GZ: 
DSB
-D130.033/0003-DSB/2019 vom 7.3.2019
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Dr. Ulrich A*** (Beschwerdeführer) vom 23. Juli 2018 gegen die N***, Inc (Beschwerdegegnerin), niedergelassen in CA 9*3*2 T***, USA, in der Union vertreten durch die N*** Nederland B.V., niedergelassen in **** Amsterdam, Niederlande, wegen Verletzung im Grundrecht auf Datenschutz wie folgt:
- Der Beschwerde wird stattgegeben und es wird festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer dadurch im Grundrecht auf Datenschutz verletzt hat, indem sie an diesen am 19. Juli 2018 eine E-Mail zu Werbezwecken verschickt hat, obwohl keine Einwilligung hierzu vorlag.
Rechtsgrundlagen: Art. 5 Abs. 1 lit. a, c und e, Art. 27, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Datenschutz-Grundverordnung (DSGVO), ABl. Nr. L 119 vom 4.5.2016, S. 1; §§ 1 Abs. 1, 24 Abs. 1 und 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (EU-GRC), ABl. C 326 vom 26.10.2012, S. 391.: Artikel 5, Absatz eins, Litera a,, c und e, Artikel 27,, Artikel 57, Absatz eins, Litera f, sowie Artikel 77, Absatz eins, der Datenschutz-Grundverordnung (DSGVO), ABl. Nr. L 119 vom 4.5.2016, S. 1; Paragraphen eins, Absatz eins,, 24 Absatz eins, und 5 des Datenschutzgesetzes (DSG), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF; Artikel 8, Absatz eins, der Charta der Grundrechte der Europäischen Union (EU-GRC), ABl. C 326 vom 26.10.2012, S. 391.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Mit Eingabe vom 23. Juli 2018 behauptete der Beschwerdeführer eine Verletzung des Rechts auf Auskunft und die Rechtswidrigkeit der Verarbeitung seiner Daten. Zusammengefasst habe er am 26. Mai 2018 an die in der Datenschutzerklärung der Beschwerdegegnerin angegebene E-Mail-Adresse einen Antrag auf Auskunft gestellt. Die Beschwerdegegnerin habe auf diesen Antrag allerdings nicht reagiert. Anlass des Antrags sei eine E-Mail der Beschwerdegegnerin vom 18. Mai 2018. Im Rahmen dieser E-Mail habe die Beschwerdegegnerin den Beschwerdeführer mitgeteilt, dass seine Einwilligung benötigt werde, um mit diesem weiterhin in Kontakt zu bleiben. Allerdings habe der Beschwerdeführer zudem am 19. Juli 2018 eine E-Mail zu Werbezwecken erhalten, obwohl er keine Einwilligung erteilt habe. Die Beschwerdegegnerin verarbeite seine Daten daher rechtswidrig. Der Eingabe ist der Antrag auf Auskunft vom 26. Mai 2018 sowie ein Screenshot der E-Mail vom 18. Mai 2018 und vom 19. Juli 2018 beigefügt.
2. Mit Schreiben vom 28. November 2018 führte die Beschwerdegegnerin zusammengefasst aus, dass sie am 6. November 2018 eine nachträgliche Auskunft an den Beschwerdeführer erteilt habe. Dem Schreiben ist eine Kopie der E-Mail vom 6. November 2018 beigefügt.
3. Die Datenschutzbehörde gewährte den Beschwerdeführer mit Schreiben vom 3. Dezember 2018 Parteiengehör gemäß § 24 Abs. 6 DSG. Der Beschwerdeführer beanstandete die nachträglich erteilte Auskunft vom 6. November 2018 nicht mehr, weshalb die Datenschutzbehörde das Verfahren im Hinblick auf die geltend gemachte Verletzung im Recht auf Auskunft mit Schreiben vom 24. Jänner 2019 formlos einstellte. Gleichzeitig ersuchte die Datenschutzbehörde den Beschwerdeführer darum, seine Beschwerde im Hinblick auf die behauptete Rechtswidrigkeit der Verarbeitung seiner Daten zu präzisieren und ein Betroffenenrecht geltend zu machen. gewährte den Beschwerdeführer mit Schreiben vom 3. Dezember 2018 Parteiengehör gemäß Paragraph 24, Absatz 6, DSG. Der Beschwerdeführer beanstandete die nachträglich erteilte Auskunft vom 6. November 2018 nicht mehr, weshalb die Datenschutzbehörde das Verfahren im Hinblick auf die geltend gemachte Verletzung im Recht auf Auskunft mit Schreiben vom 24. Jänner 2019 formlos einstellte. Gleichzeitig ersuchte die Datenschutzbehörde den Beschwerdeführer darum, seine Beschwerde im Hinblick auf die behauptete Rechtswidrigkeit der Verarbeitung seiner Daten zu präzisieren und ein Betroffenenrecht geltend zu machen.
4. In seiner Stellungnahme vom 27. Jänner 2019 brachte der Beschwerdeführer zusammengefasst vor, die Beschwerdegegnerin habe bei der Verarbeitung seiner personenbezogenen Daten gegen das Grundrecht auf Geheimhaltung verstoßen, indem sie die Grundsätze für die Verarbeitung gemäß Art. 5 DSGVO sowie gegen die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 DSGVO verletzt habe. zusammengefasst vor, die Beschwerdegegnerin habe bei der Verarbeitung seiner personenbezogenen Daten gegen das Grundrecht auf Geheimhaltung verstoßen, indem sie die Grundsätze für die Verarbeitung gemäß Artikel 5, DSGVO sowie gegen die Rechtmäßigkeit der Verarbeitung gemäß Artikel 6, DSGVO verletzt habe.
5. Mit Stellungnahme vom 13. Februar 2019 brachte die Beschwerdegegnerin zusammengefasst vor, dass sich der Beschwerdeführer Ende 2014 bei der Beschwerdegegnerin zur Teilnahme einer Marketingveranstaltung angemeldet und seine Kontaktdaten übermittelt habe. Vor Geltung der DSGVO habe der Beschwerdeführer eine E-Mail mit der Bitte erhalten, eine Bestätigung abzugeben, sofern der Erhalt von weiteren E-Mails seitens der Beschwerdegegnerin weiterhin gewünscht sei. Der Beschwerdeführer habe der weiteren Kommunikation nicht zugestimmt, allerdings dennoch weiterhin E-Mails der Beschwerdegegnerin erhalten, was jedoch nicht passieren hätte dürfen. In Anbetracht dessen werde bestätigt, dass der Beschwerdeführer „in allen zukünftigen Marketing-Mitteilungen von N*** vollständig entfernt ist“.
B. Beschwerdegegenstand
Ausgehend vom Vorbringen des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin den Beschwerdeführer dadurch im Grundrecht auf Datenschutz verletzt hat, indem sie an diesen am 19. Juli 2018 eine E-Mail zu Werbezwecken verschickte, obwohl keine entsprechende Einwilligung eingeholt wurde.
C. Sachverhaltsfeststellungen
1. Die Beschwerdegegnerin hat ihre Niederlassung in CA 9*3*2 T***, USA und wird in der Union durch die N*** Nederland B.V., niedergelassen in **** Amsterdam, Niederlande, vertreten.
2. Die Beschwerdegegnerin ersuchte den Beschwerdeführer, welcher in Österreich wohnhaft ist, mit E-Mail vom 18. Mai 2018 darum, eine Einwilligung abzugeben, um weiterhin mit diesem in Kontakt bleiben zu dürfen.
3. Obwohl der Beschwerdeführer keine entsprechende Einwilligung zur weiteren Kontaktaufnahme abgegeben hat, hat die Beschwerdegegnerin am 19. Juli 2018 eine E-Mail zu Werbezwecken (Angebot zur Teilnahme an einer Eventveranstaltung in Deutschland) an den Beschwerdeführer (ulrich@a***.at) verschickt.
4. Mit Stellungnahme vom 13. Februar 2019 brachte die Beschwerdegegnerin vor, dass die E-Mail-Adresse des Beschwerdeführers „in allen zukünftigen Marketing-Mitteilungen von N*** vollständig entfernt ist“.
Beweiswürdigung: Die getroffenen Feststellungen beruhen auf dem unbestrittenen Vorbringen des Beschwerdeführers vom 23. Juli 2018, auf der Stellungnahme der Beschwerdegegnerin vom 13. Februar 2019 sowie auf einer amtswegigen Recherche der Datenschutzerklärung der Beschwerdegegnerin (https://www.n***.com/privacy-statement.html, abgerufen am 6. März 2019), welche den Sachverhaltsfeststellungen zugrunde gelegt wird.
D. In rechtlicher Hinsicht folgt daraus:
1. Zur Beschwerdegegnerin und ihrem Vertreter in der Union
Einleitend ist darauf hinzuweisen, dass der „One-Stop-Shop“ Mechanismus nach Art. 60 DSGVO im vorliegenden Fall keine Anwendung findet, da die Beschwerdegegnerin als Verantwortlicher iSv Art. 4 Z 7 DSGVO über Zwecke und Mittel der Verarbeitung entscheidet und ihren Sitz nur in den USA hat.Einleitend ist darauf hinzuweisen, dass der „One-Stop-Shop“ Mechanismus nach Artikel 60, DSGVO im vorliegenden Fall keine Anwendung findet, da die Beschwerdegegnerin als Verantwortlicher iSv Artikel 4, Ziffer 7, DSGVO über Zwecke und Mittel der Verarbeitung entscheidet und ihren Sitz nur in den USA hat.
Die Beschwerdegegnerin nennt in ihrer Datenschutzerklärung die N*** Nederland B.V. als ihren Vertreter im Unionsgebiet gemäß Art. 3 Abs. 3 iVm Art. 27 Abs. 1 DSGVO, welchem nach der Datenschutzerklärung der Beschwerdegegnerin jedoch keine Entscheidungskompetenz im Hinblick auf die Verarbeitungstätigkeit der Beschwerdegegnerin zukommt.Die Beschwerdegegnerin nennt in ihrer Datenschutzerklärung die N*** Nederland B.V. als ihren Vertreter im Unionsgebiet gemäß Artikel 3, Absatz 3, in Verbindung mit Artikel 27, Absatz eins, DSGVO, welchem nach der Datenschutzerklärung der Beschwerdegegnerin jedoch keine Entscheidungskompetenz im Hinblick auf die Verarbeitungstätigkeit der Beschwerdegegnerin zukommt.
Vor diesem Hintergrund war die gegenständliche Beschwerde gemäß Art. 27 Abs. 4 DSGVO an die N*** Nederland B.V. zu übermitteln. Da die Benennung eines Vertreters nach dem ausdrücklichen Verordnungstext gemäß Art. 27 Abs. 5 DSGVO keine Überwälzung der Verantwortlichkeit mit sich bringt, richtet sich die vorliegende Entscheidung der Datenschutzbehörde gegen die Beschwerdegegnerin.Vor diesem Hintergrund war die gegenständliche Beschwerde gemäß Artikel 27, Absatz 4, DSGVO an die N*** Nederland B.V. zu übermitteln. Da die Benennung eines Vertreters nach dem ausdrücklichen Verordnungstext gemäß Artikel 27, Absatz 5, DSGVO keine Überwälzung der Verantwortlichkeit mit sich bringt, richtet sich die vorliegende Entscheidung der Datenschutzbehörde gegen die Beschwerdegegnerin.
2. Zur Richtlinie 2002/58/EG als lex specialis
Im vorliegenden Fall verschickte die Beschwerdegegnerin eine E-Mail zu Werbezwecken an den Beschwerdeführer, obwohl hierzu keine entsprechende Einwilligung eingeholt wurde.
Dazu ist festzuhalten, dass die Zusendung von elektronischer Post zu Werbezwecken ohne vorherige Einwilligung des Teilnehmers („Unerbetene Nachrichten“) nach der Bestimmung von § 107 Abs. 1 TKG 2003 (die Art. 13 Abs. 1 der Richtlinie 2002/58/EG, die „e-Datenschutz-RL“, umsetzt) zu beurteilen ist. Diesbezüglich hat sich die Rechtslage auch mit Geltung der DSGVO seit 25. Mai 2018 nicht verändert (vgl. Art. 95 DSGVO, wonach die Verordnung natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auferlegt, soweit sie besonderen in der e-Datenschutz-RL festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen).Dazu ist festzuhalten, dass die Zusendung von elektronischer Post zu Werbezwecken ohne vorherige Einwilligung des Teilnehmers („Unerbetene Nachrichten“) nach der Bestimmung von Paragraph 107, Absatz eins, TKG 2003 (die Artikel 13, Absatz eins, der Richtlinie 2002/58/EG, die „e-Datenschutz-RL“, umsetzt) zu beurteilen ist. Diesbezüglich hat sich die Rechtslage auch mit Geltung der DSGVO seit 25. Mai 2018 nicht verändert vergleiche Artikel 95, DSGVO, wonach die Verordnung natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auferlegt, soweit sie besonderen in der e-Datenschutz-RL festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen).
Dies bedeutet jedoch nicht, dass dem Beschwerdeführer keine Datenschutzbeschwerde gemäß Art. 77 Abs. 1 DSGVO zusteht. Zwar richtet sich die Zulässigkeit einer Kontaktaufnahme zu Werbezwecken - wie dargelegt - nach den Bestimmungen des TKG 2003 bzw. der e-Datenschutz-RL und nicht nach Art. 6 DSGVO. Jedoch kann durch einen Verstoß gegen das TKG 2003 bzw. die e-Datenschutz-RL gleichzeitig eine Verletzung des Rechts auf Geheimhaltung nach § 1 Abs. 1 DSG und auch eine Verletzung jener Bestimmungen der DSGVO vorliegen, die dem Verantwortlichen keine zusätzlichen Pflichten iSv Art. 95 DSGVO auferlegen (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ DSBDies bedeutet jedoch nicht, dass dem Beschwerdeführer keine Datenschutzbeschwerde gemäß Artikel 77, Absatz eins, DSGVO zusteht. Zwar richtet sich die Zulässigkeit einer Kontaktaufnahme zu Werbezwecken - wie dargelegt - nach den Bestimmungen des TKG 2003 bzw. der e-Datenschutz-RL und nicht nach Artikel 6, DSGVO. Jedoch kann durch einen Verstoß gegen das TKG 2003 bzw. die e-Datenschutz-RL gleichzeitig eine Verletzung des Rechts auf Geheimhaltung nach Paragraph eins, Absatz eins, DSG und auch eine Verletzung jener Bestimmungen der DSGVO vorliegen, die dem Verantwortlichen keine zusätzlichen Pflichten iSv Artikel 95, DSGVO auferlegen vergleiche den Bescheid der DSB vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018).
3. Zum verletzt erachteten Recht
Zunächst ist festzuhalten, dass sich der Beschwerdeführer in seinem Vorbringen zwar auf eine Verletzung der Art. 5 und Art. 6 DSGVO (sohin eine fehlende Einwilligung) stützte, die Betroffenenrechte jedoch in Kapitel III DSGVO (Art. 12 bis 23) taxativ aufgezählt werden. Zunächst ist festzuhalten, dass sich der Beschwerdeführer in seinem Vorbringen zwar auf eine Verletzung der Artikel 5 und Artikel 6, DSGVO (sohin eine fehlende Einwilligung) stützte, die Betroffenenrechte jedoch in Kapitel römisch III DSGVO (Artikel 12 bis 23) taxativ aufgezählt werden.
Nach Rechtsprechung der Datenschutzbehörde kann sich eine betroffene Person dem Grunde nach trotzdem auf jede Bestimmung abseits von Kapitel III der DSGVO stützen, sofern dies im Ergebnis zu einer denkmöglichen Verletzung des Rechts auf Geheimhaltung nach § 1 Abs. 1 DSG führen kann (vgl. den Bescheid der DSB vom 13. September 2018, DSB-D123.070/0005-DSB/2018, wonach ein Verstoß des Verantwortlichen gegen Art. 32 DSGVO zu einer Verletzung von § 1 Abs. 1 DSG führen kann). Nach Rechtsprechung der Datenschutzbehörde kann sich eine betroffene Person dem Grunde nach trotzdem auf jede Bestimmung abseits von Kapitel römisch III der DSGVO stützen, sofern dies im Ergebnis zu einer denkmöglichen Verletzung des Rechts auf Geheimhaltung nach Paragraph eins, Absatz eins, DSG führen kann vergleiche den Bescheid der DSB vom 13. September 2018, DSB-D123.070/0005-DSB/2018, wonach ein Verstoß des Verantwortlichen gegen Artikel 32, DSGVO zu einer Verletzung von Paragraph eins, Absatz eins, DSG führen kann).
Dementsprechend war eine Verletzung des Rechts auf Geheimhaltung zu überprüfen, das – wie dargelegt – nicht von Art. 95 DSGVO umfasst istDementsprechend war eine Verletzung des Rechts auf Geheimhaltung zu überprüfen, das – wie dargelegt – nicht von Artikel 95, DSGVO umfasst ist
4. Zum Recht auf Geheimhaltung bei internationalen Sachverhalten
a) Zum räumlichen Anwendungsbereich der DSGVO
Die verfahrensgegenständliche E-Mail-Adresse besteht aus dem Vor- und Nachnamen des Beschwerdeführers, weshalb ein Personenbezug gegeben ist.
Darüber hinaus ist die Beschwerdegegnerin zwar nicht in der Union niedergelassen, jedoch steht die Verarbeitung der Daten des Beschwerdeführers, welcher in Österreich wohnhaft ist, in Zusammenhang mit dem Anbieten von Waren bzw. Dienstleistungen (gegenständlich: Angebot zur Teilnahme an einer Eventveranstaltung in Deutschland), weshalb die DSGVO gemäß Art. 3 Abs. 2 lit. a DSGVO in räumlicher Hinsicht Anwendung findet (vgl. ErwGr 23 DSGVO, wonach die Verwendung der Sprache einer betroffenen Person in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser Sprache zu bestellen, darauf hindeutet, dass der Verantwortliche beabsichtigt, Personen in der Union Waren oder Dienstleistungen anzubieten).Darüber hinaus ist die Beschwerdegegnerin zwar nicht in der Union niedergelassen, jedoch steht die Verarbeitung der Daten des Beschwerdeführers, welcher in Österreich wohnhaft ist, in Zusammenhang mit dem Anbieten von Waren bzw. Dienstleistungen (gegenständlich: Angebot zur Teilnahme an einer Eventveranstaltung in Deutschland), weshalb die DSGVO gemäß Artikel 3, Absatz 2, Litera a, DSGVO in räumlicher Hinsicht Anwendung findet vergleiche ErwGr 23 DSGVO, wonach die Verwendung der Sprache einer betroffenen Person in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser Sprache zu bestellen, darauf hindeutet, dass der Verantwortliche beabsichtigt, Personen in der Union Waren oder Dienstleistungen anzubieten).
b) Zum Grundrecht auf Datenschutz und zur Horizontalwirkung von Art. 8 Abs. 1 EU-GRCb) Zum Grundrecht auf Datenschutz und zur Horizontalwirkung von Artikel 8, Absatz eins, EU-GRC
Nach Ansicht der Datenschutzbehörde ist der DSGVO allgemein ein Grundrecht auf Datenschutz inhärent und steht die DSGVO – als wichtigste europäische Sekundärrechtsquelle für den Umgang mit personenbezogenen Daten – in einem engen Verhältnis zu Art. 8 Abs. 1 der EU-GRC und dient dessen näherer Ausgestaltung. Dies erhellt bereits aus ErwGr 1 DSGVO, wonach Nach Ansicht der Datenschutzbehörde ist der DSGVO allgemein ein Grundrecht auf Datenschutz inhärent und steht die DSGVO – als wichtigste europäische Sekundärrechtsquelle für den Umgang mit personenbezogenen Daten – in einem engen Verhältnis zu Artikel 8, Absatz eins, der EU-GRC und dient dessen näherer Ausgestaltung. Dies erhellt bereits aus ErwGr 1 DSGVO, wonach „Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten […] ein Grundrecht [ist]. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union […] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“
Vor diesem Hintergrund geht die Datenschutzbehörde davon aus, dass das Beschwerderecht nach Art. 77 Abs. 1 DSGVO – neben der Geltendmachung der Verletzung von Betroffenenrechten nach Kapitel III der Verordnung – auch bei internationalen Sachverhalten eine Beschwerdemöglichkeit gestützt auf § 1 Abs. 1 DSG iVm Art. 8 Abs. 1 EU-GRC eröffnet. Vor diesem Hintergrund geht die Datenschutzbehörde davon aus, dass das Beschwerderecht nach Artikel 77, Absatz eins, DSGVO – neben der Geltendmachung der Verletzung von Betroffenenrechten nach Kapitel römisch III der Verordnung – auch bei internationalen Sachverhalten eine Beschwerdemöglichkeit gestützt auf Paragraph eins, Absatz eins, DSG in Verbindung mit Artikel 8, Absatz eins, EU-GRC eröffnet.
Ausgehend von diesen Überlegungen und aufgrund des Umstands, dass die DSGVO auch Verantwortliche des privaten (also des nicht-hoheitlichen) Bereichs direkt verpflichtet, vertritt die Datenschutzbehörde die Ansicht, dass dem Grundrecht auf Datenschutz nach Art. 8 Abs. 1 der EU-GRC ebenso wie § 1 DSG Horizontalwirkung zukommtdass dem Grundrecht auf Datenschutz nach Artikel 8, Absatz eins, der EU-GRC ebenso wie Paragraph eins, DSG Horizontalwirkung zukommt.
Mit anderen Worten: Da der DSGVO ein allgemeines Grundrecht auf Datenschutz inhärent ist, welches ausdrücklich in Art. 8 Abs. 1 EU-GRC verankert ist, kann eine betroffene Person im Ergebnis auch gegen Rechtsträgern, die in Formen des Privatrechts eingerichtet sind, eine Beschwerde nach Art. 77 Abs. 1 DSGVO einbringen und diese Beschwerde auf eine Verletzung von Art. 8 Abs. 1 EU-GRC stützen (vgl. das Urteil des EuGH vom 29. November 2017, CMit anderen Worten: Da der DSGVO ein allgemeines Grundrecht auf Datenschutz inhärent ist, welches ausdrücklich in Artikel 8, Absatz eins, EU-GRC verankert ist, kann eine betroffene Person im Ergebnis auch gegen Rechtsträgern, die in Formen des Privatrechts eingerichtet sind, eine Beschwerde nach Artikel 77, Absatz eins, DSGVO einbringen und diese Beschwerde auf eine Verletzung von Artikel 8, Absatz eins, EU-GRC stützen vergleiche das Urteil des EuGH vom 29. November 2017, C-214/16, Rn 31 ff, wonach der EuGH eine solche Horizontalwirkung von Rechten nach der EU-GRC nicht ausdrücklich verneint; deutlicher wird dies in den Schlussanträgen des Generalsanwaltes in dieser Rechtssache zum Ausdruck gebracht, welcher eine Horizontalwirkung von Bestimmungen der EU-GRC ausdrücklich bejaht).
Eine behauptete Verletzung der Grundsätze nach Art. 5 und 6 DSGVO kann daher als behauptete Verletzung von Art. 8 EU-GRC geltend gemacht werden.Eine behauptete Verletzung der Grundsätze nach Artikel 5, und 6 DSGVO kann daher als behauptete Verletzung von Artikel 8, EU-GRC geltend gemacht werden.
5. Zur Rechtmäßigkeit der Verarbeitung
Wie bereits oben ausgeführt, richtet sich die Rechtmäßigkeit der Verarbeitung ausschließlich nach der e-Datenschutz-RL als lex specialis.
Nach Art. 13 Abs. 1 der e-Datenschutz-RL ist vor dem Versand von elektronischer Post eine Einwilligung der betroffenen Person einzuholen. Zu bemerken ist jedoch, dass die e-Datenschutz-RL keine näheren Bedingungen bzw. keine Definition für die Einwilligung vorsieht.Nach Artikel 13, Absatz eins, der e-Datenschutz-RL ist vor dem Versand von elektronischer Post eine Einwilligung der betroffenen Person einzuholen. Zu bemerken ist jedoch, dass die e-Datenschutz-RL keine näheren Bedingungen bzw. keine Definition für die Einwilligung vorsieht.
Allerdings verweist die e-Datenschutz-RL hinsichtlich des Begriffes der „Einwilligung“ auf die Einwilligung im Sinne der Richtlinie 95/46/EG (Datenschutz-Richtlinie; vgl. dazu Art. 2 lit. f eAllerdings verweist die e-Datenschutz-RL hinsichtlich des Begriffes der „Einwilligung“ auf die Einwilligung im Sinne der Richtlinie 95/46/EG (Datenschutz-Richtlinie; vergleiche dazu Artikel 2, Litera f, e-Datenschutz-RL). Der Begriff der Einwilligung nach der e-Datenschutz-RL entspricht daher in systematischer Auslegung dem Begriff der Einwilligung nach Art. 4 Z 11 bzw. Art. 7 DSGVO, wie sich aus Art. 94 Abs. 2 DSGVO ergibt.Datenschutz-RL). Der Begriff der Einwilligung nach der e-Datenschutz-RL entspricht daher in systematischer Auslegung dem Begriff der Einwilligung nach Artikel 4, Ziffer 11, bzw. Artikel 7, DSGVO, wie sich aus Artikel 94, Absatz 2, DSGVO ergibt.
Die Verarbeitung kann daher nicht auf einen alternativen Erlaubnistatbestand nach Art. 6 DSGVO (etwa berechtigte Interessen nach Abs. 1 lit. f leg. cit.) gestützt werden, was die Beschwerdegegnerin auch nicht behauptet hat.Die Verarbeitung kann daher nicht auf einen alternativen Erlaubnistatbestand nach Artikel 6, DSGVO (etwa berechtigte Interessen nach Absatz eins, Litera f, leg. cit.) gestützt werden, was die Beschwerdegegnerin auch nicht behauptet hat.
Da jedoch, wie festgestellt, keine Einwilligung für den Erhalt von E-Mails zu Werbezwecken vorlag, wurden die personenbezogenen Daten des Beschwerdeführers (seine E-Mail-Adresse mit Klarnamen) unrechtmäßig (d.h. ohne Erlaubnistatbestand) verarbeitet, weshalb eine Verletzung von § 1 Abs. 1 DSG iVm Art. 8 Abs. 1 EU-GRC vorliegt. Da jedoch, wie festgestellt, keine Einwilligung für den Erhalt von E-Mails zu Werbezwecken vorlag, wurden die personenbezogenen Daten des Beschwerdeführers (seine E-Mail-Adresse mit Klarnamen) unrechtmäßig (d.h. ohne Erlaubnistatbestand) verarbeitet, weshalb eine Verletzung von Paragraph eins, Absatz eins, DSG in Verbindung mit Artikel 8, Absatz eins, EU-GRC vorliegt.
Da der Beschwerdeführer - trotz Ersuchens der Beschwerdegegnerin mit E-Mail vom 18. Mai 2018 - keine entsprechende Einwilligung mehr abgegeben hat, wäre die Beschwerdegegnerin dazu verpflichtet gewesen, die E-Mail-Adresse des Beschwerdeführers zu löschen; allerdings ist darauf hinzuweisen, dass sich diese Verpflichtung nicht erst aus der DSGVO ergibt, sondern bereits nach alter Rechtslage gemäß der Datenschutz-Richtlinie bestanden hat.
Da die Beschwerdegegnerin bereits mit Stellungnahme vom 13. Februar 2019 angab, dass die E-Mail-Adresse des Beschwerdeführers von „allen zukünftigen Marketing-Mitteilungen von N*** vollständig entfernt“ worden sei, war kein Leistungsauftrag gemäß § 24 Abs. 5 DSG bzw. Art. 58 Abs. 2 lit. c DSGVO zu erteilen.Da die Beschwerdegegnerin bereits mit Stellungnahme vom 13. Februar 2019 angab, dass die E-Mail-Adresse des Beschwerdeführers von „allen zukünftigen Marketing-Mitteilungen von N*** vollständig entfernt“ worden sei, war kein Leistungsauftrag gemäß Paragraph 24, Absatz 5, DSG bzw. Artikel 58, Absatz 2, Litera c, DSGVO zu erteilen.
Es war daher spruchgemäß zu entscheiden.