TE Bvwg Erkenntnis 2024/3/27 W214 2243436-1

1. B-VG Art. 133 heute
2. B-VG Art. 133 gültig von 01.01.2019 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 138/2017
3. B-VG Art. 133 gültig ab 01.01.2019 zuletzt geändert durch BGBl. I Nr. 22/2018
4. B-VG Art. 133 gültig von 25.05.2018 bis 31.12.2018 zuletzt geändert durch BGBl. I Nr. 22/2018
5. B-VG Art. 133 gültig von 01.08.2014 bis 24.05.2018 zuletzt geändert durch BGBl. I Nr. 164/2013
6. B-VG Art. 133 gültig von 01.01.2014 bis 31.07.2014 zuletzt geändert durch BGBl. I Nr. 51/2012
7. B-VG Art. 133 gültig von 01.01.2004 bis 31.12.2013 zuletzt geändert durch BGBl. I Nr. 100/2003
8. B-VG Art. 133 gültig von 01.01.1975 bis 31.12.2003 zuletzt geändert durch BGBl. Nr. 444/1974
9. B-VG Art. 133 gültig von 25.12.1946 bis 31.12.1974 zuletzt geändert durch BGBl. Nr. 211/1946
10. B-VG Art. 133 gültig von 19.12.1945 bis 24.12.1946 zuletzt geändert durch StGBl. Nr. 4/1945
11. B-VG Art. 133 gültig von 03.01.1930 bis 30.06.1934

1. DSG Art. 1 § 1 heute
2. DSG Art. 1 § 1 gültig ab 01.01.2014 zuletzt geändert durch BGBl. I Nr. 51/2012
3. DSG Art. 1 § 1 gültig von 01.01.2000 bis 31.12.2013

1. VStG § 10 heute
2. VStG § 10 gültig ab 01.01.2008 zuletzt geändert durch BGBl. I Nr. 5/2008
3. VStG § 10 gültig von 01.02.1991 bis 31.12.2007

1. VStG § 19 heute
2. VStG § 19 gültig ab 01.07.2013 zuletzt geändert durch BGBl. I Nr. 33/2013
3. VStG § 19 gültig von 01.01.2012 bis 30.06.2013 zuletzt geändert durch BGBl. I Nr. 100/2011
4. VStG § 19 gültig von 01.02.1991 bis 31.12.2011

1. VStG § 64 heute
2. VStG § 64 gültig ab 01.01.2019 zuletzt geändert durch BGBl. I Nr. 57/2018
3. VStG § 64 gültig von 15.08.2018 bis 31.12.2018 zuletzt geändert durch BGBl. I Nr. 57/2018
4. VStG § 64 gültig von 01.01.2014 bis 14.08.2018 zuletzt geändert durch BGBl. I Nr. 33/2013
5. VStG § 64 gültig von 01.07.2013 bis 31.12.2013 zuletzt geändert durch BGBl. I Nr. 33/2013
6. VStG § 64 gültig von 01.03.2013 bis 30.06.2013 zuletzt geändert durch BGBl. I Nr. 33/2013
7. VStG § 64 gültig von 01.01.2002 bis 28.02.2013 zuletzt geändert durch BGBl. I Nr. 137/2001
8. VStG § 64 gültig von 01.02.1991 bis 31.12.2001

1. VwGVG § 52 heute
2. VwGVG § 52 gültig ab 01.09.2018 zuletzt geändert durch BGBl. I Nr. 57/2018
3. VwGVG § 52 gültig von 01.01.2014 bis 31.08.2018

W214 2243436-1/39E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Dr. Eva SOUHRADA-KIRCHMAYER als Vorsitzende sowie die fachkundigen Laienrichterinnen Mag. Huberta MAITZ-STRASSNIG und Mag. Claudia KRAL-BAST als Beisitzerinnen über die Beschwerde der XXXX , vertreten durch FRESHFIELDS BRUCKHAUS DERINGER Rechtsanwälte LLP, gegen das Straferkenntnis der Datenschutzbehörde vom 04.05.2021, Zl. D550.360 2021-0.169.109, nach Durchführung einer mündlichen Verhandlung zu Recht erkannt:Das Bundesverwaltungsgericht hat durch die Richterin Dr. Eva SOUHRADA-KIRCHMAYER als Vorsitzende sowie die fachkundigen Laienrichterinnen Mag. Huberta MAITZ-STRASSNIG und Mag. Claudia KRAL-BAST als Beisitzerinnen über die Beschwerde der römisch XXXX , vertreten durch FRESHFIELDS BRUCKHAUS DERINGER Rechtsanwälte LLP, gegen das Straferkenntnis der Datenschutzbehörde vom 04.05.2021, Zl. D550.360 2021-0.169.109, nach Durchführung einer mündlichen Verhandlung zu Recht erkannt:

A) I. Der Beschwerde wird gemäß § 50 Abs. 1 VwGVG teilweise stattgegeben und der Spruch des angefochtenen Straferkenntnisses dahingehend geändert, dass er zu lauten hat:A) römisch eins. Der Beschwerde wird gemäß Paragraph 50, Absatz eins, VwGVG teilweise stattgegeben und der Spruch des angefochtenen Straferkenntnisses dahingehend geändert, dass er zu lauten hat:

„Beschuldigte: XXXX (FN XXXX ) „Beschuldigte: römisch XXXX (FN römisch XXXX )

Die XXXX (im Folgenden XXXX ) mit Sitz in XXXX , hat als Verantwortliche im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016, S. 1, durch das tatbestandsmäßige, rechtswidrige und schuldhafte Verhalten nachstehenden Sachverhalt verwirklicht und dadurch folgende Verwaltungsübertretung(en) begangen: Die römisch XXXX (im Folgenden römisch XXXX ) mit Sitz in römisch XXXX , hat als Verantwortliche im Sinne des Artikel 4, Ziffer 7, der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016, S. 1, durch das tatbestandsmäßige, rechtswidrige und schuldhafte Verhalten nachstehenden Sachverhalt verwirklicht und dadurch folgende Verwaltungsübertretung(en) begangen:

Die Beschuldigte hat als Verantwortliche im Zusammenhang mit dem Betrieb des unternehmens- und branchenübergreifenden Kundenbindungsprogramms XXXX in Österreich, jedenfalls seit dem XXXX bis einschließlich XXXX 2020 (im Folgenden „Tatzeit“ oder „Tatzeitraum“) im gesamten Bundesgebiet, bei den Ersuchen um Einwilligung der betroffenen Personen, die sich für das XXXX Kundenbindungsprogramm registriert haben, für die „Verarbeitung von Kundendaten XXXX “, unter Verwendung der Methoden (i) physisches Anmeldeformular im XXXX und (ii) Webseite https://www. XXXX /, nicht den Anforderungen gemäß Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 DSGVO entsprochen. Dadurch wurden die Betroffenen dazu veranlasst, in die Verarbeitung ihrer personenbezogenen Daten einzuwilligen, ohne dass die Voraussetzungen für eine Einwilligung vorlagen. Die Beschuldigte hat als Verantwortliche im Zusammenhang mit dem Betrieb des unternehmens- und branchenübergreifenden Kundenbindungsprogramms römisch XXXX in Österreich, jedenfalls seit dem römisch XXXX bis einschließlich römisch XXXX 2020 (im Folgenden „Tatzeit“ oder „Tatzeitraum“) im gesamten Bundesgebiet, bei den Ersuchen um Einwilligung der betroffenen Personen, die sich für das römisch XXXX Kundenbindungsprogramm registriert haben, für die „Verarbeitung von Kundendaten römisch XXXX “, unter Verwendung der Methoden (i) physisches Anmeldeformular im römisch XXXX und (ii) Webseite https://www. römisch XXXX /, nicht den Anforderungen gemäß Artikel 4, Ziffer 11, in Verbindung mit Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 7, Absatz 2, DSGVO entsprochen. Dadurch wurden die Betroffenen dazu veranlasst, in die Verarbeitung ihrer personenbezogenen Daten einzuwilligen, ohne dass die Voraussetzungen für eine Einwilligung vorlagen.

2. Die Beschuldigte hat folglich zur Tatzeit jene zum Zwecke XXXX von Kunden auf Basis deren Einwilligung auf Grundlage der Methoden (i) physisches Anmeldeformular im XXXX und (ii) Webseite https://www. XXXX / erhobenen personenbezogenen Daten, unrechtmäßig verarbeitet, da die Verarbeitung auch auf keine andere Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO gestützt werden konnte. 2. Die Beschuldigte hat folglich zur Tatzeit jene zum Zwecke römisch XXXX von Kunden auf Basis deren Einwilligung auf Grundlage der Methoden (i) physisches Anmeldeformular im römisch XXXX und (ii) Webseite https://www. römisch XXXX / erhobenen personenbezogenen Daten, unrechtmäßig verarbeitet, da die Verarbeitung auch auf keine andere Rechtsgrundlage gemäß Artikel 6, Absatz eins, DSGVO gestützt werden konnte.

Die Beschuldigte hat daher im Ergebnis

?        den Grundsatz der Verarbeitung von personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) verletzt und

?        personenbezogene Daten verarbeitet, ohne dass hierfür eine geeignete Rechtsgrundlage nach Art. 6 DSGVO vorlag. ?        personenbezogene Daten verarbeitet, ohne dass hierfür eine geeignete Rechtsgrundlage nach Artikel 6, DSGVO vorlag.

Verwaltungsübertretung(en) nach:

Ad. 1.: Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 iVm Art. 83 Abs. 5 lit. a DSGVOAd. 1.: Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 7, Absatz 2, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO

Ad. 2.: Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 iVm Art. 83 Abs. 5 lit. a DSGVOAd. 2.: Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 6, Absatz eins, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO

Wegen dieser Verwaltungsübertretung(en) wird folgende Strafe verhängt:

Geldstrafe von    gemäß

€ 700.000 (in Worten:   Art. 83 Abs. 5 lit. a DSGVO€ 700.000 (in Worten:   Art. 83 Absatz 5, Litera a, DSGVO

Siebenhundertausend Euro)

Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen: Ferner haben Sie gemäß Paragraph 64, des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen:

70.000 Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe.

Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher

770.000 Euro (in Worten: Siebenhundertsiebzigtausend Euro).“

II. Die Beschwerdeführerin hat gemäß § 52 Abs. 8 VwGVG keine Kosten des verwaltungsgerichtlichen Verfahrens zu tragen.römisch II. Die Beschwerdeführerin hat gemäß Paragraph 52, Absatz 8, VwGVG keine Kosten des verwaltungsgerichtlichen Verfahrens zu tragen.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.Die Revision ist gemäß Artikel 133, Absatz 4, B-VG zulässig.

Entscheidungsgründe

I. Verfahrensgang und Sachverhalt:römisch eins. Verfahrensgang und Sachverhalt:

1. Die Beschwerdeführerin ist Betreiberin des XXXX -Programms, XXXX Kundenbindungsprogramms, welches XXXX in Österreich eingeführt wurde. 1. Die Beschwerdeführerin ist Betreiberin des römisch XXXX -Programms, römisch XXXX Kundenbindungsprogramms, welches römisch XXXX in Österreich eingeführt wurde.

2. Die belangte Behörde leitete gegen die Beschwerdeführerin ein amtswegiges Prüfverfahren ein.

3. Mit Bescheid der belangten Behörde vom XXXX 2020, Zl. DSB-D205.179/0001-DSB/2019, wurde festgehalten, dass das amtswegige Prüfverfahren berechtigt gewesen sei und festgestellt, dass die Ersuchen um Einwilligung zur Verarbeitung von personenbezogenen Daten für die Zwecke, die in Ziffer XXXX („Werbung XXXX („Werbung XXXX der Datenschutzerklärung der Beschwerdeführerin angeführt seien, und die unter Verwendung der Methoden, i) physisches Anmeldeformular im XXXX und ii) Webseite https://www. XXXX / eingeholt würden, nicht den Anforderungen an eine Einwilligung gemäß Art. 4 Z 11 DSGVO und Art. 7 Abs. 2 DSGVO entsprechen würden (Spruchpunkt 1. lit. a) und, dass für die bisherige Verarbeitung von personenbezogenen Daten von den beim Programm registrierten betroffenen Personen für die Zwecke, die in Ziffer XXXX der Datenschutzerklärung der Beschwerdeführerin angeführt seien, anstelle der Einwilligung, die unter Verwendung der Methoden 1.) a) i) physisches Anmeldeformular im XXXX und 1.) a) ii) Webseite https://www. XXXX / eingeholt worden seien, keine andere Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO in Betracht komme und die genannte bisherige Verarbeitung daher unrechtmäßig erfolgt sei (Spruchpunkt 1. lit. b). Der Beschwerdeführerin wurde die Verwendung der Ersuchen um Einwilligung im Umfang von Spruchpunkt 1. a) in dieser Form untergesagt (Spruchpunkt 2.), der Beschwerdeführerin wurde die Verarbeitung von personenbezogenen Daten von den am Programm bereits registrierten betroffenen Personen für die Zwecke, die in XXXX der Datenschutzerklärung der Beschwerdeführerin angeführt seien, untersagt, soweit die entsprechenden Einwilligungen unter Verwendung der in Spruchpunkt 1. a) angeführten Methoden eingeholt worden seien (Spruchpunkt 3.) und der Beschwerdeführerin für die Umsetzung der Spruchpunkte 2. und 3. eine Frist von vier Monaten eingeräumt (Spruchpunkt 4.).3. Mit Bescheid der belangten Behörde vom römisch XXXX 2020, Zl. DSB-D205.179/0001-DSB/2019, wurde festgehalten, dass das amtswegige Prüfverfahren berechtigt gewesen sei und festgestellt, dass die Ersuchen um Einwilligung zur Verarbeitung von personenbezogenen Daten für die Zwecke, die in Ziffer römisch XXXX („Werbung römisch XXXX („Werbung römisch XXXX der Datenschutzerklärung der Beschwerdeführerin angeführt seien, und die unter Verwendung der Methoden, i) physisches Anmeldeformular im römisch XXXX und ii) Webseite https://www. römisch XXXX / eingeholt würden, nicht den Anforderungen an eine Einwilligung gemäß Artikel 4, Ziffer 11, DSGVO und Artikel 7, Absatz 2, DSGVO entsprechen würden (Spruchpunkt 1. Litera a,) und, dass für die bisherige Verarbeitung von personenbezogenen Daten von den beim Programm registrierten betroffenen Personen für die Zwecke, die in Ziffer römisch XXXX der Datenschutzerklärung der Beschwerdeführerin angeführt seien, anstelle der Einwilligung, die unter Verwendung der Methoden 1.) a) i) physisches Anmeldeformular im römisch XXXX und 1.) a) ii) Webseite https://www. römisch XXXX / eingeholt worden seien, keine andere Rechtsgrundlage gemäß Artikel 6, Absatz eins, DSGVO in Betracht komme und die genannte bisherige Verarbeitung daher unrechtmäßig erfolgt sei (Spruchpunkt 1. Litera b,). Der Beschwerdeführerin wurde die Verwendung der Ersuchen um Einwilligung im Umfang von Spruchpunkt 1. a) in dieser Form untergesagt (Spruchpunkt 2.), der Beschwerdeführerin wurde die Verarbeitung von personenbezogenen Daten von den am Programm bereits registrierten betroffenen Personen für die Zwecke, die in römisch XXXX der Datenschutzerklärung der Beschwerdeführerin angeführt seien, untersagt, soweit die entsprechenden Einwilligungen unter Verwendung der in Spruchpunkt 1. a) angeführten Methoden eingeholt worden seien (Spruchpunkt 3.) und der Beschwerdeführerin für die Umsetzung der Spruchpunkte 2. und 3. eine Frist von vier Monaten eingeräumt (Spruchpunkt 4.).

4. Gegen diesen Bescheid erhob die Beschwerdeführerin fristgerecht eine Beschwerde an das Bundesverwaltungsgericht.

5. Mit Erkenntnis des Bundesverwaltungsgerichts vom 13.12.2022 wurde in Erledigung der Beschwerde Spruchpunkt 1. des angefochtenen Bescheides ersatzlos behoben und die Spruchpunkte 2. bis 4. des angefochtenen Bescheides ersetzt, sodass der Spruch insgesamt lautete:

„1. Der XXXX wird die Verwendung der per XXXX zu erteilenden Einwilligungserklärungen „Ihre Einwilligung in Werbung XXXX “, womit eine Einwilligung in die Erstellung von Kundenprofilen zum Zweck der interessensgerichteten Werbung XXXX erteilt wird, in der am XXXX 2020 vorliegenden Gestaltung ( XXXX und die Gestaltung des Satzes unter dem Unterschriftsfeld durch eine XXXX Wortfolge XXXX , irreführender Eindruck eines Gesamt-Unterschriftsfelds) untersagt.„1. Der römisch XXXX wird die Verwendung der per römisch XXXX zu erteilenden Einwilligungserklärungen „Ihre Einwilligung in Werbung römisch XXXX “, womit eine Einwilligung in die Erstellung von Kundenprofilen zum Zweck der interessensgerichteten Werbung römisch XXXX erteilt wird, in der am römisch XXXX 2020 vorliegenden Gestaltung ( römisch XXXX und die Gestaltung des Satzes unter dem Unterschriftsfeld durch eine römisch XXXX Wortfolge römisch XXXX , irreführender Eindruck eines Gesamt-Unterschriftsfelds) untersagt.

Ebenso wird die Verwendung der elektronisch zu erteilenden Einwilligungserklärungen in „Einwilligung Werbung XXXX “, womit eine Einwilligung [in] die Erstellung von Kundenprofilen zum Zweck der XXXX erteilt wird, in der am XXXX 2020 vorliegenden Gestaltung (Verwendung des XXXX Buttons mit der Wortfolge XXXX als Anmeldung und Einwilligung) untersagt.Ebenso wird die Verwendung der elektronisch zu erteilenden Einwilligungserklärungen in „Einwilligung Werbung römisch XXXX “, womit eine Einwilligung [in] die Erstellung von Kundenprofilen zum Zweck der römisch XXXX erteilt wird, in der am römisch XXXX 2020 vorliegenden Gestaltung (Verwendung des römisch XXXX Buttons mit der Wortfolge römisch XXXX als Anmeldung und Einwilligung) untersagt.

Des Weiteren wird die Verwendung der Überschrift der Einwilligungserklärungen in der am XXXX 2020 vorliegenden Fassung ohne Hinweis darauf, dass die Einwilligung auch die Erstellung von Kundenprofilen umfasst, untersagt.Des Weiteren wird die Verwendung der Überschrift der Einwilligungserklärungen in der am römisch XXXX 2020 vorliegenden Fassung ohne Hinweis darauf, dass die Einwilligung auch die Erstellung von Kundenprofilen umfasst, untersagt.

2. Der XXXX wird die Verarbeitung von personenbezogenen Daten von den bereits am XXXX Programm registrierten betroffenen Personen betreffend der in Spruchpunkt 1 genannten Zwecke untersagt, soweit die entsprechenden Einwilligungen in der in Spruchpunkt 1. beschriebenen Gestaltung eingeholt wurden und die Einwilligungen nicht bereits nochmals bestätigt wurden.2. Der römisch XXXX wird die Verarbeitung von personenbezogenen Daten von den bereits am römisch XXXX Programm registrierten betroffenen Personen betreffend der in Spruchpunkt 1 genannten Zwecke untersagt, soweit die entsprechenden Einwilligungen in der in Spruchpunkt 1. beschriebenen Gestaltung eingeholt wurden und die Einwilligungen nicht bereits nochmals bestätigt wurden.

3. Für die Umsetzung der Spruchpunkte 1. und 2 wird der XXXX eine Frist von vier Monaten gesetzt.“3. Für die Umsetzung der Spruchpunkte 1. und 2 wird der römisch XXXX eine Frist von vier Monaten gesetzt.“

6. Aufgrund der Ermittlungsergebnisse des amtswegigen Prüfverfahrens der belangten Behörde leitete diese am 03.08.2020 ein Verwaltungsstrafverfahren gegen die Beschwerdeführerin ein.

7. Am 07.08.2020 übermittelte die belangte Behörde der Beschwerdeführerin eine Aufforderung zur Rechtfertigung und teilte mit, dass die Beschwerdeführerin im Zusammenhang mit dem Betrieb des XXXX Kundenbindungsprogrammes in Verdacht stehe, jedenfalls seit dem XXXX bis einschließlich XXXX 2020, in XXXX , bei dem Ersuchen um Einwilligung der betroffenen Personen, die sich für das XXXX Kundenbindungsprogramm registrieren wollen oder registriert haben, für die „Verarbeitung von Kundendaten XXXX “, unter Verwendung der Methoden (i) physisches Anmeldeformular im XXXX und (ii) Webseite https://www. XXXX /, nicht den Anforderungen gemäß Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 DSGVO entsprochen zu haben, sowie zudem im Verdacht stehe, im Tatzeitraum, am Tatort jene personenbezogenen Daten zum Zwecke der XXXX , die auf Grundlage der mittels der Methoden (i) physisches Anmeldeformular im XXXX und (ii) Webseite https://www. XXXX / erhobenen Einwilligungen verarbeitet worden seien, unrechtmäßig verarbeitet zu haben, da keine der Bedingungen gemäß Art. 6 Abs. 1 DSGVO erfüllt sei. Es handle sich um Verwaltungsübertretungen gemäß Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 iVm Art. 83 Abs. 5 lit. a DSGVO bzw. Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 iVm Art. 83 Abs. 5 lit. a DSGVO. Die vorliegende Verfolgungshandlung richte sich gemäß der Rechtsprechung des VwGH sowohl gegen die Beschwerdeführerin als auch gegen zur Vertretung nach außen berufenen Personen (Geschäftsführer). Die Beschwerdeführerin könne sich entweder im Rahmen einer Vernehmung oder schriftlich rechtfertigen. Im Zuge dessen seien zudem Dokumente/Informationen zum Jahresumsatz sowie Gewinne/Verluste der Beschwerdeführerin des Vorjahres vorzulegen sowie Angaben zu machen, wie viele betroffene Personen sich beim XXXX programm in Österreich registriert haben und wie viele davon ihre Einwilligung zum Zwecke XXXX von Kunden erteilt haben.7. Am 07.08.2020 übermittelte die belangte Behörde der Beschwerdeführerin eine Aufforderung zur Rechtfertigung und teilte mit, dass die Beschwerdeführerin im Zusammenhang mit dem Betrieb des römisch XXXX Kundenbindungsprogrammes in Verdacht stehe, jedenfalls seit dem römisch XXXX bis einschließlich römisch XXXX 2020, in römisch XXXX , bei dem Ersuchen um Einwilligung der betroffenen Personen, die sich für das römisch XXXX Kundenbindungsprogramm registrieren wollen oder registriert haben, für die „Verarbeitung von Kundendaten römisch XXXX “, unter Verwendung der Methoden (i) physisches Anmeldeformular im römisch XXXX und (ii) Webseite https://www. römisch XXXX /, nicht den Anforderungen gemäß Artikel 4, Ziffer 11, in Verbindung mit Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 7, Absatz 2, DSGVO entsprochen zu haben, sowie zudem im Verdacht stehe, im Tatzeitraum, am Tatort jene personenbezogenen Daten zum Zwecke der römisch XXXX , die auf Grundlage der mittels der Methoden (i) physisches Anmeldeformular im römisch XXXX und (ii) Webseite https://www. römisch XXXX / erhobenen Einwilligungen verarbeitet worden seien, unrechtmäßig verarbeitet zu haben, da keine der Bedingungen gemäß Artikel 6, Absatz eins, DSGVO erfüllt sei. Es handle sich um Verwaltungsübertretungen gemäß Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 7, Absatz 2, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO bzw. Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 6, Absatz eins, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO. Die vorliegende Verfolgungshandlung richte sich gemäß der Rechtsprechung des VwGH sowohl gegen die Beschwerdeführerin als auch gegen zur Vertretung nach außen berufenen Personen (Geschäftsführer). Die Beschwerdeführerin könne sich entweder im Rahmen einer Vernehmung oder schriftlich rechtfertigen. Im Zuge dessen seien zudem Dokumente/Informationen zum Jahresumsatz sowie Gewinne/Verluste der Beschwerdeführerin des Vorjahres vorzulegen sowie Angaben zu machen, wie viele betroffene Personen sich beim römisch XXXX programm in Österreich registriert haben und wie viele davon ihre Einwilligung zum Zwecke römisch XXXX von Kunden erteilt haben.

8. Die Beschwerdeführerin erstattete am 15.09.2020 eine Stellungnahme und führte zusammengefasst aus, dass entgegen dem der Beschwerdeführerin zur Last gelegten Sachverhalt die von der Beschwerdeführerin eingesetzten Einwilligungserklärungen - sowohl bei Verwendung des physischen Anmeldeformulars XXXX als auch auf der Webseite https://www. XXXX – allen einschlägigen Vorgaben, insbesondere den Anforderungen gemäß Art. 4 Z 11 iVm Art. 5 Abs. 1 lit a iVm Art. 7 Abs. 2 DSGVO, entsprechen würden. Infolge zulässig erhobener Einwilligung sei von einer unrechtmäßigen Verarbeitung gemäß Art 6 Abs 1 lit a DSGVO daher jedenfalls nicht auszugehen. Falls die belangte Behörde dennoch von einem Verstoß gegen Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 iVm Art. 83 Abs. 5 lit. a DSGVO bzw. Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 iVm Art 83 Abs. 5 lit. a DSGVO ausgehe, wäre allerdings jedenfalls keine Verwaltungsstrafe zu verhängen, da es der Beschwerdeführerin bereits am für eine Bestrafung erforderlichen Verschulden iSd § 5 VStG mangle, es sich bei der verfahrensgegenständlichen Verwaltungsübertretung (wenn überhaupt) jedenfalls nur um ein einmaliges, geringfügiges und nicht vorwerfbares – jedenfalls aber entschuldbares – Versehen handle und daher die Voraussetzungen für ein Absehen von einer Strafe nach § 11 DSG sowie § 45 Abs 1 Z 4 VStG – allenfalls unter bloßer Abmahnung bzw. Verwarnung – vorliegen würden, sowie weitere Milderungsgründe gemäß Art. 83 Abs. 2 DSGVO sowie § 19 Abs. 2 VStG iVm § 34 Abs. 1 Z 2, Z 12, Z 13 und Z 17 StGB zu berücksichtigen seien. 8. Die Beschwerdeführerin erstattete am 15.09.2020 eine Stellungnahme und führte zusammengefasst aus, dass entgegen dem der Beschwerdeführerin zur Last gelegten Sachverhalt die von der Beschwerdeführerin eingesetzten Einwilligungserklärungen - sowohl bei Verwendung des physischen Anmeldeformulars römisch XXXX als auch auf der Webseite https://www. römisch XXXX – allen einschlägigen Vorgaben, insbesondere den Anforderungen gemäß Artikel 4, Ziffer 11, in Verbindung mit Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 7, Absatz 2, DSGVO, entsprechen würden. Infolge zulässig erhobener Einwilligung sei von einer unrechtmäßigen Verarbeitung gemäß Artikel 6, Absatz eins, Litera a, DSGVO daher jedenfalls nicht auszugehen. Falls die belangte Behörde dennoch von einem Verstoß gegen Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 7, Absatz 2, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO bzw. Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 6, Absatz eins, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO ausgehe, wäre allerdings jedenfalls keine Verwaltungsstrafe zu verhängen, da es der Beschwerdeführerin bereits am für eine Bestrafung erforderlichen Verschulden iSd Paragraph 5, VStG mangle, es sich bei der verfahrensgegenständlichen Verwaltungsübertretung (wenn überhaupt) jedenfalls nur um ein einmaliges, geringfügiges und nicht vorwerfbares – jedenfalls aber entschuldbares – Versehen handle und daher die Voraussetzungen für ein Absehen von einer Strafe nach Paragraph 11, DSG sowie Paragraph 45, Absatz eins, Ziffer 4, VStG – allenfalls unter bloßer Abmahnung bzw. Verwarnung – vorliegen würden, sowie weitere Milderungsgründe gemäß Artikel 83, Absatz 2, DSGVO sowie Paragraph 19, Absatz 2, VStG in Verbindung mit Paragraph 34, Absatz eins, Ziffer 2,, Ziffer 12,, Ziffer 13 und Ziffer 17, StGB zu berücksichtigen seien.

Zu den von der belangten Behörde angefragten Informationen werde bekanntgegeben, dass der Umsatz der Beschwerdeführerin sich für das Geschäftsjahr 2019 auf EUR XXXX belaufe. Für Österreich seien mittels XXXX Registrierungen (davon hätten im Zeitpunkt der Registrierung ca. XXXX , konkret XXXX Personen, ihre Einwilligung XXXX erteilt) erfolgt sowie XXXX Registrierungen (davon hätten im Zeitpunkt der Registrierung ca. XXXX , konkret XXXX Personen, ihre Einwilligung XXXX erteilt) über das gegenständliche Anmeldeformular im Zuge der Online-Registrierung über https://www. XXXX /.Zu den von der belangten Behörde angefragten Informationen werde bekanntgegeben, dass der Umsatz der Beschwerdeführerin sich für das Geschäftsjahr 2019 auf EUR römisch XXXX belaufe. Für Österreich seien mittels römisch XXXX Registrierungen (davon hätten im Zeitpunkt der Registrierung ca. römisch XXXX , konkret römisch XXXX Personen, ihre Einwilligung römisch XXXX erteilt) erfolgt sowie römisch XXXX Registrierungen (davon hätten im Zeitpunkt der Registrierung ca. römisch XXXX , konkret römisch XXXX Personen, ihre Einwilligung römisch XXXX erteilt) über das gegenständliche Anmeldeformular im Zuge der Online-Registrierung über https://www. römisch XXXX /.

Der Stellungnahme angeschlossen wurde das „Datenschutz-Handbuch für die deutschsprachigen Unternehmen der XXXX “.Der Stellungnahme angeschlossen wurde das „Datenschutz-Handbuch für die deutschsprachigen Unternehmen der römisch XXXX “.

9. Am 11.02.2021 wurde die für Datenschutzfragen zuständige Unternehmensjuristin der Beschwerdeführerin, XXXX , als Zeugin einvernommen. Sie gab zusammengefasst an, dass die datenschutzrechtlichen Einwilligungserklärungen im Rahmen des physischen Anmeldeformulars sowie auf der Website bereits existiert hätten, als sie am XXXX zur Beschwerdeführerin gekommen sei. Sie sei soweit involviert, als sie die laufende Rechtsentwicklung mitverfolge. Die Beschwerdeführerin habe auch externe Berater, die Rechtsanwälte seien.9. Am 11.02.2021 wurde die für Datenschutzfragen zuständige Unternehmensjuristin der Beschwerdeführerin, römisch XXXX , als Zeugin einvernommen. Sie gab zusammengefasst an, dass die datenschutzrechtlichen Einwilligungserklärungen im Rahmen des physischen Anmeldeformulars sowie auf der Website bereits existiert hätten, als sie am römisch XXXX zur Beschwerdeführerin gekommen sei. Sie sei soweit involviert, als sie die laufende Rechtsentwicklung mitverfolge. Die Beschwerdeführerin habe auch externe Berater, die Rechtsanwälte seien.

10. Am 18.02.2021 wurde von der belangten Behörde der externe Datenschutzbeauftragte der Beschwerdeführerin, Rechtsanwalt XXXX , als Zeuge einvernommen. Er gab an, seit XXXX als externer Datenschutzbeauftragter der Beschwerdeführerin tätig zu sein. Er habe in seiner Funktion Unterstützung der Stabstelle XXXX (Abkürzung für XXXX , Anm.) erhalten und sei von dieser in die bestehende Dokumentation der Beschwerdeführerin eingeführt worden. Es habe ein Gespräch mit der Geschäftsführung sowie einen Workshop mit der XXXX gegeben. Er verweise auch auf seinen ersten Tätigkeitsbericht für das Jahr 2019, der auch im Rahmen des amtswegigen Prüfverfahrens vorgelegt worden sei. Die Einwilligungserklärungen seien bereits im Jahr XXXX entwickelt worden, sodass er keine Wahrnehmung dazu habe, wer letztlich die Entscheidung getroffenen habe, die Einwilligungserklärungen in dieser Form zu genehmigen, für den Betrieb in Österreich einzusetzen sowie, ob die Geschäftsführung sämtliche Angelegenheiten/Aufgaben im Rahmen der Einführung des Programms – insbesondere hinsichtlich der Gestaltung der Einwilligungserklärungen – selbst übernommen oder an andere Personen selbstverantwortlich überlassen habe. Die Beschwerdeführerin sei weiterhin der Ansicht, dass die (ursprüngliche) Gestaltung der Einwilligungserklärungen datenschutzkonform (gewesen) sei. Die Entscheidung der belangten Behörde im amtswegigen prüfverfahren sei überraschend gewesen, es habe im Jahr 2019 keinerlei veröffentlichte Entscheidungen, insbesondere der Höchstgerichte, gegeben, die eine gegenteilige Auslegung des Rechtsverständnisses der Beschwerdeführerin indiziert hätten. Er habe zahlreiche Unterlagen und Dokumentationen geprüft und sei davon ausgegangen, dass die Einwilligungserklärungen den Anforderungen der DSGVO entsprächen. Es gebe bei der Beschwerdeführerin zahlreiche Dokumente, die alle datenschutzrechtlichen Angelegenheiten umfassend behandelten, wie etwa Dienstanweisungen an Mitarbeiter, ein Programmkonzept, ein umfangreiches Löschkonzept, Schulungsunterlagen für Mitarbeiter und ein umfangreiches Verarbeitungsverzeichnis. 10. Am 18.02.2021 wurde von der belangten Behörde der externe Datenschutzbeauftragte der Beschwerdeführerin, Rechtsanwalt römisch XXXX , als Zeuge einvernommen. Er gab an, seit römisch XXXX als externer Datenschutzbeauftragter der Beschwerdeführerin tätig zu sein. Er habe in seiner Funktion Unterstützung der Stabstelle römisch XXXX (Abkürzung für römisch XXXX , Anmerkung erhalten und sei von dieser in die bestehende Dokumentation der Beschwerdeführerin eingeführt worden. Es habe ein Gespräch mit der Geschäftsführung sowie einen Workshop mit der römisch XXXX gegeben. Er verweise auch auf seinen ersten Tätigkeitsbericht für das Jahr 2019, der auch im Rahmen des amtswegigen Prüfverfahrens vorgelegt worden sei. Die Einwilligungserklärungen seien bereits im Jahr römisch XXXX entwickelt worden, sodass er keine Wahrnehmung dazu habe, wer letztlich die Entscheidung getroffenen habe, die Einwilligungserklärungen in dieser Form zu genehmigen, für den Betrieb in Österreich einzusetzen sowie, ob die Geschäftsführung sämtliche Angelegenheiten/Aufgaben im Rahmen der Einführung des Programms – insbesondere hinsichtlich der Gestaltung der Einwilligungserklärungen – selbst übernommen oder an andere Personen selbstverantwortlich überlassen habe. Die Beschwerdeführerin sei weiterhin der Ansicht, dass die (ursprüngliche) Gestaltung der Einwilligungserklärungen datenschutzkonform (gewesen) sei. Die Entscheidung der belangten Behörde im amtswegigen prüfverfahren sei überraschend gewesen, es habe im Jahr 2019 keinerlei veröffentlichte Entscheidungen, insbesondere der Höchstgerichte, gegeben, die eine gegenteilige Auslegung des Rechtsverständnisses der Beschwerdeführerin indiziert hätten. Er habe zahlreiche Unterlagen und Dokumentationen geprüft und sei davon ausgegangen, dass die Einwilligungserklärungen den Anforderungen der DSGVO entsprächen. Es gebe bei der Beschwerdeführerin zahlreiche Dokumente, die alle datenschutzrechtlichen Angelegenheiten umfassend behandelten, wie etwa Dienstanweisungen an Mitarbeiter, ein Programmkonzept, ein umfangreiches Löschkonzept, Schulungsunterlagen für Mitarbeiter und ein umfangreiches Verarbeitungsverzeichnis.

11. Am 22.02.2021 wurde die Leiterin der Rechtsabteilung der XXXX , XXXX , als Zeugin einvernommen. Sie gab zusammengefasst an, im Jahr 2017 mit der Rechtsberatung der Beschwerdeführerin beauftragt worden zu sein. Sie sei der XXXX zugeordnet, die im Rahmen der inhaltlichen Beratung als Schnittstelle gegenüber der Geschäftsführung fungiere. Vor Bestellung des externen Datenschutzbeauftragten habe XXXX die Funktion des internen Datenschutzbeauftragten innegehabt. Es sei dann entschieden worden, jemand anderen als Datenschutzbeauftragen zu bestellen, der XXXX sei und die österreichische Gegebenheiten besser kenne und auch das Geschäft der Beschwerdeführerin besser verstehe. Die Einwilligungserklärungen seien lange besprochen und angepasst worden und die Rechtsabteilung der XXXX habe die Geschäftsführung über den Verlauf regelmäßig immer wieder informiert. Am Ende sei die finale Version der Geschäftsführung vorgelegt und von dieser genehmigt worden. Die Geschäftsführer hätten das gemeinsam entschieden und seien bei den wöchentlichen Meetings über den Fortlauf der Einwilligungserklärungen im Wesentlichen (nicht jedes Mal gemeinsam) anwesend gewesen. Die Gestaltung und rechtliche/inhaltliche Prüfung der gegenständlichen Einwilligungserklärungen sei von der Geschäftsführung der Beschwerdeführerin der Rechtsabteilung der XXXX gemeinsam mit externen Rechtsanwälten der Kanzlei XXXX überlassen worden. Es sei auch intensiv mit den Partner-Unternehmen und deren externen Anwälten Rücksprache zu den Einwilligungserklärungen gehalten worden, damit die Partner-Unternehmen als Begünstigte ebenfalls von der Rechtskonformität der Einwilligungserklärungen ausgehen bzw. sich daran beteiligen könnten. Die Beratung sei primär mittels E-Mails und persönlich im Rahmen von Meetings erfolgt, es habe keine Gutachten gegeben. Sie teile die rechtliche Ansicht der belangten Behörde im Bescheid aus dem amtswegigen Prüfverfahren nicht. Es habe bereits ein XXXX gegeben, der XXXX habe sich jedoch nur mit technischen Aspekten der Datenverarbeitung befasst, jedenfalls keine Rechtsprüfung vorgenommen. Der externe Datenschutzbeauftragte habe im Zuge seines Antritts sämtliche Dokumente und Unterlagen geprüft.11. Am 22.02.2021 wurde die Leiterin der Rechtsabteilung der römisch XXXX , römisch XXXX , als Zeugin einvernommen. Sie gab zusammengefasst an, im Jahr 2017 mit der Rechtsberatung der Beschwerdeführerin beauftragt worden zu sein. Sie sei der römisch XXXX zugeordnet, die im Rahmen der inhaltlichen Beratung als Schnittstelle gegenüber der Geschäftsführung fungiere. Vor Bestellung des externen Datenschutzbeauftragten habe römisch XXXX die Funktion des internen Datenschutzbeauftragten innegehabt. Es sei dann entschieden worden, jemand anderen als Datenschutzbeauftragen zu bestellen, der römisch XXXX sei und die österreichische Gegebenheiten besser kenne und auch das Geschäft der Beschwerdeführerin besser verstehe. Die Einwilligungserklärungen seien lange besprochen und angepasst worden und die Rechtsabteilung der römisch XXXX habe die Geschäftsführung über den Verlauf regelmäßig immer wieder informiert. Am Ende sei die finale Version der Geschäftsführung vorgelegt und von dieser genehmigt worden. Die Geschäftsführer hätten das gemeinsam entschieden und seien bei den wöchentlichen Meetings über den Fortlauf der Einwilligungserklärungen im Wesentlichen (nicht jedes Mal gemeinsam) anwesend gewesen. Die Gestaltung und rechtliche/inhaltliche Prüfung der gegenständlichen Einwilligungserklärungen sei von der Geschäftsführung der Beschwerdeführerin der Rechtsabteilung der römisch XXXX gemeinsam mit externen Rechtsanwälten der Kanzlei römisch XXXX überlassen worden. Es sei auch intensiv mit den Partner-Unternehmen und deren externen Anwälten Rücksprache zu den Einwilligungserklärungen gehalten worden, damit die Partner-Unternehmen als Begünstigte ebenfalls von der Rechtskonformität der Einwilligungserklärungen ausgehen bzw. sich daran beteiligen könnten. Die Beratung sei primär mittels E-Mails und persönlich im Rahmen von Meetings erfolgt, es habe keine Gutachten gegeben. Sie teile die rechtliche Ansicht der belangten Behörde im Bescheid aus dem amtswegigen Prüfverfahren nicht. Es habe bereits ein römisch XXXX gegeben, der römisch XXXX habe sich jedoch nur mit technischen Aspekten der Datenverarbeitung befasst, jedenfalls keine Rechtsprüfung vorgenommen. Der externe Datenschutzbeauftragte habe im Zuge seines Antritts sämtliche Dokumente und Unterlagen geprüft.

12. Die Beschwerdeführerin gab am 08.03.2021 eine Stellungnahme zu den Zeugeneinvernahmen ab und führte aus, dass die belangte Behörde bisher nicht dargelegt habe, aus welche Umständen sie ein vorsätzliches oder fahrlässiges Verhalten der Beschwerdeführerin oder der für sie handelnden Personen ableite. Nach § 5 Abs. 1a VStG dürfe seitens der belangten Behörde prima vista nicht angenommen werden, dass überhaupt ein schuldhaftes Verhalten bei der Beschwerdeführerin vorliege. Die Beschwerdeführerin habe sich – auch unter Einbeziehung ihrer Geschäftsführer – sehr gut und ausführlich überlegt, wie die gegenständlichen Ersuchen um Einwilligung rechtskonform und im Einklang mit den Vorgaben der DSGVO (wie sie in der vorliegenden Kommentarliteratur, der bisherigen Entscheidungspraxis, Rechtsprechung und den Leitlinien der Art. 29 Datenschutzgruppe sowie des EDSA ausgelegt würden) umgesetzt werden könnten. Ein fahrlässiges oder sogar vorsätzliches Verhalten sei dadurch gerade nicht indiziert. Für die Zulässigkeit unterschiedlicher Ausgestaltungen von Einwilligungserklärungen liege immer noch keine höchstgerichtliche Rechtsprechung oder relevante (rechtskräftige) verwaltungsbehördliche Spruchpraxis der belangten Behörde vor, an der sich die Beschwerdeführerin hätte orientieren können. Die unklare Rechtslage seit Anwendbarkeit der DSGVO könne somit jedenfalls nicht zu Lasten der Beschwerdeführerin verstanden werden. In Erfüllung ihrer gebotenen Sorgfaltspflichten seien Änderungen an bestehenden Datenverarbeitungen sowie die Einführung neuer Datenverarbeitungen seitens der Beschwerdeführerin stets nur unter ausführlichen Abwägungen und Überlegungen durch interne Fachexperten sowie unter Einbeziehung und entsprechenden Erkundigungen bei den bestellten externen Datenschutzbeauftragten als sach- und rechtskundige Personen sowie auf Datenschutzrecht spezialisierten Rechtsanwaltskanzleien erfolgt. Die Geschäftsführer der Beschwerdeführerin hätten keinen Grund gehabt, an der Einschätzung der internen wie externen Experten zu zweifeln, insbesondere da sie auch kontinuierlich in einen Entstehungsprozess der Einwilligungserklärungen eingebunden gewesen seien, die Ausführungen der Experten plausibel und fundiert gewesen seien und eine umfassende Auseinandersetzung der Experten mit den rechtlichen Vorgaben evident gewesen sei. Innerhalb der Beschwerdeführerin seien auch Prozesse eingerichtet, um einmal getroffene Maßnahmen kontinuierlich auf ihre Vereinbarkeit mit aktuellen Entwicklungen im Datenschutzrecht zu evaluieren und gegebenenfalls entsprechende Anpassungen vorzubereiten und mit den Geschäftsführern abzustimmen. Wenngleich das Datenschutzhandbuch erst im XXXX seitens der Beschwerdeführerin unterschrieben worden sei, sei festzuhalten, dass dieses lediglich die seit Anfang XXXX bestehenden Prozesse innerhalb der Beschwerdeführerin festgeschrieben habe. Die Beschwerdeführerin habe daher in Bezug auf die Gestaltung der Einwilligungserklärungen alles ihr Mögliche und Zumutbare unternommen, um eine rechtskonforme und den Anforderungen der DSGVO entsprechende Gestaltung der Ersuchen um Einwilligung sicherzustellen. Eine Bestrafung scheide daher mangels vorsätzlichen oder fahrlässigen Verhaltens jedenfalls aus.12. Die Beschwerdeführerin gab am 08.03.2021 eine Stellungnahme zu den Zeugeneinvernahmen ab und führte aus, dass die belangte Behörde bisher nicht dargelegt habe, aus welche Umständen sie ein vorsätzliches oder fahrlässiges Verhalten der Beschwerdeführerin oder der für sie handelnden Personen ableite. Nach Paragraph 5, Absatz eins a, VStG dürfe seitens der belangten Behörde prima vista nicht angenommen werden, dass überhaupt ein schuldhaftes Verhalten bei der Beschwerdeführerin vorliege. Die Beschwerdeführerin habe sich – auch unter Einbeziehung ihrer Geschäftsführer – sehr gut und ausführlich überlegt, wie die gegenständlichen Ersuchen um Einwilligung rechtskonform und im Einklang mit den Vorgaben der DSGVO (wie sie in der vorliegenden Kommentarliteratur, der bisherigen Entscheidungspraxis, Rechtsprechung und den Leitlinien der Artikel 29, Datenschutzgruppe sowie des EDSA ausgelegt würden) umgesetzt werden könnten. Ein fahrlässiges oder sogar vorsätzliches Verhalten sei dadurch gerade nicht indiziert. Für die Zulässigkeit unterschiedlicher Ausgestaltungen von Einwilligungserklärungen liege immer noch keine höchstgerichtliche Rechtsprechung oder relevante (rechtskräftige) verwaltungsbehördliche Spruchpraxis der belangten Behörde vor, an der sich die Beschwerdeführerin hätte orientieren können. Die unklare Rechtslage seit Anwendbarkeit der DSGVO könne somit jedenfalls nicht zu Lasten der Beschwerdeführerin verstanden werden. In Erfüllung ihrer gebotenen Sorgfaltspflichten seien Änderungen an bestehenden Datenverarbeitungen sowie die Einführung neuer Datenverarbeitungen seitens der Beschwerdeführerin stets nur unter ausführlichen Abwägungen und Überlegungen durch interne Fachexperten sowie unter Einbeziehung und entsprechenden Erkundigungen bei den bestellten externen Datenschutzbeauftragten als sach- und rechtskundige Personen sowie auf Datenschutzrecht spezialisierten Rechtsanwaltskanzleien erfolgt. Die Geschäftsführer der Beschwerdeführerin hätten keinen Grund gehabt, an der Einschätzung der internen wie externen Experten zu zweifeln, insbesondere da sie auch kontinuierlich in einen Entstehungsprozess der Einwilligungserklärungen eingebunden gewesen seien, die Ausführungen der Experten plausibel und fundiert gewesen seien und eine umfassende Auseinandersetzung der Experten mit den rechtlichen Vorgaben evident gewesen sei. Innerhalb der Beschwerdeführerin seien auch Prozesse eingerichtet, um einmal getroffene Maßnahmen kontinuierlich auf ihre Vereinbarkeit mit aktuellen Entwicklungen im Datenschutzrecht zu evaluieren und gegebenenfalls entsprechende Anpassungen vorzubereiten und mit den Geschäftsführern abzustimmen. Wenngleich das Datenschutzhandbuch erst im römisch XXXX seitens der Beschwerdeführerin unterschrieben worden sei, sei festzuhalten, dass dieses lediglich die seit Anfang römisch XXXX bestehenden Prozesse innerhalb der Beschwerdeführerin festgeschrieben habe. Die Beschwerdeführerin habe daher in Bezug auf die Gestaltung der Einwilligungserklärungen alles ihr Mögliche und Zumutbare unternommen, um eine rechtskonforme und den Anforderungen der DSGVO entsprechende Gestaltung der Ersuchen um Einwilligung sicherzustellen. Eine Bestrafung scheide daher mangels vorsätzlichen oder fahrlässigen Verhaltens jedenfalls aus.

13. Die belangte Behörde forderte die Beschwerdeführerin mit Schreiben vom 08.03.2021 auf, sämtliche Beratungsergebnisse oder Auskünfte (z.B. Protokolle von Besprechungen, Korrespondenz, Gutachten, Formular-Entwürfe, etc.) im Zusammenhang mit der rechtlichen Beurteilung, ob die gegenständlichen Einwilligungserklärungen (Ersuchen um Einwilligungen mittels der Methoden (i) physisches Anmeldeformular im XXXX und (ii) Webseite https://www. XXXX /) den Anforderungen gemäß Art. 4 Z 11 iVm Art. 5 Abs. 1 lit. a iVm Art. 7 Abs. 2 DSGVO entsprechen, die der Geschäftsführung der Beschwerdeführerin vom externen Datenschutzbeauftragter der XXXX mit Sitz in XXXX ), der Rechtsabteilung der XXXX , der Rechtsanwaltskanzlei XXXX (unter Federführung von XXXX ), sowie der Rechtsanwaltskanzlei XXXX vorgelegt worden seien, sowie sonstige Auskünfte von sachkundigen Personen/Abteilungen bzw. externen Beratern, vorzulegen. 13. Die belangte Behörde forderte die Beschwerdeführerin mit Schreiben vom 08.03.2021 auf, sämtliche Beratungsergebnisse oder Auskünfte (z.B. Protokolle von Besprechungen, Korrespondenz, Gutachten, Formular-Entwürfe, etc.) im Zusammenhang mit der rechtlichen Beurteilung, ob die gegenständlichen Einwilligungserklärungen (Ersuchen um Einwilligungen mittels der Methoden (i) physisches Anmeldeformular im römisch XXXX und (ii) Webseite https://www. römisch XXXX /) den Anforderungen gemäß Artikel 4, Ziffer 11, in Verbindung mit Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 7, Absatz 2, DSGVO entsprechen, die der Geschäftsführung der Beschwerdeführerin vom externen Datenschutzbeauftragter der römisch XXXX mit Sitz in römisch XXXX ), der Rechtsabteilung der römisch XXXX , der Rechtsanwaltskanzlei römisch XXXX (unter Federführung von römisch XXXX ), sowie der Rechtsanwaltskanzlei römisch XXXX vorgelegt worden seien, sowie sonstige Auskünfte von sachkundigen Personen/Abteilungen bzw. externen Beratern, vorzulegen.

14. Am 11.03.2021 wurde die ehemalige Teamleiterin für Datenschutzmanagement und Vertragsmanagement der XXXX , als Zeugin einvernommen. Sie gab an, von XXXX bis XXXX 2020 in der XXXX angestellt gewesen zu sein. Für die gesamten deutschsprachigen Unternehmen der Unternehmensgruppe – auch für die Beschwerdeführerin - sei sie Teamleiterin für Datenschutzmanagement und Vertragsmanagement und für die Koordination und Administration der Datenschutzprozesse zuständig gewesen. Man könnte die Position als „Datenschutzkoordinator“ bezeichnen, sie sei jedenfalls keine Juristin, sondern für die Verwaltung der datenschutzrechtlichen Prozesse zuständig. Die laufende Kontrolle und Überwachung der getroffenen Maßnahmen sei durch regelmäßige Management Updates durch das Datenschutz-Management (sowohl in Deutschland als auch in Österreich) erfolgt, in denen wichtige datenschutzrechtliche Themen besprochen worden seien. Die Geschäftsführung der Beschwerdeführerin sei bspw. über die EuGH Entscheidung zu Planet49 informiert worden. Für die regelmäßigen Meetings mit der Geschäftsführung seien auch stets Präsentationen angefertigt worden. Alle Mitarbeiter müssten eine datenschutzrechtliche Vertraulichkeitsvereinbarung unterschreiben, sie habe die Kollegen in Österreich geschult und datenschutzrechtlichen Prozesse betreut.14. Am 11.03.2021 wurde die ehemalige Teamleiterin für Datenschutzmanagement und Vertragsmanagement der römisch XXXX , als Zeugin einvernommen. Sie gab an, von römisch XXXX bis römisch XXXX 2020 in der römisch XXXX angestellt gewesen zu sein. Für die gesamten deutschsprachigen Unternehmen der Unternehmensgruppe – auch für die Beschwerdeführerin - sei sie Teamleiterin für Datenschutzmanagement und Vertragsmanagement und für die Koordination und Administration der Datenschutzprozesse zuständig gewesen. Man könnte die Position als „Datenschutzkoordinator“ bezeichnen, sie sei jedenfalls keine Juristin, sondern für die Verwaltung der datenschutzrechtlichen Prozesse zuständig. Die laufende Kontrolle und Überwachung der getroffenen Maßnahmen sei durch regelmäßige Management Updates durch das Datenschutz-Management (sowohl in Deutschland als auch in Österreich) erfolgt, in denen wichtige datenschutzrechtliche Themen besprochen worden seien. Die Geschäftsführung der Beschwerdeführerin sei bspw. über die EuGH Entscheidung zu Planet49 informiert worden. Für die regelmäßigen Meetings mit der Geschäftsführung seien auch stets Präsentationen angefertigt worden. Alle Mitarbeiter müssten eine datenschutzrechtliche Vertraulichkeitsvereinbarung unterschreiben, sie habe die Kollegen in Österreich geschult und datenschutzrechtlichen Prozesse betreut.

15. Am 17.03.2021 wurde der Geschäftsführer der Beschwerdeführerin, XXXX , als Beschuldigter einvernommen. Er führte aus, primär für die datenschutzrechtlichen Angelegenheiten im Zusammenhang mit den Einwilligungserklärungen zuständig gewesen zu sein und die Prozesse betreut zu haben. Die letztendliche Entscheidung habe er gemeinsam mit dem zweiten Geschäftsführer getroffen. Vor der Corona-Pandemie hätten alle zwei Wochen Meetings an einem XXXX mehrheitlich in XXXX stattgefunden. Aufgrund von Corona hätten sie auf Videokonferenztools umgestellt, wenn möglich würden die Meetings vor Ort in XXXX stattfinden. Im Datenschutzbereich seien sie vor der Einstellung von XXXX von ihrem XXXX Team, dem externen Datenschutzbeauftragten der XXXX , der Kanzlei XXXX sowie der Kanzlei XXXX beraten/unterstützt worden. Es sei für die Geschäftsführung klargewesen, dass die Gestaltung des Formulars die Anforderungen der DSGVO erfülle und dass es für den Kunden leicht v