Bundesverwaltungsgericht
31.07.2024
W108 2284491-1
W108 2284491-1/15E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Mag. BRAUCHART als Vorsitzende sowie die fachkundige Laienrichterin Mag. HAIDINGER, LL.M. und den fachkundigen Laienrichter Mag. SCHACHNER als Beisitzerin und Beisitzer über die Beschwerde der römisch 40 , vertreten durch Rechtsanwalt Dr. Peter ZÖCHBAUER, gegen Spruchpunkt 3. des Bescheides der Datenschutzbehörde vom 14.12.2023, Zl. D124.5045 2023-0.661.011, betreffend eine datenschutzrechtliche Angelegenheit (Mitbeteiligter: römisch 40 , vertreten durch noyb - Europäisches Zentrum für digitale Rechte) zu Recht erkannt:
A)
Die Beschwerde wird gemäß Paragraph 28, Absatz 2, VwGVG als unbegründet abgewiesen.
B)
Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.
Entscheidungsgründe:
römisch eins. Verfahrensgang und Sachverhalt:
1. In der verfahrensgegenständlichen an die Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht) gerichteten Datenschutzbeschwerde gemäß Artikel 77, Datenschutz-Grundverordnung (DSGVO) vom 10.08.2021 machte der nunmehrige Mitbeteiligte, römisch 40 (ehemaliger Beschwerdeführer im Verfahren vor der belangten Behörde), eine Verletzung im Recht auf Löschung gemäß Artikel 17, DSGVO sowie damit zusammenhängend eine Verletzung der Mitteilungspflicht durch die beschwerdeführende Partei (ehemalige Beschwerdegegnerin im Verfahren vor der belangten Behörde) geltend. Der Mitbeteiligte stellte den Antrag, die belangte Behörde möge den Verantwortlichen anweisen, alle „relevanten Verarbeitungstätigkeiten“ einzustellen, alle relevanten personenbezogenen Daten zu löschen und die Löschung allen Empfängern mitzuteilen, denen die Daten offengelegt worden seien, und regte an, eine wirksame, verhältnismäßige und abschreckende Geldbuße gegen die beschwerdeführende Partei zu verhängen.
Dazu wurde (soweit verfahrensgegenständlich relevant) vorgebracht, dass der Mitbeteiligte am 09.04.2021 von 14:33:00 Uhr bis 14:35:10 Uhr die Website römisch 40 für welche die beschwerdeführende Partei Verantwortliche sei, besucht habe. Die Website habe in Form eines „Banners“ eine von römisch 40 zur Verfügung gestellten Consent Management Platform („CMP“) gezeigt. Aufgrund der Gestaltung des Cookie-Banners sei es zu mehreren Rechtsverstößen gekommen. Während das Banner eine Schaltfläche zum Akzeptieren aller relevanten Verarbeitungstätigkeiten und eine Schaltfläche, die der betroffenen Person den Zugriff auf weitere Optionen ermögliche, bereitstelle, sei die Option zum „Ablehnen“ der relevanten Verarbeitungstätigkeiten vom Verantwortlichen absichtlich ausgeblendet worden, obwohl eine „Ablehnen“-Schaltfläche im CMP-Setup vorhanden sei und mit einem einfachen Klick ein- und ausgeschaltet werden könne. Es gebe keinen logischen, technischen oder ethischen Grund, die Option „Ablehnen“ zu verstecken, außer die betroffenen Personen zu verwirren oder Ablehnungen aufwändiger und unwahrscheinlicher zu machen. Bei der Konfrontation mit der ersten Ebene des Banners seien tatsächlich alle relevanten Verarbeitungstätigkeiten vorausgewählt - wenngleich nicht sichtbar für den Mitbeteiligten, sondern versteckt in der zweiten Ebene des Banners. Als der Mitbeteiligte akzeptiert habe, habe die beschwerdeführende Partei dies als Einwilligung zu allen versteckten vorausgewählten Optionen auf der zweiten Ebene des Banners behandelt. Um die Bearbeitung abzulehnen, hätte der Mitbeteiligte auf die Schaltfläche klicken müssen, die zu weiteren Optionen führe. Mit einem weiteren Klick könne der Mitbeteiligte dann die nun deaktivierten Optionen bestätigen. Die Verarbeitungstätigkeit könne sohin mit einem Klick akzeptiert werden, man benötige aber zwei (oder mehr) Klicks, um die betreffenden Verarbeitungstätigkeiten zu deaktivieren und abzulehnen. Das Verstecken einer „Ablehnen“-Option auf der ersten Ebene sowie das Ausblenden der vorausgewählten Optionen auf der zweiten Ebene verstoße gegen die Grundsätze der „Verarbeitung nach Treu und Glauben“ und „Transparenz“ gemäß Artikel 5, Absatz eins, Litera a, DSGVO. Eine Einwilligung ohne die Kenntnis der Möglichkeit, die Verarbeitung auf der zweiten Ebene abzulehnen, könne keinesfalls als „informiert“ und „für den bestimmten Fall“ iSd Artikel 4, Ziffer 11, DSGVO angesehen werden, sodass Artikel 6, Absatz eins, Litera a, DSGVO als Rechtsgrundlage unwirksam sei. Es werde zudem unter anderem auch auf die Leitlinien der französischen Datenschutzbehörde CNIL verwiesen, die ausdrücklich betonten, dass eine „Alle ablehnen”-Option in der ersten Ebene der Banner bereitgestellt werden müsse oder sollte, sowie auf die Leitlinien der deutschen Aufsichtsbehörden, denen zufolge eine „einfache Möglichkeit zu Ablehnung“ bestehen müsse. Die dänische Aufsichtsbehörde habe zudem festgehalten, dass das Fehlen einer „Ablehnen“-Schaltfläche die DSGVO verletze und ausdrückliche Leitlinien zu dieser Angelegenheit bereitgestellt. Die griechische Aufsichtsbehörde habe festgehalten, dass die Anzahl an notwendigen Klicks für die Erteilung einer Einwilligung und deren Ablehnung gleich sein müsse, während die finnische Aufsichtsbehörde festgehalten habe, dass die Ablehnung einer Einwilligung und ihr Widerruf so einfach wie deren Erteilung sein müsse. Zudem werde ein irreführendes Linkdesign verwendet, die Button-Farben sowie der Button-Kontrast seien irreführend, die vermeintlich berechtigten Interessen, auf die sich die beschwerdeführende Partei berufe, seien nicht gegeben und der Widerruf der Einwilligung sei nicht so einfach wie die Erteilung der Einwilligung. Die beschwerdeführende Partei könne sich für die „relevanten Verarbeitungstätigkeiten“, die insbesondere das Setzen und Auslesen von Cookies auf der Webseite und die Offenlegung von diesen Daten an Empfänger durch die beschwerdeführende Partei umfassen würden, auf keine Rechtsgrundlage iSd Artikel 6, DSGVO stützen, insbesondere liege keine wirksame Einwilligung und kein berechtigtes Interesse vor.
Der Datenschutzbeschwerde angeschlossen wurden Screenshots der Webseite und des Banners, eine Zusammenfassung aller relevanten Einstellungen innerhalb der römisch 40 -Konfigurationsdateien im JSON-Format, eine Zusammenfassung aller HTTP-Anfragen und -Antworten zwischen dem Browser und den verschiedenen Servern während des Besuchs der Website sowie eine Zusammenfassung aller Cookie-Daten.
2. Die belangte Behörde übermittelte der beschwerdeführenden Partei mit Schreiben vom 04.10.2021 die Datenschutzbeschwerde des Mitbeteiligten und forderte sie auf, dazu innerhalb einer Frist von vier Wochen Stellung zu nehmen. Im Rahmen der Stellungnahme sei insbesondere anzugeben, ob beabsichtigt sei, das Cookie-Banner entsprechend den Ausführungen des Mitbeteiligten anzupassen, welche Cookies konkret gesetzt würden, nachdem ein Website-Besucher im Cookie-Banner die Wahl treffe, alle Cookies zuzulassen, ob personenbezogene Daten des Mitbeteiligten, wie etwa dessen Online-Identifizierungsmerkmale, gespeichert würden, ob die personenbezogenen Daten des Mitbeteiligten wie beantragt gelöscht würden, sowie bejahendenfalls, ob die beschwerdeführende Partei die Empfänger der personenbezogenen Daten des Mitbeteiligten über diese Löschung unterrichten werde.
3. Über Aufforderung der belangten Behörde erstattete die beschwerdeführende Partei am 01.12.2021 eine Stellungnahme, in welcher ausgeführt wurde, dass die beschwerdeführende Partei ein Medienunternehmen iSd Paragraph eins, Absatz eins, Ziffer 6, MedienG und Medieninhaberin iSd Paragraph eins, Absatz eins, Ziffer 8, Litera a, MedienG der verfahrensgegenständlich relevanten Website sei. Auf dieser Website würden redaktionelle Artikel im Zusammenhang mit dem Tagesgeschehen („Online-Zeitung“) abrufbar gehalten. Die in diesem Zusammenhang durchgeführte Verarbeitung personenbezogener Daten erfolge ausschließlich zu journalistischen Zwecken, Paragraph 9, Absatz eins, DSG normiere dafür eine Totalausnahme von den Bestimmungen der DSGVO. Die belangte Behörde sei folglich zur Behandlung der vorliegenden Beschwerde nicht zuständig.
Die Rechtsvertretung des Mitbeteiligten habe die beschwerdeführende Partei im Vorfeld der Beschwerde kontaktiert, um die Themen der Beschwerde zum Cookie-Banner aufzuzeigen. Die beschwerdeführende Partei habe daraufhin das von der Rechtsvertretung des Mitbeteiligten aufgezeigte Verhalten – ohne Präjudiz der Sach- und Rechtslage – eingestellt. Der „Ablehnen“-Button befinde sich nunmehr auf der ersten Ebene des Cookie-Banners in gleicher Auffälligkeit und im selben Design und mit gleichem Kontrast direkt neben dem „Akzeptieren“-Button. Die Cookie Einstellungen seien nicht mehr als Linkdesign ausgeführt, sondern als farblich hinterlegter Button. Der Widerruf einer bereits erteilten Einwilligung sowie der Widerspruch gemäß Artikel 21, DSGVO seien jederzeit über ein dauerhaft sichtbares „schwebendes“ Symbol möglich, mit dem die Nutzer zu ihren Datenschutzeinstellungen zurückkehren und die erteilte Einwilligung widerrufen und/oder den Widerspruch ausüben könnten. Die Nutzer würden auf dieses Symbol bereits in der ersten Ebene des Cookie-Banners ausdrücklich hingewiesen. Wähle ein Nutzer den „Ablehnen-Button“, werde dies als Nichterteilung einer Einwilligung zur Kenntnis genommen und als Widerspruch iSd Artikel 21, DSGVO gewertet. Wenn ein Nutzer im Cookie-Banner die Wahl „Akzeptieren“ bzw. „Alle zulassen“ treffe, würden unbedingt zur Funktion der Website erforderliche Cookies, Leistungs-Cookies, um Besuche und Verkehrsquellen zu zählen, funktionelle Cookies zur Bereitstellung erweiterter Funktionalität und Personalisierung, Cookies von Werbepartnern für Marketingzwecke, Cookies für personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklung, Informationen auf dem Gerät des Nutzers, Standortdaten, Geräteeigenschaften zur Identifikation, Cookies für Sicherheitsgewährleistung, Betrugsverhinderung, Fehlerbehebung, technische Bereitstellung von Anzeigen oder Inhalten, Auswahl personalisierter Inhalte zur Zusammenführung mit Offline-Datenquellen, Verknüpfung verschiedener Geräte sowie zum Empfangen und Verwenden automatisch gesendeter Geräteeigenschaften für die Identifikation gesetzt. Eine Auflistung dieser Cookies samt detaillierter Erklärung finde der Nutzer auf der zweiten Ebene des Cookie-Banners, wenn er auf der ersten Ebene auf den Button „Cookie-Einstellungen“ klicke oder über das dauerhaft sichtbare „schwebende“ Symbol in seine Datenschutzeinstellungen zurückkehre. Die beschwerdeführende Partei speichere die angegriffenen personenbezogenen Daten des Mitbeteiligten jedenfalls nicht mehr und habe diese jedenfalls gelöscht. Eine Information der Empfänger über die Löschung der angegriffenen personenbezogenen Daten des Mitbeteiligten werde derzeit durchgeführt.
Der Stellungnahme angeschlossen wurde unter anderem ein Auszug des „Cookie-Banners“ der Website vom 01.12.2021.
4. Der Mitbeteiligte replizierte darauf – nachdem diesem durch die belangte Behörde Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens eingeräumt worden war – in seiner Stellungnahme vom 29.12.2021 zusammengefasst dahin, dass die in der Beschwerde aufgezeigten Verstöße – mit Ausnahme der Berufung auf vermeintliche berechtigte Interessen – als behoben angesehen würden. Hinsichtlich des neuen Banners sei anzumerken, dass gewisse Cookies nun als unbedingt erforderlich eingestuft seien („immer aktiv“). Es handle sich hierbei um eine falsche Klassifizierung, tatsächlich würden alle diese Verarbeitungen und Cookies personenbezogene Daten verwenden und Zwecken dienen, die offensichtlich nicht „unbedingt erforderlich“ im Sinne von Artikel 5, Absatz 3, ePrivacy-RL oder nach allgemeinem Sprachgebrauch „unbedingt erforderlich“ oder „wesentlich“ gemäß der DSGVO seien. Diese Einstufung scheine auch dazu geführt zu haben, dass personenbezogene Daten verarbeitet und Informationen gespeichert und zugänglich gemacht worden seien, bevor die betroffene Person irgendeine Interaktion mit dem Banner vorgenommen habe. Entgegen dem Vorbringen der beschwerdeführenden Partei komme eine Nichtanwendbarkeit der DSGVO infolge der Ausnahmebestimmung des Paragraph 9, Absatz eins, DSG gegenständlich nicht infrage. Der vom EuGH judizierte „weite Journalismusbegriff“ habe keinesfalls die Konsequenz, dass jedwede Datenverarbeitung auf der Website eines Medienunternehmens iSd Paragraph eins, Absatz eins, Ziffer 6, MedienG bzw. einer Medieninhaberin iSd Paragraph eins, Absatz eins, Ziffer 8, Litera a, MedienG pauschal als Verarbeitung zu journalistischen Zwecken iSd Artikel 85, DSGVO zu qualifizieren sei. Die im Rahmen dieser Beschwerde angegriffenen Datenerhebungen und -übermittlungen seien in keiner Weise mit dem „Ziel, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten“ erfolgt – vielmehr seien personenbezogene Daten zu anderen Zwecken verarbeitet worden, z.B. für personalisierte Werbung. Die DSGVO und das DSG seien uneingeschränkt anwendbar und die belangte Behörde zur Behandlung der Beschwerde zuständig.
5. Über Aufforderung der belangten Behörde erstattete die beschwerdeführende Partei am 03.02.2022 eine ergänzende Stellungnahme, in welcher sie ausführte, ohne Einwilligung keine personenbezogenen Daten verarbeitet zu haben. Wähle der Website-Besucher den „Ablehnen-Button“ auf der ersten Ebene des Cookie-Banners, würden die auf der zweiten Ebene angeführten Cookies deaktiviert. Es finde in diesem Umfang keine Datenverarbeitung auf Grundlage eines „berechtigten Interesses“ statt. Selbiges gelte für die in der Stellungnahme vom 29.12.2021 monierten Cookies, die als „immer aktiv“ bezeichnet würden. Tatsächlich habe die beschwerdeführende Partei auch in diesem Umfang ohne Einwilligung keine personenbezogenen Daten verarbeitet. Der Hinweis „immer aktiv“ sei daher falsch und ohne irgendeine technische Auswirkung auf die Datenverarbeitung. Der Hinweis „immer aktiv“ habe von der beschwerdeführenden Partei bloß aus technischen Gründen bislang nicht entfernt werden können. Die beschwerdeführende Partei sei diesbezüglich mit dem Plattformentwickler römisch 40 in Kontakt, um eine Berichtigung der Bezeichnung zu erreichen. Im Übrigen erhebe die beschwerdeführende Partei auf Grundlage ihres zwingenden, überwiegenden berechtigten Interesses iSd Artikel 6, Absatz eins, Litera f, DSGVO im Rahmen der Reichweitenerhebung für die Website Daten (IP-Adresse, Verweildauer, Interessen anhand Leseverhaltens sowie Standortdaten und Browsertyp), wobei diese Daten der Nutzer anonymisiert würden, bevor sie gespeichert würden. Hierzu verwende die Österreichische Webanalyse (ÖWA) Cookies, die auf dem Computer der Nutzer gespeichert würden. Die beschwerdeführende Partei beabsichtige, ein gänzlich neues Cookie-Banner einführen, das (ebenfalls) sämtliche Beschwerdepunkte des Mitbeteiligten umsetzen werde. Diesbezüglich werde die beschwerdeführende Partei der Datenschutzbehörde einen entsprechenden Nachweis nach Einführung des neuen Cookie-Banners übermitteln. Ferner werde in der Stellungnahme vom 29.12.2021 nicht behauptet, dass personenbezogene Daten des Mitbeteiligten verarbeitet worden seien. Vielmehr fänden sich bloß allgemeine Ausführungen zu angeblichen Verstößen, sodass in diesem Umfang keine Aktivlegitimation des Mitbeteiligten bestehe.
Die beschwerdeführende Partei legte zudem das Datenverarbeitungsverzeichnis nach Artikel 30, Absatz eins, DSGVO für die verfahrensgegenständliche Website vor.
6. Mit Eingabe vom 30.12.2022 beantragte der Mitbeteiligte gemäß Paragraph 24, Absatz 2, Ziffer 5, DSG in Verbindung mit Paragraph eins, DSG festzustellen, dass die beschwerdeführende Partei gegen die [in der Datenschutzbeschwerde] zu jedem „Verstoßtyp“ genannten Bestimmungen verstoßen habe.
7. Die belangte Behörde übermittelte die Stellungnahme des Mitbeteiligten mit Schreiben vom 20.06.2023 der beschwerdeführenden Partei und forderte diese zur Stellungnahme dahingehend auf, ob in der Zwischenzeit ein neues Cookie-Banner für die verfahrensgegenständliche Website eingeführt worden sei und falls ja, welche Änderungen gemacht worden seien.
8. Die beschwerdeführende Partei erstattete am 22.08.2023 eine Stellungnahme, in welcher ausgeführt wurde, dass die beschwerdeführende Partei sich schließlich dagegen entschieden habe, ein neues Cookie-Banner einzuführen. Das aktuelle Cookie-Banner sei branchenüblich gestaltet, wie sich aus den angeschlossenen Screenshots der Cookie-Banner zahlreicher anderer österreichischer Onlinemedien ergebe.
9. Der Mitbeteiligte replizierte darauf – nachdem diesem durch die belangte Behörde Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens eingeräumt worden war – in seiner Stellungnahme vom 13.09.2023 zusammengefasst dahin, dass der beschwerdeführenden Partei sicherlich bewusst sei, dass eine branchenübliche Gestaltung keine juristische Rechtfertigung sei. Abgesehen davon seien verschiedene Typen von Einwilligungsbannern, gewöhnliche Einwilligungsbanner oder „pay-or-ok“-Lösungen in den übermittelten Screenshots sichtbar. Es scheine sohin nicht nur „einen“ Standard zu geben. Das Einwilligungsbanner der beschwerdeführenden Partei, welches in der Vergangenheit bereits einen gleichfarbigen und gleichgroßen „Ablehnen“- Button enthalten habe, verfüge leider nicht mehr über eine solche Option. Damit würden auch die in der Beschwerde bemängelten Verstöße wieder bestehen. Ergänzend sei erwähnt, dass die belangte Behörde eine „Ablehnen“-Option auf der ersten Ebene verlange.
10.1. Die belangte Behörde entschied mit Bescheid vom 14.12.2023, Zl. D124.5045 2023-0.661.011, über die Datenschutzbeschwerde des Mitbeteiligten wegen des Rechts auf Löschung und der Mitteilungspflicht im Zusammenhang mit der Löschung (A), des Antrags auf Anordnung gegen die beschwerdeführende Partei, die unrechtmäßigen Verarbeitungen zu beenden (B) und des Antrags, eine behauptete Verletzung im Recht auf Geheimhaltung festzustellen (C) wie folgt (Formatierung nicht 1:1 wiedergegeben):
„1) Die Beschwerde wird hinsichtlich Punkt A) und B) abgewiesen.
2) Die Beschwerde wird hinsichtlich Punkt C) zurückgewiesen.
3) Der Beschwerdegegnerin [beschwerdeführenden Partei] wird aufgetragen, innerhalb einer Frist von zehn Wochen das datenschutzrechtliche Ersuchen um Einwilligung (den Cookie-Banner) auf der Website römisch 40 (siehe Sachverhalts-feststellung C.6.) derart abzuändern, dass auf der ersten Ebene des Cookie-Banners zusätzlich zur Option „Akzeptieren“ eine optisch gleichwertige Option vorhanden ist, um den Cookie-Banner ohne Abgabe einer Einwilligung schließen zu können.“
10.2. Nach Darstellung des Verfahrensganges (im Wesentlichen wie unter Punkt 1.-9. beschrieben) traf die belangte Behörde (soweit verfahrensgegenständlich relevant) folgende Sachverhaltsfeststellungen:
C.1. Mittels Cookies ließen sich Informationen sammeln, die von einer Website generiert und über den Browser eines Internetnutzers gespeichert worden seien. Es handle sich um eine kleine Datei oder Textinformation, die von einer Website über den Browser eines Internetnutzers auf der Festplatte seines Computers oder mobilen Endgeräts platziert werde. Ein Cookie erlaube es der Website, Nutzer zu identifizieren, sich die Vorlieben ihrer Kunden zu merken und ermögliche Nutzern, Aufgaben abzuschließen, ohne Informationen neu eingeben zu müssen, wenn sie zu einer anderen Seite wechseln oder die Website später erneut besuchen. Die meisten Webbrowser würden Cookies unterstützen, aber die Nutzer könnten ihre Browser so einstellen, dass sie die Cookies abweisen. Sie könnten die Cookies auch jederzeit löschen. Cookies könnten auch genutzt werden, um anhand des Online-Verhaltens Informationen für gezielte Werbung und Vermarktung zu sammeln. Unternehmen würden zum Beispiel Software verwenden, um das Nutzerverhalten nachzuverfolgen und persönliche Profile zu erstellen, die es ermöglichen, den Nutzern Werbung zu zeigen, die auf ihre zuvor durchgeführten Suchvorgänge zugeschnitten sei.
C.2. Die beschwerdeführende Partei sei Betreiberin der Website römisch 40 Sie treffe die Entscheidung, unter welchen Voraussetzungen welche Cookies beim Aufruf der genannten Website gesetzt oder ausgelesen würden.
C.3. Der Mitbeteiligte habe die Website zumindest am 09.04.2021 besucht.
Das Cookie-Banner habe sich am 09.04.2021 konkret wie folgt gestaltet (Formatierung nicht 1:1 wiedergegeben)
C.4. Als Folge des Besuchs der Website römisch 40 seien zumindest am 09.04.2021 u.a. folgende Cookies, die einen einzigartigen, zufallsgenerierten Wert (random number) beinhaltet hätten, am Endgerät des Mitbeteiligten gesetzt und ausgelesen worden.
…
Der Inhalt der angeführten Beilage „cookies.json“ (JSON-Datei) sei den Sachverhaltsfeststellungen zugrunde gelegt.
C.5. Die beschwerdeführende Partei speichere zum aktuellen Zeitpunkt keine Cookie-Werte, die als Folge des Besuchs unter römisch 40 am 09.04.2021 im Endgerät des Mitbeteiligten gesetzt und ausgelesen worden seien.
Darüber hinaus speichere die beschwerdeführende Partei zum aktuellen Zeitpunkt nicht die IP-Adresse des Endgeräts des Mitbeteiligten, die als Folge desselben Besuchs – zumindest kurzfristig – in ihren Logfiles gespeichert worden sei.
Die beschwerdeführende Partei habe darüber hinaus die Empfänger der Datenübermittlung (konkret die Anbieter der Dienste, die sie auf ihrer Website implementiert habe) über die Löschung informiert.
C.6. Zum aktuellen Zeitpunkt gestalte sich das Cookie-Banner der beschwerdeführenden Partei wie folgt (Formatierung nicht 1:1 wiedergegeben):
Werde die Option „Zwecke anzeigen“ ausgewählt, erscheine folgende Schaltfläche (Formatierung nicht 1:1 wiedergegeben):
Beim erstmaligen Aufruf der Website römisch 40 mit leerem Browser und ohne Interaktion mit dem Cookie-Banner würden die folgenden Cookies im Endgerät bzw. Browser des Nutzers gesetzt:
…
Werde die Option „Akzeptieren“ oder „Alle zulassen ausgewählt“, würden mehrere Cookies im Endgerät bzw. Browser des Nutzers gesetzt. Es handle sich um die folgenden Cookies:
…
Rechtlich führte die belangte Behörde (soweit verfahrensgegenständlich relevant) aus, dass Verarbeitungsvorgänge eines Sachverhalts sowohl den Bestimmungen der Richtlinie 2002/58/EG idgF (e-Datenschutz-RL) bzw. dem TKG 2021 als auch der DSGVO unterliegen könnten. Während das Setzen oder Auslesen von Cookies nach den Vorgaben von Artikel 5, Absatz 3, der e-Datenschutz-RL zu beurteilen sei, falle die darauffolgende Datenverarbeitung in den Anwendungsbereich der DSGVO.
Soweit sich die beschwerdeführende Partei auf die Anwendbarkeit von Paragraph 9, Absatz eins, DSG berufe, sei ihr entgegenzuhalten, dass der nationale Gesetzgeber das sogenannte Medienprivileg nach Artikel 85, DSGVO in Verbindung mit Paragraph 9, Absatz eins, DSG beschränke, indem das Privileg nur Medienunternehmen oder Mediendiensten zugänglich sei, sofern personenbezogene Daten zu journalistischen Zwecken durch Medieninhaber, Herausgeber und Medienmitarbeiter oder Arbeitnehmer eines Medienunternehmens oder Mediendienstes verarbeitet würden. Inwiefern die beschwerdegegenständliche Datenverarbeitung einen „journalistischen Zweck“ iSd Judikatur des EuGH verfolgte, sei nicht ersichtlich und auch nicht nachvollziehbar dargelegt worden. Wie aus dem Sachverhalt ersichtlich und von der beschwerdeführenden Partei im Rahmen ihrer Stellungnahme vom 01.12.2021 vorgebracht, würden Cookies insbesondere für Analyse-, Marketing- und Werbezwecke gesetzt. Abgesehen davon würden Drittanbieter aufgrund der Implementierung von Cookies auf einer Website Daten von Nutzern wie dem Mitbeteiligten erhalten, die wiederum zu eigenen Zwecken verarbeitet werden könnten. Werbecookies zur Anzeige personalisierter Werbung auf einer Website eines Medienunternehmens oder die Verwaltung einer Datenbank durch ein Medienunternehmen zum Zweck des Versands von Printwerbung unterlägen nicht dem Medienprivileg. Da die Voraussetzungen des Paragraph 9, Absatz eins, DSG nicht erfüllt seien, komme das Medienprivileg für die beschwerdegegenständliche Datenverarbeitung nicht zur Anwendung. Die belangte Behörde sei für die gegenständliche Beschwerde daher zuständig, da als Folge des Setzens oder Auslesens von Cookies eine Datenweitergabe (zumindest IP-Adressen und Cookie-Werte) stattgefunden habe.
Der sachliche Anwendungsbereich der DSGVO sei ebenso erfüllt. Die belangte Behörde habe im Fall Google Analytics – im Einklang mit der Judikatur des Europäischen Datenschutzbeauftragten (EDSB) – bereits ausgesprochen, dass Cookies, die einen einzigartigen, zufallsgenerierten Wert (random number) beinhalten und die mit dem Zweck gesetzt würden, Personen zu individualisieren und auszusondern, die Definition des Artikel 4, Ziffer eins, DSGVO erfüllten. Insbesondere könne nie ausgeschlossen werden, dass die Cookie-Werte und die IP-Adresse des Endgeräts einer Person an irgendeiner Stelle der Verarbeitungskette mit Zusatzinformationen kombiniert würden, z.B. wenn sich die betroffene Person auf einer Website mit ihrer Email-Adresse oder dem Klarnamen registriere. Diese Überlegungen könnten auf den gegenständlichen Fall übertragen werden, da als Folge des Besuchs der Website römisch 40 am 09.04.2021 Cookies mit einzigartigen, zufallsgenerierten Werten im Endgerät des Mitbeteiligten gesetzt und ausgelesen worden seien. In weiterer Folge seien die Cookie-Werte und IP-Adresse des Endgeräts des Mitbeteiligten auch an die Server der jeweiligen Anbieter übermittelt worden, etwa an Google, Trade Desk und Salesforce DMP.
Die belangte Behörde verfüge gemäß Artikel 58, Absatz 2, Litera d, DSGVO über Abhilfebefugnisse, die es ihr gestatten, u.a. einen Verantwortlichen anzuweisen, Verarbeitungsvorgänge auf eine bestimmte Weise und innerhalb eines bestimmten Zeitraumes zu ändern bzw. durchzuführen. Es sei zulässig, dass die belangte Behörde auch im Beschwerdeverfahren von ihren in Artikel 58, Absatz 2, DSGVO normierten Befugnissen amtswegig Gebrauch mache. Dies stehe auch Einklang mit der Judikatur des EuGH, wonach eine Aufsichtsbehörde verpflichtet sei, im Falle von festgestellten Unzulänglichkeiten von ihren Abhilfebefugnissen Gebrauch zu machen. Zwar sei die gegenständliche Beschwerde im Endergebnis abgewiesen worden, da u.a. die Daten des Mitbeteiligten zwischenzeitig gelöscht worden seien, dies ändere jedoch nichts daran, dass nach Ansicht der belangten Behörde das gegenständliche Cookie-Banner (bzw. konkret: das datenschutzrechtliche Ersuchen um Einwilligung) nicht den Vorgaben der DSGVO entspreche.
Für die Beurteilung, wie das Cookie-Banner und die Interaktionsmöglichkeiten zu verstehen seien, sei die Figur eines durchschnittlich informierten, aufmerksamen und verständigen Verbrauchers heranzuziehen.
Zur Gestaltung des Ersuchens um Einwilligung sei festzuhalten, dass die Abgabe einer Einwilligung für Cookies gemäß Artikel 7, Absatz 3, DSGVO und nach der Rechtsprechung des EuGH genauso einfach sein müsse wie ihr Widerruf. Im Größenschluss müsse auch die Nichtabgabe einer Einwilligung (bzw. das Schließen des Cookie-Banners und Weitersurfen ohne Einwilligung) genauso einfach sein wie die Abgabe der Einwilligung. Für die Nichtabgabe einer Einwilligung (bzw. das Schließen des Cookie-Banners und Weitersurfen ohne Einwilligung) dürften also nicht mehr Interaktionen mit dem Cookie-Banner notwendig sein als für die Abgabe der Einwilligung. Im gegenständlichen Fall werde für den Einsatz von Cookies (und der damit verbundenen Verarbeitung personenbezogener Daten) ein Cookie-Banner als Ersuchen um Einwilligung verwendet. Konkret könnten betroffene Personen – wie der Mitbeteiligte – durch Auswahl der grünen Schaltfläche „Akzeptieren“ die Einwilligung abgeben; zur Nichtabgabe der Einwilligung müsse der (bloße) Link „Zwecke anzeigen“ und im zweiten Schritt die Schaltfläche „Alle ablehnen“ ausgewählt werden. Von betroffenen Personen könne aber nicht verlangt werden, dass sie bei einem Ersuchen um Einwilligung (einem Cookie-Banner) erst auf einer zweiten oder dritten Ebene die Entscheidung treffen könnten, keine Einwilligung abzugeben, da diesfalls nicht von einer unmissverständlichen Willensbekundung iSd Artikel 4, Ziffer 11, DSGVO ausgegangen werden könne. Insbesondere könne nicht ausgeschlossen werden, dass betroffene Personen die Option „Akzeptieren“ bloß deshalb ausgewählt hätten, weil aus ihrer Sicht keine unmittelbare Option zum „Ablehnen“ zur Verfügung gestanden habe oder, weil sie aufgrund der Gestaltung gar nicht erkannt hätten, dass eine Option „Ablehnen“ verfügbar gewesen sei. Die beschwerdeführende Partei trage nach der Rechtsprechung des EuGH für die Gültigkeit einer jeden Einwilligung zudem die Beweislast. Zusätzlich sei zu berücksichtigen, dass eine Vorgehensweise, bei welcher betroffene Personen angehalten würden, für die Nichtabgabe einer Einwilligung deutlich mehr Interaktionen durchführen zu müssen, als für die Abgabe einer Einwilligung, weder dem Grundsatz der Datenverarbeitung nach Treu und Glauben („fairly processed“) gemäß Artikel 5, Absatz eins, Litera a, DSGVO noch dem Grundsatz Datenschutz durch Technikgestaltung („privacy by design“) gemäß Artikel 25, Absatz eins, leg. cit. entsprechen könne. Diese Ansicht entspreche im Ergebnis auch der Ansicht des EDSA. Maßgabe für eine „Ablehnen“-Option – oder eine anderweitige Option – auf erster Ebene sei darüber hinaus, dass diese aus optischer Sicht gleichwertig gestaltet sei wie die „Akzeptieren“-Option. Dies bedeute insbesondere, dass beide Optionen gleich gut wahrnehmbar sein müssten. Die in Spruchpunkt 3 genannte „gleichwertige Option“ müsse allerdings nicht notwendigerweise die Implementierung einer „Ablehnen“-Option auf erster Ebene sein.
11. Gegen Spruchpunkt 3. dieses Bescheides erhob die beschwerdeführende Partei fristgerecht Beschwerde gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG (Parteibeschwerde) an das Bundesverwaltungsgericht, in welcher sie Folgendes vorbrachte:
Der Widerruf einer bereits erteilten Einwilligung (sowie der Widerspruch gemäß Artikel 21, DSGVO) sei auf der Website jederzeit über ein dauerhaft sichtbares „schwebendes Icon“ möglich, mit dem die Nutzer zu ihren Datenschutzeinstellungen zurückkehren und die erteilte Einwilligung auf einfache Weise widerrufen und/oder Widerspruch ausüben könnten. Die Nutzer würden auf dieses Symbol und auf die Möglichkeit der Nichterteilung einer Einwilligung, den jederzeitigen Widerruf einer erteilten Einwilligung und die Möglichkeit des Widerspruchs, bereits in der ersten Ebene des Cookie-Banners ausdrücklich hingewiesen, dieser Hinweis sei – ebenso wie das „schwebende Icon“ – nicht versteckt, sondern vielmehr gut sichtbar. Wie die Behörde selbst ausführe, müsse die in Spruchpunkt 3. genannte „gleichwertige Option“ nicht notwendigerweise die Implementierung einer „Ablehnen“-Option auf erster Ebene sein. Zur Nichtabgabe der Einwilligung müsse auf der Website sohin entweder auf der ersten Ebene des Cookie-Banners der Link „Zwecke anzeigen“ und im zweiten Schritt die Schaltfläche „Alle ablehnen“ ausgewählt werden oder das dauerhaft sichtbare „schwebende Icon“ angeklickt und dann im erscheinenden Banner der Button „Alle ablehnen“ ausgewählt werden. Die Ausführungen der belangten Behörde, wonach von betroffenen Personen nicht verlangt werden könne, „dass sie bei einem Ersuchen um Einwilligung (einem Cookie-Banner) erst auf einer zweiten oder dritten Ebene die Entscheidung treffen könnten, keine Einwilligung abzugeben“, seien somit nicht nachvollziehbar. Zudem sei bei richtiger rechtlicher Beurteilung zu berücksichtigen, dass das Cookie-Banner branchenüblich gestaltet sei. Die Anforderungen der Artikel 6, Absatz eins, Litera a und Artikel 7, Absatz 3, DSGVO würden von der beschwerdeführenden Partei zur Gänze erfüllt, sodass der von der belangten Behörde mit Spruchpunkt 3. erteilte Auftrag bei richtiger rechtlicher Beurteilung zu entfallen habe.
Der belangten Behörde sei zudem eine unrichtige rechtliche Beurteilung im Zusammenhang mit dem „Medienprivileg“ vorzuwerfen. Nach der Rechtsprechung des EuGH sei hinsichtlich der „journalistischen Zwecke“ von einem weiten Begriffsverständnis auszugehen. Ausgehend von diesem weiten Begriffsverständnis sei die in diesem Zusammenhang durchgeführte Verarbeitung personenbezogener Daten durch die beschwerdeführende Partei ausschließlich zu „journalistischen Zwecken“ erfolgt. Die gegenständliche Beschwerde an die belangte Behörde iS des Artikel 77, DSGVO wäre richtigerweise aufgrund des „Medienprivilegs“ ausgeschlossen gewesen. Zumal u.a. die Anordnungs- und Sanktionsbefugnisse der belangten Behörde (Kapitel römisch VI) für Datenverarbeitungen durch Medienunternehmen zu journalistischen Zwecken nicht anwendbar seien, sei die belangte Behörde somit bei richtiger rechtlicher Beurteilung für das gegenständliche Verfahren nicht zuständig, diese hätte somit ihre Zuständigkeit verneinen müssen.
Die belangte Behörde habe es zudem unterlassen, eine mündliche Verhandlung durchzuführen, obwohl die beschwerdeführende Partei bereits in der Stellungnahme vom 01.12.2021 und in der Folge in zahlreichen weiteren Schriftsätzen wiederholt Ladungen und mündliche Einvernahmen beantragt habe. Eine mündliche Verhandlung wäre aber jedenfalls erforderlich gewesen. Die fehlerhafte Unterlassung der Durchführung einer mündlichen Verhandlung bewirke einen Verfahrensmangel, im Hinblick auf Artikel 6, EMRK sogar eine Verfassungswidrigkeit.
12. Die belangte Behörde machte von der Möglichkeit einer Beschwerdevorentscheidung nicht Gebrauch, legte die Beschwerde samt den bezughabenden Akten des Verwaltungsverfahrens dem Bundesverwaltungsgericht zur Entscheidung vor und gab eine Stellungnahme ab, in welcher sie den angefochtenen Bescheid verteidigte und ergänzend auf ein zwischenzeitig veröffentlichtes Dokument des EDSA hinwies, wonach auf erster Ebene des Cookie-Banners eine Möglichkeit zur Nichtabgabe der Einwilligung vorhanden sein müsse. Entgegen der Auffassung der beschwerdeführenden Partei erfülle ihr (aktueller) Cookie-Banner diese Erfordernisse nicht. Zur unterbliebenen Verhandlung sei festzuhalten, dass der Sachverhalt unstrittig sei, die Website römisch 40 sei außerdem öffentlich zugänglich und überprüfbar, es handle sich ausschließlich um Rechtsfragen. Die beschwerdeführende Partei habe im Übrigen auch nicht dargelegt, inwiefern die Durchführung einer Verhandlung etwas am Verfahrensergebnis geändert hätte.
13. Das Bundesverwaltungsgericht übermittelte die Beschwerde dem Mitbeteiligten im Wege der Beschwerdemitteilung sowie der beschwerdeführenden Partei die von der belangten Behörde bei der Aktenvorlage abgegebene Stellungnahme gemäß Paragraph 10, VwGVG zur Kenntnis- und Stellungnahme.
14. Die beschwerdeführende Partei übermittelte mit Schriftsatz vom 08.02.2024 eine Replik, in welcher sie auf ihre Ausführungen in der Parteibeschwerde verwies und ergänzend ausführte, dass in dem von der belangten Behörde in ihrer Stellungnahme erwähnten Dokument des EDSA hervorgehoben werde, dass eine Einzelfallprüfung erforderlich sei, um die Konformität eines Banners zu beurteilen. Die Einzelfallprüfung führe im vorliegenden Fall zu dem Ergebnis, dass die Ausgestaltung des gegenständlichen Cookie-Banners (bzw. konkret: „des datenschutzrechtlichen Ersuchens um Einwilligung“) den Vorgaben der DSGVO entspreche.
15. Der Mitbeteiligte gab am 14.02.2024 eine Stellungnahme ab, in welcher er ausführte, dass der europäische Gesetzgeber bereits 2009 in der Richtlinie 2009/136/EG (welche die ePrivacy-Richtlinie änderte) in Erwägungsgrund 66 zur Installation von Cookies und ähnlichen Technologien davon ausgegangen sei, dass die Ablehnen-Option „so benutzerfreundliche wie möglich“ zu gestalten sei. Es sei aber offensichtlich, dass eine in der zweiten Ebene des Einwilligungsbanners versteckte Ablehnen-Option nicht „so benutzerfreundliche wie möglich“ sei, da eine Ablehnen-Option auf der ersten Ebene ganz eindeutig benutzerfreundlicher wäre. Dies werde auch durch Zahlen erhärtet: So würden nicht einmal 3% aller Internetnutzenden auf die zweite Ebene von Einwilligungsbannern zugreifen. Wenn in der ersten Ebene eines Einwilligungsbanners weder klar erwähnt werde noch anderwärtig ersichtlich sei, dass die Einwilligung verweigert werden könne, bestehe einerseits ein Informationsdefizit und werde andererseits vorgegaukelt, dass wohl nur die Einwilligung möglich sei. Durchschnittliche Nutzende würden geradezu zur Einwilligung gedrängt. Eine solche Einwilligung bedeute weder „informiert“ noch „freiwillig“ iSd Artikel 4, Ziffer 11, DSGVO. Auch ein Blick in die Empfehlungen anderer Datenschutzbehörden lasse keinen Zweifel daran, dass ein Einwilligungsbanner eine Ablehnen-Option auf der ersten Ebene zu enthalten habe. Die belangte Behörde gebe im angefochtenen Bescheid an, dass die „gleichwertige Option“ nicht unbedingt eine Ablehnen-Option sein müsse. Sie spiele dabei auf die Möglichkeit von sogenannten „pay or okay“- oder „consent or pay“-Systemen an. Dies ergebe sich aus der durch sie zitierten EuGH-Rechtsprechung. Dieser Ansatz sei höchstumstritten, da er die Nicht-Einwilligung (und in Folge auch das Grundrecht auf Datenschutz) zahlungsbelastet und so zu einem Luxusgut mache. Jedenfalls sei dieser Modus jedoch gegenständlich nicht von der beschwerdeführenden Partei implementiert. Der Leistungsauftrag der belangten Behörde sei somit gerechtfertigt.
Das Medienprivileg gemäß Paragraph 9, Absatz eins, DSG finde gegenständlich keine Anwendung. Erstens habe die beschwerdeführende Partei durch ihr Banner versucht, eine Einwilligung einzuholen. Wenn die beschwerdeführende Partei tatsächlich davon ausginge, dass vorliegend das Medienprivileg nach Paragraph 9, Absatz eins, DSG anwendbar wäre, würde sie um keine Einwilligung iSd Artikel 6, Absatz eins, Litera a, DSGVO ersuchen. Zweitens umfasse das Medienprivileg lediglich die journalistische Arbeit eines Mediums. Darunter seien diejenigen Aktivitäten zu verstehen, die das Ziel verfolgten, „Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten“. Dagegen würden die Daten, die gegenständlich über das Einwilligungsbanner erhoben worden seien, nicht für die inhaltliche Aufbereitung journalistischer Informationen verwendet. Vielmehr diene diese (unrechtmäßige) Verarbeitung personenbezogener Daten Werbe- und Finanzierungszwecken. Eine solche Datenverarbeitung erfolge unabhängig von einer etwaigen inhaltlichen Verbreitung dieser Informationen in der Öffentlichkeit, weshalb diese keineswegs journalistischen Zwecken diene.
Zum vermeintlichen Verfahrensmangel sei festzuhalten, dass es sich bei der Durchführung einer mündlichen Verhandlung um eine Ermessensfrage handle. Ein subjektives Recht auf eine mündliche Verhandlung nach Paragraph 39, Absatz 2, AVG bestehe nach der Rechtsprechung des Verwaltungsgerichtshofes nicht. Die beschwerdeführende Partei erläutere nicht, weshalb eine mündliche Verhandlung erforderlich gewesen wäre, weshalb die belangte Behörde zurecht von der Durchführung einer mündlichen Verhandlung absehen habe können. Das beanstandete Einwilligungsbanner sei öffentlich auf der Webseite römisch 40 einsehbar, eine mündliche Verhandlung hätte keine weitere Klärung der materiellen Wahrheit, also der optischen Ausgestaltung des Einwilligungsbanners, mit sich gebracht. Die Ausgestaltung sei im Übrigen unstreitig, überdies sei die beschwerdeführende Partei im Zuge des Parteiengehörs mehrmals angehört worden. Es liege daher kein Verfahrensmangel vor.
16.1. Das Bundesverwaltungsgericht verständigte die Parteien mit Schreiben vom 13.05.2024 vom Ergebnis der amtswegig durchgeführten Recherchen auf der Website römisch 40 hinsichtlich der aktuellen Gestaltung des Cookies-Banners und gab Gelegenheit, dazu eine schriftliche Stellungnahme abzugeben.
16.2. Der Mitbeteiligte erstattete hierzu am 27.05.2024 eine Stellungnahme, in welcher er im Wesentlichen auf seine bisherigen Ausführungen verwies.
16.3. Die beschwerdeführende Partei gab mit Schriftsatz vom 06.06.2024 eine Stellungnahme ab, in welcher (soweit verfahrensgegenständlich relevant) ausgeführt wurde, dass das Cookie-Banner der Website römisch 40 zwischenzeitig geändert worden sei. Es werde auf der ersten Ebene des Cookie-Banners ausdrücklich erklärt, wie alle Cookies abgelehnt werden könnten. Es finde sich auf der ersten Ebene des Cookie-Banners folgende Textpassage: „Wenn Sie auf "Zwecke anzeigen" klicken, gelangen Sie zu den erweiterten Einstellungen, in denen Sie alle Cookies ablehnen können.“.
Klicke man dann auf der ersten Ebene des Cookie-Banners ganz unten auf die Schaltfläche mit dem Text „Zwecke anzeigen“, welche unterstrichen und somit optisch hervorgehoben sei, gelange man zur zweiten Ebene. Dort könne man mit einem Klick auf die grün hervorgehobene Schaltfläche „Alle ablehnen“ alle Cookies ablehnen und das Cookie Banner somit ohne Abgabe einer Einwilligung schließen. Somit gebe es zweifelsohne, wie von der belangten Behörde gefordert, eine Lösung, in welcher bereits im Cookie-Banner ersichtlich sei, wo die Einwilligung widerrufen werden könne.
Weiters werde darauf hingewiesen, dass sich am Seitenende (im „Footer“) gut sichtbar und von jeder Seite aus abrufbar der Link „Cookie Einstellungen und Widerruf“ finde. Klicke man diesen Link an, gelange man zur zweiten Ebene des Cookie-Banners und könne dort unmittelbar „Alle ablehnen“ anklicken und damit die Einwilligung widerrufen.
16.4. Die belangte Behörde erstattete am 11.06.2024 eine Stellungnahme, in welcher sie auf die Ausführungen im angefochtenen Bescheid verwies und ergänzend (abermals) auf eine Stellungnahme des EDSA hinwies, die anlässlich einer Anfrage der Kommission zum Thema Datenschutz und Cookies zwischenzeitig erlassen worden sei („EDPB reply to the Commission’s Initiative for a voluntary business pledge to simplify the management by consumers of cookies and personalised advertising choices“). In dieser Stellungnahme werde (mit weiteren Nachweisen) darauf eingegangen, dass eine gültige Einwilligung voraussetze, dass zwei gleichwertige Optionen auf derselben Ebene eines Ersuchens um Einwilligung (also eines Cookie-Banners) vorhanden seien.
16.5. Der Mitbeteiligte führte mit Schriftsatz vom 01.07.2024 aus, dass die Beweisaufnahme des Bundesverwaltungsgerichts vom 07.05.2024 und 13.05.2024 deutlich zeige, dass keine der Schaltfläche „Akzeptieren“ optisch gleichwertige Ablehnen-Option in der ersten Ebene des Einwilligungsbanners vorhanden gewesen sei. Soweit ersichtlich sei auch zu diesem Zeitpunkt überhaupt keine Ablehnen-Option in der ersten Ebene des Einwilligungsbanners vorhanden gewesen. Die beschwerdeführende Partei sei dem Auftrag der belangten Behörde hinsichtlich der Implementierung einer Ablehnen-Option somit nicht nachgekommen. Dabei werde festgehalten, dass die belangte Behörde nicht nur die Implementierung einer Ablehnen-Option in der ersten Ebene eines Einwilligungsbanners gefordert habe, sondern der beschwerdeführenden Partei auch aufgetragen habe, dass diese optisch gleichwertig sein müsse. Die von der beschwerdeführenden Partei nun neu ins Treffen geführten informativen Anpassungen würden nichts an der Tatsache ändern, dass weiterhin keine Option zum Ablehnen der Einwilligung in der ersten Ebene des Einwilligungsbanners bestehe – insbesondere keine gleichwertige Option.
römisch II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
In Bezug auf den Verfahrensgang (das Verwaltungsgeschehen), die beschwerdeführende Partei, den Mitbeteiligten und hinsichtlich der technischen Funktionsweise von Cookies wird von den Ausführungen oben unter Punkt römisch eins., insbesondere von den Feststellungen/Erwägungen der belangten Behörde im angefochtenen Bescheid, ausgegangen.
Bezüglich der aktuellen Ausgestaltung des Cookies-Banners wird, abweichend von den Feststellungen der belangten Behörde, Folgendes festgestellt:
Aktuell gestaltet sich das Cookie-Banner beim Aufruf der Website römisch 40 wie folgt:
Mit einem Klick auf den Link „Zwecke anzeigen“ gelangt der Nutzer in die „zweite Ebene“ des Cookie-Banners, die sich aktuell wie folgt gestaltet:
Ein „schwebendes Symbol“, mit dem ein Nutzer zu den Cookie-Einstellungen zurückkehren und seine Einwilligung widerrufen und/oder einen Widerspruch ausüben kann, ist aktuell auf der Website der beschwerdeführenden Partei nicht implementiert. Um die Cookie-Einstellungen erneut aufrufen zu können und die Einwilligung zu widerrufen und/oder einen Widerspruch auszuüben, muss der Nutzer am Seitenende im „Footer“ auf einen Link mit dem Text „Cookie-Einstellungen und Widerruf“ klicken:
Nach dem Klick auf den Link „Cookie-Einstellungen und Widerruf“ gelangt der Nutzer zur zweiten Ebene des Cookie-Banners, auf welcher durch Klick auf die Schaltfläche „Alle ablehnen“ die Einwilligung widerrufen werden kann.
2. Beweiswürdigung:
Die Feststellungen ergeben sich aus dem Verwaltungs- und Gerichtsakten. Die relevanten Ermittlungsergebnisse und Urkunden liegen in den genannten Akten ein.
Die belangte Behörde hat ein mängelfreies, ordnungsgemäßes Ermittlungsverfahren durchgeführt und in der Begründung des angefochtenen Bescheides den maßgeblichen Sachverhalt in Übereinstimmung mit der Aktenlage und in schlüssiger Beweiswürdigung richtig festgestellt. Sie verwies bezüglich der getroffenen Feststellungen zum Cookie-Banner auf ihre amtswegige Recherche auf der Website römisch 40 und darauf, dass zur Überprüfung der Website auch der Website Evidence Collector, abrufbar unter https://edps.europa.eu/edps-inspection-software_en, verwendet worden sei, wobei es sich um ein Open Source Tool des Europäischen Datenschutzbeauftragten handle, und die Frage, welche Cookies beim Aufruf einer Website gesetzt würden, allgemein zugängliche Informationen beinhalte.
Die beschwerdeführende Partei trat dem von der belangten Behörde festgestellten Sachverhalt und ihrer Beweiswürdigung in der Bescheidbeschwerde auch nicht substantiiert entgegen. Die behördlichen Feststellungen bezüglich der aktuellen Ausgestaltung des Cookies-Banners erwiesen sich jedoch bei den am 07.05.2024, am 13.05.2024 und am 22.07.2024 amtswegig durchgeführten Recherchen auf der Website römisch 40 als nicht aktuell. Die nun adaptierten Feststellungen ergeben sich aus dem Ergebnis dieser bzw. im Entscheidungszeitpunkt durchgeführter Recherchen und den nach Gewährung des Parteiengehörs eingelangten Schriftsätzen der beschwerdeführenden Partei vom 06.06.2024, des Mitbeteiligten vom 27.05.2024 und vom 01.07.2024 und der belangten Behörde vom 11.06.2024.
Damit steht der entscheidungswesentliche Sachverhalt fest. Einer weiteren Klärung des Sachverhaltes unter Aufnahme weiterer Beweise und Durchführung einer mündlichen Verhandlung bedarf es daher nicht. Die beschwerdeführende Partei hat nicht aufgezeigt, welche Aspekte im Tatsachenbereich noch weiter ergänzungsbedürftig sind, dies ist auch sonst nicht hervorgekommen. Es sind vorliegend nur rechtliche Fragen zu klären.
Das Bundesverwaltungsgericht kann auch nicht finden, dass der belangten Behörde im Ermittlungsverfahren durch die Nichtanberaumung bzw. Nichtdurchführung einer mündlichen Verhandlung ein Verfahrensmangel unterlaufen ist. Gemäß Paragraph 39, Absatz 2, AVG kann die Behörde insbesondere von Amts wegen oder auf Antrag eine mündliche Verhandlung durchführen. Wie die belangte Behörde und der Mitbeteiligte zutreffend aufzeigen, hat die beschwerdeführende Partei nicht konkret dargelegt, weshalb zur Klärung des Sachverhaltes eine mündliche Verhandlung erforderlich gewesen wäre, zumal die verfahrensgegenständliche Website samt dem Cookie-Banner öffentlich auf der Webseite römisch 40 einsehbar ist, die belangte Behörde die Webseite amtswegig aufgerufen und im angefochtenen Bescheid die Ausgestaltung des Banners festgestellt hat. Eine mündliche Verhandlung bzw. die von der beschwerdeführenden Partei beantragten Zeugeneinvernahmen war/waren daher zur Klärung des Sachverhaltes nicht erforderlich.
3. Rechtliche Beurteilung:
Zu A)
3.1. Gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG erkennen die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit.
Gemäß Paragraph 6, BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß Paragraph 27, Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß Paragraph 24, Absatz 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.
Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. römisch eins 2013/33 in der Fassung BGBl. römisch eins 2013/122, geregelt (Paragraph eins, leg.cit.). Gemäß Paragraph 58, Absatz 2, VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.
Gemäß Paragraph 17, VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Artikel 130, Absatz eins, B-VG die Bestimmungen des AVG mit Ausnahme der Paragraphen eins bis 5 sowie des römisch IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, Bundesgesetzblatt Nr. 194 aus 1961,, des Agrarverfahrensgesetzes – AgrVG, Bundesgesetzblatt Nr. 173 aus 1950,, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, Bundesgesetzblatt Nr. 29 aus 1984,, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.
Gemäß Paragraph 28, Absatz eins, VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist.
Gemäß Paragraph 28, Absatz 2, VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG dann in der Sache selbst zu entscheiden, wenn (1.) der maßgebliche Sachverhalt feststeht oder (2.) die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.
3.2. Zu den Prozessvoraussetzungen:
Die Beschwerde wurde gemäß Paragraph 7, Absatz 4, VwGVG fristwahrend erhoben und es liegen auch die sonstigen Prozessvoraussetzungen vor.
3.3. In der Sache:
3.3.1. Rechtsgrundlagen:
Für das gegenständliche Beschwerdeverfahren relevante Bestimmungen der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung), DSGVO lauten (auszugsweise, samt Überschrift):
Art. 4 Ziffer eins,, 2, 7 und 11 DSGVO:
Begriffsbestimmungen
Artikel 4, Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
Art. 7 DSGVO:
Bedingungen für die Einwilligung
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. 2Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Art. 58 Absatz eins, Litera b und Absatz 2, Litera d, DSGVO:
Befugnisse
(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,
b) Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen
(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen
3.3.2. Umgelegt auf den vorliegenden Fall bedeutet dies Folgendes:
3.3.2.1. Das Medienprivileg des Paragraph 9, Absatz eins, DSG gelangt – entgegen den Ausführungen der beschwerdeführenden Partei – nicht zur Anwendung.
Gemäß Paragraph 9, Absatz eins, DSG gelten die Bestimmungen der DSGVO sowie des DSG für die Verarbeitung personenbezogener Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes – MedienG, Bundesgesetzblatt Nr. 314 aus 1981,, sowie durch sonstige Personen, die in einem Medienunternehmen oder Mediendienst auf Grundlage eines Vertrages an der inhaltlichen Gestaltung eines Mediums oder der inhaltlichen Gestaltung der Mitteilungen eines Mediendienstes journalistisch mitwirken, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes mit den Maßgaben der Ziffer eins bis 13.
Die Bestimmung stellt sohin nicht nur darauf ab, wer die personenbezogenen Daten verarbeitet bzw. ob die Datenverarbeitung durch ein Medienunternehmen, Mediendienst oder ihre Mitarbeiter vorgenommen wird, sondern auch darauf, zu welchem Zweck diese erfolgt. Selbstverständlich bleiben Verarbeitungstätigkeiten für andere Zwecke wie z.B. für die Personalverwaltung oder Marketing von Medienunternehmen oder Mediendiensten die Bestimmungen des DSG und der DSGVO ungeschmälert anwendbar (Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz [DSG]2 Paragraph 9, Rz 16 [Stand 1.2.2022, rdb.at]).
Eine Verarbeitung personenbezogener Daten für journalistische Zwecke liegt nach der Rechtsprechung des EuGH vor, wenn die Verarbeitung ausschließlich zum Ziel hat, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten. Die Verarbeitung personenbezogener Daten dient journalistischen Zwecken, wenn sie auf die Vermittlung von Informationen und Ideen über Fragen öffentlichen Interesses abzielt vergleiche EuGH 16.12.2008, C-73/07 [Satakunnan Markkinapörssi und Satamedia] Rz 61 = ECLI:EU:C:2008:727; EuGH 14.2.2019, C-345/17 [Buivids] Rz 53 = ECLI:EU:C:2019:122). Um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen, müssen Begriffe wie Journalismus, die sich auf diese Freiheit beziehen, im Ergebnis weit ausgelegt werden (ErwGr 153 letzter Satz DSGVO). Somit werden Daten grundsätzlich immer dann zu journalistischen Zwecken verarbeitet, wenn die Zielsetzung die Veröffentlichung für einen unbestimmten Personenkreis ist vergleiche Buchner/Tinnefeld in Kühling/Buchner Artikel 85, Rz 17). Die Rsp des EGMR hat relevante Kriterien entwickelt, die für die Qualifikation als journalistische Tätigkeit zu berücksichtigen sind (EuGH 14.2.2019, C-345/17 [Buivids] Rz 53 = ECLI:EU:C:2019:122): Beitrag einer Debatte von allgemeinem Interesse, Bekanntheitsgrad der betroffenen Person, Gegenstand der Berichterstattung, vorangegangenes Verhalten der betroffenen Person, Inhalt, Form und Auswirkungen der Veröffentlichung, Art und Weise sowie Umstände, unter denen die Informationen erlangt worden sind, Richtigkeit (Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz [DSG]2 Paragraph 9, Rz 16 ff. [Stand 1.2.2022, rdb.at]).
Vor dem Hintergrund dieser Ausführungen wird aber (auch ausgehend von einem weiten Begriffsverständnis) deutlich, dass - wie die belangte Behörde zutreffend erkannt hat - es sich bei der Setzung von Cookies insbesondere für Analyse-, Marketing- und Werbezwecke jedenfalls nicht um eine journalistische Tätigkeit iSd Paragraph 9, Absatz eins, DSG handelt, zumal diese Tätigkeit gerade nicht auf die Vermittlung von Informationen und Ideen über Fragen öffentlichen Interesses abzielt, es liegt sohin kein „inhaltliches“ Tätigwerden der Presse/Medien vor vergleiche hierzu auch VwGH 31.10.2023, Ro 2020/04/0024 sowie BVwG 26.04.2024, W211 2281997-1/5E sowie 12.03.2019, W214 2223400-1/11E).
Da im vorliegenden Fall das Medienprivileg sohin nicht zur Anwendung kommt, war die belangte Behörde für die Behandlung der vom Mitbeteiligten eingebrachten Datenschutzbeschwerde zuständig.
3.3.2.2. Die beschwerdeführende Partei trat der rechtlichen Beurteilung der belangten Behörde im angefochtenen Bescheid hinsichtlich des Vorliegens einer Verarbeitung personenbezogener Daten in ihrer Parteibeschwerde nicht (mehr) entgegen. Auch nicht in Abrede gestellt wurde, dass die beschwerdeführende Partei für die Datenverarbeitung in Folge des Setzens oder Auslesens von Cookies auf ihrer Website als Verantwortliche iSd Artikel 4, Ziffer 7, DSGVO zu qualifizieren ist. Das Bundesverwaltungsgericht kann nicht finden, dass die rechtliche Beurteilung der belangten Behörde in Bezug auf diese Punkte unzutreffend ist.
3.3.2.3. Weiters ist festzuhalten, dass gemäß Artikel 58, Absatz 2, Litera d, DSGVO jede Aufsichtsbehörde über sämtliche Abhilfebefugnisse verfügt, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen. Artikel 58, DSGVO normiert in den Absätzen eins bis drei einen umfassenden Katalog an Untersuchungs-, Abhilfe- sowie Genehmigungs- und Beratungsbefugnissen. Diese Befugnisse ergeben sich unmittelbar aus der DSGVO und mussten daher von den Mitgliedstaaten nicht gesondert umgesetzt werden. Die Aufsichtsbehörde kann aus eigener Initiative, auf Anfrage des Verantwortlichen, Auftragsverarbeiters oder Vertreters, auf Beschwerde eines potenziell Betroffenen oder auf Ersuchen einer anderen (Aufsichts-)Behörde tätig werden vergleiche EuGH 14.03.2024, C-46/23, Újpesti Polgármesteri Hivatal, Rz 25 ff, 42, 46). Prinzipiell kann jede Abweichung von der DSGVO Anlass für eine Anweisung sein. Die Anweisung ist nicht auf Verstöße zu beschränken, die zur materiellen Unzulässigkeit der Datenverarbeitung führen (Zavadil in Knyrim, DatKomm Artikel 58, DSGVO Rz 2, 5, 34 [Stand 1.3.2021, rdb.at]).
Wie die belangte Behörde im angefochtenen Bescheid zutreffend ausgeführt hat, ist es zulässig, dass die belangte Behörde auch in einem Beschwerdeverfahren gemäß Artikel 77, DSGVO von ihren in Artikel 58, Absatz 2, DSGVO normierten Befugnissen amtswegig Gebrauch macht vergleiche hierzu auch BVwG 16.11.2022, W274 2237056-1/8E). Diese Befugnis der belangten Behörde wurde von der beschwerdeführenden Partei in ihrer Parteibeschwerde auch nicht in Abrede gestellt.
3.3.2.4. Die belangte Behörde hat der beschwerdeführenden Partei mit dem angefochtenen Bescheid aufgetragen, das datenschutzrechtliche Ersuchen um Einwilligung (das Cookie-Banner) auf ihrer Website derart abzuändern, dass auf der ersten Ebene des Cookie-Banners zusätzlich zur Option „Akzeptieren“ eine optisch gleichwertige Option vorhanden ist, um das Cookie-Banner ohne Abgabe einer Einwilligung schließen zu können.
Die beschwerdeführende Partei hält dem Leistungsauftrag der belangten Behörde letztlich zusammengefasst entgegen, dass die von der belangten Behörde geforderte „gleichwertige Option“ nicht notwendigerweise die Implementierung einer „Ablehnen“-Option auf erster Ebene sein müsse. Es werde auf der ersten Ebene des Cookie-Banners ausdrücklich erklärt, wie alle Cookies abgelehnt werden könnten. Klicke man auf der ersten Ebene des Cookie-Banners ganz unten auf die Schaltfläche mit dem Text „Zwecke anzeigen“, welche unterstrichen und somit optisch hervorgehoben sei, gelange man zur zweiten Ebene. Dort könne man mit einem Klick auf die grün hervorgehobene Schaltfläche „Alle ablehnen“ alle Cookies ablehnen und das Cookie-Banner somit ohne Abgabe einer Einwilligung schließen. Somit gebe es zweifelsohne, wie von der belangten Behörde gefordert, eine Lösung, in welcher bereits im Cookie-Banner ersichtlich sei, wo die Einwilligung widerrufen werden könne. Zudem sei bei richtiger rechtlicher Beurteilung zu berücksichtigen, dass das Cookie-Banner branchenüblich gestaltet sei.
Der beschwerdeführenden Partei ist jedoch Folgendes entgegenzuhalten:
Wie die belangte Behörde zutreffend festhält (und von der beschwerdeführenden Partei auch nicht in Abrede gestellt wurde), ist für die Beurteilung, wie das Cookie-Banner und die Interaktionsmöglichkeiten zu verstehen sind, die Figur eines durchschnittlich informierten, aufmerksamen und verständigen Verbrauchers heranzuziehen vergleiche EuGH 16.07.1998, C-210/96 [Gut Springenheide GmbH] Rn 37; BVwG 13.12.2022, W214 2234934-1; Artikel 29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/67, WP259 rev.01, 17/DE, Sitzung 16; Greve in Sydow, Kommentar Artikel 12, Rz 11; Illibauer in Knyrim, DatKomm Artikel 12, Rz 39; in Bezug auf das DSG 2000 auch Jahnel, Handbuch Rz 7/22 mwN)..
Im Hinblick auf die Möglichkeit der Nichtabgabe der Einwilligung dergestalt, dass auf der ersten Ebene des „Cookie-Banners“ der Link „Zwecke anzeigen“ und im zweiten Schritt (auf der zweiten Ebene) die Schaltfläche „Alle ablehnen“ ausgewählt werden muss, ist festzuhalten, dass gemäß Artikel 7, Absatz 3, DSGVO der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein muss. Daraus ergibt sich – wie die belangte Behörde im angefochtenen Bescheid zutreffend festgehalten hat – dass auch die Nichtabgabe einer Einwilligung als Pendant zum Widerruf so einfach sein muss wie die Abgabe der Einwilligung. Es ist der belangten Behörde auch beizupflichten, wenn sie ausführt, dass daraus folgt, dass für die Nichtabgabe einer Einwilligung bzw. die Schließung des Cookie-Banners ohne Abgabe einer Einwilligung nicht mehr Interaktionen mit dem Cookie-Banner notwendig sein dürfen, als für die Abgabe der Einwilligung. Im vorliegenden Fall ist jedoch für die Erteilung der Einwilligung nur ein Klick erforderlich, wohingegen die Nichtabgabe einer Einwilligung zumindest zwei Klicks erfordert, womit eine solche Gleichwertigkeit nicht gegeben ist, zumal eine sachliche Rechtfertigung für die unterschiedliche Behandlung der Wahlmöglichkeiten von der beschwerdeführenden Partei nicht vorgebracht und auch sonst nicht ersichtlich geworden ist vergleiche hierzu auch das Urteil des Landgericht München römisch eins vom 29.11.2022, GZ 33 römisch eins 13776/19). Darüber hinaus führt auch die unterschiedliche optische Gestaltung (grüner Button „Akzeptieren“ und bloßer Link „Zwecke anzeigen“) dazu, dass die Wahlmöglichkeiten nicht als gleichwertig wahrnehmbar angesehen werden können. Daran ändert auch der Umstand nichts, dass nunmehr im Fließtext des Cookie-Banners auf der ersten Ebene des Cookie-Banners erklärt wird, wie alle Cookies abgelehnt werden könnten. Die Berufung der beschwerdeführenden Partei auf einen „branchenüblichen“ Standard bei der Ausgestaltung des Cookie-Banners vermag die aufgezeigte Rechtswidrigkeit der aktuellen Gestaltung nicht zu beseitigen. Auch der EDSA empfiehlt im Entwurf zur Initiative der Kommission für eine freiwillige Selbstverpflichtung der Unternehmen zur Vereinfachung des Umgangs der Verbraucher mit Cookies und personalisierten Werbeoptionen ausdrücklich festzuhalten, dass der Einzelne die Möglichkeit haben sollte, alle nicht unbedingt notwendigen Cookies auf der ersten Ebene des Banners abzulehnen bzw. zumindest klargestellt werden sollte, dass, wenn auf einer Ebene eine Schaltfläche "Akzeptieren" (oder "Alle akzeptieren") vorhanden ist, auf der gleichen Ebene eine Schaltfläche "Ablehnen" (oder "Alle ablehnen") angezeigt wird, da dies ein wesentliches Element für die Gültigkeit der Einwilligung ist vergleiche die Antwort des EDPB auf die Initiative der Kommission für eine freiwillige Selbstverpflichtung der Unternehmen zur Vereinfachung des Umgangs der Verbraucher mit Cookies und personalisierten Werbeangeboten, abrufbar unter https://www.edpb.europa.eu/our-work-tools/our-documents/letters/edpb-reply-commissions-initiative-voluntary-business-pledge_en).
Zu der von der beschwerdeführenden Partei aufgezeigten Möglichkeit, am Seitenende (im „Footer“) gut sichtbar und von jeder Seite aus, den Link „Cookie Einstellungen und Widerruf“ anzuklicken, wodurch man zur zweiten Ebene des Cookie-Banners gelange und dort unmittelbar „Alle ablehnen“ anklicken und damit die Einwilligung widerrufen könne, ist festzuhalten, dass bei Aufruf der Website römisch 40 zunächst nur mit der ersten Ebene des Cookie-Banners interagiert werden kann und eine Auswahl getroffen werden muss, bevor der Nutzer auf die komplette Website zugreifen kann, sodass es sich bei der Widerrufsmöglichkeit im Footer der Website jedenfalls nur um eine „nachgelagerte“ Option der Ablehnung und damit um keine gleichwertige Option, um das Cookie-Banner ohne Abgabe einer Einwilligung schließen zur können, zur Erteilung der Einwilligung handeln kann.
3.3.2.5. Vor dem Hintergrund dieser Ausführungen ist der in Beschwerde gezogene Leistungsauftrag der belangten Behörde nicht zu beanstanden. Es ist nicht zu ersehen, dass die beschwerdeführende Partei diesem Leistungsauftrag mit den zwischenzeitigen Änderungen ihrer Webseite entsprochen hätte. Wie bereits dargelegt, ist auf der Website der beschwerdeführenden Partei keine auf der ersten Ebene des Cookie-Banners zusätzlich zur Option „Akzeptieren“ optisch gleichwertige Option vorhanden, um das Cookie-Banner ohne Abgabe einer Einwilligung schließen zu können.
3.3.3. Die behauptete Rechtswidrigkeit des Bescheides liegt daher nicht vor. Das Verfahren hat auch nicht ergeben, dass der Bescheid aus anderen, nicht geltend gemachten Gründen rechtswidrig wäre. Da dem angefochtenen Bescheid eine Rechtswidrigkeit iSd Artikel 130, Absatz eins, Ziffer eins, B-VG somit nicht anhaftet, war die Beschwerde abzuweisen.
3.4. Gemäß Paragraph 24, Absatz eins, VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.
Gemäß Paragraph 24, Absatz 4, VwGVG kann – soweit durch Bundes- oder Landesgesetz nichts anderes bestimmt ist – das Verwaltungsgericht ungeachtet eines Parteiantrags von einer Verhandlung absehen, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Artikel 6, Absatz eins, EMRK noch Artikel 47, GRC entgegenstehen.
Ein solcher Fall liegt hier vor: Im vorliegenden Fall ist der entscheidungsrelevante Sachverhalt anhand der Aktenlage feststehend und geklärt. Zu einer Lösung von Rechtsfragen ist im Sinne der Judikatur des EGMR eine mündliche Verhandlung nicht geboten. Die EMRK und die GRC stehen der Abstandnahme von einer mündlichen Verhandlung daher nicht entgegen. Aus diesen Gründen war es auch von Amts wegen nicht erforderlich, eine öffentliche mündliche Verhandlung durchzuführen.
Zu B)
Gemäß Paragraph 25 a, Absatz eins, VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Artikel 133, Absatz 4, B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.
Die vorliegende Entscheidung hängt nicht von der Lösung einer Rechtsfrage ab, der grundsätzliche Bedeutung zukommt. Weder fehlt es an einer Rechtsprechung des Verwaltungsgerichtshofes noch weicht die gegenständliche Entscheidung von der Rechtsprechung des Verwaltungsgerichtshofes ab; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Es liegen auch keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfragen vor. Das Bundesverwaltungsgericht kann sich bei allen erheblichen Rechtsfragen auf eine ständige Rechtsprechung des Verwaltungsgerichtshofes bzw. auf eine ohnehin klare Rechtslage stützen. Es ist auch nicht ersichtlich, dass sich im konkreten Fall eine Rechtsfrage stellt, die über den (hier vorliegenden konkreten) Einzelfall hinaus Bedeutung entfaltet. Ausgehend davon kann eine Rechtsfrage von grundsätzlicher Bedeutung auch insofern nicht bejaht werden. Es war daher auszusprechen, dass die Revision gemäß Artikel 133, Absatz 4, B-VG nicht zulässig ist.
ECLI:AT:BVWG:2024:W108.2284491.1.00