Bundesverwaltungsgericht
28.09.2023
W256 2227693-1
W256 2227693-1/44E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Mag. Caroline Kimm als Vorsitzende und den fachkundigen Laienrichterinnen Dr. Claudia Rosenmayr-Klemenz und Mag. Adriana Mandl als Beisitzerinnen über die Beschwerde der römisch 40 GmbH, vertreten durch CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH, gegen den Bescheid der Datenschutzbehörde vom 23. Oktober 2019, GZ: DSB-D213.895/0003-DSB/2019, aufgrund des Vorlageantrages der römisch 40 GmbH nach Durchführung einer mündlichen Verhandlung zu Recht erkannt:
A) Die Beschwerde wird mit der Maßgabe abgewiesen, dass die Spruchpunkte 2 und 3 der Beschwerdevorentscheidung wie folgt zu lauten haben:
„2) Der römisch 40 wird die automatisierte Verarbeitung der Teilnahme- und Einkaufsdaten von am „ römisch 40 “ mittels der Methode „Webseite“ www. römisch 40 .at (in der Fassung 23. Oktober 2019) und Anmeldebroschüre „Flyer“ registrierten betroffenen Personen zum Zweck der Erstellung von Profilen über deren Einkaufsverhalten untersagt.
3) Für die Umsetzung von Spruchpunkt 2 wird der Beschwerdeführerin eine Frist von sechs Monaten ab Rechtskraft der Entscheidung eingeräumt.“
B) Die Revision ist gemäß Artikel 133, Absatz 4, B-VG zulässig.
Entscheidungsgründe:
römisch eins. Verfahrensgang:
Mit Schreiben vom 5. September 2019 brachte die belangte Behörde der Beschwerdeführerin zur Kenntnis, dass sie ein amtswegiges Prüfverfahren gegen sie einleite und wurde die Beschwerdeführerin zur Beantwortung eines Fragenkatalogs aufgefordert.
Dieser Aufforderung ist die Beschwerdeführerin mit Schreiben vom 16. September 2019 und vom 7. Oktober 2019 unter gleichzeitiger Vorlage diverser Unterlagen nachgekommen.
Mit dem Bescheid vom 23. Oktober 2019, GZ: DSB-D213.895/0003-DSB/2019 (im Folgenden: Ausgangsbescheid) entschied die belangte Behörde im amtswegigen Prüfverfahren gegen die Beschwerdeführerin wie folgt:
„1. Das amtswegige Prüfverfahren war berechtigt und es wird festgestellt, dass das Ersuchen um Einwilligung zur Verarbeitung von personenbezogenen Daten von den am „ römisch 40 “ registrierten betroffenen Personen zum Zweck des Profiling durch die römisch 40 GmbH mit dem Wortlaut
„Einwilligungserklärung: Ich erkläre mich [..] damit einverstanden, dass die römisch 40 GmbH sowie die römisch 40 Partner, bei denen ich meine römisch 40 Karte verwendet habe, (1) meine Teilnahmedaten und Einkaufsdaten zusammenführen und analysieren, um mir für mich relevante und auf meine Interessen zugeschnittene, individualisierte Informationen zum römisch 40 Programm zukommen zu lassen und Angebote zum Sammeln und Einlösen von römisch 40 auf meine Bedürfnisse anzupassen (sog. „Profiling“ [..]), um (2) mir Werbung mit personalisierten Angeboten über Produkte und Dienstleistungen des Betreibers und der römisch 40 Partner [..] zuzusenden, und (3) dass meine auf diese Weise gewonnenen personenbezogenen Daten bei Widerruf meiner Einwilligung, spätestens nach Ende meiner Mitgliedschaft gelöscht werden. [..].“
unter Verwendung folgender Methoden:
i) Webseite www. römisch 40 .at
ii) römisch 40 App
iii) römisch 40 “ in der Filiale eines Partners und
iv) Anmeldebroschüre („Flyer“)
nicht den Anforderungen an eine Einwilligung gemäß Artikel 4, Ziffer 11, DSGVO und Artikel 7, DSGVO entspricht und dass folglich die Verarbeitung von personenbezogenen Daten von den am „ römisch 40 “ registrierten betroffenen Personen zum Zweck des Profiling durch die römisch 40 GmbH mangels gültiger Einwilligung unzulässig ist.
2. Die römisch 40 GmbH wird angewiesen, innerhalb einer Frist von drei Monaten bei sonstiger Exekution, das in Spruchpunkt 1. genannte Ersuchen um Einwilligung unter Verwendung der in Spruchpunkt 1. i) bis iv) genannten Methoden gemäß Artikel 4, Ziffer 11, DSGVO und Artikel 7, DSGVO anzupassen.
3. Der römisch 40 GmbH wird untersagt und die römisch 40 GmbH wird angewiesen, die gemäß Spruchpunkt 1. eingeholten Einwilligungen ab 1. Mai 2020 zum Zweck des Profiling nicht mehr zu verwenden. Dies gilt nicht, sofern von den betroffenen Personen innerhalb derselben Frist eine gültige Einwilligung, unter Einhaltung der Anforderungen an eine Einwilligung gemäß Spruchpunkt 2, eingeholt wird.
Rechtsgrundlagen: Artikel 4, Ziffer 4 und Ziffer 11,, Artikel 5, Absatz eins, Litera a,, Artikel 6, Absatz eins, Litera a,, Artikel 7, Absatz eins und Absatz 2,, Artikel 12, Absatz eins,, Artikel 13, Absatz eins, Litera c,, Artikel 57, Absatz eins, Litera a und Litera h,, Artikel 58, Absatz eins, Litera b und Absatz 2, Litera d und Litera f, [..] DSGVO [..]“
Dazu stellte die belangte Behörde u.a. fest, dass die Beschwerdeführerin Betreiberin des römisch 40 sei. Bei diesem römisch 40 handle es sich um ein unternehmens- und branchenübergreifendes Kundenbindungsprogramm. Unterschiedliche Unternehmen würden daran teilnehmen. Dazu schließe die Beschwerdeführerin als Betreiberin mit den Unternehmen einen Vertrag ab. Kunden, die in den Filialen der teilnehmenden Partner Produkte erwerben und einkaufen, könnten sich als Mitglied für den römisch 40 registrieren. Die Mitglieder könnten bei jedem Einkauf die römisch 40 Karte vorzeigen, die vor Bezahlung durch den jeweiligen Partner gescannt werde. Im Rahmen des Kundenbindungsprogramms würden die Mitglieder Punkte sammeln. Diese könnten u.a. dazu verwendet werden, um Rabatte zu erhalten. Die Beschwerdeführerin weise in ihrer Datenschutzerklärung in Punkt 3. darauf hin, dass sie näher dargestellte Mitgliederstammdaten und Einkaufsdaten verarbeite. In Punkt 4.4. der Datenschutzerklärung werde unter der Überschrift „automationsunterstützte Verarbeitung und Analyse (Profiling für Zielgruppenselektionen, […]“ darauf hingewiesen, dass nur sofern das Mitglied einwillige, der Betreiber als alleiniger Verantwortlicher die beim Betreiber und bei den Partnern verarbeiteten Mitgliederstammdaten und Einkaufsdaten des Mitglieds zur automationsunterstützten Personalisierung von Werbe- und Marketingmaßnahmen weiterverwende, analysiere und so neue Marketing-Profilingdaten gewinne. Rechtsgrundlage für die Verarbeitung sei laut Punkt 4.4.5. die Einwilligung nach Artikel 6, Absatz eins, Litera a, DSGVO. Laut Punkt 4.4.6. sei die Einwilligung freiwillig und könne jederzeit widerrufen werden.
Weiters stellte die belangte Behörde fest, dass die gegenständliche Einwilligung zum Profiling nach Punkt 4.4. der Datenschutzerklärung durch die in Spruchpunkt 1 i) bis iv) dargestellten Methoden eingeholt werde. Im Wesentlichen werde bei sämtlichen Methoden, wenn auch in unterschiedlicher Form, zunächst die Datenschutzerklärung den Betroffenen zur Kenntnis gebracht und anschließend in Bezug auf die Onlineversionen unter der Überschrift „Genießen Sie Ihre persönlichen Vorteile“ der Betroffene um die im Spruch ausgeführte Einwilligung zum in Punkt 4.4. der Datenschutzerklärung dargestellten Profiling ersucht. Prüfgegenstand sei nunmehr die Frage, ob dieses Ersuchen um Einwilligung den in der DSGVO normierten Anforderungen entspreche. Werde dies verneint, sei weiters zu prüfen, welche Auswirkungen dies auf die Zulässigkeit der Verarbeitung von personenbezogenen Daten zum Zweck des Profiling habe und ob im Falle einer Unzulässigkeit ein Verbot der Datenverarbeitung auszusprechen sei. Die Datenschutzbehörde habe bereits in einem ähnlich gelagerten Fall ausgesprochen, dass eine Einwilligung den Anforderungen des Artikel 4, Ziffer 11, DSGVO und Artikel 7, DSGVO entsprechend und insbesondere in verständlicher Form erfolgen müsse. Diesen Anforderungen entspreche die vorliegende Einwilligung bei jeder der vier Anmeldearten nicht. Dazu führte die belangte Behörde in Bezug auf die hier wesentlichen Methoden „Flyer“ und Webseite aus, die betroffene Person erhalte im Rahmen der Anmeldung zum römisch 40 unter Verwendung der Webseite www. römisch 40 .at unter dem Abschnitt mit der Überschrift „Genießen Sie ihre persönlichen Vorteile“ zunächst keine sichtbaren Informationen darüber, dass mit „persönlicher Vorteil“ die Verarbeitung personenbezogener Daten zum Zweck des Profiling gemeint sei. Auch in der in diesem Abschnitt eingebetteten Box werde zunächst bloß auf die AGB und die Datenschutzerklärung verwiesen („Ich erkläre mich gemäß Punkt 5.5. und 5.6. AGB [ebenso Punkte 4.4. und 4.5. der Datenschutzerklärung“] damit einverstanden, dass …“). Erst nachdem die Box entsprechend hinuntergescrollt werde, werde auf die Verarbeitung personenbezogener Daten zum Zweck des Profiling verwiesen; die Information zum Profiling sei daher in keiner „leicht zugänglichen Form“ und auch in keiner „klaren und knappen Form“ verfügbar. Weiters sei festzuhalten, dass eine betroffene Person die auf den ersten Blick sichtbaren Optionen „Ja“ und „Nein“, die bloß allgemein auf den Erhalt oder Nichterhalt von „exklusiven Vorteilen und Aktionen“ verweisen, nach allgemeiner Lebenserfahrung nicht mit Profiling assoziiere und es sich daher auch um keine „klare und einfache Sprache“ und insofern um keine rechtsgültige Einwilligung handle. Der europäische Gesetzgeber habe ausdrückliche Anforderungen an ein Ersuchen um Einwilligung in Artikel 7, DSGVO normiert, die zusätzlich und unabhängig von den AGB und der Datenschutzerklärung einzuhalten seien. Wenn ein Vertrag also (wie gegenständlich die Anmeldung zum römisch 40 ) mehrere Aspekte behandle, habe sich das Ersuchen um Einwilligung deutlich abzuheben. In Bezug auf die Anmeldebroschüre („Flyer“) werde am Ende des Anmeldeformulars das Feld „Unterschrift“ vorgegeben. Unterhalb des Feldes „Unterschrift“ sei der Hinweis „Diese Unterschrift gilt nur für die Einwilligungserklärung und ist freiwillig. Ihre Anmeldung zum römisch 40 ist auch ohne Unterschrift wirksam“ vorhanden. Die „Einwilligungserklärung“ selbst sei jedoch wiederum oberhalb des Feldes „Unterschrift“ platziert. Davon ausgehend sei festzuhalten, dass sich das Anmeldeformular ganz allgemein auf die Anmeldung zum römisch 40 beziehe. Da das Feld „ römisch 40 “ jedoch am Ende des Anmeldeformulars platziert sei, werde der Eindruck vermittelt, dass es sich hierbei um die Unterschrift als Bestätigung zur Anmeldung zum römisch 40 handle. Dabei sei auch nach allgemeiner Lebenserfahrung davon auszugehen, dass ein Durchschnittsbenutzer, der sich zum römisch 40 anmelde (und somit einen Vertrag abschließe) damit rechne, dass es sich hierbei um die Unterschrift zur Bestätigung der Anmeldung – und nicht um die Abgabe einer datenschutzrechtlichen Einwilligung zum Profiling – handle. An diesen Ausführungen könne auch der darunter platzierte Hinweis nichts ändern, dass diese Unterschrift nur für die Einwilligungserklärung gelte: Dieser sei erstens nach links versetzt, sodass er sich unter dem Feld „Datum“ und nicht direkt unter dem Feld „Unterschrift“ befinde.
Die Einwilligung könne daher insgesamt nicht als Rechtsgrundlage gemäß Artikel 6, Absatz eins, Litera a, DSGVO herangezogen werden. Die Beschwerdeführerin habe sich zu keinem Zeitpunkt auf berechtigte Interessen iSd Artikel 6, Absatz eins, Litera f, DSGVO als Rechtsgrundlage für die Verarbeitung zum Zweck des Profiling gestützt, wobei zu bemerken sei, dass eine solche Interessensabwägung ohnedies gegen die Betreiberin ausfallen würde. Nach Erwägungsgrund 47 erster Satz DSGVO seien im Rahmen einer solchen Interessensabwägung nämlich die „vernünftigen Erwartungen“ der betroffenen Personen einzubeziehen und könne ein Durchschnittsbenutzer eben gerade nicht erwarten, dass eine „Einwilligung zum Profiling“ gegeben werde. Schließlich weise auch die Artikel 29, Datenschutzgruppe in ihren Leitlinien darauf hin, dass es nicht gestattet sei, rückwirkend berechtigte Interessen als Grundlage für die Rechtfertigung der Verarbeitung zu wählen, wenn Probleme mit der Gültigkeit der Einwilligung aufgetreten seien. Verantwortliche müssten sich vielmehr im Vorfeld entscheiden, welche Rechtsgrundlage für eine Verarbeitung anwendbar sei. Da somit weder die Einwilligung nach Artikel 6, Absatz eins, Litera a, DSGVO, noch ein weiterer Tatbestand als Rechtsgrundlage für die Verarbeitung in Betracht komme, sei in Spruchpunkt 1 festzustellen gewesen, dass die Verarbeitung von personenbezogenen Daten von dem am „ römisch 40 “ registrierten Personen zum Zweck des Profiling mangels gültiger Einwilligung unzulässig sei. Da sohin ein Verstoß festgestellt worden sei und es insofern an einer Rechtsgrundlage für die gegenständliche Verarbeitung mangle, seien die in Rede stehenden Abhilfebefugnisse zu erteilen gewesen. Es stehe der Beschwerdeführerin jedoch frei, durch Einholung neuer Einwilligungserklärungen eine rechtmäßige Datenverarbeitung zu erwirken. Zu Spruchpunkt 3 führte die belangte Behörde aus, dass sie nach Artikel 58, Absatz 2, Litera f, DSGVO gegen den Verantwortlichen „eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots“ verhängen könne. Da es im vorliegenden Fall für die Verarbeitung personenbezogener Daten von den am „ römisch 40 “ teilnehmenden betroffenen Personen zum Zweck des Profiling an einer Rechtsgrundlage mangle, sei ein entsprechendes Verbot gegen die Verantwortliche zu verhängen gewesen. Eine andere Rechtsgrundlage iSd Artikel 6, Absatz eins, DSGVO komme nicht in Betracht. Das gemäß Artikel 58, Absatz 2, Litera f, DSGVO verhängte Verbot beziehe sich nur auf die Verarbeitung zum Profiling, die auf jene Einwilligungserklärungen gestützt werde, die bis dato unter Verwendung der in Spruchpunkt 1 genannten Methoden i) bis iv) eingeholt worden sei, nicht auf zukünftig rechtmäßig eingeholte Einwilligungserklärungen. Der Verantwortlichen stehe es daher frei, unter Verwendung einer Einwilligungserklärung nach Spruchpunkt 2, die den Anforderungen von Artikel 4, Ziffer 11, DGSVO und Artikel 7, DSGVO entspreche, eine rechtmäßige Einwilligung von den betroffenen Personen einzuholen und deren Daten ex nunc rechtmäßig zum Zweck des Profiling zu verarbeiten.
Gegen diese Entscheidung erhob die Beschwerdeführerin Beschwerde an das Bundesverwaltungsgericht. Darin führte diese – sofern hier wesentlich – aus, sie betreibe ein Kundenbindungsprogramm auf Basis der Bedürfnisse der Österreicherinnen und Österreicher. 3,5 Millionen Mitglieder im römisch 40 , die ihre Karte über 800.000 Mal pro Tag nutzen, würden zeigen, dass die Umsetzung auf großes Interesse stoße. Jede natürliche Person ab 16 Jahren mit Hauptwohnsitz im EWR/Schweiz könne am römisch 40 teilnehmen. Mit der Teilnahme sei das Recht verbunden, bei jedem Partnerunternehmen – abhängig vom Einkauf – Punkte ( römisch 40 ) zu sammeln und gegen Vorteile (Rabatte) einzulösen. Unabhängig von diesem Recht hätten die Teilnehmer die Möglichkeit, ihre Einwilligung zum Profiling zu erklären und würden sie in diesem Fall personalisierte Informationen und Angebote erhalten. Die Einwilligung zum Profiling sei jederzeit widerrufbar. Kunden des römisch 40 würden bei der Anmeldung befragt werden, ob sie ihr Einverständnis zum Profiling erklären. Die Einholung der Einverständniserklärung erfolge je nach Art der Anmeldung unterschiedlich. Die Anmeldung könne online über das Internet auf der Webseite des römisch 40 , über eine App am Mobiltelefon und an einem Tablet-Computer in den Verkaufsstellen der Partner des römisch 40 “ oder durch Abgabe eines ausgefüllten Anmeldeformulars, das Bestandteil einer Anmeldebroschüre sei, erfolgen. Bei den Anmeldungen online müsse der Kunde durch Anklicken eines Feldes entscheiden, ob er dem Profiling zustimme oder nicht (er klicke entweder auf „ja“ oder „nein“). Bei der Anmeldung offline müsse der Kunde eine Einwilligung unterschreiben, wenn er dem Profiling zustimmen möchte. Die belangte Behörde sei zu Unrecht von der Rechtswidrigkeit der eingeholten Einwilligungen in den vier Anmeldeprozessen ausgegangen. Die Anmeldeprozesse online seien im Wesentlichen gleichartig aufgebaut. Der Betroffene müsse seine persönlichen Informationen (Name, Adresse, Geburtsdatum etc.) einpflegen. Weiters werde er aufgefordert, 1) seine Zustimmung zu den AGB zu erteilen; 2) zu bestätigen, dass er die Datenschutzerklärung gelesen und zur Kenntnis genommen habe; 3) eine Erklärung zum Profiling („ja“ oder „nein“) abzugeben. Ohne die Abgabe entsprechender Erklärungen könne der Anmeldeprozess nicht abgeschlossen werden. Bereits in den AGB seien die Zwecke der Datenverarbeitung – darunter das Profiling – fett hervorgehoben. Insbesondere sei dort auch das Wort „Profiling“ mehrmals fett hervorgehoben. In der Datenschutzerklärung seien die Zwecke der Datenverarbeitung – wie etwa Profiling – ebenfalls fett hervorgehoben. Hinsichtlich der Erteilung der Zustimmung zu den AGB und der Bestätigung betreffend die Datenschutzerklärung müsse der Betroffene eine nicht vorausgewählte Checkbox aktiv anklicken. Er habe in allen drei Anmeldeformen die Möglichkeit, die AGB und die Datenschutzerklärung zur Gänze zu lesen, bevor er seine diesbezügliche Erklärung abgebe. Bei der Erklärung zum Profiling stünden dem Betroffenen zwei alternativ auswählbare und nicht vorausgewählte Checkboxen zur Verfügung. Die Einwilligungserklärung zum Profiling beginne mit einem Verweis auf konkrete Bestimmungen in den AGB (Punkt 5.5. und 5.6.) und der Datenschutzerklärung (Punkte 4.4. und 4.5.) und enthalte ausdrücklich das Wort „Profiling“. Die AGB und die Datenschutzerklärung enthalten, wie ausgeführt, in den verwiesenen Bestimmungen dieses Wort ebenfalls ausdrücklich und fett gedruckt. Der unmittelbar neben der Checkbox zur Einwilligung zum Profiling platzierte Text laute: „JA, ich stimme der Verarbeitung meiner Daten gemäß untenstehender Einwilligungserklärung zu und möchte somit von exklusiven Vorteilen und Aktionen profitieren.“ Der unmittelbar neben der Checkbox zur Ablehnung des Profiling platzierte Text laute: „NEIN, ich stimme der Verarbeitung meiner Daten gemäß untenstehender Einwilligungserklärung nicht zu und möchte somit nicht von exklusiven Vorteilen und Aktionen profitieren.“ Bei der Anmeldung über die Webseite erfolge die Einholung der oben beschriebenen Erklärungen nicht Screen für Screen, sondern würden auf einem Screen nacheinander eingeholt. Der Betroffene könne hier die Reihenfolge der Abgabe der Erklärungen selbst bestimmen. Die Einwilligungserklärung zum Profiling befinde sich hier zwar in einer Scrollbox, jedoch finde sich am Ende des Screens unmittelbar über dem Button „Jetzt anmelden“ eine Übersicht der eingegebenen persönlichen Informationen sowie der Hinweis auf die abgegebenen Erklärungen. Die letzte Zeile laute fett gedruckt „Profiling: Zustimmung erteilt“ bzw „Profiling: Zustimmung nicht erteilt“, sofern eine entsprechende Erklärung abgegeben worden sei. Wenn keine Erklärung abgegeben worden sei, finde sich dort der Text: „Profiling: Bitte wählen Sie bei Profiling eine Antwort aus, um mit der Anmeldung fortzufahren.“ Daneben befinde sich ein Bleistiftsymbol. Wenn der Betroffene darauf klicke, werde er automatisch direkt zur Einwilligungserklärung gescrollt. Die Anmeldung könne nur (mit dem Button „Jetzt anmelden“) abgeschlossen werden, nachdem (u. a.) eine Erklärung („ja“ oder „nein“) betreffend Profiling abgeben worden sei. Es sei für den Betroffenen in Zusammenhang mit der Einwilligungserklärung bereits auf den ersten Blick (ohne scrollen zu müssen) folgende Information ersichtlich: „Ich erkläre mich gemäß Punkt 5.5. und 5.6. AGB (ebenso Punkte 4.4. und 4.5. der Datenschutzerklärung) damit einverstanden, dass die römisch 40 GmbH sowie die römisch 40 , bei denen ich meine römisch 40 Karte verwendet habe, (l) meine Teilnahmedaten und Einkaufsdaten zusammenführen und analysieren, um mir für mich relevante und auf meine Interessen zugeschnittene“. Durch diese Information sei für den Betroffenen auf den ersten Blick erkennbar, dass seine Teilnahmedaten und Einkaufsdaten auf Basis der Einwilligung zum Profiling zusammengeführt und analysiert werden. Weiters sei hervorzuheben, dass die Anmeldung über die Webseite für die Darstellung auf Mobiltelefonen gegenüber der Darstellung auf einem herkömmlichen Computer (Webversion) optimiert sei. Die belangte Behörde habe die Feststellung unterlassen, dass die Darstellung der letzten Zeile des Anmeldeprozesses bei der Anmeldung auf der Webseite von der verwendeten Version (Webversion (PC) / Mobilversion (Mobiltelefon)) abhängig sei. Bei der von den Betroffenen in überwiegendem Maße verwendeten Mobilversion, sei der Button "Jetzt anmelden“ noch näher an der letzten Zeile „Profiling: Zustimmung erteilt“ bzw „Profiling: Zustimmung nicht erteilt“ platziert, sodass dadurch die Aufmerksamkeit des Betroffenen noch intensiver auf die erteilte bzw. nicht erteilte Zustimmung zum Profiling gelenkt werde. Diese Feststellung sei relevant, weil die belangte Behörde ihre rechtliche Beurteilung zur Unwirksamkeit der Einwilligungserklärung darauf stütze, dass ein Durchschnittsverbraucher seine Aufmerksamkeit dem Hinweis auf „exklusive Vorteile und Aktionen“ und nicht der letzten Zeile des Anmeldeprozesses schenke. Im Übrigen übersehe die belangte Behörde, dass direkt neben den anzuhakenden Optionen („Ja“ „Nein“) zum Profiling, ein ausdrücklicher Hinweis auf „untenstehende Einwilligungserklärung“ erfolge, in welcher der Zweck der Verarbeitung ausdrücklich genannt werde. Diese Information sei direkt unter dem Verweis sowie inhaltlich kurz und prägnant. Dabei sei auch für den Betroffenen sofort erkennbar, welche Datenverarbeitungen, nämlich das Zusammenführen und Analysieren der Teilnahme- und Einkaufsdaten auf Basis der Einwilligung erfolgen würden. Die Ansicht der belangten Behörde, dass der Text „Exklusive Vorteile und Aktionen“ hervorgehoben sei und die Information zum „Profiling“ nebensächlich abgehandelt werde, sei daher unzutreffend. Auch im Rahmen der physischen Anmeldung mittels „Flyer“ enthalte das Anmeldeformular mehrmals deutliche Hinweise in Bezug auf das Profiling, insbesondere in den darin vollständig abgedruckten AGB. Die Einholung zur Einwilligung erfolge auf der letzten Seite der Anmeldebroschüre. Dabei fänden sich vor allem 3 Abschnitte: AGB/Datenschutzerklärung/Einwilligungserklärung. Durch Ausfüllen und Abgabe des Anmeldeformulars erkläre sich der Teilnehmer mit den AGB einverstanden. Die Einwilligungserklärung bestehe aus dem gut sichtbaren Wort „Einwilligungserklärung“, gefolgt vom Einwilligungstext. Unter der Einwilligungserklärung finde sich ein Pflichtfeld für das Datum, gekennzeichnet durch ein Sternchen. Sowie rechts daneben das optionale Feld „Unterschrift“. Direkt unter diesem Feld befinde sich der Einwilligungstext, dass die Unterschrift nur für die Einwilligungserklärung gelte und freiwillig sei sowie die Anmeldung zum römisch 40 auch ohne Unterschrift wirksam sei. Schon angesichts dieses Hinweises könne den Ausführungen der belangten Behörde, der Kunde gehe davon aus, dass die Unterschrift für die Anmeldung sei, nicht gefolgt werden. Hinzu komme, dass das Unterschriftenfeld auch nicht mit einem Sternchen versehen sei. Hätte die belangte Behörde vollständige und den Unterlagen entsprechende Feststellungen getroffen, wäre sie in ihrer rechtlichen Beurteilung zum Ergebnis gelangt, dass die eingeholten Einwilligungen in den Online-Anmeldeprozessen und betreffend den Flyer den Anforderungen gemäß Artikel 4, Ziffer 11, in Verbindung mit Artikel 7, DSGVO entsprechen würden. Davon abgesehen komme als Rechtsgrundlage für die Verarbeitung nicht nur die Einwilligung nach Artikel 6, Absatz eins, Litera a, DSGVO, sondern auch das berechtigte Interesse der Beschwerdeführerin nach Artikel 6, Absatz eins, Litera f, DSGVO in Betracht. Das Zusammenführen verschiedener Daten und Selektionskriterien mit dem Ziel, Werbemaßnahmen möglichst nahe an den tatsächlichen Interessen der Betroffenen zu orientieren, diene nämlich dem berechtigten Interesse beider Parteien. Der Betroffene werde auf diese Weise nicht mit unnötiger Werbung belästigt. Darüber hinaus könne die Datenverarbeitung auch auf Artikel 6, Absatz 4, DSGVO und die Möglichkeit der Weiterverarbeitung gestützt werden. Die Bescheidbegründung stütze sich ausschließlich auf die Prüfung der Rechtsgrundlage der Einwilligung. Andere Rechtsgrundlagen seien nicht geprüft worden. In keiner Weise habe sich die belangte Behörde mit den Interessen der Beschwerdeführerin und jenen betroffener Personen auseinandergesetzt und dazu auch keinerlei Feststellungen getroffen. Letztlich habe die belangte Behörde die in den Spruchpunkten 2 und 3 festgesetzten Leistungsfristen auch zu kurz bemessen und werde dies im Übrigen auch nicht näher begründet. Als Beweis dafür, dass die Frist zu kurz bemessen sei, werde die Einvernahme zweier Zeugen im Rahmen einer mündlichen Verhandlung beantragt.
Mit der Beschwerdevorentscheidung der belangten Behörde vom 11. Dezember 2019, GZ: DSB-D062.297/0001-DSB/2019 wurde der Beschwerde der Beschwerdeführerin teilweise stattgegeben und der Spruch dahingehend abgeändert, dass er insgesamt zu lauten hat:
„1. Das amtswegige Prüfverfahren war berechtigt und es wird festgestellt, dass
a) das Ersuchen um Einwilligung zur Verarbeitung von personenbezogenen Daten von den am „ römisch 40 “ registrierten betroffenen Personen zum Zweck des Profiling durch die Beschwerdeführerin mit dem Wortlaut […]
unter Verwendung der Methoden i) Webseite römisch 40 und ii) Anmeldebroschüre („Flyer“) nicht den Anforderungen an eine Einwilligung gemäß Artikel 4, Ziffer 11, DSGVO und Artikel 7, DSGVO entspricht und dass
b) für die bisherige Verarbeitung von personenbezogenen Daten von den am römisch 40 registrierten betroffenen Personen zum Zweck des Profiling durch die römisch 40 GmbH neben der Einwilligung, die unter Verwendung der Methoden i) Webseite römisch 40 und ii) Anmeldebroschüre („Flyer“) eingeholt wurden, keine andere Rechtsgrundlage nach Artikel 6, DSGVO in Betracht kommt und die genannte bisherige Verarbeitung daher unrechtmäßig erfolgt ist.
2) Der römisch 40 GmbH wird die Verarbeitung von personenbezogenen Daten von den am „ römisch 40 “ registrierten betroffenen Personen zum Zweck des Profiling im Umfang von Spruchpunkt 1 untersagt.
3) Für die Umsetzung von Spruchpunkt 2. wird der Beschwerdeführerin eine Frist von sechs Monaten eingeräumt.
Rechtsgrundlagen: [..] Artikel 4, Ziffer 4 und Ziffer 11,, Artikel 5, Absatz eins, Litera a, Artikel 6, Absatz eins, Litera a,, Artikel 7,, Artikel 12, Absatz eins,, Artikel 13, Absatz eins, Litera c,, Artikel 57, Absatz eins, Litera a,, Litera d und Litera h,, Artikel 58, Absatz eins, Litera b und Litera d, sowie Absatz 2, Litera d und Litera f, [..] DSGVO [..]“
Begründend führte die belangte Behörde aus, aus dem Beschwerdevorbringen gehe hervor, dass es sich beim Anmeldeprozess bei den Methoden römisch 40 App“ und „ römisch 40 “ um einen Screen-für Screen Anmeldeprozess handle und damit sichergestellt sei, dass das Ersuchen um Einwilligung vom übrigen Anmeldeprozess deutlich abgehoben sei. Dies habe zur Folge, dass die volle Aufmerksamkeit des Betroffenen auf den gegenwärtigen Anmeldeschritt gerichtet sei. Es sei daher von einem ausreichenden Transparenzniveau und somit von einer ausreichenden Einwilligung auszugehen, weshalb der Spruch dementsprechend anzupassen gewesen sei. Die Einwilligung bei den Methoden Webseite und Flyer entspreche jedoch – wie bereits im Ausgangsbescheid ausgeführt – nach wie vor nicht den Anforderungen an eine transparente und gut sichtbare Einholung einer Einwilligung, weshalb diese nicht als gültige Rechtsgrundlage gemäß Artikel 6, Absatz eins, Litera a, DSGVO für eine Verarbeitung herangezogen werden könne. Die Beschwerdeführerin habe sich im gesamten Verfahren allein auf diese Rechtsgrundlage gestützt, weshalb andere, nunmehr erstmals von der Beschwerdeführerin ins Treffen geführte Rechtsgrundlagen gar nicht in Betracht zu ziehen seien. Das Konzept der DSGVO sei derart angelegt, dass die Aufsichtsbehörde die Verarbeitungsvorgänge anhand des Verarbeitungsverzeichnisses zu überprüfen habe und führe die Beschwerdeführerin darin allein als Rechtsgrundlage die Einwilligung für die gegenständliche Verarbeitung an. Abgesehen davon sei es aber auch nicht Aufgabe der Aufsichtsbehörde nach Artikel 57, DSGVO einen Ersatzerlaubnistatbestand für einen Verantwortlichen heranzuziehen und stünde dies einer Aufsichtsbehörde auch gar nicht zu. Vielmehr sei es Sache des Verantwortlichen nachzuweisen, dass er die Grundsätze der DSGVO einhalte, wie Artikel 5, Absatz 2, DSGVO erhelle. Doch selbst wenn den Ausführungen der Beschwerdeführerin gefolgt werde, sei zu bemerken, dass eine Interessensabwägung gegen die Beschwerdeführerin ausfallen würde und eine Weiterverarbeitung unzulässig wäre. So weise die Artikel 29, Datenschutzgruppe ausdrücklich darauf hin, dass es nicht gestattet sei, rückwirkend berechtigte Interessen als Grundlage für eine Rechtfertigung einer Verarbeitung zu wählen, wenn Probleme mit der Gültigkeit der Einwilligung auftreten würden. Der Verantwortliche müsse sich im Vorfeld entscheiden, auf welche Rechtsgrundlage er seine Verarbeitung stütze. Die Beschwerdeführerin habe ihr gesamtes Konzept der Verarbeitung von personenbezogenen Daten auf die Rechtsgrundlage der Einwilligung gestützt und nicht auf zusätzliche Rechtsgrundlagen oder die Weiterverarbeitung nach Artikel 6, Absatz 4, DSGVO hingewiesen. Die Rechtsgrundlage des Artikel 6, Absatz eins, Litera f, DSGVO und des Artikel 6, Absatz 4, DSGVO komme deshalb nicht in Betracht, weil es dem Grundsatz von Treu und Glauben und dem Transparenzgebot widerspreche, wenn sich ein Verantwortlicher, nachdem sich eine Einwilligung als ungültig herausgestellt habe, nachträglich auf einen anderen Erlaubnistatbestand stütze. Abgesehen von diesen (bereits ausreichenden) Gründen würde eine Interessenabwägung aber auch nicht zugunsten der Beschwerdeführerin ausfallen. Die Beschwerdeführerin verarbeite zahlreiche Daten und zwar in welchem Zeitraum, zu welchem Datum, zu welcher Uhrzeit, an welchem konkreten Ort (samt Adresse), welche konkreten Produkte, in welcher Höhe, mit welcher Bezahlart gekauft worden seien. Wie die Beschwerdeführerin selbst vorbringe, verwende sie all diese Daten, um zur automationsunterstützten Verarbeitung und Analyse Profile über die Betroffenen zu erstellen, die darauf hinweisen würden, bei welchem römisch 40 Partnerunternehmen der Betroffene welche Produkte kaufe und mit welcher Wahrscheinlichkeit zukünftige Einkäufe getätigt werden würden. Überdies sammle die Beschwerdeführerin – wie auch einer von der Beschwerdeführerin vorgelegten Musterauskunft zu entnehmen sei – weitere Information, darunter die Information, an welchem Datum, zu welcher Uhrzeit, mit welchem Betriebssystem, mit welchem Browser, in welcher Geolocation (samt Angabe der römisch zehn und Y Koordinaten), ein Betroffener bestimmte elektronische Werbung geöffnet habe (oder nicht). Die belangte Behörde vertrete die Ansicht, dass auf Grundlage dieser Daten und des durchgeführten Profiling ein genaues Bild über die wirtschaftliche und soziale Situation sowie ein genaues Bild über die örtlichen Aufenthalte des jeweiligen Betroffenen erstellt werden und dies jedenfalls nicht als harmloser Eingriff in die Privatsphäre zu qualifizieren sei. Ein Verstoß gegen Artikel 22, DSGVO werde von der belangten Behörde jedoch nicht festgestellt, ein solcher stehe – nach Ansicht der belangten Behörde – auch nicht im Raum. Artikel 6, Absatz 4, DSGVO stelle keine eigenständige Rechtsgrundlage dar, sondern setze eine gültige Rechtsgrundlage nach Absatz eins, DSGVO voraus. Da die herangezogene Rechtsgrundlage nach Absatz eins, schon scheitere, käme auch eine Weiterverarbeitung für andere Zwecke nicht in Betracht. Da es insofern im vorliegenden Fall für die gegenständliche Verarbeitung an einer Rechtsgrundlage nach Artikel 6, Absatz 4, DSGVO mangle, sei ein entsprechendes Verbot zu verhängen. Spruchpunkt 2 des angefochtenen Bescheids, also die Anweisung, die Einwilligungserklärungen anzupassen, sei jedoch entsprechend aufzuheben gewesen: Die belangte Behörde folge hier der Ansicht der Beschwerdeführerin, wonach es ihr freistehen müsse, das Profiling ganz zu unterlassen oder das Profiling ex nunc auf eine andere Rechtsgrundlage zu stützen. Das Verbot sei nicht sofort umzusetzen, vielmehr sei angesichts der Menge an verarbeiteten Daten sowie des technischen und organisatorischen Aufwands und der Komplexität der gegenständlichen Sache eine Frist von sechs Monaten einzuräumen gewesen.
Mit Schreiben vom 27. Dezember 2019 stellte die Beschwerdeführerin einen Vorlageantrag. Darin verwies die Beschwerdeführerin – sofern hier wesentlich – darauf, dass die belangte Behörde den Spruch des angefochtenen Bescheids abgeändert und damit ihre Prüfbefugnis überschritten habe. Die Beschwerdevorentscheidung gehe betreffend die Feststellung, dass für die Verarbeitung zum Zweck des Profiling keine andere Rechtsgrundlage nach Artikel 6, DSGVO in Betracht komme über die Sache des Beschwerdeverfahrens hinaus. Ebenso sei die Untersagung der Datenverarbeitung in Spruchpunkt 2 der Beschwerdevorentscheidung nicht Inhalt des Spruchs des Ausgangsbescheids gewesen. Darin sei zwar eine Untersagung verfügt worden, diese habe sich aber auf die Einwilligungserklärungen bezogen. Die Untersagung der Datenverarbeitung stelle somit eine neue Anweisung dar. Auch damit habe die belangte Behörde ihre Prüfbefugnis überschritten. Im Übrigen seien die eingeholten Einwilligungen – wie bereits in der Beschwerde ausgeführt – rechtsgültig. Aber auch der von der belangten Behörde ausgeführten „Sperrwirkung“ der Einwilligung könne aus näheren Gründen nicht gefolgt werden. Ein gesetzlicher Erlaubnistatbestand entfalle nicht deshalb, weil zusätzlich eine Einwilligung eingeholt werde. Letztlich werde von der belangten Behörde auch übersehen, dass die für das Profiling verwendeten Teilnahmedaten und Einkaufsdaten gemäß Punkt 4.1. und 4.2. der Datenschutzerklärung auf der Rechtsgrundlage nach Artikel 6, Absatz eins, Litera b, DSGVO (Vertragserfüllung) zur Verwaltung der Mitgliedschaft sowie zur Abwicklung des Kundenbindungsprogrammes verwendet werden würden. Entgegen der Ansicht der belangten Behörde käme daher Artikel 6, Absatz 4, DSGVO in Bezug auf die Weiterverarbeitung dieser Daten sehr wohl in Betracht. Auch könne die Ansicht der belangten Behörde, eine Verletzung des Grundsatzes von Treu und Glauben schließe von vornherein eine Interessensabwägung nach Artikel 6, Absatz eins, Litera f, DSGVO aus, nicht nachempfunden werden. In Bezug auf die nunmehr verlängerte Leistungsfrist in Spruchpunkt 3 sei auszuführen, dass die belangte Behörde den Beginn der Frist nicht festgesetzt habe. Hier werde daher, sofern überhaupt eine Anweisung ergehe, zusätzlich zur Leistungsfrist deren Beginn mit der Rechtskraft der Entscheidung festzusetzen sein.
Mit Erkenntnis vom 31. August 2021, Zl. W256 2227693-1/10E gab das Bundesverwaltungsgericht der Beschwerde der Beschwerdeführerin statt und hob die Beschwerdevorentscheidung insgesamt ersatzlos auf. Die belangte Behörde habe in ihrem Ausgangsbescheid den Prüfgegenstand allein auf die Überprüfung der Einwilligungserklärungen als Rechtsgrundlage für die verfahrensgegenständliche Datenverarbeitung beschränkt. Eine Prüfung der sonstigen allenfalls nach Artikel 6, DSGVO in Frage kommenden Rechtsgrundlagen habe nicht stattgefunden. Dies sei offensichtlich auch nicht Gegenstand des von Amts wegen durchgeführten Prüf- und Ermittlungsverfahrens gewesen. Dabei habe sich die belangte Behörde bei der Bescheiderlassung auf ihre Befugnisse nach Artikel 58, Absatz 2, Litera d und f DSGVO berufen. Diese Abhilfebefugnisse würden jeweils voraussetzen, dass ein (festgestellter) Verstoß gegen die DSGVO vorliege. Die belangte Behörde habe jedoch verkannt, dass die Prüfung der Rechtmäßigkeit einer Datenverarbeitung allein ihr selbst obliege und sie bei dieser Beurteilung nicht an einen Normanwendungsanspruch des Verantwortlichen gebunden sei. Der die Berechtigung bzw. die Verpflichtung zur Verarbeitung regelnde Grundsatz der Rechtmäßigkeit stehe mit den die Art und Weise der Verarbeitung regelnden Grundsätzen der Transparenz und der Verarbeitung nach Treu und Glauben nicht in einem notwendigen Zusammenhang. Eine andere Sichtweise hätte zur Folge, dass jeder Verstoß gegen die Art und Weise der Verarbeitung die Unrechtmäßigkeit der Datenverarbeitung nach sich ziehen würde und es selbst im Falle einer berechtigten oder sogar allenfalls verpflichtenden Datenverarbeitung zu einer Löschung kommen müsse. Eine solche ausnahmslose Löschungsverpflichtung könne der DSGVO aber nicht entnommen werden. Im Übrigen gehe schon aus dem Wortlaut des Artikel 6, Absatz eins, DSGVO deutlich hervor, dass die Rechtmäßigkeit einer Datenverarbeitung nicht nur auf eine, sondern gegebenenfalls auf mehrere gleichrangig nebeneinanderstehende Rechtsgrundlagen gestützt werden könne. Dass im Falle einer ungültigen Einwilligung generell ein Rückgriff auf sonstige Erlaubnistatbestände des Artikel 6, DSGVO bei fehlender vorangehender Information der betroffenen Person nicht möglich sei, könne den von der belangten Behörde zitierten Leitlinien der Artikel 29, Datenschutzgruppe nicht entnommen werden. Vielmehr bezögen sich die dortigen Ausführungen auf die Konstellation des Widerrufs einer Einwilligungserklärung. Auch Erwägungsgrund 47 der DSGVO könne nicht entnommen werden, dass das Fehlen einer Einwilligungserklärung jegliche Abwägung mit möglichen berechtigten Interessen eines Verantwortlichen an der Verarbeitung von vornherein überflüssig mache. Der Ansicht der belangten Behörde, eine ungültige Einwilligungserklärung führe in Zusammenhang mit mangelnder Information der betroffenen Person über weitere Rechtsgrundlagen in jedem Fall zu einer unrechtmäßigen Datenverarbeitung und mache eine Überprüfung der sonstigen möglichen Rechtsgrundlagen entbehrlich, könne daher nicht gefolgt werden. Die alleinige Auseinandersetzung mit der Rechtsgrundlage der Einwilligung könne daher nicht ohne weiteres einen Verstoß gegen den Grundsatz der Rechtmäßigkeit und damit auch keine darauf gestützte Berechtigung zur Abhilfebefugnis begründen. Die Beschwerdevorentscheidung sei daher insgesamt ersatzlos zu beheben.
Dagegen erhob die belangte Behörde Amtsrevision an den Verwaltungsgerichtshof, welcher das Erkenntnis des Bundesverwaltungsgerichts vom 31. August 2021, Zl. W256 2227693-1/10E im Umfang der ersatzlosen Behebung der Spruchpunkte 2 und 3 der Beschwerdevorentscheidung wegen Rechtswidrigkeit des Inhalts aufgehoben hat. Betreffend die ersatzlose Behebung des Spruchpunktes 1 der Beschwerdevorentscheidung wurde die Revision hingegen als unbegründet abgewiesen. Begründend hielt der Verwaltungsgerichtshof – soweit hier wesentlich in Bezug auf die Spruchpunkte 2 und 3 der Beschwerdevorentscheidung – fest, dass fallgegenständlich maßgeblicher Inhalt des Spruchpunktes 2 der Beschwerdevorentscheidung die Untersagung der Verarbeitung von personenbezogenen Daten der durch Beteiligung am römisch 40 beteiligten und der damit registrierten betroffenen Personen zum Zweck des Profiling sei. „Sache“ des Beschwerdeverfahrens sei fallgegenständlich daher die Überprüfung der Rechtmäßigkeit der Ausübung der durch Artikel 58, Absatz 2, Litera f, DSGVO eingeräumten Abhilfebefugnis und damit verbunden die Frage, ob die betreffende Datenverarbeitung durch die Beschwerdeführerin rechtmäßig im Sinne des Artikel 6, DSGVO erfolgt sei. Dass die rechtliche Beurteilung durch die belangte Behörde im behördlichen Verfahren zu kurz gegriffen haben möge, weil diese lediglich einen von mehreren möglichen Rechtfertigungstatbeständen geprüft habe, habe auf den Umfang der „Sache“ keinen Einfluss. Der Prüfung der Rechtmäßigkeit der in Frage stehenden Datenverarbeitung anhand der Erlaubnistatbestände des Artikel 6, Absatz eins, DSGVO durch das Verwaltungsgericht seien aufgrund einer allenfalls unrichtigen rechtlichen Beurteilung durch die belangte Behörde keine Schranken gesetzt. Der Rechtsansicht des Verwaltungsgerichts, wonach eine Prüfung der Rechtmäßigkeit der fallgegenständlich gegebenen Datenverarbeitung anhand weiterer Erlaubnistatbestände des Artikel 6, Absatz eins, DSGVO eine Überschreitung des „Beschwerdegegenstandes“ bedeuten würde, sei demnach nicht zu folgen. Das Verwaltungsgericht werde daher im fortgesetzten Verfahren im Rahmen einer mündlichen Verhandlung mit der Beschwerdeführerin das Vorliegen allfälliger Rechtfertigungstatbestände zu erörtern haben.
In ihrem Schriftsatz vom 18. März 2022 verwies die Beschwerdeführerin erneut darauf, dass die belangte Behörde aufgrund der Erteilung der Anweisung in Spruchpunkt 2 der Beschwerdevorentscheidung ihre Prüfbefugnis überschritten habe, weshalb die Beschwerdevorentscheidung in dieser Hinsicht zu beheben sei. Der Verwaltungsgerichtshof habe sich mit dieser Frage nicht auseinandergesetzt, weshalb das Verwaltungsgericht hier auch nicht an eine Rechtsansicht gebunden sei.
In ihrem Schriftsatz vom 16. März 2023 gab die Beschwerdeführerin aufgrund der telefonischen Nachfrage des Bundesverwaltungsgerichts bekannt, dass die Einvernahme der beiden Zeugen in der Beschwerde zum Beweis der Unangemessenheit der in Spruchpunkt 3 des Ausgangsbescheides festgesetzten Leistungsfrist beantragt worden sei. Die Einvernahme dieser Zeugen zu diesem Beweisthema sei nach Ansicht der Beschwerdeführerin nicht erforderlich, soweit es um die Beurteilung der Angemessenheit der Leistungsfrist in Punkt 3 der Beschwerdevorentscheidung für die in Punkt 2 der Beschwerdevorentscheidung aufgetragene Leistung (Unterlassung) gehe.
Die belangte Behörde führte im Rahmen des Parteiengehörs mit Schreiben vom 28. März 2023 aus, den Ausführungen der Beschwerdeführerin, es liege eine Überschreitung der „Sache“ in Hinblick auf die erteilten Anweisungen vor, könne nicht gefolgt werden. Der Verwaltungsgerichtshof habe bereits die „Sache“ des Beschwerdeverfahrens klargestellt und darin ausgeführt, dass die Rechtmäßigkeit der Ausübung der Abhilfebefugnisse der DSGVO (konkret Artikel 58, Absatz 2, Litera f, DSGVO) und die damit verbundene Frage der Rechtmäßigkeit der Datenverarbeitung geprüft werden müsse. Da die Untersagung nach Artikel 58, Absatz 2, Litera f, DSGVO sowohl im Ausgangsbescheid als auch in der Beschwerdevorentscheidung Spruchgegenstand sei, könne auch hier keine Überschreitung erkannt werden. Von einem Austausch der ausgeübten Abhilfebefugnisse könne jedenfalls nicht die Rede sein. In Entsprechung des Charakters einer Beschwerdevorentscheidung handle es sich diesbezüglich um keine rechtswidrige Überschreitung der Sache des Beschwerdeverfahrens, sondern um eine der besseren Verständlichkeit dienende Anpassung des Spruches. Es werde nun Aufgabe des Bundesverwaltungsgerichts sein, die „Sache“ zu prüfen und inhaltlich zu entscheiden.
In ihren Stellungnahmen vom 11. April 2023, vom 3. Mai 2023 und vom 8. Mai 2023 wiederholte die Beschwerdeführerin im Wesentlichen ihr bisheriges Vorbringen. Ergänzend brachte sie vor, dass seit dem 3. Februar 2020 keine Möglichkeit mehr zur Anmeldung am römisch 40 mittels Anmeldebroschüre bestehe. Eine Anmeldung mittels Anmeldebroschüre sei auch nicht mehr vorgesehen. Auch habe die Beschwerdeführerin die Anmeldestrecke auf der Webseite geändert und sei die geänderte Fassung seit 5. März 2020 für den Echtbetrieb freigegeben worden. Seit diesem Zeitpunkt sei die Anmeldung nur mehr im Wege der geänderten Anmeldestrecke möglich. Eine Rückkehr zur alten Anmeldestrecke sei nicht mehr geplant. Der Inhalt der Einwilligungserklärung zum Profiling für personalisierte Werbung sei am 24. März 2020 und am 8. Juni 2020 neuerlich geändert worden. Die Beschwerdeführerin habe bei den in der Beschwerdevorentscheidung genannten Betroffenen u.a. sämtliche Daten, welche sie aufgrund der Einwilligungserklärung erhoben habe, im Jahr 2021 gelöscht. Die Beschwerdeführerin verarbeite zu diesen Personen keine Daten zum Zweck des Profiling für personalisierte Werbung, diesfalls komme es lediglich zu einer eingeschränkten Verarbeitung. Im Übrigen werde darauf hingewiesen, dass die belangte Behörde im vorliegenden Fall keine Feststellungen dazu getroffen habe, welche Daten tatsächlich von der Beschwerdeführerin verarbeitet worden seien, weshalb die Voraussetzungen für eine Zurückverweisung an die belangte Behörde vorliegen würden.
Dazu wurde der belangten Behörde Parteiengehör eingeräumt.
Das Bundesverwaltungsgericht hat am 11. Mai 2023 eine mündliche Verhandlung in Anwesenheit der Beschwerdeführerin, ihrer Rechtsvertretung und von Vertretern der belangten Behörde durchgeführt. Darin wurden u.a. die von der Beschwerdeführerin geltend gemachten Erlaubnistatbestände erörtert. Ergänzend führte die belangte Behörde aus, dass sie sehr wohl und zwar auf Basis der von der Beschwerdeführerin vorgelegten Unterlagen Feststellungen zur konkreten Datenverarbeitung getroffen habe. Die Beschwerdeführerin führte konkretisierend aus, sie habe insbesondere aufgrund der Beschwerdevorentscheidung die Anmeldebroschüre nicht mehr angewendet bzw. die Webseite diesbezüglich umgestaltet. Auch stellte die Beschwerdeführerin darin klar, dass im vorliegenden Fall die Teilnahme- und Einkaufsdaten – wie auch in der Einwilligungserklärung dargestellt – zum Zweck des Profiling verarbeitet worden seien und insofern Profile wie z.B. römisch 40 Präferenz ermittelt und gespeichert worden seien. Welche Daten nun bei jedem einzelnen Mitglied genau, aufgrund welcher Einkäufe hier verarbeitet worden seien, sei von der belangten Behörde jedoch nicht festgestellt worden und könne dies aufgrund der Löschung auch nicht mehr festgestellt werden. Unter „eingeschränkter Verarbeitung“ verstehe sie, dass in diesem Fall zwar eruiert werde, ob ein Mitglied in einem bestimmten Zeitraum eine gewisse Mindestanzahl an Einkäufen bei z.B. römisch 40 getätigt habe. Dabei werde aber nicht ermittelt, welche Produkte konkret gekauft worden seien bzw. welche Einkäufe dieses Mitglied bei anderen Partnerunternehmen gemacht habe und es würden auch sonstige Informationen nicht berücksichtigt werden, welche die Beschwerdeführerin aus den ihr zur Verfügung stehenden Daten des Mitglieds herleiten könnte, nämlich aus Daten, die die Beschwerdeführerin zu anderen Zwecken etwa dem Sammeln und Einlösen von römisch 40 verarbeite. Die Beschwerdeführerin könne nicht ausschließen, dass nicht sämtliche Datenverarbeitungen im Zeitpunkt 23. Oktober 2019, die unter „Profiling“ firmiert hätten, nicht ebenfalls derart eingeschränkt gewesen seien. Eine solche Datenverarbeitung habe insofern keine Intensität erreicht, die eine Einwilligung erforderlich gemacht hätte, weil beispielsweise keinerlei soziale oder wirtschaftliche Aspekte erhoben worden seien. Die Datenverarbeitung habe sich auf diese Selektion von Zielgruppen nach bestimmten Kriterien wie bei einem Stammkunden beschränkt. Es seien beispielsweise keine Kriterien wie die Finanzkraft eines Mitglieds oder die Zugehörigkeit zu einer sozialen Gruppe Kunden usw. berechnet worden. Bei der derzeit durchgeführten „eingeschränkten Verarbeitung“ würden keine Profile zur Verwendung für Werbeaktionen gebildet und auch nicht gespeichert werden.
Mit Stellungnahme der Beschwerdeführerin vom 25. Mai 2023 wurden von der Beschwerdeführerin diverse Nachweise in Bezug auf die von ihr behauptete Löschung der bisherigen u.a. hier gegenständlichen Datenverarbeitungen und dem Umstand, dass es zu keinen weiteren solchen Verarbeitungen in der Zukunft kommen werde, vorgelegt.
Dies wurde von der belangten Behörde im Rahmen des Parteiengehörs zur Kenntnis genommen.
römisch II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
Die Beschwerdeführerin betreibt ein unternehmens- und branchenübergreifendes Kundenbindungsprogramm unter der Bezeichnung „ römisch 40 “. Kunden der daran teilnehmenden Handelsgeschäfte können sich als Mitglieder registrieren, auf Basis ihrer Einkäufe Punkte sammeln und diese in der Folge für den Erhalt von verschiedenen „exklusiven“ Vorteilen bzw. Rabatten einlösen.
Der Beschwerdeführerin obliegt als Betreiberin des römisch 40 die Verwaltung der Mitgliedschaft und die Abwicklung des Kundenbindungsprogrammes sowie die Werbung für Produkte, Waren und Dienstleistungen sowie die Bereitstellung des römisch 40 Service.
zur Sachlage am 23. Oktober 2019:
Für die Teilnahme am römisch 40 und dementsprechend für die Verwaltung der Mitgliedschaft erfasste die Beschwerdeführerin Teilnahmedaten des Mitglieds, insbesondere über die vom Mitglied ausgefüllten Anmeldeformulare. Dabei handelte es sich (laut der Datenschutzerklärung) um folgende Daten:
„Mitgliederstammdaten“:
Daten zur Person (Kundennummer, Anrede, Geschlecht, Vor-/Nachname, Geburtsdatum; optional: Titel vorgestellt/ nachgestellt)
- Adress- und Kontaktdaten (Anschrift; optional: Telefonnummer, E-Mail-Adresse) mit Geolokation (X-Koordinate, Y-Koordinate, Zählersprengelnummer der Adresse, Qualität der Geocodierung)
- Erlaubte Kontaktart (Telefon, E-Mail, Post)
- Zulässigkeit Profiling (ja/nein) und Änderungsdatum-Profiling
- Daten zu den verfügbaren römisch 40 (Gesamt, Vormonat, Aktueller Monat)
„Teilnahmedaten“:
- Mitgliederstammdaten [siehe oben]
- Analytische Kundennummer
- Kunden-Status und Kunden-Status-Information
- Zugangsnummer
- Erstellungs- und Registrierungsdatum
- Registrierungskanal
- Verkaufsstelle und Kassa der Registrierung
- IP-Adresse bei der Registrierung (bei Online-Registrierung)
- Partner bei der Registrierung (ID des römisch 40 Partners)
- Anzahl der römisch 40 Karten
- Änderungsdatum Erlaubnis für Postsendung, E-Mail-Sendung und Telefonkontakt
- IP-Adresse Erlaubnis für E-Mail-Sendung
- Status Geolokation und Datum der Adressprüfung
- Zustimmung zu den AGB
- Datum letzter AGB-Änderung
- Erlaubnis für Stammdatenzugriff des jeweiligen römisch 40 Partners
- Formular-ID bei Anmeldung mittels Papierformular und Digitalisierungsdatum
- Verfügbare Kartentypen (Plastikkarte, iOS, Android, Print@Home)
Zusätzlich wurden der Beschwerdeführerin die unter Verwendung der römisch 40 Karte bei einer Transaktion des Mitglieds bei einem römisch 40 Partner angefallenen Daten (sogenannte Einkaufsdaten) zum Zweck der Abwicklung des Programmes von diesem Partner übermittelt und von der Beschwerdeführerin erfasst und zwar (laut Datenschutzerklärung):
- Daten, die bei Einkäufen in Verkaufsstellen und im Rahmen sonstiger Vertriebskanäle (z. B. Webshop) generiert werden (Kaufort/-zeit, Kassa, erworbene Ware/Dienstleistung, Einkaufsfrequenz, Produktkategorie, in Anspruch genommene Rabattierung und Aktion, Gutschein-ID, gewährte und eingelöste römisch 40 und gezahlter Preis)
- Transaktions-ID, Datum, Partner, Verkaufsstelle, Kassennummer, gesammelte/eingelöste römisch 40 , Umsatz, nicht rabattfähiger Umsatz, POS ID, Promotion, ID, Mehrwertsteuer
- Bezahlart (bar oder Kartenart).
Nur sofern das Mitglied im Rahmen der Anmeldung seine Einwilligung dazu erklärt hat, wurden diese Teilnahme- und Einkaufsdaten von der Beschwerdeführerin automationsunterstützt zusammengeführt und analysiert und dadurch Profile der Mitglieder über deren Einkaufsverhalten (wie z.B. laut einer von der Beschwerdeführerin vorgelegten Musterauskunft: römisch 40 Präferenz) zum Zweck der personalisierten Werbung erstellt (sogenannte Marketing-Profiling Daten). Diese Einwilligung konnte jederzeit widerrufen werden und war für den Vertragsabschluss nicht zwingend (gewesen).
Die Anmeldung zum Programm war für jede natürliche Person, die das 16. Lebensjahr vollendet und ihren Hauptwohnsitz im EWR/Schweiz hatte, möglich und war (soweit verfahrensgegenständlich relevant) mithilfe eines physischen Anmeldeformulars („Flyers“) oder online auf der Webseite möglich.
Die Einholung der Einwilligung mittels „Flyer“ wurde so durchgeführt, dass in Filialen der römisch 40 Partner eine Anmeldebroschüre („Flyer“) ausgelegt war. Bei Bezahlung an der Kasse in solchen Filialen wurde diese Anmeldebroschüre Kunden, die noch nicht beim römisch 40 registriert waren, aber Interesse an der Teilnahme hatten, überreicht. Auf dieser Anmeldebroschüre fanden sich allgemeine Hinweise zum oben dargestellten Geschäftsmodell der Beschwerdeführerin und wurden dort anschließend die AGB der Beschwerdeführerin abgedruckt. Auch wurde auf die Datenschutzerklärung und ihre Auffindbarkeit hingewiesen.
In Punkt 4. der AGB wurde der Kunde über den Leistungsumfang der Beschwerdeführerin informiert. U.a. wurde dem Kunde darin mitgeteilt, dass er bei Verwendung der römisch 40 beim Kauf eines Produktes oder einer Dienstleistung bei einem römisch 40 Partner römisch 40 sammelt, welche er bei den römisch 40 Partner einlösen und dafür unterschiedliche Vorteilsangebote erhalten kann (4.4.1.). In Punkt 4.3.1. wurde dazu näher ausgeführt, dass das Mitglied Informationen über die jeweiligen Vorteile bei den jeweiligen römisch 40 Partnern erhält, aber auch die Beschwerdeführerin die Kunden in regelmäßigen Abständen per Post oder per E-Mail – per E-Mail sofern das Mitglied sich für diese Möglichkeit entschieden hat – darüber informieren wird. In Punkt 5.4. der AGB wurde der Kunde darauf aufmerksam gemacht, dass seine personenbezogenen Daten für Zwecke der Verwaltung der Mitgliedschaft, Abwicklung des Kundenbindungsprogrammes, Werbung (ohne Profiling) sowie personalisierte Werbung mit Profiling verwendet werden. Punkt 5.5. der AGB (mit Punkt 4.4. der Datenschutzerklärung ident) lautete auszugsweise wie folgt: „[..] 5.5.1. Nur sofern das Mitglied einwilligt, wird der Betreiber als alleiniger Verantwortlicher die beim Betreiber und bei den römisch 40 Partnern verarbeiteten Mitgliederstammdaten und Einkaufsdaten des Mitglieds zur automationsunterstützten Personalisierung von Werbe- und Marketingmaßnahmen [..] weiterverwenden, analysieren und so neue Marketing-Profilingdaten gewinnen. Die Einwilligung des Mitglieds zur Verarbeitung seiner Daten gemäß diesem Unterpunkt ist für den Vertragsabschluss sowie seine Durchführung nicht zwingend. [..] 5.5.3. Bei dieser Art der Datenverarbeitung handelt es sich um Profiling gemäß Artikel 4, Ziffer 4, DSGVO. Es werden Profile über das Mitglied erstellt, welche auf die Wahrscheinlichkeit zukünftiger Einkäufe schließen lassen, Zielgruppenselektionen sowie aggregierte Auswertungen für Sortimente, Regal- und Filialoptimierung vorgenommen und individualisierte Werbe- und Marketingmaßnahmen entwickelt. Das Mitglied erhält vom Betreiber per Post, E-Mail, SMS, MMS, Push-Nachrichten, Nachrichten über die App oder Messenger auf sein Einkaufsverhalten angepasste Mitteilungen über besondere Vorteilsangebote und zur Bewerbung von Produkten und Gewinnspielen des Betreibers und auch der römisch 40 Partner. 5.5.4. Das Mitglied stimmt auch zu, dass im Rahmen von elektronischer Werbung vom Betreiber erhoben wird, ob das Mitglied die Werbung öffnet, die darin enthaltenen Links anklickt, wie viel Zeit das Mitglied dafür verwendet, welches Endgerät es dafür verwendet, welches Betriebssystem und welchen Browser es verwendet, an welchem Ort es sich befindet, welche IP-Adresse dem Mitglied zugewiesen wurde, und ob es Soziale Netzwerke nutzt und dort die Inhalte der Werbung allenfalls mit Dritten teilt. 5.5.5. Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten gemäß diesem Unterpunkt ist Artikel 6, Absatz eins, Litera a, DSGVO (Einwilligung). Die Einwilligung erfolgt auf dem Teilnahmeformular in den Ladengeschäften der römisch 40 Partner, der Webseite römisch 40 at oder in der römisch 40 App. 5.5.6. Die Einwilligung ist freiwillig und das Mitglied hat auch das Recht auf jederzeitigen Widerruf der Einwilligung. Wenn das Mitglied die Einwilligung nicht erteilt oder diese widerruft, werden seine personenbezogenen Daten nicht (mehr) automationsunterstützt verarbeitet und analysiert (kein Profiling [..]) und erhält das Mitglied keine (profilierten) Newsletter und Werbung mehr durch den Betreiber. Das Mitglied kann dennoch weiterhin am römisch 40 teilnehmen und römisch 40 sammeln und einlösen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitungen wird durch den Widerruf nicht berührt.“
In Punkt 3 und 4 der Datenschutzerklärung fand sich eine genaue Auflistung über die Kategorien der von der Beschwerdeführerin verarbeiteten Daten sowie zu welchen Zwecken eine solche Verarbeitung stattfindet. Insbesondere wurde in Punkt 4.3.1. darüber aufgeklärt, dass für Zwecke der Werbung (ohne Profiling) näher dargestellte Teilnehmerdaten (u.a. Name, Anschrift) des Mitglieds auf Grundlage von Artikel 6, Absatz eins, lit. DSGVO verwendet werden.
Am Ende der Anmeldebroschüre fand sich ein abtrennbares Anmeldeformular, welches – im Falle einer Anmeldung – bei der Kassa abzugeben war.
Das Anmeldeformular enthielt erneut einen Hinweis zu den AGB und der Datenschutzerklärung und dem Umstand, dass sich der Kunde mit der Abgabe der Anmeldung mit den AGB einverstanden erklärt.
Daran anschließend wurden die persönlichen Daten des Kunden eingeholt (Anrede, Vorname, Nachname, Geburtsdatum, Straße samt Hausnummer/Stiege/Türnummer, PLZ, Ort und Land). Falls vorhanden, konnte ein Titel angegeben werden. Ebenfalls konnte – falls gewünscht – eine Mobilfunknummer und eine E-Mail-Adresse („für [die] persönlichen Vorteile und zur Kommunikation“) angegeben werden.
Unterhalb davon erklärte sich der Kunde damit einverstanden, dass rechtlich bedeutsame Erklärungen an die bekanntgegebene E-Mail-Adresse zugestellt werden können. Konkret war dieser Hinweis unterhalb des Feldes für die E-Mail-Adresse platziert und zwar derart, dass dem in Rot und fett gedruckten Wort „E-Mail“ und dem anschließenden in Schwarz und nicht fett gedruckten Hinweis dazu, ein weißer Kreis zum Ankreuzen vorangestellt wurde. Unterhalb davon fand sich die in Punkt 5.5. der AGB bzw. 4.4. der Datenschutzerklärung dargestellte Einwilligungserklärung.
Das Wort „Einwilligungserklärung“ war fett und in Schwarz gedruckt. Der anschließende Text der Einwilligungserklärung war in Schwarz und nicht fett abgedruckt. Eine vorangestellte Ankreuzmöglichkeit wie bei der E-Mail fand sich hier nicht, sondern konnte der Kunde dazu eine Unterschrift abgeben.
Das Feld für die Unterschrift fand sich rechtsbündig am Ende des Anmeldeformulars und zwar etwas abgesetzt von der Einwilligungserklärung. Links davon fand sich auf gleicher Höhe das für die Anmeldung erforderliche Pflichtfeld „Datum“. Das Feld für die Unterschrift war nicht mit einem Sternchen („Pflichtfeld“) verzeichnet.
Unterhalb dieser beiden Felder fand sich folgender Text: „Diese Unterschrift gilt nur für die Einwilligungserklärung und ist freiwillig. Ihre Anmeldung zum römisch 40 ist auch ohne Unterschrift wirksam.“ Dieser Text war nicht fett abgedruckt.
Im Wesentlichen stellte sich dies wie folgt dar:
„[Kreis] E-Mail [in Rot]: [..]
Einwilligungserklärung: Ich erkläre mich gemäß Punkt 5.5. und 5.6. AGB (ebenso Punkte 4.4. und 4.5. der Datenschutzerklärung) damit einverstanden, dass die römisch 40 GmbH sowie die römisch 40 Partner, bei denen ich meine römisch 40 Karte verwendet habe, (1) meine Teilnahmedaten und Einkaufsdaten zusammenführen und analysieren, um mir für mich relevante und auf meine Interessen zugeschnittene, individualisierte Informationen zum römisch 40 Programm zukommen zu lassen und Angebote zum Sammeln und Einlösen von römisch 40 auf meine Bedürfnisse anzupassen (sog. „Profiling“ [..]), um (2) mir Werbung mit personalisierten Angeboten über Produkte und Dienstleistungen des Betreibers und der römisch 40 Partner per Post, E-Mail, SMS, MMS, Push-Nachrichten, Nachrichten über Apps und Messenger zuzusenden, und (3) dass meine auf diese Weise gewonnenen personenbezogenen Daten bei Widerruf meiner Einwilligung, spätestens nach Ende meiner Mitgliedschaft gelöscht werden. Meine Einwilligung ist für den Vertragsabschluss nicht zwingend notwendig und ich kann sie jederzeit mit Wirkung für die Zukunft gegenüber der römisch 40 postalisch, per E-Mail an römisch 40 oder telefonisch römisch 40 widerrufen.“
Datum* Unterschrift
[][][][][][][] [ ] [][][][][][]
Tag Monat Jahr
Diese Unterschrift gilt nur für die Einwilligungserklärung und ist freiwillig. Ihre Anmeldung zum römisch 40 ist auch ohne Unterschrift wirksam.“
Die Einholung der Einwilligung online auf der Webseite wurde so durchgeführt, dass die Person in einem ersten Schritt („Jetzt anmelden“) anzukreuzen hatte, ob sie eine Karte besitzt oder nicht („Ja“ oder „Nein“). In einem zweiten Schritt wurden die persönlichen Daten der Person und zwar Anrede, Vorname, Nachname, Geburtsdatum, Straße samt Hausnummer/Stiege/Türnummer, PLZ, Ort und Land sowie E-Mail-Adresse verlangt. In einem dritten Schritt wurden der Person zunächst die AGB in einem Feld zum Runterscrollen zur Verfügung gestellt und die Bestätigung der AGB durch Anklicken einer (als Pflichtfeld ausgewiesenen) Box eingefordert sowie wurde in weiterer Folge unter der Überschrift „Datenschutz ist uns wichtig“ die Datenschutzerklärung in einem Feld zum Runterscrollen zur Verfügung gestellt und ebenfalls die Bestätigung dazu durch Anklicken einer (als Pflichtfeld ausgewiesenen) Box eingefordert. In einem vierten Schritt wurde der Person unter der Überschrift „Genießen Sie Ihre ganz persönlichen Vorteile“ die Möglichkeit eingeräumt, durch Drücken eines jeweils vorangestellten weißen Buttons entweder „Ja, ich stimme der Verarbeitung meiner Daten gemäß unten stehender Einwilligungserklärung zu und möchte somit von exklusiven Vorteilen und Aktionen profitieren“ oder „Nein, ich stimme der Verarbeitung meiner Daten gemäß unten stehender Einwilligungserklärung nicht zu und möchte somit nicht von exklusiven Vorteilen und Aktionen profitieren.“ anzukreuzen. Daran anschließend wurde der Person die (beim Flyer bereits wiedergegebene und idente) Einwilligungserklärung in einem Feld zum Runterscrollen zur Verfügung gestellt und zwar war auf den ersten Blick folgender Text sichtbar: „Ich erkläre mich gemäß Punkt 5.5. und 5.6. AGB (ebenso Punkte 4.4. und 4.5. der Datenschutzerklärung) damit einverstanden, dass die römisch 40 GmbH sowie die römisch 40 Partner, bei denen ich meine römisch 40 Karte verwendet habe, (l) meine Teilnahmedaten und Einkaufsdaten zusammenführen und analysieren, um mir für mich relevante und auf meine Interessen zugeschnittene“. In einem letzten Schritt wurde der Person unter der Überschrift „Überprüfen Sie Ihre Eingabe“ in einer Überschriftstabelle angezeigt, ob die Eingabe vollständig war. Dazu wurden die Posten Anrede, Geburtsdatum, Adresse, Telefon, Zugangsnummer, AGB, Datenschutzerklärung, Profiling untereinander dargestellt und jeweils mit Hinweisen versehen. Am Ende jeder Zeile befand sich ein Beilstiftsymbol. War z.B. das Geburtsdatum unvollständig, so fand sich rechts neben dem Posten Geburtsdatum der Hinweis „Ihr Geburtsdatum ist unvollständig“. Wurden die AGB nicht akzeptiert, so fand sich rechts davon der Hinweis „Bitte akzeptieren Sie die AGB“. Wurde bei Profiling keine Antwort angeklickt, so fand sich rechts davon der Hinweis „Bitte wählen Sie bei Profiling eine Antwort aus, um mit der Anmeldung fortzufahren“. Durch Anklicken des jeweiligen Bleistiftsymbols am Ende der Zeile wurde die Person automatisch zum entsprechenden Eingabefeld auf der Webseite (zurück)geleitet.
Durch Drücken eines rechts unterhalb liegenden grauen Buttons „Jetzt anmelden“ konnte man den Anmeldeprozess abschließen. Die Darstellung dieses letzten Anmeldeprozesses war von der verwendeten Version (Webversion (PC)/Mobilversion (Mobiltelefon)) abhängig. Bei der Mobilversion war die letzte Zeile „Jetzt anmelden“ näher an der letzten Zeile „Profiling: Zustimmung erteilt oder Zustimmung nicht erteilt“.
Im Wesentlichen stellte sich die Einholung der Einwilligungserklärungen in der Version PC wie folgt dar:
„Datenschutz ist uns wichtig
Hier finden Sie die Datenschutzerklärung des römisch 40
[Feld mit der Datenschutzerklärung zum Runterscrollen]
[Feld zum Anklicken] Ja, ich habe die Datenschutzerklärung gelesen und zur Kenntnis genommen*
Genießen Sie Ihre ganz persönlichen Vorteile
O JA, ich stimme der Verarbeitung meiner Daten gemäß unten stehender Einwilligungserklärung zu und möchte somit von exklusiven Vorteilen und Aktionen profitieren.
O NEIN, ich stimme der Verarbeitung meiner Daten gemäß unten stehender Einwilligungserklärung nicht zu und möchte somit nicht von exklusiven Vorteilen und Aktionen profitieren.
[Feld mit folgendem Text zum Runterscrollen]:
Ich erkläre mich gemäß Punkt 5.5. und 5.6. AGB (ebenso Punkte 4.4. und 4.5. der Datenschutzerklärung) damit einverstanden, dass die römisch 40 GmbH sowie die römisch 40 , bei denen ich meine römisch 40 Karte verwendet habe,
(1) meine Teilnahmedaten und Einkaufsdaten zusammenführen und analysieren, um mir für mich relevante und auf meine Interessen zugeschnittene, individualisierte Informationen zum römisch 40 Programm zukommen zu lassen und Angebote zum Sammeln und Einlösen von römisch 40 auf meine Bedürfnisse anzupassen (sog. „Profiling“ [..]), um
(2) mir Werbung mit personalisierten Angeboten über Produkte und Dienstleistungen des Betreibers und der römisch 40 Partner per Post, E-Mail, SMS, MMS, Push-Nachrichten, Nachrichten über Apps und Messenger zuzusenden, und
(3) dass meine auf diese Weise gewonnenen personenbezogenen Daten bei Widerruf meiner Einwilligung, spätestens nach Ende meiner Mitgliedschaft gelöscht werden. Meine Einwilligung ist für den Vertragsabschluss nicht zwingend notwendig und ich kann sie jederzeit mit Wirkung für die Zukunft gegenüber der römisch 40 postalisch, per E-Mail an römisch 40 .at oder telefonisch ( römisch 40 ) widerrufen.
*Pflichtfeld“
zur aktuellen Sachlage:
Die Beschwerdeführerin hat die aufgrund der automatisierten Verarbeitung der Teilnahme- und Einkaufsdaten erstellten Profile über das Einkaufsverhalten von am „ römisch 40 “ mittels der Methode „Webseite“ www. römisch 40 .at (in der Fassung 23. Oktober 2019) und Anmeldebroschüre „Flyer“ registrierten betroffenen Personen im Jahr 2021 gelöscht. Auch werden in Bezug auf diese Personen keine solchen Profile mittels Profiling (mehr) automationsunterstützt erstellt.
Im Übrigen ist das Anmeldeformular „Flyer“ seit 3. März 2020 nicht mehr in Verwendung. Die Anmeldungsmöglichkeit auf der Webseite in der Fassung vom 23. Oktober 2019 ist ebenfalls seit 5. März 2020 nicht mehr in Verwendung bzw. wurde adaptiert.
römisch II. Das Bundesverwaltungsgericht hat erwogen:
1. Beweiswürdigung:
Der oben wiedergegebene Verfahrensgang und Sachverhalt ergibt sich aus dem Verwaltungs- und Gerichtsakt und ist unstrittig.
Dass die Beschwerdeführerin zum Zweck der vorliegenden Datenverarbeitung die Teilnahmedaten und Einkaufsdaten von am „ römisch 40 “ mittels der Methode „Webseite“ www. römisch 40 .at und Anmeldebroschüre „Flyer“ registrierten betroffenen Personen automatisiert zusammengeführt und daraus Profile über deren Einkaufsverhalten wie z.B. römisch 40 Präferenz erstellt hat, ergibt sich aus den von der Beschwerdeführerin vorgelegten Unterlagen, insbesondere der Einwilligungserklärung, der Datenschutzerklärung, den AGB und der Musterauskunft. Die Beschwerdeführerin bestreitet dies im Rahmen der mündlichen Verhandlung auch nicht, sondern bringt dazu vielmehr vor, dass sie aus diesen Daten keine Kriterien wie die Finanzkraft eines Mitglieds oder die Zugehörigkeit zu einer sozialen Gruppe Kunden errechnet habe.
Dass die Beschwerdeführerin die insofern erstellten Profile in Bezug auf diese Personen bereits gelöscht hat und auch keine solche Profile (mehr) über diese Personen erstellt und speichert, ergibt sich aus dem unbestrittenen Vorbringen der Beschwerdeführerin im Rahmen des Verfahrens vor dem Bundesverwaltungsgericht. Daraus ergibt sich auch, dass die Anmeldebroschüre und die Anmeldungsmöglichkeit auf der Webseite in der Fassung vom 23. Oktober 2019 nicht mehr in Verwendung ist.
3. Rechtliche Beurteilung:
Die hier maßgeblichen Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ABl. L 119 vom 04.05.2016, im Folgenden: DSGVO, lauten wie folgt:
„Art 4 Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
[..]
4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
[..]
Artikel 5, Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
[..]
Artikel 6, Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
[..]
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
[..]
(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist — unter anderem
a) | jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung, |
b) | den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen, |
c) | die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden, |
d) | die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen, |
e) | das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann. |
[]
Artikel 7, Bedingungen für die Einwilligung
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Artikel 13, Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
a) | den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; |
b) | gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; |
c) | die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; |
d) | wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden; |
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
[..]
f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
[..]
Artikel 17, Recht auf Löschung [..]
Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) | Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. |
b) | Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung. [] |
Artikel 21, Widerspruchsrecht
(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
(2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
[..]
Artikel 22, Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
(2) Absatz 1 gilt nicht, wenn die Entscheidung
a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
[..]
Artikel 58,
(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,
[..]
b) Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,
[..]
(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,
f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
[..]."
Daraus folgt in rechtlicher Hinsicht:
zum Gegenstand des Verfahrens:
Der Verwaltungsgerichtshof hat mit dem Erkenntnis vom 8. Februar 2022, Ro 2021/04/0033-8 die mit der Entscheidung des Bundesverwaltungsgerichts vom 31. August 2021, W256 2227693-1/10E erfolgte ersatzlose Behebung hinsichtlich der in Spruchpunkt 1 der Beschwerdevorentscheidung ausgesprochenen Feststellungen bestätigt, die ersatzlose Behebung hinsichtlich der in den Spruchpunkten 2 und 3 der Beschwerdevorentscheidung ausgesprochene Anweisung bzw. Frist hingegen aufgehoben.
Das fortgesetzte Verfahren ist daher auf den Gegenstand der Aufhebung durch den Verwaltungsgerichtshof – mithin die Spruchpunkte 2 und 3 der Beschwerdevorentscheidung – beschränkt.
Konkret führte der Verwaltungsgerichtshof dazu aus, dass „Sache“ des (fortzusetzenden) Verfahrens fallgegenständlich die Überprüfung der Rechtmäßigkeit der (in Spruchpunkt 2 und 3 der Beschwerdevorentscheidung erfolgten) Ausübung der durch Artikel 58, Absatz 2, Litera f, DSGVO eingeräumten Abhilfebefugnis sei und damit verbunden die Frage, ob die betreffende Datenverarbeitung durch die Beschwerdeführerin rechtmäßig im Sinne des Artikel 6, DSGVO erfolgte.
In Spruchpunkt 2 der Beschwerdevorentscheidung wurde der Beschwerdeführerin (in Abänderung von Spruchpunkt 3 des Ausgangsbescheids) die Verarbeitung von personenbezogenen Daten von den am „ römisch 40 “ registrierten betroffenen Personen zum Zweck des Profiling (im Umfang der Feststellungen von Spruchpunkt 1) untersagt und der Beschwerdeführerin in Spruchpunkt 3 dafür eine Frist von sechs Monaten eingeräumt. In der Begründung führte die belangte Behörde (in Übereinstimmung mit Spruchpunkt 1) dazu aus, dass mangels Vorliegens einer Rechtsgrundlage ein entsprechendes Verbot zu verhängen gewesen sei. Das Verbot beziehe sich aber nur auf bisherige Verarbeitungen zum Profiling, die auf jene Einwilligungen gestützt seien, die bis dato unter Verwendung der Methoden i) Website und ii) Anmeldeformular (Flyer) eingeholt worden seien.
Die Beschwerdeführerin meint nun, diese Abänderung des Ausgangsbescheids sei als Überschreitung der Sache des Verfahrens zu werten. Die belangte Behörde habe sich zwar in der Begründung zu Spruchpunkt 3 des Ausgangsbescheids auf ihre Abhilfebefugnis des Artikel 58, Absatz 2, Litera f, DSGVO gestützt, im Spruch selbst dazu allerdings nichts ausgeführt und im Übrigen auch nicht (wie in Spruchpunkt 2 der Beschwerdevorentscheidung) ein Verbot der Datenverarbeitung zum Zweck des Profiling, sondern vielmehr ein Verbot der Verwendung der in Rede stehenden Einwilligungserklärungen ausgesprochen. Eine solche Anweisung könne aber nicht nur nicht auf Artikel 58, Absatz 2, Litera f, DSGVO gestützt werden, sondern stelle überdies eine völlig andere Anweisung wie in Spruchpunkt 2 der Beschwerdevorentscheidung dar.
Es entspricht der Rechtsprechung des Verwaltungsgerichtshofes, dass die Beschwerdevorentscheidung gemäß Paragraph 14, VwGVG – nicht anders als die Entscheidung des Verwaltungsgerichts gemäß Paragraphen 28 und 31 VwGVG – eine Entscheidung über die Beschwerde ist, die diese, soweit kein Vorlageantrag gestellt wird, auch endgültig erledigt. Schon daraus folgt, dass die Sache des Verfahrens in diesem Stadium nicht anders begrenzt werden kann als im Verfahren vor dem Verwaltungsgericht selbst. Paragraph 14, VwGVG verweist zudem (auch) ausdrücklich auf Paragraph 27, VwGVG, der den zulässigen Prüfungsumfang für das Verwaltungsgericht festlegt. Zur Sache des Verfahrens vor dem Verwaltungsgericht und dem äußersten Rahmen seiner Prüfbefugnis hat der Verwaltungsgerichtshof schon wiederholt ausgeführt, dass es sich dabei jedenfalls nur um jene Angelegenheit handelt, die den Inhalt des Spruchs des Ausgangsbescheides gebildet hat vergleiche VwGH 6.5.2020, Ra 2019/08/0114; VwGH 8.5.2018, Ro 2018/08/0011).
Es kann der Beschwerdeführerin insofern zugestimmt werden, als die Formulierung des ersten Satzes von Spruchpunkt 3 des Ausgangsbescheids („Der römisch 40 GmbH wird untersagt und die römisch 40 GmbH wird angewiesen, die gemäß Spruchpunkt 1. einholten Einwilligungen ab 1. Mai 2020 zum Zweck des Profiling nicht mehr zu verwenden.“) zunächst dahingehend verstanden werden kann, dass die belangte Behörde damit ein Verbot der Verwendung der in Spruchpunkt 1 näher dargestellten Einwilligungserklärungen (hier auch unter Verwendung der Methoden römisch 40 ) aussprechen wollte. Allerdings wird im zweiten Satz weiters ausgeführt, dass dies (das Verbot der Verwendung der Einwilligungen) nicht gelte, wenn von den betroffenen Personen gültige Einwilligungserklärungen eingeholt werden („Dies gilt nicht, sofern von den betroffenen Personen innerhalb derselben Frist eine gültige Einwilligung, unter Einhaltung der Anforderungen an eine Einwilligung gemäß Spruchpunkt 2 eingeholt wird.“). Weshalb die Verwendung verbotener Einwilligungserklärungen nach Einholung anderer adaptierter Einwilligungserklärungen erlaubt sein soll, ist nicht verständlich und macht den Spruch insgesamt unklar. Der Hinweis in Satz 2 lässt vielmehr den Schluss zu, dass die belangte Behörde eigentlich gar kein Verbot der Verwendung der Einwilligungserklärungen, sondern ein Verbot der darauf basierenden Datenverarbeitungen aussprechen wollte. Zieht man angesichts dieser Bedenken zusätzlich die Begründung des Ausgangsbescheids heran, besteht kein Zweifel darüber, dass auch Spruchpunkt 3 des Ausgangsbescheids ein Verbot der auf den ungültigen Einwilligungserklärungen basierenden Datenverarbeitungen zum Zweck des Profiling zugrundeliegen soll (zur Heranziehung der Begründung zur Deutung eines unklaren Spruches vergleiche zB VwGH 16.1.2019, Ra 2018/02/0300; 12.3.2020, Ra 2019/01/0484, jeweils mwN). Darin wird nämlich ausschließlich auf ein auf Artikel 58, Absatz 2, Litera f, DSGVO gestütztes Verbot der Datenverarbeitung und mit keinem Wort auf ein Verbot der Verwendung von Einwilligungserklärungen Bezug genommen („Da es im vorliegenden Fall für die Verarbeitung personenbezogener Daten von den am „ römisch 40 “ teilnehmenden betroffenen Personen zum Zweck des Profiling – wie zuvor ausgeführt – an einer Rechtsgrundlage mangelt, war ein entsprechendes Verbot gegen die Verantwortliche zu verhängen. [..] Das gemäß Artikel 58, Absatz 2, Litera f, DSGVO verhängte Verbot bezieht sich nur auf die Verarbeitung zum Profiling, die auf jene Einwilligungserklärungen gestützt wird, die bis dato unter Verwendung der in Spruchpunkt 1. genannten Methoden i) bis iv) eingeholt wurden, nicht auf zukünftig rechtmäßig eingeholte Einwilligungserklärungen. Der Verantwortlichen steht es daher frei, [..] eine rechtmäßige Einwilligung von den betroffenen Personen einzuholen und deren Daten ex nunc rechtmäßig zum Zweck des Profiling zu verarbeiten.“ (Unterstreichungen durch das BvwG)).
Da somit schon Spruchpunkt 3 des Ausgangsbescheids – wie letztlich auch unbestritten Spruchpunkt 2 der Beschwerdevorentscheidung – ein auf Artikel 58, Absatz 2, Litera f, DSGVO gestütztes Verbot der Datenverarbeitung zum Zweck des Profiling in Bezug auf jene Personen, die anhand des Flyers oder der Webseite ihre Einwilligung dazu erteilt haben, zugrunde liegt, können die von der Beschwerdeführerin vorgetragenen Bedenken insgesamt nicht geteilt werden. Sonstige Anhaltspunkte dafür, dass die belangte Behörde ihre Prüfbefugnis im vorliegenden Fall überschritten habe, liegen nicht vor und wurden solche auch nicht vorgebracht.
Dabei muss der Vollständigkeit halber angemerkt werden, dass sich das in Spruchpunkt 2 der Beschwerdevorentscheidung ausgesprochene Verbot auf eine (bisherige) Datenverarbeitung zum Profiling und zwar – wie aus dem Verweis auf Spruchpunkt 1 der Beschwerdevorentscheidung erkennbar hervorgeht – auf die Erstellung von – aus Teilnahme- und Einkaufsdaten – gewonnenen Profilen, welche auf das zukünftige Einkaufsverhalten der mittels Flyer und Webseite registrierten Mitglieder schließen lassen, bezieht (siehe die in Spruchpunkt 1 wiedergegebene Einwilligungserklärung, Punkt 1.: „Ich erkläre mich gemäß Punkt 5.5. und 5.6. AGB (ebenso Punkte 4.4. und 4.5. der Datenschutzerklärung) damit einverstanden, dass die römisch 40 GmbH sowie die römisch 40 Partner, bei denen ich meine römisch 40 Karte verwendet habe, (1) meine Teilnahmedaten und Einkaufsdaten zusammenführen und analysieren, um mir für mich relevante und auf meine Interessen zugeschnittene, individualisierte Informationen zum römisch 40 Programm zukommen zu lassen und Angebote zum Sammeln und Einlösen von römisch 40 auf meine Bedürfnisse anzupassen“; Punkt 4.4.3. der damals geltenden Datenschutzerklärung: „Bei dieser Art der Datenverarbeitung handelt es sich um Profiling gemäß Artikel 4, Ziffer 4, DSGVO. Es werden Profile über das Mitglied erstellt, welche auf die Wahrscheinlichkeit zukünftiger Einkäufe schließen lassen, [..]“; siehe auch die Begründung in der Beschwerdevorentscheidung, Seite 24: „[…] die Beschwerdeführerin [..], verwendet [..] all diese Daten, um zur automationsunterstützten Verarbeitung und Analyse Profile über die Betroffenen zu erstellen, die darauf hinweisen, bei welchem römisch 40 Partnerunternehmen der Betroffene welche Produkte kauft und mit welcher Wahrscheinlichkeit zukünftige Einkäufe getätigt werden.“).
Dies steht im Einklang mit dem Ausgangsbescheid, dessen maßgeblicher Spruchpunkt 3 ebenfalls auf dessen Spruchpunkt 1 und die darin zu Spruchpunkt 1 der Beschwerdevorentscheidung wörtlich ident wiedergegebenen Einwilligungserklärungen verweist.
Sonstige vom Verbot umfasste Datenverarbeitungen zum Profiling können daraus nicht abgeleitet werden und sind solche im Verfahren (auch vor der belangten Behörde) im Übrigen auch nicht hervorgekommen.
Die erstmals allein in der Begründung der Beschwerdevorentscheidung erfolgten Ausführungen der belangten Behörde, sie vertrete „die Ansicht, dass [..] ein genaues Bild über die wirtschaftliche und soziale Situation sowie ein genaues Bild über die örtlichen Aufenthalte des jeweiligen Betroffenen erstellt“ werde, finden sich nicht nur in keiner Weise im Ausgangsbescheid, sondern sind letztlich auch nicht vom Spruchpunkt 3 der Beschwerdevorentscheidung umfasst. Ausführungen zum (oben dargelegten) Prüfumfang der belangten Behörde im Rahmen einer Beschwerdevorentscheidung und einer allfälligen Überschreitung der Sache erübrigen sich daher.
Sollte die belangte Behörde in dieser Hinsicht Bedenken haben, müsste sie dazu ein eigenes Prüfverfahren samt angemessener Ermittlungen führen. Allein aus dem Umstand, dass – wie von der belangten Behörde u.a. im Hinblick auf Punkt 5.5.4. der AGB und eine von der Beschwerdeführerin vorgelegten Musterauskunft dazu ausgeführt – Daten darüber, „an welchem Datum, zu welcher Uhrzeit, mit welchem Betriebssystem, mit welchem Browser, in welcher Geolocation (samt Angabe der römisch zehn und Y Koordinaten), ein Betroffener bestimmte elektronische Werbung geöffnet hat (oder diese nicht geöffnet hat)“ gesammelt werden, kann jedenfalls für sich allein nicht hinreichend auf die Erstellung von (solchen) Profilen geschlossen werden.
zur Sach- und Rechtslage:
Unbestritten ist, dass die Beschwerdeführerin dem in der Beschwerdevorentscheidung ausgesprochenen (und oben näher dargelegten) Verbot infolge der Löschung der bisher erstellten bzw. infolge der Unterlassung der Erstellung weiterer solcher Profile in Bezug auf die mittels Flyer sowie der Webseite registrierten Personen zwischenzeitig und zwar nach Erhalt der Beschwerdevorentscheidung nachgekommen ist und dementsprechend Spruchpunkt 2 und 3 der Beschwerdevorentscheidung vollinhaltlich entsprochen hat.
Dazu ist festzuhalten, dass das Verwaltungsgericht die Sach- und Rechtslage im Zeitpunkt seiner Entscheidung zu berücksichtigen hat (siehe dazu Leeb in Hengstschläger/Leeb, AVG Paragraph 28, VwGVG, Rn. 50 (Stand 15.2.2017, rdb.at) m.w.H) und zwar auch – wie im vorliegenden Fall – bei amtswegigen Verfahren (VwGH 16.11.2015, Ra 2015/12/0044).
Dies gilt nach der ständigen Rechtsprechung des Verwaltungsgerichtshofes aber nicht für solche Sachverhaltsänderungen, die in der Herstellung des in einem Bescheid geforderten Zustandes bestehen; dabei handelt es sich um keine vom Verwaltungsgericht zu beachtende Änderung des maßgebenden Sachverhaltes vergleiche u.a. VwGH 28.04.2022, Ra 2022/06/0056; Leeb in Hengstschläger/Leeb a.a.O. Rn. 52). Die Umsetzung eines solchen Bescheides in die Wirklichkeit kann danach weder das anhängige Rechtsmittel gegenstandslos machen, noch die Entscheidung der Rechtsmittelinstanz in einem bestimmten Sinne festlegen, sondern die Sachlage ist so zu sehen, als ob seit der Erlassung des angefochtenen Bescheides nichts geschehen wäre. Damit kommt in einem solchen Fall nur mehr die Überprüfung der Rechtmäßigkeit des Bescheides für das Verwaltungsgericht in Betracht vergleiche erneut Leeb in Hengstschläger/Leeb a.a.O. Rn. 52).
Die Herstellung des einem Bescheid entsprechenden Zustandes spielt dementsprechend zwar eine Rolle in einem allfälligen Vollstreckungs- oder Verwaltungsstrafverfahren; sie führt aber nicht zur Aufhebung des Titelbescheides vergleiche VwGH 20.10.2005, 2005/07/0112).
Daran ändert auch die Bestimmung des Paragraph 24, Absatz 6, DSG nichts, weil diese – dem Paragraph 33, Absatz eins, VwGG nachgebildete Ergänzung des verfahrensrechtlichen Instrumentariums des Paragraph 13, Absatz 7, AVG (Zurückziehung des Antrages) – keine Aussage zum hier maßgeblichen antragslosen Verfahren trifft (siehe dazu die ErlRV zum weitestgehend inhaltsgleichen Paragraph 31, Absatz 8, DSG 2000 in der Fassung der Novelle der DSG-Novelle 2010 (472 BlgNR 24. Gesetzgebungsperiode 13), wonach die Datenschutzbehörde bei fehlendem Interesse eines Antragsstellers an der Weiterverfolgung seines mittlerweile vom Beschwerdegegner erfüllten Rechtsanspruchs nach entsprechender Verständigung das Verfahren formlos einstellen kann).
zur Rechtmäßigkeit der Abhilfebefugnis
Wie vom Verwaltungsgerichtshof in seinem Erkenntnis vom 8. Februar 2022, Ro 2021/04/0033-8 bereits anerkannt wurde, setzt die in Artikel 58, Absatz 2, Litera f, DSGVO normierte Abhilfebefugnis voraus, dass ein Verstoß gegen die DSGVO vorliegt.
Im vorliegenden Fall stützte die belangte Behörde ihre in Spruchpunkt 2 der Beschwerdevorentscheidung gesetzte Maßnahme auf einen Verstoß gegen Artikel 6, DSGVO. Es liege für die in Rede stehende Datenverarbeitung zum Profiling weder eine gültige Einwilligung gemäß Artikel 6, Absatz eins, Litera a, DSGVO, noch eine sonstige Rechtsgrundlage des Artikel 6, DSGVO vor.
Unbestritten ist, dass die Beschwerdeführerin – sofern eine Einwilligung dazu erteilt wurde – im Zeitpunkt der Bescheiderlassung Einkaufs- und Teilnahmedaten zusammengeführt und daraus Profile über registrierte Mitglieder erstellt hat, welche auf das zukünftige Einkaufsverhalten von diesen schließen ließen. Dazu hat sie ihren Mitgliedern im Rahmen der Anmeldung – sofern hier wesentlich – mittels Flyer und Webseite vorgefertigte Einwilligungserklärungen zur Verfügung gestellt.
Damit eine Einwilligung wirksam ist und eine Datenverarbeitung nach Artikel 6, DSGVO legitimieren kann, müssen verschiedene formale Voraussetzungen erfüllt sein.
Artikel 7, Absatz 2, 1. Satz DSGVO verlangt von der verantwortlichen Stelle insbesondere die transparente Ausgestaltung einer schriftlichen Einwilligungserklärung für den Fall, dass die Erklärung noch andere Sachverhalte betrifft. Das Ersuchen muss in diesem Fall „in verständlicher und leicht zugänglicher Form“ sowie „in einer klaren und einfachen Sprache“ erfolgen, damit es von anderen Sachverhalten klar zu unterscheiden ist. Die Regelung enthält demnach die Vorgabe, dass eine Einwilligung, soll sie zusammen mit anderen Erklärungen schriftlich erteilt werden, besonders hervorzuheben ist. Darüber hinaus fordert Artikel 7, Absatz 2, 1. Satz aber nicht nur eine gestalterische, sondern auch eine inhaltliche Transparenz. Eine schriftliche Einwilligungsklausel muss, um der Vorschrift zu genügen, nicht nur so platziert sein, dass sie der Betroffene nicht übersehen kann, etwa durch einen besonderen Abstand zum übrigen Text, durch eine Einrahmung oder Hervorhebung mittels Fettdruck. Darüber hinaus muss sie vielmehr auch inhaltlich der betroffenen Person das „Ob“ und „Wie“ einer Einwilligungserklärung in einer klaren und einfachen Sprache vor Augen führen vergleiche Kühling/Buchner in Kühling/Buchner, Datenschutz-Grundverordnung, BDSG3 [2020], Artikel 7, Rn. 25).
Ein Dokument verfügt über einen anderen Sachverhalt, wenn dieser Darstellungen enthält, die über den reinen Einwilligungstext hinausgehen und hierdurch dazu geeignet sind, die Einwilligung in den Hintergrund zu drängen. Hierdurch besteht das Risiko, dass der Betroffene die Einwilligung in eine Verarbeitung seiner Daten nicht aktiv wahrnimmt und diese z.B. im Rahmen des Bestätigens der AGB untergeht. Der Einwilligungstext ist insofern derart zu formatieren, dass dieser deutlich lesbar und erkennbar ist und von dem restlichen Text der Erklärung abgesetzt ist vergleiche Heckmann/Paschke in Ehmann/Selmayr, Datenschutzgrundverordnung2 [2018] Artikel 7,, Rn. 78f).
In engem Zusammenhang mit der inhaltlichen Transparenz muss zusätzlich beachtet werden, dass eine Einwilligung nach der Begriffsbestimmung des Artikel 4, Ziffer 11, DSGVO auch in Kenntnis der Sachlage („in informierter Weise und unmissverständlich abgegebene Willensbekundung“) zu erfolgen hat. Die betroffene Person muss abschätzen können, welche Auswirkungen die Erteilung einer Einwilligung für sie hat, insbesondere muss sie die Umstände der Datenverarbeitung sowie die Tragweite der Einwilligung eindeutig und klar erkennen können. Die Informationen müssen insofern so aufbereitet sein, dass sie auch für einen durchschnittlichen Verbraucher ohne besondere juristische Vorbildung verständlich sind (Buchner, Artikel 7, Rn. 59f). Damit soll verhindert werden, dass Betroffene sprachlich überfordert oder durch wohlklingende, aber an der Sache vorbeigehende Formulierungen verführt werden vergleiche Heckmann/Paschke in Ehmann/Selmayr, Datenschutzgrundverordnung2 [2018] Artikel 7,, Rn. 82).
Wie bereits dargestellt, wurde die in Rede stehende datenschutzrechtliche Einwilligungserklärung sowohl beim Flyer, als auch bei der Webseite von der Beschwerdeführerin nicht gesondert, sondern gemeinsam mit der Anmeldung zum römisch 40 und der dafür erforderlichen Bestätigung ihrer AGB und ihrer Datenschutzerklärung eingeholt.
Der insofern nach Artikel 7, Absatz 2, 1. Satz DSGVO geschuldeten transparente Ausgestaltung der schriftlichen Einwilligungserklärung wurde die Beschwerdeführerin dabei in beiden Fällen nicht gerecht.
Schon die belangte Behörde führte dazu in Bezug auf den Flyer zutreffend aus, dass die Beschwerdeführerin das Unterschriftsfeld am Ende des Formulars platziert und damit den Gesamteindruck vermittelt hat, dass es sich eigentlich um eine Unterschrift für die Teilnahme am Kundenprogramm handelt. Dazu trägt auch bei, dass das Feld direkt neben dem für die Anmeldung als Pflichtfeld ausgewiesenen Datumsfeld platziert ist. Auch was den (größeren) Abstand vom Einwilligungstext betrifft, so ist der belangten Behörde beizupflichten, dass der Eindruck, dass es sich um eine Unterschrift zum Programm handeln könnte, verstärkt wird. Daran ändert auch der darunter platzierte Hinweis, dass diese Unterschrift nur für die Einwilligungserklärung gilt, nichts, weil dieser in keiner Weise vom sonstigen Text hervorgehoben und damit besonders ersichtlich ist. Zudem befindet er sich auch nach links versetzt und damit unterhalb des Pflichtfeldes „Datum“ und nicht direkt unter dem Unterschriftsfeld. Auch der Umstand, dass es sich bei dem Feld „Unterschrift“ um kein mit einem Sternchen versehenes Pflichtfeld handelt, entkräftet diesen Anschein nicht, weil – wie von der belangten Behörde zutreffend ausgeführt – ein durchschnittlicher Verbraucher bei einem Unterschriftsfeld – welches am Ende eines Anmeldeformulars platziert ist – nicht von einem Pflichtfeld ausgehen wird, sondern vielmehr davon, dass die Unterschrift der Bestätigung der Anmeldung zum römisch 40 dient.
Insgesamt ist daher der belangten Behörde beizupflichten, dass ein Kunde bereits aufgrund der optischen Ausgestaltung der Einwilligungserklärung im Rahmen des physischen Anmeldevorganges nicht aktiv wahrgenommen haben wird, dass er hier eigentlich eine Einwilligungserklärung zum Datenprofiling unterschrieben hat. Die mittels Flyer eingeholte Einwilligung erfüllt daher – entsprechend den Ausführungen der belangten Behörde – nicht die Kriterien des Artikel 7, Absatz 2, 1. Satz DSGVO.
Nichts Anderes gilt in Bezug auf die Webseite. Auch hier führte die belangte Behörde zutreffend aus, dass ein durchschnittlicher Verbraucher mit der fett gedruckten Überschrift zur Einwilligungserklärung „Genießen Sie Ihre exklusiven Vorteile“ nicht davon ausgehen wird, dass es sich hier eigentlich um die Einholung einer Einwilligung zur Durchführung von Profiling handelt. Auch im darauffolgenden Einwilligungstext („Ja“, „Nein“) finden sich keine Hinweise dazu, sondern wird der Erhalt bzw. Nichterhalt von „exklusiven“ Vorteilen von der Abgabe bzw. Nichtabgabe zur Datenverarbeitung gemäß „untenstehender Einwilligungserklärung“ abhängig gemacht. Diese (auch in der Überschrift suggerierte) Formulierung ist nicht nur missverständlich, weil letztlich laut dem eigenen Geschäftsmodell der Beschwerdeführerin auch Personen, die nicht in den Datenabgleich einwilligen, bei Anmeldung „exklusive“ Vorteile erhalten sollen. Sie hat vielmehr auch zur Folge, dass Betroffene zur Abgabe einer Einwilligungserklärung und zwar ohne Kenntnis der eigentlichen Auswirkungen verleitet werden. Daran ändert auch nichts, dass der Betroffene schließlich gemäß der „unten stehenden Einwilligungserklärung“ über den in Rede stehenden Datenabgleich in Kenntnis gesetzt wird, weil er dazu den Text erst einmal hinunterscrollen muss und der Hinweis zum Profiling erst dann sichtbar und im Übrigen im Vergleich zur Überschrift auch nicht fett hervorgehoben wird. Schließlich ist der belangten Behörde aber auch hier dahingehend zu folgen, dass bereits „auf einer ersten Ebene“ (anhand der Überschrift) grundsätzlich ersichtlich sein muss, worauf sich die Einwilligung überhaupt bezieht. Insofern können auch die Ausführungen der Beschwerdeführerin, die betroffene Person werde in den AGB und in der Datenschutzerklärung über das Profiling und zwar fett markiert informiert, nicht greifen.
Sofern die Beschwerdeführerin in diesem Zusammenhang darauf hinweist, dass der Betroffene vor Abschluss seiner Anmeldung nochmals ausdrücklich in der Übersichtstabelle auf die Abgabe einer Einwilligungserklärung zum Profiling hingewiesen und durch Anklicken eines Bleistiftsymbols dorthin auch zurückgeleitet wird, ist festzuhalten, dass dadurch erneut die Aufmerksamkeit des Betroffenen vordergründig auf den Erhalt von Vorteilen gelenkt und damit der (irreführende) Eindruck erzeugt wird, dass der Erhalt von „exklusiven“ Vorteilen von der Abgabe einer Einwilligung abhängt. Dieser Eindruck wird im Übrigen durch den Hinweis in der Übersichtstabelle, der Anmeldeprozess könne erst nach Abgabe einer (eigentlich ansonsten nicht als Pflichtfeld ausgewiesenen) Erklärung zum Profiling abgeschlossen werden, verstärkt.
Insgesamt ist daher der belangten Behörde auch hier beizupflichten, dass die mittels Webseite eingeholte Einwilligung nicht die Kriterien des Artikel 7, Absatz 2, 1. Satz DSGVO erfüllt.
Nach dem ausdrücklichen Wortlaut von Artikel 7, Absatz 2, letzter Satz DSGVO sind Teile einer Einwilligungserklärung dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
Da die gegenständlich überprüften Ersuchen um Einwilligung unter Verwendung der Methoden „Flyer“ und Webseite – wie oben ausgeführt – nicht den Anforderungen von Artikel 4, Ziffer 11, DSGVO und Artikel 7, Absatz 2, DSGVO entsprechen, handelt es sich um ungültige Einwilligungserklärungen.
Die Voraussetzungen des Artikel 6, Absatz eins, Litera a, DSGVO (Einwilligung) sind somit nicht gegeben.
Die Beschwerdeführerin brachte dazu im Verfahren vor, die gegenständliche Datenverarbeitung könne aber auch (hilfsweise) auf Artikel 6, Absatz eins, Litera f, DSGVO oder Artikel 6, Absatz 4, DSGVO gestützt werden.
Der Ansicht der belangten Behörde, eine ungültige Einwilligungserklärung bewirke in jedem Fall eine unrechtmäßige Datenverarbeitung und mache eine Überprüfung sonstiger Rechtsgrundlagen entbehrlich, kann – wie bereits im Erkenntnis vom 31. August 2021 näher erläutert wurde – nicht gefolgt werden (siehe dazu zwischenzeitig auch EuGH 4.7.2023, C-252/21, ECLI:EU:C:2023:537 Rz. 92).
Der Verwaltungsgerichtshof hat dazu in seinem Erkenntnis vom 8. Februar 2022, Ro 2021/04/0033-8 im Übrigen auch bereits klargestellt, dass Sache des Verfahrens die Überprüfung der Rechtmäßigkeit der betreffenden Datenverarbeitung im Sinne des Artikel 6, DSGVO ist und insofern (die belangte Behörde bzw.) das nachprüfende Gericht das Vorliegen allfälliger (weiterer) Rechtfertigungstatbestände zu erörtern hat.
Da auch die DSGVO keine bestimmten Zulässigkeitsanforderungen in Bezug auf die hier vorliegende Datenverarbeitung des „Profiling“ festlegt, ist auch in dieser Hinsicht keine Einschränkung des Anwendungsbereichs des Artikel 6, DSGVO erkennbar. Artikel 22, DSGVO regelt nicht die Zulässigkeit von Profiling an sich, sondern die Nutzung bestimmter Ergebnisse einer solchen Datenverarbeitung. Ob und wie personenbezogene Daten zu Zwecken einer Persönlichkeitsbewertung automatisiert verarbeitet werden dürfen, bestimmt sich demnach nicht nach Artikel 22, DSGVO, sondern – wie aus Erwägungsgrund 72 der DSGVO hervorgeht – nach den allgemeinen Regeln der DSGVO zu den Grundsätzen und der Rechtmäßigkeit einer Datenverarbeitung vergleiche dazu Buchner in Kühling/Buchner, Datenschutz-Grundverordnung, BDSG3 [2020], Artikel 22, Rn. 11).
Im Übrigen geht aus Artikel 21, Absatz eins und 2 DSGVO auch eindeutig hervor, dass der europäische Gesetzgeber andere, insbesondere u.a. den Erlaubnistatbestand des Artikel 6, Absatz eins, Litera f, DSGVO als mögliche Rechtsgrundlage für Profiling in Betracht ziehen wollte.
Nach Artikel 6, Absatz eins, Litera f, DSGVO ist die Verarbeitung personenbezogener Daten nur zulässig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Somit ist nach dieser Bestimmung die Verarbeitung personenbezogener Daten unter drei kumulativen Voraussetzungen zulässig: erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen vergleiche u.a. VwGH Ro 2020/04/0037, Rn. 52; EuGH 4.7.2023, C-252/21, ECLI:EU:C:2023:537, Rz. 106).
Der EuGH hat zuletzt in seinem Urteil vom 4. Juli 2023 ausdrücklich festgehalten, dass eine solche Verarbeitung nur dann als zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich angesehen werden kann, wenn der fragliche Betreiber den Nutzern, bei denen die Daten erhoben wurden, ein mit der Datenverarbeitung verfolgtes berechtigtes Interesse mitgeteilt hat, wenn diese Verarbeitung innerhalb der Grenzen dessen erfolgt, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist und wenn sich aus einer Abwägung der einander gegenüberstehenden Interessen unter Würdigung aller relevanten Umstände ergibt, dass die Interessen oder Grundrechte und Grundfreiheiten dieser Nutzer gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen (EuGH 4.7.2023, C-252/21, ECLI:EU:C:2023:537, Rz. 126).
Außerdem ergibt sich aus dem Erwägungsgrund 47 der DSGVO, dass die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen insbesondere dann überwiegen können, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer solchen Verarbeitung rechnet.
Die vorliegende Datenverarbeitung dient – wie das Ermittlungsverfahren hervorgebracht hat – dem Zweck personalisierter Werbung. Nach Erwägungsgrund 47 kann die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung schon grundsätzlich als eine einem berechtigten Interesse des Verantwortlichen dienende Verarbeitung betrachtet werden vergleiche EuGH 4.7.2023, C-252/21, ECLI:EU:C:2023:537, Rz. 115). Dabei fällt im vorliegenden Fall überdies ins Gewicht, dass die von der vorliegenden Datenverarbeitung betroffene Person infolge ihrer Anmeldung zum römisch 40 bereits Kunde der Beschwerdeführerin ist. Eine bestehende Kundenbeziehung begründet zusätzlich ein berechtigtes Interesse, an den Kunden mit Direktwerbung heranzutreten vergleiche Ehmann in Simitis/Hornung/Spiecker [Hrsg.], Datenschutzrecht [2019], Anhang 3 zu Artikel 6,, Rn. 26).
Zum Erfordernis der Erforderlichkeit ist festzuhalten, dass die zur Adressierung notwendigen Daten (Name und physische oder elektronische Adresse) jedenfalls für den Zweck der Direktwerbung als notwendig anzusehen sind. Im Bereich von Bestandskunden oder Mitgliedern kann sich die Erforderlichkeit überdies auf bestimmte Basismerkmale (Alter, Geschlecht) sowie auf vergangene Transaktionen und auf ableitbare Vorlieben und Interessen erstrecken und zwar insbesondere dann, wenn diese Daten für interessensgerechtere Werbung als Selektionskriterium herangezogen werden vergleiche Ehmann in Simitis/Hornung/Spiecker [Hrsg.], Datenschutzrecht [2019], Anhang 3 zu Artikel ,, Rn. 29 und Rn. 40).
Im vorliegenden Fall wurden – wie festgestellt – die Teilnahmedaten (Name, Adresse, usw.) mit den Einkaufsdaten (Einkaufsort, Produkt, usw.) des Mitglieds in der Weise automatisiert miteinander verknüpft, dass daraus eine Präferenz in Bezug auf das Einkaufsverhalten des Mitglieds (z.B. römisch 40 -Präferenz) abgeleitet und damit zielgerichtete Werbung an dieses adressiert werden konnte. Diese (Teilnahme)Daten wurden der Beschwerdeführerin einerseits im Rahmen der Anmeldung u.a. durch das Mitglied selbst bekannt, zum anderen wurden diese (Einkaufs)Daten der Beschwerdeführerin durch den jeweiligen Partner u.a. zum Zweck der Abwicklung des Kundenbindungsprogrammes übermittelt. Es bestehen im vorliegenden Fall keine Gründe, an der Rechtmäßigkeit ihrer Verarbeitung durch die Beschwerdeführerin an sich zu zweifeln. Ebenso bestehen – wie oben ausgeführt – keine Bedenken daran, dass solche Daten für die Verwirklichung des vorliegenden Zwecks der personalisierten Werbung notwendig und auch angemessen sind. Dass die Beschwerdeführerin – wie von der belangten Behörde in der Beschwerdevorentscheidung in der Begründung ausgeführt – der vorliegenden Datenverarbeitung Daten „an welchem Datum, zu welcher Uhrzeit, mit welchem Betriebssystem, mit welchem Browser, in welcher Geolocation (samt Angabe der römisch zehn und Y Koordinaten), ein Betroffener bestimmte elektronische Werbung geöffnet hat (oder diese nicht geöffnet hat)“ zugrundegelegt hat, ist – wie bereits oben dargelegt wurde – im gesamten Verfahren nicht hervorgekommen.
Im Übrigen wurde der betroffenen Person im Rahmen der Anmeldung von der Beschwerdeführerin auch mitgeteilt, dass diese Daten u.a. zum Zweck der Durchführung von personalisierter Werbung und damit u.a. im diesbezüglichen Interesse der Beschwerdeführerin mittels Profiling verwendet werden.
Dabei stützte sich die Beschwerdeführerin allerdings ausschließlich auf Artikel 6, Absatz eins, Litera a, DSGVO und führte sie dazu u.a. in ihren AGB zusätzlich aus, dass eine solche Datenverarbeitung „nur sofern das Mitglied einwilligt“ durchgeführt werde. Damit hat die Beschwerdeführerin der betroffenen Person aber gegenüber zum Ausdruck gebracht, dass die betroffene Person die Durchführung einer solchen Datenverarbeitung selbst in der Hand habe. Da im vorliegenden Fall die betroffenen Personen weder bei dem Flyer, noch bei der Webseite – wie bereits ausgeführt – eine Einwilligung zum vorliegenden Profiling wahrgenommen haben, mussten sie angesichts der Formulierung „nur sofern das Mitglied einwilligt“ davon ausgehen, dass eine solche Datenverarbeitung eben nicht durchgeführt werde.
Dabei wird nicht verkannt, dass gerade am römisch 40 teilnehmende Personen an bedürfnisorientierten Vorteilen explizit interessiert und dementsprechend auch den Erhalt von Informationen darüber grundsätzlich erwarten. Dass ihre Daten dazu von der Beschwerdeführerin automatisiert verknüpft und damit ein Profil über ihre persönlichen Einkaufsvorlieben erstellt wird, kann allerdings nicht von einer solchen Erwartungshaltung umfasst sein. Dazu hätte es vielmehr einer entsprechenden Mitteilung durch die Beschwerdeführerin bedurft vergleiche dazu Artikel 13, Absatz 2, Litera f, DSGVO und dazu Dix in Simitis/Hornung/Spiecker [Hrsg.], Datenschutzrecht [2019], Artikel 13,, Rn. 16; Bäcker in Kühling/Buchner, Datenschutz-Grundverordnung, BDSG3 [2020], Artikel 13,, Rn. 52 mit Hinweis auf die Formulierung „zumindest“).
Eine solche Mitteilung fand im vorliegenden Fall aufgrund der gegenteiligen Information der Beschwerdeführerin, die in Rede stehende Datenverarbeitung werde „nur sofern das Mitglied einwillige“ durchgeführt, aber eben gerade nicht statt.
Da die betroffenen Personen somit aber mit einer Datenverarbeitung in der vorliegenden Form von Profiling nicht nur nicht gerechnet, sondern eine solche angesichts der Ausführungen der Beschwerdeführerin in ihren AGB sogar explizit ausgeschlossen haben, überwiegen in einer Gesamtbetrachtung die Geheimhaltungsinteressen der betroffenen Personen die berechtigten Interessen der Beschwerdeführerin. Artikel 6, Absatz eins, Litera f, DSGVO kann aus diesem Grund nicht zur Anwendung gelangen.
Nichts Anderes kann aber für die von der Beschwerdeführerin ebenfalls geltend gemachte Bestimmung des Artikel 6, Absatz 4, DSGVO und die dort eingeräumte Möglichkeit einer Zweckänderung gelten.
Nach dieser Bestimmung kann der Verantwortliche nach dem 2. Satzteil des Absatz 4, prüfen, ob eine Zweckänderung mit demjenigen Zweck, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. Dabei hat er diverse in Litera a bis e normierte Kriterien zu berücksichtigen, u.a. nach Litera b, den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen. Dabei kommt es nach Erwägungsgrund 50 darauf an, „in welchem Kontext die Daten erhoben wurden, insbesondere auf die vernünftigen Erwartungen der betroffenen Person, die auf ihre Beziehung zu dem Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten […]“.
Entscheidend für dieses Kriterium sind dementsprechend u.a. die Handlungen des Verantwortlichen und die daraus ableitenden Erwartungen der betroffenen Person. Von einer Zweckvereinbarkeit kann nicht ausgegangen werden, wenn die betroffene Person nicht damit rechnen musste, dass der Verantwortliche ihre personenbezogenen Daten zu einem anderen Zweck weiterverarbeitet. Dabei hat der Verantwortliche vor einer Weiterverarbeitung die betroffene Person zumindest über die Zwecke und die Zweckänderung zu informieren. Eine solche Information schließt auch Maßnahmen der Profilbildung mit ein. Sie können nur dann als vereinbar angesehen werden, wenn sie für die betroffene Person im Zeitpunkt der Datenerhebung vorherzusehen waren. Mit Profilbildungen, die nicht zuvor bekannt waren, muss die betroffene Person nicht rechnen; sie entsprechen nicht ihren vernünftigen Erwartungen vergleiche Albrecht in Simitis/Hornung/Spiecker [Hrsg.], Datenschutzrecht [2019], Artikel 6, Absatz 4,, Rn. 43ff, insbesondere Rn. 47 und 51).
Diesen Anforderungen hält die vorliegende Information der Beschwerdeführerin – wie schon zu Artikel 6, Absatz eins, Litera f, DSGVO ausgeführt – aber nicht stand. Dementsprechend konnte sich die Beschwerdeführerin auch nicht auf Artikel 6, Absatz 4, DSGVO stützen.
Sonstige in Betracht zu ziehende Rechtsgrundlagen sind nicht erkennbar und wurden solche im Übrigen auch nicht vorgebracht.
Es war daher spruchgemäß zu entscheiden, wobei – wie auch von der Beschwerdeführerin angemerkt – Spruchpunkt 2 der Beschwerdevorentscheidung angesichts des Wegfalls von Spruchpunkt 1, sowie auch Spruchpunkt 3 der Beschwerdevorentscheidung aufgrund des Fehlens eines Beginns der Leistungsfrist entsprechend zu adaptieren war.
zu B) Zulässigkeit der Revision:
Gemäß Paragraph 25 a, Absatz eins, VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Artikel 133, Absatz 4, B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.
Die Revision ist gemäß Artikel 133, Absatz 4, B-VG zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. So fehlt es an höchstgerichtlicher Rechtsprechung zur Gestaltung einer Einwilligungserklärung nach der DSGVO.
ECLI:AT:BVWG:2023:W256.2227693.1.00