Entscheidungsgründe:
I. Verfahrensgang:römisch eins. Verfahrensgang:
1. Die Beschwerdeführer beantragten am 23.05.2018 bei der Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) als Interessenvertreter von XXXX die Genehmigung von Verhaltensregeln gemäß Art. 40 Abs. 5 DSGVO. Nach den Ausführungen der Beschwerdeführer sollen diese Verhaltensregeln dem Zweck dienen, zur ordnungsgemäßen Anwendung der DSGVO im Bereich der XXXX in Bezug auf alle XXXX beizutragen, indem sie die Anwendung der DSGVO im Hinblick auf branchenspezifische Verarbeitungstätigkeiten konkretisieren. Sie sind auf Unternehmen, die XXXX sind und die ihr Hauptverarbeitungsgebiet in Österreich haben […] in Bezug auf die Verarbeitung personenbezogener Daten für Zwecke ihrer XXXX hinsichtlich ihrer Verarbeitungstätigkeit in Österreich anwendbar. Für Verarbeitungstätigkeiten für journalistische Zwecke soll ausschließlich Teil XXXX ) Anwendung finden. Die Verhaltensregeln (Fassung vom XXXX ) gliedern sich in folgende Bereiche:1. Die Beschwerdeführer beantragten am 23.05.2018 bei der Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) als Interessenvertreter von römisch XXXX die Genehmigung von Verhaltensregeln gemäß Artikel 40, Absatz 5, DSGVO. Nach den Ausführungen der Beschwerdeführer sollen diese Verhaltensregeln dem Zweck dienen, zur ordnungsgemäßen Anwendung der DSGVO im Bereich der römisch XXXX in Bezug auf alle römisch XXXX beizutragen, indem sie die Anwendung der DSGVO im Hinblick auf branchenspezifische Verarbeitungstätigkeiten konkretisieren. Sie sind auf Unternehmen, die römisch XXXX sind und die ihr Hauptverarbeitungsgebiet in Österreich haben […] in Bezug auf die Verarbeitung personenbezogener Daten für Zwecke ihrer römisch XXXX hinsichtlich ihrer Verarbeitungstätigkeit in Österreich anwendbar. Für Verarbeitungstätigkeiten für journalistische Zwecke soll ausschließlich Teil römisch XXXX ) Anwendung finden. Die Verhaltensregeln (Fassung vom römisch XXXX ) gliedern sich in folgende Bereiche:
XXXX römisch XXXX
2. Mit Schreiben vom 20.06.2018 gab die belangte Behörde eine erste Stellungnahme zu dem vorgelegten Entwurf idF 23.05.2018 ab.2. Mit Schreiben vom 20.06.2018 gab die belangte Behörde eine erste Stellungnahme zu dem vorgelegten Entwurf in der Fassung 23.05.2018 ab.
3. In weiterer Folge wurde unter Berücksichtigung der Anregungen der belangten Behörde ein weiterer Entwurf idF 11.09.2018 vorgelegt.3. In weiterer Folge wurde unter Berücksichtigung der Anregungen der belangten Behörde ein weiterer Entwurf in der Fassung 11.09.2018 vorgelegt.
4. Am 20.11.2018 wurde bei der belangten Behörde eine mündliche Verhandlung durchgeführt, in deren Rahmen der Entwurf idF 11.09.2018 er erörtert wurde. 4. Am 20.11.2018 wurde bei der belangten Behörde eine mündliche Verhandlung durchgeführt, in deren Rahmen der Entwurf in der Fassung 11.09.2018 er erörtert wurde.
5. In weiterer Folge wurde, unter Berücksichtigung der Ergebnisse der mündlichen Verhandlung vom 20.11.2018, ein Entwurf idF 09.01.2019 durch die Beschwerdeführer vorgelegt.5. In weiterer Folge wurde, unter Berücksichtigung der Ergebnisse der mündlichen Verhandlung vom 20.11.2018, ein Entwurf in der Fassung 09.01.2019 durch die Beschwerdeführer vorgelegt.
6. Nach telefonischer Kontaktaufnahme seitens der belangten Behörde und Erörterung des Entwurfs idF 09.01.2019 im Rahmen Förderpflicht gemäß Art. 57 Abs. 1 lit. m DSGVO wurde ein überarbeiteter Entwurf idF 11.03.2019 vorgelegt.6. Nach telefonischer Kontaktaufnahme seitens der belangten Behörde und Erörterung des Entwurfs in der Fassung 09.01.2019 im Rahmen Förderpflicht gemäß Artikel 57, Absatz eins, Litera m, DSGVO wurde ein überarbeiteter Entwurf in der Fassung 11.03.2019 vorgelegt.
7. Nach nochmaliger telefonischer Kontaktaufnahme seitens der belangten Behörde und Erörterung des Entwurfs idF 11.03.2019 wurde ein letzter Entwurf idF XXXX durch die Beschwerdeführer vorgelegt. 7. Nach nochmaliger telefonischer Kontaktaufnahme seitens der belangten Behörde und Erörterung des Entwurfs in der Fassung 11.03.2019 wurde ein letzter Entwurf in der Fassung römisch XXXX durch die Beschwerdeführer vorgelegt.
8. Mit Bescheid der belangten Behörde vom 06.08.2019 wurde der Antrag der Beschwerdeführer teilweise genehmigt (erster Spruchpunkt 1.), hinsichtlich einzelner Spruchpunkte abgewiesen (zweiter Spruchpunkt 1.) bzw. mit geänderter Formulierung erteilt (Spruchpunkt 2. und 3.), die Genehmigung gemäß (erstem) Spruchpunkt 1. unter der Bedingung erteilt, dass die zur Überwachung der vorgelegten Verhaltensregeln vorgesehen Überwachungsstelle (VAVD) im Sinne von Art. 41 Abs. 1 und 2 DSGVO akkreditiert werde (Spruchpunkt 4.) sowie die Beschwerdeführerinnen verpflichtet, eine Verwaltungsabgabe zu entrichten (Spruchpunkt 5.).8. Mit Bescheid der belangten Behörde vom 06.08.2019 wurde der Antrag der Beschwerdeführer teilweise genehmigt (erster Spruchpunkt 1.), hinsichtlich einzelner Spruchpunkte abgewiesen (zweiter Spruchpunkt 1.) bzw. mit geänderter Formulierung erteilt (Spruchpunkt 2. und 3.), die Genehmigung gemäß (erstem) Spruchpunkt 1. unter der Bedingung erteilt, dass die zur Überwachung der vorgelegten Verhaltensregeln vorgesehen Überwachungsstelle (VAVD) im Sinne von Artikel 41, Absatz eins und 2 DSGVO akkreditiert werde (Spruchpunkt 4.) sowie die Beschwerdeführerinnen verpflichtet, eine Verwaltungsabgabe zu entrichten (Spruchpunkt 5.).
Begründend wurde zunächst ausgeführt, dass die belangte Behörde gemäß § 18 Abs. 1 DSG als nationale Aufsichtsbehörde im Sinne des Art. 51 DSGVO eingerichtet und daher gemäß Art. 40 Abs. 5 in Verbindung mit Art. 57 Abs. 1 lit. m in Verbindung mit Art. 58 Abs. 3 lit. d DSGVO für die Genehmigung von Verhaltensregeln zuständig sei. Begründend wurde zunächst ausgeführt, dass die belangte Behörde gemäß Paragraph 18, Absatz eins, DSG als nationale Aufsichtsbehörde im Sinne des Artikel 51, DSGVO eingerichtet und daher gemäß Artikel 40, Absatz 5, in Verbindung mit Artikel 57, Absatz eins, Litera m, in Verbindung mit Artikel 58, Absatz 3, Litera d, DSGVO für die Genehmigung von Verhaltensregeln zuständig sei.
Aus Art. 40 Abs. 2 DS-GVO gehe hervor, dass „Verbände“ und „andere Vereinigungen“, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten würden, Verhaltensregeln auf freiwilliger Basis ausarbeiten könnten, wobei der Begriff „Verbände“ als die „maßgeblichen Interessensträger“ für die von diesen Verhaltensregeln betroffenen Branchenangehörigen zu verstehen sei. Im vorliegenden Fall handle es sich bei der Erstbeschwerdeführerin um eine Interessenvertretung von XXXX und bei der Zweitbeschwerdeführerin um die Berufs- und Standesorganisation der XXXX . Die Beschwerdeführer besäßen daher zweifelsfrei Repräsentationsrelevanz und seien daher legitimiert, gemeinsam einen entsprechenden Antrag auf Genehmigung von Verhaltensregeln zu stellen. Weiters begründete die belangte Behörde die Nichtgenehmigung einzelner Punkte der zur Genehmigung vorgelegten Verhaltensregeln.Aus Artikel 40, Absatz 2, DS-GVO gehe hervor, dass „Verbände“ und „andere Vereinigungen“, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten würden, Verhaltensregeln auf freiwilliger Basis ausarbeiten könnten, wobei der Begriff „Verbände“ als die „maßgeblichen Interessensträger“ für die von diesen Verhaltensregeln betroffenen Branchenangehörigen zu verstehen sei. Im vorliegenden Fall handle es sich bei der Erstbeschwerdeführerin um eine Interessenvertretung von römisch XXXX und bei der Zweitbeschwerdeführerin um die Berufs- und Standesorganisation der römisch XXXX . Die Beschwerdeführer besäßen daher zweifelsfrei Repräsentationsrelevanz und seien daher legitimiert, gemeinsam einen entsprechenden Antrag auf Genehmigung von Verhaltensregeln zu stellen. Weiters begründete die belangte Behörde die Nichtgenehmigung einzelner Punkte der zur Genehmigung vorgelegten Verhaltensregeln.
9. Gegen den zweiten Spruchpunkt 1. und Spruchpunkt 2. dieses Bescheides erhoben die Beschwerdeführer fristgerecht Beschwerde an das Bundesverwaltungsgericht und führten unter Bezugnahme auf die DSGVO und die ePrivacy-Richtlinie aus, dass die teilweise Nichtgenehmigung rechtswidrig erfolgt sei. Beantragt wurde die Aufhebung des zweiten Spruchpunktes 1. und des Spruchpunktes 2. Weiters wurde die Einholung einer Vorabentscheidung durch den Europäischen Gerichtshof im Zusammenhang mit der Freiwilligkeit einer datenschutzrechtlichen Einwilligung im Sinne des Art. 4 Z 1, 7 Abs. 4 DSGVO sowie der Begrifflichkeit „unbedingt erforderlich“ in Art. 5 Abs. 3 der Richtlinie 2002/58/EG in der durch Richtlinie 2009/136/EG geänderten Fassung angeregt.9. Gegen den zweiten Spruchpunkt 1. und Spruchpunkt 2. dieses Bescheides erhoben die Beschwerdeführer fristgerecht Beschwerde an das Bundesverwaltungsgericht und führten unter Bezugnahme auf die DSGVO und die ePrivacy-Richtlinie aus, dass die teilweise Nichtgenehmigung rechtswidrig erfolgt sei. Beantragt wurde die Aufhebung des zweiten Spruchpunktes 1. und des Spruchpunktes 2. Weiters wurde die Einholung einer Vorabentscheidung durch den Europäischen Gerichtshof im Zusammenhang mit der Freiwilligkeit einer datenschutzrechtlichen Einwilligung im Sinne des Artikel 4, Ziffer eins,, 7 Absatz 4, DSGVO sowie der Begrifflichkeit „unbedingt erforderlich“ in Artikel 5, Absatz 3, der Richtlinie 2002/58/EG in der durch Richtlinie 2009/136/EG geänderten Fassung angeregt.
10. Die belangte Behörde machte von Möglichkeit einer Beschwerdevorentscheidung nicht Gebrauch, legte die Beschwerde samt den bezughabenden Verwaltungsunterlagen dem Bundesverwaltungsgericht zur Entscheidung vor und gab eine Stellungnahme dahingehend ab, dass es in der Natur von branchenspezifischen Verhaltensregeln liege, dass sich diese nicht auf eine konkrete Situation bezögen, sondern allgemeine Geltung für jede Kategorien von Verantwortlichen oder Auftragsverarbeitern besäßen, welche sich den Verhaltensregeln unterworfen hätten. Verhaltensregeln müssten daher einen ausreichenden Präzisierungsgrad aufweisen, um allgemein auf die Situation von Rechtsunterworfenen Anwendung finden zu können. Umgekehrt könne die belangte Behörde gewisse Aspekte von Verhaltensregeln nicht genehmigen, die zu viel Interpretationsspielraum und Unklarheiten offenließen bzw. die im Widerspruch zur DSGVO stünden. Des Weiteren wurde in dieser Stellungnahme auf einzelne Punkte der Beschwerde eingegangen. Diese Stellungnahme wurde den Beschwerdeführern zur Kenntnis und allfälligen Stellungnahme übermittelt.
11. Die Beschwerdeführer nahmen dazu mit Schreiben vom 10.03.2020 Stellung. Es sei festzuhalten, dass die von der belangten Behörde zur Rechtfertigung der Abweisung der Verhaltensregeln in den Punkten XXXX und XXXX herangezogenen EDSA-Leitlinien 1/2019 im Zeitpunkt der Einreichung der Verhaltensregeln zur Genehmigung noch nicht erlassen waren. Weiters sei der Ansicht der belangten Behörde entgegenzutreten, dass Verhaltensregeln nur Präzisierungen dazu treffen dürfen, was eine rechtlich zulässige Verarbeitungstätigkeit sei. Die Regel XXXX würde den Vorgaben der EDSA-Leitlinien 1/2019 entsprechen. Eine weitergehende Präzisierung, wie von der Behörde gefordert, sei nicht erforderlich und letztlich auch nicht möglich.11. Die Beschwerdeführer nahmen dazu mit Schreiben vom 10.03.2020 Stellung. Es sei festzuhalten, dass die von der belangten Behörde zur Rechtfertigung der Abweisung der Verhaltensregeln in den Punkten römisch XXXX und römisch XXXX herangezogenen EDSA-Leitlinien 1/2019 im Zeitpunkt der Einreichung der Verhaltensregeln zur Genehmigung noch nicht erlassen waren. Weiters sei der Ansicht der belangten Behörde entgegenzutreten, dass Verhaltensregeln nur Präzisierungen dazu treffen dürfen, was eine rechtlich zulässige Verarbeitungstätigkeit sei. Die Regel römisch XXXX würde den Vorgaben der EDSA-Leitlinien 1/2019 entsprechen. Eine weitergehende Präzisierung, wie von der Behörde gefordert, sei nicht erforderlich und letztlich auch nicht möglich.
Zu XXXX . (Tracking-Cookies bei XXXX ) merkten die Beschwerdeführer an, dass die belangte Behörde inhaltlich gar nicht auf diesen Punkt eingegangen sei. Bei den Ausführungen zu XXXX (Tracking-Cookies bei Gratisangeboten) scheine die belangte Behörde in ihrer Argumentation der Erforderlichkeit im Sinne des Art. 7 Abs. 4 DSGVO mit der unbedingten Erforderlichkeit des Art. 5 Abs. 3 ePrivacy-Richtlinie bzw. § 96 Abs. 3 TKG zu vermengen. Die Beschwerdeführer legten erneut ihrem rechtlichen Standpunkt zu dieser Regelung dar und verwiesen auf einen Erwägungsgrund in einem Entwurf der finnischen Ratspräsidentschaft zur ePrivacy-Verordnung. Weiters wiederholten die Beschwerdeführer im Wesentlichen ihre Argumentation betreffend Punkt XXXX .Zu römisch XXXX . (Tracking-Cookies bei römisch XXXX ) merkten die Beschwerdeführer an, dass die belangte Behörde inhaltlich gar nicht auf diesen Punkt eingegangen sei. Bei den Ausführungen zu römisch XXXX (Tracking-Cookies bei Gratisangeboten) scheine die belangte Behörde in ihrer Argumentation der Erforderlichkeit im Sinne des Artikel 7, Absatz 4, DSGVO mit der unbedingten Erforderlichkeit des Artikel 5, Absatz 3, ePrivacy-Richtlinie bzw. Paragraph 96, Absatz 3, TKG zu vermengen. Die Beschwerdeführer legten erneut ihrem rechtlichen Standpunkt zu dieser Regelung dar und verwiesen auf einen Erwägungsgrund in einem Entwurf der finnischen Ratspräsidentschaft zur ePrivacy-Verordnung. Weiters wiederholten die Beschwerdeführer im Wesentlichen ihre Argumentation betreffend Punkt römisch XXXX .
II. Das Bundesverwaltungsgericht hat erwogen: römisch II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
Der unter Punkt I. dargelegte Verfahrensgang und die vorgelegten Verhaltensregeln vom 24.04.2019 werden den Sachverhaltsfeststellungen zugrunde gelegt.Der unter Punkt römisch eins. dargelegte Verfahrensgang und die vorgelegten Verhaltensregeln vom 24.04.2019 werden den Sachverhaltsfeststellungen zugrunde gelegt.
Die Beschwerdeführer beantragten mit Schreiben vom 23.05.2018 bei der belangten Behörde die Genehmigung von Datenschutz-Verhaltensregeln XXXX . Dazu erging eine Stellungnahme der belangten Behörde.Die Beschwerdeführer beantragten mit Schreiben vom 23.05.2018 bei der belangten Behörde die Genehmigung von Datenschutz-Verhaltensregeln römisch XXXX . Dazu erging eine Stellungnahme der belangten Behörde.
Der belangten Behörde wurde von den Beschwerdeführern daraufhin ein überarbeiteter Entwurf in der Fassung vom 11.09.2018 vorgelegt.
Am 20.11.2018 fand zur Erörterung der Verhaltensregeln eine mündliche Verhandlung bei der belangten Behörde statt.
Daraufhin wurde in überarbeiteter Entwurf vom 09.01.2019 vorgelegt. Nach telefonischer Kontaktaufnahme seitens der belangten Behörde und Erörterung des Entwurfs wurde ein weiterer überarbeiteter Entwurf vom 11.03.2019 vorgelegt.
Nach einer weiteren telefonischen Kontaktaufnahme und Erörterung seitens der belangten Behörde wurde der gegenständliche Entwurf idF vom XXXX vorgelegt. Dem Antrag auf Genehmigung wurde von der belangten Behörde größtenteils stattgegeben; hinsichtlich der Punkte XXXX wurde der Antrag abgewiesen (zweiter Spruchpunkt 1.). Punkt XXXX . wurde mit der Maßgabe einer bestimmten Modifizierung genehmigt (Spruchpunkt 2. des Bescheides).Nach einer weiteren telefonischen Kontaktaufnahme und Erörterung seitens der belangten Behörde wurde der gegenständliche Entwurf in der Fassung vom römisch XXXX vorgelegt. Dem Antrag auf Genehmigung wurde von der belangten Behörde größtenteils stattgegeben; hinsichtlich der Punkte römisch XXXX wurde der Antrag abgewiesen (zweiter Spruchpunkt 1.). Punkt römisch XXXX . wurde mit der Maßgabe einer bestimmten Modifizierung genehmigt (Spruchpunkt 2. des Bescheides).
Die Beschwerdeführer erhoben gegen den zweiten Spruchpunkt 1. (der nunmehr als „2.“ zu bezeichnen sei) und gegen Spruchpunkt 2. (der nunmehr als „3.“ zu bezeichnen sei) fristgerecht Beschwerde an das Bundesverwaltungsgericht.
2. Beweiswürdigung:
Diese Feststellungen ergeben sich aus dem Verwaltungsakt und dem gegenständlichen Gerichtsakt und sind unstrittig. Soweit Darstellungen über den Inhalt angeblicher Gespräche zwischen dem Rechtsvertreter der Beschwerdeführer mit einem Sachbearbeiter der belangten Behörde strittig sind, sind diese für den hier relevanten Sachverhalt unerheblich. Strittig sind allerdings einige Rechtsfragen.
3. Rechtliche Beurteilung:
3.1. Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß § 27 Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer. 3.1. Gemäß Paragraph 6, BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß Paragraph 27, Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß Paragraph 24, Absatz 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.
Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I 2013/33 idF BGBl. I 2013/122, geregelt (§ 1 leg.cit.). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft. Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. römisch eins 2013/33 in der Fassung BGBl. römisch eins 2013/122, geregelt (Paragraph eins, leg.cit.). Gemäß Paragraph 58, Absatz 2, VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.
Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.Gemäß Paragraph 17, VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Artikel 130, Absatz eins, B-VG die Bestimmungen des AVG mit Ausnahme der Paragraphen eins bis 5 sowie des römisch IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, Bundesgesetzblatt Nr. 194 aus 1961,, des Agrarverfahrensgesetzes – AgrVG, Bundesgesetzblatt Nr. 173 aus 1950,, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, Bundesgesetzblatt Nr. 29 aus 1984,, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.
Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist. Gemäß Paragraph 28, Absatz eins, VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß Paragraph 31, Absatz eins, VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.
Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Art. 130 Abs. 1 Z 1 B-VG dann in der Sache selbst zu entscheiden, wenn (1.) der maßgebliche Sachverhalt feststeht oder (2.) die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist. Gemäß Paragraph 28, Absatz 2, VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG dann in der Sache selbst zu entscheiden, wenn (1.) der maßgebliche Sachverhalt feststeht oder (2.) die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.
3.2. Rechtslage:
Die belangte Behörde hat ihrem Bescheid die folgenden Rechtsgrundlagen zugrunde gelegt: Art. 40, Art. 41; Art. 51 Abs. 1, Art. 57 Abs. 1 lit. m und Art. 58 Abs. 3 lit. d der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung), ABl L 2016/119, 1 (im Folgenden: DSGVO), § 18 Abs. 1 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF, § 78 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 (AVG), BGBl. Nr. 51/1991 idgF, iVm §§ 1, 3 Abs. 1 und TP 1 der Bundesverwaltungsabgabenverordnung 1983 (BVwAbgV), BGBl. Nr. 24 idgF.Die belangte Behörde hat ihrem Bescheid die folgenden Rechtsgrundlagen zugrunde gelegt: Artikel 40,, Artikel 41 ;, Artikel 51, Absatz eins,, Artikel 57, Absatz eins, Litera m und Artikel 58, Absatz 3, Litera d, der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung), ABl L 2016/119, 1 (im Folgenden: DSGVO), Paragraph 18, Absatz eins, des Datenschutzgesetzes (DSG), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF, Paragraph 78, des Allgemeinen Verwaltungsverfahrensgesetzes 1991 (AVG), Bundesgesetzblatt Nr. 51 aus 1991, idgF, in Verbindung mit Paragraphen eins,, 3 Absatz eins und TP 1 der Bundesverwaltungsabgabenverordnung 1983 (BVwAbgV), Bundesgesetzblatt Nr. 24 idgF.
Diese Bestimmungen sind – mit Ausnahme von Art. 41 DSGVO, der sich auf eine unabhängige Überwachungsstelle bezieht, die akkreditiert werden kann, und den abgabenrechtlichen Regelungen, die hier nicht mehr relevant sind, da die Genehmigung unter der Bedingung der Akkreditierung der Überwachungsstelle und die Verpflichtung der Zahlung von Abgaben nicht angefochten wurde – auch im gegenständlichen Beschwerdeverfahren vor dem Bundesverwaltungsgericht heranzuziehen. Darüber hinaus ist auch § 1 Abs. 1 und 2 DSG von Relevanz. Überdies ist auch § 9 Abs. 1 DSG in die rechtlichen Erwägungen einzubeziehen.Diese Bestimmungen sind – mit Ausnahme von Artikel 41, DSGVO, der sich auf eine unabhängige Überwachungsstelle bezieht, die akkreditiert werden kann, und den abgabenrechtlichen Regelungen, die hier nicht mehr relevant sind, da die Genehmigung unter der Bedingung der Akkreditierung der Überwachungsstelle und die Verpflichtung der Zahlung von Abgaben nicht angefochten wurde – auch im gegenständlichen Beschwerdeverfahren vor dem Bundesverwaltungsgericht heranzuziehen. Darüber hinaus ist auch Paragraph eins, Absatz eins und 2 DSG von Relevanz. Überdies ist auch Paragraph 9, Absatz eins, DSG in die rechtlichen Erwägungen einzubeziehen.
Art. 7 DSGVO lautet:Artikel 7, DSGVO lautet:
„Artikel 7
Bedingungen für die Einwilligung
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind“.
Erwägungsgrund 43 DSGVO lautet:
„(43) Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern. Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“
Art. 40 DSGVO lautet:Artikel 40, DSGVO lautet:
„Artikel 40
Verhaltensregeln
(1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen.
(2) Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung dieser Verordnung beispielsweise zu dem Folgenden präzisiert wird:
a) | faire und transparente Verarbeitung; |
| |
b) | die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen; |
| |
c) | Erhebung personenbezogener Daten; |
| |
d) | Pseudonymisierung personenbezogener Daten; |
| |
e) | Unterrichtung der Öffentlichkeit und der betroffenen Personen; |
| |
f) | Ausübung der Rechte betroffener Personen; |
| |
g) | Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist; |
| |
h) | die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32; |
| |
i) | die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten; |
| |
j) | die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder |
| |
k) | außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gemäß den Artikeln 77 und 79. |
| |
(3) Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können Verhaltensregeln, die gemäß Absatz 5 des vorliegenden Artikels genehmigt wurden und gemäß Absatz 9 des vorliegenden Artikels allgemeine Gültigkeit besitzen, können auch von Verantwortlichen oder Auftragsverarbeitern, die gemäß Artikel 3 nicht unter diese Verordnung fallen, eingehalten werden, um geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe des Artikels 46 Absatz 2 Buchstabe e zu bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, die geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
(4) Die Verhaltensregeln gemäß Absatz 2 des vorliegenden Artikels müssen Verfahren vorsehen, die es der in Artikel 41 Absatz 1 genannten Stelle ermöglichen, die obligatorische Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten, vorzunehmen, unbeschadet der Aufgaben und Befugnisse der Aufsichtsbehörde, die nach Artikel 55 oder 56 zuständig ist.
(5) Verbände und andere Vereinigungen gemäß Absatz 2 des vorliegenden Artikels, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor, die nach Artikel 55 zuständig ist. Die Aufsichtsbehörde gibt eine Stellungnahme darüber ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet.
(6) Wird durch die Stellungnahme nach Absatz 5 der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung genehmigt und beziehen sich die betreffenden Verhaltensregeln nicht auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so nimmt die Aufsichtsbehörde die Verhaltensregeln in ein Verzeichnis auf und veröffentlicht sie.
(7) Bezieht sich der Entwurf der Verhaltensregeln auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so legt die nach Artikel 55 zuständige Aufsichtsbehörde — bevor sie den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung genehmigt — ihn nach dem Verfahren gemäß Artikel 63 dem Ausschuss vor, der zu der Frage Stellung nimmt, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder — im Fall nach Absatz 3 dieses Artikels — geeignete Garantien vorsieht.
(8) Wird durch die Stellungnahme nach Absatz 7 bestätigt, dass der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder — im Fall nach Absatz 3 — geeignete Garantien vorsieht, so übermittelt der Ausschuss seine Stellungnahme der Kommission.
(9) Die Kommission kann im Wege von Durchführungsrechtsakten beschließen, dass die ihr gemäß Absatz 8 übermittelten genehmigten Verhaltensregeln bzw. deren genehmigte Änderung oder Erweiterung allgemeine Gültigkeit in der Union besitzen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
(10) Die Kommission trägt dafür Sorge, dass die genehmigten Verhaltensregeln, denen gemäß Absatz 9 allgemeine Gültigkeit zuerkannt wurde, in geeigneter Weise veröffentlicht werden.
(11) Der Ausschuss nimmt alle genehmigten Verhaltensregeln bzw. deren genehmigte Änderungen oder Erweiterungen in ein Register auf und veröffentlicht sie in geeigneter Weise.
Art. 51 Abs. 1 DSGVO lautet:Artikel 51, Absatz eins, DSGVO lautet:
„Artikel 51
Aufsichtsbehörde
(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden „Aufsichtsbehörde“).“
Art. 57 Abs. 1 DSGVO lautet: Artikel 57, Absatz eins, DSGVO lautet:
„Artikel 57
Aufgaben
(1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
a) bis l) […]
n) bis v) […]“
Art. 58 Abs. 3 DSGVO lautet:Artikel 58, Absatz 3, DSGVO lautet:
„Art. 58
Befugnisse
(3) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Genehmigungsbefugnisse und beratenden Befugnisse, die es ihr gestatten,
s) bis c) […]
d) | eine Stellungnahme abzugeben und Entwürfe von Verhaltensregeln gemäß Artikel 40 Absatz 5 zu billigen, |
| |
e) bis j) […]“
§ 1 Abs. 1 und 2 DSG lauten:Paragraph eins, Absatz eins und 2 DSG lauten:
„§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.“(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Artikel 8, Absatz 2, der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), Bundesgesetzblatt Nr. 210 aus 1958,, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.“
§ 9 Abs. 1 DSG lautet:Paragraph 9, Absatz eins, DSG lautet:
„Freiheit der Meinungsäußerung und Informationsfreiheit
§ 9. (1) Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes – MedienG, BGBl. Nr. 314/1981, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes finden die Bestimmungen dieses Bundesgesetzes sowie von der DSGVO die Kapitel II (Grundsätze), III (Rechte der betroffenen Person), IV (Verantwortlicher und Auftragsverarbeiter), V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), VI (Unabhängige Aufsichtsbehörden), VII (Zusammenarbeit und Kohärenz) und IX (Vorschriften für besondere Verarbeitungssituationen) keine Anwendung. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses (§ 31 MedienG) zu beachten.“Paragraph 9, (1) Auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes – MedienG, Bundesgesetzblatt Nr. 314 aus 1981,, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes finden die Bestimmungen dieses Bundesgesetzes sowie von der DSGVO die Kapitel römisch II (Grundsätze), römisch III (Rechte der betroffenen Person), römisch IV (Verantwortlicher und Auftragsverarbeiter), römisch fünf (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), römisch VI (Unabhängige Aufsichtsbehörden), römisch VII (Zusammenarbeit und Kohärenz) und römisch IX (Vorschriften für besondere Verarbeitungssituationen) keine Anwendung. Die Datenschutzbehörde hat bei Ausübung ihrer Befugnisse gegenüber den im ersten Satz genannten Personen den Schutz des Redaktionsgeheimnisses (Paragraph 31, MedienG) zu beachten.“
Art. 5 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 (ABl. 2009, L 337, S. 11) geänderten Fassung (im Folgenden: Richtlinie 2002/58) lautet:Artikel 5, Absatz 3, der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 (ABl. 2009, L 337, S. 11) geänderten Fassung (im Folgenden: Richtlinie 2002/58) lautet:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie [95/46] u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
ErwGr 66 der RL 2009/136/EG lautet:
„Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie [95/46] über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.“
§ 96 Abs. 3 TKG 2003 lautet:Paragraph 96, Absatz 3, TKG 2003 lautet:
„(3) Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er verarbeiten wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Der Teilnehmer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen. Das Auskunftsrecht nach dem Datenschutzgesetz und der DSGVO bleibt unberührt.“„(3) Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des Paragraph 3, Ziffer eins, E-Commerce-Gesetz, Bundesgesetzblatt Teil eins, Nr. 152 aus 2001,, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er verarbeiten wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Der Teilnehmer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen. Das Auskunftsrecht nach dem Datenschutzgesetz und der DSGVO bleibt unberührt.“
3.3. Umgelegt auf den gegenständlichen Fall bedeutet dies Folgendes:
Allgemeines:
Die vorgelegten Verhaltensregeln enthalten Regelungen, die einerseits die Verarbeitung von Daten durch XXXX zu journalistischen Zwecken (Abschnitt XXXX ), andererseits die Verwendungen für andere Zwecke, etwa für XXXX oder der XXXX betreffen.Die vorgelegten Verhaltensregeln enthalten Regelungen, die einerseits die Verarbeitung von Daten durch römisch XXXX zu journalistischen Zwecken (Abschnitt römisch XXXX ), andererseits die Verwendungen für andere Zwecke, etwa für römisch XXXX oder der römisch XXXX betreffen.
Es fällt auf, dass Abschnitt XXXX von der belangten Behörde genehmigt wurde, obwohl § 9 Abs. 1 DSG (so genanntes „Medienprivileg“) in den dort vorgesehenen weiten Ausnahmen von der DSGVO auch das gesamte Kapitel IV, in dem sich auch Art. 40 (Verhaltensregeln) befindet, vom Anwendungsbereich ausnimmt. Da § 9 Abs. 1 DSG (entgegen einer früheren Fassung im Datenschutz-Anpassungsgesetz 2018) die Ausnahmen (durch die Streichung der Passage „soweit erforderlich“) nicht mehr relativiert und eine Interessenabwägung im Sinne der Erforderlichkeit der Ausnahme nicht mehr zulässt, stellt sich die Frage, inwieweit die Erlassung von Verhaltensregeln im Bereich der Datenverarbeitungen für journalistische Zwecke überhaupt rechtlich zulässig wäre bzw. inwieweit die Regelung des § 9 unionsrechtswidrig ist, da keinerlei sachlicher Grund erkennbar ist, dass für den journalistischen Bereich keine Verhaltensregeln erlassen werden können. Die belangte Behörde hat als Rechtsgrundlage für ihre Genehmigung § 9 DSG gar nicht erwähnt und dies auch nicht näher erläutert. Es ist unklar, ob die belangte Behörde von einer Nichtanwendung des § 9 DSG (zumindest bezüglicher dieser Ausnahme) aufgrund offenkundiger Unionsrechtswidrigkeit ausgeht. Da das Kapitel A aber genehmigt wurde und somit für das Bundesverwaltungsgericht nicht beschwerdegegenständlich ist, erübrigen sich im konkreten Fall weitere Erwägungen zu einer Unionrechtswidrigkeit des § 9 Abs. 1 DSG. Es fällt auf, dass Abschnitt römisch XXXX von der belangten Behörde genehmigt wurde, obwohl Paragraph 9, Absatz eins, DSG (so genanntes „Medienprivileg“) in den dort vorgesehenen weiten Ausnahmen von der DSGVO auch das gesamte Kapitel römisch IV, in dem sich auch Artikel 40, (Verhaltensregeln) befindet, vom Anwendungsbereich ausnimmt. Da Paragraph 9, Absatz eins, DSG (entgegen einer früheren Fassung im Datenschutz-Anpassungsgesetz 2018) die Ausnahmen (durch die Streichung der Passage „soweit erforderlich“) nicht mehr relativiert und eine Interessenabwägung im Sinne der Erforderlichkeit der Ausnahme nicht mehr zulässt, stellt sich die Frage, inwieweit die Erlassung von Verhaltensregeln im Bereich der Datenverarbeitungen für journalistische Zwecke überhaupt rechtlich zulässig wäre bzw. inwieweit die Regelung des Paragraph 9, unionsrechtswidrig ist, da keinerlei sachlicher Grund erkennbar ist, dass für den journalistischen Bereich keine Verhaltensregeln erlassen werden können. Die belangte Behörde hat als Rechtsgrundlage für ihre Genehmigung Paragraph 9, DSG gar nicht erwähnt und dies auch nicht näher erläutert. Es ist unklar, ob die belangte Behörde von einer Nichtanwendung des Paragraph 9, DSG (zumindest bezüglicher dieser Ausnahme) aufgrund offenkundiger Unionsrechtswidrigkeit ausgeht. Da das Kapitel A aber genehmigt wurde und somit für das Bundesverwaltungsgericht nicht beschwerdegegenständlich ist, erübrigen sich im konkreten Fall weitere Erwägungen zu einer Unionrechtswidrigkeit des Paragraph 9, Absatz eins, DSG.
Zu den von der belangten Behörde nicht genehmigten Bestimmungen fällt auf, dass es sich dabei weniger um Präzisierungen im Sinne der in Art. 40 Abs. 2 DSGVO genannten Beispielehandelt, sondern um die Festschreibung bestimmter rechtlicher Interpretationen. Zu den von der belangten Behörde nicht genehmigten Bestimmungen fällt auf, dass es sich dabei weniger um Präzisierungen im Sinne der in Artikel 40, Absatz 2, DSGVO genannten Beispielehandelt, sondern um die Festschreibung bestimmter rechtlicher Interpretationen.
Zum beschwerdegegenständlichen Vorbringen:
Zur Nummerierung der Spruchpunkte:
Die Spruchpunkte des Bescheides wurden zwar fehlerhaft nummeriert (es gibt zwei Spruchpunkte 1.), wobei allerdings in der Begründung des Bescheides die richtige Nummerierung verwendet wird. Da aber dadurch keine Beschwer der Beschwerdeführer gegeben ist und auch erkennbar ist, welche Teile des Bescheides angefochten werden, wird von einer formellen Umnummerierung im Sinne einer Spruchänderung des Bescheides abgesehen.
Zum abgewiesenen Punkt XXXX und der Modifizierung von Punkt XXXX ( XXXX ), Seite XXXX der Verhaltensregeln idF XXXX und der Modifizierung von Punkt XXXX der Verhaltensregeln idF XXXX :Zum abgewiesenen Punkt römisch XXXX und der Modifizierung von Punkt römisch XXXX ( römisch XXXX ), Seite römisch XXXX der Verhaltensregeln in der Fassung römisch XXXX und der Modifizierung von Punkt römisch XXXX der Verhaltensregeln in der Fassung römisch XXXX :
Der nicht genehmigte Punkt XXXX lautet:Der nicht genehmigte Punkt römisch XXXX lautet:
siehe dazu z. B. die Verhaltensregeln gemäß Art. DSGVO für die Ausübung der Adressverlage und Direktmarketingunternehmen gem. § 151 Gewerbeordnung 1994, https://www.wko.at/branchen/information-consulting/werbung-marktkommunikation/verhaltensregeln.pdf, abgerufen am 12.03.2020.siehe dazu z. B. die Verhaltensregeln gemäß Art. DSGVO für die Ausübung der Adressverlage und Direktmarketingunternehmen gem. Paragraph 151, Gewerbeordnung 1994, https://www.wko.at/branchen/information-consulting/werbung-marktkommunikation/verhaltensregeln.pdf, abgerufen am 12.03.2020.
XXXX römisch XXXX
Der nicht genehmigte Teil des Punktes XXXX lautet:Der nicht genehmigte Teil des Punktes römisch XXXX lautet:
Die Bindung der Gewährung einer Vergünstigung an die Einwilligung in mehrere Zwecke ist jedoch unter den in XXXX genannten Voraussetzungen grundsätzlich zulässig:Die Bindung der Gewährung einer Vergünstigung an die Einwilligung in mehrere Zwecke ist jedoch unter den in römisch XXXX genannten Voraussetzungen grundsätzlich zulässig:
XXXX römisch XXXX
Zunächst ist anzumerken, dass der Abschnitt B. für Verarbeitungstätigkeiten gilt, die nicht unter Kapitel XXXX (Regeln für den Bereich XXXX ) fallen.Zunächst ist anzumerken, dass der Abschnitt B. für Verarbeitungstätigkeiten gilt, die nicht unter Kapitel römisch XXXX (Regeln für den Bereich römisch XXXX ) fallen.
Die belangte Behörde begründet die Nichtgenehmigung dieser Bestimmung im Wesentlichen damit, dass offenbleibt, für welche konkreten Verarbeitungstätigkeiten eine Einwilligung abgegeben wird und auf welche Weise die personenbezogenen Daten der betroffenen Personen verarbeitet werden, weshalb die Beurteilung, ob eine Einwilligung den Anforderungen der DSGVO gemäß Art. 7 entspreche, ausgehend von einer solch allgemeinen Formulierung nicht möglich sei. Daher sei XXXX in dieser Form nicht genehmigungsfähig. Die belangte Behörde begründet die Nichtgenehmigung dieser Bestimmung im Wesentlichen damit, dass offenbleibt, für welche konkreten Verarbeitungstätigkeiten eine Einwilligung abgegeben wird und auf welche Weise die personenbezogenen Daten der betroffenen Personen verarbeitet werden, weshalb die Beurteilung, ob eine Einwilligung den Anforderungen der DSGVO gemäß Artikel 7, entspreche, ausgehend von einer solch allgemeinen Formulierung nicht möglich sei. Daher sei römisch XXXX in dieser Form nicht genehmigungsfähig.
Die Beschwerdeführer berufen sich auf datenschutzrechtliche Literatur (Kühling/Buchner, Feiler/Forgó, Ehmann/Selmayr) wonach dem Wortlaut von Art. 7 Abs. 4 DSGVO kein absolutes Koppelungsverbot zu entnehmen sei und etwa zivilrechtliche Verträge, die als Gegenleistung bestimmte Daten erheben, durch das Koppelungsverbot nicht generell untersagt seien.Die Beschwerdeführer berufen sich auf datenschutzrechtliche Literatur (Kühling/Buchner, Feiler/Forgó, Ehmann/Selmayr) wonach dem Wortlaut von Artikel 7, Absatz 4, DSGVO kein absolutes Koppelungsverbot zu entnehmen sei und etwa zivilrechtliche Verträge, die als Gegenleistung bestimmte Daten erheben, durch das Koppelungsverbot nicht generell untersagt seien.
Dazu ist aus Sicht des Bundesverwaltungsgerichts Folgendes zu bemerken:
Hinsichtlich der Beurteilung, ob die Freiwilligkeit einer Einwilligung gegeben ist, ist insbesondere Art. 7 Abs. 4 DSGVO relevant, wonach dem Umstand in größtmöglichem Umfang Rechnung getragen werden muss, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.Hinsichtlich der Beurteilung, ob die Freiwilligkeit einer Einwilligung gegeben ist, ist insbesondere Artikel 7, Absatz 4, DSGVO relevant, wonach dem Umstand in größtmöglichem Umfang Rechnung getragen werden muss, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Der Vollständigkeit halber wird festgehalten, dass für die Verarbeitung von personenbezogenen Daten, die für die Vertragserfüllung erforderlich sind, Art. 6 Abs. 1 lit. b DSGVO zur Anwendung kommt.Der Vollständigkeit halber wird festgehalten, dass für die Verarbeitung von personenbezogenen Daten, die für die Vertragserfüllung erforderlich sind, Artikel 6, Absatz eins, Litera b, DSGVO zur Anwendung kommt.
Gemäß ErwGr 43 DSGVO (welcher sich auf Art. 7 DSGVO bezieht) gilt die Einwilligung nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.Gemäß ErwGr 43 DSGVO (welcher sich auf Artikel 7, DSGVO bezieht) gilt die Einwilligung nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.
Dazu führt die so genannte „Art. 29 Datenschutzgruppe“ in ihren „Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679“1, WP259 rev.01 vom 28.11.2017, welche auch vom Europäischen Datenschutzausschuss (EDSA) am 25.05.2018 bekräftigt wurden, auf S. 9 f. unter anderem aus (Unterstreichungen durch das BVwG, Anm.): , WP259 rev.01 vom 28.11.2017, welche auch vom Europäischen Datenschutzausschuss (EDSA) am 25.05.2018 bekräftigt wurden, auf S. 9 f. unter anderem aus (Unterstreichungen durch das BVwG, Anmerkung,
„Artikel 7 Absatz. 4 DSG-VO weist unter anderem darauf hin, dass eine Situation, in der die Einwilligung mit der Annahme von Vertragsbedingungen „gebündelt“ wird oder die Erfüllung eines Vertrags oder die Erbringung einer Dienstleistung mit dem Ersuchen um Einwilligungen eine Verarbeitung von personenbezogenen Daten „verknüpft“ werden, die für die Erfüllung des Vertrags nicht erforderlich sind, als in höchstem Maße unerwünscht angesehen wird. Wird die Einwilligung in einer solchen Situation erteilt, gilt sie nicht als freiwillig erteilt (Erwägungsgrund 43). Mit Artikel 7 Absatz 4 soll sichergestellt werden, dass der Zweck der Verarbeitung personenbezogener Daten nicht getarnt oder mit der Erfüllung eines Vertrags oder der Erbringung einer Dienstleistung gebündelt wird, für die diese personenbezogenen Daten nicht erforderlich sind. Dadurch stellt die DSG-VO sicher, dass die Verarbeitung personenbezogener Daten, um deren Einwilligung ersucht wird, nicht direkt oder indirekt zur Gegenleistung für einen Vertrag werden kann. Die beiden Rechtsgrundlagen für die rechtmäßige Verarbeitung personenbezogener Daten, d.h. Einwilligung und Vertrag, können nicht zusammengeführt werden und ihre Grenzen dürfen nicht verschwimmen. […] Artikel 7 Absatz 4 ist nur dann maßgeblich, wenn die geforderten Daten nicht für die Erfüllung des Vertrags (einschließlich der Erbringung einer Dienstleistung) erforderlich sind und die Erfüllung dieses Vertrags von Erhalt dieser Daten auf der Grundlage der Einwilligung abhängig gemacht wird. Wenn die Verarbeitung dagegen erforderlich ist, um den Vertrag zu erfüllen (einschließlich der Erbringung einer Dienstleistung), findet Artikel 7 Absatz 4 keine Anwendung.
Der Zwang, in die Verwendung personenbezogener Daten über das unbedingt erforderliche Maß hinaus einzuwilligen, schränkt die Wahlmöglichkeiten der betroffenen Person ein und steht einer freiwillig erteilten Einwilligung im Wege. Da das Ziel des Datenschutzrechts der Schutz der Grundrechte ist, ist die Kontrolle des Einzelnen über seine personenbezogenen Daten von grundlegender Bedeutung und es besteht die starke Vermutung, dass eine Einwilligung in die nicht erforderliche Verarbeitung personenbezogener Daten nicht als eine zwingende Gegenleistung im Austausch für die Erfüllung eines Vertrags oder die Erbringung einer Dienstleistung gesehen werden kann.
Wenn der Verantwortliche die Erfüllung eines Vertrags mit dem Ersuchen um Einwilligung verknüpft, geht eine betroffene Person, die dem Verantwortlichen ihre personenbezogenen Daten nicht für die Verarbeitung zur Verfügung stellen möchte, folglich das Risiko ein, dass ihr Leistungen verwehrt werden, um die sie ersucht hat.
Zur Bewertung, ob eine solche Situation der Bündelung oder Verknüpfung vorliegt, muss festgestellt werden, welchen Umfang der Vertrag hat und welche Daten für die Erfüllung des Vertrags erforderlich wären. Gemäß der Stellungnahme 6/2014 der WP29 ist der Begriff „erforderlich für die Erfüllung eines Vertrags“ eng auszulegen. Die Verarbeitung muss für die Erfüllung des Vertrags mit jeder einzelnen betroffenen Person erforderlich sein. Dies kann beispielsweise die Verarbeitung der Anschrift der betroffenen Person umfassen, so dass online gekaufte Waren zugestellt werden können, oder die Verarbeitung von Kreditkartendetails zum Zwecke der Zahlungsdurchführung. Im Beschäftigungskontext kann dieser Rechtsgrund beispielsweise die Verarbeitung von Lohn- und Gehaltsinformationen sowie von Bankangaben gestatten, damit Löhne und Gehälter ausgezahlt werden können. Es muss eine direkte und objektive Verbindung zwischen der Verarbeitung der Daten und dem Zweck für die Erfüllung des Vertrags bestehen.
Wenn ein Verantwortlicher personenbezogene Daten verarbeiten möchte, die tatsächlich für die Erfüllung eines Vertrags erforderlich sind, ist die Einwilligung nicht die geeignete Rechtsgrundlage. [...]
Artikel 7 Absatz 4 ist nur dann maßgeblich, wenn die geforderten Daten nicht für die Erfüllung des Vertrags (einschließlich der Erbringung einer Dienstleistung) erforderlich sind und die Erfüllung dieses Vertrags vom Erhalt dieser Daten auf der Grundlage der Einwilligung abhängig gemacht wird. Wenn die Verarbeitung dagegen erforderlich ist, um den Vertrag zu erfüllen (einschließlich der Erbringung einer Dienstleistung), findet Artikel 7 Absatz 4 keine Anwendung.
Die Wahl des Gesetzgebers, unter anderem die Konditionalität als Annahme für das Fehlen einer freien Einwilligung hervorzuheben, zeigt, dass das Auftreten der Konditionalität sorgfältig geprüft werden muss. Der Begriff „in größtmöglichem Umfang Rechnung tragen“ in Artikel 7 Absatz 4 legt nahe, dass der Verantwortliche besondere Sorgfalt walten lassen muss, wenn ein Vertrag (zu dem auch die Erbringung einer Dienstleistung zählen könnte) mit dem Ersuchen um Einwilligung in die Verarbeitung der mit diesem Vertrag verbundenen personenbezogenen Daten verknüpft ist.
Da der Wortlaut von Artikel 7 Abs. 4 DSGVO nicht auf absolute Weise ausgelegt wird, kann es sehr begrenzten Raum für Fälle geben, in denen diese Konditionalität die Einwilligung nicht ungültig machen würde. Der Begriff „gilt als“ in Erwägungsgrund 43 zeigt jedoch deutlich, dass solche Fälle die absolute Ausnahme darstellen werden. In den Artikel 7 Absatz 4 liegt die Beweislast jedenfalls eindeutig beim Verantwortlichen […].Da der Wortlaut von Artikel 7 Absatz 4, DSGVO nicht auf absolute Weise ausgelegt wird, kann es sehr begrenzten Raum für Fälle geben, in denen diese Konditionalität die Einwilligung nicht ungültig machen würde. Der Begriff „gilt als“ in Erwägungsgrund 43 zeigt jedoch deutlich, dass solche Fälle die absolute Ausnahme darstellen werden. In den Artikel 7 Absatz 4 liegt die Beweislast jedenfalls eindeutig beim Verantwortlichen […].
Der Verantwortliche könnte argumentieren, dass seine Organisation den betroffenen Personen eine echte Wahlmöglichkeit bietet, wenn diese die Möglichkeit hätten, zwischen einer Dienstleistung zu wählen, die die Einwilligung in die Verwendung personenbezogener Daten für zusätzliche Zwecke umfasst und einer vergleichbaren Dienstleistung, die von demselben Verantwortlichen angeboten wird und keine Einwilligung in die Verwendung von Daten für zusätzliche Zwecke beinhält. Solange die Möglichkeit besteht, dass der Verantwortliche den Vertrag erfüllt oder die Dienstleistungen erbringt, die Gegenstand des Vertrags sind, ohne dass in die fragliche andere oder zusätzliche Datennutzung eingewilligt werden muss, bedeutet dies, dass es nicht länger eine an Bedingungen geknüpfte Dienstleistung ist. Die beiden Dienstleistungen müssen jedoch wirklich gleichwertig sein.
Die WP29 vertritt die Ansicht, dass eine Einwilligung nicht als freiwillig erteilt angesehen werden kann, wenn ein Verantwortlicher argumentiert, dass eine Wahlmöglichkeit besteht zwischen seiner Dienstleistung, zu der die Einwilligung in die Verwendung personenbezogener Daten für zusätzliche Zwecke gehört und einer vergleichbaren Dienstleistung, die von einem anderen Verantwortlichen angeboten wird. In einem solchen Fall würde die Wahlmöglichkeit vom Verhalten anderer Markteilnehmer abhängig gemacht werden und davon ob eine betroffene Einzelperson die Dienstleistungen des anderen Verantwortlichen wirklich als gleichwertig ansehen würde. Dies würde darüber hinaus bedeuten, dass der Verantwortliche die Entwicklungen des Marktes verfolgen müsste, um eine fortgesetzte Gültigkeit der Einwilligung in die Datenverarbeitungstätigkeiten sicherzustellen, da ein Wettbewerber seine Dienstleistungen zu einem späteren Zeitpunkt ändern könnte. Die Verwendung dieses Arguments bedeutet folglich, dass die Einwilligung die Bedingungen der DS-GVO nicht einhält.“
In den „Guidelines 2/2019 on the processing of personal data under Article 6 (1) (b) GDPR in the context of the provision of online services to data subjects”In den „Guidelines 2/2019 on the processing of personal data under Article 6 (1) (b) GDPR in the context of the provision of online services to data subjects”2 des EDSA vom 09.04.2019 wird im Kapitel 3.3. “Processing for online behavioural advertising” ausgeführt: des EDSA vom 09.04.2019 wird im Kapitel 3.3. “Processing for online behavioural advertising” ausgeführt:
„Considering that data protection is a fundamental right guaranteed by Article 8 of the Charter of Fundamental Rights, and taking into account that one of the main purposes of the GDPR is to provide data subjects with control over information relating to them, personal data cannot be considered as a tradeable commodity. Data subjects can agree to processing of their personal data, but cannot trade away their fundamental rights.”„Considering that data protection is a fundamental right guaranteed by Article 8 of the Charter of Fundamental Rights, and taking into account that one of the main purposes of the GDPR is to provide data subjects with control over information relating to them, personal data cannot be considered as a tradeable commodity. Data subjects can agree to processing of their personal data, but cannot trade away their fundamental rights.”
Aus der Stellungnahme der Art. 29-Datenschutzgruppe/des EDSA kann hergeleitet werden, dass die Freiwilligkeit einer Einwilligung zur Verwendung von Daten, die für die Vertragserfüllung nicht erforderlich sind, nur in absoluten Ausnahmefällen gegeben ist. Aus der Stellungnahme der Artikel 29 -, D, a, t, e, n, s, c, h, u, t, z, g, r, u, p, p, e, /, d, e, s, EDSA kann hergeleitet werden, dass die Freiwilligkeit einer Einwilligung zur Verwendung von Daten, die für die Vertragserfüllung nicht erforderlich sind, nur in absoluten Ausnahmefällen gegeben ist.
Auch aus der von den Beschwerdeführern zitierten Literatur ist die generelle Zulässigkeit datenschutzrechtlicher Einwilligungen für Vergünstigungen nicht ableitbar. Vielmehr wird es darauf ankommen, wie der konkrete Fall und die konkrete Verarbeitung de facto gestaltet ist.
Der Oberste Gerichtshof hat sich in seiner Entscheidung 6 Ob140/18h vom 31.08.2018 (siehe dazu auch das darauf verweisende Urteil 6 Ob56/19g vom 24.10.2019) im Zusammenhang mit AGB-Bestimmungen mit dem Koppelungsverbot befasst und hat zum Spannungsverhältnis zwischen Art. 7 Abs. 4 DSGVO und dem ErwGr 43 Folgendes ausgeführt (Unterstreichung durch das BVwG, Anm.):Der Oberste Gerichtshof hat sich in seiner Entscheidung 6 Ob140/18h vom 31.08.2018 (siehe dazu auch das darauf verweisende Urteil 6 Ob56/19g vom 24.10.2019) im Zusammenhang mit AGB-Bestimmungen mit dem Koppelungsverbot befasst und hat zum Spannungsverhältnis zwischen Artikel 7, Absatz 4, DSGVO und dem ErwGr 43 Folgendes ausgeführt (Unterstreichung durch das BVwG, Anm.):
„[…]
4.2.2. Die Frage des „Koppelungsverbotes“, also ob der Vertragsabschluss von einer Zustimmung zu einer (dafür nicht erforderlichen) Datenverarbeitung abhängig gemacht werden kann, wurde in der höchstgerichtlichen Judikatur hingegen noch nicht behandelt. Anders als in Deutschland (§ 28 Abs 3b BDSG, dazu Revision S 7f) bestand in Österreich nach altem Datenschutzrecht auch keine diesbezügliche ausdrückliche Bestimmung.4.2.2. Die Frage des „Koppelungsverbotes“, also ob der Vertragsabschluss von einer Zustimmung zu einer (dafür nicht erforderlichen) Datenverarbeitung abhängig gemacht werden kann, wurde in der höchstgerichtlichen Judikatur hingegen noch nicht behandelt. Anders als in Deutschland (Paragraph 28, Absatz 3 b, BDSG, dazu Revision S 7f) bestand in Österreich nach altem Datenschutzrecht auch keine diesbezügliche ausdrückliche Bestimmung.
[…]
4.3.3. Art 4 Z 11 DSGVO definiert die „Einwilligung“ der betroffenen Person nunmehr als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.4.3.3. Artikel 4, Ziffer 11, DSGVO definiert die „Einwilligung“ der betroffenen Person nunmehr als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.
4.4.1. Während diese Grundlagen also im Wesentlichen unverändert blieben (setzt man „ohne Zwang“ mit „freiwillig“ gleich), so enthält die DSGVO nunmehr zusätzliche Regelungen zur Freiwilligkeit der Einwilligung in Artikel 7 Abs 4:4.4.1. Während diese Grundlagen also im Wesentlichen unverändert blieben (setzt man „ohne Zwang“ mit „freiwillig“ gleich), so enthält die DSGVO nunmehr zusätzliche Regelungen zur Freiwilligkeit der Einwilligung in Artikel 7 Absatz 4 :,
„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“
4.4.2. Dazu erläutert der Erwägungsgrund 43: „... Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“
Während also nach dem Verordnungstext dem Umstand der Koppelung bei der Beurteilung der Freiwilligkeit größtmöglich Rechnung zu tragen ist, spricht der Erwägungsgrund eindeutig für ein unbedingtes Verbot der Koppelung.
4.4.3.[ …]
4.4.4. Das Spannungsverhältnis zwischen dem Text der Verordnung und dem Erwägungsgrund 43 ist offensichtlich dahin aufzulösen, dass an die Beurteilung der „Freiwilligkeit“ der Einwilligung strenge Anforderungen zu stellen sind. Bei der Koppelung der Einwilligung zu einer Verarbeitung vertragsunabhängiger personenbezogener Daten mit einem Vertragsschluss ist grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen (vgl Ehmann/Selmayr/Heckmann/Paschke, DS-GVO Rz 52 ff). Solche Umstände wurden im vorliegenden Fall jedoch nicht vorgebracht.4.4.4. Das Spannungsverhältnis zwischen dem Text der Verordnung und dem Erwägungsgrund 43 ist offensichtlich dahin aufzulösen, dass an die Beurteilung der „Freiwilligkeit“ der Einwilligung strenge Anforderungen zu stellen sind. Bei der Koppelung der Einwilligung zu einer Verarbeitung vertragsunabhängiger personenbezogener Daten mit einem Vertragsschluss ist grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen vergleiche Ehmann/Selmayr/Heckmann/Paschke, DS-GVO Rz 52 ff). Solche Umstände wurden im vorliegenden Fall jedoch nicht vorgebracht.
4.4.5. Zur Befassung des EuGH bestand kein Anlass, weil sich das vorstehende Ergebnis bereits aus dem Wortlaut der DSGVO und dem zitierten Erwägungsgrund ergibt. Auf konkrete Umstände, aus denen sich im Einzelfall ausnahmsweise eine Zulässigkeit der Koppelung ergeben könnte, hat sich die Beklagte nicht berufen, sodass im vorliegenden Fall auch kein Raum für die Klärung der Frage besteht, in welchen Fällen ausnahmsweise trotz des grundsätzlichen Verbots eine derartige Koppelung zulässig sein kann.
Das Bundesverwaltungsgericht verkennt nicht, dass in Punkt XXXX – anders als in dem dem zitierten OGH-Urteil zugrundeliegenden Fall – eine Alternative zum Vergünstigungsmodell angeboten wird, wobei jedoch nicht ersichtlich ist, wer diese Alternative anbietet (siehe dazu die Ausführungen der Art. 29-Datenschutzgruppe/des EDSA, S. 17, vorletzter und letzter Absatz bzw. S. 18 erster Absatz dieses Erkenntnisses). Selbst in dem Fall, dass die Alternative vom selben Verantwortlichen angeboten wird, wird es auf die konkrete Ausgestaltung des Vertrags und der Verarbeitung ankommen, also etwa, welche geeigneten Garantien zur Wahrung der Betroffenenrechte vorgesehen sind, welche personenbezogene Daten von der betroffenen Person verlangt werden und wie die Relation zu einem Alternativangebot (ohne Vergünstigungen) aussieht. Die Zulässigkeit eines (teilweisen) „Wegverhandeln“ des eigenen Grundrechts auf Datenschutz kann jedenfalls in dieser Allgemeinheit nicht festgestellt werden. Das Bundesverwaltungsgericht verkennt nicht, dass in Punkt römisch XXXX – anders als in dem dem zitierten OGH-Urteil zugrundeliegenden Fall – eine Alternative zum Vergünstigungsmodell angeboten wird, wobei jedoch nicht ersichtlich ist, wer diese Alternative anbietet (siehe dazu die Ausführungen der Artikel 29 -, D, a, t, e, n, s, c, h, u, t, z, g, r, u, p, p, e, /, d, e, s, EDSA, S. 17, vorletzter und letzter Absatz bzw. S. 18 erster Absatz dieses Erkenntnisses). Selbst in dem Fall, dass die Alternative vom selben Verantwortlichen angeboten wird, wird es auf die konkrete Ausgestaltung des Vertrags und der Verarbeitung ankommen, also etwa, welche geeigneten Garantien zur Wahrung der Betroffenenrechte vorgesehen sind, welche personenbezogene Daten von der betroffenen Person verlangt werden und wie die Relation zu einem Alternativangebot (ohne Vergünstigungen) aussieht. Die Zulässigkeit eines (teilweisen) „Wegverhandeln“ des eigenen Grundrechts auf Datenschutz kann jedenfalls in dieser Allgemeinheit nicht festgestellt werden.
Das Bundesverwaltungsgericht teilt daher die Ansicht der belangten Behörde, dass eine Genehmigung der Möglichkeit einer Einwilligung zu einer Datenverarbeitung als Gegenleistung für Vergünstigungen in dieser allgemeinen Formulierung, wie sie gegenständlich getroffen wurde, nicht zu erteilen ist. In diesem Zusammenhang ist darauf hinzuweisen, dass Verhaltensregeln zwar datenschutzrechtliche Regelungen branchenspezifisch präzisieren sollen, diese jedoch – zumal sie naturgemäß generell-abstrakte Wirkung haben – nicht pauschal Fälle regeln können, die einer Einzelfallbetrachtung und –beurteilung bedürfen.
Daher war die Beschwerde diesbezüglich abzuweisen.
Zum abgewiesenen Punkt XXXX :Zum abgewiesenen Punkt römisch XXXX :
Der nicht genehmigte Punkt XXXX lautet:Der nicht genehmigte Punkt römisch XXXX lautet:
XXXX römisch XXXX
Punkt XXXX . der Verhaltensregeln normiert, dass die XXXX an eine Person, welche dieses XXXX hat, auf Basis rechtmäßig erhobener und verarbeiteter Kontaktinformationen in der Regel nicht unter den Begriff der XXXX falle, sondern eine Datenverarbeitung zu journalistischen Zwecken darstelle.Punkt römisch XXXX . der Verhaltensregeln normiert, dass die römisch XXXX an eine Person, welche dieses römisch XXXX hat, auf Basis rechtmäßig erhobener und verarbeiteter Kontaktinformationen in der Regel nicht unter den Begriff der römisch XXXX falle, sondern eine Datenverarbeitung zu journalistischen Zwecken darstelle.
Hierzu führt die belangte Behörde aus, dass Begriffe wie Journalismus zwar weit auszulegen seien (vgl. ErwGr 153 letzter Satz DSGVO), der Verarbeitungszweck einer solchen Datenbank jedoch vordergründig jener des XXXX sei. Weiters hätten sich die Eingriffe in das Grundrecht auf Datenschutz nach gefestigter Rechtsprechung des EuGH auf das absolut notwendige Ausmaß zu beschränken (vergleiche das Urteil vom 14.02 2019, C-345/17, Buivids, Rn 64 sowie die dort angeführte Rechtsprechung). Würde man jedoch der Überlegung der Beschwerdeführern folgen und bejahen, dass XXXX , so wäre es einer betroffenen Person – ausgehend von der österreichischen Umsetzung von Art. 85 Abs. 1 DSGVO im § 9 Abs. 1 DSG („Medienprivileg“) und der damit verbundenen Pauschalausnahmen der Betroffenenrechte – nicht nur verwehrt, eine entsprechende Löschung ihrer personenbezogenen Daten aus der genannten Datenbank zu beantragen, vielmehr erhalte sie mangels Anwendbarkeit von Art. 13 bis Art. 15 DSGVO gar keine Information darüber, dass Ihre personenbezogenen Daten in einer solchen Datenbank gespeichert seien. Vor diesem Hintergrund sei die belangte Behörde der Ansicht, dass der Begriff journalistischer Zweck im vorliegenden Kontext nicht derart weit auszulegen sei, weshalb. XXXX in dieser Form nicht genehmigungsfähig sei.Hierzu führt die belangte Behörde aus, dass Begriffe wie Journalismus zwar weit auszulegen seien vergleiche ErwGr 153 letzter Satz DSGVO), der Verarbeitungszweck einer solchen Datenbank jedoch vordergründig jener des römisch XXXX sei. Weiters hätten sich die Eingriffe in das Grundrecht auf Datenschutz nach gefestigter Rechtsprechung des EuGH auf das absolut notwendige Ausmaß zu beschränken (vergleiche das Urteil vom 14.02 2019, C-345/17, Buivids, Rn 64 sowie die dort angeführte Rechtsprechung). Würde man jedoch der Überlegung der Beschwerdeführern folgen und bejahen, dass römisch XXXX , so wäre es einer betroffenen Person – ausgehend von der österreichischen Umsetzung von Artikel 85, Absatz eins, DSGVO im Paragraph 9, Absatz eins, DSG („Medienprivileg“) und der damit verbundenen Pauschalausnahmen der Betroffenenrechte – nicht nur verwehrt, eine entsprechende Löschung ihrer personenbezogenen Daten aus der genannten Datenbank zu beantragen, vielmehr erhalte sie mangels Anwendbarkeit von Artikel 13 bis Artikel 15, DSGVO gar keine Information darüber, dass Ihre personenbezogenen Daten in einer solchen Datenbank gespeichert seien. Vor diesem Hintergrund sei die belangte Behörde der Ansicht, dass der Begriff journalistischer Zweck im vorliegenden Kontext nicht derart weit auszulegen sei, weshalb. römisch XXXX in dieser Form nicht genehmigungsfähig sei.
Die Beschwerdeführer verweisen demgegenüber in ihrer Beschwerde auf die weite Auslegung des „Medienprivilegs“ der (früher geltenden) Richtlinie 95/46/EG durch den EuGH im Urteil zur Rechtssache C-73/07 vom 16.12.2008, Tietosuojavaltuutettu gegen Satakunnan Markkinapörssi Oy, Satamedia Oy. Weiters führen die Beschwerdeführer aus, dass die Ausnahme der Betroffenenrechte im Rahmen des Medienprivilegs zwar für die belangte Behörde unbefriedigend sein möge, dies könne jedoch einer Genehmigungsfähigkeit nicht entgegenstehen.
Das Bundesverwaltungsgericht hat dazu erwogen:
Zunächst ist es richtig, dass die weiten Ausnahmen von der DSGVO, die in § 9 DSG vorgesehen sind, für die Beurteilung, ob hier journalistische Tätigkeit vorliegt, irrelevant sind und die Frage der Anwendbarkeit dieser weiten Ausnahmen bei der Auseinandersetzung mit Teil A der Verhaltensregeln allenfalls zu relevieren gewesen wäre.Zunächst ist es richtig, dass die weiten Ausnahmen von der DSGVO, die in Paragraph 9, DSG vorgesehen sind, für die Beurteilung, ob hier journalistische Tätigkeit vorliegt, irrelevant sind und die Frage der Anwendbarkeit dieser weiten Ausnahmen bei der Auseinandersetzung mit Teil A der Verhaltensregeln allenfalls zu relevieren gewesen wäre.
Soweit sich die Beschwerdeführer allerdings auf das EuGH-Urteil im Fall „Satamedia“ berufen, ist dieses Urteil, insbesondere auch dessen zugrundeliegender Sachverhalt, nicht auf die gegenständliche Regelung zu übertragen. Zwar räumt der EuGH ein, dass zur Publikation bestimmte Informationen auf einer CD-ROM für die Verarbeitung zu kommerziellen Zwecken weitergegeben werden dürfen, wenn sie ausschließlich zum Ziel haben, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten, was zu prüfen Sache des nationalen Gerichts ist; jedoch kann daraus nicht hergeleitet werden, dass die XXXX , unter das „Medienprivileg“ fällt. Vielmehr stellt das EuGH-Urteil auf die Publikation bestimmter für die Öffentlichkeit bestimmter Daten ab, die auch über einen Kurzmitteilungsdienst von Nutzern von Mobiltelefonen auf deren Anfrage (unter Zahlung eines Geldbetrages) in Anspruch genommen werden können. Soweit sich die Beschwerdeführer allerdings auf das EuGH-Urteil im Fall „Satamedia“ berufen, ist dieses Urteil, insbesondere auch dessen zugrundeliegender Sachverhalt, nicht auf die gegenständliche Regelung zu übertragen. Zwar räumt der EuGH ein, dass zur Publikation bestimmte Informationen auf einer CD-ROM für die Verarbeitung zu kommerziellen Zwecken weitergegeben werden dürfen, wenn sie ausschließlich zum Ziel haben, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten, was zu prüfen Sache des nationalen Gerichts ist; jedoch kann daraus nicht hergeleitet werden, dass die römisch XXXX , unter das „Medienprivileg“ fällt. Vielmehr stellt das EuGH-Urteil auf die Publikation bestimmter für die Öffentlichkeit bestimmter Daten ab, die auch über einen Kurzmitteilungsdienst von Nutzern von Mobiltelefonen auf deren Anfrage (unter Zahlung eines Geldbetrages) in Anspruch genommen werden können.
Im hier gegenständlichen Fall sollen jedoch personenbezogene XXXX verwendet werden, die zwar vom Verantwortlichen rechtmäßig erhoben wurden, wobei aber nicht weiter ausgeführt wird, für welche Zwecke dies Daten ursprünglich zur Verfügung gestellt wurden, sodass es bei einer Verwendung XXXX zu einer Zweckänderung kommen kann, die allenfalls in Widerspruch zu Art. 6 Abs. 4 DSGVO stehen kann. Schon deshalb ist der Fall „Satamedia“ nicht auf die hier gegenständliche Verarbeitung zu übertragen. Überdies ist der belangten Behörde beizupflichten, dass die hier intendierten XXXX keineswegs „ausschließlich zum Ziel haben, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten“ (wie dies nach dem zitierten Urteil gegeben sein muss, damit eine Verarbeitung unter das „Medienprivileg“ fällt), sondern primär der XXXX dienen. Im hier gegenständlichen Fall sollen jedoch personenbezogene römisch XXXX verwendet werden, die zwar vom Verantwortlichen rechtmäßig erhoben wurden, wobei aber nicht weiter ausgeführt wird, für welche Zwecke dies Daten ursprünglich zur Verfügung gestellt wurden, sodass es bei einer Verwendung römisch XXXX zu einer Zweckänderung kommen kann, die allenfalls in Widerspruch zu Artikel 6, Absatz 4, DSGVO stehen kann. Schon deshalb ist der Fall „Satamedia“ nicht auf die hier gegenständliche Verarbeitung zu übertragen. Überdies ist der belangten Behörde beizupflichten, dass die hier intendierten römisch XXXX keineswegs „ausschließlich zum Ziel haben, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten“ (wie dies nach dem zitierten Urteil gegeben sein muss, damit eine Verarbeitung unter das „Medienprivileg“ fällt), sondern primär der römisch XXXX dienen.
Diese Ansicht wird auch durch den Umstand erhärtet, dass der EuGH in der Rs Buivids Kriterien festgelegt hat, die bei der Abwägung zwischen dem Grundrecht auf Datenschutz und dem Grundrecht auf freie Meinungsäußerung (Journalismus) zu berücksichtigen sind. Zu diesen Kriterien zählen „der Beitrag zu einer Debatte von allgemeinem Interesse, der Bekanntheitsgrad der betroffenen Person, der Gegenstand der Berichterstattung, das vorangegangene Verhalten der betroffenen Person, Inhalt, Form und Auswirkungen der Veröffentlichung, die Art und Weise sowie die Umstände, unter denen die Informationen erlangt worden sind, und deren Richtigkeit“ (vgl. das Urteil des EuGH, Rs C 345/17 vom 14.02.2019 Rz 65).Diese Ansicht wird auch durch den Umstand erhärtet, dass der EuGH in der Rs Buivids Kriterien festgelegt hat, die bei der Abwägung zwischen dem Grundrecht auf Datenschutz und dem Grundrecht auf freie Meinungsäußerung (Journalismus) zu berücksichtigen sind. Zu diesen Kriterien zählen „der Beitrag zu einer Debatte von allgemeinem Interesse, der Bekanntheitsgrad der betroffenen Person, der Gegenstand der Berichterstattung, das vorangegangene Verhalten der betroffenen Person, Inhalt, Form und Auswirkungen der Veröffentlichung, die Art und Weise sowie die Umstände, unter denen die Informationen erlangt worden sind, und deren Richtigkeit“ vergleiche das Urteil des EuGH, Rs C 345/17 vom 14.02.2019 Rz 65).
Die genannten Kriterien können auch, wie die belangte Behörde ausführt, nicht denkmöglich auf die Beurteilung der „Verarbeitung von personenbezogenen Daten XXXX “ herangezogen werden. Der EuGH geht vielmehr davon aus, dass ein journalistischer Zweck dann gegeben ist, wenn das Ergebnis der Verarbeitung von personenbezogenen Daten einer gewissen Person eine Publikation ist, die sich auf diese Person bezieht. Die genannten Kriterien können auch, wie die belangte Behörde ausführt, nicht denkmöglich auf die Beurteilung der „Verarbeitung von personenbezogenen Daten römisch XXXX “ herangezogen werden. Der EuGH geht vielmehr davon aus, dass ein journalistischer Zweck dann gegeben ist, wenn das Ergebnis der Verarbeitung von personenbezogenen Daten einer gewissen Person eine Publikation ist, die sich auf diese Person bezieht.
Die belangte Behörde hinterfragt auch zu Recht, wieso die Beschwerdeführer meinen, dass „eine […] allenfalls vorgelagerte Tätigkeit für die Verarbeitung von personenbezogenen Daten im Rahmen einer Datenbank vom Anwendungsbereich des Punktes XXXX nicht umfasst [ist]“. Die Beschwerdeführer scheinen hier, wie die belangte Behörde anmerkte, den Verarbeitungsvorgang „ XXXX “ und die „ XXXX “ voneinander trennen zu wollen. Da die XXXX allerdings nicht möglich ist, sei von einem untrennbaren Verarbeitungsvorgang auszugehen. Diesbezüglich ist einerseits der belangten Behörde beizupflichten, zumal hier im Text des Punktes XXXX von einer „Datenverarbeitung“ die Rede ist; andererseits wäre aus einer losgelösten Betrachtung des XXXX auch nichts zu gewinnen, weil auch dieser Vorgang eindeutig vorrangig zu XXXX erfolgt Die belangte Behörde hinterfragt auch zu Recht, wieso die Beschwerdeführer meinen, dass „eine […] allenfalls vorgelagerte Tätigkeit für die Verarbeitung von personenbezogenen Daten im Rahmen einer Datenbank vom Anwendungsbereich des Punktes römisch XXXX nicht umfasst [ist]“. Die Beschwerdeführer scheinen hier, wie die belangte Behörde anmerkte, den Verarbeitungsvorgang „ römisch XXXX “ und die „ römisch XXXX “ voneinander trennen zu wollen. Da die römisch XXXX allerdings nicht möglich ist, sei von einem untrennbaren Verarbeitungsvorgang auszugehen. Diesbezüglich ist einerseits der belangten Behörde beizupflichten, zumal hier im Text des Punktes römisch XXXX von einer „Datenverarbeitung“ die Rede ist; andererseits wäre aus einer losgelösten Betrachtung des römisch XXXX auch nichts zu gewinnen, weil auch dieser Vorgang eindeutig vorrangig zu römisch XXXX erfolgt
Die belangte Behörde verweist in diesem Zusammenhang auch zu Recht auf die gefestigte Rechtsprechung des EuGH, wonach sich Ausnahmen und Einschränkungen in Bezug auf den Datenschutz auf das absolut Notwendige zu beschränken haben (vgl. Rs Buivids, Rz 64). Die belangte Behörde verweist in diesem Zusammenhang auch zu Recht auf die gefestigte Rechtsprechung des EuGH, wonach sich Ausnahmen und Einschränkungen in Bezug auf den Datenschutz auf das absolut Notwendige zu beschränken haben vergleiche Rs Buivids, Rz 64).
Auch die Berufung der Beschwerdeführer auf „Öhlböck in Knyrim, DatKomm Art. 85 DSGVO, XXXX , überzeugt nicht, da es sich bei der XXXX nicht um ein „inhaltliches“ Tätigwerden der XXXX handelt.Auch die Berufung der Beschwerdeführer auf „Öhlböck in Knyrim, DatKomm Artikel 85, DSGVO, römisch XXXX , überzeugt nicht, da es sich bei der römisch XXXX nicht um ein „inhaltliches“ Tätigwerden der römisch XXXX handelt.
Schließlich ist auch noch darauf hinzuweisen, dass sich die in Rede stehende Passage im Kapitel „ XXXX “ befindet, was bereits darauf hinweist, dass der Zweck der Verarbeitung XXXX ist. Wie auch im Kapitel II. „Geltungsbereich“ der Verhaltensregeln ausgeführt wird, findet auf Verarbeitungstätigkeiten für journalistische Zwecke ausschließlich Teil XXXX dieser Verhaltensregeln Anwendung.Schließlich ist auch noch darauf hinzuweisen, dass sich die in Rede stehende Passage im Kapitel „ römisch XXXX “ befindet, was bereits darauf hinweist, dass der Zweck der Verarbeitung römisch XXXX ist. Wie auch im Kapitel römisch II. „Geltungsbereich“ der Verhaltensregeln ausgeführt wird, findet auf Verarbeitungstätigkeiten für journalistische Zwecke ausschließlich Teil römisch XXXX dieser Verhaltensregeln Anwendung.
Aus den genannten Gründen fällt die angesprochene „ XXXX “ nicht unter die Ausnahme für Verarbeitungen für journalistische Zwecke. Die belangte Behörde hat daher zu Recht die Genehmigung dieses Punktes versagt, weshalb die Beschwerde diesbezüglich abzuweisen war.Aus den genannten Gründen fällt die angesprochene „ römisch XXXX “ nicht unter die Ausnahme für Verarbeitungen für journalistische Zwecke. Die belangte Behörde hat daher zu Recht die Genehmigung dieses Punktes versagt, weshalb die Beschwerde diesbezüglich abzuweisen war.
Zum abgewiesenen Punkt XXXX (zwingend erforderliche datenverarbeitende Cookies), Seite XXXX der Verhaltensregeln idF XXXX : Zum abgewiesenen Punkt römisch XXXX (zwingend erforderliche datenverarbeitende Cookies), Seite römisch XXXX der Verhaltensregeln in der Fassung römisch XXXX :
Der nicht genehmigte Punkt XXXX lautet:Der nicht genehmigte Punkt römisch XXXX lautet:
XXXX römisch XXXX
Die belangte Behörde hält in ihrem Bescheid fest, dass die in § 96 Abs. 3 TKG 2003 enthaltene Ausnahme „Erbringung eines ausdrücklich gewünschten Dienstes der Informationsgesellschaft“ (sowie die damit verbundene Formulierung „unbedingt erforderlich“) restriktiv zu interpretieren sei (vgl. Riesz in Riesz/Schilchegger (Hrsg.), TKG 2016 § 96 Rn 48).Die belangte Behörde hält in ihrem Bescheid fest, dass die in Paragraph 96, Absatz 3, TKG 2003 enthaltene Ausnahme „Erbringung eines ausdrücklich gewünschten Dienstes der Informationsgesellschaft“ (sowie die damit verbundene Formulierung „unbedingt erforderlich“) restriktiv zu interpretieren sei vergleiche Riesz in Riesz/Schilchegger (Hrsg.), TKG 2016 Paragraph 96, Rn 48).
Während bei den in Punkt XXXX genannten Cookies lit. a (User-Input-Cookies [Session-ID]) und lit. b (Authentifizierungscookies für Dienste, bei denen eine Authentifizierung erforderlich ist, für die Dauer einer Sitzung) davon auszugehen sei, dass diese für gewöhnlich mit einem Dienst im Zusammenhang stünden, der von den Nutzern gewünscht ist, sei dies bei „Third-Party-Cookies“ in aller Regel nicht der Fall (vgl. Art. 29-Datenschutzgruppe, Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht, WP194, 00879/12/DE, S. 6).Während bei den in Punkt römisch XXXX genannten Cookies Litera a, (User-Input-Cookies [Session-ID]) und Litera b, (Authentifizierungscookies für Dienste, bei denen eine Authentifizierung erforderlich ist, für die Dauer einer Sitzung) davon auszugehen sei, dass diese für gewöhnlich mit einem Dienst im Zusammenhang stünden, der von den Nutzern gewünscht ist, sei dies bei „Third-Party-Cookies“ in aller Regel nicht der Fall vergleiche Artikel 29 -, D, a, t, e, n, s, c, h, u, t, z, g, r, u, p, p, e,, Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht, WP194, 00879/12/DE, S. 6).
Im Hinblick auf lit. c (Third-Party-Content-Sharing-Cookies) führt die belangte Behörde aus, dass sie von keiner „unbedingten Erforderlichkeit“ iSd obigen Überlegungen ausgehe und die Einholung einer entsprechenden Einwilligung notwendig sei (vgl. das Urteil des EuGH vom 29.07.2019, C-40/17, Fashion ID Rn. 100)Im Hinblick auf Litera c, (Third-Party-Content-Sharing-Cookies) führt die belangte Behörde aus, dass sie von keiner „unbedingten Erforderlichkeit“ iSd obigen Überlegungen ausgehe und die Einholung einer entsprechenden Einwilligung notwendig sei vergleiche das Urteil des EuGH vom 29.07.2019, C-40/17, Fashion ID Rn. 100)
Die belangte Behörde räumt ein, dass sich lit. c auf „angemeldete Mitglieder eines sozialen Netzwerks beschränkt“. Inwiefern eine Webseite jedoch zwischen den möglichen Gruppen (angemeldete Nutzer und nicht angemeldete bzw. abgemeldete Nutzer) bei der Setzung von „Third-Party-Content Sharing-Cookies zu differenzieren habe und auf welche Weise dies technisch umgesetzt werde, sei im Rahmen der Verhaltensregeln nicht dargelegt worden (vergleiche Art. 29-Datenschutzgruppe, WP 194, S. 9 11).Die belangte Behörde räumt ein, dass sich Litera c, auf „angemeldete Mitglieder eines sozialen Netzwerks beschränkt“. Inwiefern eine Webseite jedoch zwischen den möglichen Gruppen (angemeldete Nutzer und nicht angemeldete bzw. abgemeldete Nutzer) bei der Setzung von „Third-Party-Content Sharing-Cookies zu differenzieren habe und auf welche Weise dies technisch umgesetzt werde, sei im Rahmen der Verhaltensregeln nicht dargelegt worden (vergleiche Artikel 29 -, D, a, t, e, n, s, c, h, u, t, z, g, r, u, p, p, e,, WP 194, S. 9 11).
Im Hinblick auf lit. d (Third-Party-Cookies) könne grundsätzlich auf die zu lit. c getroffenen Überlegungen verwiesen werden. Weiters sei es zwar korrekt, dass die Einbindung von Content, etwa eines YouTube-Videos, ohne Übertragung von Daten an YouTube (bzw. Anlegen von YouTube-Cookies) nicht möglich sei, allerdings sei es technisch durchaus realisierbar, dass das YouTube-Video erst nach eingeholter Einwilligung geladen werde.Im Hinblick auf Litera d, (Third-Party-Cookies) könne grundsätzlich auf die zu Litera c, getroffenen Überlegungen verwiesen werden. Weiters sei es zwar korrekt, dass die Einbindung von Content, etwa eines YouTube-Videos, ohne Übertragung von Daten an YouTube (bzw. Anlegen von YouTube-Cookies) nicht möglich sei, allerdings sei es technisch durchaus realisierbar, dass das YouTube-Video erst nach eingeholter Einwilligung geladen werde.
Im Hinblick auf lit. e (Adserver-Cookies) könne auf die eingangs dargelegten allgemeinen Überlegungen verwiesen werden. Davon ausgehend sei nach Ansicht der belangten Behörde im Hinblick auf die in § 96 Abs. 3 TKG 2003 enthaltene Formulierung „unbedingt erforderlich“ von einer technischen und keiner wirtschaftlichen Erforderlichkeit auszugehen. Die technische Erforderlichkeit dieser Art von Cookies für den Betrieb einer Webseite sei für die belangte Behörde nicht ersichtlich.Im Hinblick auf Litera e, (Adserver-Cookies) könne auf die eingangs dargelegten allgemeinen Überlegungen verwiesen werden. Davon ausgehend sei nach Ansicht der belangten Behörde im Hinblick auf die in Paragraph 96, Absatz 3, TKG 2003 enthaltene Formulierung „unbedingt erforderlich“ von einer technischen und keiner wirtschaftlichen Erforderlichkeit auszugehen. Die technische Erforderlichkeit dieser Art von Cookies für den Betrieb einer Webseite sei für die belangte Behörde nicht ersichtlich.
Im Hinblick auf lit. f (Cookies objektiver Reichweitenmesseinrichtungen) könne auf die zu lit. e getroffenen Überlegungen verwiesen werden. Die technische Erforderlichkeit dieser Art von Cookies für den Betrieb einer Webseite sei für die belangte Behörde wiederum nicht ersichtlich.Im Hinblick auf Litera f, (Cookies objektiver Reichweitenmesseinrichtungen) könne auf die zu Litera e, getroffenen Überlegungen verwiesen werden. Die technische Erforderlichkeit dieser Art von Cookies für den Betrieb einer Webseite sei für die belangte Behörde wiederum nicht ersichtlich.
Da eine sinnerhaltende Genehmigung von Punkt XXXX nicht möglich sei und der Begriff „erforderlich“ auch nicht unter Beachtung von Art. 6 Abs. 1 lit. f DSGVO auszulegen sei, da auf eine technische und nicht eine wirtschaftliche Notwendigkeit abzustellen sei, sei Punkt XXXX nach Ansicht der belangten Behörde insgesamt nicht genehmigungsfähig.Da eine sinnerhaltende Genehmigung von Punkt römisch XXXX nicht möglich sei und der Begriff „erforderlich“ auch nicht unter Beachtung von Artikel 6, Absatz eins, Litera f, DSGVO auszulegen sei, da auf eine technische und nicht eine wirtschaftliche Notwendigkeit abzustellen sei, sei Punkt römisch XXXX nach Ansicht der belangten Behörde insgesamt nicht genehmigungsfähig.
Die Beschwerdeführer vermögen diesen Argumenten nur entgegenzusetzen, dass sie offenbar eine andere Interpretation des Art. 5 Abs. 3 ePrivacy-Richtlinie vornehmen als einerseits die Art. 29-Datenschutzgruppe in ihrer Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht, WP194 vom 07.06.2012, andererseits aber auch der österreichische Gesetzgeber in der entsprechenden Umsetzung in § 96 Abs. 3 TKG 2003. Die Beschwerdeführer vermögen diesen Argumenten nur entgegenzusetzen, dass sie offenbar eine andere Interpretation des Artikel 5, Absatz 3, ePrivacy-Richtlinie vornehmen als einerseits die Artikel 29 -, D, a, t, e, n, s, c, h, u, t, z, g, r, u, p, p, e, in ihrer Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht, WP194 vom 07.06.2012, andererseits aber auch der österreichische Gesetzgeber in der entsprechenden Umsetzung in Paragraph 96, Absatz 3, TKG 2003.
Im Gegensatz zur deutschen Regelung, die eine „Opt-out“-Lösung enthielt und die – wie die Beschwerdeführer ausführen – wegen Unionsrechtswidrigkeit nicht angewendet wurde, bestehen hinsichtlich der österreichischen Umsetzung in § 96 Abs. 3 TKG keine Zweifel an dessen Unionsrechtskonformität. Es bestehen nach Ansicht des Bundesverwaltungsgerichts auch keinerlei Zweifel an der korrekten Interpretation dieser Bestimmung durch die belangte Behörde. § 96 Abs. 3 TKG sieht folgende Ausnahme von der Einholung einer zwingenden Einwilligung vor: „Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.Im Gegensatz zur deutschen Regelung, die eine „Opt-out“-Lösung enthielt und die – wie die Beschwerdeführer ausführen – wegen Unionsrechtswidrigkeit nicht angewendet wurde, bestehen hinsichtlich der österreichischen Umsetzung in Paragraph 96, Absatz 3, TKG keine Zweifel an dessen Unionsrechtskonformität. Es bestehen nach Ansicht des Bundesverwaltungsgerichts auch keinerlei Zweifel an der korrekten Interpretation dieser Bestimmung durch die belangte Behörde. Paragraph 96, Absatz 3, TKG sieht folgende Ausnahme von der Einholung einer zwingenden Einwilligung vor: „Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Die Tatsache, dass Betreiber grundsätzlich eine Rechtsgrundlage für ihre Datenverarbeitungen benötigen und diese in Art. 6 Abs. 1 lit. f DSGVO gefunden werden kann (siehe dazu die Ausführungen in EuGH vom 29.07.2019, C-40/17, Fashion ID Rn. 87 bis 97) schließt nicht aus, dass in bestimmten Fällen, also etwa bei der Setzung von bestimmten Cookies, die spezialgesetzliche Anwendung von § 96 Abs. 3 TKG 2003 zur Anwendung kommt und eine Einwilligung der betroffenen Person notwendig sein kann. Die Tatsache, dass Betreiber grundsätzlich eine Rechtsgrundlage für ihre Datenverarbeitungen benötigen und diese in Artikel 6, Absatz eins, Litera f, DSGVO gefunden werden kann (siehe dazu die Ausführungen in EuGH vom 29.07.2019, C-40/17, Fashion ID Rn. 87 bis 97) schließt nicht aus, dass in bestimmten Fällen, also etwa bei der Setzung von bestimmten Cookies, die spezialgesetzliche Anwendung von Paragraph 96, Absatz 3, TKG 2003 zur Anwendung kommt und eine Einwilligung der betroffenen Person notwendig sein kann.
Zum angesprochenen Vorabentscheidungsverfahren EuGH Rs C-673/17, Planet49 GmbH vs. Verbraucherzentrale Bundesverband e. V., ist zunächst festzuhalten, dass dieses inzwischen mit Urteil vom 01.10.2019 entschieden wurde. Der EuGH stellte fest (Unterstreichungen durch das BVwG, Anm.):Zum angesprochenen Vorabentscheidungsverfahren EuGH Rs C-673/17, Planet49 GmbH vs. Verbraucherzentrale Bundesverband e. römisch fünf., ist zunächst festzuhalten, dass dieses inzwischen mit Urteil vom 01.10.2019 entschieden wurde. Der EuGH stellte fest (Unterstreichungen durch das BVwG, Anm.):
„1. Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) sind dahin auszulegen, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.„1. Artikel 2, Buchst. f und Artikel 5, Absatz 3, der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung in Verbindung mit Artikel 2, Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr bzw. mit Artikel 4, Nr. 11 und Artikel 6, Absatz eins, Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) sind dahin auszulegen, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
2. Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 sind nicht unterschiedlich auszulegen, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46 bzw. der Verordnung 2016/679 handelt oder nicht.2. Artikel 2, Buchst. f und Artikel 5, Absatz 3, der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung in Verbindung mit Artikel 2, Buchst. h der Richtlinie 95/46 bzw. mit Artikel 4, Nr. 11 und Artikel 6, Absatz eins, Buchst. a der Verordnung 2016/679 sind nicht unterschiedlich auszulegen, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46 bzw. der Verordnung 2016/679 handelt oder nicht.
3. Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.“3. Artikel 5, Absatz 3, der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.“
Damit hat der EuGH eine Opt-Out-Lösung im gegenständlichen Fall für unzulässig erachtet. Im Übrigen war Art. 6 Abs. 1 lit. f DSGVO im gegenständlichen Fall nicht Gegenstand des Verfahrens, sondern es wurde von der Notwendigkeit einer „Einwilligung“, die den Kriterien der DSGVO entsprechen müsse, ausgegangen. Der EuGH hat in diesem Zusammenhang auch festgestellt, dass es keinen Unterschied macht, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Daten um personenbezogene Daten im Sinne der DSGVO handelt oder nicht.Damit hat der EuGH eine Opt-Out-Lösung im gegenständlichen Fall für unzulässig erachtet. Im Übrigen war Artikel 6, Absatz eins, Litera f, DSGVO im gegenständlichen Fall nicht Gegenstand des Verfahrens, sondern es wurde von der Notwendigkeit einer „Einwilligung“, die den Kriterien der DSGVO entsprechen müsse, ausgegangen. Der EuGH hat in diesem Zusammenhang auch festgestellt, dass es keinen Unterschied macht, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Daten um personenbezogene Daten im Sinne der DSGVO handelt oder nicht.
Aus Sicht des Bundesverwaltungsgerichts besteht kein Zweifel an der zutreffenden Interpretation des § 96 Abs. 3 TKG als Spezialregelung, die in bestimmten Fällen das Erfordernis einer Einwilligung normiert, wobei die Kriterien einer gültigen Einwilligung nach der DSGVO zu beachten sind. Das Bundesverwaltungsgericht teilt auch die rechtliche Analyse der belangten Behörde und der Art. 29-Gruppe in ihrer „Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht“ vom 07.06.2012 zu den einzeln aufgezählten Cookies-Arten sowie ihrer Auslegung der „unbedingten Erforderlichkeit“. Demgemäß ist die in Art. 5 Abs. 3 ePrivacyRL Formulierung „wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“, so zu interpretieren, dass ein Cookie in diesem Fall die beiden folgenden Voraussetzungen zu erfüllen hat: Aus Sicht des Bundesverwaltungsgerichts besteht kein Zweifel an der zutreffenden Interpretation des Paragraph 96, Absatz 3, TKG als Spezialregelung, die in bestimmten Fällen das Erfordernis einer Einwilligung normiert, wobei die Kriterien einer gültigen Einwilligung nach der DSGVO zu beachten sind. Das Bundesverwaltungsgericht teilt auch die rechtliche Analyse der belangten Behörde und der Artikel 29 -, G, r, u, p, p, e, in ihrer „Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht“ vom 07.06.2012 zu den einzeln aufgezählten Cookies-Arten sowie ihrer Auslegung der „unbedingten Erforderlichkeit“. Demgemäß ist die in Artikel 5, Absatz 3, ePrivacyRL Formulierung „wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“, so zu interpretieren, dass ein Cookie in diesem Fall die beiden folgenden Voraussetzungen zu erfüllen hat:
„1. Der Dienst der Informationsgesellschaft wurde vom Nutzer ausdrücklich gewünscht: Der Nutzer (oder Teilnehmer) hat selbst etwas unternommen, um einen Dienst mit einem klar definierten Umfang anzufordern.
2. Der Cookie ist für den Dienst der Informationsgesellschaft unbedingt erforderlich: Wenn Cookies deaktiviert sind, funktioniert der Dienst nicht.“
Eine Interpretation, dass der Begriff „unbedingt erforderlich“ in § 96 Abs. 3 TKG im Sinne des Art. 6 Abs. 1 lit. f DSGVO zu interpretieren sei und damit auch ein wirtschaftliches Interesse die Erforderlichkeit der Einwilligung beim Einsatz von Cookies nicht notwendig mache, kann weder der Rechtsprechung, noch der Interpretation der Art. 29-Gruppe entnommen werden, vielmehr gehen sowohl die Rechtsprechung des EuGH als auch die Meinung der europäischen Datenschutzbehörden in die entgegengesetzte Richtung. Das Bundesverwaltungsgericht verkennt nicht, dass die in den lit. a bis c genannten Cookies prinzipiell keiner Einwilligung bedürfen, wobei hinsichtlich der lit. c von der belangten Behörde auf die Probleme einer praktischen Handhabung einer Abgrenzung von angemeldeten Benutzern und anderen Nutzern hingewiesen wurde. Hinsichtlich der lit. d wurde auf eine mögliche Einwilligung vor dem Aufruf von bestimmten Plattformen hingewiesen. Soweit bei der Setzung von Third-Party-Cookies auf das wirtschaftliche Interesse abgestellt wird (wie dies in lit. e und f der Fall ist), würde dies der oben angesprochenen Interpretation der belangten Behörde, die auch vom Bundesverwaltungsgericht geteilt wird, widersprechen. Da aber überdies im Punkt XXXX die gesamte Regelung unter die Prämisse gestellt wird, dass die in Art. 96 Abs. 3 TKG enthaltene Formulierung „zwingend erforderlich“ auch im Sinne eines wirtschaftlichen Interesses auslegbar sei, ist der Ansicht der belangten Behörde auch nicht entgegenzutreten, dass die Bestimmung in ihrer Gesamtheit nicht genehmigungsfähig ist.Eine Interpretation, dass der Begriff „unbedingt erforderlich“ in Paragraph 96, Absatz 3, TKG im Sinne des Artikel 6, Absatz eins, Litera f, DSGVO zu interpretieren sei und damit auch ein wirtschaftliches Interesse die Erforderlichkeit der Einwilligung beim Einsatz von Cookies nicht notwendig mache, kann weder der Rechtsprechung, noch der Interpretation der Artikel 29 -, G, r, u, p, p, e, entnommen werden, vielmehr gehen sowohl die Rechtsprechung des EuGH als auch die Meinung der europäischen Datenschutzbehörden in die entgegengesetzte Richtung. Das Bundesverwaltungsgericht verkennt nicht, dass die in den Litera a bis c genannten Cookies prinzipiell keiner Einwilligung bedürfen, wobei hinsichtlich der Litera c, von der belangten Behörde auf die Probleme einer praktischen Handhabung einer Abgrenzung von angemeldeten Benutzern und anderen Nutzern hingewiesen wurde. Hinsichtlich der Litera d, wurde auf eine mögliche Einwilligung vor dem Aufruf von bestimmten Plattformen hingewiesen. Soweit bei der Setzung von Third-Party-Cookies auf das wirtschaftliche Interesse abgestellt wird (wie dies in Litera e und f der Fall ist), würde dies der oben angesprochenen Interpretation der belangten Behörde, die auch vom Bundesverwaltungsgericht geteilt wird, widersprechen. Da aber überdies im Punkt römisch XXXX die gesamte Regelung unter die Prämisse gestellt wird, dass die in Artikel 96, Absatz 3, TKG enthaltene Formulierung „zwingend erforderlich“ auch im Sinne eines wirtschaftlichen Interesses auslegbar sei, ist der Ansicht der belangten Behörde auch nicht entgegenzutreten, dass die Bestimmung in ihrer Gesamtheit nicht genehmigungsfähig ist.
Daher war die Beschwerde auch in diesem Punkt abzuweisen.
Zum abgewiesenen Punkt XXXX (Tracking-Cookies bei XXXX ) und Punkt XXXX (Tracking-Cookies bei XXXX ) Seite XXXX der Verhaltensregeln idF XXXX : Zum abgewiesenen Punkt römisch XXXX (Tracking-Cookies bei römisch XXXX ) und Punkt römisch XXXX (Tracking-Cookies bei römisch XXXX ) Seite römisch XXXX der Verhaltensregeln in der Fassung römisch XXXX :
Die nicht genehmigten Punkte XXXX und XXXX lauten:Die nicht genehmigten Punkte römisch XXXX und römisch XXXX lauten:
XXXX römisch XXXX
Die belangte Behörde verweist in der Begründung ihres Bescheides darauf, dass Verhaltensregeln generell-abstrakte Wirkung besäßen und der entsprechende Inhalt einen gewissen Grad an Detailliertheit aufweisen müsse, der im gegenständlichen Fall nicht ersichtlich sei.
So fänden sich zwar an anderer Stelle der Verhaltensregeln Vorgaben im Hinblick auf die Transparenz (vgl. XXXX ff); zur Frage, in welchem Ausmaß nach Abgabe einer Einwilligung jedoch ein Zugriff auf die Webseite gewährt werde, inwiefern die Möglichkeit bestehe, den kostenpflichtigen Zugang anonym in Anspruch zu nehmen, inwiefern eine tatsächliche Leistung vorhanden sein müsse, für welche objektiv betrachtet ein Entgelt verlangt werden könne, und insbesondere, welche Maßnahmen getroffen würden, um die Verhältnismäßigkeit bei der Verwendung von Cookies zu wahren (etwa im Hinblick auf die Auswahl der Partner, z. B. ob XXXX bei der Werbeausspielung verwendet werde oder nicht) fänden sich jedoch keine Regelungen.So fänden sich zwar an anderer Stelle der Verhaltensregeln Vorgaben im Hinblick auf die Transparenz vergleiche römisch XXXX ff); zur Frage, in welchem Ausmaß nach Abgabe einer Einwilligung jedoch ein Zugriff auf die Webseite gewährt werde, inwiefern die Möglichkeit bestehe, den kostenpflichtigen Zugang anonym in Anspruch zu nehmen, inwiefern eine tatsächliche Leistung vorhanden sein müsse, für welche objektiv betrachtet ein Entgelt verlangt werden könne, und insbesondere, welche Maßnahmen getroffen würden, um die Verhältnismäßigkeit bei der Verwendung von Cookies zu wahren (etwa im Hinblick auf die Auswahl der Partner, z. B. ob römisch XXXX bei der Werbeausspielung verwendet werde oder nicht) fänden sich jedoch keine Regelungen.
Zur Vollständigkeit sei auch darauf hinzuweisen, dass die Einwilligung zum Einsatz von Tracking-Cookies auch nicht „vertraglich als Gegenleistung des Nutzers für die Bereitstellung ohne Bezahlschranke“ ausbedungen werden könne, da es sich bei § 96 Abs. 3 TKG 2003 – so wie im übrigen auch der anderweitigen verbraucherschutzrechtlichen Regelungen – um zwingendes Recht handle. Maßstab sei daher immer, ob die (analog anzuwendenden) Vorgaben für eine Einwilligung nach der DSGVO eingehalten würden. Zur Vollständigkeit sei auch darauf hinzuweisen, dass die Einwilligung zum Einsatz von Tracking-Cookies auch nicht „vertraglich als Gegenleistung des Nutzers für die Bereitstellung ohne Bezahlschranke“ ausbedungen werden könne, da es sich bei Paragraph 96, Absatz 3, TKG 2003 – so wie im übrigen auch der anderweitigen verbraucherschutzrechtlichen Regelungen – um zwingendes Recht handle. Maßstab sei daher immer, ob die (analog anzuwendenden) Vorgaben für eine Einwilligung nach der DSGVO eingehalten würden.
Unter Berücksichtigung dieser Überlegungen und insbesondere unter Berücksichtigung der Gefahren von Behavioral Advertising sei die belangte Behörde der Ansicht, dass die genannten Punkte in dieser Allgemeinheit keine ausreichenden Garantien für die Rechte und Freiheiten natürlicher Personen böten und daher nicht genehmigungsfähig seien.
Die Beschwerdeführer verweisen in ihrer Beschwerde auf ihre Ausführungen zu Punkt XXXX Weiters monieren sie, dass die belangte Behörde im gesamten Verfahren stets nur wiederkehrend auf die nicht hinreichende Bestimmtheit, zu hohen Grad der Allgemeinheit und das Erfordernis des zu beurteilenden Einzelfalls verwiesen habe, ohne jemals Formulierungsmöglichkeiten aufzuzeigen, welche geeignet wären, Bedenken der belangten Behörde zu beseitigen. Diesbezüglich könne sich die belangte Behörde auch nicht darauf zurückziehen, dass aufgrund der anwaltlichen Vertretenheit der Beschwerdeführer keine Anleitungspflicht bestanden hätte. Die gebotene Präzisierung unbestimmter und teils auch durch Fachliteratur divergierende interpretierte Bestimmungen der DSGVO, welche gemäß Art. 40 Abs. 1 DSGVO durch die belangte Behörde zu fördern sei, sei nicht möglich, ohne dass die Behörde ihre Interpretation im Hinblick auf an sie im Wege eingereichter Verhaltensregeln herangetragene branchenspezifische Interpretationsfragen auch betreffend von ihr im Verfahren beanstandeten Formulierungen hinreichend deutlich darlegen. Auch sei nicht nachvollziehbar, dass Regelungen zur Frage fehlen würden, inwieweit die Möglichkeit bestehe, den kostenpflichtigen Zugang anonym in Anspruch zu nehmen. Die für die Abwicklung eines entgeltlichen Vertrags im Internet erforderliche Offenlegung der Identität des Kunden gegenüber dem fakturierenden Rechtsträger sei geradezu der Ur-Anwendungsfall einer Erforderlichkeit zur Vertragserfüllung. Relevant sei lediglich, dass die Erbringung der Dienstleistung (auch) in einer Weise angeboten werde, bei welcher der Nutzer keine Einwilligung zur Durchführung des Vertrags nicht erforderlicher Verarbeitungstätigkeiten erteilen müsse.Die Beschwerdeführer verweisen in ihrer Beschwerde auf ihre Ausführungen zu Punkt römisch XXXX Weiters monieren sie, dass die belangte Behörde im gesamten Verfahren stets nur wiederkehrend auf die nicht hinreichende Bestimmtheit, zu hohen Grad der Allgemeinheit und das Erfordernis des zu beurteilenden Einzelfalls verwiesen habe, ohne jemals Formulierungsmöglichkeiten aufzuzeigen, welche geeignet wären, Bedenken der belangten Behörde zu beseitigen. Diesbezüglich könne sich die belangte Behörde auch nicht darauf zurückziehen, dass aufgrund der anwaltlichen Vertretenheit der Beschwerdeführer keine Anleitungspflicht bestanden hätte. Die gebotene Präzisierung unbestimmter und teils auch durch Fachliteratur divergierende interpretierte Bestimmungen der DSGVO, welche gemäß Artikel 40, Absatz eins, DSGVO durch die belangte Behörde zu fördern sei, sei nicht möglich, ohne dass die Behörde ihre Interpretation im Hinblick auf an sie im Wege eingereichter Verhaltensregeln herangetragene branchenspezifische Interpretationsfragen auch betreffend von ihr im Verfahren beanstandeten Formulierungen hinreichend deutlich darlegen. Auch sei nicht nachvollziehbar, dass Regelungen zur Frage fehlen würden, inwieweit die Möglichkeit bestehe, den kostenpflichtigen Zugang anonym in Anspruch zu nehmen. Die für die Abwicklung eines entgeltlichen Vertrags im Internet erforderliche Offenlegung der Identität des Kunden gegenüber dem fakturierenden Rechtsträger sei geradezu der Ur-Anwendungsfall einer Erforderlichkeit zur Vertragserfüllung. Relevant sei lediglich, dass die Erbringung der Dienstleistung (auch) in einer Weise angeboten werde, bei welcher der Nutzer keine Einwilligung zur Durchführung des Vertrags nicht erforderlicher Verarbeitungstätigkeiten erteilen müsse.
Auch zu XXXX verweisen die Beschwerdeführer auf ihre Ausführungen zu Punkt XXXX So sei es nach der überwiegend in der Literatur vertretenen Auffassung keineswegs ausgeschlossen, dass Anbieter auch künftig auf Grundlage einer Einwilligung ihre Dienste im Tausch gegen personenbezogene Daten des Nutzers anbieten. Erforderlich zur Vertragserfüllung im Sinne des Art. 7 Abs. 4 DSGVO sei die kommerzielle Nutzung personenbezogener Daten durch Diensteanbieter vielmehr ohne weiteres dann, wenn auf den Tausch Leistung gegen Daten abgestellt werde. Das Erfordernis der dargestellten Auslegung von Art. 7 Abs. 4 DSGVO ergebe sich auch aus Art. 16 GRC. Das Grundrecht auf unternehmerische Freiheit garantiere unter anderem auch die Vertragsfreiheit – hierzu zähle auch die Freiheit, den Preis für eine Leistung festzulegen. Ein Verbot an werbefinanzierte privatwirtschaftliche Unternehmen, für den Zugang zu ihrem rein XXXX die (rechtlich zur Durchführung der Maßnahmen, welche die Finanzierung durch Werbung ermöglichen, erforderliche) Einwilligung des Nutzers zur damit einhergehenden Verarbeitung personenbezogener Daten (als solche infrage kämen insbesondere CookieID, IP-Adresse) als Preis festzusetzen, wäre ein nach dem Verhältnismäßigkeitsgrundsatz wohl nicht zu rechtfertigender Eingriff in das durch Art. 16 GRC verbürgte Grundrecht der unternehmerischen Freiheit.Auch zu römisch XXXX verweisen die Beschwerdeführer auf ihre Ausführungen zu Punkt römisch XXXX So sei es nach der überwiegend in der Literatur vertretenen Auffassung keineswegs ausgeschlossen, dass Anbieter auch künftig auf Grundlage einer Einwilligung ihre Dienste im Tausch gegen personenbezogene Daten des Nutzers anbieten. Erforderlich zur Vertragserfüllung im Sinne des Artikel 7, Absatz 4, DSGVO sei die kommerzielle Nutzung personenbezogener Daten durch Diensteanbieter vielmehr ohne weiteres dann, wenn auf den Tausch Leistung gegen Daten abgestellt werde. Das Erfordernis der dargestellten Auslegung von Artikel 7, Absatz 4, DSGVO ergebe sich auch aus Artikel 16, GRC. Das Grundrecht auf unternehmerische Freiheit garantiere unter anderem auch die Vertragsfreiheit – hierzu zähle auch die Freiheit, den Preis für eine Leistung festzulegen. Ein Verbot an werbefinanzierte privatwirtschaftliche Unternehmen, für den Zugang zu ihrem rein römisch XXXX die (rechtlich zur Durchführung der Maßnahmen, welche die Finanzierung durch Werbung ermöglichen, erforderliche) Einwilligung des Nutzers zur damit einhergehenden Verarbeitung personenbezogener Daten (als solche infrage kämen insbesondere CookieID, IP-Adresse) als Preis festzusetzen, wäre ein nach dem Verhältnismäßigkeitsgrundsatz wohl nicht zu rechtfertigender Eingriff in das durch Artikel 16, GRC verbürgte Grundrecht der unternehmerischen Freiheit.
Der Einsatz von Cookies (Speichern im Endgerät und Auslesen von CookiesIDs aus dem Endgerät) ohne Einholung der Einwilligung des Nutzers sei gemäß § 96 Abs. 3 TKG iVm Art. 5 Abs. 3 ePrivacy-Richtlinie – jedenfalls, wenn es dabei zur Verarbeitung personenbezogener Daten komme – nur zulässig, wenn dies unbedingt erforderlich zur Erbringung eines vom Nutzer angefragten Dienstes sei. Die WP29 habe hierzu die Auffassung vertreten, dass diese unbedingte Erforderlichkeit im Sinne des Art. 7 Abs. 4 DSGVO als technische Erforderlichkeit zu verstehen sei. Der Einsatz von Cookies (Speichern im Endgerät und Auslesen von CookiesIDs aus dem Endgerät) ohne Einholung der Einwilligung des Nutzers sei gemäß Paragraph 96, Absatz 3, TKG in Verbindung mit Artikel 5, Absatz 3, ePrivacy-Richtlinie – jedenfalls, wenn es dabei zur Verarbeitung personenbezogener Daten komme – nur zulässig, wenn dies unbedingt erforderlich zur Erbringung eines vom Nutzer angefragten Dienstes sei. Die WP29 habe hierzu die Auffassung vertreten, dass diese unbedingte Erforderlichkeit im Sinne des Artikel 7, Absatz 4, DSGVO als technische Erforderlichkeit zu verstehen sei.
Art. 7 Abs. 4 DSGVO lasse eine Koppelung ausnahmsweise zu, wenn die Einholung dieser Einwilligung für die Erfüllung des Vertrags erforderlich sei. Da die Vertragserfüllung einen gesonderten Rechtfertigungstatbestand darstelle (Art. 6 Abs. 1 lit. b DSGVO) und dem Gesetzgeber nicht unterstellt werden dürfe, sinnlose Bestimmungen formuliert zu haben, müsse Art. 7 Abs. 4 DSGVO, wie von Ehmann/Selmayr zutreffend ausgeführt, dahingehend interpretiert werden, dass die Koppelung zulässig sei, wenn eine Einwilligung zu einer Datenverarbeitung, die nicht unmittelbarer Bestandteil der Vertragsschlusserfüllung sei (und somit einer anderen Rechtfertigung nach Art. 6 Abs. 1 DSGVO bedürfe) erst die Grundlage dafür schaffe, dass die Vertragserfüllung überhaupt angeboten werden könne. Durch diese Interpretation werde auch das Spannungsverhältnis zwischen Art. 6 Abs. 1 lit. f DSGVO und Art. 5 Abs. 3 ePrivacy-Richtlinie plausibel aufgelöst.Artikel 7, Absatz 4, DSGVO lasse eine Koppelung ausnahmsweise zu, wenn die Einholung dieser Einwilligung für die Erfüllung des Vertrags erforderlich sei. Da die Vertragserfüllung einen gesonderten Rechtfertigungstatbestand darstelle (Artikel 6, Absatz eins, Litera b, DSGVO) und dem Gesetzgeber nicht unterstellt werden dürfe, sinnlose Bestimmungen formuliert zu haben, müsse Artikel 7, Absatz 4, DSGVO, wie von Ehmann/Selmayr zutreffend ausgeführt, dahingehend interpretiert werden, dass die Koppelung zulässig sei, wenn eine Einwilligung zu einer Datenverarbeitung, die nicht unmittelbarer Bestandteil der Vertragsschlusserfüllung sei (und somit einer anderen Rechtfertigung nach Artikel 6, Absatz eins, DSGVO bedürfe) erst die Grundlage dafür schaffe, dass die Vertragserfüllung überhaupt angeboten werden könne. Durch diese Interpretation werde auch das Spannungsverhältnis zwischen Artikel 6, Absatz eins, Litera f, DSGVO und Artikel 5, Absatz 3, ePrivacy-Richtlinie plausibel aufgelöst.
Da der Einsatz von Cookies, welche technisch für die Erbringung eines XXXX nicht erforderlich seien, wohl aber unersetzlich für die wirtschaftliche Grundlage des Dienstes – XXXX – seien, wie von der WP29 interpretiert der Einwilligung bedürfe, sei dann die Einholung der Einwilligung für die Erfüllung des Vertrags erforderlich, wenn und solange die XXXX anders nicht gewährleistet werden könne.Da der Einsatz von Cookies, welche technisch für die Erbringung eines römisch XXXX nicht erforderlich seien, wohl aber unersetzlich für die wirtschaftliche Grundlage des Dienstes – römisch XXXX – seien, wie von der WP29 interpretiert der Einwilligung bedürfe, sei dann die Einholung der Einwilligung für die Erfüllung des Vertrags erforderlich, wenn und solange die römisch XXXX anders nicht gewährleistet werden könne.
Die mit keinerlei Quellen belegte Begründung der belangten Behörde, „dass die Einwilligung zum Einsatz von Tracking-Cookies auch nicht vertraglich als Gegenleistung des Nutzers für die Bereitstellung ohne der Zahlschranke ausbedungen werden kann, da es sich bei § 96 Abs. 3 TKG 2003 – so wie im übrigen auch bei anderweitigen verbraucherrechtlichen Regelungen – um zwingendes Recht handelt“, sei im Ergebnis verfehlt: weder dem § 96 Abs. 3 TKG noch einer anderen verbraucherschutzrechtlichen Regelung nach der DSGVO sei nämlich ein Verbot des Abtauschs einer Einwilligung des Nutzers zu Tracking-Cookies gegen den Zugang zu dem Onlinemedium (und einer sonstigen Dienstleistung) zu entnehmen.Die mit keinerlei Quellen belegte Begründung der belangten Behörde, „dass die Einwilligung zum Einsatz von Tracking-Cookies auch nicht vertraglich als Gegenleistung des Nutzers für die Bereitstellung ohne der Zahlschranke ausbedungen werden kann, da es sich bei Paragraph 96, Absatz 3, TKG 2003 – so wie im übrigen auch bei anderweitigen verbraucherrechtlichen Regelungen – um zwingendes Recht handelt“, sei im Ergebnis verfehlt: weder dem Paragraph 96, Absatz 3, TKG noch einer anderen verbraucherschutzrechtlichen Regelung nach der DSGVO sei nämlich ein Verbot des Abtauschs einer Einwilligung des Nutzers zu Tracking-Cookies gegen den Zugang zu dem Onlinemedium (und einer sonstigen Dienstleistung) zu entnehmen.
Das Bundesverwaltungsgericht hält dazu Folgendes fest:
Was Punkt XXXX betrifft, so ist zunächst auf die Ausführungen zu Punkt XXXX zu verweisen, wonach die Zustimmung zur Verarbeitung von Daten im Tausch zu einer begünstigenden Gegenleistung in dieser Allgemeinheit nicht genehmigt werden kann. Darüber hinaus stellt beim Einsatz von Cookies jedenfalls – wie auch die belangte Behörde zu Recht ausführte – § 96 Abs. 3 TKG zwingendes Recht dar, sodass eine Einwilligung jedenfalls den Voraussetzungen der DSGVO, insbesondere auch dem Erfordernis der Freiwilligkeit, zu entsprechen hat. Der in § 96 Abs. 3 TKG 2003 enthaltenen Ausnahme „unbedingt erforderlich“ liegt – wie bereits oben festgehalten – keine wirtschaftliche, sondern eine technische Erforderlichkeit zugrunde. Jede andere Betrachtung würde die Notwendigkeit der Einholung einer Einwilligung für gewisse Cookies durch Konstruktion der Tatsache der berechtigten Interessen, die § 96 Abs. 3 TKG 2003 jedoch nicht kennt, ausgehöhlt werden.Was Punkt römisch XXXX betrifft, so ist zunächst auf die Ausführungen zu Punkt römisch XXXX zu verweisen, wonach die Zustimmung zur Verarbeitung von Daten im Tausch zu einer begünstigenden Gegenleistung in dieser Allgemeinheit nicht genehmigt werden kann. Darüber hinaus stellt beim Einsatz von Cookies jedenfalls – wie auch die belangte Behörde zu Recht ausführte – Paragraph 96, Absatz 3, TKG zwingendes Recht dar, sodass eine Einwilligung jedenfalls den Voraussetzungen der DSGVO, insbesondere auch dem Erfordernis der Freiwilligkeit, zu entsprechen hat. Der in Paragraph 96, Absatz 3, TKG 2003 enthaltenen Ausnahme „unbedingt erforderlich“ liegt – wie bereits oben festgehalten – keine wirtschaftliche, sondern eine technische Erforderlichkeit zugrunde. Jede andere Betrachtung würde die Notwendigkeit der Einholung einer Einwilligung für gewisse Cookies durch Konstruktion der Tatsache der berechtigten Interessen, die Paragraph 96, Absatz 3, TKG 2003 jedoch nicht kennt, ausgehöhlt werden.
Wie die belangte Behörde ausführt, ist für die Zulässigkeit von Cookies weiters bedeutend, dass diese für die Diensterbringung unbedingt erforderlich sein müssen und ein klarer Zusammenhang mit dem vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienst bestehen muss (vgl. ErwGr 66 der RL 2009/136/EG sowie Riesz in Riesz/Schilchegger (Hrsg.), TKG (2016) § 96 Rn. 8). Es werde nicht übersehen, dass freilich eine gewisse Kausalitätskette bestehe. Würden keine Tracking- oder Adserver-Cookies gesetzt, könne sich ein XXXX nicht finanzieren, weshalb nach Ansicht der Beschwerdeführer das Setzen derartiger (jedenfalls von Adserver-) Cookies unbedingt erforderlich sei, andernfalls es keine der Webseite gäbe, die ein Teilnehmer oder Nutzer (bzw. in der Terminologie der DSGVO eine betroffene Person) aufrufen könne. Würde man dieser Logik jedoch aus datenschutzrechtlicher Sicht folgen, so würde jegliche Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO im Zusammenhang mit einem Angebot eines Verantwortlichen, der sich durch die Verarbeitung personenbezogener Daten finanziere (bzw. XXXX ) stets gegen eine betroffene Person ausfallen. Das Argument „es muss zulässig sein, sonst kann das Angebot nicht existieren“ könne deshalb keinen Bestand haben. Wie die belangte Behörde ausführt, ist für die Zulässigkeit von Cookies weiters bedeutend, dass diese für die Diensterbringung unbedingt erforderlich sein müssen und ein klarer Zusammenhang mit dem vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienst bestehen muss vergleiche ErwGr 66 der RL 2009/136/EG sowie Riesz in Riesz/Schilchegger (Hrsg.), TKG (2016) Paragraph 96, Rn. 8). Es werde nicht übersehen, dass freilich eine gewisse Kausalitätskette bestehe. Würden keine Tracking- oder Adserver-Cookies gesetzt, könne sich ein römisch XXXX nicht finanzieren, weshalb nach Ansicht der Beschwerdeführer das Setzen derartiger (jedenfalls von Adserver-) Cookies unbedingt erforderlich sei, andernfalls es keine der Webseite gäbe, die ein Teilnehmer oder Nutzer (bzw. in der Terminologie der DSGVO eine betroffene Person) aufrufen könne. Würde man dieser Logik jedoch aus datenschutzrechtlicher Sicht folgen, so würde jegliche Interessenabwägung nach Artikel 6, Absatz eins, Litera f, DSGVO im Zusammenhang mit einem Angebot eines Verantwortlichen, der sich durch die Verarbeitung personenbezogener Daten finanziere (bzw. römisch XXXX ) stets gegen eine betroffene Person ausfallen. Das Argument „es muss zulässig sein, sonst kann das Angebot nicht existieren“ könne deshalb keinen Bestand haben.
Aus Sicht der betroffenen Person könne weiters nicht davon ausgegangen werden, dass die Setzung von Tracking- oder Adserver-Cookies ausdrücklich gewünscht sei, vielmehr sei bei der Diensterbringung, gegenständlich der Aufruf einer Webseite eines XXXX , ausdrücklich gewünscht, dass die Website eine entsprechende Funktionalität aufweist. Nach der allgemeinen Lebenserfahrung liege es jedenfalls nicht nahe, dass irgendein Internetnutzer ausdrücklich die XXXX bzw. das Setzen von Tracking- oder Adserver-Cookies wünsche, vielmehr könne höchstens von einem „Akzeptieren“ oder „Dulden“ gesprochen werden, wenn im Gegenzug dafür eine gewisse Leistung (etwa der Zugang zu XXXX ) in Anspruch genommen werden könne.Aus Sicht der betroffenen Person könne weiters nicht davon ausgegangen werden, dass die Setzung von Tracking- oder Adserver-Cookies ausdrücklich gewünscht sei, vielmehr sei bei der Diensterbringung, gegenständlich der Aufruf einer Webseite eines römisch XXXX , ausdrücklich gewünscht, dass die Website eine entsprechende Funktionalität aufweist. Nach der allgemeinen Lebenserfahrung liege es jedenfalls nicht nahe, dass irgendein Internetnutzer ausdrücklich die römisch XXXX bzw. das Setzen von Tracking- oder Adserver-Cookies wünsche, vielmehr könne höchstens von einem „Akzeptieren“ oder „Dulden“ gesprochen werden, wenn im Gegenzug dafür eine gewisse Leistung (etwa der Zugang zu römisch XXXX ) in Anspruch genommen werden könne.
Das Bundesverwaltungsgericht verweist dazu auf seine Ausführungen zu Punkt XXXX bezüglich Art. 5 Abs. 3 ePrivacy-RL und § 96 Abs. 3 TKG 2003 sowie zu Punkt XXXX und schließt sich damit der Rechtsansicht der belangten Behörde an. Aufgrund der obenstehenden Ausführungen ist festzustellen, dass – entgegen den Ausführungen der Beschwerdeführer – ein „Spannungsverhältnis“ zwischen Art. 6 Abs. 1 lit. f DSGVO und § 96 Abs. 3 TKG 2003 nicht gesehen werden kann.Das Bundesverwaltungsgericht verweist dazu auf seine Ausführungen zu Punkt römisch XXXX bezüglich Artikel 5, Absatz 3, ePrivacy-RL und Paragraph 96, Absatz 3, TKG 2003 sowie zu Punkt römisch XXXX und schließt sich damit der Rechtsansicht der belangten Behörde an. Aufgrund der obenstehenden Ausführungen ist festzustellen, dass – entgegen den Ausführungen der Beschwerdeführer – ein „Spannungsverhältnis“ zwischen Artikel 6, Absatz eins, Litera f, DSGVO und Paragraph 96, Absatz 3, TKG 2003 nicht gesehen werden kann.
Wie die belangte Behörde auch in ihrer Stellungnahme vom 28.08.2019 zutreffend ausführt, ist auf wirtschaftliche Interessen auch im Rahmen der Beurteilung der Freiwilligkeit der Einwilligung nach Art. 7 DSGVO nicht abzustellen und können diese lediglich im Rahmen einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO berücksichtigt werden. Wie die belangte Behörde auch in ihrer Stellungnahme vom 28.08.2019 zutreffend ausführt, ist auf wirtschaftliche Interessen auch im Rahmen der Beurteilung der Freiwilligkeit der Einwilligung nach Artikel 7, DSGVO nicht abzustellen und können diese lediglich im Rahmen einer Interessenabwägung nach Artikel 6, Absatz eins, Litera f, DSGVO berücksichtigt werden.
Was Punkt XXXX betrifft, so beschränkt dieser das Erfordernis der Einwilligung auf bestimmte Fälle, in denen der Einsatz der Tracking-Cookies aus wirtschaftlichen Gründen nicht notwendig ist. Dies widerspricht aber der oben ausgeführten Interpretation des § 96 Abs. 3 TKG. Bezüglich des zweiten Absatzes (Vergünstigung) wird insbesondere auf die Ausführungen zu Punkt XXXX verwiesen. Insofern ist auch durch den Einschub „in der Regel“ nichts zu gewinnen, da es - wie oben ausgeführt – auf die konkrete Ausgestaltung der Zugangsbedingungen und der Alternativangebote im Einzelfall ankommt. Was Punkt römisch XXXX betrifft, so beschränkt dieser das Erfordernis der Einwilligung auf bestimmte Fälle, in denen der Einsatz der Tracking-Cookies aus wirtschaftlichen Gründen nicht notwendig ist. Dies widerspricht aber der oben ausgeführten Interpretation des Paragraph 96, Absatz 3, TKG. Bezüglich des zweiten Absatzes (Vergünstigung) wird insbesondere auf die Ausführungen zu Punkt römisch XXXX verwiesen. Insofern ist auch durch den Einschub „in der Regel“ nichts zu gewinnen, da es - wie oben ausgeführt – auf die konkrete Ausgestaltung der Zugangsbedingungen und der Alternativangebote im Einzelfall ankommt.
Soweit die Beschwerdeführer in ihrer Stellungnahme vom 10.03.2020 auf einen Erwägungsgrund in einem Entwurf der finnischen Ratspräsidentschaft verweist, so handelt es sich jedenfalls lediglich um einen Vorschlag und kommt diesem keine normative Wirkung zu.
Schließlich ist auch dem Argument der Beschwerdeführer nicht zu folgen, dass durch eine Nicht-Genehmigung der gegenständlichen Regelungen in das Grundrecht auf unternehmerische Freiheit eingegriffen werde, da die Abweisung des Antrags nicht bedeutet, dass eine Koppelung immer unzulässig ist, sondern nur, dass eine Genehmigung in dieser allgemeinen Formulierung, wie sie gegenständlich getroffen wurde, nicht erforderlich ist.
Aus den genannten Gründen war auch in diesem Punkt die Beschwerde abzuweisen.
Zum behaupteten Verfahrensmangel der Verletzung der Förderpflicht:
Soweit die Beschwerdeführer behaupten, dass die belangte Behörde ihren Förderpflichten gemäß Art. 57 Abs. 1 lit. m DSGVO nicht oder nur unzureichend nachgekommen sei, ist Folgendes zu bemerken: Wie aus der Aktenlage ersichtlich ist, wurden der belangten Behörde - nach entsprechendem Feedback – mehrere überarbeitete Entwürfe der Verhaltensregeln vorgelegt. Wie die belangte Behörde in ihrer Stellungnahme vom 28.08.2019 ausführte, hat sie am 20.06.2018 eine Stellungnahme abgegeben, am 20.11.2018 eine mündliche Verhandlung durchgeführt sowie zweimal in einem jeweils rund ein- bis eineinhalbstündigen Telefonat mit dem Vertreter der Beschwerdeführer den jeweils letzten Entwurf telefonisch erörtert. Im Rahmen dieser Stellungnahmen seien stets konkrete Vorschläge an die Beschwerdeführer unterbreitet worden, was auch letztlich dazu geführt habe, dass der überwiegende Teil der Verhaltensregeln genehmigt worden sei. Wie die belangte Behörde ausführte, schließe die Förderpflicht nicht mit ein, dass die belangte Behörde konkrete Punkte für Antragsteller verfassen oder eine detaillierte Anleitung dafür geben müsse, wie ein Punkt genehmigungsfähig werden könne. Abgesehen davon seien die Beschwerdeführer ohnehin darauf hingewiesen worden, dass die Verhaltensregeln in Punkt XXXX zu allgemein gehalten seien und konkretisiert werden mögen. Weiters weist die belangte Behörde darauf hin, dass der EDSA in seinen „Leitlinien 1/2019 über Verhaltensregeln und Überwachungsstellen gemäß der Verordnung (EU) 2016/679“Soweit die Beschwerdeführer behaupten, dass die belangte Behörde ihren Förderpflichten gemäß Artikel 57, Absatz eins, Litera m, DSGVO nicht oder nur unzureichend nachgekommen sei, ist Folgendes zu bemerken: Wie aus der Aktenlage ersichtlich ist, wurden der belangten Behörde - nach entsprechendem Feedback – mehrere überarbeitete Entwürfe der Verhaltensregeln vorgelegt. Wie die belangte Behörde in ihrer Stellungnahme vom 28.08.2019 ausführte, hat sie am 20.06.2018 eine Stellungnahme abgegeben, am 20.11.2018 eine mündliche Verhandlung durchgeführt sowie zweimal in einem jeweils rund ein- bis eineinhalbstündigen Telefonat mit dem Vertreter der Beschwerdeführer den jeweils letzten Entwurf telefonisch erörtert. Im Rahmen dieser Stellungnahmen seien stets konkrete Vorschläge an die Beschwerdeführer unterbreitet worden, was auch letztlich dazu geführt habe, dass der überwiegende Teil der Verhaltensregeln genehmigt worden sei. Wie die belangte Behörde ausführte, schließe die Förderpflicht nicht mit ein, dass die belangte Behörde konkrete Punkte für Antragsteller verfassen oder eine detaillierte Anleitung dafür geben müsse, wie ein Punkt genehmigungsfähig werden könne. Abgesehen davon seien die Beschwerdeführer ohnehin darauf hingewiesen worden, dass die Verhaltensregeln in Punkt römisch XXXX zu allgemein gehalten seien und konkretisiert werden mögen. Weiters weist die belangte Behörde darauf hin, dass der EDSA in seinen „Leitlinien 1/2019 über Verhaltensregeln und Überwachungsstellen gemäß der Verordnung (EU) 2016/679“3 von einem restriktiven Verständnis der Förderpflicht ausgehe. Demnach werde vor Antragstellung eine Konsultation der Aufsichtsbehörde durch die Antragsteller erwartet und sei in der Genehmigungsphase (national gesehen: der Phase nach Antragstellung) keine weitere Rücksprache mit den Antragstellern der Verhaltensregeln zu speziellen Bestimmungen des Entwurfs oder eine fortwährende Vorlage geänderter Entwürfe (verfahrensgegenständlich habe sich die belangte Behörde mit fünf Entwürfen der Beschwerdeführer befasst) vorgesehen (vgl. EDSA, Leitlinien 1/2019, S. 23). Eine Beschwer sei auch nicht erkennbar, weil es sich bei Verhaltensregeln um „lebende Instrumente“ handle, die an die jeweilige neue Rechtslage angepasst werden müssten und insofern keine res iudicata vorliegen könne. Nach Art. 40 Abs. 5 DSGVO können Antragsteller auch jederzeit einen Änderungs- bzw. Ergänzungsantrag stellen (vgl. EDSA, Leitlinien 1/2019, S. 20). Dem Beschwerdeführer stehe es daher selbstverständlich frei, einen Änderungsantrag im Hinblick auf die abgewiesenen Punkte zu stellen, die einen entsprechenden Präzisierungsgrad aufweisen würden. von einem restriktiven Verständnis der Förderpflicht ausgehe. Demnach werde vor Antragstellung eine Konsultation der Aufsichtsbehörde durch die Antragsteller erwartet und sei in der Genehmigungsphase (national gesehen: der Phase nach Antragstellung) keine weitere Rücksprache mit den Antragstellern der Verhaltensregeln zu speziellen Bestimmungen des Entwurfs oder eine fortwährende Vorlage geänderter Entwürfe (verfahrensgegenständlich habe sich die belangte Behörde mit fünf Entwürfen der Beschwerdeführer befasst) vorgesehen vergleiche EDSA, Leitlinien 1/2019, S. 23). Eine Beschwer sei auch nicht erkennbar, weil es sich bei Verhaltensregeln um „lebende Instrumente“ handle, die an die jeweilige neue Rechtslage angepasst werden müssten und insofern keine res iudicata vorliegen könne. Nach Artikel 40, Absatz 5, DSGVO können Antragsteller auch jederzeit einen Änderungs- bzw. Ergänzungsantrag stellen vergleiche EDSA, Leitlinien 1/2019, S. 20). Dem Beschwerdeführer stehe es daher selbstverständlich frei, einen Änderungsantrag im Hinblick auf die abgewiesenen Punkte zu stellen, die einen entsprechenden Präzisierungsgrad aufweisen würden.
Das Bundesverwaltungsgericht geht aufgrund der Aktenlage und der Ausführungen der belangten Behörde davon aus, dass eine hinreichende Förderung der (überdies anwaltlich vertretenen) Beschwerdeführer stattgefunden hat und kann daher einen Verfahrensmangel nicht erkennen. Auch diesbezüglich war die Beschwerde daher abzuweisen.
Zur Anregung der Vorlage von Fragen zur Vorabentscheidung:
Sofern die Beschwerdeführerin überdies eine Vorlage gemäß Art. 267 AEUV anregte, ist Folgendes festzuhalten: Ein nicht letztinstanzliches Gericht - wie das Bundesverwaltungsgericht (vgl. VfGH 26.02.2018, E 4325/2017) - ist nur zur Vorlage verpflichtet, wenn es die Gültigkeit von Unionsrecht anzweifelt (Kolonovits/Muzak/Stöger, Verwaltungsverfahrensrecht11, Rz 313/1). Solche Zweifel liegen im gegenständlichen Fall jedoch nicht vor.Sofern die Beschwerdeführerin überdies eine Vorlage gemäß Artikel 267, AEUV anregte, ist Folgendes festzuhalten: Ein nicht letztinstanzliches Gericht - wie das Bundesverwaltungsgericht vergleiche VfGH 26.02.2018, E 4325/2017) - ist nur zur Vorlage verpflichtet, wenn es die Gültigkeit von Unionsrecht anzweifelt (Kolonovits/Muzak/Stöger, Verwaltungsverfahrensrecht11, Rz 313/1). Solche Zweifel liegen im gegenständlichen Fall jedoch nicht vor.
Zum Entfall einer mündlichen Verhandlung:
Gemäß § 24 Abs. 1 VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen. Gemäß Paragraph 24, Absatz eins, VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.
Gemäß § 24 Abs. 4 VwGVG kann - soweit durch Bundes- oder Landesgesetz nicht anderes bestimmt ist - das Verwaltungsgericht ungeachtet eines Parteiantrags von einer Verhandlung absehen, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Art 6 Abs. 1 EMRK noch Art 47 GRC entgegenstehen. Gemäß Paragraph 24, Absatz 4, VwGVG kann - soweit durch Bundes- oder Landesgesetz nicht anderes bestimmt ist - das Verwaltungsgericht ungeachtet eines Parteiantrags von einer Verhandlung absehen, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Artikel 6, Absatz eins, EMRK noch Artikel 47, GRC entgegenstehen.
Im gegenständlichen Fall konnte das Unterlassen einer mündlichen Verhandlung darauf gestützt werden, dass der Sachverhalt aus der Aktenlage – wie in der Beweiswürdigung näher dargestellt – geklärt und völlig unstrittig war, weshalb die Durchführung einer öffentlichen mündlichen Verhandlung unterbleiben konnte. Es wurde auch kein Antrag auf Durchführung einer mündlichen Verhandlung gestellt.
3.4. Zu B) Zulässigkeit der Revision:
Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen. Gemäß Paragraph 25 a, Absatz eins, VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Artikel 133, Absatz 4, B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.
Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Soweit ersichtlich, existiert keine Rechtsprechung des Verwaltungsgerichtshofes zu § 96 Abs. 3 TKG, zu Art. 7 Abs. 4 DSGVO sowie zu Verhaltensregeln gemäß Art. 40 DSGVO.Die Revision ist gemäß Artikel 133, Absatz 4, B-VG zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Soweit ersichtlich, existiert keine Rechtsprechung des Verwaltungsgerichtshofes zu Paragraph 96, Absatz 3, TKG, zu Artikel 7, Absatz 4, DSGVO sowie zu Verhaltensregeln gemäß Artikel 40, DSGVO.
3.5. Es war daher spruchgemäß zu entscheiden.
1 https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051, abgerufen am 12.03.2020.
2 https://edpb.europa.eu/sites/edpb/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf, abgerufen am 12.03.2020.
3 https://edpb.europa.eu/our-work-tools/our-documents/wytyczne/guidelines-12019-codes-conduct-and-monitoring-bodies-under_de, abgerufen am 12.03.2020.