis iv) dargestellten Methoden eingeholt werde. Im Wesentlichen werde bei sämtlichen Methoden, wenn auch in unterschiedlicher Form, zunächst die Datenschutzerklärung den Betroffenen zur Kenntnis gebracht und anschließend in Bezug auf die Onlineversionen unter der Überschrift „Genießen Sie Ihre persönlichen Vorteile“ der Betroffene um die im Spruch ausgeführte Einwilligung zum in Punkt 4.4. der Datenschutzerklärung dargestellten Profiling ersucht. Prüfgegenstand sei nunmehr die Frage, ob dieses Ersuchen um Einwilligung den in der DSGVO normierten Anforderungen entspreche. Werde dies verneint, sei weiters zu prüfen, welche Auswirkungen dies auf die Zulässigkeit der Verarbeitung von personenbezogenen Daten zum Zweck des Profiling habe und ob im Falle einer Unzulässigkeit ein Verbot der Datenverarbeitung auszusprechen sei. Die Datenschutzbehörde habe bereits in einem ähnlich gelagerten Fall ausgesprochen, dass eine Einwilligung den Anforderungen des Art. 4 Z 11 DSGVO und Art. 7 DSGVO entsprechend und insbesondere in verständlicher Form erfolgen müsse. Diesen Anforderungen entspreche die vorliegende Einwilligung bei jeder der vier Anmeldearten nicht. Dazu führte die belangte Behörde in Bezug auf die hier wesentlichen Methoden „Flyer“ und Webseite aus, die betroffene Person erhalte im Rahmen der Anmeldung zum XXXX unter Verwendung der Webseite www. XXXX .at unter dem Abschnitt mit der Überschrift „Genießen Sie ihre persönlichen Vorteile“ zunächst keine sichtbaren Informationen darüber, dass mit „persönlicher Vorteil“ die Verarbeitung personenbezogener Daten zum Zweck des Profiling gemeint sei. Auch in der in diesem Abschnitt eingebetteten Box werde zunächst bloß auf die AGB und die Datenschutzerklärung verwiesen („Ich erkläre mich gemäß Punkt 5.5. und 5.6. AGB [ebenso Punkte 4.4. und 4.5. der Datenschutzerklärung“] damit einverstanden, dass …“). Erst nachdem die Box entsprechend hinuntergescrollt werde, werde auf die Verarbeitung personenbezogener Daten zum Zweck des Profiling verwiesen; die Information zum Profiling sei daher in keiner „leicht zugänglichen Form“ und auch in keiner „klaren und knappen Form“ verfügbar. Weiters sei festzuhalten, dass eine betroffene Person die auf den ersten Blick sichtbaren Optionen „Ja“ und „Nein“, die bloß allgemein auf den Erhalt oder Nichterhalt von „exklusiven Vorteilen und Aktionen“ verweisen, nach allgemeiner Lebenserfahrung nicht mit Profiling assoziiere und es sich daher auch um keine „klare und einfache Sprache“ und insofern um keine rechtsgültige Einwilligung handle. Der europäische Gesetzgeber habe ausdrückliche Anforderungen an ein Ersuchen um eine Einwilligung in Art. 7 DSGVO normiert, die zusätzlich und unabhängig von den AGB und der Datenschutzerklärung einzuhalten seien. Wenn ein Vertrag also (wie gegenständlich die Anmeldung zum XXXX ) mehrere Aspekte behandle, habe sich das Ersuchen um Einwilligung deutlich abzuheben. In Bezug auf die Anmeldebroschüre („Flyer“) werde am Ende des Anmeldeformulars das Feld „Unterschrift“ vorgegeben. Unterhalb des Feldes „Unterschrift“ sei der Hinweis „Diese Unterschrift gilt nur für die Einwilligungserklärung und ist freiwillig. Ihre Anmeldung zum XXXX ist auch ohne Unterschrift wirksam“ vorhanden. Die „Einwilligungserklärung“ selbst sei jedoch wiederum oberhalb des Feldes „Unterschrift“ platziert. Davon ausgehend sei festzuhalten, dass sich das Anmeldeformular ganz allgemein auf die Anmeldung zum XXXX beziehe. Da das Feld „Unterschrift“ jedoch am Ende des Anmeldeformulars platziert sei, werde der Eindruck vermittelt, dass es sich hierbei um die Unterschrift als Bestätigung zur Anmeldung zum XXXX handle. Dabei sei auch nach allgemeiner Lebenserfahrung davon auszugehen, dass ein Durchschnittsbenutzer, der sich zum XXXX anmelde (und somit einen Vertrag abschließe) damit rechne, dass es sich hierbei um die Unterschrift zur Bestätigung der Anmeldung – und nicht um die Abgabe einer datenschutzrechtlichen Einwilligung zum Profiling – handle. An diesen Ausführungen könne auch der darunter platzierte Hinweis nichts ändern, dass diese Unterschrift nur für die Einwilligungserklärung gelte: Dieser sei erstens nach links versetzt, sodass er sich unter dem Feld „Datum“ und nicht direkt unter dem Feld „Unterschrift“ befinde. Erschwerend komme in beiden Fällen hinzu, dass kein gut sichtbarer Hinweis auf die Möglichkeit eines Widerrufs gemäß Art. 7 Abs. 3 letzter Satz DSGVO vorhanden sei, obwohl die DSGVO dem eine herausragende Bedeutung beimesse. Die Einwilligung könne daher insgesamt nicht als Rechtsgrundlage gemäß Art. 6 Abs. 1 lit. a DSGVO herangezogen werden. Weiters stellte die belangte Behörde fest, dass die gegenständliche Einwilligung zum Profiling nach Punkt 4.4. der Datenschutzerklärung durch die in Spruchpunkt 1 i) bis iv) dargestellten Methoden eingeholt werde. Im Wesentlichen werde bei sämtlichen Methoden, wenn auch in unterschiedlicher Form, zunächst die Datenschutzerklärung den Betroffenen zur Kenntnis gebracht und anschließend in Bezug auf die Onlineversionen unter der Überschrift „Genießen Sie Ihre persönlichen Vorteile“ der Betroffene um die im Spruch ausgeführte Einwilligung zum in Punkt 4.4. der Datenschutzerklärung dargestellten Profiling ersucht. Prüfgegenstand sei nunmehr die Frage, ob dieses Ersuchen um Einwilligung den in der DSGVO normierten Anforderungen entspreche. Werde dies verneint, sei weiters zu prüfen, welche Auswirkungen dies auf die Zulässigkeit der Verarbeitung von personenbezogenen Daten zum Zweck des Profiling habe und ob im Falle einer Unzulässigkeit ein Verbot der Datenverarbeitung auszusprechen sei. Die Datenschutzbehörde habe bereits in einem ähnlich gelagerten Fall ausgesprochen, dass eine Einwilligung den Anforderungen des Artikel 4, Ziffer 11, DSGVO und Artikel 7, DSGVO entsprechend und insbesondere in verständlicher Form erfolgen müsse. Diesen Anforderungen entspreche die vorliegende Einwilligung bei jeder der vier Anmeldearten nicht. Dazu führte die belangte Behörde in Bezug auf die hier wesentlichen Methoden „Flyer“ und Webseite aus, die betroffene Person erhalte im Rahmen der Anmeldung zum römisch XXXX unter Verwendung der Webseite www. römisch XXXX .at unter dem Abschnitt mit der Überschrift „Genießen Sie ihre persönlichen Vorteile“ zunächst keine sichtbaren Informationen darüber, dass mit „persönlicher Vorteil“ die Verarbeitung personenbezogener Daten zum Zweck des Profiling gemeint sei. Auch in der in diesem Abschnitt eingebetteten Box werde zunächst bloß auf die AGB und die Datenschutzerklärung verwiesen („Ich erkläre mich gemäß Punkt 5.5. und 5.6. AGB [ebenso Punkte 4.4. und 4.5. der Datenschutzerklärung“] damit einverstanden, dass …“). Erst nachdem die Box entsprechend hinuntergescrollt werde, werde auf die Verarbeitung personenbezogener Daten zum Zweck des Profiling verwiesen; die Information zum Profiling sei daher in keiner „leicht zugänglichen Form“ und auch in keiner „klaren und knappen Form“ verfügbar. Weiters sei festzuhalten, dass eine betroffene Person die auf den ersten Blick sichtbaren Optionen „Ja“ und „Nein“, die bloß allgemein auf den Erhalt oder Nichterhalt von „exklusiven Vorteilen und Aktionen“ verweisen, nach allgemeiner Lebenserfahrung nicht mit Profiling assoziiere und es sich daher auch um keine „klare und einfache Sprache“ und insofern um keine rechtsgültige Einwilligung handle. Der europäische Gesetzgeber habe ausdrückliche Anforderungen an ein Ersuchen um eine Einwilligung in Artikel 7, DSGVO normiert, die zusätzlich und unabhängig von den AGB und der Datenschutzerklärung einzuhalten seien. Wenn ein Vertrag also (wie gegenständlich die Anmeldung zum römisch XXXX ) mehrere Aspekte behandle, habe sich das Ersuchen um Einwilligung deutlich abzuheben. In Bezug auf die Anmeldebroschüre („Flyer“) werde am Ende des Anmeldeformulars das Feld „Unterschrift“ vorgegeben. Unterhalb des Feldes „Unterschrift“ sei der Hinweis „Diese Unterschrift gilt nur für die Einwilligungserklärung und ist freiwillig. Ihre Anmeldung zum römisch XXXX ist auch ohne Unterschrift wirksam“ vorhanden. Die „Einwilligungserklärung“ selbst sei jedoch wiederum oberhalb des Feldes „Unterschrift“ platziert. Davon ausgehend sei festzuhalten, dass sich das Anmeldeformular ganz allgemein auf die Anmeldung zum römisch XXXX beziehe. Da das Feld „Unterschrift“ jedoch am Ende des Anmeldeformulars platziert sei, werde der Eindruck vermittelt, dass es sich hierbei um die Unterschrift als Bestätigung zur Anmeldung zum römisch XXXX handle. Dabei sei auch nach allgemeiner Lebenserfahrung davon auszugehen, dass ein Durchschnittsbenutzer, der sich zum römisch XXXX anmelde (und somit einen Vertrag abschließe) damit rechne, dass es sich hierbei um die Unterschrift zur Bestätigung der Anmeldung – und nicht um die Abgabe einer datenschutzrechtlichen Einwilligung zum Profiling – handle. An diesen Ausführungen könne auch der darunter platzierte Hinweis nichts ändern, dass diese Unterschrift nur für die Einwilligungserklärung gelte: Dieser sei erstens nach links versetzt, sodass er sich unter dem Feld „Datum“ und nicht direkt unter dem Feld „Unterschrift“ befinde. Erschwerend komme in beiden Fällen hinzu, dass kein gut sichtbarer Hinweis auf die Möglichkeit eines Widerrufs gemäß Artikel 7, Absatz 3, letzter Satz DSGVO vorhanden sei, obwohl die DSGVO dem eine herausragende Bedeutung beimesse. Die Einwilligung könne daher insgesamt nicht als Rechtsgrundlage gemäß Artikel 6, Absatz eins, Litera a, DSGVO herangezogen werden.
Gegen diese Entscheidung erhob die Beschwerdeführerin Beschwerde an das Bundesverwaltungsgericht.
Mit der Beschwerdevorentscheidung der belangten Behörde vom 11. Dezember 2019 wurde der Beschwerde der Beschwerdeführerin teilweise stattgegeben und der Spruch dahingehend abgeändert, dass er insgesamt zu lauten habe:
„1. Das amtswegige Prüfverfahren war berechtigt und es wird festgestellt, dass
a) das Ersuchen um Einwilligung zur Verarbeitung von personenbezogenen Daten von den am „ XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch die Beschwerdeführerin mit dem Wortlaut […]a) das Ersuchen um Einwilligung zur Verarbeitung von personenbezogenen Daten von den am „ römisch XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch die Beschwerdeführerin mit dem Wortlaut […]
unter Verwendung der Methoden i) Webseite XXXX und ii) Anmeldebroschüre („Flyer“) nicht den Anforderungen an eine Einwilligung gemäß Art 4 Z 11 DSGVO und Art 7 DSGVO entspricht und dass unter Verwendung der Methoden i) Webseite römisch XXXX und ii) Anmeldebroschüre („Flyer“) nicht den Anforderungen an eine Einwilligung gemäß Artikel 4, Ziffer 11, DSGVO und Artikel 7, DSGVO entspricht und dass
b) für die bisherige Verarbeitung von personenbezogenen Daten von den am XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch die XXXX GmbH neben der Einwilligung, die unter Verwendung der Methoden i) Webseite XXXX und ii) Anmeldebroschüre („Flyer“) eingeholt wurden, keine andere Rechtsgrundlage nach Art. 6 DSGVO in Betracht kommt und die genannte bisherige Verarbeitung daher unrechtmäßig erfolgt ist. b) für die bisherige Verarbeitung von personenbezogenen Daten von den am römisch XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch die römisch XXXX GmbH neben der Einwilligung, die unter Verwendung der Methoden i) Webseite römisch XXXX und ii) Anmeldebroschüre („Flyer“) eingeholt wurden, keine andere Rechtsgrundlage nach Artikel 6, DSGVO in Betracht kommt und die genannte bisherige Verarbeitung daher unrechtmäßig erfolgt ist.
2) Der XXXX GmbH wird die Verarbeitung von personenbezogenen Daten von den am „ XXXX registrierten betroffenen Personen zum Zweck des Profiling im Umfang von Spruchpunkt 1 untersagt.2) Der römisch XXXX GmbH wird die Verarbeitung von personenbezogenen Daten von den am „ römisch XXXX registrierten betroffenen Personen zum Zweck des Profiling im Umfang von Spruchpunkt 1 untersagt.
3) Für die Umsetzung von Spruchpunkt 2. wird der Beschwerdeführerin eine Frist von sechs Monaten eingeräumt.
Rechtsgrundlagen: [..] Art. 4 Z 4 und Z 11, Art. 5 Abs. 1 lit. a. Art. 6 Abs. 1 lit. a, Art. 7, Art. 12 Abs. 1, Art. 13 Abs. 1 lit. c, Art. 57 Abs. 1 lit. a, lit. d und lit. h, Art. 58 Abs. 1 lit. b und lit. d sowie Abs. 2 lit. d und lit. f [..] DSGVO [..]“Rechtsgrundlagen: [..] Artikel 4, Ziffer 4 und Ziffer 11,, Artikel 5, Absatz eins, Litera a, Artikel 6, Absatz eins, Litera a,, Artikel 7,, Artikel 12, Absatz eins,, Artikel 13, Absatz eins, Litera c,, Artikel 57, Absatz eins, Litera a,, Litera d und Litera h,, Artikel 58, Absatz eins, Litera b und Litera d, sowie Absatz 2, Litera d und Litera f, [..] DSGVO [..]“
Begründend führte die belangte Behörde aus, aus dem Beschwerdevorbringen gehe hervor, dass es sich beim Anmeldeprozess bei den Methoden XXXX App“ und „ XXXX “ um einen Screen-für Screen Anmeldeprozess handle und damit sichergestellt sei, dass das Ersuchen um Einwilligung vom übrigen Anmeldeprozess deutlich abgehoben sei. Dies habe zur Folge, dass die volle Aufmerksamkeit des Betroffenen auf den gegenwärtigen Anmeldeschritt gerichtet sei. Es sei daher von einem ausreichenden Transparenzniveau und somit von einer ausreichenden Einwilligung auszugehen, weshalb der Spruch dementsprechend anzupassen gewesen sei. Die Einwilligung bei den Methoden „Webseite“ und „Flyer“ entspreche jedoch – wie bereits im Ausgangsbescheid ausgeführt – nach wie vor nicht den Anforderungen an eine transparente Einwilligung. Dabei werde ergänzend festgehalten, dass es sich vorliegend um eine „zweifache“ Einwilligung handle, weil durch die Erklärung nicht nur eine Einwilligung für die Datenverarbeitung zum Zweck des Profiling für die Beschwerdeführerin, sondern gleichzeitig auch für die 14 weiteren Partner eingeholt werde. Darauf werde nicht gut sichtbar hingewiesen. Ein Durchschnittsbenutzer könne nicht damit rechnen, dass er eine Einwilligungserklärung an 15 Verantwortliche im Hinblick auf die Verarbeitung seiner Daten zum Zweck des Profiling erteile. Dies sei ein weiteres Indiz dafür, dass die vorliegende Einwilligungserklärung nicht in einer ausreichend nachvollziehbaren Art gestaltet sei. Die vorliegenden Einwilligungen könnten daher nicht als gültige Rechtsgrundlage gemäß Art. 6 Abs. 1 lit. a DSGVO für eine Verarbeitung herangezogen werden. Begründend führte die belangte Behörde aus, aus dem Beschwerdevorbringen gehe hervor, dass es sich beim Anmeldeprozess bei den Methoden römisch XXXX App“ und „ römisch XXXX “ um einen Screen-für Screen Anmeldeprozess handle und damit sichergestellt sei, dass das Ersuchen um Einwilligung vom übrigen Anmeldeprozess deutlich abgehoben sei. Dies habe zur Folge, dass die volle Aufmerksamkeit des Betroffenen auf den gegenwärtigen Anmeldeschritt gerichtet sei. Es sei daher von einem ausreichenden Transparenzniveau und somit von einer ausreichenden Einwilligung auszugehen, weshalb der Spruch dementsprechend anzupassen gewesen sei. Die Einwilligung bei den Methoden „Webseite“ und „Flyer“ entspreche jedoch – wie bereits im Ausgangsbescheid ausgeführt – nach wie vor nicht den Anforderungen an eine transparente Einwilligung. Dabei werde ergänzend festgehalten, dass es sich vorliegend um eine „zweifache“ Einwilligung handle, weil durch die Erklärung nicht nur eine Einwilligung für die Datenverarbeitung zum Zweck des Profiling für die Beschwerdeführerin, sondern gleichzeitig auch für die 14 weiteren Partner eingeholt werde. Darauf werde nicht gut sichtbar hingewiesen. Ein Durchschnittsbenutzer könne nicht damit rechnen, dass er eine Einwilligungserklärung an 15 Verantwortliche im Hinblick auf die Verarbeitung seiner Daten zum Zweck des Profiling erteile. Dies sei ein weiteres Indiz dafür, dass die vorliegende Einwilligungserklärung nicht in einer ausreichend nachvollziehbaren Art gestaltet sei. Die vorliegenden Einwilligungen könnten daher nicht als gültige Rechtsgrundlage gemäß Artikel 6, Absatz eins, Litera a, DSGVO für eine Verarbeitung herangezogen werden.
Mit Schreiben vom 27. Dezember 2019 stellte die Beschwerdeführerin einen Vorlageantrag.
Mit Erkenntnis vom 31. August 2021, Zl. W256 2227693-1/10E gab das Bundesverwaltungsgericht der Beschwerde der Beschwerdeführerin statt und hob die Beschwerdevorentscheidung in vollem Umfang ersatzlos auf. Begründend wurde im Wesentlichen ausgeführt, die belangte Behörde habe in ihrem Ausgangsbescheid den Prüfgegenstand allein auf die Überprüfung der Einwilligungserklärungen als Rechtsgrundlage für die verfahrensgegenständliche Datenverarbeitung beschränkt.
Dagegen erhob die belangte Behörde Amtsrevision an den Verwaltungsgerichtshof, welcher das Erkenntnis des Bundesverwaltungsgerichts vom 31. August 2021, Zl. W256 2227693-1/10E im Umfang der ersatzlosen Behebung der Spruchpunkte 2 und 3 der Beschwerdevorentscheidung wegen Rechtswidrigkeit des Inhalts aufgehoben hat. Betreffend die ersatzlose Behebung des Spruchpunktes 1 der Beschwerdevorentscheidung wurde die Revision hingegen als unbegründet abgewiesen.
Mit Erkenntnis des Bundesverwaltungsgerichts vom 28. September 2023, W256 2227693-1/44E wurde die Beschwerde mit der Maßgabe abgewiesen, dass die Spruchpunkte 2 und 3 der Beschwerdevorentscheidung wie folgt zu lauten haben:
„2) Der XXXX GmbH wird die automatisierte Verarbeitung der Teilnahme- und Einkaufsdaten von am „ XXXX Club“ mittels der Methode „Webseite“ www. XXXX at (in der Fassung 23. Oktober 2019) und Anmeldebroschüre „Flyer“ registrierten betroffenen Personen zum Zweck der Erstellung von Profilen über deren Einkaufsverhalten untersagt.„2) Der römisch XXXX GmbH wird die automatisierte Verarbeitung der Teilnahme- und Einkaufsdaten von am „ römisch XXXX Club“ mittels der Methode „Webseite“ www. römisch XXXX at (in der Fassung 23. Oktober 2019) und Anmeldebroschüre „Flyer“ registrierten betroffenen Personen zum Zweck der Erstellung von Profilen über deren Einkaufsverhalten untersagt.
3) Für die Umsetzung von Spruchpunkt 2 wird der Beschwerdeführerin eine Frist von sechs Monaten ab Rechtskraft der Entscheidung eingeräumt.“
zum hier gegenständlichen Verwaltungsstrafverfahren:
Am 29. Jänner 2020 wurde der Beschwerdeführerin ein Ladungsbescheid der belangten Behörde vom 22. Jänner 2020 zugestellt. Darin wurde der Beschwerdeführerin zur Last gelegt, folgende Verwaltungsübertretungen begangen zu haben:
„Die XXXX GmbH (FN XXXX m) mit Sitz in XXXX (zugleich Tatort), ist Verantwortliche im Sinne von Art. 4 Z 7 Datenschutz- Grundverordnung, ABl. Nr. L 119 vom 4.5.2016, S. 1 (im Folgenden: DSGVO) für jegliche tatsächlich vorgenommene Verarbeitung personenbezogener Daten im Zusammenhang mit dem Betrieb eines Kundenbindungsprogrammes mit der Bezeichnung „ XXXX , wobei es sich bei diesem XXXX um ein unternehmens- und branchenübergreifendes Kundenbindungsprogramm handelt. Die Datenschutzbehörde hat ein amtswegiges Prüfverfahren („Datenschutzüberprüfung“) zur GZ: DSB-D213.895 gegen die hier Beschuldigte als Betreiberin des „ XXXX “ eingeleitet, welches mit Bescheid vom 23. Oktober 2019 zur GZ: DSB-D213.895/0003-DSB/2019 (geändert durch die Beschwerdevorentscheidung der Datenschutzbehörde vom 11. Dezember 2019 zur GZ: DSB-D062.297/0001-DSB/2019) erledigt wurde. Aufgrund der Ermittlungsergebnisse des in der Sache geführten amtswegigen Prüfverfahrens ergibt sich nunmehr mit Blick auf das vorliegende Verwaltungsstrafverfahren gegen die Beschuldigte jedenfalls seit dem 2. Mai 2019 der Verdacht, dass a) das Ersuchen um Einwilligung zur Verarbeitung von personenbezogenen Daten von den am „ XXXX registrierten betroffenen Personen zum Zweck des Profiling durch die Beschwerdeführerin mit dem Wortlaut: „Einwilligungserklärung: Ich erkläre mich gemäß Punkt 5.5. und 5.6. AGB (ebenso Punkte 4.4. und 4.5. der Datenschutzerklärung) damit einverstanden, dass die XXXX GmbH sowie die XXXX Partner, bei denen ich meine XXXX Karte verwendet habe, (1) meine Teilnahmedaten und Einkaufsdaten zusammenführen und analysieren, um mir für mich relevante und auf meine Interessen zugeschnittene, individualisierte Informationen zum XXXX Programm zukommen zu lassen und Angebote zum Sammeln und Einlösen von XXXX auf meine Bedürfnisse anzupassen (sog. „Profiling“ für Zielgruppenselektionen, Werbemaßnahmen und aggregierte Auswertungen für Sortimentsoptimierung sowie Tracking zur Erfolgsmessung von Werbemaßnahmen), um (2) mir Werbung mit personalisierten Angeboten über Produkte und Dienstleistungen des Betreibers und der XXXX Partner per Post, E-Mail, SMS, MMS, Push-Nachrichten, Nachrichten über Apps und Messenger zuzusenden, und (3) dass meine auf diese Weise gewonnenen personenbezogenen Daten bei Widerruf meiner Einwilligung, spätestens nach Ende meiner Mitgliedschaft gelöscht werden. Meine Einwilligung ist für den Vertragsabschluss nicht zwingend notwendig und ich kann sie jederzeit mit Wirkung für die Zukunft gegenüber der XXXX GmbH ( XXXX postalisch, per E-Mail an datenschutz@ XXXX .at oder telefonisch ( XXXX ) widerrufen.“ unter Verwendung der Methoden i) Webseite www XXXX at und ii) Anmeldeformular („Flyer“) nicht den Anforderungen an eine Einwilligung gemäß Art. 4 Z 11 DSGVO und Art. 7 DSGVO entspricht und dass b) für die bisherige Verarbeitung von personenbezogenen Daten von den am „ XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch die XXXX GmbH neben der Einwilligung, die unter Verwendung der Methoden i) Webseite www. XXXX und ii) Anmeldeformular („Flyer“) eingeholt wurden, keine andere Rechtsgrundlage nach Art. 6 DSGVO in Betracht kommt und die genannte bisherige Verarbeitung daher unrechtmäßig erfolgt ist. Es besteht daher der Verdacht, dass die XXXX GmbH durch die oben beschriebenen Verarbeitungsvorgänge gegen die Grundsätze und die Erlaubnistatbestände der DSGVO verstoßen sowie ihre Pflichten als Verantwortliche nicht erfüllt hat, dies alles zumindest unter Außerachtlassung der gebotenen Sorgfalt. In Bezug auf die verwaltungsstrafrechtliche Verantwortlichkeit der beschuldigten juristischen Person – im Sinne des Verbandsverantwortlichkeitsmodells des Art. 83 DSGVO – besteht im vorliegenden Zusammenhang der Verdacht, dass ein hinreichender Konnex zwischen den handelnden natürlichen Personen und der juristischen Person vorliegt, der es erlaubt, ihr das rechtswidrige und schuldhafte Verhalten zuzurechnen.„Die römisch XXXX GmbH (FN römisch XXXX m) mit Sitz in römisch XXXX (zugleich Tatort), ist Verantwortliche im Sinne von Artikel 4, Ziffer 7, Datenschutz- Grundverordnung, ABl. Nr. L 119 vom 4.5.2016, S. 1 (im Folgenden: DSGVO) für jegliche tatsächlich vorgenommene Verarbeitung personenbezogener Daten im Zusammenhang mit dem Betrieb eines Kundenbindungsprogrammes mit der Bezeichnung „ römisch XXXX , wobei es sich bei diesem römisch XXXX um ein unternehmens- und branchenübergreifendes Kundenbindungsprogramm handelt. Die Datenschutzbehörde hat ein amtswegiges Prüfverfahren („Datenschutzüberprüfung“) zur GZ: DSB-D213.895 gegen die hier Beschuldigte als Betreiberin des „ römisch XXXX “ eingeleitet, welches mit Bescheid vom 23. Oktober 2019 zur GZ: DSB-D213.895/0003-DSB/2019 (geändert durch die Beschwerdevorentscheidung der Datenschutzbehörde vom 11. Dezember 2019 zur GZ: DSB-D062.297/0001-DSB/2019) erledigt wurde. Aufgrund der Ermittlungsergebnisse des in der Sache geführten amtswegigen Prüfverfahrens ergibt sich nunmehr mit Blick auf das vorliegende Verwaltungsstrafverfahren gegen die Beschuldigte jedenfalls seit dem 2. Mai 2019 der Verdacht, dass a) das Ersuchen um Einwilligung zur Verarbeitung von personenbezogenen Daten von den am „ römisch XXXX registrierten betroffenen Personen zum Zweck des Profiling durch die Beschwerdeführerin mit dem Wortlaut: „Einwilligungserklärung: Ich erkläre mich gemäß Punkt 5.5. und 5.6. AGB (ebenso Punkte 4.4. und 4.5. der Datenschutzerklärung) damit einverstanden, dass die römisch XXXX GmbH sowie die römisch XXXX Partner, bei denen ich meine römisch XXXX Karte verwendet habe, (1) meine Teilnahmedaten und Einkaufsdaten zusammenführen und analysieren, um mir für mich relevante und auf meine Interessen zugeschnittene, individualisierte Informationen zum römisch XXXX Programm zukommen zu lassen und Angebote zum Sammeln und Einlösen von römisch XXXX auf meine Bedürfnisse anzupassen (sog. „Profiling“ für Zielgruppenselektionen, Werbemaßnahmen und aggregierte Auswertungen für Sortimentsoptimierung sowie Tracking zur Erfolgsmessung von Werbemaßnahmen), um (2) mir Werbung mit personalisierten Angeboten über Produkte und Dienstleistungen des Betreibers und der römisch XXXX Partner per Post, E-Mail, SMS, MMS, Push-Nachrichten, Nachrichten über Apps und Messenger zuzusenden, und (3) dass meine auf diese Weise gewonnenen personenbezogenen Daten bei Widerruf meiner Einwilligung, spätestens nach Ende meiner Mitgliedschaft gelöscht werden. Meine Einwilligung ist für den Vertragsabschluss nicht zwingend notwendig und ich kann sie jederzeit mit Wirkung für die Zukunft gegenüber der römisch XXXX GmbH ( römisch XXXX postalisch, per E-Mail an datenschutz@ römisch XXXX .at oder telefonisch ( römisch XXXX ) widerrufen.“ unter Verwendung der Methoden i) Webseite www römisch XXXX at und ii) Anmeldeformular („Flyer“) nicht den Anforderungen an eine Einwilligung gemäß Artikel 4, Ziffer 11, DSGVO und Artikel 7, DSGVO entspricht und dass b) für die bisherige Verarbeitung von personenbezogenen Daten von den am „ römisch XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch die römisch XXXX GmbH neben der Einwilligung, die unter Verwendung der Methoden i) Webseite www. römisch XXXX und ii) Anmeldeformular („Flyer“) eingeholt wurden, keine andere Rechtsgrundlage nach Artikel 6, DSGVO in Betracht kommt und die genannte bisherige Verarbeitung daher unrechtmäßig erfolgt ist. Es besteht daher der Verdacht, dass die römisch XXXX GmbH durch die oben beschriebenen Verarbeitungsvorgänge gegen die Grundsätze und die Erlaubnistatbestände der DSGVO verstoßen sowie ihre Pflichten als Verantwortliche nicht erfüllt hat, dies alles zumindest unter Außerachtlassung der gebotenen Sorgfalt. In Bezug auf die verwaltungsstrafrechtliche Verantwortlichkeit der beschuldigten juristischen Person – im Sinne des Verbandsverantwortlichkeitsmodells des Artikel 83, DSGVO – besteht im vorliegenden Zusammenhang der Verdacht, dass ein hinreichender Konnex zwischen den handelnden natürlichen Personen und der juristischen Person vorliegt, der es erlaubt, ihr das rechtswidrige und schuldhafte Verhalten zuzurechnen.
Verwaltungsübertretungen: Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1, Art. 7, Art. 12 Abs. 1, Art. 13 Abs. 1 iVm Art. 83 Abs. 5 lit. a und lit. b DSGVO“Verwaltungsübertretungen: Artikel 5, Absatz eins, Litera a,, Artikel 6, Absatz eins,, Artikel 7,, Artikel 12, Absatz eins,, Artikel 13, Absatz eins, in Verbindung mit Artikel 83, Absatz 5, Litera a und Litera b, DSGVO“
Am 26. Februar 2020 wurden die beiden Geschäftsführer der Beschwerdeführerin von der belangten Behörde einvernommen. Dabei wurde der bereits im Ladungsbescheid genannte Vorwurf von der belangten Behörde wiederholt.
In ihrer Stellungnahme vom 29. Mai 2020 führte die Beschwerdeführerin zusammengefasst im Wesentlichen aus, Alleingesellschafterin der Beschwerdeführerin sei zwar die XXXX m.b.H. und Alleingesellschafterin dieser wiederum die XXXX AG. Die Beschwerdeführerin sei aber in Zusammenhang mit den Datenverarbeitungen zum XXXX datenschutzrechtlicher Sicht allein verantwortlich. Die XXXX AG habe in der Vergangenheit Überlegungen zur Einrichtung eines unternehmensübergreifenden Kundenbindungsprogramms angestellt und im Jahr 2016 die strategische Entscheidung getroffen, nicht dem Multipartner-Kundenbindungsprogramm XXXX beizutreten, sondern in der XXXX -Gruppe selbst ein solches Multipartner- Kundenbindungsprogramm aufzubauen. Zu diesem Zweck sei in der XXXX -Gruppe unter der Leitung des zuständigen Vorstandsmitglieds der XXXX AG ein Projektteam eingerichtet worden, das die wesentlichen Grundzüge der Ausgestaltung dieses Kundenbindungsprogramms entwickelt habe. Während dieser Konzeptionsphase hätten mit dem Vorstandsmitglied 14-tägige Projektsteuerkreise stattgefunden und dabei seien auch bereits datenschutzrechtliche Überlegungen zur Realisierung eines solchen Programms angestellt worden. Zu diesem Zweck habe auch noch auf der Grundlage der Rechtslage vor Inkrafttreten der DSGVO die Anmeldung eines Informationsverbundsystems bei der DSB stattgefunden. Gegen Ende des Jahres 2017 sei die Konzeptionsphase beendet worden, weil zu diesem Zeitpunkt die Eckpunkte des Programms festgestanden seien. Damit hätten auch die Projektsteuerkreistermine mit dem Vorstandsmitglied geendet. Die Umsetzung des Programms sei in die Hände der Beschwerdeführerin und damit in jene ihrer Geschäftsführer gelegt worden. Zu diesem Zweck sei im Dezember 2017 die Umfirmierung und Änderung des Unternehmensgegenstandes der Beschwerdeführerin sowie die Neubestellung ihrer Geschäftsführung erfolgt. Unter der alleinigen Verantwortung der Geschäftsführer der Beschwerdeführerin habe die Beschwerdeführerin die konkrete Umsetzung und Ausgestaltung des Kundenbindungsprogramms entwickelt. Die Beschwerdeführerin habe sich dafür externer und interner Berater bedient, das heiße Berater, die in einem Dienstverhältnis zu Unternehmen der XXXX -Gruppe stehen, und solche, bei denen dies nicht der Fall sei, insbesondere Rechtsanwälte. Zu den wesentlichen internen Beratern habe der Datenschutzbeauftragte und Leiter der XXXX -internen Datenschutzabteilung, XXXX , gehört. Dieser sei bei der XXXX m.b.H. angestellt. Unter einem legte die Beschwerdeführerin Screenshots bzw. Kopien der jeweiligen Anmeldestrecken sowie der (gleichgelagerten) Anmeldebroschüre des bereits genannten Kundenbindungsprogrammes XXXX vor und erstattete dazu ein näheres Vorbringen. Eine Anmeldung mittels Anmeldebroschüre sei seit 3. Februar 2020 nicht mehr möglich, wobei Profiling auf Basis der über die Papier-Flyer und die Webseite abgegebenen Einwilligungserklärungen nach wie vor durchgeführt werde. Es seien mit Stand 3. Februar 2020 682.071 Registrierungen mittels Webseite (davon hätten 574.232 Personen ihre Einwilligung zum Zweck der personalisierten Ansprache erteilt) sowie 1.948.181 mittels Anmeldebroschüre (davon hätten 1.710.789 Personen ihre Einwilligung zum Zweck der personalisierten Ansprache erteilt) erfolgt. Zusätzlich führte die Beschwerdeführerin aus, dass die drei Online-Anmeldeprozesse sehr ähnlich aufgebaut seien, weshalb die belangte Behörde in der Beschwerdevorentscheidung zu Recht zur Ansicht gelangt sei, dass die Einwilligung zum Profiling über die XXXX App und den XXXX rechtmäßig sei. Die Einwilligung zum Profiling bei der Anmeldung zum XXXX über die XXXX App oder den XXXX unterscheide sich aber inhaltlich nicht von der Webseite und der Anmeldebroschüre. Aus diesem Grund sei nicht nachvollziehbar, weshalb die belangte Behörde im Ladungsbescheid in Punkt 1) davon ausgehe, dass das Ersuchen um Einwilligung bei den Anmeldearten „Webseite“ und „Anmeldebroschüre“ nicht den Anforderungen an eine Einwilligung gemäß Art. 4 Z 11 DSGVO entspreche. Im Übrigen könne die Beschwerdeführerin aus näheren Gründen auf die alternativen Rechtsgrundlagen des Art. 6 Abs. 1 lit. f und Art. 6 Abs. 4 DSGVO zurückgreifen. Davon abgesehen fehle es für eine Bestrafung aber ohnedies schon an dem erforderlichen Verschulden. Die Beschwerdeführerin habe sich im Vorfeld umfassend und intensiv mit der Ausgestaltung des Anmeldeprozesses auseinandergesetzt und zwar intern und auch extern durch Rechtsanwälte. In ihrer Stellungnahme vom 29. Mai 2020 führte die Beschwerdeführerin zusammengefasst im Wesentlichen aus, Alleingesellschafterin der Beschwerdeführerin sei zwar die römisch XXXX m.b.H. und Alleingesellschafterin dieser wiederum die römisch XXXX AG. Die Beschwerdeführerin sei aber in Zusammenhang mit den Datenverarbeitungen zum römisch XXXX datenschutzrechtlicher Sicht allein verantwortlich. Die römisch XXXX AG habe in der Vergangenheit Überlegungen zur Einrichtung eines unternehmensübergreifenden Kundenbindungsprogramms angestellt und im Jahr 2016 die strategische Entscheidung getroffen, nicht dem Multipartner-Kundenbindungsprogramm römisch XXXX beizutreten, sondern in der römisch XXXX -Gruppe selbst ein solches Multipartner- Kundenbindungsprogramm aufzubauen. Zu diesem Zweck sei in der römisch XXXX -Gruppe unter der Leitung des zuständigen Vorstandsmitglieds der römisch XXXX AG ein Projektteam eingerichtet worden, das die wesentlichen Grundzüge der Ausgestaltung dieses Kundenbindungsprogramms entwickelt habe. Während dieser Konzeptionsphase hätten mit dem Vorstandsmitglied 14-tägige Projektsteuerkreise stattgefunden und dabei seien auch bereits datenschutzrechtliche Überlegungen zur Realisierung eines solchen Programms angestellt worden. Zu diesem Zweck habe auch noch auf der Grundlage der Rechtslage vor Inkrafttreten der DSGVO die Anmeldung eines Informationsverbundsystems bei der DSB stattgefunden. Gegen Ende des Jahres 2017 sei die Konzeptionsphase beendet worden, weil zu diesem Zeitpunkt die Eckpunkte des Programms festgestanden seien. Damit hätten auch die Projektsteuerkreistermine mit dem Vorstandsmitglied geendet. Die Umsetzung des Programms sei in die Hände der Beschwerdeführerin und damit in jene ihrer Geschäftsführer gelegt worden. Zu diesem Zweck sei im Dezember 2017 die Umfirmierung und Änderung des Unternehmensgegenstandes der Beschwerdeführerin sowie die Neubestellung ihrer Geschäftsführung erfolgt. Unter der alleinigen Verantwortung der Geschäftsführer der Beschwerdeführerin habe die Beschwerdeführerin die konkrete Umsetzung und Ausgestaltung des Kundenbindungsprogramms entwickelt. Die Beschwerdeführerin habe sich dafür externer und interner Berater bedient, das heiße Berater, die in einem Dienstverhältnis zu Unternehmen der römisch XXXX -Gruppe stehen, und solche, bei denen dies nicht der Fall sei, insbesondere Rechtsanwälte. Zu den wesentlichen internen Beratern habe der Datenschutzbeauftragte und Leiter der römisch XXXX -internen Datenschutzabteilung, römisch XXXX , gehört. Dieser sei bei der römisch XXXX m.b.H. angestellt. Unter einem legte die Beschwerdeführerin Screenshots bzw. Kopien der jeweiligen Anmeldestrecken sowie der (gleichgelagerten) Anmeldebroschüre des bereits genannten Kundenbindungsprogrammes römisch XXXX vor und erstattete dazu ein näheres Vorbringen. Eine Anmeldung mittels Anmeldebroschüre sei seit 3. Februar 2020 nicht mehr möglich, wobei Profiling auf Basis der über die Papier-Flyer und die Webseite abgegebenen Einwilligungserklärungen nach wie vor durchgeführt werde. Es seien mit Stand 3. Februar 2020 682.071 Registrierungen mittels Webseite (davon hätten 574.232 Personen ihre Einwilligung zum Zweck der personalisierten Ansprache erteilt) sowie 1.948.181 mittels Anmeldebroschüre (davon hätten 1.710.789 Personen ihre Einwilligung zum Zweck der personalisierten Ansprache erteilt) erfolgt. Zus