Entscheidungsgründe:
I. Verfahrensgang:römisch eins. Verfahrensgang:
1. Mit Eingabe vom XXXX , verbessert mit Schreiben vom XXXX , erhob XXXX (in weiterer Folge „mitbeteiligte Partei“) eine Datenschutzbeschwerde bei der belangten Behörde und brachte eine Verletzung im Recht auf Geheimhaltung vor. Demnach habe er am XXXX die Website der Beschwerdeführerinnen „ XXXX “ besucht, um eine Parteimitgliedschaft anzumelden. Die mitbeteiligte Partei habe in den Datenschutzeinstellungen Google reCaptcha deaktiviert, jedoch sei weiterhin auf allen Seiten der Homepage „ XXXX “ Google reCaptcha verwendet worden, ohne die Rechtmäßigkeit der Verarbeitung der Nutzerdaten gem. Art. 5 Abs. 1 und 2 DSGVO nachzuweisen. Trotz der Tatsache, dass die mitbeteiligte Partei nach dem Öffnen der Website sofort alle Cookies und Funktionen wie reCaptcha deaktiviert und anschließend lediglich die Seite "Mitglied werden" geöffnet habe, seien im Hintergrund bereits 615 Pakete von und zu Google übermittelt worden. Die mitbeteiligte Partei habe nicht eingewilligt und sei nicht darüber aufgeklärt worden, dass sein persönliches Datum, nämlich seine IP-Adresse, und die Daten des verwendeten Browsers usw. an Google übertragen würden, und somit Google darüber Kenntnis habe, welche Seiten der Partei „ XXXX “ geöffnet worden wären sowie dass unter seiner IP-Adresse eine Mitgliedsanmeldung bei der Partei „ XXXX “ durchgeführt worden wäre.1. Mit Eingabe vom römisch 40 , verbessert mit Schreiben vom römisch 40 , erhob römisch 40 (in weiterer Folge „mitbeteiligte Partei“) eine Datenschutzbeschwerde bei der belangten Behörde und brachte eine Verletzung im Recht auf Geheimhaltung vor. Demnach habe er am römisch 40 die Website der Beschwerdeführerinnen „ römisch 40 “ besucht, um eine Parteimitgliedschaft anzumelden. Die mitbeteiligte Partei habe in den Datenschutzeinstellungen Google reCaptcha deaktiviert, jedoch sei weiterhin auf allen Seiten der Homepage „ römisch 40 “ Google reCaptcha verwendet worden, ohne die Rechtmäßigkeit der Verarbeitung der Nutzerdaten gem. Artikel 5, Absatz eins und 2 DSGVO nachzuweisen. Trotz der Tatsache, dass die mitbeteiligte Partei nach dem Öffnen der Website sofort alle Cookies und Funktionen wie reCaptcha deaktiviert und anschließend lediglich die Seite "Mitglied werden" geöffnet habe, seien im Hintergrund bereits 615 Pakete von und zu Google übermittelt worden. Die mitbeteiligte Partei habe nicht eingewilligt und sei nicht darüber aufgeklärt worden, dass sein persönliches Datum, nämlich seine IP-Adresse, und die Daten des verwendeten Browsers usw. an Google übertragen würden, und somit Google darüber Kenntnis habe, welche Seiten der Partei „ römisch 40 “ geöffnet worden wären sowie dass unter seiner IP-Adresse eine Mitgliedsanmeldung bei der Partei „ römisch 40 “ durchgeführt worden wäre.
2. Mit Stellungnahme vom 07.03.2023 brachte der Erstbeschwerdeführer vor, dass sich die mitbeteiligte Partei auf der Website als Mitglied eingetragen habe. Die Daten der Mitglieder würden intern verwaltet und habe kein Außenstehender Zugriff. Es könne nicht nachvollzogen werden, inwiefern Geheimhaltungspflichten verletzt seien.
3. Mit Stellungnahme vom 17.03.2023 führte der Erstbeschwerdeführer aus, er und die Zweitbeschwerdeführerin seien für den Inhalt der Seite „ XXXX “ verantwortlich, aber nicht für deren Gestaltung, diese sei extern. Der Besucher der Website entscheide beim Aufruf der Website selbst durch seine Einstellungen, welche Cookies er setze oder zum Auslesen bereitstelle. Der Erstbeschwerdeführer und die Zweitbeschwerdeführerin hätten keinen Einfluss darauf, sofern diese nicht systembedingt seien. Es würden keine Cookies gesetzt, bevor ein Website-Besucher im Cookie-Banner der Website „ XXXX “ die Wahl treffe, Cookies zuzulassen. Dem Besucher stehe beim Seitenaufruf zur Wahl, 1. gar keine Cookies zu setzen und zu nutzen, womit eine Beantwortung von Anfragen oder Datenweiterleitung gar nicht möglich sei, 2. notwendige Cookies für Anfragebeantwortung zu setzen, dies erfolge über und durch die Google-Dienste und externe Dienste, diese seien Google-Fonts, Google Maps, Google reCATPCHA, Vimeo und YouTube. Alle Cookie-Einstellungen würden lokal am aufrufenden Rechner und nicht in der Domain gespeichert werden, insofern diese nicht vom Benutzer dezidiert für eine (Domain)Speicherung freigegeben worden seien. Die Aufrufenden würden über diese Umstände in Kenntnis gesetzt werden. Wenn diese Punkte nicht akzeptiert werden würden, erfolge auch keinerlei Domain-Speicherung oder eine Weitergabe, weder intern noch extern.3. Mit Stellungnahme vom 17.03.2023 führte der Erstbeschwerdeführer aus, er und die Zweitbeschwerdeführerin seien für den Inhalt der Seite „ römisch 40 “ verantwortlich, aber nicht für deren Gestaltung, diese sei extern. Der Besucher der Website entscheide beim Aufruf der Website selbst durch seine Einstellungen, welche Cookies er setze oder zum Auslesen bereitstelle. Der Erstbeschwerdeführer und die Zweitbeschwerdeführerin hätten keinen Einfluss darauf, sofern diese nicht systembedingt seien. Es würden keine Cookies gesetzt, bevor ein Website-Besucher im Cookie-Banner der Website „ römisch 40 “ die Wahl treffe, Cookies zuzulassen. Dem Besucher stehe beim Seitenaufruf zur Wahl, 1. gar keine Cookies zu setzen und zu nutzen, womit eine Beantwortung von Anfragen oder Datenweiterleitung gar nicht möglich sei, 2. notwendige Cookies für Anfragebeantwortung zu setzen, dies erfolge über und durch die Google-Dienste und externe Dienste, diese seien Google-Fonts, Google Maps, Google reCATPCHA, Vimeo und YouTube. Alle Cookie-Einstellungen würden lokal am aufrufenden Rechner und nicht in der Domain gespeichert werden, insofern diese nicht vom Benutzer dezidiert für eine (Domain)Speicherung freigegeben worden seien. Die Aufrufenden würden über diese Umstände in Kenntnis gesetzt werden. Wenn diese Punkte nicht akzeptiert werden würden, erfolge auch keinerlei Domain-Speicherung oder eine Weitergabe, weder intern noch extern.
Personenbezogene Daten würden ausschließlich in dem Maße gespeichert, in dem diese durch den Aufrufenden selbst in einem entsprechenden Formular angegeben werden. IP-Adressen, Values und Unique ID’s würden nicht abgespeichert werden und Inhalte nur nach den (eventuell neuerlichen) Angaben des Aufrufenden abgefragt und in eine externe Benutzerdatenbank übergeleitet, um eine Doppelanmeldung zu vermeiden. Von den Beschwerdeführerinnen würden keinerlei bezugnehmende Daten an Dritte aktiv oder passiv übermittelt werden.
4. Mit Schreiben vom 23.03.2023 wies der Erstbeschwerdeführer darauf hin, dass die Stellungnahme vom 17.03.2023 auch als Stellungahme der Zweitbeschwerdeführerin gelte.
5. Die mitbeteiligte Partei replizierte mit Stellungnahme vom 20.04.2023, die Beschwerdeführer:innen würden als Betreiber:innen der Website trotz der Beschwerde bei der Datenschutzbehörde die Datenschutzverletzung nicht beheben, obwohl es lediglich einer einfachen Einstellung bedürfe, damit Google-Fonts nicht heruntergeladen werde, sondern von der Website selbst zur Verfügung gestellt werde. Man werde in der Datenschutzerklärung erst dann darauf hingewiesen, dass die Google-Fonts aus den USA heruntergeladen worden wären, nachdem dies schon passiert sei. Das bedeute Google, sei in Kenntnis darüber, dass die mitbeteiligte Partei die Website der Beschwerdeführer:innen besucht habe. Dies könne im Vorfeld nicht verhindern werden. Es werde weiterhin nicht angezeigt, welche Cookies weshalb verwendet werden würden. Es sei auch nicht möglich, bereits getätigte Einstellungen nachträglich über die Datenschutzerklärung abzuändern.
6. Mit dem im Spruch angeführten Bescheid vom 30.05.2023 gab die belangte Behörde der Beschwerde der mitbeteiligten Partei statt und stellte fest, dass der Erstbeschwerdeführer und die Zweitbeschwerdeführerin die mitbeteiligte Partei in ihrem Recht auf Geheimhaltung verletzt hätten, indem sie als Verantwortliche durch ihre Entscheidung Google Dienste (zumindest den Dienst Google ReCAPTCHA mit dem Cookie „grecaptcha“) auf ihrer Website „ XXXX “ implementiert hätten und so jedenfalls am XXXX personenbezogene Daten der mitbeteiligten Partei (dies sind zumindest in Kombination dessen Online-Kennung in Form der IP-Adresse und einzigartiger Nutzer-Identifikations- Nummern sowie Browserdaten) unrechtmäßig verarbeitet hätten.6. Mit dem im Spruch angeführten Bescheid vom 30.05.2023 gab die belangte Behörde der Beschwerde der mitbeteiligten Partei statt und stellte fest, dass der Erstbeschwerdeführer und die Zweitbeschwerdeführerin die mitbeteiligte Partei in ihrem Recht auf Geheimhaltung verletzt hätten, indem sie als Verantwortliche durch ihre Entscheidung Google Dienste (zumindest den Dienst Google ReCAPTCHA mit dem Cookie „grecaptcha“) auf ihrer Website „ römisch 40 “ implementiert hätten und so jedenfalls am römisch 40 personenbezogene Daten der mitbeteiligten Partei (dies sind zumindest in Kombination dessen Online-Kennung in Form der IP-Adresse und einzigartiger Nutzer-Identifikations- Nummern sowie Browserdaten) unrechtmäßig verarbeitet hätten.
Begründend führte die belangte Behörde aus, dass nachdem der Beschwerdeführer die Website „ XXXX “ am XXXX besucht habe Cookies mit einem einzigartigen, zufallsgenerierten Wert im Endgerät der mitbeteiligten Partei gesetzt und ausgelesen worden sei. In weiterer Folge seien die Cookie-Werte und IP-Adresse des Endgeräts des Beschwerdeführers unter anderem an die Server von Google übermittelt worden. Die Beschwerdeführer:innen hätten auch keine Nachweise gemäß Art. 25 Abs. 1 DSGVO– dessen Vorgaben bereits vor der eigentlichen Datenverarbeitung umzusetzen seien – vorgelegt, wonach technische oder organisatorische Schutzmaßnahmen getroffen worden wären, um eine Verknüpfung der Cookie-Werte und IP-Adresse mit Zusatzinformationen (z.B. durch Google) zu verhindern. Es handle sich bei dem verwendeten Cookie „_GRECAPTCHA“ jedenfalls nicht um ein technisch notwendiges Cookie und wäre daher eine Einwilligung einzuholen gewesen. Eine Implementierung dieses Dienstes mit dem Cookie „_GRECAPTCHA“ könne nicht als technische Notwendigkeit betrachtet werden. Aus den dargelegten Gründen sei die nach der Implementierung von Google Diensten (zumindest des Dienstes Google reCAPTCHA) folgende Datenverarbeitung (konkret: die Übermittlung der Daten des Beschwerdeführers durch Implementierung des Dienstes an Dritte wie Google) durch keinen Rechtfertigungsgrund des Art. 6 Abs. 1 DSGVO gedeckt gewesen, weshalb eine Verletzung im Recht auf Geheimhaltung vorliege. Begründend führte die belangte Behörde aus, dass nachdem der Beschwerdeführer die Website „ römisch 40 “ am römisch 40 besucht habe Cookies mit einem einzigartigen, zufallsgenerierten Wert im Endgerät der mitbeteiligten Partei gesetzt und ausgelesen worden sei. In weiterer Folge seien die Cookie-Werte und IP-Adresse des Endgeräts des Beschwerdeführers unter anderem an die Server von Google übermittelt worden. Die Beschwerdeführer:innen hätten auch keine Nachweise gemäß Artikel 25, Absatz eins, DSGVO– dessen Vorgaben bereits vor der eigentlichen Datenverarbeitung umzusetzen seien – vorgelegt, wonach technische oder organisatorische Schutzmaßnahmen getroffen worden wären, um eine Verknüpfung der Cookie-Werte und IP-Adresse mit Zusatzinformationen (z.B. durch Google) zu verhindern. Es handle sich bei dem verwendeten Cookie „_GRECAPTCHA“ jedenfalls nicht um ein technisch notwendiges Cookie und wäre daher eine Einwilligung einzuholen gewesen. Eine Implementierung dieses Dienstes mit dem Cookie „_GRECAPTCHA“ könne nicht als technische Notwendigkeit betrachtet werden. Aus den dargelegten Gründen sei die nach der Implementierung von Google Diensten (zumindest des Dienstes Google reCAPTCHA) folgende Datenverarbeitung (konkret: die Übermittlung der Daten des Beschwerdeführers durch Implementierung des Dienstes an Dritte wie Google) durch keinen Rechtfertigungsgrund des Artikel 6, Absatz eins, DSGVO gedeckt gewesen, weshalb eine Verletzung im Recht auf Geheimhaltung vorliege.
7. Die Beschwerdeführer:innen erhoben mit Schriftsatz vom 27.06.2023 fristgerecht das Rechtsmittel der Beschwerde. Darin brachten sie im Wesentlichen vor, die belangte Behörde habe es verabsäumt zu erheben, mit welchem Betriebssystem und mit welchem Browser der Zugriff auf die Seite „ XXXX “ durch die mitbeteiligte Partei erfolgt sei. Dies sei besonders wichtig, da es Betriebssysteme (zB Android) und Browser verschiedener Hardwarehersteller gebe (zB Samsung) bei denen bereits zur Geräte- und Personenkennung Coockies (auch Google-Dienste) installiert und aktiviert seien. Deren Verwendung werde dabei bereits durch die Gerätenutzung bzw. Browsernutzung zugestimmt. Es sei auch nicht erhoben worden, ob die mitbeteiligte Partei bereits zuvor, bei anderen von ihm aufgerufenen Seiten, eine Erlaubnis für die Nutzung von Cookies, insbesondere reCAPTCHA ermöglicht und zugelassen habe. In diesem Fall wäre gemäß den Verwendungsrichtlinien von Google - denen er schon vorher zugestimmt habe - durch den Seitenaufruf automatisch eine Datenübermittlung erfolgt, welche jedoch mit der Website „ XXXX “ selbst nichts zu tun gehabt hätte. Die DSGVO verbiete zu keinem Zeitpunkt, IP-Adressen und Nutzer-Identifikations- Nummern sowie Browserdaten zu verarbeiten. Die Behauptung, das Cookie „_grecaptcha“ implementiert zu haben, sei ebenso falsch. Die Behauptung der mitbeteiligten Partei, von seiner „statischen IP-Adresse“ aus, auf die Homepage der Beschwerdeführer:innen zugegriffen zu haben, sei ebenso falsch. Es sei nachweislich eine Einwilligung eingeholt und durch die mitbeteiligte Partei erteilt worden, ob diese schon zuvor bestanden habe, oder erst durch „aktive Aktion“ der mitbeteiligten Partei erfolgt sei, sei rechtlich und technisch irrelevant - ohne eine Zustimmung hätte er sich nicht als Mitglied anmelden können. Die Beschwerdeführer:innen wiesen schließlich auf die jederzeitige Möglichkeit des Löschens des Cookies hin. 7. Die Beschwerdeführer:innen erhoben mit Schriftsatz vom 27.06.2023 fristgerecht das Rechtsmittel der Beschwerde. Darin brachten sie im Wesentlichen vor, die belangte Behörde habe es verabsäumt zu erheben, mit welchem Betriebssystem und mit welchem Browser der Zugriff auf die Seite „ römisch 40 “ durch die mitbeteiligte Partei erfolgt sei. Dies sei besonders wichtig, da es Betriebssysteme (zB Android) und Browser verschiedener Hardwarehersteller gebe (zB Samsung) bei denen bereits zur Geräte- und Personenkennung Coockies (auch Google-Dienste) installiert und aktiviert seien. Deren Verwendung werde dabei bereits durch die Gerätenutzung bzw. Browsernutzung zugestimmt. Es sei auch nicht erhoben worden, ob die mitbeteiligte Partei bereits zuvor, bei anderen von ihm aufgerufenen Seiten, eine Erlaubnis für die Nutzung von Cookies, insbesondere reCAPTCHA ermöglicht und zugelassen habe. In diesem Fall wäre gemäß den Verwendungsrichtlinien von Google - denen er schon vorher zugestimmt habe - durch den Seitenaufruf automatisch eine Datenübermittlung erfolgt, welche jedoch mit der Website „ römisch 40 “ selbst nichts zu tun gehabt hätte. Die DSGVO verbiete zu keinem Zeitpunkt, IP-Adressen und Nutzer-Identifikations- Nummern sowie Browserdaten zu verarbeiten. Die Behauptung, das Cookie „_grecaptcha“ implementiert zu haben, sei ebenso falsch. Die Behauptung der mitbeteiligten Partei, von seiner „statischen IP-Adresse“ aus, auf die Homepage der Beschwerdeführer:innen zugegriffen zu haben, sei ebenso falsch. Es sei nachweislich eine Einwilligung eingeholt und durch die mitbeteiligte Partei erteilt worden, ob diese schon zuvor bestanden habe, oder erst durch „aktive Aktion“ der mitbeteiligten Partei erfolgt sei, sei rechtlich und technisch irrelevant - ohne eine Zustimmung hätte er sich nicht als Mitglied anmelden können. Die Beschwerdeführer:innen wiesen schließlich auf die jederzeitige Möglichkeit des Löschens des Cookies hin.
8. Mit Aktenvorlage vom 03.07.2023 legte die belangte Behörde dem Bundesverwaltungsgericht den Verwaltungsakt zur Entscheidung vor und wies in ihrer Stellungnahme darauf hin, sofern die Beschwerdeführer:innen vermeinen, dass es auf das Betriebssystem bzw. die Software ankomme, da der Websitebesucher der Verwendung von Cookies bereits „durch die Gerätenutzung“ zugestimmt habe, so würden diese übersehen, dass es sich beschwerdegegenständlich jedenfalls um ein technisch notwendiges Cookie handle und eine ausdrückliche Einwilligung – wie diese in ihrer Beschwerde selbst ausführen – einzuholen gewesen wäre, wobei eine Gerätevoreinstellung keine unmissverständlich abgegebene Willensbekundung (vgl. Art. 4 Z 11 DSGVO) darstellen könne.8. Mit Aktenvorlage vom 03.07.2023 legte die belangte Behörde dem Bundesverwaltungsgericht den Verwaltungsakt zur Entscheidung vor und wies in ihrer Stellungnahme darauf hin, sofern die Beschwerdeführer:innen vermeinen, dass es auf das Betriebssystem bzw. die Software ankomme, da der Websitebesucher der Verwendung von Cookies bereits „durch die Gerätenutzung“ zugestimmt habe, so würden diese übersehen, dass es sich beschwerdegegenständlich jedenfalls um ein technisch notwendiges Cookie handle und eine ausdrückliche Einwilligung – wie diese in ihrer Beschwerde selbst ausführen – einzuholen gewesen wäre, wobei eine Gerätevoreinstellung keine unmissverständlich abgegebene Willensbekundung vergleiche Artikel 4, Ziffer 11, DSGVO) darstellen könne.
9. Mit Stellungnahme vom 04.09.2023 wiederholte die mitbeteiligte Partei im Wesentlichen ihr bisheriges Vorbringen und brachte ergänzend vor, auch wenn die beiden Webseitenbetreiber:innen jemand anderen mit der technischen Umsetzung ihres gewünschten Inhaltes beauftragen würden, so seien beide Beschwerdeführer:innen dennoch weiterhin für Datenschutzverletzungen verantwortlich. Die mitbeteiligte Partei habe die Website der Beschwerdeführer:innen im Privatmodus besucht und es sei trotzdem zum Datenaustausch mit Google (USA) gekommen, ohne dass die mitbeteiligte Partei darauf hingewiesen worden sei.
10. Mit Stellungnahme vom 18.09.2023 verwies die belangte Behörde auf die in der Beilage übermittelten Stellungnahme der belangten Behörde zum parallel anhängigen Vorabentscheidungsverfahren des EuGH zu C-604/22, insbesondere auf die darin enthaltenen Ausführungen zum Personenbezug von Cookies.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Der folgende Sachverhalt steht fest:
1.1. Die mitbeteiligte Partei besuchte am XXXX die Website „ XXXX “ unter der IP Adresse „Statische IP: XXXX “ mittels eines Notebooks, welches das Betriebssystem Windows 10 verwendet. Er verwendete dabei den Browser „Firefox“ im Privatmodus. Er besuchte die Website mehrmals. 1.1. Die mitbeteiligte Partei besuchte am römisch 40 die Website „ römisch 40 “ unter der IP Adresse „Statische IP: römisch 40 “ mittels eines Notebooks, welches das Betriebssystem Windows 10 verwendet. Er verwendete dabei den Browser „Firefox“ im Privatmodus. Er besuchte die Website mehrmals.
1.2. Der Erstbeschwerdeführer und die Zweitbeschwerdeführerin betreiben die Website „ XXXX “ für ihre Partei „ XXXX “. Die Gründungsmitglieder dieser Partei sind der Erstbeschwerdeführer und die Zweitbeschwerdeführerin. Beide verfügen über die Letztentscheidung über den Inhalt der Website und sind somit Medieninhaber:innen. Sie trifft die Entscheidung, unter welchen Voraussetzungen welche Cookies beim Aufruf der genannten Webseite gesetzt oder ausgelesen werden. Auf der XXXX “ unter der Rubrik „Impressum“ kommen die Beschwerdeführer:innen ihrer Offenlegungspflicht gemäß §§ 24, 25 MedienG nach und bezeichnen sich selbst als Herausgeberin des Onlinemediums.1.2. Der Erstbeschwerdeführer und die Zweitbeschwerdeführerin betreiben die Website „ römisch 40 “ für ihre Partei „ römisch 40 “. Die Gründungsmitglieder dieser Partei sind der Erstbeschwerdeführer und die Zweitbeschwerdeführerin. Beide verfügen über die Letztentscheidung über den Inhalt der Website und sind somit Medieninhaber:innen. Sie trifft die Entscheidung, unter welchen Voraussetzungen welche Cookies beim Aufruf der genannten Webseite gesetzt oder ausgelesen werden. Auf der römisch 40 “ unter der Rubrik „Impressum“ kommen die Beschwerdeführer:innen ihrer Offenlegungspflicht gemäß Paragraphen 24,, 25 MedienG nach und bezeichnen sich selbst als Herausgeberin des Onlinemediums.
1.3. Auf der Website der Beschwerdeführer:innen befindet sich ein „Mitglied werden“ Button, um Besucher:innen der Webseite die Möglichkeit zu bieten, Parteimitglied zu werden.
1.4. Die mitbeteiligte Partei besuchte die Website des Erstbeschwerdeführers und der Zweitbeschwerdeführerin „ XXXX “ um sich ursprünglich als Parteimitglied zu registrieren. Dabei verwendete er das auf der Webseite zur Verfügung stehende elektronische Formular, welches folgende Daten abfragte: Anrede, Titel; Vorname, Nachname, Adresse, Postleitzahl, Ort/Stadt, E-Mail-Adresse und Telefonnummer.1.4. Die mitbeteiligte Partei besuchte die Website des Erstbeschwerdeführers und der Zweitbeschwerdeführerin „ römisch 40 “ um sich ursprünglich als Parteimitglied zu registrieren. Dabei verwendete er das auf der Webseite zur Verfügung stehende elektronische Formular, welches folgende Daten abfragte: Anrede, Titel; Vorname, Nachname, Adresse, Postleitzahl, Ort/Stadt, E-Mail-Adresse und Telefonnummer.
Die Beschwerdeführer:innen hatten zum Zeitpunkt der Datenschutzbeschwerde durch die mitbeteiligte Partei den Google-Dienst reCAPTCHA auf ihrer Webseite implementiert. Zum Zeitpunkt des Webseitenbesuches der mitbeteiligten Partei war Google reCAPTCHA installiert.
Die Beschwerdeführer:innen hatten bereits auf ihrer Startseite reCAPTCHA eingerichtet und die Besucher:innen der Website, somit auch die mitbeteiligte Partei, nicht die Möglichkeit, diesem zu entgehen:
Die Besucher:innen der Website wurden über diesen Umstand zuvor auch nicht informiert.
Zum Zeitpunkt des Seitenaufrufes wurde zumindest folgendes Cookie im Endgerät bzw. Browser des Beschwerdeführers gesetzt: „_GRECAPTCHA“, welches nachstehenden einzigartigen zufallsgenerierten Wert (random nummer) beinhaltet hat: „ XXXX “.Zum Zeitpunkt des Seitenaufrufes wurde zumindest folgendes Cookie im Endgerät bzw. Browser des Beschwerdeführers gesetzt: „_GRECAPTCHA“, welches nachstehenden einzigartigen zufallsgenerierten Wert (random nummer) beinhaltet hat: „ römisch 40 “.
Unabhängig davon, ob eine individuelle Einstellung vorgenommen wird, wird das Cookie „_GRECAPTCHA“ am Endgerät des Webseitenbesuchers gesetzt (auch wenn der Besucher „Nicht akzeptieren“ auswählt). Eine tatsächliche Möglichkeit zur Einwilligung bzw. zum Widerruf der Einwilligung bezüglich des Cookies „_GRECAPTCHA“ besteht nicht.
1.5. Zu Cookies:
Mittels Cookies lassen sich Informationen sammeln, die von einer Webseite generiert und über den Browser eines:einer Internetnutzer:in gespeichert werden. Es handelt sich um eine kleine Datei oder Textinformation (in der Regel kleiner als ein Kbyte), die von einer Website über den Browser eines:einer Internetnutzer:in auf der Festplatte des Computers oder mobilen Endgeräts platziert wird.
Ein Cookie erlaubt es der Webseite, sich an die Aktionen oder Vorlieben des:der Nutzer:in zu „erinnern“. Die meisten Webbrowser unterstützen Cookies, aber die Nutzer:innen können ihre Browser so einstellen, dass sie Cookies abweisen. Sie können Cookies auch jederzeit löschen.
Webseiten nutzen Cookies, um Nutzer:innen zu identifizieren, sich die Vorlieben ihrer Kund:innen zu merken und es den Nutzer:innen zu ermöglichen, Aufgaben abzuschließen, ohne Informationen neu eingeben zu müssen, wenn sie zu einer anderen Seite wechseln oder die Website später erneut besuchen.
Cookies können auch genutzt werden, um anhand des Online-Verhaltens Informationen für gezielte Werbung und Vermarktung zu sammeln. Unternehmen verwenden zum Beispiel Software, um das Nutzer:innenverhalten nachzuverfolgen und persönliche Profile zu erstellen, die es ermöglichen, den Nutzer:innen Werbung zu zeigen, die auf ihre zuvor durchgeführten Suchvorgänge zugeschnitten ist.
Jene Cookie-Werte (zu Google-reCaptcha) wurden im Rahmen des Besuchs der mitbeteiligten Partei auf der beschwerdegegenständlichen Website auf seinem Endgerät gesetzt: XXXX ".Jene Cookie-Werte (zu Google-reCaptcha) wurden im Rahmen des Besuchs der mitbeteiligten Partei auf der beschwerdegegenständlichen Website auf seinem Endgerät gesetzt: römisch 40 ".
1.6. reCAPTCHA ist ein Captcha-Dienst, der seit 2009 von der Google LLC betrieben wird. Dieser versucht zu unterscheiden, ob eine bestimmte Handlung im Internet von einem Menschen oder von einem Computerprogramm bzw. Bot vorgenommen wird. reCAPTCHA dient dem Webseitenbetreiber zum Schutz der Website vor betrügerischen Aktivitäten, Spam und Missbrauch. Die elementare Funktion von Google reCAPTCHA besteht darin, Seitenbetreibern durch die Einbindung eines Verifizierungsschritts eine möglichst präzise Unterscheidung dahingehend zu ermöglichen, ob eine Eingabe durch eine natürliche Person oder missbräuchlich durch maschinelle und automatisierte Verarbeitung erfolgt.
Bei reCAPTCHA wird ein JavaScript-Element in den Quelltext der Webseite eingebunden. Das Tool läuft im Hintergrund und analysiert die Interaktion mit der Webseite. Für die Analyse des Verhaltens werden Daten wie: IP-Adresse, Referrer-URL, Infos über das Betriebssystem und den Browser, ggf. Cookies, Mausbewegungen und Tastaturanschläge, Verweildauer und Einstellungen des Nutzergeräts (z.B. Spracheinstellungen, Standort, Browsereinstellungen etc.) an Google übermittelt. reCAPTCHA setzt ein Cookie (_GRECAPTCHA), wenn es ausgeführt wird, um seine Risikoanalyse bereitzustellen. Es handelt sich hierbei um ein Cookie, das eine einzigartige Nutzer-Identifikations- Nummern enthält, wodurch ein Endgerät markiert wird.
2. Die Feststellungen ergeben sich aus der folgenden Beweiswürdigung:
Die Feststellungen zum Sachverhalt ergeben sich aus dem Verwaltungsakt und aus dem Akt des Bundesverwaltungsgerichts und sind nicht weiter strittig.
Die Ausführungen betreffend den allgemeinen Einsatz und die generelle Funktionsweise von Cookies stammen aus den Schlussanträgen des Generalanwalts in der Rechtssache C-673/17 (Planet49), Rz 36 ff.
Die Funktionsweise von reCAPTCHA war der Google-Website https://developers.google.com/recaptcha/ zu entnehmen, in der Google auf die technische Entwicklung der reCAPTCHA näher eingeht. Eine gute Übersicht über die grundsätzliche Verwendung von Daten bei Google findet man in der hauseigenen Datenschutzerklärung von Google https://policies.google.com/privacy?hl=de.
3. Rechtliche Beurteilung:
Beschwerdegegenstand ist, ob eine unrechtmäßige Datenverarbeitung durch Google Dienste, insbesondere reCAPTCHA, stattgefunden hat, indem auf der Website des Erstbeschwerdeführers und der Zweitbeschwerdeführerin reCAPTCHA verwendet wurde.
Die zulässige Beschwerde ist nicht berechtigt.
Zu A) Abweisung der Beschwerde:
Gemäß § 1 Abs. 1 DSG hat jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind. Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig. Gemäß Paragraph eins, Absatz eins, DSG hat jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind. Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig.
In den Erwägungsgründen 26 und 30 der DSGVO heißt es:
(26) Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.
…
(30) Natürlichen Personen werden unter Umständen Online-Kennungen wie IP‑Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“
Art. 4 der DSGVO sieht vor:Artikel 4, der DSGVO sieht vor:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…
7. ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
…
11. ‚Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
…“
Art. 6 DSGVO lautet:Artikel 6, DSGVO lautet:
„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
…
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
…“
Die durch den Besuch der Website des Betreibers im offenen Internet angestoßenen Vorgänge fallen unter den Anwendungsbereich der DSGVO. Der Betrieb einer Website stellt einen Dienst der Informationsgesellschaft iSv § 3 Z 1 ECG und Art 4 Z 25 DSGVO dar. (THIELE in Jahnel (Hrsg), Datenschutzrecht: Jahrbuch (2022) Datenschutzverletzungen durch Google® Webfonts – ein Praxisfall). Die durch den Besuch der Website des Betreibers im offenen Internet angestoßenen Vorgänge fallen unter den Anwendungsbereich der DSGVO. Der Betrieb einer Website stellt einen Dienst der Informationsgesellschaft iSv Paragraph 3, Ziffer eins, ECG und Artikel 4, Ziffer 25, DSGVO dar. (THIELE in Jahnel (Hrsg), Datenschutzrecht: Jahrbuch (2022) Datenschutzverletzungen durch Google® Webfonts – ein Praxisfall).
IP-Adressen stellen – mittlerweile unstrittig– personenbezoge Daten iSv Art 4 Z 1 DSGVO dar. Das gilt unabhängig davon, ob es sich um „dynamische“ oder „statische“ IP-Adressen handelt (EuGH 19.10.2016, C‑582/14 Rz 31ff). IP-Adressen stellen – mittlerweile unstrittig– personenbezoge Daten iSv Artikel 4, Ziffer eins, DSGVO dar. Das gilt unabhängig davon, ob es sich um „dynamische“ oder „statische“ IP-Adressen handelt (EuGH 19.10.2016, C‑582/14 Rz 31ff).
Hierzu ist festzustellen, dass Art. 4 Nr. 1 DSGVO den Ausdruck „personenbezogene Daten“ definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, und klarstellt, dass „als identifizierbar … eine natürliche Person angesehen [wird], die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“ (EuGH 07.03.2024, C‑604/22). Wie der EuGH bereits entschieden hat, deutet die Verwendung des Begriffs „indirekt“ durch den Unionsgesetzgeber darauf hin, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht (vgl. entsprechend Urteil vom 19.10.2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 41). Im Gegenteil geht aus Art. 4 Z. 5 DSGVO in Verbindung mit dem 26. Erwägungsgrund der DSGVO hervor, dass personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, als Informationen über eine identifizierbare natürliche Person betrachtet werden sollten (Urteil vom 05.12.2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 58). Es ist nicht erforderlich, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden, um Daten als „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 dieser Verordnung qualifizieren zu können (vgl. entsprechend Urteil vom 19.10.2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 43).Hierzu ist festzustellen, dass Artikel 4, Nr. 1 DSGVO den Ausdruck „personenbezogene Daten“ definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, und klarstellt, dass „als identifizierbar … eine natürliche Person angesehen [wird], die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“ (EuGH 07.03.2024, C‑604/22). Wie der EuGH bereits entschieden hat, deutet die Verwendung des Begriffs „indirekt“ durch den Unionsgesetzgeber darauf hin, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht vergleiche entsprechend Urteil vom 19.10.2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 41). Im Gegenteil geht aus Artikel 4, Ziffer 5, DSGVO in Verbindung mit dem 26. Erwägungsgrund der DSGVO hervor, dass personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, als Informationen über eine identifizierbare natürliche Person betrachtet werden sollten (Urteil vom 05.12.2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, Rn. 58). Es ist nicht erforderlich, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden, um Daten als „personenbezogene Daten“ im Sinne von Artikel 4, Nr. 1 dieser Verordnung qualifizieren zu können vergleiche entsprechend Urteil vom 19.10.2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 43).
Sobald mit zusätzlichen Daten, insbesondere der IP‑Adresse des Geräts eines Nutzers oder anderen Kennungen, die Identifizierung dieses Nutzers ermöglicht wird, ist davon auszugehen, dass Informationen über einen identifizierbaren Nutzer vorliegen und somit ein personenbezogenes Datum im Sinne von Art. 4 Z. 1 DSGVO vorliegt, was durch den 30. Erwägungsgrund der DSGVO bestätigt wird, der sich ausdrücklich auf einen solchen Fall bezieht (EuGH 07.03.2024, C‑604/22).Sobald mit zusätzlichen Daten, insbesondere der IP‑Adresse des Geräts eines Nutzers oder anderen Kennungen, die Identifizierung dieses Nutzers ermöglicht wird, ist davon auszugehen, dass Informationen über einen identifizierbaren Nutzer vorliegen und somit ein personenbezogenes Datum im Sinne von Artikel 4, Ziffer eins, DSGVO vorliegt, was durch den 30. Erwägungsgrund der DSGVO bestätigt wird, der sich ausdrücklich auf einen solchen Fall bezieht (EuGH 07.03.2024, C‑604/22).
Wie bereits festgestellt, setzte das auf der Website des Erstbeschwerdeführers und der Zweitbeschwerdeführerin eingerichtete reCAPTCHA ein Cookie (_GRECAPTCHA), wenn es ausgeführt wurde, um seine Risikoanalyse bereitzustellen. Es handelt sich hierbei um ein Cookie, das eine einzigartige Nutzer-Identifikations- Nummern enthält, wodurch ein Endgerät markiert wird. Dass es sich bei den von den Cookies gesammelten Daten um personenbezogene Daten iSd Art. 4 Z 1 DSGVO handelt, ist nicht weiter strittig: die gegenständlichen Cookies enthalten einzigartige Kennnummern und wurden auf dem Endgerät bzw. im Browser der mitbeteiligten Partei abgelegt. Mit diesen Kennungen war es den Beschwerdeführer:innen möglich, Website-Besucher:innen zu unterscheiden und auch die Information zu erhalten, ob es sich um eine:n neue:n oder um eine:n wiederkehrende:n Website-Besucher:in handelt. Ohne diese Kennnummern ist eine Unterscheidung von Website-Besucher:innen nicht möglich. In diesem Zusammenhang ist festzuhalten, dass alle Datensätze, die Identifizierungsmerkmale enthalten, mit denen Nutzer:innen ausgesondert werden können, nach der DSGVO als personenbezogene Daten gelten. Schon aus der Kombination der übermittelten Informationen beim Aufruf einer Website wie z.B. Online-Kennungen, IP-Adresse, Informationen zum Browser, Betriebssystem, Bildschirmauflösung, Sprachauswahl usw., kann ein „digitaler Fußabdruck“ generiert werden, der es erlaubt, das Endgerät und in weiterer Folge den:die konkrete:n Nutzer:in eindeutig zu individualisieren (siehe auch BVwG W211 2281997-1). Cookies, die einen einzigartigen, zufallsgenerierten Wert (random number) beinhalten und die mit dem Zweck gesetzt werden, Personen zu individualisieren und auszusondern, erfüllen die Definition des Art. 4 Z 1 DSGVO. Wie bereits festgestellt, setzte das auf der Website des Erstbeschwerdeführers und der Zweitbeschwerdeführerin eingerichtete reCAPTCHA ein Cookie (_GRECAPTCHA), wenn es ausgeführt wurde, um seine Risikoanalyse bereitzustellen. Es handelt sich hierbei um ein Cookie, das eine einzigartige Nutzer-Identifikations- Nummern enthält, wodurch ein Endgerät markiert wird. Dass es sich bei den von den Cookies gesammelten Daten um personenbezogene Daten iSd Artikel 4, Ziffer eins, DSGVO handelt, ist nicht weiter strittig: die gegenständlichen Cookies enthalten einzigartige Kennnummern und wurden auf dem Endgerät bzw. im Browser der mitbeteiligten Partei abgelegt. Mit diesen Kennungen war es den Beschwerdeführer:innen möglich, Website-Besucher:innen zu unterscheiden und auch die Information zu erhalten, ob es sich um eine:n neue:n oder um eine:n wiederkehrende:n Website-Besucher:in handelt. Ohne diese Kennnummern ist eine Unterscheidung von Website-Besucher:innen nicht möglich. In diesem Zusammenhang ist festzuhalten, dass alle Datensätze, die Identifizierungsmerkmale enthalten, mit denen Nutzer:innen ausgesondert werden können, nach der DSGVO als personenbezogene Daten gelten. Schon aus der Kombination der übermittelten Informationen beim Aufruf einer Website wie z.B. Online-Kennungen, IP-Adresse, Informationen zum Browser, Betriebssystem, Bildschirmauflösung, Sprachauswahl usw., kann ein „digitaler Fußabdruck“ generiert werden, der es erlaubt, das Endgerät und in weiterer Folge den:die konkrete:n Nutzer:in eindeutig zu individualisieren (siehe auch BVwG W211 2281997-1). Cookies, die einen einzigartigen, zufallsgenerierten Wert (random number) beinhalten und die mit dem Zweck gesetzt werden, Personen zu individualisieren und auszusondern, erfüllen die Definition des Artikel 4, Ziffer eins, DSGVO.
Zur Verantwortlichkeit der Beschwerdeführer:innen:
Der Begriff „Verantwortlicher“ in Art. 4 Z. 7 DSGVO ist weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.Der Begriff „Verantwortlicher“ in Artikel 4, Ziffer 7, DSGVO ist weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Zudem verweist der Begriff „Verantwortlicher“, da er sich, wie Art. 4 Nr. 7 DSGVO ausdrücklich vorsieht, auf die Stelle bezieht, die „allein oder gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, nicht zwingend auf eine einzige Stelle und kann mehrere an dieser Verarbeitung beteiligte Akteure betreffen, wobei dann jeder von ihnen den Datenschutzvorschriften unterliegt (vgl. entsprechend Urteile vom 05.06.2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, Rn. 29, und vom 10. 07.2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 65).Zudem verweist der Begriff „Verantwortlicher“, da er sich, wie Artikel 4, Nr. 7 DSGVO ausdrücklich vorsieht, auf die Stelle bezieht, die „allein oder gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, nicht zwingend auf eine einzige Stelle und kann mehrere an dieser Verarbeitung beteiligte Akteure betreffen, wobei dann jeder von ihnen den Datenschutzvorschriften unterliegt vergleiche entsprechend Urteile vom 05.06.2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, Rn. 29, und vom 10. 07.2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 65).
Der EuGH hat auch entschieden, dass eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als Verantwortlicher im Sinne von Art. 4 Z. 7 DSGVO angesehen werden kann (vgl. entsprechend Urteil vom 10.07.2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 68)Der EuGH hat auch entschieden, dass eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als Verantwortlicher im Sinne von Artikel 4, Ziffer 7, DSGVO angesehen werden kann vergleiche entsprechend Urteil vom 10.07.2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 68)
Die datenschutzrechtliche Verantwortlichkeit des Erstbeschwerdeführers und der Zweitbeschwerdeführerin iSd Art. 4 Z 7 DSGVO iZm den monierten Cookies auf ihrer eigenen Website beruht darauf, dass sie über die Zwecke und Mittel der gerügten Datenverarbeitung über die von ihr gesetzten Cookies auf der von ihr betriebenen Website entscheidet.Die datenschutzrechtliche Verantwortlichkeit des Erstbeschwerdeführers und der Zweitbeschwerdeführerin iSd Artikel 4, Ziffer 7, DSGVO iZm den monierten Cookies auf ihrer eigenen Website beruht darauf, dass sie über die Zwecke und Mittel der gerügten Datenverarbeitung über die von ihr gesetzten Cookies auf der von ihr betriebenen Website entscheidet.
Darüber hinaus gibt es keine Zweifel daran, dass der Erstbeschwerdeführer und die Zweitbeschwerdeführerin Medieninhaber:innen iSd MedienG sind, die ein Medienunternehmen iSd § 1 Abs. 1 Z 6 lit. b MedienG innehaben. Nach Judikatur des EuGH ist es für die Rolle als datenschutzrechtlicher Verantwortlicher ausreichend, wenn ein Akteur aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt. Im Rahmen einer (allfällig) gemeinsamen Verantwortlichkeit ist es nicht erforderlich, dass alle Akteure Zugang zu den betreffenden personenbezogenen Daten haben (vgl. EuGH 29. 07.2019, C-40/17, Rz 68 f). Voraussetzung für die Einordnung als datenschutzrechtliche Verantwortliche ist nur, dass sie aus Eigeninteresse Einfluss auf die Datenverarbeitung nimmt und damit an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitwirkt. Der Erstbeschwerdeführer und die Zweitbeschwerdeführerin sind der Gründer und die Gründerin der Partei „ XXXX “. Sie betreiben eine Website zu dem Zweck, andere Menschen über diese Partei zu informieren und um die Möglichkeit zu schaffen, weitere Parteimitglieder zu erhalten. Unter diesen Umständen ist davon auszugehen, dass der Erstbeschwerdeführer und die Zweitbeschwerdeführerin aus Eigeninteresse auf die in Rede stehenden Verarbeitungen personenbezogener Daten Einfluss nehmen und damit die Mittel festlegen, die diesen Vorgängen zugrunde liegen. Es ist daher ein Eigeninteresse der Beschwerdeführer:innen vorhanden, auf die Verarbeitung personenbezogener Daten einen Einfluss zu nehmen. Der Erstbeschwerdeführer und die Zweitbeschwerdeführerin kamen im Impressum ihrer Website ihrer Offenlegungspflicht nach § 25 MedienG nach und führten sich selbst als einzige Medieninhaber und Medieninhaberin an. Weitere Namen wurden nicht angeführt. Auch wenn eine andere Person für die Gestaltung der Website verantwortlich wäre, obliegt dem Erstbeschwerdeführer und der Zweitbeschwerdeführerin die Entscheidung über die Zwecke und die Mittel der Verarbeitung. Aus diesem Grund kann die datenschutzrechtliche Verantwortlichkeit der Beschwerdeführer:innen bejaht werden. Darüber hinaus gibt es keine Zweifel daran, dass der Erstbeschwerdeführer und die Zweitbeschwerdeführerin Medieninhaber:innen iSd MedienG sind, die ein Medienunternehmen iSd Paragraph eins, Absatz eins, Ziffer 6, Litera b, MedienG innehaben. Nach Judikatur des EuGH ist es für die Rolle als datenschutzrechtlicher Verantwortlicher ausreichend, wenn ein Akteur aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt. Im Rahmen einer (allfällig) gemeinsamen Verantwortlichkeit ist es nicht erforderlich, dass alle Akteure Zugang zu den betreffenden personenbezogenen Daten haben vergleiche EuGH 29. 07.2019, C-40/17, Rz 68 f). Voraussetzung für die Einordnung als datenschutzrechtliche Verantwortliche ist nur, dass sie aus Eigeninteresse Einfluss auf die Datenverarbeitung nimmt und damit an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitwirkt. Der Erstbeschwerdeführer und die Zweitbeschwerdeführerin sind der Gründer und die Gründerin der Partei „ römisch 40 “. Sie betreiben eine Website zu dem Zweck, andere Menschen über diese Partei zu informieren und um die Möglichkeit zu schaffen, weitere Parteimitglieder zu erhalten. Unter diesen Umständen ist davon auszugehen, dass der Erstbeschwerdeführer und die Zweitbeschwerdeführerin aus Eigeninteresse auf die in Rede stehenden Verarbeitungen personenbezogener Daten Einfluss nehmen und damit die Mittel festlegen, die diesen Vorgängen zugrunde liegen. Es ist daher ein Eigeninteresse der Beschwerdeführer:innen vorhanden, auf die Verarbeitung personenbezogener Daten einen Einfluss zu nehmen. Der Erstbeschwerdeführer und die Zweitbeschwerdeführerin kamen im Impressum ihrer Website ihrer Offenlegungspflicht nach Paragraph 25, MedienG nach und führten sich selbst als einzige Medieninhaber und Medieninhaberin an. Weitere Namen wurden nicht angeführt. Auch wenn eine andere Person für die Gestaltung der Website verantwortlich wäre, obliegt dem Erstbeschwerdeführer und der Zweitbeschwerdeführerin die Entscheidung über die Zwecke und die Mittel der Verarbeitung. Aus diesem Grund kann die datenschutzrechtliche Verantwortlichkeit der Beschwerdeführer:innen bejaht werden.
Zur mangelnden Einwilligung:
Der EuGH definiert Cookies als Textdateien, die der Anbieter einer Website auf dem Computer des Nutzers speichert und bei ihrem erneuten Aufruf durch den Nutzer wieder abrufen kann. Dadurch soll die Navigation im Internet erleichtert und sollen Informationen über das Nutzerverhalten erlangt werden (EuGH 01. 10. 2019, C-673/17, Rn 31).
Gemäß Art 5 Abs 3 der RL 2002/58/EG idF RL 2009/136/EG [über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)] müssen die Mitgliedstaaten sicherstellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gem der RL 95/46/EG (DatenschutzRL) ua über die Zwecke der Verarbeitung erhält, aktiv seine Einwilligung gegeben hat. Gemäß Artikel 5, Absatz 3, der RL 2002/58/EG in der Fassung RL 2009/136/EG [über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)] müssen die Mitgliedstaaten sicherstellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gem der RL 95/46/EG (DatenschutzRL) ua über die Zwecke der Verarbeitung erhält, aktiv seine Einwilligung gegeben hat.
Wie bereits ausgeführt, stützt sich die mitbeteiligte Partei in seinen rechtlichen Überlegungen im Wesentlichen darauf, dass beim Besuch der Website der Beschwerdeführer:innen keine Einwilligung in die Verwendung des Google Dienstes reCAPTCHA und in die darauf folgende Setzung der festgestellten Cookies vorlag, woraus sich mangels Rechtmäßigkeitstatbestands die Verletzung von Rechten der mitbeteiligten Partei wegen der vorgenommenen Datenverarbeitung durch die gerügten Cookies ergeben hat.
Zum Wortlaut von Art. 5 Abs. 3 der Richtlinie 2002/58 ist festzustellen, dass er zwar ausdrücklich vorsieht, dass der Nutzer zur Speicherung und zum Abruf von Cookies auf seinem Endgerät „seine Einwilligung gegeben“ haben muss. Dagegen enthält er keine Angaben dazu, wie die Einwilligung zu geben ist. Die Worte „seine Einwilligung gegeben“ legen jedoch eine Auslegung des Wortlauts nahe, wonach der Nutzer tätig werden muss, um seine Einwilligung zum Ausdruck zu bringen. Insoweit geht aus dem 17. Erwägungsgrund der Richtlinie 2002/58 hervor, dass für die Zwecke dieser Richtlinie die Einwilligung des Nutzers in jeder geeigneten Weise gegeben werden kann, durch die der Wunsch des Nutzers in einer spezifischen Angabe zum Ausdruck kommt, die sachkundig und in freier Entscheidung erfolgt; hierzu zählt auch „das Markieren eines Feldes auf einer Internet-Website“. Nach Art 2 Buchst h der Richtlinie 95/46 bezeichnet der Ausdruck „Einwilligung der betroffenen Person“ „jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden“. Schließlich ist in Bezug auf die Entstehungsgeschichte von Art. 5 Abs. 3 der Richtlinie 2002/58 festzustellen, dass die ursprüngliche Fassung dieser Bestimmung lediglich vorsah, dass der Nutzer das Recht haben muss, die Speicherung von Cookies zu verweigern, nachdem er gemäß der Richtlinie 95/46 klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhalten hatte. Durch die Richtlinie 2009/136 wurde der Wortlaut dieser Bestimmung erheblich geändert, indem die genannte Fassung durch die Wendung „seine Einwilligung gegeben hat“ ersetzt wurde. Die Entstehungsgeschichte von Art. 5 Abs. 3 der Richtlinie 2002/58 deutet somit darauf hin, dass die Einwilligung des Nutzers nun nicht mehr vermutet werden darf und sich aus einem aktiven Verhalten des Nutzers ergeben muss (EuGH 01.10.2019, C‑673/17 Rz 49,51, 56).Zum Wortlaut von Artikel 5, Absatz 3, der Richtlinie 2002/58 ist festzustellen, dass er zwar ausdrücklich vorsieht, dass der Nutzer zur Speicherung und zum Abruf von Cookies auf seinem Endgerät „seine Einwilligung gegeben“ haben muss. Dagegen enthält er keine Angaben dazu, wie die Einwilligung zu geben ist. Die Worte „seine Einwilligung gegeben“ legen jedoch eine Auslegung des Wortlauts nahe, wonach der Nutzer tätig werden muss, um seine Einwilligung zum Ausdruck zu bringen. Insoweit geht aus dem 17. Erwägungsgrund der Richtlinie 2002/58 hervor, dass für die Zwecke dieser Richtlinie die Einwilligung des Nutzers in jeder geeigneten Weise gegeben werden kann, durch die der Wunsch des Nutzers in einer spezifischen Angabe zum Ausdruck kommt, die sachkundig und in freier Entscheidung erfolgt; hierzu zählt auch „das Markieren eines Feldes auf einer Internet-Website“. Nach Artikel 2, Buchst h der Richtlinie 95/46 bezeichnet der Ausdruck „Einwilligung der betroffenen Person“ „jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden“. Schließlich ist in Bezug auf die Entstehungsgeschichte von Artikel 5, Absatz 3, der Richtlinie 2002/58 festzustellen, dass die ursprüngliche Fassung dieser Bestimmung lediglich vorsah, dass der Nutzer das Recht haben muss, die Speicherung von Cookies zu verweigern, nachdem er gemäß der Richtlinie 95/46 klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhalten hatte. Durch die Richtlinie 2009/136 wurde der Wortlaut dieser Bestimmung erheblich geändert, indem die genannte Fassung durch die Wendung „seine Einwilligung gegeben hat“ ersetzt wurde. Die Entstehungsgeschichte von Artikel 5, Absatz 3, der Richtlinie 2002/58 deutet somit darauf hin, dass die Einwilligung des Nutzers nun nicht mehr vermutet werden darf und sich aus einem aktiven Verhalten des Nutzers ergeben muss (EuGH 01.10.2019, C‑673/17 Rz 49,51, 56).
Die mitbeteiligte Partei hat zu keinem Zeitpunkt in die Verwendung von reCAPTCHA eingewilligt. Die Behauptung der Beschwerdeführer:innen, die mitbeteiligte Partei habe zuvor bereits der Verwendung von reCAPTCHA zugestimmt, wurde lediglich unsubstantiiert in den Raum gestellt. Nach dem 42. Erwägungsgrund der DSGVO kann die Einwilligung nicht als freiwillig erteilt angesehen werden, wenn die betroffene Person nicht über eine echte Wahlfreiheit verfügt oder nicht in der Lage ist, ihre Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden. Die mitbeteiligte Partei wurde nicht darüber informiert, dass die Website der Beschwerdeführer:innen reCAPTCHA verwendet, weshalb die mitbeteiligte Partei nicht wirksam in die Datenverarbeitung einwilligen konnte. Die Beschwerdeführer:innen konnten zu keinem Zeitpunkt eine wirksame Einwilligung durch die mitbeteiligte Partei belegen.
Zur vorgebrachten Rechtsverletzung:
Im konkreten Fall liegen keine Anhaltspunkte vor, dass die mitbeteiligte Partei aktiv in die Datenverarbeitung eingewilligt hat, oder dass lebenswichtige Interessen der mitbeteiligten Parteien tangiert sind. In Frage kommt daher lediglich eine Verarbeitung aufgrund überwiegender berechtigter Interessen des Erstbeschwerdeführers und der Zweitbeschwerdeführerin.
Die Anforderungen für eine rechtmäßige Datenverarbeitung sind in Art. 6 DSGVO konkretisiert. Danach erfordert die Rechtmäßigkeit jeder Verarbeitung, dass die Verarbeitung - kumulativ zu den anderen in Art. 5 Abs. 1 geregelten Grundsätzen – mindestens einem der in Art. 6 Abs. 1 DSGVO abschließend festgelegten Rechtsgründe genügen muss (vgl. Selmayr in Ehmann/Selmayr, Datenschutz-Grundverordnung, Kommentar², Art. 5 Rz 8 f.). Im konkreten Fall kommt lediglich Art. 6 Abs. 1 lit. f DSGVO in Frage. Weitere Rechtsgrundlagen im Sinne des Art. 6 Abs. 1 DSGVO für die Verarbeitung sind nicht ersichtlich und wurden vom Beschwerdeführer auch nicht behauptet.Die Anforderungen für eine rechtmäßige Datenverarbeitung sind in Artikel 6, DSGVO konkretisiert. Danach erfordert die Rechtmäßigkeit jeder Verarbeitung, dass die Verarbeitung - kumulativ zu den anderen in Artikel 5, Absatz eins, geregelten Grundsätzen – mindestens einem der in Artikel 6, Absatz eins, DSGVO abschließend festgelegten Rechtsgründe genügen muss vergleiche Selmayr in Ehmann/Selmayr, Datenschutz-Grundverordnung, Kommentar², Artikel 5, Rz 8 f.). Im konkreten Fall kommt lediglich Artikel 6, Absatz eins, Litera f, DSGVO in Frage. Weitere Rechtsgrundlagen im Sinne des Artikel 6, Absatz eins, DSGVO für die Verarbeitung sind nicht ersichtlich und wurden vom Beschwerdeführer auch nicht behauptet.
Die Verarbeitung personenbezogener Daten ist ua gemäß Art. 6 Abs. 1 lit. f DSGVO zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Es ist eine einzelfallbezogene Interessensabwägung durchzuführen, bei der die berechtigten Interessen des Verantwortlichen oder eines Dritten für die Verarbeitung den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, gegenüberzustellen sind. Dabei sind einerseits die Interessen des Verantwortlichen und von Dritten sowie andererseits die Interessen, Rechte und Erwartungen der betroffenen Person zu berücksichtigen (ErwG 47 DSGVO). Im Zuge dieser Interessenabwägung müssen folgende Voraussetzungen kumulativ vorliegen: (i) Vorliegen eines berechtigten Interesses, (ii) Erforderlichkeit der Verarbeitung der in Rede stehenden personenbezogenen Daten, um dieses Interesse zu verfolgen, (iii) kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person (vgl. Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 6 DSGVO Rz 71 [Stand 1.12.2020, rdb.at]).Die Verarbeitung personenbezogener Daten ist ua gemäß Artikel 6, Absatz eins, Litera f, DSGVO zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Es ist eine einzelfallbezogene Interessensabwägung durchzuführen, bei der die berechtigten Interessen des Verantwortlichen oder eines Dritten für die Verarbeitung den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, gegenüberzustellen sind. Dabei sind einerseits die Interessen des Verantwortlichen und von Dritten sowie andererseits die Interessen, Rechte und Erwartungen der betroffenen Person zu berücksichtigen (ErwG 47 DSGVO). Im Zuge dieser Interessenabwägung müssen folgende Voraussetzungen kumulativ vorliegen: (i) Vorliegen eines berechtigten Interesses, (ii) Erforderlichkeit der Verarbeitung der in Rede stehenden personenbezogenen Daten, um dieses Interesse zu verfolgen, (iii) kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person vergleiche Jahnel, Kommentar zur Datenschutz-Grundverordnung Artikel 6, DSGVO Rz 71 [Stand 1.12.2020, rdb.at]).
Nach dem Urteil des EuGH vom 04.07.2023 in der Rechtssache C‑252/21 ist Art. 6 Abs. 1 lit. f DSGVO dahin auszulegen, dass eine solche Verarbeitung nur dann als zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich im Sinne dieser Vorschrift angesehen werden kann, wenn der fragliche Betreiber den Nutzern, bei denen die Daten erhoben wurden, ein mit der Datenverarbeitung verfolgtes berechtigtes Interesse mitgeteilt hat, wenn diese Verarbeitung innerhalb der Grenzen dessen erfolgt, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist und wenn sich aus einer Abwägung der einander gegenüberstehenden Interessen unter Würdigung aller relevanten Umstände ergibt, dass die Interessen oder Grundrechte und Grundfreiheiten dieser Nutzer gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.Nach dem Urteil des EuGH vom 04.07.2023 in der Rechtssache C‑252/21 ist Artikel 6, Absatz eins, Litera f, DSGVO dahin auszulegen, dass eine solche Verarbeitung nur dann als zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich im Sinne dieser Vorschrift angesehen werden kann, wenn der fragliche Betreiber den Nutzern, bei denen die Daten erhoben wurden, ein mit der Datenverarbeitung verfolgtes berechtigtes Interesse mitgeteilt hat, wenn diese Verarbeitung innerhalb der Grenzen dessen erfolgt, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist und wenn sich aus einer Abwägung der einander gegenüberstehenden Interessen unter Würdigung aller relevanten Umstände ergibt, dass die Interessen oder Grundrechte und Grundfreiheiten dieser Nutzer gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.
Der Erstbeschwerdeführer und die Zweitbeschwerdeführerin teilten der mitbeteiligten Partei kein mit der Datenverarbeitung verfolgtes berechtigtes Interesse mit.
Nach Ansicht des erkennenden Senats sind Cookies, die vom Google-Dienst reCAPTCHA gesetzt werden, für den Betrieb einer Webseite nicht erforderlich, weshalb kein berechtigtes Interesse der Beschwerdeführer:innen gegeben ist, ungeachtet der Tatsache, dass das Verhindern von Bot-Eingaben für Betreiber:innen der Website vorteilhaft sind. Die Implementierung von reCAPTCHA ist für den Betrieb der Website technisch nicht notwendig, da es keinen Einfluss auf die Funktionalität der Website hat, weshalb ein berechtigtes Interesse zu verneinen ist und die Einwilligung der mitbeteiligten Partei einzuholen gewesen wäre.
Die Beschwerde des Erstbeschwerdeführers und der Zweitbeschwerdeführerin war sohin abzuweisen.
Zum Entfall der mündlichen Verhandlung:
Von der Durchführung einer – im Übrigen von keiner der Parteien beantragten – mündlichen Verhandlung konnte gemäß § 24 Abs. 4 VwGVG Abstand genommen werden, da der Sachverhalt aus der unstrittigen Aktenlage in Verbindung mit der Beschwerde geklärt erscheint und eine mündliche Erörterung die weitere Klärung der Rechtssache nicht erwarten lässt. Dem Entfall der Verhandlung stehen auch weder Art. 6 Abs. 1 der Konvention zum Schutze der Menschenrechte und Grundfreiheiten, BGBl. Nr. 210/1958 noch Art. 47 der Charta der Grundrechte der Europäischen Union, ABl. Nr. C 83 vom 30.03.2010, S 389 entgegen.Von der Durchführung einer – im Übrigen von keiner der Parteien beantragten – mündlichen Verhandlung konnte gemäß Paragraph 24, Absatz 4, VwGVG Abstand genommen werden, da der Sachverhalt aus der unstrittigen Aktenlage in Verbindung mit der Beschwerde geklärt erscheint und eine mündliche Erörterung die weitere Klärung der Rechtssache nicht erwarten lässt. Dem Entfall der Verhandlung stehen auch weder Artikel 6, Absatz eins, der Konvention zum Schutze der Menschenrechte und Grundfreiheiten, Bundesgesetzblatt Nr. 210 aus 1958, noch Artikel 47, der Charta der Grundrechte der Europäischen Union, ABl. Nr. C 83 vom 30.03.2010, S 389 entgegen.
Zu B) Unzulässigkeit der Revision:
Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.Gemäß Paragraph 25 a, Absatz eins, VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Artikel 133, Absatz 4, B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzlichen Bedeutung zukommt. Weder weicht die gegenständliche Entscheidung von der bisherigen Rechtsprechung des Verwaltungsgerichtshofes ab, noch fehlt es an einer Rechtsprechung; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor. Konkrete Rechtsfragen grundsätzlicher Bedeutung sind weder in der gegenständlichen Beschwerde vorgebracht worden, noch im Verfahren vor dem BVwG hervorgekommen.Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzlichen Bedeutung zukommt. Weder weicht die gegenständliche Entscheidung von der bisherigen Rechtsprechung des Verwaltungsgerichtshofes ab, noch fehlt es an einer Rechtsprechung; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor. Konkrete Rechtsfragen grundsätzlicher Bedeutung sind weder in der gegenständlichen Beschwerde vorgebracht worden, noch im Verfahren vor dem BVwG hervorgekommen.