Entscheidungsdatum
31.07.2024Norm
B-VG Art133 Abs4Spruch
W108 2284491-1/15E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Mag. BRAUCHART als Vorsitzende sowie die fachkundige Laienrichterin Mag. HAIDINGER, LL.M. und den fachkundigen Laienrichter Mag. SCHACHNER als Beisitzerin und Beisitzer über die Beschwerde der XXXX , vertreten durch Rechtsanwalt Dr. Peter ZÖCHBAUER, gegen Spruchpunkt 3. des Bescheides der Datenschutzbehörde vom 14.12.2023, Zl. D124.5045 2023-0.661.011, betreffend eine datenschutzrechtliche Angelegenheit (Mitbeteiligter: XXXX , vertreten durch noyb - Europäisches Zentrum für digitale Rechte) zu Recht erkannt:Das Bundesverwaltungsgericht hat durch die Richterin Mag. BRAUCHART als Vorsitzende sowie die fachkundige Laienrichterin Mag. HAIDINGER, LL.M. und den fachkundigen Laienrichter Mag. SCHACHNER als Beisitzerin und Beisitzer über die Beschwerde der römisch 40 , vertreten durch Rechtsanwalt Dr. Peter ZÖCHBAUER, gegen Spruchpunkt 3. des Bescheides der Datenschutzbehörde vom 14.12.2023, Zl. D124.5045 2023-0.661.011, betreffend eine datenschutzrechtliche Angelegenheit (Mitbeteiligter: römisch 40 , vertreten durch noyb - Europäisches Zentrum für digitale Rechte) zu Recht erkannt:
A)
Die Beschwerde wird gemäß § 28 Abs. 2 VwGVG als unbegründet abgewiesen.Die Beschwerde wird gemäß Paragraph 28, Absatz 2, VwGVG als unbegründet abgewiesen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang und Sachverhalt:römisch eins. Verfahrensgang und Sachverhalt:
1. In der verfahrensgegenständlichen an die Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) gerichteten Datenschutzbeschwerde gemäß Art. 77 Datenschutz-Grundverordnung (DSGVO) vom 10.08.2021 machte der nunmehrige Mitbeteiligte, XXXX (ehemaliger Beschwerdeführer im Verfahren vor der belangten Behörde), eine Verletzung im Recht auf Löschung gemäß Art. 17 DSGVO sowie damit zusammenhängend eine Verletzung der Mitteilungspflicht durch die beschwerdeführende Partei (ehemalige Beschwerdegegnerin im Verfahren vor der belangten Behörde) geltend. Der Mitbeteiligte stellte den Antrag, die belangte Behörde möge den Verantwortlichen anweisen, alle „relevanten Verarbeitungstätigkeiten“ einzustellen, alle relevanten personenbezogenen Daten zu löschen und die Löschung allen Empfängern mitzuteilen, denen die Daten offengelegt worden seien, und regte an, eine wirksame, verhältnismäßige und abschreckende Geldbuße gegen die beschwerdeführende Partei zu verhängen.1. In der verfahrensgegenständlichen an die Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) gerichteten Datenschutzbeschwerde gemäß Artikel 77, Datenschutz-Grundverordnung (DSGVO) vom 10.08.2021 machte der nunmehrige Mitbeteiligte, römisch 40 (ehemaliger Beschwerdeführer im Verfahren vor der belangten Behörde), eine Verletzung im Recht auf Löschung gemäß Artikel 17, DSGVO sowie damit zusammenhängend eine Verletzung der Mitteilungspflicht durch die beschwerdeführende Partei (ehemalige Beschwerdegegnerin im Verfahren vor der belangten Behörde) geltend. Der Mitbeteiligte stellte den Antrag, die belangte Behörde möge den Verantwortlichen anweisen, alle „relevanten Verarbeitungstätigkeiten“ einzustellen, alle relevanten personenbezogenen Daten zu löschen und die Löschung allen Empfängern mitzuteilen, denen die Daten offengelegt worden seien, und regte an, eine wirksame, verhältnismäßige und abschreckende Geldbuße gegen die beschwerdeführende Partei zu verhängen.
Dazu wurde (soweit verfahrensgegenständlich relevant) vorgebracht, dass der Mitbeteiligte am 09.04.2021 von 14:33:00 Uhr bis 14:35:10 Uhr die Website XXXX für welche die beschwerdeführende Partei Verantwortliche sei, besucht habe. Die Website habe in Form eines „Banners“ eine von XXXX zur Verfügung gestellten Consent Management Platform („CMP“) gezeigt. Aufgrund der Gestaltung des Cookie-Banners sei es zu mehreren Rechtsverstößen gekommen. Während das Banner eine Schaltfläche zum Akzeptieren aller relevanten Verarbeitungstätigkeiten und eine Schaltfläche, die der betroffenen Person den Zugriff auf weitere Optionen ermögliche, bereitstelle, sei die Option zum „Ablehnen“ der relevanten Verarbeitungstätigkeiten vom Verantwortlichen absichtlich ausgeblendet worden, obwohl eine „Ablehnen“-Schaltfläche im CMP-Setup vorhanden sei und mit einem einfachen Klick ein- und ausgeschaltet werden könne. Es gebe keinen logischen, technischen oder ethischen Grund, die Option „Ablehnen“ zu verstecken, außer die betroffenen Personen zu verwirren oder Ablehnungen aufwändiger und unwahrscheinlicher zu machen. Bei der Konfrontation mit der ersten Ebene des Banners seien tatsächlich alle relevanten Verarbeitungstätigkeiten vorausgewählt - wenngleich nicht sichtbar für den Mitbeteiligten, sondern versteckt in der zweiten Ebene des Banners. Als der Mitbeteiligte akzeptiert habe, habe die beschwerdeführende Partei dies als Einwilligung zu allen versteckten vorausgewählten Optionen auf der zweiten Ebene des Banners behandelt. Um die Bearbeitung abzulehnen, hätte der Mitbeteiligte auf die Schaltfläche klicken müssen, die zu weiteren Optionen führe. Mit einem weiteren Klick könne der Mitbeteiligte dann die nun deaktivierten Optionen bestätigen. Die Verarbeitungstätigkeit könne sohin mit einem Klick akzeptiert werden, man benötige aber zwei (oder mehr) Klicks, um die betreffenden Verarbeitungstätigkeiten zu deaktivieren und abzulehnen. Das Verstecken einer „Ablehnen“-Option auf der ersten Ebene sowie das Ausblenden der vorausgewählten Optionen auf der zweiten Ebene verstoße gegen die Grundsätze der „Verarbeitung nach Treu und Glauben“ und „Transparenz“ gemäß Art. 5 Abs. 1 lit. a DSGVO. Eine Einwilligung ohne die Kenntnis der Möglichkeit, die Verarbeitung auf der zweiten Ebene abzulehnen, könne keinesfalls als „informiert“ und „für den bestimmten Fall“ iSd Art. 4 Z 11 DSGVO angesehen werden, sodass Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage unwirksam sei. Es werde zudem unter anderem auch auf die Leitlinien der französischen Datenschutzbehörde CNIL verwiesen, die ausdrücklich betonten, dass eine „Alle ablehnen”-Option in der ersten Ebene der Banner bereitgestellt werden müsse oder sollte, sowie auf die Leitlinien der deutschen Aufsichtsbehörden, denen zufolge eine „einfache Möglichkeit zu Ablehnung“ bestehen müsse. Die dänische Aufsichtsbehörde habe zudem festgehalten, dass das Fehlen einer „Ablehnen“-Schaltfläche die DSGVO verletze und ausdrückliche Leitlinien zu dieser Angelegenheit bereitgestellt. Die griechische Aufsichtsbehörde habe festgehalten, dass die Anzahl an notwendigen Klicks für die Erteilung einer Einwilligung und deren Ablehnung gleich sein müsse, während die finnische Aufsichtsbehörde festgehalten habe, dass die Ablehnung einer Einwilligung und ihr Widerruf so einfach wie deren Erteilung sein müsse. Zudem werde ein irreführendes Linkdesign verwendet, die Button-Farben sowie der Button-Kontrast seien irreführend, die vermeintlich berechtigten Interessen, auf die sich die beschwerdeführende Partei berufe, seien nicht gegeben und der Widerruf der Einwilligung sei nicht so einfach wie die Erteilung der Einwilligung. Die beschwerdeführende Partei könne sich für die „relevanten Verarbeitungstätigkeiten“, die insbesondere das Setzen und Auslesen von Cookies auf der Webseite und die Offenlegung von diesen Daten an Empfänger durch die beschwerdeführende Partei umfassen würden, auf keine Rechtsgrundlage iSd Art. 6 DSGVO stützen, insbesondere liege keine wirksame Einwilligung und kein berechtigtes Interesse vor. Dazu wurde (soweit verfahrensgegenständlich relevant) vorgebracht, dass der Mitbeteiligte am 09.04.2021 von 14:33:00 Uhr bis 14:35:10 Uhr die Website römisch 40 für welche die beschwerdeführende Partei Verantwortliche sei, besucht habe. Die Website habe in Form eines „Banners“ eine von römisch 40 zur Verfügung gestellten Consent Management Platform („CMP“) gezeigt. Aufgrund der Gestaltung des Cookie-Banners sei es zu mehreren Rechtsverstößen gekommen. Während das Banner eine Schaltfläche zum Akzeptieren aller relevanten Verarbeitungstätigkeiten und eine Schaltfläche, die der betroffenen Person den Zugriff auf weitere Optionen ermögliche, bereitstelle, sei die Option zum „Ablehnen“ der relevanten Verarbeitungstätigkeiten vom Verantwortlichen absichtlich ausgeblendet worden, obwohl eine „Ablehnen“-Schaltfläche im CMP-Setup vorhanden sei und mit einem einfachen Klick ein- und ausgeschaltet werden könne. Es gebe keinen logischen, technischen oder ethischen Grund, die Option „Ablehnen“ zu verstecken, außer die betroffenen Personen zu verwirren oder Ablehnungen aufwändiger und unwahrscheinlicher zu machen. Bei der Konfrontation mit der ersten Ebene des Banners seien tatsächlich alle relevanten Verarbeitungstätigkeiten vorausgewählt - wenngleich nicht sichtbar für den Mitbeteiligten, sondern versteckt in der zweiten Ebene des Banners. Als der Mitbeteiligte akzeptiert habe, habe die beschwerdeführende Partei dies als Einwilligung zu allen versteckten vorausgewählten Optionen auf der zweiten Ebene des Banners behandelt. Um die Bearbeitung abzulehnen, hätte der Mitbeteiligte auf die Schaltfläche klicken müssen, die zu weiteren Optionen führe. Mit einem weiteren Klick könne der Mitbeteiligte dann die nun deaktivierten Optionen bestätigen. Die Verarbeitungstätigkeit könne sohin mit einem Klick akzeptiert werden, man benötige aber zwei (oder mehr) Klicks, um die betreffenden Verarbeitungstätigkeiten zu deaktivieren und abzulehnen. Das Verstecken einer „Ablehnen“-Option auf der ersten Ebene sowie das Ausblenden der vorausgewählten Optionen auf der zweiten Ebene verstoße gegen die Grundsätze der „Verarbeitung nach Treu und Glauben“ und „Transparenz“ gemäß Artikel 5, Absatz eins, Litera a, DSGVO. Eine Einwilligung ohne die Kenntnis der Möglichkeit, die Verarbeitung auf der zweiten Ebene abzulehnen, könne keinesfalls als „informiert“ und „für den bestimmten Fall“ iSd Artikel 4, Ziffer 11, DSGVO angesehen werden, sodass Artikel 6, Absatz eins, Litera a, DSGVO als Rechtsgrundlage unwirksam sei. Es werde zudem unter anderem auch auf die Leitlinien der französischen Datenschutzbehörde CNIL verwiesen, die ausdrücklich betonten, dass eine „Alle ablehnen”-Option in der ersten Ebene der Banner bereitgestellt werden müsse oder sollte, sowie auf die Leitlinien der deutschen Aufsichtsbehörden, denen zufolge eine „einfache Möglichkeit zu Ablehnung“ bestehen müsse. Die dänische Aufsichtsbehörde habe zudem festgehalten, dass das Fehlen einer „Ablehnen“-Schaltfläche die DSGVO verletze und ausdrückliche Leitlinien zu dieser Angelegenheit bereitgestellt. Die griechische Aufsichtsbehörde habe festgehalten, dass die Anzahl an notwendigen Klicks für die Erteilung einer Einwilligung und deren Ablehnung gleich sein müsse, während die finnische Aufsichtsbehörde festgehalten habe, dass die Ablehnung einer Einwilligung und ihr Widerruf so einfach wie deren Erteilung sein müsse. Zudem werde ein irreführendes Linkdesign verwendet, die Button-Farben sowie der Button-Kontrast seien irreführend, die vermeintlich berechtigten Interessen, auf die sich die beschwerdeführende Partei berufe, seien nicht gegeben und der Widerruf der Einwilligung sei nicht so einfach wie die Erteilung der Einwilligung. Die beschwerdeführende Partei könne sich für die „relevanten Verarbeitungstätigkeiten“, die insbesondere das Setzen und Auslesen von Cookies auf der Webseite und die Offenlegung von diesen Daten an Empfänger durch die beschwerdeführende Partei umfassen würden, auf keine Rechtsgrundlage iSd Artikel 6, DSGVO stützen, insbesondere liege keine wirksame Einwilligung und kein berechtigtes Interesse vor.
Der Datenschutzbeschwerde angeschlossen wurden Screenshots der Webseite und des Banners, eine Zusammenfassung aller relevanten Einstellungen innerhalb der XXXX -Konfigurationsdateien im JSON-Format, eine Zusammenfassung aller HTTP-Anfragen und -Antworten zwischen dem Browser und den verschiedenen Servern während des Besuchs der Website sowie eine Zusammenfassung aller Cookie-Daten.Der Datenschutzbeschwerde angeschlossen wurden Screenshots der Webseite und des Banners, eine Zusammenfassung aller relevanten Einstellungen innerhalb der römisch 40 -Konfigurationsdateien im JSON-Format, eine Zusammenfassung aller HTTP-Anfragen und -Antworten zwischen dem Browser und den verschiedenen Servern während des Besuchs der Website sowie eine Zusammenfassung aller Cookie-Daten.
2. Die belangte Behörde übermittelte der beschwerdeführenden Partei mit Schreiben vom 04.10.2021 die Datenschutzbeschwerde des Mitbeteiligten und forderte sie auf, dazu innerhalb einer Frist von vier Wochen Stellung zu nehmen. Im Rahmen der Stellungnahme sei insbesondere anzugeben, ob beabsichtigt sei, das Cookie-Banner entsprechend den Ausführungen des Mitbeteiligten anzupassen, welche Cookies konkret gesetzt würden, nachdem ein Website-Besucher im Cookie-Banner die Wahl treffe, alle Cookies zuzulassen, ob personenbezogene Daten des Mitbeteiligten, wie etwa dessen Online-Identifizierungsmerkmale, gespeichert würden, ob die personenbezogenen Daten des Mitbeteiligten wie beantragt gelöscht würden, sowie bejahendenfalls, ob die beschwerdeführende Partei die Empfänger der personenbezogenen Daten des Mitbeteiligten über diese Löschung unterrichten werde.
3. Über Aufforderung der belangten Behörde erstattete die beschwerdeführende Partei am 01.12.2021 eine Stellungnahme, in welcher ausgeführt wurde, dass die beschwerdeführende Partei ein Medienunternehmen iSd § 1 Abs. 1 Z 6 MedienG und Medieninhaberin iSd § 1 Abs. 1 Z 8 lit. a MedienG der verfahrensgegenständlich relevanten Website sei. Auf dieser Website würden redaktionelle Artikel im Zusammenhang mit dem Tagesgeschehen („Online-Zeitung“) abrufbar gehalten. Die in diesem Zusammenhang durchgeführte Verarbeitung personenbezogener Daten erfolge ausschließlich zu journalistischen Zwecken, § 9 Abs. 1 DSG normiere dafür eine Totalausnahme von den Bestimmungen der DSGVO. Die belangte Behörde sei folglich zur Behandlung der vorliegenden Beschwerde nicht zuständig. 3. Über Aufforderung der belangten Behörde erstattete die beschwerdeführende Partei am 01.12.2021 eine Stellungnahme, in welcher ausgeführt wurde, dass die beschwerdeführende Partei ein Medienunternehmen iSd Paragraph eins, Absatz eins, Ziffer 6, MedienG und Medieninhaberin iSd Paragraph eins, Absatz eins, Ziffer 8, Litera a, MedienG der verfahrensgegenständlich relevanten Website sei. Auf dieser Website würden redaktionelle Artikel im Zusammenhang mit dem Tagesgeschehen („Online-Zeitung“) abrufbar gehalten. Die in diesem Zusammenhang durchgeführte Verarbeitung personenbezogener Daten erfolge ausschließlich zu journalistischen Zwecken, Paragraph 9, Absatz eins, DSG normiere dafür eine Totalausnahme von den Bestimmungen der DSGVO. Die belangte Behörde sei folglich zur Behandlung der vorliegenden Beschwerde nicht zuständig.
Die Rechtsvertretung des Mitbeteiligten habe die beschwerdeführende Partei im Vorfeld der Beschwerde kontaktiert, um die Themen der Beschwerde zum Cookie-Banner aufzuzeigen. Die beschwerdeführende Partei habe daraufhin das von der Rechtsvertretung des Mitbeteiligten aufgezeigte Verhalten – ohne Präjudiz der Sach- und Rechtslage – eingestellt. Der „Ablehnen“-Button befinde sich nunmehr auf der ersten Ebene des Cookie-Banners in gleicher Auffälligkeit und im selben Design und mit gleichem Kontrast direkt neben dem „Akzeptieren“-Button. Die Cookie Einstellungen seien nicht mehr als Linkdesign ausgeführt, sondern als farblich hinterlegter Button. Der Widerruf einer bereits erteilten Einwilligung sowie der Widerspruch gemäß Art. 21 DSGVO seien jederzeit über ein dauerhaft sichtbares „schwebendes“ Symbol möglich, mit dem die Nutzer zu ihren Datenschutzeinstellungen zurückkehren und die erteilte Einwilligung widerrufen und/oder den Widerspruch ausüben könnten. Die Nutzer würden auf dieses Symbol bereits in der ersten Ebene des Cookie-Banners ausdrücklich hingewiesen. Wähle ein Nutzer den „Ablehnen-Button“, werde dies als Nichterteilung einer Einwilligung zur Kenntnis genommen und als Widerspruch iSd Art. 21 DSGVO gewertet. Wenn ein Nutzer im Cookie-Banner die Wahl „Akzeptieren“ bzw. „Alle zulassen“ treffe, würden unbedingt zur Funktion der Website erforderliche Cookies, Leistungs-Cookies, um Besuche und Verkehrsquellen zu zählen, funktionelle Cookies zur Bereitstellung erweiterter Funktionalität und Personalisierung, Cookies von Werbepartnern für Marketingzwecke, Cookies für personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklung, Informationen auf dem Gerät des Nutzers, Standortdaten, Geräteeigenschaften zur Identifikation, Cookies für Sicherheitsgewährleistung, Betrugsverhinderung, Fehlerbehebung, technische Bereitstellung von Anzeigen oder Inhalten, Auswahl personalisierter Inhalte zur Zusammenführung mit Offline-Datenquellen, Verknüpfung verschiedener Geräte sowie zum Empfangen und Verwenden automatisch gesendeter Geräteeigenschaften für die Identifikation gesetzt. Eine Auflistung dieser Cookies samt detaillierter Erklärung finde der Nutzer auf der zweiten Ebene des Cookie-Banners, wenn er auf der ersten Ebene auf den Button „Cookie-Einstellungen“ klicke oder über das dauerhaft sichtbare „schwebende“ Symbol in seine Datenschutzeinstellungen zurückkehre. Die beschwerdeführende Partei speichere die angegriffenen personenbezogenen Daten des Mitbeteiligten jedenfalls nicht mehr und habe diese jedenfalls gelöscht. Eine Information der Empfänger über die Löschung der angegriffenen personenbezogenen Daten des Mitbeteiligten werde derzeit durchgeführt. Die Rechtsvertretung des Mitbeteiligten habe die beschwerdeführende Partei im Vorfeld der Beschwerde kontaktiert, um die Themen der Beschwerde zum Cookie-Banner aufzuzeigen. Die beschwerdeführende Partei habe daraufhin das von der Rechtsvertretung des Mitbeteiligten aufgezeigte Verhalten – ohne Präjudiz der Sach- und Rechtslage – eingestellt. Der „Ablehnen“-Button befinde sich nunmehr auf der ersten Ebene des Cookie-Banners in gleicher Auffälligkeit und im selben Design und mit gleichem Kontrast direkt neben dem „Akzeptieren“-Button. Die Cookie Einstellungen seien nicht mehr als Linkdesign ausgeführt, sondern als farblich hinterlegter Button. Der Widerruf einer bereits erteilten Einwilligung sowie der Widerspruch gemäß Artikel 21, DSGVO seien jederzeit über ein dauerhaft sichtbares „schwebendes“ Symbol möglich, mit dem die Nutzer zu ihren Datenschutzeinstellungen zurückkehren und die erteilte Einwilligung widerrufen und/oder den Widerspruch ausüben könnten. Die Nutzer würden auf dieses Symbol bereits in der ersten Ebene des Cookie-Banners ausdrücklich hingewiesen. Wähle ein Nutzer den „Ablehnen-Button“, werde dies als Nichterteilung einer Einwilligung zur Kenntnis genommen und als Widerspruch iSd Artikel 21, DSGVO gewertet. Wenn ein Nutzer im Cookie-Banner die Wahl „Akzeptieren“ bzw. „Alle zulassen“ treffe, würden unbedingt zur Funktion der Website erforderliche Cookies, Leistungs-Cookies, um Besuche und Verkehrsquellen zu zählen, funktionelle Cookies zur Bereitstellung erweiterter Funktionalität und Personalisierung, Cookies von Werbepartnern für Marketingzwecke, Cookies für personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklung, Informationen auf dem Gerät des Nutzers, Standortdaten, Geräteeigenschaften zur Identifikation, Cookies für Sicherheitsgewährleistung, Betrugsverhinderung, Fehlerbehebung, technische Bereitstellung von Anzeigen oder Inhalten, Auswahl personalisierter Inhalte zur Zusammenführung mit Offline-Datenquellen, Verknüpfung verschiedener Geräte sowie zum Empfangen und Verwenden automatisch gesendeter Geräteeigenschaften für die Identifikation gesetzt. Eine Auflistung dieser Cookies samt detaillierter Erklärung finde der Nutzer auf der zweiten Ebene des Cookie-Banners, wenn er auf der ersten Ebene auf den Button „Cookie-Einstellungen“ klicke oder über das dauerhaft sichtbare „schwebende“ Symbol in seine Datenschutzeinstellungen zurückkehre. Die beschwerdeführende Partei speichere die angegriffenen personenbezogenen Daten des Mitbeteiligten jedenfalls nicht mehr und habe diese jedenfalls gelöscht. Eine Information der Empfänger über die Löschung der angegriffenen personenbezogenen Daten des Mitbeteiligten werde derzeit durchgeführt.
Der Stellungnahme angeschlossen wurde unter anderem ein Auszug des „Cookie-Banners“ der Website vom 01.12.2021.
4. Der Mitbeteiligte replizierte darauf – nachdem diesem durch die belangte Behörde Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens eingeräumt worden war – in seiner Stellungnahme vom 29.12.2021 zusammengefasst dahin, dass die in der Beschwerde aufgezeigten Verstöße – mit Ausnahme der Berufung auf vermeintliche berechtigte Interessen – als behoben angesehen würden. Hinsichtlich des neuen Banners sei anzumerken, dass gewisse Cookies nun als unbedingt erforderlich eingestuft seien („immer aktiv“). Es handle sich hierbei um eine falsche Klassifizierung, tatsächlich würden alle diese Verarbeitungen und Cookies personenbezogene Daten verwenden und Zwecken dienen, die offensichtlich nicht „unbedingt erforderlich“ im Sinne von Art. 5 Abs. 3 ePrivacy-RL oder nach allgemeinem Sprachgebrauch „unbedingt erforderlich“ oder „wesentlich“ gemäß der DSGVO seien. Diese Einstufung scheine auch dazu geführt zu haben, dass personenbezogene Daten verarbeitet und Informationen gespeichert und zugänglich gemacht worden seien, bevor die betroffene Person irgendeine Interaktion mit dem Banner vorgenommen habe. Entgegen dem Vorbringen der beschwerdeführenden Partei komme eine Nichtanwendbarkeit der DSGVO infolge der Ausnahmebestimmung des § 9 Abs. 1 DSG gegenständlich nicht infrage. Der vom EuGH judizierte „weite Journalismusbegriff“ habe keinesfalls die Konsequenz, dass jedwede Datenverarbeitung auf der Website eines Medienunternehmens iSd § 1 Abs. 1 Z 6 MedienG bzw. einer Medieninhaberin iSd § 1 Abs. 1 Z 8 lit. a MedienG pauschal als Verarbeitung zu journalistischen Zwecken iSd Art. 85 DSGVO zu qualifizieren sei. Die im Rahmen dieser Beschwerde angegriffenen Datenerhebungen und -übermittlungen seien in keiner Weise mit dem „Ziel, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten“ erfolgt – vielmehr seien personenbezogene Daten zu anderen Zwecken verarbeitet worden, z.B. für personalisierte Werbung. Die DSGVO und das DSG seien uneingeschränkt anwendbar und die belangte Behörde zur Behandlung der Beschwerde zuständig.4. Der Mitbeteiligte replizierte darauf – nachdem diesem durch die belangte Behörde Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens eingeräumt worden war – in seiner Stellungnahme vom 29.12.2021 zusammengefasst dahin, dass die in der Beschwerde aufgezeigten Verstöße – mit Ausnahme der Berufung auf vermeintliche berechtigte Interessen – als behoben angesehen würden. Hinsichtlich des neuen Banners sei anzumerken, dass gewisse Cookies nun als unbedingt erforderlich eingestuft seien („immer aktiv“). Es handle sich hierbei um eine falsche Klassifizierung, tatsächlich würden alle diese Verarbeitungen und Cookies personenbezogene Daten verwenden und Zwecken dienen, die offensichtlich nicht „unbedingt erforderlich“ im Sinne von Artikel 5, Absatz 3, ePrivacy-RL oder nach allgemeinem Sprachgebrauch „unbedingt erforderlich“ oder „wesentlich“ gemäß der DSGVO seien. Diese Einstufung scheine auch dazu geführt zu haben, dass personenbezogene Daten verarbeitet und Informationen gespeichert und zugänglich gemacht worden seien, bevor die betroffene Person irgendeine Interaktion mit dem Banner vorgenommen habe. Entgegen dem Vorbringen der beschwerdeführenden Partei komme eine Nichtanwendbarkeit der DSGVO infolge der Ausnahmebestimmung des Paragraph 9, Absatz eins, DSG gegenständlich nicht infrage. Der vom EuGH judizierte „weite Journalismusbegriff“ habe keinesfalls die Konsequenz, dass jedwede Datenverarbeitung auf der Website eines Medienunternehmens iSd Paragraph eins, Absatz eins, Ziffer 6, MedienG bzw. einer Medieninhaberin iSd Paragraph eins, Absatz eins, Ziffer 8, Litera a, MedienG pauschal als Verarbeitung zu journalistischen Zwecken iSd Artikel 85, DSGVO zu qualifizieren sei. Die im Rahmen dieser Beschwerde angegriffenen Datenerhebungen und -übermittlungen seien in keiner Weise mit dem „Ziel, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten“ erfolgt – vielmehr seien personenbezogene Daten zu anderen Zwecken verarbeitet worden, z.B. für personalisierte Werbung. Die DSGVO und das DSG seien uneingeschränkt anwendbar und die belangte Behörde zur Behandlung der Beschwerde zuständig.
5. Über Aufforderung der belangten Behörde erstattete die beschwerdeführende Partei am 03.02.2022 eine ergänzende Stellungnahme, in welcher sie ausführte, ohne Einwilligung keine personenbezogenen Daten verarbeitet zu haben. Wähle der Website-Besucher den „Ablehnen-Button“ auf der ersten Ebene des Cookie-Banners, würden die auf der zweiten Ebene angeführten Cookies deaktiviert. Es finde in diesem Umfang keine Datenverarbeitung auf Grundlage eines „berechtigten Interesses“ statt. Selbiges gelte für die in der Stellungnahme vom 29.12.2021 monierten Cookies, die als „immer aktiv“ bezeichnet würden. Tatsächlich habe die beschwerdeführende Partei auch in diesem Umfang ohne Einwilligung keine personenbezogenen Daten verarbeitet. Der Hinweis „immer aktiv“ sei daher falsch und ohne irgendeine technische Auswirkung auf die Datenverarbeitung. Der Hinweis „immer aktiv“ habe von der beschwerdeführenden Partei bloß aus technischen Gründen bislang nicht entfernt werden können. Die beschwerdeführende Partei sei diesbezüglich mit dem Plattformentwickler XXXX in Kontakt, um eine Berichtigung der Bezeichnung zu erreichen. Im Übrigen erhebe die beschwerdeführende Partei auf Grundlage ihres zwingenden, überwiegenden berechtigten Interesses iSd Art. 6 Abs. 1 lit. f DSGVO im Rahmen der Reichweitenerhebung für die Website Daten (IP-Adresse, Verweildauer, Interessen anhand Leseverhaltens sowie Standortdaten und Browsertyp), wobei diese Daten der Nutzer anonymisiert würden, bevor sie gespeichert würden. Hierzu verwende die Österreichische Webanalyse (ÖWA) Cookies, die auf dem Computer der Nutzer gespeichert würden. Die beschwerdeführende Partei beabsichtige, ein gänzlich neues Cookie-Banner einführen, das (ebenfalls) sämtliche Beschwerdepunkte des Mitbeteiligten umsetzen werde. Diesbezüglich werde die beschwerdeführende Partei der Datenschutzbehörde einen entsprechenden Nachweis nach Einführung des neuen Cookie-Banners übermitteln. Ferner werde in der Stellungnahme vom 29.12.2021 nicht behauptet, dass personenbezogene Daten des Mitbeteiligten verarbeitet worden seien. Vielmehr fänden sich bloß allgemeine Ausführungen zu angeblichen Verstößen, sodass in diesem Umfang keine Aktivlegitimation des Mitbeteiligten bestehe.5. Über Aufforderung der belangten Behörde erstattete die beschwerdeführende Partei am 03.02.2022 eine ergänzende Stellungnahme, in welcher sie ausführte, ohne Einwilligung keine personenbezogenen Daten verarbeitet zu haben. Wähle der Website-Besucher den „Ablehnen-Button“ auf der ersten Ebene des Cookie-Banners, würden die auf der zweiten Ebene angeführten Cookies deaktiviert. Es finde in diesem Umfang keine Datenverarbeitung auf Grundlage eines „berechtigten Interesses“ statt. Selbiges gelte für die in der Stellungnahme vom 29.12.2021 monierten Cookies, die als „immer aktiv“ bezeichnet würden. Tatsächlich habe die beschwerdeführende Partei auch in diesem Umfang ohne Einwilligung keine personenbezogenen Daten verarbeitet. Der Hinweis „immer aktiv“ sei daher falsch und ohne irgendeine technische Auswirkung auf die Datenverarbeitung. Der Hinweis „immer aktiv“ habe von der beschwerdeführenden Partei bloß aus technischen Gründen bislang nicht entfernt werden können. Die beschwerdeführende Partei sei diesbezüglich mit dem Plattformentwickler römisch 40 in Kontakt, um eine Berichtigung der Bezeichnung zu erreichen. Im Übrigen erhebe die beschwerdeführende Partei auf Grundlage ihres zwingenden, überwiegenden berechtigten Interesses iSd Artikel 6, Absatz eins, Litera f, DSGVO im Rahmen der Reichweitenerhebung für die Website Daten (IP-Adresse, Verweildauer, Interessen anhand Leseverhaltens sowie Standortdaten und Browsertyp), wobei diese Daten der Nutzer anonymisiert würden, bevor sie gespeichert würden. Hierzu verwende die Österreichische Webanalyse (ÖWA) Cookies, die auf dem Computer der Nutzer gespeichert würden. Die beschwerdeführende Partei beabsichtige, ein gänzlich neues Cookie-Banner einführen, das (ebenfalls) sämtliche Beschwerdepunkte des Mitbeteiligten umsetzen werde. Diesbezüglich werde die beschwerdeführende Partei der Datenschutzbehörde einen entsprechenden Nachweis nach Einführung des neuen Cookie-Banners übermitteln. Ferner werde in der Stellungnahme vom 29.12.2021 nicht behauptet, dass personenbezogene Daten des Mitbeteiligten verarbeitet worden seien. Vielmehr fänden sich bloß allgemeine Ausführungen zu angeblichen Verstößen, sodass in diesem Umfang keine Aktivlegitimation des Mitbeteiligten bestehe.
Die beschwerdeführende Partei legte zudem das Datenverarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO für die verfahrensgegenständliche Website vor.Die beschwerdeführende Partei legte zudem das Datenverarbeitungsverzeichnis nach Artikel 30, Absatz eins, DSGVO für die verfahrensgegenständliche Website vor.
6. Mit Eingabe vom 30.12.2022 beantragte der Mitbeteiligte gemäß § 24 Abs. 2 Z 5 DSG iVm § 1 DSG festzustellen, dass die beschwerdeführende Partei gegen die [in der Datenschutzbeschwerde] zu jedem „Verstoßtyp“ genannten Bestimmungen verstoßen habe. 6. Mit Eingabe vom 30.12.2022 beantragte der Mitbeteiligte gemäß Paragraph 24, Absatz 2, Ziffer 5, DSG in Verbindung mit Paragraph eins, DSG festzustellen, dass die beschwerdeführende Partei gegen die [in der Datenschutzbeschwerde] zu jedem „Verstoßtyp“ genannten Bestimmungen verstoßen habe.
7. Die belangte Behörde übermittelte die Stellungnahme des Mitbeteiligten mit Schreiben vom 20.06.2023 der beschwerdeführenden Partei und forderte diese zur Stellungnahme dahingehend auf, ob in der Zwischenzeit ein neues Cookie-Banner für die verfahrensgegenständliche Website eingeführt worden sei und falls ja, welche Änderungen gemacht worden seien.
8. Die beschwerdeführende Partei erstattete am 22.08.2023 eine Stellungnahme, in welcher ausgeführt wurde, dass die beschwerdeführende Partei sich schließlich dagegen entschieden habe, ein neues Cookie-Banner einzuführen. Das aktuelle Cookie-Banner sei branchenüblich gestaltet, wie sich aus den angeschlossenen Screenshots der Cookie-Banner zahlreicher anderer österreichischer Onlinemedien ergebe.
9. Der Mitbeteiligte replizierte darauf – nachdem diesem durch die belangte Behörde Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens eingeräumt worden war – in seiner Stellungnahme vom 13.09.2023 zusammengefasst dahin, dass der beschwerdeführenden Partei sicherlich bewusst sei, dass eine branchenübliche Gestaltung keine juristische Rechtfertigung sei. Abgesehen davon seien verschiedene Typen von Einwilligungsbannern, gewöhnliche Einwilligungsbanner oder „pay-or-ok“-Lösungen in den übermittelten Screenshots sichtbar. Es scheine sohin nicht nur „einen“ Standard zu geben. Das Einwilligungsbanner der beschwerdeführenden Partei, welches in der Vergangenheit bereits einen gleichfarbigen und gleichgroßen „Ablehnen“- Button enthalten habe, verfüge leider nicht mehr über eine solche Option. Damit würden auch die in der Beschwerde bemängelten Verstöße wieder bestehen. Ergänzend sei erwähnt, dass die belangte Behörde eine „Ablehnen“-Option auf der ersten Ebene verlange.
10.1. Die belangte Behörde entschied mit Bescheid vom 14.12.2023, Zl. D124.5045 2023-0.661.011, über die Datenschutzbeschwerde des Mitbeteiligten wegen des Rechts auf Löschung und der Mitteilungspflicht im Zusammenhang mit der Löschung (A), des Antrags auf Anordnung gegen die beschwerdeführende Partei, die unrechtmäßigen Verarbeitungen zu beenden (B) und des Antrags, eine behauptete Verletzung im Recht auf Geheimhaltung festzustellen (C) wie folgt (Formatierung nicht 1:1 wiedergegeben):
„1) Die Beschwerde wird hinsichtlich Punkt A) und B) abgewiesen.
2) Die Beschwerde wird hinsichtlich Punkt C) zurückgewiesen.
3) Der Beschwerdegegnerin [beschwerdeführenden Partei] wird aufgetragen, innerhalb einer Frist von zehn Wochen das datenschutzrechtliche Ersuchen um Einwilligung (den Cookie-Banner) auf der Website XXXX (siehe Sachverhalts-feststellung C.6.) derart abzuändern, dass auf der ersten Ebene des Cookie-Banners zusätzlich zur Option „Akzeptieren“ eine optisch gleichwertige Option vorhanden ist, um den Cookie-Banner ohne Abgabe einer Einwilligung schließen zu können.“3) Der Beschwerdegegnerin [beschwerdeführenden Partei] wird aufgetragen, innerhalb einer Frist von zehn Wochen das datenschutzrechtliche Ersuchen um Einwilligung (den Cookie-Banner) auf der Website römisch 40 (siehe Sachverhalts-feststellung C.6.) derart abzuändern, dass auf der ersten Ebene des Cookie-Banners zusätzlich zur Option „Akzeptieren“ eine optisch gleichwertige Option vorhanden ist, um den Cookie-Banner ohne Abgabe einer Einwilligung schließen zu können.“
10.2. Nach Darstellung des Verfahrensganges (im Wesentlichen wie unter Punkt 1.-9. beschrieben) traf die belangte Behörde (soweit verfahrensgegenständlich relevant) folgende Sachverhaltsfeststellungen:
C.1. Mittels Cookies ließen sich Informationen sammeln, die von einer Website generiert und über den Browser eines Internetnutzers gespeichert worden seien. Es handle sich um eine kleine Datei oder Textinformation, die von einer Website über den Browser eines Internetnutzers auf der Festplatte seines Computers oder mobilen Endgeräts platziert werde. Ein Cookie erlaube es der Website, Nutzer zu identifizieren, sich die Vorlieben ihrer Kunden zu merken und ermögliche Nutzern, Aufgaben abzuschließen, ohne Informationen neu eingeben zu müssen, wenn sie zu einer anderen Seite wechseln oder die Website später erneut besuchen. Die meisten Webbrowser würden Cookies unterstützen, aber die Nutzer könnten ihre Browser so einstellen, dass sie die Cookies abweisen. Sie könnten die Cookies auch jederzeit löschen. Cookies könnten auch genutzt werden, um anhand des Online-Verhaltens Informationen für gezielte Werbung und Vermarktung zu sammeln. Unternehmen würden zum Beispiel Software verwenden, um das Nutzerverhalten nachzuverfolgen und persönliche Profile zu erstellen, die es ermöglichen, den Nutzern Werbung zu zeigen, die auf ihre zuvor durchgeführten Suchvorgänge zugeschnitten sei.
C.2. Die beschwerdeführende Partei sei Betreiberin der Website XXXX Sie treffe die Entscheidung, unter welchen Voraussetzungen welche Cookies beim Aufruf der genannten Website gesetzt oder ausgelesen würden. C.2. Die beschwerdeführende Partei sei Betreiberin der Website römisch 40 Sie treffe die Entscheidung, unter welchen Voraussetzungen welche Cookies beim Aufruf der genannten Website gesetzt oder ausgelesen würden.
C.3. Der Mitbeteiligte habe die Website zumindest am 09.04.2021 besucht.
Das Cookie-Banner habe sich am 09.04.2021 konkret wie folgt gestaltet (Formatierung nicht 1:1 wiedergegeben)
C.4. Als Folge des Besuchs der Website XXXX seien zumindest am 09.04.2021 u.a. folgende Cookies, die einen einzigartigen, zufallsgenerierten Wert (random number) beinhaltet hätten, am Endgerät des Mitbeteiligten gesetzt und ausgelesen worden. C.4. Als Folge des Besuchs der Website römisch 40 seien zumindest am 09.04.2021 u.a. folgende Cookies, die einen einzigartigen, zufallsgenerierten Wert (random number) beinhaltet hätten, am Endgerät des Mitbeteiligten gesetzt und ausgelesen worden.
…
Der Inhalt der angeführten Beilage „cookies.json“ (JSON-Datei) sei den Sachverhaltsfeststellungen zugrunde gelegt.
C.5. Die beschwerdeführende Partei speichere zum aktuellen Zeitpunkt keine Cookie-Werte, die als Folge des Besuchs unter XXXX am 09.04.2021 im Endgerät des Mitbeteiligten gesetzt und ausgelesen worden seien. C.5. Die beschwerdeführende Partei speichere zum aktuellen Zeitpunkt keine Cookie-Werte, die als Folge des Besuchs unter römisch 40 am 09.04.2021 im Endgerät des Mitbeteiligten gesetzt und ausgelesen worden seien.
Darüber hinaus speichere die beschwerdeführende Partei zum aktuellen Zeitpunkt nicht die IP-Adresse des Endgeräts des Mitbeteiligten, die als Folge desselben Besuchs – zumindest kurzfristig – in ihren Logfiles gespeichert worden sei.
Die beschwerdeführende Partei habe darüber hinaus die Empfänger der Datenübermittlung (konkret die Anbieter der Dienste, die sie auf ihrer Website implementiert habe) über die Löschung informiert.
C.6. Zum aktuellen Zeitpunkt gestalte sich das Cookie-Banner der beschwerdeführenden Partei wie folgt (Formatierung nicht 1:1 wiedergegeben):
Werde die Option „Zwecke anzeigen“ ausgewählt, erscheine folgende Schaltfläche (Formatierung nicht 1:1 wiedergegeben):
Beim erstmaligen Aufruf der Website XXXX mit leerem Browser und ohne Interaktion mit dem Cookie-Banner würden die folgenden Cookies im Endgerät bzw. Browser des Nutzers gesetzt:Beim erstmaligen Aufruf der Website römisch 40 mit leerem Browser und ohne Interaktion mit dem Cookie-Banner würden die folgenden Cookies im Endgerät bzw. Browser des Nutzers gesetzt:
…
Werde die Option „Akzeptieren“ oder „Alle zulassen ausgewählt“, würden mehrere Cookies im Endgerät bzw. Browser des Nutzers gesetzt. Es handle sich um die folgenden Cookies:
…
Rechtlich führte die belangte Behörde (soweit verfahrensgegenständlich relevant) aus, dass Verarbeitungsvorgänge eines Sachverhalts sowohl den Bestimmungen der Richtlinie 2002/58/EG idgF (e-Datenschutz-RL) bzw. dem TKG 2021 als auch der DSGVO unterliegen könnten. Während das Setzen oder Auslesen von Cookies nach den Vorgaben von Art. 5 Abs. 3 der e-Datenschutz-RL zu beurteilen sei, falle die darauffolgende Datenverarbeitung in den Anwendungsbereich der DSGVO.Rechtlich führte die belangte Behörde (soweit verfahrensgegenständlich relevant) aus, dass Verarbeitungsvorgänge eines Sachverhalts sowohl den Bestimmungen der Richtlinie 2002/58/EG idgF (e-Datenschutz-RL) bzw. dem TKG 2021 als auch der DSGVO unterliegen könnten. Während das Setzen oder Auslesen von Cookies nach den Vorgaben von Artikel 5, Absatz 3, der e-Datenschutz-RL zu beurteilen sei, falle die darauffolgende Datenverarbeitung in den Anwendungsbereich der DSGVO.
Soweit sich die beschwerdeführende Partei auf die Anwendbarkeit von § 9 Abs. 1 DSG berufe, sei ihr entgegenzuhalten, dass der nationale Gesetzgeber das sogenannte Medienprivileg nach Art. 85 DSGVO iVm § 9 Abs. 1 DSG beschränke, indem das Privileg nur Medienunternehmen oder Mediendiensten zugänglich sei, sofern personenbezogene Daten zu journalistischen Zwecken durch Medieninhaber, Herausgeber und Medienmitarbeiter oder Arbeitnehmer eines Medienunternehmens oder Mediendienstes verarbeitet würden. Inwiefern die beschwerdegegenständliche Datenverarbeitung einen „journalistischen Zweck“ iSd Judikatur des EuGH verfolgte, sei nicht ersichtlich und auch nicht nachvollziehbar dargelegt worden. Wie aus dem Sachverhalt ersichtlich und von der beschwerdeführenden Partei im Rahmen ihrer Stellungnahme vom 01.12.2021 vorgebracht, würden Cookies insbesondere für Analyse-, Marketing- und Werbezwecke gesetzt. Abgesehen davon würden Drittanbieter aufgrund der Implementierung von Cookies auf einer Website Daten von Nutzern wie dem Mitbeteiligten erhalten, die wiederum zu eigenen Zwecken verarbeitet werden könnten. Werbecookies zur Anzeige personalisierter Werbung auf einer Website eines Medienunternehmens oder die Verwaltung einer Datenbank durch ein Medienunternehmen zum Zweck des Versands von Printwerbung unterlägen nicht dem Medienprivileg. Da die Voraussetzungen des § 9 Abs. 1 DSG nicht erfüllt seien, komme das Medienprivileg für die beschwerdegegenständliche Datenverarbeitung nicht zur Anwendung. Die belangte Behörde sei für die gegenständliche Beschwerde daher zuständig, da als Folge des Setzens oder Auslesens von Cookies eine Datenweitergabe (zumindest IP-Adressen und Cookie-Werte) stattgefunden habe.Soweit sich die beschwerdeführende Partei auf die Anwendbarkeit von Paragraph 9, Absatz eins, DSG berufe, sei ihr entgegenzuhalten, dass der nationale Gesetzgeber das sogenannte Medienprivileg nach Artikel 85, DSGVO in Verbindung mit Paragraph 9, Absatz eins, DSG beschränke, indem das Privileg nur Medienunternehmen oder Mediendiensten zugänglich sei, sofern personenbezogene Daten zu journalistischen Zwecken durch Medieninhaber, Herausgeber und Medienmitarbeiter oder Arbeitnehmer eines Medienunternehmens oder Mediendienstes verarbeitet würden. Inwiefern die beschwerdegegenständliche Datenverarbeitung einen „journalistischen Zweck“ iSd Judikatur des EuGH verfolgte, sei nicht ersichtlich und auch nicht nachvollziehbar dargelegt worden. Wie aus dem Sachverhalt ersichtlich und von der beschwerdeführenden Partei im Rahmen ihrer Stellungnahme vom 01.12.2021 vorgebracht, würden Cookies insbesondere für Analyse-, Marketing- und Werbezwecke gesetzt. Abgesehen davon würden Drittanbieter aufgrund der Implementierung von Cookies auf einer Website Daten von Nutzern wie dem Mitbeteiligten erhalten, die wiederum zu eigenen Zwecken verarbeitet werden könnten. Werbecookies zur Anzeige personalisierter Werbung auf einer Website eines Medienunternehmens oder die Verwaltung einer Datenbank durch ein Medienunternehmen zum Zweck des Versands von Printwerbung unterlägen nicht dem Medienprivileg. Da die Voraussetzungen des Paragraph 9, Absatz eins, DSG nicht erfüllt seien, komme das Medienprivileg für die beschwerdegegenständliche Datenverarbeitung nicht zur Anwendung. Die belangte Behörde sei für die gegenständliche Beschwerde daher zuständig, da als Folge des Setzens oder Auslesens von Cookies eine Datenweitergabe (zumindest IP-Adressen und Cookie-Werte) stattgefunden habe.
Der sachliche Anwendungsbereich der DSGVO sei ebenso erfüllt. Die belangte Behörde habe im Fall Google Analytics – im Einklang mit der Judikatur des Europäischen Datenschutzbeauftragten (EDSB) – bereits ausgesprochen, dass Cookies, die einen einzigartigen, zufallsgenerierten Wert (random number) beinhalten und die mit dem Zweck gesetzt würden, Personen zu individualisieren und auszusondern, die Definition des Art. 4 Z 1 DSGVO erfüllten. Insbesondere könne nie ausgeschlossen werden, dass die Cookie-Werte und die IP-Adresse des Endgeräts einer Person an irgendeiner Stelle der Verarbeitungskette mit Zusatzinformationen kombiniert würden, z.B. wenn sich die betroffene Person auf einer Website mit ihrer Email-Adresse oder dem Klarnamen registriere. Diese Überlegungen könnten auf den gegenständlichen Fall übertragen werden, da als Folge des Besuchs der Website XXXX am 09.04.2021 Cookies mit einzigartigen, zufallsgenerierten Werten im Endgerät des Mitbeteiligten gesetzt und ausgelesen worden seien. In weiterer Folge seien die Cookie-Werte und IP-Adresse des Endgeräts des Mitbeteiligten auch an die Server der jeweiligen Anbieter übermittelt worden, etwa an Google, Trade Desk und Salesforce DMP.Der sachliche Anwendungsbereich der DSGVO sei ebenso erfüllt. Die belangte Behörde habe im Fall Google Analytics – im Einklang mit der Judikatur des Europäischen Datenschutzbeauftragten (EDSB) – bereits ausgesprochen, dass Cookies, die einen einzigartigen, zufallsgenerierten Wert (random number) beinhalten und die mit dem Zweck gesetzt würden, Personen zu individualisieren und auszusondern, die Definition des Artikel 4, Ziffer eins, DSGVO erfüllten. Insbesondere könne nie ausgeschlossen werden, dass die Cookie-Werte und die IP-Adresse des Endgeräts einer Person an irgendeiner Stelle der Verarbeitungskette mit Zusatzinformationen kombiniert würden, z.B. wenn sich die betroffene Person auf einer Website mit ihrer Email-Adresse oder dem Klarnamen registriere. Diese Überlegungen könnten auf den gegenständlichen Fall übertragen werden, da als Folge des Besuchs der Website römisch 40 am 09.04.2021 Cookies mit einzigartigen, zufallsgenerierten Werten im Endgerät des Mitbeteiligten gesetzt und ausgelesen worden seien. In weiterer Folge seien die Cookie-Werte und IP-Adresse des Endgeräts des Mitbeteiligten auch an die Server der jeweiligen Anbieter übermittelt worden, etwa an Google, Trade Desk und Salesforce DMP.
Die belangte Behörde verfüge gemäß Art. 58 Abs. 2 lit. d DSGVO über Abhilfebefugnisse, die es ihr gestatten, u.a. einen Verantwortlichen anzuweisen, Verarbeitungsvorgänge auf eine bestimmte Weise und innerhalb eines bestimmten Zeitraumes zu ändern bzw. durchzuführen. Es sei zulässig, dass die belangte Behörde auch im Beschwerdeverfahren von ihren in Art. 58 Abs. 2 DSGVO normierten Befugnissen amtswegig Gebrauch mache. Dies stehe auch Einklang mit der Judikatur des EuGH, wonach eine Aufsichtsbehörde verpflichtet sei, im Falle von festgestellten Unzulänglichkeiten von ihren Abhilfebefugnissen Gebrauch zu machen. Zwar sei die gegenständliche Beschwerde im Endergebnis abgewiesen worden, da u.a. die Daten des Mitbeteiligten zwischenzeitig gelöscht worden seien, dies ändere jedoch nichts daran, dass nach Ansicht der belangten Behörde das gegenständliche Cookie-Banner (bzw. konkret: das datenschutzrechtliche Ersuchen um Einwilligung) nicht den Vorgaben der DSGVO entspreche.Die belangte Behörde verfüge gemäß Artikel 58, Absatz 2, Litera d, DSGVO über Abhilfebefugnisse, die es ihr gestatten, u.a. einen Verantwortlichen anzuweisen, Verarbeitungsvorgänge auf eine bestimmte Weise und innerhalb eines bestimmten Zeitraumes zu ändern bzw. durchzuführen. Es sei zulässig, dass die belangte Behörde auch im Beschwerdeverfahren von ihren in Artikel 58, Absatz 2, DSGVO normierten Befugnissen amtswegig Gebrauch mache. Dies stehe auch Einklang mit der Judikatur des EuGH, wonach eine Aufsichtsbehörde verpflichtet sei, im Falle von festgestellten Unzulänglichkeiten von ihren Abhilfebefugnissen Gebrauch zu machen. Zwar sei die gegenständliche Beschwerde im Endergebnis abgewiesen worden, da u.a. die Daten des Mitbeteiligten zwischenzeitig gelöscht worden seien, dies ändere jedoch nichts daran, dass nach Ansicht der belangten Behörde das gegenständliche Cookie-Banner (bzw. konkret: das datenschutzrechtliche Ersuchen um Einwilligung) nicht den Vorgaben der DSGVO entspreche.
Für die Beurteilung, wie das Cookie-Banner und die Interaktionsmöglichkeiten zu verstehen seien, sei die Figur eines durchschnittlich informierten, aufmerksamen und verständigen Verbrauchers heranzuziehen.
Zur Gestaltung des Ersuchens um Einwilligung sei festzuhalten, dass die Abgabe einer Einwilligung für Cookies gemäß Art. 7 Abs. 3 DSGVO und nach der Rechtsprechung des EuGH genauso einfach sein müsse wie ihr Widerruf. Im Größenschluss müsse auch die Nichtabgabe einer Einwilligung (bzw. das Schließen des Cookie-Banners und Weitersurfen ohne Einwilligung) genauso einfach sein wie die Abgabe der Einwilligung. Für die Nichtabgabe einer Einwilligung (bzw. das Schließen des Cookie-Banners und Weitersurfen ohne Einwilligung) dürften also nicht mehr Interaktionen mit dem Cookie-Banner notwendig sein als für die Abgabe der Einwilligung. Im gegenständlichen Fall werde für den Einsatz von Cookies (und der damit verbundenen Verarbeitung personenbezogener Daten) ein Cookie-Banner als Ersuchen um Einwilligung verwendet. Konkret könnten betroffene Personen – wie der Mitbeteiligte – durch Auswahl der grünen Schaltfläche „Akzeptieren“ die Einwilligung abgeben; zur Nichtabgabe der Einwilligung müsse der (bloße) Link „Zwecke anzeigen“ und im zweiten Schritt die Schaltfläche „Alle ablehnen“ ausgewählt werden. Von betroffenen Personen könne aber nicht verlangt werden, dass sie bei einem Ersuchen um Einwilligung (einem Cookie-Banner) erst auf einer zweiten oder dritten Ebene die Entscheidung treffen könnten, keine Einwilligung abzugeben, da diesfalls nicht von einer unmissverständlichen Willensbekundung iSd Art. 4 Z 11 DSGVO ausgegangen werden könne. Insbesondere könne nicht ausgeschlossen werden, dass betroffene Personen die Option „Akzeptieren“ bloß deshalb ausgewählt hätten, weil aus ihrer Sicht keine unmittelbare Option zum „Ablehnen“ zur Verfügung gestanden habe oder, weil sie aufgrund der Gestaltung gar nicht erkannt hätten, dass eine Option „Ablehnen“ verfügbar gewesen sei. Die beschwerdeführende Partei trage nach der Rechtsprechung des EuGH für die Gültigkeit einer jeden Einwilligung zudem die Beweislast. Zusätzlich sei zu berücksichtigen, dass eine Vorgehensweise, bei welcher betroffene Personen angehalten würden, für die Nichtabgabe einer Einwilligung deutlich mehr Interaktionen durchführen zu müssen, als für die Abgabe einer Einwilligung, weder dem Grundsatz der Datenverarbeitung nach Treu und Glauben („fairly processed“) gemäß Art. 5 Abs. 1 lit. a DSGVO noch dem Grundsatz Datenschutz durch Technikgestaltung („privacy by design“) gemäß Art. 25 Abs. 1 leg. cit. entsprechen könne. Diese Ansicht entspreche im Ergebnis auch der Ansicht des EDSA. Maßgabe für eine „Ablehnen“-Option – oder eine anderweitige Option – auf erster Ebene sei darüber hinaus, dass diese aus optischer Sicht gleichwertig gestaltet sei wie die „Akzeptieren“-Option. Dies bedeute insbesondere, dass beide Optionen gleich gut wahrnehmbar sein müssten. Die in Spruchpunkt 3 genannte „gleichwertige Option“ müsse allerdings nicht notwendigerweise die Implementierung einer „Ablehnen“-Option auf erster Ebene sein. Zur Gestaltung des Ersuchens um Einwilligung sei festzuhalten, dass die Abgabe einer Einwilligung für Cookies gemäß Artikel 7, Absatz 3, DSGVO und nach der Rechtsprechung des EuGH genauso einfach sein müsse wie ihr Widerruf. Im Größenschluss müsse auch die Nichtabgabe einer Einwilligung (bzw. das Schließen des Cookie-Banners und Weitersurfen ohne Einwilligung) genauso einfach sein wie die Abgabe der Einwilligung. Für die Nichtabgabe einer Einwilligung (bzw. das Schließen des Cookie-Banners und Weitersurfen ohne Einwilligung) dürften also nicht mehr Interaktionen mit dem Cookie-Banner notwendig sein als für die Abgabe der Einwilligung. Im gegenständlichen Fall werde für den Einsatz von Cookies (und der damit verbundenen Verarbeitung personenbezogener Daten) ein Cookie-Banner als Ersuchen um Einwilligung verwendet. Konkret könnten betroffene Personen – wie der Mitbeteiligte – durch Auswahl der grünen Schaltfläche „Akzeptieren“ die Einwilligung abgeben; zur Nichtabgabe der Einwilligung müsse der (bloße) Link „Zwecke anzeigen“ und im zweiten Schritt die Schaltfläche „Alle ablehnen“ ausgewählt werden. Von betroffenen Personen könne aber nicht verlangt werden, dass sie bei einem Ersuchen um Einwilligung (einem Cookie-Banner) erst auf einer zweiten oder dritten Ebene die Entscheidung treffen könnten, keine Einwilligung abzugeben, da diesfalls nicht von einer unmissverständlichen Willensbekundung iSd Artikel 4, Ziffer 11, DSGVO ausgegangen werden könne. Insbesondere könne nicht ausgeschlossen werden, dass betroffene Personen die Option „Akzeptieren“ bloß deshalb ausgewählt hätten, weil aus ihrer Sicht keine unmittelbare Option zum „Ablehnen“ zur Verfügung gestanden habe oder, weil sie aufgrund der Gestaltung gar nicht erkannt hätten, dass eine Option „Ablehnen“ verfügbar gewesen sei. Die beschwerdeführende Partei trage nach der Rechtsprechung des EuGH für die Gültigkeit einer jeden Einwilligung zudem die Beweislast. Zusätzlich sei zu berücksichtigen, dass eine Vorgehensweise, bei welcher betroffene Personen angehalten würden, für die Nichtabgabe einer Einwilligung deutlich mehr Interaktionen durchführen zu müssen, als für die Abgabe einer Einwilligung, weder dem Grundsatz der Datenverarbeitung nach Treu und Glauben („fairly processed“) gemäß Artikel 5, Absatz eins, Litera a, DSGVO noch dem Grundsatz Datenschutz durch Technikgestaltung („privacy by design“) gemäß Artikel 25, Absatz eins, leg. cit. entsprechen könne. Diese Ansicht entspreche im Ergebnis auch der Ansicht des EDSA. Maßgabe für eine „Ablehnen“-Option – oder eine anderweitige Option – auf erster Ebene sei darüber hinaus, dass diese aus optischer Sicht gleichwertig gestaltet sei wie die „Akzeptieren“-Option. Dies bedeute insbesondere, dass beide Optionen gleich gut wahrnehmbar sein müssten. Die in Spruchpunkt 3 genannte „gleichwertige Option“ müsse allerdings nicht notwendigerweise die Implementierung einer „Ablehnen“-Option auf erster Ebene sein.
11. Gegen Spruchpunkt 3. dieses Bescheides erhob die beschwerdeführende Partei fristgerecht Beschwerde gemäß Art. 130 Abs. 1 Z 1 B-VG (Parteibeschwerde) an das Bundesverwaltungsgericht, in welcher sie Folgendes vorbrachte:11. Gegen Spruchpunkt 3. dieses Bescheides erhob die beschwerdeführende Partei fristgerecht Beschwerde gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG (Parteibeschwerde) an das Bundesverwaltungsgericht, in welcher sie Folgendes vorbrachte:
Der Widerruf einer bereits erteilten Einwilligung (sowie der Widerspruch gemäß Art. 21 DSGVO) sei auf der Website jederzeit über ein dauerhaft sichtbares „schwebendes Icon“ möglich, mit dem die Nutzer zu ihren Datenschutzeinstellungen zurückkehren und die erteilte Einwilligung auf einfache Weise widerrufen und/oder Widerspruch ausüben könnten. Die Nutzer würden auf dieses Symbol und auf die Möglichkeit der Nichterteilung einer Einwilligun
