W274 2237056-1/8E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch den Richter Mag. LUGHOFER als Vorsitzenden sowie die fachkundigen Laienrichter Prof. KommR POLLIRER und Dr. GOGOLA über die Beschwerde der XXXX , XXXX , vertreten durch Schönherr Rechtsanwälte GmbH, Schottenring 19, 1010 Wien, gegen den Bescheid der Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, vom 04.09.2020, GZ: D205.154, 2020-0.027.552, Mitbeteiligter XXXX , XXXX , vertreten durch RA Dr. Thomas Schweiger, Huemerstraße 1, 4020 Linz, wegen Verletzung 1) im Recht auf Information und 2) im Recht auf Auskunft, in nicht öffentlicher Sitzung
I. zu Recht erkannt:
Der Beschwerde wird teilweise Folge gegeben und Spruchpunkte 1.b), 2.b) und 3. des bekämpften Bescheides ersatzlos behoben.
Die Revision ist nicht zulässig.
II. den Beschluss gefasst:
Das Beschwerdeverfahren wird hinsichtlich Spruchpunkte 1.a) und 2.a) des bekämpften Bescheides gemäß § 38 AVG iVm § 17 VwGVG bis zur Vorabentscheidung des EuGH über die mit Beschluss des OGH vom 18.02.2021, 6 Ob 159/20f, vorgelegte Frage ausgesetzt.
Die Revision ist nicht zulässig.
Entscheidungsgründe:
I. Die BF ist Postdienstleisterin und verfügt über eine Gewerbeberechtigung als Adress- und Direktmarketingunternehmen.
Mit E-Mail vom 05.04.2019 wandte sich XXXX (im Folgenden: Mitbeteiligter, MB), anwaltlich vertreten, an die Datenschutzbehörde (im Folgenden: belangte Behörde) und erhob unter Verwendung eines Formulars der belangten Behörde gegen die XXXX (im Folgenden: Beschwerdeführerin, BF) Datenschutzbeschwerde wegen Verletzung seines Rechts auf Information nach Art. 14 DSGVO.
Darin brachte er vor, die BF speichere Daten über ihn, und zwar nach eigenen Angaben:
Nach den Angaben der BF seien diese Daten (auch) zugekauft worden, sodass von einer indirekten Datenerhebung auszugehen sei.
Die BF habe die ihr obliegenden Informationspflichten gemäß Art. 14 DSGVO, insb. bei den Datenkategorien, bei denen sie angebe, diese seien zugekauft, nicht erfüllt. Sie habe den MB zu keinem Zeitpunkt über die Datenverarbeitung aufgeklärt bzw. dargelegt, zu welchem Zweck sie erfolgt sei und auf welcher Rechtgrundlage sowie auf welchem berechtigten Interesse sie beruhe. Sie habe es auch unterlassen, den MB über das bei einer Datenverarbeitung aus berechtigtem Interesse bestehende absolute Widerspruchsrecht aufzuklären bzw. zu informieren.
Weiters habe die BF nicht die Empfänger/Empfängerkategorien der Daten angegeben sowie den MB nicht/unzureichend informiert, aus welcher Quelle die Daten stammen.
Der Beschwerde schloss der MB die von der BF zuvor erteilte Datenauskunft (ohne Datum versehen) an:
Mit Stellungnahme vom 07.06.2019 führte die BF zusammengefasst aus, sie verarbeite im Rahmen ihrer Tätigkeit als Adress- und Direktmarketingunternehmen auch sogenannte „Marketingklassifikationen“, worunter auch die vom MB angesprochenen „möglichen Zielgruppen“ fielen. Diese seien jedoch keine personenbezogene Daten iSd der DSGVO, weshalb sie schon aus diesem Grund nicht an den Anforderungen des Art. 14 DSGVO gemessen werden könnten.
Hinzu komme, dass der für Adress- und Direktmarketing einschlägige Rechtsrahmen durch § 151 GewO abgebildet werde, der vorsehe, dass Adress- und Direktmarketingunternehmen Daten für Marketingzwecke (u.a.) von anderen Adress- und Marketingunternehmen beziehen könnten. Es entspreche dem derzeitigen Branchenverständnis, dass in diesen Fällen (im Hinblick auf Art. 14 Abs. 5 lit. c DSGVO) eine Information gemäß Art. 14 DSGVO unterbleiben könne. Dieses Branchenverständnis sei in den „Verhaltensregeln gemäß Art. 40 DSGVO für die Ausübung des Gewerbes der Adressverlage und Direktmarketingunternehmen gemäß § 151 GewO“ (kurz: „Verhaltensregeln“) dokumentiert und von der belangten Behörde genehmigt. Selbst bei Qualifikation der in Rede stehenden Daten als personenbezogene Daten sei daher jedenfalls keine Information nach Art. 14 DSGVO geschuldet.
Sofern der MB meine, er sei über die Empfänger/Empfängerkategorien der Daten nicht informiert worden, sei darauf hinzuweisen, dass die BF den MB in der Datenauskunft sehr wohl über die Empfängerkategorien („Geschäftskunden für Marketingzwecke“) informiert habe. Eine darüberhinausgehende Verpflichtung, über bestimmte Empfänger zu informieren, bestehe nicht.
Zu den Datenquellen sei festzuhalten, dass die BF in ihrer Auskunft an den MB die Quelle der zugekauften Daten mittels Firmenwortlaut, Postanschrift und Telefonnummer XXXX offengelegt habe.
Soweit der MB weiters vorbringe, er sei über sein absolutes Widerspruchsrecht nicht aufgeklärt bzw. informiert worden, sei dies nicht richtig. Die BF habe im Punkt 7 Abs 1 ihrer Datenschutzhinweise ausdrücklich über das Widerspruchsrecht im Hinblick auf Direktmarketing informiert. Diese Datenschutzhinweise seien auf der Website der BF jederzeit abrufbar. In der Auskunft sei auf die Informationen unter XXXX /datenschutz-zwecke referenziert worden, welche in die Datenschutzhinweise unter https:// XXXX t/footer_allgemein_rechtliche_hinweise.php eingebettet seien.
Mit Stellungnahme vom 08.07.2019 brachte der MB im Wesentlichen vor, die von der BF verarbeiteten Marketingklassifikationen seien jedenfalls personenbezogene Daten iSd der DSGVO, zumal diese ihm konkret zugeordnet worden sein und (mutmaßliche) Aussagen über ihn träfen. Art. 14 DSGVO finde daher Anwendung.
Sofern die BF auf die „Verhaltensregeln“ Bezug nehme, sei auszuführen, dass die BF nicht nur Adress- und Direktmarketingunternehmen sei, sondern auch selbst die „Briefpost“ in Österreich „verteile“. Deshalb sei es für die BF nicht unverhältnismäßig, wenn sie selbst die im Rahmen des Art. 14 DSGVO geschuldete Information vornehme, weil es für sie ein „Leichtes“ wäre, dem MB einen kurzen Brief zu schreiben und ihm mitzuteilen, dass sie Daten zugekauft habe. Die Ausnahme, auf die sich die BF berufe, sei restriktiv auszulegen. Die BF habe mit dem Zukauf von Daten ein „Millionengeschäft“ betrieben, weshalb sie auch die Kosten und Aufwendungen zu berücksichtigen habe, um den Informationspflichten iSd Art. 14 DSGVO nachzukommen. Die BF sei ihrer Informationsverpflichtung nach Art. 14 DSGVO anlässlich des Zukaufs der Daten aus der angegebenen Datenquelle nicht nachgekommen.
Hinsichtlich der Herkunft der Daten sei für den MB nicht transparent, welche konkreten Datenkategorien selbst erhoben und welche Datenarten zugekauft worden seien, zumal bei manchen Datenarten „erhoben/zugekauft“ stehe.
Zu den Empfängern der Daten irre die BF mit ihrer Rechtsansicht, dass sie ein Wahlrecht zwischen der Bekanntgabe der Empfängerkategorien und der konkreten Empfänger habe. Sofern die Daten weitergegeben worden seien und dem Verantwortlichen die Empfänger bekannt seien, seien diese dem Betroffenen auch bekannt zu geben.
Die BF betreibe durch die Einordnung von Personen in unterschiedliche „Werbekategorien“ „Profiling“ iSd DSGVO, weshalb sie gemäß Art. 15 Abs. 1 lit. g DSGVO verpflichtet gewesen wäre, Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung Auskunft zu erteilen. Die BF habe dies verabsäumt, indem sie dem MB keine Informationen über die Logik bzw. den Algorithmus der „statisch hochgerechneten“ Daten erteilt habe. Für den MB sei nicht ersichtlich, auf welchen Parametern bzw. Kriterien die „statische Hochrechnung“ beruhe und wie die Parameter/Kriterien dabei gewichtet worden seien. Die BF habe die dahinterstehende Entscheidungslogik offenzulegen und zu beauskunften; die Auskunft sei demnach unvollständig.
Betreffend das Widerspruchsrecht hielt der MB fest, die BF habe in der Auskunft nicht bekannt gegeben, wann und wie die Daten erhoben worden seien, sodass es nicht möglich sei, Stellung zu beziehen, ob bei der Datenerhebung von der BF ein transparenter Hinweis iSd Art. 13 Abs. 2 lit. c DSGVO iVm Art. 12 DSGVO gegeben worden sei.
Mit dem bekämpften Bescheid gab die belangte Behörde der Datenschutzbeschwerde teilweise statt und stellte fest, dass die BF dem MB dadurch im Recht auf Auskunft nach Art. 15 DSGVO verletzt habe,
a) indem sie dem MB eine unvollständige Auskunft erteilt habe und die konkreten Empfänger nicht beauskunftet habe und
b) indem keine ausreichend verständliche Auskunft über die Herkunft der Daten („erhoben/zugekauft“) erteilt worden sei bzw. keine geeignete Differenzierung vorgenommen worden sei, aus der ersichtlich sei, welche Daten erhoben worden seien und welche Daten von wem zugekauft worden seien
(Spruchpunkt 1.).
Weiters trug sie der BF auf, innerhalb einer Frist von vier Wochen
a) die konkreten Empfänger der personenbezogenen Daten des MB zu bezeichnen und
b) eine ausreichend verständliche Auskunft über die Herkunft der Daten („erhoben/zugekauft“) zu erteilen bzw. eine geeignete Differenzierung vorzunehmen, aus der ersichtlich sei, welche Daten erhoben und welche Daten von wem zugekauft worden seien
(Spruchpunkt 2.).
Weiters trug sie der BF „zur Beseitigung amtswegig aufgegriffener Mängel“ auf, innerhalb einer Frist von vier Monaten im Einklang mit Art. 12 Abs. 1 DSGVO den Zugang zu ihren Datenschutzinformationen einfacher zu gestalten (Spruchpunkt 3.),
wies den Antrag des MB, das gegenständliche Verfahren bis zu einer Entscheidung des BVwG auszusetzen, zurück (Spruchpunkt 4.)
und wies die Beschwerde im Übrigen ab (Spruchpunkt 5.).
Begründend führte die belangte Behörde zusammengefasst aus, aufgrund der Gesamtumstände und der beigefügten Auskunft, auf welche sich der MB immer wieder berufen habe, sei neben der vom MB ausdrücklich in der Datenschutzbeschwerde gerügten Verletzung des Rechts auf Information nach Art. 14 DSGVO auch von einer Verletzung des Rechts auf Auskunft nach Art. 15 DSGVO als Beschwerdegegenstand auszugehen.
Die von der BF verarbeiteten Marketingklassifikationen seien jedenfalls personenbezogene Daten iSd DSGVO; diese Rechtsansicht sei mittlerweile auch vom BVwG bestätigt worden (W258 2217446 vom 20.08.2020).
Zu Spruchpunkt 1.a) und 2.a) (Empfänger/Empfängerkategorien) sei auszuführen, dem Normgesetzgeber der DSGVO könne durch das in Art. 15 Abs. lit.c verwendete „oder“ kein kumulativer Charakter unterstellt werden. Es sei auf die Rspr des VfGH und VwGH zum DSG 2000 zu verweisen, wonach es einer Interessensabwägung im Einzelfall bedürfe, ob lediglich die Empfängerkategorien oder auch die konkreten Empfänger zu benennen seien. Im vorliegenden Fall stehe das nicht weiter begründungsbedürftige Interesse des MB an einer möglichst vollständigen Auskunft dem begründungsbedürftigen Geheimhaltungsinteresse der BF gegenüber. Es lägen keine schutzwürdigen Interessen der BF vor, denen ein solches Gewicht zukäme, dass sie einer Beauskunftung der konkreten Empfänger entgegenstünden, weshalb die Interessensabwägung zugunsten des MB ausgehe.
Zu Spruchpunkt 1.b) und 2.b) (Herkunft der Daten) führte die belangte Behörde aus, nach dem Transparenzgebot des Art. 12 DSGVO seien Mitteilungen nach Art. 15 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Im vorliegenden Fall habe die BF keine ausreichend verständliche Auskunft über die Herkunft der Daten („erhoben/zugekauft“) erteilt bzw. keine geeignete Differenzierung vorgenommen, aus der ersichtlich sei, welche Daten erhoben und welche Daten (von wem) zugekauft worden seien. Da die BF in einer anderen Tabelle der Auskunft auf die XXXX als Quelle verweise, sei nicht nachvollziehbar, weshalb die gegenständliche Auskunft nicht mit derselben „Granularität“ bereitgestellt worden sei. Insofern erweise sich die Auskunft als nicht präzise, transparent oder verständlich iSd Art. 12 DSGVO.
Zu Spruchpunkt 3. (amtswegig aufgegriffene Mängel betreffend die Datenschutzinformationen der BF) führte die belangte Behörde s aus:
Der in der Auskunft der BF angeführte Link ( XXXX habe zu folgender Website geführt:
Punkt 7 der Datenschutzhinweise der BF informiere wie folgt:
„7. Ihr Widerspruchsrecht
Sie können als Betroffener jederzeit der Verwendung Ihrer Daten widersprechen, wenn die Verarbeitung Zwecken des Direktmarketings dient.
Sie haben zusätzlich das Recht, jederzeit zu widersprechen, wenn sich aus Ihrer besonderen Situation Gründe dafür ergeben.
Sollten Sie Widerspruch einlegen wollen, können Sie das auf unserer Homepage unter datenschutzanfrage. XXXX oder mittels Schreiben an das XXXX , tun.“
Wie in dem dargestellten Screenshot ersichtlich, werde eine betroffene Person, die sich über die Datenschutzhinweise der BF informieren (und somit Informationen gemäß Art. 13 und 14 DSGVO beziehen) möchte, durch mindestens zwei Klicks und durch aufwendiges Verwenden mehrerer Schiebebalken, um die Cookies ua. von US-Anbietern zu umschiffen, am leichten Zugang zu den Datenschutzinformationen gehindert. Es sei nicht ersichtlich, warum die betroffene Person Cookies zustimmen/ablehnen müsse, um zu den Datenschutzhinweisen zu gelangen.
Daher mache die belangte Behörde von ihrer amtswegigen Befugnis gemäß Art. 58 Abs. 2 lit. d DSGVO Gebrauch und trage der BF auf, innerhalb einer Frist von vier Monaten ihre Datenschutzerklärung freier zugänglich zu machen.
Betreffend Spruchpunkt 4. des Bescheides legte die belangte Behörde näher dar, weshalb eine Aussetzung des Verfahrens nach § 38 Abs. 1 AVG nicht in Betracht komme.
Zu Spruchpunkt 5. führte die belangte Behörde im Wesentlichen aus, die Rüge des MB, er sei über sein (absolutes) Widerspruchsrecht nicht informiert worden, sei unberechtigt, zumal die BF sowohl in der Datenauskunft als auch in ihren Datenschutzhinweisen auf das Widerspruchsrecht des Betroffenen hingewiesen habe.
Gegen Spruchpunkte 1., 2. und 3. dieses Bescheides richtet sich die von der BF erhobene Beschwerde wegen inhaltlicher Rechtswidrigkeit mit den primären Anträgen, eine mündliche Verhandlung anzuberaumen, der Beschwerde stattzugeben, in der Sache selbst zu erkennen und den angefochtenen Bescheid im angefochtenen Umfang zu beheben.
Mit Schreiben vom 12.11.2020, eingelangt am 19.11.2020, legte die belangte Behörde die Beschwerde samt elektronischem Verwaltungsakt dem Bundesverwaltungsgericht mit den Anträgen vor, in der Sache selbst zu entscheiden und die Beschwerde abzuweisen. In ihrer Stellungnahme verwies sie im Wesentlichen auf ihre Ausführungen im Bescheid.
Mit Schriftsatz vom 22.03.2021, eingelangt am 23.03.2021, stellte die BF einen Antrag auf Aussetzung des Verfahrens bis zu einer Entscheidung des EuGH über den Vorlagebeschluss des OGH vom 18.02.2021, 6 Ob 159/20f, und führte diesbezüglich aus, der OGH habe im genannten Vorabentscheidungsverfahren dem EuGH die Frage vorgelegt hat, ob Art. 15 Abs. 1 lit. c DSGVO dahingehend auszulegen sei, dass sich der Anspruch auf die Auskunft über Empfängerkategorien beschränke oder ob sich der Auskunftsanspruch zwingend auf konkrete Empfänger erstrecke, wenn Daten bereits offengelegt worden seien. Da diese Rechtsfrage auch im vorliegenden Verfahren entscheidungserheblich sei, werde die Aussetzung des Verfahrens beantragt.
Mit Schreiben vom 28.04.2021 wurde dem MB Parteiengehör gewährt und ihm die Beschwerde der BF, die im Rahmen der Aktenvorlage abgegebene Stellungnahme der belangten Behörde sowie der Aussetzungsantrag der BF mit Möglichkeit zur Stellungnahme übermittelt.
Mit Stellungnahme vom 17.05.2021, eingelangt am 18.05.2021, sprach sich der MB gegen die Aussetzung des Verfahrens aus und begründete dies im Wesentlichen damit, dass das angesprochene Vorabentscheidungsverfahren nicht präjudiziell sei; es handle sich um ein Zivilverfahren, in dem keine „Vorfrage“ iSd verwaltungsverfahrensrechtlicher Bestimmungen geklärt werde. Zudem stelle die Frage, ob lediglich die Empfängerkategorien oder auch die konkreten Empfänger zu beauskunften seien, einen acte clair dar; es seien eindeutig die konkreten Empfänger zu beauskunften. Zudem betreffe diese Rechtsfrage jedenfalls nicht alle angefochtenen Spruchpunkte des Bescheides.
Mit Replik vom 01.06.2021, eingelangt am 02.06.2021, legte die BF im Wesentlichen nochmals dar, weshalb keine Verpflichtung zur Beauskunftung der konkreten Empfänger bestehe und tätigte nähere Ausführungen zu dem Zugang zu ihren Datenschutzhinweisen (in Bezug auf Spruchpunkt 3 des bekämpften Bescheides).
II. Das Bundesverwaltungsgericht legt seiner Entscheidung den soeben dargestellten – unstrittigen und durch den Akteninhalt gedeckten – Verfahrensgang zugrunde.
Daraus folgt rechtlich:
1. Zur Aussetzung des Verfahrens hinsichtlich Spruchpunkte 1.a) und 2.a) des bekämpften Bescheides
Mit Beschluss vom 18.02.2021, Zl. 6 Ob 159/20f, legte der OGH dem EuGH folgende Frage zur Vorabentscheidung vor:
„Ist Art 15 Abs 1 lit c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl L 119/1 vom 4. Mai 2016, S 1; im Folgenden „DSGVO“) dahingehend auszulegen, dass sich der Anspruch auf die Auskunft über Empfängerkategorien beschränkt, wenn konkrete Empfänger bei geplanten Offenlegungen noch nicht feststehen, der Auskunftsanspruch sich aber zwingend auch auf Empfänger dieser Offenlegungen erstrecken muss, wenn Daten bereits offengelegt worden sind?“
Der OGH legte dem EuGH demnach im Wesentlichen die Frage vor, ob der Verantwortliche im Fall der erfolgten Offenlegung von Daten an Dritte dem Betroffenen (neben den Empfängerkategorien) auch zwingend die konkreten Empfänger der Daten zu nennen hat.
Gemäß § 38 AVG, der gemäß § 17 VwGVG auch im verwaltungsgerichtlichen Verfahren sinngemäß zur Anwendung kommt, kann eine Behörde ein Verfahren bis zur rechtskräftigen Entscheidung einer Vorfrage, die als Hauptfrage von anderen Verwaltungsbehörden oder von den Gerichten zu entscheiden wäre, aussetzen, wenn die Vorfrage schon den Gegenstand eines anhängigen Verfahrens bei ua dem zuständigen Gericht bildet oder ein solches Verfahren gleichzeitig anhängig gemacht wird.
Eine Hauptfrage in diesem Sinn kann auch eine Vorlagefrage eines beim EuGH anhängigen Vorabentscheidungsverfahren sein. Sie berechtigt zur Aussetzung nach § 38 AVG, wenn sie für das verwaltungsgerichtliche Verfahren präjudiziell ist (vgl. zB VwGH 13.12.2011, 2011/22/0316). Dabei reicht es aus, wenn eine (bloß) ähnliche Rechtsfrage anhängig ist (vgl. etwa VwGH 13.09.2017, Ra 2017/12/0068).
Im vorliegenden Verfahren informierte die BF den MB im Rahmen der Datenauskunft in Bezug auf die Empfänger seiner Daten wie folgt: „Datenverarbeitung im Rahmen des Adressverlags“
Die Post verwendet Daten, soweit dies rechtlich zulässig ist, im Rahmen ihrer Tätigkeit als Adressverlag und bietet diese Geschäftskunden für Marketingzwecke an.“
In der Replik vom 01.06.2022 präzisierte die BF dies weiter:
„Zur Vollständigkeit wird – freiwillig und unpräjudiziell – mitgeteilt: Die Beschwerdeführerin gibt im Rahmen ihrer Tätigkeit als Adressverlag Daten zu Marketingzwecken an werbetreibende Unternehmen weiter. Diese Weitergabe erfolgt ausschließlich für Marketingzwecke dieser werbetreibenden Unternehmen. Werbetreibende Unternehmen sind zum Beispiel Versandhandel und stationärer Handel, Finanzdienstleister und Versicherungen, IT- und Telekommunikationsunternehmen oder Energieversorger, aber auch Vereine wie Spendenorganisationen, NGOs oder politische Parteien. Da die mitbeteiligte Partei der Datenweitergabe vor Auskunftserteilung nicht widersprochen hat, wurden auch ihre Daten iSd Prozesses werbetreibenden Unternehmen weitergegeben.“
Die BF informierte den MB im Ergebnis damit (lediglich) über die Kategorien der Empfänger der Daten (welche sie in der Replik näher beispielshaft illustrierte); eine Auskunft über die konkreten Empfänger der Daten erfolgte nicht.
Die belangte Behörde stellte im bekämpften Bescheid eine Verletzung des Rechts auf Auskunft fest, weil die BF dem MB nicht die konkreten Empfänger der Daten beauskunftet hat.
Für das erkennende Gericht stellte sich demnach die Frage, ob eine diesbezügliche Verpflichtung der BF besteht (also ob über die Empfängerkategorien hinaus auch die konkreten Empfänger der Daten zu beauskunften sind). Genau diese Rechtsfrage ist derzeit – wie oben dargestellt – Gegenstand eines Vorabentscheidungsverfahren vor dem EuGH, weshalb sie für das gegenständliche Verfahren präjudiziell ist und das Verfahren daher in diesen Umfang auszusetzen war, auch wenn der Vorlageantrag von einem Höchstgericht aus der Zivil- und Strafgerichtsbarkeit stammt.
Zum Einwand des MB ist festzuhalten, dass der Umstand, dass das Vorabentscheidungsersuchen im Rahmen eines Zivilverfahrens gestellt wurde, unbeachtlich ist und nichts an der Präjudizialität der gegenständlichen Rechtsfrage ändert. Die DSGVO stellt Unionsrecht dar, dessen Auslegungsmonopol beim EuGH liegt.
Es ist daher aus prozessökonomischen Gründen geboten, das Verfahren im vorliegenden Fall auszusetzen (vgl. etwa die diesbezügliche Rechtsprechung des OGH RS01110583).
2. Zur Behebung von Spruchpunkt 1.b) und 2.b) des Bescheides
Die belangte Behörde stellte in Spruchpunkt 1.b) des bekämpften Bescheides fest, dass die BF den MB dadurch in seinem Recht auf Auskunft verletzt habe, indem sie keine ausreichend verständliche Auskunft über die Herkunft der Daten („erhoben/zugekauft“) erteilt habe bzw. keine geeignete Differenzierung vorgenommen habe, aus der ersichtlich sei, welche Daten erhoben und welche Daten und von wem zugekauft worden seien. Sie führte aus, dies stelle insofern eine Verletzung des Rechts auf Auskunft dar, als die Auskunft dadurch nicht den Anforderungen des Art. 12 DSGVO – wonach sie (ua) klar, transparent und verständlich zu sein habe – entspreche.
Dem hielt die BF in der Beschwerde im Wesentlichen entgegen, die Auskunft sei in diesem Bereich sehr wohl ausreichend verständlich; sie habe den MB umfassend über die Datenquellen informiert: Im Rahmen der Datenauskunft habe sie bekannt gegeben, dass sie Daten von einem anderen Adressverlag, nämlich XXXX , erhalte. Hierauf habe sie auch nochmals in ihrer Stellungnahme vom 07.06.2019 verwiesen.
In der Tabelle zur Datenquelle „ XXXX “ fänden sich all jene Daten, die von diesem Adressverlag zugekauft worden seien. Aus anderen Quellen habe die BF keine Daten über den MB ermittelt. Eine bloß isolierte Betrachtung der Übersichtstabelle, die eine gesamthafte Übersicht über die nach § 151 GewO verarbeiteten Daten bereitstelle, greife zu kurz. Selbst wenn in dieser Übersichtstabelle „bloß“ der Vermerk „erhoben/zugekauft“ stehe, lasse ein Abgleich mit den aus der externen Datenquelle bezogenen Daten erkennen, welches Datum erhoben und welches zugekauft worden sei. Zur Überprüfung der Rechtmäßigkeit des Auskunftsschreibens sei jedenfalls die gesamte erteilte Auskunft der Prüfung zugrunde zu legen. Die belangte Behörde habe jedoch bloß die „Übersichtstabelle“ ihrer Prüfung zugrunde gelegt.
Dazu ist auszuführen:
Gemäß Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf weitere (in lit a bis h) aufgelistete Informationen.
Nach lit g hat der Verantwortliche der betroffenen Person, sofern die Daten nicht bei der betroffenen Person erhoben werden, alle verfügbare Informationen über die Herkunft der Daten zur Verfügung stellen habe.
Art. 12 DSGVO regelt die Modalitäten der Ausübung der Betroffenenrechte nach Art. 13 bis 22 DSGVO (somit auch des Rechts auf Auskunft nach Art. 15).
Nach Art. 12 Abs. 1 DSGVO trifft der Verantwortliche geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß Art. 13 und 14 und alle Mitteilungen gemäß Art. 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Eine Information ist präzise, wenn sie „einen hinreichenden Grad an Genauigkeit und Abgrenzungsschärfe (Eindeutigkeit) besitzt“.
Unter Transparenz wird die Nachvollziehbarkeit einer Information verstanden. Nach ErwGr 39 soll für natürliche Personen Transparenz dahingehend bestehen, „dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden“.
Zum Kriterium der Verständlichkeit ist zunächst auf die Erforderlichkeit, die Informationen bzw. Mitteilungen (jedenfalls) in der Verkehrssprache des jeweiligen Landes zu erteilen, abzustellen. Die Informationen sind in leicht verständlicher Weise und in Alltagssprache zu formulieren (zum Ganzen: Jahnel, DSGVO Art. 12 Rz 1 – 7 [Stand 1.12.2020, rdb.at]).
Für den konkreten Fall bedeutet dies Folgendes:
Zunächst ist dem MB darin zuzustimmen, dass aus der Datenauskunft allein nicht ausreichend klar und verständlich hervorgeht, ob jene Daten, die im Feld „generiert“ mit „erhoben/zugekauft“ bezeichnet sind, von der BF selbst erhoben oder von einem Dritten zugekauft wurden. Allein durch einen Abgleich der beiden Tabellen ergibt sich – ohne diesbezügliche Erläuterungen – jedenfalls nicht, dass jene Daten, die nicht in der zweiten Tabelle („Datenquelle: XXXX “) genannt sind, von der BF selbst erhoben wurden; möglich wäre es ja auch, dass die BF Daten von einem weiteren (von der XXXX verschiedenen) Adressverlag bezogen hat.
Die BF stellte aber nunmehr in der Beschwerde klar, dass sie keine Daten von einem anderen Adressverlag als der XXXX bezogen hat.
Durch diese ergänzende Information ergibt sich daher nunmehr hinreichend klar, welche Daten von der BF selbst erhoben und welche Daten von einem Dritten zugekauft wurden. Wie von der BF in der Beschwerde nochmals erläutert, ergibt sich durch einen Abgleich der beiden Tabellen, dass jene Daten, die in der ersten Tabelle „Übersicht verarbeitete Daten (gem § 151 GewO) XXXX “ genannt sind, jedoch nicht in der zweiten Tabelle „Datenquelle: XXXX “ angeführt sind, von der BF selbst erhoben wurden.
Die Auskunft ist daher nunmehr als hinreichend klar und verständlich zu betrachten und entspricht damit nunmehr den Anforderungen des Art. 12 Abs. 1 DSGVO. Die von der belangten Behörde festgestellte Rechtsverletzung liegt somit nicht mehr vor.
Ein Recht auf Feststellung in der Vergangenheit bestandener Verletzungen des Rechts auf Auskunft besteht nicht (vgl. hierzu die zum DSG 2000 ergangene Rechtsprechung des VwGH zum Recht auf Auskunft: VwGH 27.09.2007, 2006/06/0330 mit Verweis auf VwGH 28.03.2006, 2004/06/0125, dessen tragende Überlegungen auch auf die aktuelle Rechtslage übertragen werden können).
Dem in Spruchpunkt 2.b) erteilten Leistungsauftrag wurde vor diesem Hintergrund jedenfalls die Grundlage entzogen.
Spruchpunkte 1.b) und 2.b) des bekämpften Bescheides waren im Ergebnis daher ersatzlos zu beheben.
3. Zur Behebung von Spruchpunkt 3. des bekämpften Bescheides
Mit Spruchpunkt 3. des Bescheides erteilte die belangte Behörde der BF, ohne ersichtliche Befassung der BF mit dieser Problematik vorab im Rahmen von Erhebungen oder eines Parteiengehörs, den Leistungsauftrag, „zur Beseitigung amtswegig aufgegriffener Mängel im Einklang mit Art. 12 Abs. 1 DSGVO den Zugang zu ihren Datenschutzinformationen einfacher zu gestalten“.
Erst aus der Begründung ergibt sich, welche Mängel die belangte Behörde hier im Auge hatte und welche Abhilfe sie von der BF erwartet. Ausgehend von den Sachverhaltsfeststellungen gemäß Punkt 3. (vor allem S 11 des Bescheides) meint sie, eine betroffene Person, die sich über die Datenschutzhinweise der BF näher informieren und somit Informationen nach Art. 13 und Art. 14 DSGVO beziehen möchte, werde „durch mindestens zwei Klicks und durch aufwendiges Verwenden mehrerer Schiebebalken, um die Cookies ua. von US-Anbietern zu umschiffen“, am leichten Zugang zu den Datenschutzinformationen gehindert. Die BF habe die Datenschutzerklärung freier zugänglich zu machen.
Dem hält die BF in der Beschwerde entgegen, es treffe nicht zu, dass Betroffenen erst nach Ablehnen oder Annehmen von Cookies der Zugang zu den Datenschutzhinweisen ermöglicht werde. Bezugnehmend auf die Begründung der belangten Behörde S 19 des Bescheides wies die BF darauf hin, das von der Behörde angenommene Ermittlungsergebnis sei der BF nicht vorgehalten worden, daher habe sie die Funktionsweise der Cookies nicht darlegen können. Tatsächlich seien die Datenschutzhinweise, wie auf S 11 des Bescheides abgebildet, in die erste Seite der Cookie-Informationen eingebettet. Sie seien durch einen Hyperlink farblich hervorgehoben. Ein Mausklick auf diesen Hyperlink genüge, um zu den Datenschutzhinweisen der BF zu gelangen. Sollte dies mit einem bestimmten Browser kurzfristig nicht möglich gewesen sein, handle es sich nur um ein temporäres Gebrechen.
Das Ablehnen oder Annehmen von Cookies sei auch dann nicht erforderlich, wenn der Nutzer mit der Cookie-Information interagiere. Im Einklang mit der Rechtsprechung des EuGH sei nur das Erheben notwendiger Cookies voreingestellt. Über die notwendigen Cookies werde, wie gesetzlich vorgesehen, nur informiert, sie könnten weder angenommen noch abgelehnt werden. Die in der Voreinstellung deaktivierten nicht notwendigen Cookies könnten durch Schiebebalken aktiviert werden.
In der vor dem BVwG erstatteten Replik brachte die BF weiters vor, den Zugang zu ihren Datenschutzhinweisen nunmehr optimiert zu haben. Einerseits sei der Hyperlink, der zu den Datenschutzhinweisen führe, noch deutlicher hervorgehoben worden, andererseits sei auf der Hauptseite des Cookie-Management-Tools ein neuer Button mit der Bezeichnung „Website nur mit erforderlichen Cookies nutzen“ integriert worden. Die Datenschutzhinweise seien daher frei zugänglich, weshalb der in Spruchpunkt 3. formulierte Leistungsauftrag mittlerweile jedenfalls übererfüllt und schon aus diesem Grund zu beheben sei.
Dazu ist auszuführen:
Zunächst sind keine zwingenden Hindernisse zu erkennen, weshalb die Datenschutzbehörde nicht aufgrund in einem Verfahren nach § 24 DSG gewonnener Erkenntnisse grundsätzlich ihre Befugnisse gemäß Art 58 DSGVO, hier Art 58 Abs 2 lit d DSGVO, hätte ausüben dürfen.
Zu Recht zeigt die BF allerdings auf, dass die Behörde der BF jenes Ermittlungsergebnis, das sie zu ihrer Anweisung veranlasst hatte, der BF nicht vorgehalten hat.
Dieses Parteiengehör wurde nunmehr durch die BF im Rahmen ihrer Beschwerde sowie der Replik nachgeholt.
Zwar wurde der Umstand der sehr allgemeinen Formulierung im Spruch „zur Beseitigung amtswegig aufgegriffener Mängel … im Einklang mit Art. 12 Abs. 1 DSGVO den Zugang zu ihren Datenschutzinformationen einfacher zu gestalten“ durch den BF nicht aufgegriffen. Dazu ist festzuhalten, dass unter Zuhilfenahme der Begründung S 10 bis 12 und S 19 gerade noch erkennbar ist, worin die Behörde den Mangel erblickte und welche Beseitigung sie vom BF erwartete.
Der von der BF in der Replik dargestellte Umstand einer zwischenzeitigen (nach Bescheiderlassung) „weiteren Optimierung der Interaktion des Cookie-Management-Tools mit den Datenschutzhinweisen“ wäre nicht geeignet, einen zum Zeitpunkt der Bescheiderlassung bestehenden Mangel zu entkräften.
Allerdings zog die belangte Behörde nach Ansicht des erkennenden Senats aus ihren eigenen Feststellungen unzutreffende Schlüsse:
Nach der Begründung auf S 19 des Bescheides ging die Behörde davon aus, dass der Betroffene Cookies zustimmen bzw ablehnen müsse, um zu den Datenschutzhinweisen zu gelangen. Aus der festgestellten Situation im Bescheidzeitpunkt (S 11 oben) ist aber zu erkennen, dass selbst im Fall der Nutzung eines bestimmten Browsers, auf dem man auf der Suche nach Datenschutzhinweisen auf das dort ersichtliche Cookie-Banner gelangte (der erkennende Senat gelangte im nunmehrigen Entscheidungszeitpunkt je nach Browsernutzung entweder direkt auf die Datenschutzhinweise und nur im Fall der Nutzung eines Browsers auf ein jenem auf S 11 ähnliches Cookie-Banner), keineswegs eine Zustimmung oder Ablehnung von Cookies erforderlich war, um zu den Datenschutzhinweisen der BF zu gelangen. Bereits in einem darüber liegenden Textfeld war direkt der Button „Datenschutzhinweise“ anklickbar (zwischenzeitlich wurde tatsächlich der bereits auf S 11 deutlich sichtbare Hyperlink nochmals verdeutlicht).
Da die belangte Behörde die Verletzung des Transparenzgebots des Art 12 DSGVO gerade darin sah, dass der Betroffene Cookies zustimmen bzw ablehnen müsse, um zu den Datenschutzhinweisen zu gelangen, gerade dieser Umstand aber von der Behörde unzutreffend angenommen wurde, ist keine Grundlage zu erkennen, die die belangte Behörde zu einer Befugnisausübung nach Art 58 Abs 2 lit d DSGVO berechtigt hätte. Die Konsequenz der in diesem Fall berechtigten Beschwerde ist die ersatzlose Behebung von Spruchpunkt 3.
4. Einer mündlichen Verhandlung bedurfte es nicht, zumal auf Grundlage des unstrittigen Akteninhalts lediglich Rechtsfragen zu klären waren. Die Interpretation der Oberflächen jener Webseiten, die im Zusammenhang mit dem Aufsuchen von Datenschutzhinweisen zum Zeitpunkt der Bescheiderlassung relevant waren, bedurfte keiner Erörterung im Rahmen einer mündlichen Verhandlung. Insbesondere ist der vom erkennenden Senat zu Grunde gelegte Umstand, dass auch im Falle des Cookie-Banners auf S 11 des Bescheides keineswegs eine Zustimmung oder Ablehnung von Cookies erforderlich war, um zu den Datenschutzhinweisen der BF zu gelangen, auf dem von der Behörde selbst festgestellten Screenshot S 11 mit der erforderlichen Klarheit zu erkennen.
Zum Ausspruch über die Unzulässigkeit der Revision:
Die Entscheidung über die Zulässigkeit einer Aussetzung nach § 34 Abs. 3 VwGVG stellt eine einzelfallbezogene Beurteilung dar, die jedenfalls, dann, wenn sie nicht offenkundig unzutreffend ist, nicht revisibel ist (vgl. VwGH 13.09.2017, Ra 2017/12/0068).
Spruchpunkte 1.b) und 2.b) betrafen im Wesentlichen einzelfallbezogene Umstände (die Frage ob ein Auskunftsmangel beseitigt wurde), die einer Revisibilität nicht zugänglich sind.
Auch die Behebung von Spruchpunkt 3. bezieht sich auf Einzelfallumstände und wirft keine revisiblen Rechtsfragen auf.
Rückverweise
