Gericht

Bundesverwaltungsgericht

Entscheidungsdatum

28.05.2024

Geschäftszahl

W176 2249328-1

Spruch

,

W176 2249328-1/7E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch den Richter Mag. NEWALD als Vorsitzenden und die fachkundigen Laienrichter Mag. BOGENDORFER und RAUB über die Beschwerde der römisch 40 , vertreten durch WOLF THEISS RAe GmbH & Co KG, gegen das Straferkenntnis der Datenschutzbehörde vom 12.10.2021, Zl. 2021-0.024.467 (D550.351), zu Recht erkannt:

A)

Der Beschwerde wird Folge gegeben, das angefochtene Straferkenntnis behoben und das Verwaltungsstrafverfahren eingestellt.

B)

Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.

,

Text

, Entscheidungsgründe:

römisch eins. Verfahrensgang:

römisch eins.1. Die römisch 40 (Beschuldigte im Verwaltungsstrafverfahren vor der Datenschutzbehörde und Beschwerdeführerin vor dem Bundesverwaltungsgericht) ist über die römisch 40 (FN römisch 40 , im Folgenden auch römisch 40 ) als Alleingesellschafterin an der römisch 40 (FN römisch 40 , im Folgenden auch: römisch 40 ) beteiligt. Der Unternehmensgegenstand der römisch 40 lautet: „Betrieb eines Kundenbindungsprogrammes, insbesondere mittels Rabatten und Hilfsdienstleistungen.“ Dabei handelt es sich um den „ römisch 40

römisch eins.2. Die Datenschutzbehörde (belangte Behörde vor dem Bundesverwaltungsgericht) hat in Folge eines amtswegigen Prüfverfahrens, abgeschlossen mit Beschwerdevorentscheidung vom 11.12.2019 zur Zl. römisch 40 , ein Verwaltungsstrafverfahren zur Zl. römisch 40 gegen die römisch 40 als ausgewiesene datenschutzrechtliche Verantwortliche des „ römisch 40 eingeleitet und mit Straferkenntnis vom 26.07.2021 erledigt.

römisch eins.3. Mit Aufforderung zur Rechtfertigung vom 15.07.2020 erhob die belangte Behörde gegen die Beschwerdeführerin und ihre Vorstandsmitglieder im Wesentlichen den Vorwurf, sie habe die im Verwaltungsstrafverfahren der römisch 40 zur Last gelegten Datenschutzverstöße betreffend den Betrieb des Kundenbindungsprograms „ römisch 40 " als gemeinsame Verantwortliche im Sinne von Artikel 4, Ziffer 7, in Verbindung mit Artikel 26, DSGVO mitzuverantworten.

römisch eins.4. Mit Schreiben vom 15.09.2020 erstattete die Beschwerdeführerin fristgerecht Rechtfertigung und bestritt das Vorliegen einer gemeinsamen Verantwortlichkeit mit der römisch 40 für den „ römisch 40 “.

Unternehmensgegenstand der Beschwerdeführerin sei unter anderem das Halten und die Verwaltung von Beteiligungen an Handelsunternehmen ( römisch 40 ), an Touristikunternehmen (insbesondere der römisch 40 ) sowie an Unternehmen im Bereich der Werbung und handelssektoraler Dienstleistungen. All diese Unternehmen unter dem Dach der Beschwerdeführerin würden entsprechend ihrem Unternehmensgegenstand operativ selbständig agieren, was auch die Verarbeitung personenbezogener Daten durch diese Unternehmen umfasse. Dies gelte insbesondere auch für die römisch 40 und den von ihr betriebenen „ römisch 40 “. Auch die Kriterien des Artikel 26, DSGVO seien mangels gemeinsamer Festlegung von Zweck und Mitteln der Datenverarbeitung nicht erfüllt.

römisch eins.5. Mit 12.10.2021 erließ die belangte Behörde das angefochtene Straferkenntnis gegen die Beschwerdeführerin.

Zu Spruchpunkt römisch eins. wurde ihr vorgeworfen, die ab dem 02.05.2019 eingesetzten Formulare zur Einholung von Einwilligungserklärungen zur Verarbeitung von personenbezogenen Daten von den am „ römisch 40 “ registrierten betroffenen Personen zum Zweck des Profiling durch den „ römisch 40 “ und dessen Vertragspartner hätten nicht den datenschutzrechtlichen Anforderungen an eine wirksame Einwilligung gemäß der Artikel 4, Ziffer 11, in Verbindung mit Artikel 5, Absatz eins, Litera a und Artikel 7, DSGVO entsprochen. Dadurch habe sie Verwaltungsübertretungen nach Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 7, Absatz 2, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO, ABl. L 2016/119, 1 in der Fassung L 2016/314, 72 und L 2018/127, 2 begangen.

Zu Spruchpunkt römisch zwei. wurde der Beschwerdeführerin und den namentlich genannten Mitgliedern ihres Vorstandes vorgeworfen, dass als Folge der rechtsunwirksamen Einwilligung somit die vom 02.05.2019 bis jedenfalls zum 31.01.2021 erfolgte Verarbeitung personenbezogener Daten der am „ römisch 40 “ registrierten betroffenen Personen zum Zweck des Profiling a) weder auf eine rechtswirksame Einwilligungserklärung, b) noch auf einen der sonst von Artikel 6, Absatz eins, DSGVO abschließend normierten Erlaubnistatbestände gestützt werden hätte können. Dadurch habe sie Verwaltungsübertretungen nach Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 6, Absatz eins, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO, ABl L 2016/119, 1 idFL 2016/314, 72 und L 2018/127, 2 begangen.

Das tatbestandsmäßige, rechtswidrige und schuldhafte Verhalten der genannten Mitglieder des Vorstandes der Beschwerdeführerin werde dabei dieser als beschuldigter juristischer Person (Paragraph 30, Absatz eins und Absatz 2, DSG) und datenschutzrechtlich (gemeinsam) Verantwortlichen im Sinne von Artikel 4, Ziffer 7 und Artikel 26, DSGVO zugerechnet.

Wegen dieser Verwaltungsübertretungen werde gemäß Paragraph 30, Absatz eins und Absatz 2, DSG in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO eine Geldstrafe von € 8.000.000,00 gegen die Beschwerdeführerin verhängt und habe sie ferner gemäß Paragraph 64, VStG € 800.000,00 als Beitrag zu den Kosten des Strafverfahrens zu zahlen. Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) betrage daher € 8.800.000,00 und sei, sofern keine Beschwerde erhoben werde, binnen zwei Wochen nach Eintreten der Rechtskraft einzuzahlen und vollstreckbar.

Dies begründete die belangte Behörde im Wesentlichen damit, dass die Beschwerdeführerin als Konzernmuttergesellschaft die römisch 40 zum Betrieb des unternehmens- und branchenübergreifenden Kundenbindungsprogramms „ römisch 40 “ gegründet habe, welche dann die im Tatzeitraum im operativen Betrieb eingesetzten Ersuchen um Einwilligung im Rahmen der Anmeldestrecken (i) Webseite (www. römisch 40 .at) und (ii) physisches Anmeldeformular – nach Genehmigung durch die beiden Geschäftsführer der römisch 40 – im Rahmen des „ römisch 40 “-Kundenbindungsprogrammes tatsächlich zur Einholung von Einwilligungserklärungen eingesetzt worden wären.

Nach Wiedergabe der Ermittlungsergebnisse aus dem amtswegigen Prüfverfahren gegen die römisch 40 , die der Beschwerdeführerin vollinhaltlich im Wege des Parteiengehörs zum gegenständlichen Verfahren zur Kenntnis gebracht und von ihr in tatsächlicher Hinsicht nicht bestritten worden seien, führte die belangte Behörde in rechtlicher Hinsicht aus, dass eine gemeinsame datenschutzrechtliche Verantwortlichkeit gemäß Artikel 4, Ziffer 7, in Verbindung mit Artikel 26, DSGVO zwischen der Beschwerdeführerin und der römisch 40 für den Betrieb des „ römisch 40 vorliege. Zwar hätten die Beschwerdeführerin und deren Vorstandsmitglieder als Beschuldigte im Verfahren durchgängig den Rechtsstandpunkt vertreten, dass erstere auf die verfahrensgegenständliche Datenverarbeitung bzw. auf den verfahrensgegenständlichen Einwilligungsprozess und dessen Änderung weder Einfluss genommen habe noch aktuell darauf Einfluss nehme und sei die römisch 40 von der römisch 40 vor diesem Hintergrund mit dem Ziel eingerichtet und ausgestattet worden, ein branchenunabhängiges Multipartnerprogramm als eigenständiges, gewinnorientiertes Unternehmen zu betreiben; die römisch 40 sei eingerichtet worden, ihre eigenen wirtschaftlichen Zwecke zu verfolgen und umzusetzen, während sich das Interesse und die Rolle der Beschwerdeführerin auf jene einer klassischen Holdinggesellschaft beschränkt habe und erhalte sie auch keinerlei Daten aus dem „ römisch 40 “. Dem werden jedoch die einschlägige Rechtsprechung des EuGH und die einschlägigen Leitlinien des Europäischen Datenschutzausschusses zum unionsrechtlichen Begriffsverständnis der (gemeinsamen) datenschutzrechtlichen Verantwortung entgegengehalten, so gehe der EuGH in seiner mittlerweile gefestigten Rechtsprechung zur insofern vergleichbaren Rechtslage nach Artikel 2, Litera d, der Richtlinie 95/46/EG von einem weiten Begriffsverständnis der „gemeinsamen Verantwortung“ aus und habe dieses in seiner weiteren Rechtsprechung bestätigt und ausdrücklich klargestellt, dass eine weite Auslegung des Begriffs des datenschutzrechtlichen „Verantwortlichen“ geboten sei.

Umgelegt auf den gegenständlichen Fall bedeute dies, dass es für eine gemeinsame Verantwortlichkeit gemäß Artikel 4, Ziffer 7, in Verbindung mit Artikel 26, DSGVO zwischen der Beschwerdeführerin und der römisch 40 eben nicht darauf ankommt, dass die Beschwerdeführerin auf die einzelnen Verarbeitungsvorgänge Einfluss nehme oder selbst durchführe, selbst gewonnene Datensätze (mit-)verwalte, Zugang zu ihnen habe oder die verfahrensgegenständlichen Modalitäten zur Einholung von Einwilligungserklärungen zum Zweck des Profiling selbst gestaltet habe. Für das Entstehen einer gemeinsamen Verantwortung sei es nicht einmal Voraussetzung, dass es schriftliche Anleitungen oder Anweisungen hinsichtlich der Datenverarbeitung geben müsse. Vielmehr ergebe sich die gemeinsame datenschutzrechtliche Verantwortung der Beschwerdeführerin bereits daraus, dass sie, namentlich durch das nach der internen Ressortverteilung für den „ römisch 40 “ zuständige Vorstandsmitglied römisch 40 , in der Konzeptionsphase des Kundenbindungsprogrammes gemeinsam mit der Geschäftsführung der römisch 40 die strategische Ausrichtung zur Einrichtung und den Betrieb eines konzerneigenen Kundenbindungsprogrammes festgelegt und auch durch das Bereitstellen budgetärer Mittel den Betrieb des Kundenbindungsprogrammes überhaupt erst ermöglicht habe; die Geschäftsführung der römisch 40 habe sodann in Folge – unter Einhaltung der Vorgaben der Beschwerdeführerin als Muttergesellschaft und nach finanzieller Ausstattung durch eine weitere Tochtergesellschaft der Beschwerdeführerin – sämtliche Veranlassungen getroffen, um den operativen Geschäftsbetrieb vorzubereiten. Die Geschäftsführer der römisch 40 hätten insbesondere Verträge mit Partnerunternehmen geschlossen, die Funktionsweise des Kundenbindungsprogrammes im Detail festgelegt, datenschutzrechtlich relevante Dokumente und Informationen erstellt und die erforderliche IT-Infrastruktur eingerichtet. Die Veranlassungen des Vorstandes der Beschwerdeführerin, nämlich die Festlegung der Mittel und Zwecke zum Betrieb des „ römisch 40 “-Kundenbindungsprogrammes in Form einer konzerneigenen Servicegesellschaft und die Ausstattung derselben mit finanziellen und personellen Mitteln hierfür hätten es erst ermöglicht, dass der operative Geschäftsbetrieb – und damit sämtliche Datenverarbeitungsvorgänge, so auch die auf Basis der gewonnenen Kundendaten durchgeführte Profilbildung – am 02.05.2019 aufgenommen werden hätte können.

Insofern gleiche diese Fallkonstellation im Wesentlichen jener, die dem Urteil des EuGH vom 10.07.2018, C-25/17 [Zeugen Jehovas], zugrunde gelegen sei: Für eine gemeinsame Verantwortung sei es demnach bereits ausreichend, wenn die grobe Linie zur Datenverarbeitung von einem Verantwortlichen vorgegeben werde, die konkrete Umsetzung und Ausgestaltung dieser Vorgaben sowie die tatsächliche Datenverarbeitung aber dann von einem anderen Verantwortlichen vorgenommen werde. Auch der rechtliche Einwand der Beschwerdeführerin, wonach es sich bei der römisch 40 zwar um eine Gesellschaft innerhalb ihrer Unternehmensgruppe handle, diese jedoch unbeschadet dessen im Rahmen deren eigener Rechtspersönlichkeit in allen rechtsrelevanten Belangen völlig eigenständig agiere, vermöge nicht zu überzeugen.

So ergebe sich die gemeinsame datenschutzrechtliche Verantwortung der Beschwerdeführerin im gegebenen Kontext anhand des – seitens der Beschuldigten im gegenständlichen Verfahren nicht bestrittenen – Umstandes, dass der Vorstand der Beschwerdeführerin die Einrichtung der römisch 40 zum Zweck des Betriebes des „ römisch 40 “-Kundenbindungsprogrammes beschlossen und veranlasst, und hierfür die erforderlichen finanziellen und personellen Mittel – wenn auch unter Zuhilfenahme einer weiteren Konzerntochtergesellschaft – bereitgestellt habe; die Beschwerdeführerin habe in Folge jedoch nicht einmal in Grundzügen dafür gesorgt, dass innerhalb der römisch 40 datenschutzrechtliche Vorgaben bei der Etablierung des Kundenbindungsprogrammes beachtet worden seien.

Aber auch aus gesellschaftsrechtlichen Gründen könne eine völlige Eigenständigkeit der römisch 40 , wie von der Beschuldigten suggeriert worden sei, nicht angenommen werden, da die – näher wiedergegebene – Rechtsprechung des OGH zu Pflichten für den Vorstand einer Konzernobergesellschaft im Rahmen der „Konzernleitungspflicht“ verdeutlichen würde, dass – jedenfalls in einem bestimmten Maß – der Vorstand der Muttergesellschaft die Konzernglieder in sein Tätigkeitsfeld aufnehmen müsse. Ein Mindestmaß an Konzernleitungspflicht und der Pflicht zur Überwachung ergäbe sich schon aus der bloßen Tatsache, dass Beteiligungen an anderen Unternehmen zum Vermögen der Konzernobergesellschaft gehören. Es steht daher dem Vorstand der Konzernobergesellschaft daher nicht frei, seine Tochtergesellschaften frei agieren zu lassen, sondern müsse er diese jedenfalls überwachen und für einen Informationsfluss – im Rahmen des rechtlich Zulässigen – sorgen.

Aus alldem folge aber auch, dass die Beschwerdeführerin (gemeinsam) mit der römisch 40 für die Einhaltung der datenschutzrechtlichen Vorgaben im Zusammenhang mit dem Betrieb des römisch 40 “-Kundenbindungsprogrammes mitverantwortlich zeichne. Die Beschwerdeführerin habe im gegenständlichen Verfahren in Bezug auf die datenschutzrechtliche Beurteilung der Rechtmäßigkeit der verfahrensgegenständlichen Einwilligungserklärungen sowie zur Rechtmäßigkeit der auf Basis der eingeholten Einwilligungserklärungen durchgeführten Verarbeitungsvorgänge dieselbe Rechtsmeinung vertreten, wie die römisch 40 und deren rechtliches Vorbringen hierzu im Verwaltungsstrafverfahren zu römisch 40 auch zu ihrem eigenen rechtfertigenden Vorbringen erhoben – dieses Faktum spreche jedenfalls nicht gegen die gemeinsame Verantwortlichen-Eigenschaft.

Da die Beschwerdeführerin das Vorbringen der römisch 40 auch zu ihrem Vorbringen erhoben habe, schlage die rechtliche Beurteilung von deren Tatvorwurf auch auf das gegenständliche Verfahren durch. Die Beschwerdeführerin habe, als (gemeinsam mit der römisch 40 ) datenschutzrechtlich Verantwortliche, die objektive Tatseite der - Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 7, Absatz 2, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO (Spruchpunkt römisch eins.), sowie - Artikel 5, Absatz eins, Litera a, in Verbindung mit Artikel 6, Absatz eins, in Verbindung mit Artikel 83, Absatz 5, Litera a, DSGVO (Spruchpunkt römisch zwei.) erfüllt.

Zur subjektiven Tatseite werde ausgeführt, die belangte Behörde könne gemäß Paragraph 30, Absatz eins, DSG eine Geldbuße gegen eine juristische Person verhängen, wenn Verstöße gegen Bestimmungen der DSGVO und des Paragraph eins, oder Artikel 2 1. Hauptstück des DSG durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund - der Befugnis zur Vertretung der juristischen Person, - der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder - einer Kontrollbefugnis innerhalb der juristischen Person innehaben. Gemäß Paragraph 30, Absatz 2, DSG können juristische Personen wegen Verstößen gegen Bestimmungen der DSGVO und des Paragraph eins, oder Artikel 2 1. Hauptstück des DSG auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Paragraph 30, Absatz eins, DSG genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat. Entscheidend sei gewesen, bezogen auf die vorliegende Fallkonstellation der gemeinsamen datenschutzrechtlichen Verantwortung der Beschwerdeführerin (gemeinsam mit der römisch 40 ), ob der Vorstand der Beschwerdeführerin ein wirksames internes Kontrollsystem – sowohl während der Konzeptionsphase des „ römisch 40 “ als auch ab dem Zeitpunkt der Aufnahme des operativen Geschäftsbetriebes – innerhalb der Unternehmensgruppe implementiert habe, um sicherzustellen, dass ein Kundenbindungsprogramm dieser Dimension (über 2 Millionen Betroffene) zumindest in Grundzügen der DSGVO entspräche; dies insbesondere mit dem Ziel, im Ergebnis einen datenschutzrechtskonformen Geschäftsbetrieb – durch geeignete Steuerungs- und Lenkungsmaßnahmen der als Servicegesellschaft innerhalb der Unternehmensgruppe eingerichteten römisch 40 – zu effektuieren.

Das Unterlassen jeglicher Leitung und Kontrolle der römisch 40 durch den Vorstand der Beschwerdeführerin habe es erst ermöglicht, dass die gegenständlichen Ersuchen um Einwilligung zum Zweck des Profiling von der Geschäftsführung der römisch 40 genehmigt und damit im operativen Geschäftsbetrieb eingesetzt worden wären, obwohl deren Ausgestaltung – wie im amtswegigen Prüfverfahren sowie im Verwaltungsstrafverfahren jeweils betreffend die römisch 40 festgestellt worden sei – nicht den rechtlichen Anforderungen an eine wirksame Einwilligungserklärung entsprochen hätten.

In Summe seien auf diese Art und Weise 2.285.021 Einwilligungserklärungen eingeholt und auf Basis dieser rechtsunwirksamen Einwilligungserklärungen seither (bis zur tatsächlichen Beendigung der Profilbildungsvorgänge durch die römisch 40 ) die personenbezogenen Daten dieser Betroffenen zum Zweck des Profiling im Rahmen des „ römisch 40 “-Kundenbindungsprogrammes verarbeitet worden. Bei einem Kundenbindungsprogramm dieser Dimension (mit über 2 Millionen betroffenen Personen) könne sich der Vorstand der Konzernobergesellschaft nicht darauf beschränken, eine eigene Servicegesellschaft einzurichten und diese mit der konkreten Umsetzung zu beauftragen. Es liege auf der Hand, dass bereits gesellschaftsrechtliche Sorgfaltspflichten, vielmehr aber die Vorgaben der DSGVO selbst (Artikel 4, Ziffer 7, in Verbindung mit Artikel 26 und Artikel 5, Absatz 2, DSGVO) den Vorstand der Konzernobergesellschaft dazu zwingen würden, sich näher mit dieser Form der Datenverarbeitung auseinanderzusetzen, zumal der finanzielle und marketingtechnische Nutzen aus diesem Kundenbindungsprogramm gerade nicht der römisch 40 zukomme, sondern den einzelnen Konzerngesellschaften und damit im Ergebnis auch einen wirtschaftlichen Mehrwert für die Konzernobergesellschaft darstelle. Das Unterlassen jeglicher Kontrolle der römisch 40 seitens des Vorstandes der Beschwerdeführerin könne folglich nicht ohne Konsequenz für diese sein.

Die unternehmensinterne Auseinandersetzung mit den rechtlichen Erfordernissen an eine wirksame Einwilligung – und ausschließlich auf diese hätten die beiden gemeinsam Verantwortlichen sämtliche Verarbeitungsvorgänge zum Zweck des Profiling gestützt – sei auf auffallend oberflächliche Weise erfolgte. Die Beschwerdeführerin habe sich mit den datenschutzrechtlichen Vorgaben in Bezug auf den operativen Geschäftsbetrieb der römisch 40 so gut wie gar nicht beschäftigt, selbst demnach keinerlei Prüfschritte veranlasst und auch die konkrete Umsetzung der Vorgabe an die römisch 40 , ein konzerneigenes Kundenbindungsprogramm einzurichten, nicht weiter kontrolliert. Das Unterlassen jeglicher datenschutzrechtlichen Prüfpflicht an die Geschäftsführer der römisch 40 und den Konzerndatenschutzbeauftragten durch den Vorstand der Beschwerdeführerin sei als grob fahrlässiges Verhalten zu bewerten und ihr daher als juristischer Person und datenschutzrechtlich (gemeinsam mit der römisch 40 ) Verantwortlichen im Sinne von Paragraph 30, Absatz eins und Absatz 2, DSG zuzurechnen gewesen. Gemäß Paragraph 30, Absatz 3, DSG habe die Datenschutzbehörde von der Bestrafung eines Verantwortlichen gemäß Paragraph 9, VStG abzusehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wurde. Die persönliche verwaltungsstrafrechtliche Verfolgung und Bestrafung der Vorstandsmitglieder der Beschwerdeführerin sei aufgrund der Ausschlussnorm des Paragraph 30, Absatz 3, DSG somit – aus rechtlichen Gründen – nicht zulässig gewesen, weil deren Verhalten gänzlich der Beschwerdeführerin zuzurechnen gewesen sei und kein verwaltungsstrafrechtlicher „Übergang“ verblieben sei, der nur den Geschäftsführern angelastet werden hätte können.

Zur Strafzumessung wurde festzuhalten, dass aufgrund des für das Geschäftsjahr 2020 ausgewiesenen Umsatzes in der Höhe von rund 15,877 Milliarden Euro als Strafrahmen gemäß Artikel 83, Absatz 5, DSGVO bis zu vier Prozent (rund 635 Millionen Euro) des ausgewiesenen Umsatzes der Beschwerdeführerin heranzuziehen gewesen seien. Bezogen auf den vorliegenden Sachverhalt sei bei der Strafzumessung erschwerend berücksichtigt worden, dass es die Beschwerdeführerin – in ihrer Eigenschaft als gemeinsam mit der römisch 40 für den Betrieb des „ römisch 40 “-Kundenbindungsprogrammes Verantwortliche – auf die beschriebene Weise ermöglicht, dass durch die gegenständlichen Einwilligungsformulare, über die analoge Anmeldestrecke „Flyer“ konkret von 1.710.789 natürlichen Personen, sowie über die digitale Anmeldestrecke auf der Website konkret von 574.232 natürlichen Personen, auf rechtswidrige Weise eine Einwilligung zum Zwecke des Profiling eingeholt worden sei. Insgesamt sei daher von 2.285.021 Betroffenen eine ungültige Einwilligung erhoben und die personenbezogenen Daten dieser Betroffenen zum Zwecke des Profiling verarbeitet worden, ohne das hierfür eine taugliche Rechtsgrundlage vorgelegen sei. Die Verstöße seien über einen langen Tatzeitraum hindurch über mehrere Monate vergleiche Spruchpunkt römisch eins.) bzw. über ein Jahr und neun Monate vergleiche Spruchpunkt römisch zwei.) auf unrechtmäßige Weise erfolgt. Mildernd wurde berücksichtigt, dass die belangte Behörde in Bezug auf die im Spruch geahndeten Verstöße nicht von vorsätzlicher Begehung ausgehe, sei dies im Verhältnis zu möglichen Höchststrafe deutlich strafmildernd in Ansatz gebracht worden; gegen die Beschuldigte lägen bei der belangten Behörde keinerlei einschlägigen Verstöße gegen die DSGVO vor, und habe die Beschwerdeführerin im Rahmen des gegenständlichen Ermittlungsverfahrens mitgewirkt und dadurch einen Beitrag zur Wahrheitsfindung geleistet.

Die konkret verhängte Strafe in der Höhe von 8.000.000 Euro (rund 1,25 % der maximalen Strafhöhe) erscheine daher im Hinblick auf den verwirklichten Tatunwert, gemessen am zur Verfügung stehenden Strafrahmen des Artikel 83, Absatz 5, DSGVO (hier bis zu vier Prozent des weltweit von der Beschwerdeführerin erzielten Jahresumsatzes) tat- und schuldangemessen und befinde sich aufgrund der vorliegenden Milderungsgründe am untersten Ende des zur Verfügung stehenden Strafrahmens.

römisch eins.6. Gegen dieses Straferkenntnis richtet sich verfahrensgegenständliche, fristgerecht erhobene Beschwerde. Diese brachte zusammengefasst vor, die belangte Behörde habe zu Unrecht eine „gemeinsame Verantwortlichkeit“ zwischen der Beschwerdeführerin und der römisch 40 in Bezug auf den Betrieb des „ römisch 40 “-Kundenbindungsprogrammes angenommen, denn es habe weder in der Konzeptionsphase noch in der Umsetzungsphase des „ römisch 40 “ ein „Zusammenwirken“ von Beschwerdeführerin und römisch 40 stattgefunden. Der Vorstand der Beschwerdeführerin habe sich nach den Feststellungen vielmehr gar nicht in den konkreten Aufbau des Kundenbindungsprogramms involviert. Überdies habe die belangte Behörde auch mit keinem Wort festgestellt, dass die Beschwerdeführerin (auch) über die Mittel der Datenverarbeitung entscheide.

Zudem sei/en der/die konkreten Tatvorhalt(e) gegen die Beschwerdeführerin für sie bis zuletzt unklar geblieben sondern ihr lediglich Ermittlungsergebnisse bzw. Aktenstücke aus dem Verfahren gegen die römisch 40 teils vorgehalten worden, teils habe sie diese mittels Parteiengehör selbst in Erfahrung bringen müssen. Dadurch sei ihr eine angemessene Ausübung ihrer Verteidigungsrechte nicht möglich gewesen. Auch sei zu Unrecht ein Tatvorsatz angenommen worden.

Die Beschwerde macht zudem Verfolgungsverjährung aufgrund mangelhaften Tatvorhalts und wegen falscher Bemessung des Tatzeitraums zu Spruchpunkt römisch zwei. geltend.

römisch eins.7. Mit Schreiben vom 13.12.2021 legte die belangte Behörde die Beschwerde samt dem zugehörigen Verwaltungsakt dem Bundesverwaltungsgericht vor.

Im Rahmen der zugleich erstatteten Stellungnahme zur Beschwerde beantragte Behörde die Abweisung der Beschwerde und die Verpflichtung der Beschwerdeführerin zur Kostentragung nach Paragraph 52, VwGVG. Sie verwies vollinhaltlich auf das bekämpfte Erkenntnis und führte zur ergänzend im Wesentlichen Folgendes aus:

Der Tatvorhalt sei hinreichend klar im Sinne der Rechtsprechung des Verwaltungsgerichtshofs und sei der Beschwerdeführerin durch die im Verfahren verfügten Verfolgungshandlungen im Sinne von Paragraph 32, Absatz 2, VStG auch bekannt gewesen. Ihre Verteidigungsrechte seien somit zu keinem Zeitpunkt verkürzt oder sonst beeinträchtigt gewesen. Zum Spruch des angefochtenen Straferkenntnis wurde festgehalten, es ergäbe sich aus Spruchpunkt römisch eins. auf schlüssige Art und Weise, dass die Beschwerdeführerin (gemeinsam mit der römisch 40 ) die Verletzung des Tatbildes des Artikel 7, Absatz 2, DSGVO zu verantworten habe, nämlich, dass Einwilligungserklärungen eingesetzt worden seien, die nicht den Vorgaben in Artikel 7, Absatz 2, DSGVO entsprochen hätten. Auch liege keine falsche Bemessungsgrundlage für Geldbußen nach Artikel 83, Absatz 5, DSGVO im Falle von Unternehmen vor und werde dem Vorhalt einer unzulässigen Doppelbestrafung durch gesonderte Zurechnung des Tatvorwurfs römisch zwei entgegengetreten, da die mit Spruchpunkt römisch eins. und römisch zwei. erfassten Tathandlungen sich gegen zwei unterschiedliche Rechtsgüter innerhalb der DSGVO richteten und bereits deshalb der Grundsatz „ne bis in idem“ vorliegend nicht verletzt sein könne.

römisch eins.7. Mit Schreiben vom 04.01.2022 erstattete die belangte Behörde eine ergänzende Stellungnahme und beantragte, das Verfahren bis zur Vorabentscheidung durch EuGH über die mit Beschluss des Kammergerichtes Berlin vom 06.12.2021, Zl. 3 Ws 250/21 (beim EuGH anhängig unter C-807/21, [Deutsche Wohnen SE]) auszusetzen.

römisch eins.8. Mit Beschluss vom 25.05.2022, Zl. W176 2249328-1/4Z, setzte das Bundesverwaltungsgericht das Verfahren bis zur Vorabentscheidung durch den Gerichtshof der Europäischen Union über die mit Beschluss des Kammergerichtes Berlin vom 06.12.2021, Zl. 3 Ws 250/21 (beim EuGH anhängig unter C-807/21, [Deutsche Wohnen]) aus.

römisch eins.9. Am 05.12.2023 erließ der EuGH das Urteil in der Rechtssache C-807/21 (Deutsche Wohnen SE).

römisch zwei. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

1.1. Der unter Punkt römisch eins. dargestellte Sachverhalt wird den Feststellungen zu Grunde gelegt.

1.2. Dabei wird insbesondere festgestellt:

1.2.1. Die Beschwerdeführerin ist Alleingesellschafterin der römisch 40 , diese ist als Alleingesellschafterin der römisch 40 . Die Geschäftsführer der römisch 40 wurden von deren Muttergesellschaft, der römisch 40 , bestellt.

Es bestehen keine personellen Verflechtungen in den Leitungsorganen der Beschwerdeführerin und der römisch 40 .

Unternehmensgegenstand der Beschwerdeführerin ist unter anderem das Halten und die Verwaltung von Beteiligungen an Handelsunternehmen (insbesondere römisch 40 [nunmehr: römisch 40 ], römisch 40 ), an Touristikunternehmen (insbesondere der römisch 40 ) sowie an Unternehmen im Bereich der Werbung und handelssektoraler Dienstleistungen.

Unternehmensgegenstand der römisch 40 ist der Betrieb eines Kundenbindungsprogrammes, insbesondere mittels Rabatten und Hilfsdienstleistungen. Als solches betreibt sie den „ römisch 40 “.

1.2.2. In der Konzeptionsphase ab dem Jahr 2017 bis zum operativen Tätigwerden der römisch 40 ab Mai 2019 wurde seitens des Vorstandes der die strategische Ausrichtung des Kundenbindungsprogrammes festgelegt, wonach ein eigenes Multipartner-System entstehen sollte.

Nach dem Ende der Konzeptionsphase erfolgte die konkrete Umsetzung und Ausgestaltung des Kundenbindungsprogramms durch die Geschäftsführung der römisch 40 , ohne Involvierung der Beschwerdeführerin bzw. ihres Vorstandes. Dies inkludierte insbesondere die konkrete Ausgestaltung der Datenverarbeitungstätigkeiten im Rahmen des Kundenbindungsprogramms; die konkrete Ausgestaltung der Verträge mit den Kunden des Kundenbindungsprogramms; sohin auch die Ausgestaltung der AGB, der Datenschutzerklärung und der Einwilligungserklärung zum Profiling; sowie die Erstellung der erforderlichen Unterlagen und die Etablierung der erforderlichen Prozesse zur Erfüllung der datenschutzrechtlichen Vorgaben (zB Datenschutzerklärung, Verarbeitungsverzeichnis, technische und organisatorische Maßnahmen gemäß Artikel 32, DSGVO). Die römisch 40 bediente sich dafür auch externer und interner Berater, zu letzteren zählte römisch 40 der seit dem 24.05.2018 (Konzern-)Datenschutzbeauftragter der Beschwerdeführerin ist und in einem Dienstverhältnis zur römisch 40 steht.

Am 02.05.2019 hat die römisch 40 den operativen Geschäftsbetrieb des Kundenbindungsprogramms und die damit verbundenen Datenverarbeitungsvorgänge aufgenommen, dazu zählt auch die Durchführung von Profilbildungen aus den verschiedenen Datensätzen, die von den am Kundenbindungsprogramm teilnehmenden Kunden gewonnen wurden und werden.

1.2.3. Die belangte Behörde hat in Folge eines amtswegigen Prüfverfahrens, abgeschlossen mit Beschwerdevorentscheidung vom 11.12.2019, Zl. römisch 40 , zur Zl. römisch 40 ein Verwaltungsstrafverfahren gegen die römisch 40 als ausgewiesene datenschutzrechtliche Verantwortliche des „ römisch 40 “ eingeleitet und mit Straferkenntnis vom 26.07.2021 abgeschlossen. Eine Beschwerde dagegen ist zur Zl. , W256 2246230-1 am Bundesverwaltungsgericht anhängig.

2. Beweiswürdigung:

Die – zwischen den Parteien nicht strittigen – Feststellungen ergeben sich aus dem vorgelegten Verwaltungs- sowie dem gegenständlichen Gerichtsakt, insbesondere aus dem gegenständlichen Straferkenntnis, der Beschwerde und dem Vorlageschreiben der belangten Behörde., Rechtliche Beurteilung:

3.1. Gemäß Paragraph 6, BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß Paragraph 27, Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß Paragraph 24, Absatz 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.

Gemäß Paragraph 28, Absatz eins, VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß Paragraph 31, Absatz eins, VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.

Gemäß Paragraph 28, Absatz 2, VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG dann in der Sache selbst zu entscheiden, wenn (1.) der maßgebliche Sachverhalt feststeht oder (2.) die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.

Zu A)

3.2. In der Sache:

Die maßgeblichen Bestimmungen der DSGVO lauten auszugsweise:

„Artikel 4

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

18. „Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;

Artikel 5

Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Artikel 6

Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel römisch neun.

(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

a) Unionsrecht oder

b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel römisch neun. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem

a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,

b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,

c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,

d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,

e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.

Artikel 7

Bedingungen für die Einwilligung

(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. 2Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Artikel 26

Gemeinsam für die Verarbeitung Verantwortliche

(1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.

(2) Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.

(3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

Artikel 83

Allgemeine Bedingungen für die Verhängung von Geldbußen

(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;

f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;

i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;

j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und

k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9“.

Die maßgeblichen Bestimmungen des Verwaltungsstrafgesetzes 1991 (VStG) lauten auszugsweise:

Schuld

Paragraph 5, (1) Wenn eine Verwaltungsvorschrift über das Verschulden nicht anderes bestimmt, genügt zur Strafbarkeit fahrlässiges Verhalten. Fahrlässigkeit ist bei Zuwiderhandeln gegen ein Verbot oder bei Nichtbefolgung eines Gebotes dann ohne weiteres anzunehmen, wenn zum Tatbestand einer Verwaltungsübertretung der Eintritt eines Schadens oder einer Gefahr nicht gehört und der Täter nicht glaubhaft macht, dass ihn an der Verletzung der Verwaltungsvorschrift kein Verschulden trifft.

(1a) Absatz eins, zweiter Satz gilt nicht, wenn die Verwaltungsübertretung mit einer Geldstrafe von über 50 000 Euro bedroht ist.

(2) Unkenntnis der Verwaltungsvorschrift, der der Täter zuwidergehandelt hat, entschuldigt nur dann, wenn sie erwiesenermaßen unverschuldet ist und der Täter das Unerlaubte seines Verhaltens ohne Kenntnis der Verwaltungsvorschrift nicht einsehen konnte.

Strafen

Paragraph 10, (1) Strafart und Strafsatz richten sich nach den Verwaltungsvorschriften, soweit in diesem Bundesgesetz nicht anderes bestimmt ist.

(2) Soweit für Verwaltungsübertretungen, insbesondere auch für die Übertretung ortspolizeilicher Vorschriften, keine besondere Strafe festgesetzt ist, werden sie mit Geldstrafe bis zu 218 Euro oder mit Freiheitsstrafe bis zu zwei Wochen bestraft.

Strafbemessung

Paragraph 19, (1) Grundlage für die Bemessung der Strafe sind die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat.

(2) Im ordentlichen Verfahren (Paragraphen 40 bis 46) sind überdies die nach dem Zweck der Strafdrohung in Betracht kommenden Erschwerungs- und Milderungsgründe, soweit sie nicht schon die Strafdrohung bestimmen, gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechtes sind die Paragraphen 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens- und Vermögensverhältnisse und allfällige Sorgepflichten des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen.

Kosten des Strafverfahrens

Paragraph 64, (1) In jedem Straferkenntnis ist auszusprechen, dass der Bestrafte einen Beitrag zu den Kosten des Strafverfahrens zu leisten hat.

(2) Dieser Beitrag ist für das Verfahren erster Instanz mit 10% der verhängten Strafe, mindestens jedoch mit 10 Euro zu bemessen; bei Freiheitsstrafen ist zur Berechnung der Kosten ein Tag Freiheitsstrafe gleich 100 Euro anzurechnen. Der Kostenbeitrag fließt der Gebietskörperschaft zu, die den Aufwand der Behörde zu tragen hat.

3.3. Umgelegt auf den gegenständlichen Fall bedeutet dies Folgendes:

3.3.1. Zur Strafbarkeit einer juristischen Person:

Der EuGH führte in seiner o.a. Entscheidung vom 05.12.2023, C-807/21 (Deutsche Wohnen SE) Rz 78 – wie auch seinem Urteil vom 05.12.2023, C-683/21 (Nacionalinis visuomenės sveikatos centras), Rz 81f – aus, dass Artikel 83, der Verordnung 2016/679 dahin auszulegen ist, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Artikel 83, Absatz 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.

Weiters hat der EuGH in der genannten Entscheidung vom 05.12.2023, C-807/21 (Deutsche Wohnen SE), Rz 76f, klargestellt, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt (unter Hinweis auf seine Urteile vom 18.06.2013, C-681/11 [Schenker & Co. u. a.] Rz 37; vom 25.03.2021, C-591/16 P, [Lundbeck/Kommission], Rz 156, und vom 25.03.2021, C-601/16 P, EU [Arrow Group und Arrow Generics/Kommission], Rz 97) sowie dass die Anwendung von Artikel 83, DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (unter Hinweis auf seine Urteile vom 07.06.1983, 100/80 bis 103/80 [Musique Diffusion française u. a./Kommission], Rz 97, und vom 16.02.2017, C-94/15 P [Tudapetrol Mineralölerzeugnisse Nils Hansen/Kommission], Rz 28).

Daraus folgt, dass eine juristische Person Beschuldigte in einem Verwaltungsstrafverfahren sein kann, ohne dass die Datenschutzverletzung zuvor einer konkreten natürlichen Person aus dem Kreis des Unternehmens zuzurechnen ist (Paragraph 9, VStG, Paragraph 30, DSG). Die Übertragbarkeit der Entscheidung zur deutschen auf die österreichische Rechtslage bekräftigte der Verwaltungsgerichtshof in seinem Erkenntnis vom 01.02.2024, Ra 2020/04/0187.

Die Behandlung des betreffenden Vorbringens der Beschwerdeführerin zu diesem Themenkomplex konnte somit unterbleiben.

3.3.2. Zur (mangelnden) Eigenschaft der Beschwerdeführerin als Verantwortliche:

3.3.2.1. Die in der DSGVO vorgesehenen Grundsätze, Verbote und Pflichten richten sich insbesondere an „Verantwortliche“. Deren Verantwortung und Haftung erstreckt sich nach den Ausführungen im 74. Erwägungsgrund der DSGVO auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind. Diese Haftung ist es, die bei einem der in Artikel 83, Absatz 4 bis 6 DSGVO genannten Verstöße die Grundlage dafür bildet, nach Artikel 83, DSGVO eine Geldbuße gegen den Verantwortlichen zu verhängen vergleiche erneut EuGH vom 05.12.2023, Zl. C-807/21, Rz 38).

Der Verantwortliche ist Adressat von Ansprüchen der betroffenen Person und gilt als Ansprechstelle für Maßnahmen der Aufsichtsbehörde (ErwGr 74). (Hödl in Knyrim, DatKomm Artikel 4, DSGVO Rz 77 (Stand 1.12.2018, rdb.at))

Die Rolle des für die Verarbeitung Verantwortlichen definiert sich durch drei Merkmale:

1. jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle (personenbezogener Aspekt),

2. die allein oder gemeinsam mit anderen (pluralistische Kontrolle),

3. über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden (Entscheidungsfunktion) (Hödl in Knyrim, DatKomm Artikel 4, DSGVO Rz 80 (Stand 1.12.2018, rdb.at)).

Die Verantwortung wird dem übertragen, der die Entscheidungsmacht hat. Entscheidend für die Zuweisung der Verantwortlichkeit ist daher, wer über die wesentlichen Aspekte der Mittel der Verarbeitung entscheidet. Für die Zuschreibung der Verantwortlichen-Eigenschaft ist es nicht erforderlich, dass der Verantwortliche selbst Daten verarbeitet, sich im Besitz der verarbeiteten Daten befindet oder über die physische Herrschaft verfügt. Trifft er die Entscheidung, dass Daten zu verarbeiten sind, sind ihm sämtliche Personen und Stellen funktional zuzurechnen, die unter seiner Aufsicht bzw Anweisung Schritte einer Datenverarbeitung vornehmen (Hilfsorgane). Sofern natürliche Personen Daten für ihre eigenen Zwecke außerhalb des Tätigkeitsbereichs und der möglichen Kontrolle ihrer Organisation verarbeiten, können sie selbst Verantwortlicher werden. Es kann aber zur Mitverantwortung einer fährlässig handelnden Organisation kommen, die einen Datenmissbrauch grundsätzlich zu verhindern hat (Hödl in Knyrim, DatKomm Artikel 4, Rz 83, 86, DSGVO [Stand 01.12.2018, rdb.at]).

3.3.2.2. Aus dem Umstand, dass die Beschwerdeführerin die strategische Entscheidung traf, ein eigenes Multipartner-Kundenbindungsprogramm einzurichten, zu diesem Zwecke (über der römisch 40 ) die römisch 40 gründete und dieser – wiederum unter Zuhilfenahme der römisch 40 – die zum Betrieb des römisch 40 “-Kundenbindungsprogramm erforderlichen finanziellen und personellen Mittel bereitgestellt hat, leitet die belangte Behörde eine gemeinsame datenschutzrechtliche Verantwortung der Beschwerdeführerin und der römisch 40 ab.

Dies stellt die Beschwerde insbesondere mit dem Argument in Abrede, dass gegenständlich keine gemeinsame Entscheidung über die Zwecke und Mittel der interessierenden Datenverarbeitungen vorliege, zumal die Beschwerdeführerin an der Umsetzung des Kundenbindungsprogramms nicht beteiligt war.

Nach Ansicht des hier entscheidenden Senats ist der Rechtsauffassung der Beschwerdeführerin zu folgen:

Denn ein kooperatives Zusammenwirken zweier Akteure, wie es in der Rechtsprechung des EuGH gefordert wird, ist gegenständlich nicht erkennbar.

Soweit die belangte Behörde in diesem Zusammenhang ausführt, hier liege eine Fallkonstellation vor, die jener, auf der das Urteil des EuGH vom 10.07.2018, C-25/17 (Zeugen Jehovas) basiere, im Wesentlichen gleiche, ist ihr entgegenzuhalten, dass sich der dieser EuGH-Entscheidung zugrunde liegende Fall insofern wesentlich unterscheidet, als die Verkündungstätigkeit von Tür zu Tür, im Rahmen derer die Datenerhebung erfolgte, von der Religionsgemeinschaft organisiert und koordiniert wurde, während die Beschwerdeführerin seit Abschluss der Konzeptionsphase in die maßgeblichen Vorgänge nicht mehr involviert war. Eine bewusste Einflussnahme auf konkrete Datenverarbeitungszwecke sowie -mittel vergleiche Bogendorfer in Knyrim, DatKomm Artikel 28, Rz 17 mwH [Stand Dezember 2022, rdb.at]) kann nicht gesehen werden.

Entsprechendes gilt für die von der Behörde ebenfalls angeführten Urteile des EuGH vom 29.07.2019, C-40/17 (Fashion ID), betreffend Einbindung eines Social Plugins durch den Betreibers einer Website, das das die Weitergabe personenbezogener Daten des Besuchers dieser Website an den Anbieter des Plugins [Facebook] erlaubt, sowie vom 29.07.2019, C-40/17 (Facebook Fanpages), bezüglich Einrichtung einer Fanpage durch einen Betreiber auf Facebook mit Parametrierung entsprechend seinem Zielpublikum, die ebenfalls keine Parallelen zur gegenständlichen Konstellation aufweisen.

Dass eine Person zum Vorliegen einer gemeinsamen Verantwortlichkeit tatsächlich Einfluss auf die Festlegung der Zwecke und Modalitäten einer Verarbeitung bzw. Weiterverarbeitung von Daten ausgeübt haben muss, hat der EuGH im Übrigen in seinem Urteil vom 07.03.2024 in der Rechtssache C-604/22 (IAB Europe), betont.

Vor diesem Hintergrund kann die Beschwerdeführerin nicht als Verantwortliche für jene Datenverarbeitungen, auf die sich der Tatvorwurf gründet, angesehen werden. Denn ihre Tätigkeit beschränkte sich auf die Gründung der römisch 40 sowie die strategische Festlegung in Konzeptionsphase, dass ein eigenes Multipartner-Kundenbindungsprogramm eingerichtet werden solle. Wenn die belangte Behörde ausführt, dass die Beschwerdeführerin ab der Aufnahme des operativen Geschäftsbetriebes „keinerlei Leitungs- und Kontrolltätigkeiten in Bezug auf die römisch 40 vorgenommen oder veranlasst“ habe, zeigt sie damit letztlich gerade das Fehlen einer gewollten und bewussten Zusammenarbeit der Beteiligten, die wesentliche Entscheidungen über Zweck und Mittel einer Datenverarbeitung zu treffen, auf; dies ist jedoch Voraussetzung, um eine gemeinsame Verantwortlichkeit zu begründen.

Daher war der Beschwerde stattzugeben, das Straferkenntnis zu beheben und das Strafverfahren gemäß Paragraph 45, Absatz eins, Ziffer 2, VStG in Verbindung mit Paragraph 38, VwGVG einzustellen.

3.4. Von einer mündlichen Verhandlung war gemäß Paragraph 44, Absatz 2, VwGVG abzusehen, da bereits aufgrund der Aktenlage feststeht, dass das angefochtene Straferkenntnis aufzuheben ist.

Zu B) Unzulässigkeit der Revision:

Gemäß Paragraph 25 a, Absatz eins, VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Artikel 133, Absatz 4, B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Weder weicht die gegenständliche Entscheidung von der bisherigen Rechtsprechung des Verwaltungsgerichtshofes ab, noch fehlt es an einer Rechtsprechung; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor.

European Case Law Identifier

ECLI:AT:BVWG:2024:W176.2249328.1.00