W291 2272970-1/30EW291 2272971-1/32E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin Mag.a RIEDLER als Vorsitzende und die fachkundigen Laienrichter Mag. AUER, MBL und MMag. KALINA als Beisitzer über die Beschwerde von 1. XXXX , vertreten durch XXXX , der XXXX 3. XXXX und 4. der XXXX alle vertreten durch die Baker McKenzie Rechtsanwälte LLP Co KG,XXXX zu Recht erkannt:
A)
I. Der Beschwerde des Erstbeschwerdeführers wird Folge gegeben, Spruchpunkt 3. des angefochtenen Bescheides, insoweit dieser die Zurückweisung des Antrags auf Untersagung der relevanten Verarbeitungsvorgänge betrifft, ersatzlos behoben und diesbezüglich der Datenschutzbehörde die Fortsetzung des Verfahrens unter Abstandnahme vom gebrauchten Zurückweisungsgrund aufgetragen.
II.
1. Die Beschwerde der Zweit-, Dritt- und Viertbeschwerdeführerinnen betreffend Spruchpunkt 1. des angefochtenen Bescheids wird als unbegründet abgewiesen.
2. Der Beschwerde der Zweit-, Dritt- und Viertbeschwerdeführerinnen betreffend Spruchpunkt 2. des angefochtenen Bescheids wird Folge gegeben und Spruchpunkt 2. des angefochtenen Bescheids ersatzlos behoben.
B)
Die Revision betreffend A) II. 1. ist gemäß Art. 133 Abs. 4 B-VG zulässig. Im Übrigen ist die Revision nicht zulässig.
Entscheidungsgründe:
I. Verfahrensgang:
1. Mit Bescheid vom 29.03.2023 gab die Datenschutzbehörde der Datenschutzbeschwerde des Erstbeschwerdeführers teilweise statt und stellte fest, dass die Zweit-, Dritt- und Viertbeschwerdeführerinnen gegen den Grundsatz der Rechtmäßigkeit gemäß Art. 5 Abs. 1 lit. a iVm. Art. 6 Abs. 1 DSGVO verstoßen und den Erstbeschwerdeführer damit auch im Recht auf Geheimhaltung gem. § 1 Abs. 1 DSG verletzt hätten, indem diese beim Besuch der Website XXXX (im Folgenden: verfahrensgegenständliche Website) zumindest am 12.08.2021 personenbezogene Daten des Erstbeschwerdeführers unrechtmäßig verarbeitet hätten (Spruchpunkt 1.).
Die Zweit-, Dritt- und Viertbeschwerdeführerinnen wurden angewiesen, innerhalb einer Frist von vier Wochen den Datenbestand dahingehend zu überprüfen, ob näher bezeichnete Cookie-Werte und Browserdaten zum aktuellen Zeitpunkt noch verarbeitet werden und diese gegebenenfalls zu löschen (Spruchpunkt 2.).
Die Anträge auf Untersagung der relevanten Verarbeitungsvorgänge sowie auf Verhängung einer Geldbuße wurden zurückgewiesen (Spruchpunkt 3.).
2. Mit Schriftsatz vom 04.05.2023 erhoben die Zweit-, Dritt- und Viertbeschwerdeführerinnen Bescheidbeschwerde gegen die Spruchpunkte 1. und 2. des gegenständlichen Bescheids.
3. Mit Schriftsatz vom 05.05.2023 erhob der Erstbeschwerdeführer Bescheidbeschwerde gegen Spruchpunkt 3. des verfahrensgegenständlichen Bescheids insoweit dieser die Zurückweisung des Antrags auf Untersagung der relevanten Verarbeitungsvorgänge betrifft.
4. Mit Schreiben vom 09.05.2023 legte die Datenschutzbehörde die Bescheidbeschwerden samt Bezug habenden Verwaltungsunterlagen dem Bundesverwaltungsgericht vor und gab dazu jeweils eine Stellungnahme ab.
5. Aufgrund der Verfügung des Geschäftsverteilungsausschusses wurden die gegenständlichen Rechtssachen der damals zuständigen Gerichtsabteilung abgenommen und der nunmehr zuständigen Gerichtsabteilung (W291) am 12.05.2025 neu zugewiesen.
6. Aufgrund der Erhebung eines Fristsetzungsantrages wurde mit verfahrensleitender Anordnung des Verwaltungsgerichtshofs vom 19.05.2025, dem Bundesverwaltungsgericht aufgetragen, die Entscheidung binnen drei Monaten zu erlassen und eine Ausfertigung, Abschrift oder Kopie derselben sowie eine Kopie des Nachweises über die Zustellung der Entscheidung an die antragstellende Partei dem Verwaltungsgerichtshof vorzulegen oder anzugeben, warum eine Verletzung der Entscheidungspflicht nicht vorliegt.
7. Am 08.07.2025 und 24.07.2025 führte das Bundesverwaltungsgericht eine mündliche Verhandlung durch.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
1.1. Mittels Cookies lassen sich Informationen sammeln, die von einer Website generiert und über den Browser eines Internetnutzers gespeichert wurden. Es handelt sich um eine kleine Datei oder Textinformation (in der Regel kleiner als ein Kbyte), die von einer Website über den Browser eines Internetnutzers auf der Festplatte seines Computers oder mobilen Endgeräts platziert wird. Ein Cookie erlaubt es der Website, sich an die Aktionen oder Vorlieben der Nutzer zu „erinnern“. Die meisten Webbrowser unterstützen Cookies, aber die Nutzer können ihre Browser so einstellen, dass sie die Cookies abweisen. Sie können die Cookies auch jederzeit löschen. Websites nutzen Cookies, um Nutzer zu identifizieren, sich die Vorlieben ihrer Kunden zu merken und es den Nutzern zu ermöglichen, Aufgaben abzuschließen, ohne Informationen neu eingeben zu müssen, wenn sie zu einer anderen Seite wechseln oder die Website später erneut besuchen. Cookies können auch genutzt werden, um anhand des Online-Verhaltens Informationen für gezielte Werbung und Vermarktung zu sammeln. Unternehmen verwenden z. B. Software, um das Nutzerverhalten nachzuverfolgen und persönliche Profile zu erstellen, die es ermöglichen, den Nutzer Werbung zu zeigen, die auf ihre zuvor durchgeführten Suchvorgänge zugeschnitten ist.
1.2. Die Zweit-, Dritt-, und Viertbeschwerdeführerinnen betreiben die verfahrensgegenständliche Website.
Auf der verfahrensgegenständlichen Website können Besucher journalistische Artikel abrufen, aber auch Nutzerkonten anlegen und mit dem zur Verfügung gestellten Onlineangebot interagieren, indem sie beispielsweise Kommentare zu Artikeln verfassen, oder auf Kommentare anderer Nutzer replizieren.
Die verfahrensgegenständliche Website verzeichnete im 4. Quartal 2021 bezogen auf Desktop-User und Mobile-User ca. XXXX UniqueUser und hatte einen Anteil an Internetnutzern von XXXX Die verfahrensgegenständliche Website lag damit auf Platz XXXX der meistbesuchten Internetseiten in Österreich.
1.3. Soweit keine Websiteinformationen am Endgerät der Nutzer bereits gespeichert sind, erscheint (zumindest) beim erstmaligen Aufrufen der verfahrensgegenständlichen Website ein Pop-Up Fenster („Cookie Banner“, „Cookie-Wall“ bzw. „Pay-Wall“). Dort haben die Nutzer die Möglichkeit, entweder in die Verwendung von Cookies für Webanaylse und digitale Werbemaßnahmen einzuwilligen („EINVERSTANDEN“), oder ein kostenpflichtiges „ XXXX -Abo“ abzuschließen („JETZT ABONNIEREN“), durch welches mittels Bezahlung eines monatlichen Beitrages (EUR 8,00 im Zeitpunkt der Beschwerdeerhebung vor der Datenschutzbehörde) die gleichen Inhalte werbefrei konsumiert werden können.
Der Cookie-Banner gestaltete sich am 12.08.2021 (im Folgenden auch: verfahrensgegenständlicher Zeitpunkt) wie folgt:
Durch einmaligen Klick auf den Button „EINVERSTANDEN“ kann in sämtliche hier in Rede stehenden Datenverarbeitungsvorgänge eingewilligt werden, wobei Nutzer umgehend zum gewünschten Artikel bzw. zum gewünschten Inhalt weitergeleitet werden. Durch Klicken auf „JETZT ABONNIEREN“ öffnet sich eine Seite, auf der in weiterer Folge in einem mehrstufigen Prozess (darunter: Erstellung eines Kontos, Eingabe der Zahlungsinformationen) ein sogenanntes XXXX (kostenpflichtiges Abonnement) abgeschlossen werden kann.
Festgehalten wird, dass sich nunmehr auf dem Cookie-Banner statt „digitale Werbemaßnahmen“ die Formulierung „personalisierte Werbemaßnahmen“ findet. Die Art und Weise der Werbung hat sich unabhängig von der neuen Bezeichnung aber nicht verändert.
1.4. Die Datenschutzerklärung der Zweit-, Dritt- und Viertbeschwerdegegnerinnen lautete in jener zum verfahrensgegenständlichen Zeitpunkt gelten Fassung auszugsweise wie folgt (im Original ohne Hervorhebungen):
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
XXXX
1.5. Der Erstbeschwerdeführer war von Juni 2021 bis August 2021 bei XXXX tätig. Er verwendete zum Abruf der Website der Zweit-, Dritt- und Viertbeschwerdeführerinnen zum verfahrensgegenständlichen Zeitpunkt einen von seiner damaligen Ausbildungsstelle XXXX zur Verfügung gestellten Laptop, den er auch für private Zwecke verwendete. Der Laptop war mit einem persönlichen Passwort des Erstbeschwerdeführers gesichert und keine sonstigen Personen verwendeten diesen. Zum Besuch der verfahrensgegenständlichen Website verwendete der Erstbeschwerdeführer die IP-Adresse XXXX , an welcher mehrere Geräte angehängt waren. Er klickte auf den Button „EINVERSTANDEN“ als er auf der gegenständlichen Website vor die Wahl gestellt wurde, den in der „Cookie-Wall“ dargelegten Datenverarbeitungen zuzustimmen oder ein kostenpflichtiges Abonnement abzuschließen. Auf seinem Endgerät wurden anschließend die unter Punkt 1.6. angeführten Cookies gesetzt. Der Erstbeschwerdeführer klickte auf den Button „EINVERSTANDEN“, da er kein kostenpflichtiges Abonnement abschließen und keine Verpflichtungen eingehen wollte. Der Erstbeschwerdeführer löschte im August 2021 regelmäßig (zumindest einmal die Woche oder alle paar Tage) seine Cookie-Historie. Er möchte seinen Browser „clean“ halten. Er möchte nicht „getrackt“ werden „im Onlinekontext“. Das ist seiner Meinung nach ein notwendiger Schritt zwischendurch, um seinen Browser zu säubern.
Der Erstbeschwerdeführer hat bereits vor dem verfahrensgegenständlichen Zeitpunkt die Website der Zweit-, Dritt- und Viertbeschwerdeführerinnen zum Zwecke der Verfolgung aktueller (politischer) Ereignisse verwendet und verwendet sie auch noch bis dato gelegentlich.
Die Beschwerde wurde im Zuge eines Projekts gemeinsam vom Erstbeschwerdeführer und dessen Vertretung während seiner Zeit bei XXXX ausgearbeitet.
1.6. Im Zusammenhang mit der Interaktion des Erstbeschwerdeführers mit der verfahrensgegenständlichen Website zum verfahrensgegenständlichen Zeitpunkt wurden unter anderem folgende relevante Cookies am Endgerät des Erstbeschwerdeführers platziert:
Der Inhalt der im verwaltungsbehördlichen Verfahren vorgelegten „HAR-Datei“ wird den Sachverhaltsfeststellungen zugrunde gelegt. In der angeführten „HAR-Datei“ sind alle gesetzten Cookies bzw. verwendeten Anwendungen sowie die Transaktionen vollständig aufgezählt.
Im Rahmen des Besuchs wurden Daten des Erstbeschwerdeführers an unterschiedliche Domains übermittelt, wie zB XXXX ) oder XXXX
Die Browserdaten des Erstbeschwerdeführers stellten sich zumindest am 12.08.2021, wie folgt dar:
XXXX
1.7. Die verfahrensgegenständliche Website verwendete zum verfahrensgegenständlichen Zeitpunkt einen sogenannten TC-String.
Nutzerpräferenzen werden in einem String kodiert und gespeichert, der aus einer Kombination von Buchstaben und Zeichen besteht und als TC-String bezeichnet wird.
1.8. Schlossen Nutzer im verfahrensgegenständlichen Zeitpunkt das unter Punkt 1.3. genannte kostenpflichtige Abonnement ab, erfolgte keine Setzung von Cookies zu Werbe-, Profiling- oder Analysezwecken.
1.9. Die Rechtsvertretung des Erstbeschwerdeführers ( XXXX ) ist eine Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach österreichischem Recht gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist.
1.10. Spruchpunkt 2. des angefochtenen Bescheids lautet wie folgt:
„Betreffend Beschwerdepunkt D) [Löschung der erhobenen Daten anzuordnen] werden die Beschwerdegegner [nunmehr die Zweit-, Dritt- und Viertbeschwerdegegnerinnen] angewiesen, innerhalb einer Frist von vier Wochen ihren Datenbestand dahingehend zu überprüfen, ob die in Sachverhaltsfeststellung C.8. [hier: Punkt 1.6.] genannten Cookie-Werte (value) und Browserdaten zum aktuellen Zeitpunkt noch verarbeitet werden und, sofern dies bejaht wird, diese Daten unverzüglich bei sonstiger Exekution zu löschen.“
1.11. Die in Punkt 1.6. genannten Cookie Werte (value) und Browserdaten wurden aufgrund von Zeitablauf gelöscht.
1.12. Auf der verfahrensgegenständlichen Website wurde auch nach Angaben des informierten Vertreters eine Websiteoptimierung vorgenommen.
Bereits vor Einführung der Ausspielung von personalisierter Werbung auf der verfahrensgegenständlichen Website erfolgte auf dieser eine Webanalyse.
1.13. Bei der Consent-Wall von XXXX ergibt sich, dass diesbezüglich eine gesonderte Einwilligung hinsichtlich „Werbung (Zustimmung nötig)“ und „Webanalyse und Websiten-Optimierung“ sowie „Laden externer Resourcen [sic!] (u.a. social embeds)“ jeweils möglich ist.
2. Beweiswürdigung:
2.1. Die allgemeinen Feststellungen zu Cookies und wie diese funktionieren ergeben sich aus dem Schlussantrag des Generalanwalts Maciej Szpunar in der Rechtssache C-673/17, Planet49 GmbH, Rz 36 ff. Diese legte bereits die Datenschutzbehörde ihren Feststellungen unbedenklich zugrunde.
2.2. Die Feststellungen, dass die Zweit-, Dritt- und Viertbeschwerdeführerinnen die gegenständliche Website betreiben, ergibt sich aus dem dahingehend unstrittigen Verwaltungsakt (siehe etwa Stellungnahme vom 13.12.2021 Rz 7 f). Die Feststellungen zu den abrufbaren Inhalten auf der verfahrensgegenständlichen Website ergeben sich aus dem dahingehend ebenfalls unstrittigen Verwaltungsakt sowie einer Nachschau auf der verfahrensgegenständlichen Webseite (OZ 27 zZ 2272970-1 bzw. OZ 29 zZ 2272971-1). Die Feststellungen zu den Userzahlen ergeben sich aus einer Recherche des erkennenden Senats auf der Website der ÖWA („Österreichische Webanalyse“; https://oewa.at/studie/planungsausweisung/, abgerufen am 24.07.2025; siehe OZ 27 zZ 2272970-1 bzw. OZ 29 zZ 2272971-1).
2.3. Die Feststellungen hinsichtlich der Einwilligung in die Datenverarbeitung bzw. zum Abschluss eines XXXX -Abos basieren auf dem insofern unstrittigen Verwaltungsakt (siehe etwa DSB Verhandlungsschrift vom 03.02.2023 S. 5 ; Datenschutzbeschwerde S. 13; siehe weiters Stellungnahme vom 13.12.2021; siehe zum mehrstufigen Prozess des Abschlusses eines XXXX -Abos die unbedenklichen und allseits nicht bestrittenen Grafiken im angefochtenen Bescheid Punkt C.3) sowie betreffend den Cookie Banner im verfahrensgegenständlichen Zeitpunkt auf der Datenschutzbeschwerde (Anlage ./2 sowie Datenschutzbeschwerde S. 5) und der DSB Verhandlungsschrift vom 03.02.2023 S. 6. Die Feststellung, dass sich nunmehr auf dem Cookie-Banner statt „digitale Werbemaßnahmen“ „personalisierte Werbemaßnahmen“ findet, ergibt sich aus OZ 27 zZ 2272970-1 bzw. OZ 29 zZ 2272971-1. Dass sich die Art und Weise der Werbung unabhängig von der neuen Bezeichnung nicht verändert hat, ergibt sich aus den Aussagen vor der Datenschutzbehörde (DSB Verhandlungsschrift vom 03.02.2023 S. 6).
2.4. Die Feststellung bezüglich der Datenschutzerklärung der Zweit-, Dritt- und Viertbeschwerdeführerinnen in der genannten Fassung basiert auf dem insofern unstrittigen Akteninhalt. Sie konnte der Datenschutzbeschwerde, Anlage ./3, entnommen werden.
2.5. Die Feststellung, dass der Erstbeschwerdeführer von Juni 2021 bis August 2021 bei XXXX tätig war, ergibt sich aus einem im Akt aufliegenden Screenshot seines LinkedIn Profils (siehe Beilage ./3 der Bescheidbeschwerde Rz 49 der Zweit-, Dritt-, und Viertbeschwerdeführerinnen sowie der Stellungnahme vom 13.12.2021; vgl. zudem DSB Verhandlungsschrift S. 4). Dass der Erstbeschwerdeführer zum Abruf der verfahrensgegenständlichen Website zum verfahrensgegenständlichen Zeitpunkt einen von seiner Ausbildungsstelle XXXX bereitgestellten Laptop verwendet hat, dieser mit einem persönlichen Passwort gesichert war und keine weiteren Personen diesen verwendeten, ergibt sich aus seinem unbedenklichen Angaben (siehe etwa DSB Verhandlungsschrift vom 03.02.2023 S. 3, 5, siehe weiters VH am 08.07.2025 S. 7 und Stellungnahme Erstbeschwerdeführer 21.07.2025 Rz 51). Dass er die verfahrensgegenständliche Website mit näher genannter IP-Adresse besucht hat, ergibt sich unter anderem aus dem Vorbringen der Zweit- Dritt- und Viertbeschwerdeführerinnen (Bescheidbeschwerde der Zweit-, Dritt-, und Viertbeschwerdeführerinnen Rz 46 mit Verweis auf die Datenschutzbeschwerde des Erstbeschwerdeführers Beilage ./7, HAR Datei). Aus den Ausführungen in der mündlichen Verhandlung vor dem Bundesverwaltungsgericht ergibt sich auch, dass an der IP-Adresse mehrere Geräte angehängt waren (vgl. VH am 08.07.2025 S. 17). Dass bei Aufkommen der „Cookie-Wall“ der Erstbeschwerdeführer auf „EINVERSTANDEN“ klickte, ergibt sich aus seinen diesbezüglich unbedenklichen Angaben (siehe etwa DSB Verhandlungsschrift vom 03.02.2023 S. 5). Dass die näher bezeichneten Cookies auf dem Endgerät des Erstbeschwerdeführers gesetzt worden sind, ergibt sich aus seiner Datenschutzbeschwerde (insb. aus deren Beilage ./7, HAR Datei). Die Feststellung, wonach der Erstbeschwerdeführer auf den Button „EINVERSTANDEN“ klickte, da er kein kostenpflichtiges Abonnement abschließen und keine Verpflichtungen eingehen wollte, ergibt sich aus seinen unbedenklichen Angaben vor der Datenschutzbehörde (DSB Verhandlungsschrift 03.02.2023 S. 3 f). Die Feststellung, dass der Erstbeschwerdeführer im August 2021 regelmäßig (zumindest einmal die Woche) seine Cookie-Historie löschte sowie seine Motivation dazu, ergibt sich aus seinen Angaben vor der Datenschutzbehörde (siehe DSB Verhandlungsschrift S. 5).
Die Feststellung, dass der Erstbeschwerdeführer bereits vor dem verfahrensgegenständlichen Zeitpunkt die Website der Zweit-, Dritt- und Viertbeschwerdeführerinnen verwendet hat, ergibt sich aus seinen gleichbleibenden und daher unbedenklichen Angaben vor der Datenschutzbehörde und vor dem erkennenden Senat (vgl. DSB Verhandlungsschrift vom 03.02.2023 S. 3 und VH vom 08.07.2025 S. 4). Dass er die Website bis dato gelegentlich verwendet, ergibt sich aus seinen unbedenklichen Angaben in der Beschwerdeverhandlung (VH vom 08.07.2025 S. 4). Der Erstbeschwerdeführer konnte diesbezüglich spezielle politische Ereignisse, an deren Verfolgung er ein Interesse hegt, ins Treffen führen.
Die Feststellung der gemeinsamen Ausarbeitung konnte anhand der diesbezüglich unbedenklichen Angabe des Erstbeschwerdeführers getroffen werden (VH vom 08.07.2025 S. 4).
2.6. Die Feststellungen unter Punkt 1.6. stützen sich auf die „HAR-Datei“ iVm den Ausführungen im unbedenklichen angefochtenen Bescheid.
2.7. Die Feststellung, dass die verfahrensgegenständliche Website zum verfahrensgegenständlichen Zeitpunkt einen TC-String verwendet hat, beruht auf der Aussage des informierten Vertreters der Zweitbeschwerdeführerin in der mündlichen Verhandlung am 08.07.2025 (S. 16).
Zum näheren Verständnis, was ein sogenannter TC-String ist, stützte sich das Gericht auf die unbedenklichen und erklärenden Ausführungen des EuGH in seinem Urteil vom 07.03.2024, C-604/22, IAB Europe, Rz 25.
2.8. Die Feststellungen unter Punkt 1.8. entsprechen den unbedenklichen Feststellungen der Datenschutzbehörde.
2.9. Die Feststellungen unter Punkt 1.9. ergeben sich aus den im Akt aufliegenden Statuten der Rechtsvertretung des Erstbeschwerdeführers (auch abrufbar unter XXXX abgerufen am 24.07.2025, siehe zudem VH vom 24.07.2025 Beilage ./12), einem aktuellen Auszug aus dem österreichischen Vereinsregister (OZ 27 zZ 2272970-1 bzw. OZ 29 zZ 2272971-1) und ihren diesbezüglichen unbedenklichen Angaben im Zuge der Beschwerdeverhandlung (VH am 24.07.2025 S. 25).
2.10. Die Feststellungen unter Punkt 1.10. wurden dem angefochtenen Bescheid entnommen (S. 2).
2.11. Die Feststellung unter Punkt 1.11, dass die in Punkt 1.6. genannten Cookie Werte (value) und Browserdaten gelöscht wurden, basieren auf den Angaben der Zweit-, Dritt- und Viertbeschwerdeführerinnen (siehe etwa VH vom 24.07.2025 S. 29), wonach diese Daten kraft Zeitablaufs bereits vor geraumer Zeit gelöscht worden seien. Die Datenschutzbehörde, die den entsprechenden Auftrag gegenüber den Zweit-, Dritt- und Viertbeschwerdeführerinnen erließ (Spruchpunkt 2. des angefochtenen Bescheids), bestritt in der mündlichen Verhandlung vom 24.07.2025 (S. 29) ausdrücklich nicht, dass diese Daten gelöscht worden seien und konnte daher die Feststellung unter Punkt 1.11. getroffen worden.
2.12. Die Feststellungen unter Punkt 1.12., wonach auf der verfahrensgegenständlichen Website eine Websiteoptimierung vorgenommen wurde und bereits vor Einführung der Ausspielung von personalisierter Werbung auf der verfahrensgegenständlichen Website auf dieser eine Webanalyse erfolgte, ergeben sich aus den unbedenklichen Angaben des Vertreters der Zweitbeschwerdeführerin im Zuge der Beschwerdeverhandlung am 24.07.2025 (S. 7 f).
2.13. Die Feststellung zu 1.13. gründet sich auf die vorgelegten, unbedenklichen Screenshots durch die Zweit-, Dritt- und Viertbeschwerdeführerinnen.
3. Rechtliche Beurteilung:
3.1. Rechtsgrundlagen in Auszügen:
26. ErwGr. DSGVO.:
[…] Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. […]
30. ErwGr. DSGVO:
Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.
32. ErwGr. DSGVO.:
Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.
42. ErwGr. DSGVO:
Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte der Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat. Insbesondere bei Abgabe einer schriftlichen Erklärung in anderer Sache sollten Garantien sicherstellen, dass die betroffene Person weiß, dass und in welchem Umfang sie ihre Einwilligung erteilt. Gemäß der Richtlinie 93/13/EWG des Rates sollte eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden, und sie sollte keine missbräuchlichen Klauseln beinhalten. Damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.
43. ErwGr. DSGVO.:
Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern. Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.
153. ErwGr. DSGVO.:
Im Recht der Mitgliedstaaten sollten die Vorschriften über die freie Meinungsäußerung und Informationsfreiheit, auch von Journalisten, Wissenschaftlern, Künstlern und/oder Schriftstellern, mit dem Recht auf Schutz der personenbezogenen Daten gemäß dieser Verordnung in Einklang gebracht werden. Für die Verarbeitung personenbezogener Daten ausschließlich zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken sollten Abweichungen und Ausnahmen von bestimmten Vorschriften dieser Verordnung gelten, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit dem Recht auf Freiheit der Meinungsäußerung und Informationsfreiheit, wie es in Artikel 11 der Charta garantiert ist, in Einklang zu bringen. Dies sollte insbesondere für die Verarbeitung personenbezogener Daten im audiovisuellen Bereich sowie in Nachrichten- und Pressearchiven gelten. Die Mitgliedstaaten sollten daher Gesetzgebungsmaßnahmen zur Regelung der Abweichungen und Ausnahmen erlassen, die zum Zwecke der Abwägung zwischen diesen Grundrechten notwendig sind. Die Mitgliedstaaten sollten solche Abweichungen und Ausnahmen in Bezug auf die allgemeinen Grundsätze, die Rechte der betroffenen Person, den Verantwortlichen und den Auftragsverarbeiter, die Übermittlung von personenbezogenen Daten an Drittländer oder an internationale Organisationen, die unabhängigen Aufsichtsbehörden, die Zusammenarbeit und Kohärenz und besondere Datenverarbeitungssituationen erlassen. Sollten diese Abweichungen oder Ausnahmen von Mitgliedstaat zu Mitgliedstaat unterschiedlich sein, sollte das Recht des Mitgliedstaats angewendet werden, dem der Verantwortliche unterliegt. Um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen, müssen Begriffe wie Journalismus, die sich auf diese Freiheit beziehen, weit ausgelegt werden.
Art. 4 DSGVO – Begriffsbestimmungen:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; (…)
(…)
11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
(…)
Art. 5 DSGVO - Grundsätze für die Verarbeitung personenbezogener Daten:
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“); (…)
Art. 6 Abs. 1 DSGVO –Rechtmäßigkeit der Verarbeitung:
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
Art. 57 DSGVO – Aufgaben:
(1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
a) die Anwendung dieser Verordnung überwachen und durchsetzen;
(…)
f) sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;
Art. 58 DSGVO – Befugnisse:
(…)
(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen,
f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.
(…)
3.2. In seiner verfahrenseinleitenden Eingabe vom 13.08.2021 monierte der Erstbeschwerdeführer, dass er im verfahrensgegenständlichen Zeitraum nicht ohne Nachteil auf die journalistischen Inhalte der Zweit-, Dritt- und Viertbeschwerdeführerinnen zugreifen habe können, da er gezwungen gewesen sei, entweder in eine umfangreiche Verarbeitung seiner Daten zu Werbezwecken einzuwilligen, oder ein kostenpflichtiges Abonnement abzuschließen. Diese „Pay-or-Okay“ Lösung hätte ihn mangels adäquater Alternative dazu gezwungen, in eine ihm unliebsame Datenverarbeitung einzuwilligen. Die pauschale Einwilligung in sämtliche Datenverarbeitungen hätte nicht den Anforderungen der DSGVO entsprochen. Die von den Zweit-, Dritt- und Viertbeschwerdeführerinnen angestrebte Datenverarbeitung sei für die gegenständliche Leistung (Anbieten journalistischer Inhalte) nicht notwendig gewesen und es habe keine Auswahlmöglichkeit für den Erstbeschwerdeführer gegeben.
3.3. Der äußerste Rahmen für die Prüfbefugnis [des Verwaltungsgerichts] ist die „Sache“ des bekämpften Bescheides (vgl. VwGH 06.10.2023, Ra 2022/11/0129 oder auch VwGH 16.3.2016, Ra 2015/04/0042). Nach der Rechtsprechung des Verwaltungsgerichtshofes ist „Sache“ des Bescheidbeschwerdeverfahrens vor dem Verwaltungsgericht (nur) jene Angelegenheit, die den Inhalt des Spruchs der belangten Behörde gebildet hat (vgl. VwGH 06.05.2020, Ra 2019/08/0114; VwGH 9.9.2015, Ro 2015/03/0032, mwN), d.h. jene Angelegenheit, die von der belangten Behörde entschieden wurde (vgl. VwGH 24.08.2023, Ra 2022/22/0093; VwGH 08.02.2022, Ro 2021/04/0033; VwGH Ra 2015/04/0042).
Der Spruchpunkt I des angefochtenen Bescheides bezieht sich auf den 12.08.2021, weshalb dieser Zeitpunkt für die Prüfungsbefugnis des Bundesverwaltungsgerichts maßgeblich ist.
3.4.1. Für den erkennenden Senat besteht an der grundsätzlichen Anwendbarkeit der DSGVO auf den gegenständlichen Sachverhalt kein Zweifel: Gemäß Art. 4 Z 1 DSGVO handelt es sich bei „personenbezogenen Daten“ um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person unter anderem dann angesehen, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung identifiziert werden kann. Der Begriff der „personenbezogenen Daten“ ist nach Ansicht des EuGH äußerst weit zu verstehen (vgl. EuGH 20.12.2017, C-434/16 – noch zur Datenschutz-RL, jedoch ist die Rechtsprechung auf die DSGVO übertragbar: siehe dazu EuGH 07.03.2024, C-604/22 Rz 33).
In der Verwendung der Formulierung „alle Informationen“ bei der Bestimmung des Begriffs „personenbezogene Daten“ in dieser Vorschrift kommt das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine „weite Bedeutung beizumessen“, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt (vgl. EuGH 07.03.2024, C-604/22 Rz 36 mwN).
Die Datenschutzbehörde führt im angefochtenen Bescheid unbedenklich aus, dass es sich bei der verwendeten IP-Adresse in Kombination mit den gesetzten Cookies und den Browserdaten um personenbezogene Daten handelt.
Darüber hinaus gilt zu bedenken, dass auf der verfahrensgegenständlichen Website im August 2021 TC-Strings verwendet wurden und wird diesbezüglich (auszugsweise) auf das Urteil des EuGH vom 07.03.2024, C-604/22, verwiesen:
„43 Aber auch wenn ein TC-String selbst keine Elemente enthielte, die eine direkte Identifizierung der betroffenen Person ermöglichen, würde dies nichts daran ändern, dass er zum einen die individuellen Präferenzen eines bestimmten Nutzers bezüglich seiner Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten enthält, d. h. Informationen, ,die sich auf eine … natürliche Person … beziehen‘, im Sinne von Art. 4 Nr. 1 DSGVO.
44 Zum anderen steht auch fest, dass anhand der in einem TC-String enthaltenen Informationen, wenn sie einer Kennung wie insbesondere der IP-Adresse des Geräts eines solchen Nutzers zugeordnet werden, ein Profil dieses Nutzers erstellt und tatsächlich genau die Person identifiziert werden kann, auf die sich diese Informationen beziehen.
45 Soweit die Verknüpfung einer aus einer Kombination von Buchstaben und Zeichen bestehenden Zeichenfolge, wie des TC-Strings, mit zusätzlichen Daten, insbesondere der IP-Adresse des Geräts eines Nutzers oder anderen Kennungen, die Identifizierung dieses Nutzers ermöglicht, ist davon auszugehen, dass der TC-String Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum im Sinne von Art. 4 Abs. 1 DSGVO darstellt, was durch den 30. Erwägungsgrund der DSGVO bestätigt wird, der sich ausdrücklich auf einen solchen Fall bezieht.“
Auf der verfahrensgegenständlichen Website wurde zum verfahrensgegenständlichen Zeitpunkt ein TC-String verwendet. Zudem liegen zusätzlich Daten vor, die die Identifizierung des Nutzers ermöglichen, nämlich die IP-Adresse sowie andere Kennungen, wie Browserdaten und Cookie-Kennungen. Folglich stellt ein TC-String ein personenbezogenes Datum im Sinne von Art 4 Z 1 DSGVO dar (vgl. EuGH 07.03.2024, C-604/22, insbesondere Rz 45 und 50). An dieser Stelle wird auch darauf hingewiesen, dass die Zweit-, Dritt-, und Viertbeschwerdeführerinnen sowohl die IP-Adresse, mit der der Erstbeschwerdeführer auf die verfahrensgegenständliche Website einstieg, als auch den TC-String und die weiteren Cookie-Kennungen sowie Browser-Daten im verfahrensgegenständlichen Zeitpunkt in ihrer Verfügung hatten bzw. verarbeitet haben (vgl. EuGH 07.03.2024, C-604/22 insb. Rz 46 – 49 und 69).
Dem Einwand der Zweit-, Dritt- und Viertbeschwerdeführerinnen, wonach der Erstbeschwerdeführer nicht aktivlegitimiert sei, ist auch aus den oben angeführten Gründen nicht zu folgen: Unabhängig von der Frage, ob bereits Cookies auf dem Endgerät des Erstbeschwerdeführers gespeichert waren, als er die verfahrensgegenständliche Website aufrief, zielte die gegenständliche Setzung von Cookies (auch) darauf ab, das Onlineverhalten zu analysieren und dementsprechende personalisierte Werbung auszuspielen. Nach dem Erwägungsgrund 26 sollten für die Frage, ob eine natürliche Person identifizierbar ist, alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinen Ermessen wahrscheinlich genutzt werden, um die Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Wie bereits ausgeführt, verwendeten die Zweit-, Dritt- und Viertbeschwerdeführerinnen nicht nur TC-Strings, sondern verfügten sie auch über die IP-Adresse und Cookie-Kennungen. Wie dem Erwägungsgrund 30 entnommen werden kann, werden natürlichen Personen unter Umständen Online-Kennungen wie IP-Adressen, Cookie-Kennungen und Browserdaten, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Person zu erstellen und sie zu identifizieren. Gegenständlich wurden „Spuren hinterlassen“ (wie Cookies, IP-Adresse und Browserdaten), die in Kombination dazu benutzt werden können, ein „Profil der natürlichen Person“ zu erstellen.
Dass es sich beim genutzten Endgerät des Erstbeschwerdeführers um einen von seiner Ausbildungsstelle ihm zur Verfügung gestellten Laptop handelte und die IP-Adresse von mehreren Geräten genutzt wurde, darf nicht darüber hinwegtäuschen, dass die durch Cookies gesammelten Daten (inklusive IP-Adresse) diesem zugerechnet werden können und er dadurch identifizierbar wird. An dieser Stelle sei erwähnt, dass ausschließlich der Erstbeschwerdeführer den gegenständlichen Laptop, mit dem er die verfahrensgegenständliche Website aufrief, verwendete und dieser mit einem persönlichen Passwort geschützt war (siehe Punkt 1.5.).
Zusammengefasst kann ausgeführt werden, dass der erkennende Senat, in Übereinstimmung mit den in der Begründung des angefochtenen Bescheids dargelegten Ausführungen der Datenschutzbehörde, von einer Verarbeitung von personenbezogenen Daten bei Besuch der verfahrensgegenständlichen Website durch den Erstbeschwerdeführer ausgeht. Die Zweit-, Dritt-, und Viertbeschwerdeführerinnen konnten den erkennenden Senat mit ihrem diesbezüglichen Vorbringen vor dem Hintergrund des hier vorliegenden Sachverhalts (ua. Setzung von Cookies im Browser des Erstbeschwerdeführers, Erfassung der Präferenzen betreffend die Einwilligung durch TC-String; vgl. dazu auch ErwGr 30. DSGVO; EuGH 01.10.2019, C-673/17, Rz 45, 67; EuGH 07.03.2024, C-604/22 Rz 50) nicht davon überzeugen, dass bei den in Rede stehenden Datenverarbeitungen kein Personenbezug in Hinblick auf den Erstbeschwerdeführer herstellbar wäre.
Da die Zweit-, Dritt- und Viertbeschwerdeführerinnen im verfahrensgegenständlichen Zeitpunkt darüber entschieden haben, welche Unternehmen Cookies über ihr Onlineportal setzen können, handelten diese zudem als Verantwortliche iSd. Art. 4 Z 7 DSGVO. Auch dieser Punkt ist für den erkennenden Senat gegenständlich nicht weiter strittig.
3.4.2. Zum Vorbringen der Zweit-, Dritt- und Viertbeschwerdegegnerinnen betreffend das Medienprivileg:
Es steht außer Zweifel, dass die Zweit-, Dritt- und Viertbeschwerdeführerinnen als Unternehmensgruppe journalistisch tätig und als Medieninhaberinnen iSd. MedienG anzusehen sind. Dennoch findet das Medienprivileg iSd. Art. 85 DSGVO sowie § 9 DSG auf den gegenständlichen Sachverhalt keine Anwendung. Erwägungsgrund 153 hält fest, dass im Recht der Mitgliedstaaten die Vorschriften über die freie Meinungsäußerung und Informationsfreiheit, auch von Journalisten, Wissenschaftlern, Künstlern und/oder Schriftstellern, mit dem Recht auf Schutz der personenbezogenen Daten gemäß dieser Verordnung in Einklang gebracht werden sollten. Für die Verarbeitung personenbezogener Daten ausschließlich zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken sollten Abweichungen und Ausnahmen von bestimmten Vorschriften dieser Verordnung gelten, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit dem Recht auf Freiheit der Meinungsäußerung und Informationsfreiheit, wie es in Artikel 11 der Charta garantiert ist, in Einklang zu bringen. Um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen, müssen Begriffe wie Journalismus, die sich auf diese Freiheit beziehen, weit ausgelegt werden. Die Verarbeitung personenbezogener Daten dient journalistischen Zwecken, wenn sie auf die Vermittlung von Informationen und Ideen über Fragen öffentlichen Interesses abzielt (Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz [DSG]2 § 9 Rz 25 [Stand 1.2.2022, rdb.at] mwN). Unter Verweis auf die Rechtsprechung des EGMR betonte der EuGH in seinem Urteil vom 14.02.2019, C-345/17, Kriterien, die bei der Abwägung hinsichtlich des Vorliegens „journalistischer Zwecke“ zu berücksichtigen sind. Dazu zählen insbesondere (i) der Beitrag zu einer Debatte von allgemeinem Interesse, (ii) der Bekanntheitsgrad der betroffenen Person, (iii) der Gegenstand der Berichterstattung, (iv) das vorangegangene Verhalten der betroffenen Person, (v) Inhalt, Form und Auswirkungen der Veröffentlichung, (vi) die Art und Weise sowie die Umstände, unter denen die Informationen erlangt worden sind und (vii) deren Richtigkeit (vgl. EuGH 14.02.2019, C-345/17 [Buivids]; Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 85 DSGVO Rz 8 ff [Stand 1.12.2020, rdb.at]).
In Anbetracht dieser Ausführungen und der von EuGH und EGMR erarbeiteten Kriterien kann die gegenständliche Verarbeitung personenbezogener Daten mittels Cookies nicht als Verarbeitung zu „journalistischen Zwecken“ qualifiziert werden, selbst wenn dadurch der für Journalisten zur Verfügung stehende Arbeitsrahmen finanziert wird und dadurch eine mittelbare Verbindung der Daten zu journalistischer Arbeit besteht. Die in Rede stehende Datenverarbeitung per se liefert keinen Beitrag zu einer Debatte von allgemeinem Interesse oder ähnlichem, sondern dient ausschließlich der Erwirtschaftung von Werbeeinnahmen oder der Wiedererkennung der eigenen Marke betreffend Social-Media-Plug-ins. Betreffend die Social-Media-Plug-ins ist den Ausführungen der Datenschutzbehörde zu folgen, demnach diese nicht ausschließlich journalistische Zwecke verfolgen, sondern es auch zu Übermittlung von personenbezogene Daten an ua XXXX oder XXXX kommt. So ergibt sich aus der Datenschutzerklärung, dass Social-Plug-in-Cookies das Verhalten von Usern im Internet speichern. Zudem wird in der Datenschutzerklärung darauf hingewiesen, dass die Zweit-, Dritt- und Viertbeschwerdeführerinnen keine Kenntnis vom vollständigen Inhalt der übermittelten Daten und deren Nutzung durch die jeweilige Social-Media-Plattform hätten. Die Argumentation der Datenschutzbehörde überzeugt, wonach, wenn die Zweit-, Dritt- und Viertbeschwerdeführerinnen selbst einräumen, dass Inhalt und Zweck der übermittelten Daten zum Teil unklar ist, nicht zeitgleich argumentiert werden kann, dass diese Daten ausschließlich zu journalistischen Zwecken verarbeitet werden.
Der Vollständigkeit halber sei an dieser Stelle zudem erwähnt, dass der Verfassungsgerichtshof (03.10.2024, E 3502/2024) in einem ähnlich gelagerten Fall die Behandlung der Beschwerde ablehnte. Diesbezüglich führte er aus, dass es keinen Bedenken im Hinblick auf Art. 10 EMRK begegnet, wenn das Bundesverwaltungsgericht im vorliegenden Fall davon ausgeht, dass die Verwendung von Cookies auf der Website der beschwerdeführenden Partei nicht zu „journalistischen Zwecken“ im Sinne des § 9 Abs. 1 Datenschutzgesetz, BGBl. I 165/1999, idF BGBl. I 62/2024 bzw. Art. 85 DSGVO erfolgt (vgl. EuGH 16.12.2008, C-73/07, Satakunnan Markkinapörssi und Satamedia).
3.4.3. Zum Vorbringen der Zweit-, Dritt- und Viertbeschwerdeführerinnen betreffend rechtsmissbräuchliche Beschwerdeerhebung durch den Erstbeschwerdeführer und rechtsmissbräuchliche Vorgehensweise seiner Rechtsvertretung:
Gemäß Art. 80 (1) DSGVO hat eine betroffene Person das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.
Die angeführten Kriterien treffen auf die Rechtsvertretung des Erstbeschwerdeführers unstrittig zu (siehe dazu Punkt 1.9.). Es bestehen für das Bundesverwaltungsgericht (wie zuvor für die Datenschutzbehörde) auch keine Zweifel an einer gültigen Vollmacht im erstinstanzlichen Verfahren. Dass eine Person – wie der Erstbeschwerdeführer im gegenständlichen Verfahren – sich nicht von einem einschlägig aktiven gemeinnützigen Verein vertreten lassen dürfte, weil er (zumindest) im Zeitpunkt der Beschwerdeerhebung Mitarbeiter bzw. Mitglied dieses Vereins war, kann der obigen Bestimmung nicht unterstellt werden.
Auch der Umstand, dass Österreich in diesem Zusammenhang keine Verbandsklagebefugnis (Art. 80 Abs. 2 DSGVO) vorgesehen hat, kann nicht dazu führen, dass Mitarbeiter/Mitglieder eines solchen Vereins nicht individuell Datenschutzbeschwerden im Fall vermuteter Datenschutzverletzungen im Zuge ihrer persönlichen Aktivitäten einbringen dürfen. Vielmehr würde eine Klagebefugnis gemäß Art. 80 (2) DSGVO auch deutlich weitergehen, weil sie „unabhängig von einem Auftrag der betroffenen Person“ wäre.
An dieser Stelle ist ebenso darauf hinzuweisen, dass das Ziel der DSGVO, wie sich aus ihrem Art. 1 und ihren Erwägungsgründen 1 und 10 ergibt, unter anderem darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres in Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union und in Art. 16 Abs. 1 AEUV verankerten Rechts auf Privatleben – bei der Verarbeitung personenbezogener Daten zu gewährleisten (siehe etwa EuGH 07.03.2024, C-604/22 Rz 53).
Die Beschwerdelegitimation des Erstbeschwerdeführers zu verneinen würde bedeuten, ihm effektiven Rechtschutz und das zitierte hohe durch die Unionsrechtsordnung eingeräumte Schutzniveau seiner Grundrechte und Grundfreiheiten vorzuenthalten. Aus diesen Erwägungen ist die Bejahung eines rechtsmissbräuchlichen Vorgehens äußerst behutsam und restriktiv vorzunehmen. Der erkennende Senat sieht keinen Rechtsmissbrauch im vorliegenden Fall. Lediglich aus dem Umstand, dass der Erstbeschwerdeführer (zumindest) im Zeitpunkt der Beschwerdeerhebung Mitarbeiter bzw. Mitglied des ihn vertretenden Vereins war, kann nicht dazu führen, dass er dadurch die ihm durch die DSGVO eingeräumten Rechte nicht geltend machen könnte. Dass es im Zuge der Beschwerdeerhebung zu umfangreichen vorbereitenden Tätigkeiten der Rechtsvertretung des Erstbeschwerdeführers gekommen sein mag, wie die Zweit-, Dritt- und Viertbeschwerdeführer ausführen, ist den in der vorliegenden Rechtssache verbundenen komplexen, auch technischen, Gegebenheiten geschuldet, und kann daraus ebenso kein rechtsmissbräuchliches Verhalten des Erstbeschwerdeführers und seiner Rechtsvertretung erkannt werden.
Anderes ergibt sich auch nicht aus den von den Zweit-, Dritt-, und Viertbeschwerdeführerinnen angeführten Judikaten des EuGH (Hinweis auf EuGH 09.01.2025, C-416/23 Rz 56; EuGH 26.02.2019, C-116/16 und C-117/16 Rz 97).
Die Rs. C-416/23 behandelte (ua.) die Frage nach den näheren Voraussetzungen, unter denen Aufsichtsbehörden von Art. 57 Abs. 4 DSGVO (bei offenkundig unbegründeten oder exzessiven Anfragen entweder eine angemessene Gebühr verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden) Gebrauch machen dürfen. Der EuGH forderte unter anderem den von einer Aufsichtsbehörde zu erbringenden Nachweis einer Missbrauchsabsicht der betroffenen Person, damit diese befugt ist, nach Art. 57 Abs. 4 DSGVO vorzugehen. Der EuGH hielt ebenso fest, dass die Frage der Missbrauchsabsicht – dh: ein anderer Zweck, der in keinem Zusammenhang mit dem Wunsch der betroffenen Person, ihre Rechte aus der DSGVO zu schützen, in Verbindung steht – jeweils einzelfallbezogen zu beurteilen ist. Unabhängig von der im vorliegenden Fall deutlich unterschiedlichen Sachverhaltskonstellation und den anzuwendenden Rechtsvorschriften (dort: Art. 57 Abs. 4 DSGVO, hier: Art. 80 DSGVO) ist festzuhalten, dass aus den Ausführungen zu entnehmen ist, warum der erkennende Senat ein rechtsmissbräuchliches Vorgehen des Erstbeschwerdeführers und seiner Rechtsvertretung nicht sieht und wird auf diese verwiesen.
Aus den verbundenen Rs. C-116/16 und C-117/16 ist für den Standpunkt der Zweit-, Dritt-, und Viertbeschwerdeführer ebenso fallbezogen nichts zu gewinnen. Zunächst ist anzuführen, dass dort eine Datenschutzsache nicht Gegenstand des Verfahrens war. Unter der Annahme, dass sich die dort getroffenen Aussagen ebenso auf Datenschutzsachen übertragen lassen, wovon aufgrund der allgemeinen Ausführungen des EuGH (aaO Rz 70 – 73) auszugehen ist, lässt sich im vorliegenden Fall dennoch nicht erkennen, dass der Erstbeschwerdeführer die Absicht gehabt hätte, sich durch die willkürliche Schaffung der entsprechenden Voraussetzungen einen unionsrechtlich vorgesehenen Vorteil zu verschaffen. Der erkennende Senat sieht fallbezogen nicht, dass sich der Erstbeschwerdeführer betrügerisch oder missbräuchlich auf das Unionsrecht berufen hätte. Wie sich aus den Feststellungen ergibt, hat der Erstbeschwerdeführer die verfahrensgegenständliche Website nicht nur im verfahrensgegenständlichen Zeitpunkt, sondern auch davor und danach zum Zwecke der Verfolgung aktueller (politischer) Ereignisse aufgerufen, woraus sich schließen lässt, dass der Erstbeschwerdeführer gerade nicht künstlich und willkürlich die Schaffung eines allfälligen Verstoßes gegen die DSGVO herbeigeführt hat (und dadurch betrügerisch oder missbräuchlich in den Genuss von im Unionsrecht vorgesehenen Vorteilen gelangt ist), sondern er tatsächlich ein Nutzer dieser Website ist. Gleichsam sind dadurch seine personenbezogenen Daten (Punkt 3.4.1.) verarbeitet worden. Der Erstbeschwerdeführer hat dem erkennenden Senat sowohl durch seine schriftlichen Eingaben als auch durch seine mündlichen Ausführungen vor der Datenschutzbehörde und dem Bundesverwaltungsgericht überzeugend den Eindruck einer Person vermittelt, die dem Schutz ihrer personenbezogenen Daten besondere Wichtigkeit beimisst – dies schließt der erkennende Senat insbesondere daraus, dass er regelmäßig seine Cookie-Historie löschte – und ein tatsächliches Interesse am Ausgang dieser Rechtssache hat, auch nach Beendigung seiner Tätigkeit bei XXXX , zumal er auch unmissverständlich während des Verfahrens darlegte, dass er kein kostenpflichtiges Abonnement abschließen möchte. Für den erkennenden Senat ist es auch nachvollziehbar, dass sich der Erstbeschwerdeführer in seinen Rechten verletzt sieht (siehe Erwägungsgrund 142 erster Satz). Eine willkürliche Schaffung der entsprechenden Voraussetzungen kann in Anbetracht dieser Umstände nicht erkannt werden. Betreffend die näheren Vorbereitungshandlungen im Zuge der Erhebung der Datenschutzbeschwerde wird auf die obenstehenden Ausführungen verwiesen.
Zusammenfassend kann festgehalten werden, dass das Vorgehen des Erstbeschwerdeführers sowie seiner Rechtsvertretung vor diesem Hintergrund rechtlich zweifelsfrei gedeckt ist.
3.5 Zur Abweisung der Bescheidbeschwerde der Zweit-, Dritt- und Viertbeschwerdeführerinnen
3.5.1. Die Zweit-, Dritt- und Viertbeschwerdeführerinnen bringen in ihrer gemeinsamen Bescheidbeschwerde unter anderem vor, dass Werbung im eigentlichen Sinne und Werbeplatz-Analysen untrennbar verbunden seien und die dahingehende Datenverarbeitung notwendig für die Bereitstellung ihres Onlineangebots sei. In diesem Sinne hätten Nutzer der verfahrensgegenständlichen Website die Möglichkeit, für ein Abonnement ohne Werbung zu zahlen, durch eine Einwilligung in die Verarbeitung ihrer personenbezogenen Daten eine Gratis-Version des Onlineangebots inklusive Werbung zu erhalten oder die aufgerufene Website wieder zu verlassen. Nach der bisherigen Rechtsansicht der Datenschutzbehörde sei ein solches Vorgehen zulässig gewesen. Eine einheitliche Einwilligung in die verschiedenen Datenverarbeitungsvorgänge sei angesichts des Erwägungsgrundes 43 angebracht und daher zulässig.
3.5.2. Soweit die Zweit-, Dritt- und Viertbeschwerdeführerinnen darauf hinweisen, dass die Datenschutzbehörde in den Jahren 2018 und 2019 festgestellt habe, dass das von ihnen verwendete Modell des „pay or okay“ zulässig sei, ist darauf hinzuweisen, dass die Datenschutzbehörde an eine bestimmte Rechtsansicht, die sie in der Vergangenheit vertreten hat, nicht gebunden ist. Aus der ständigen Rechtsprechung des VwGH geht eindeutig hervor, dass nur der Spruch eines Bescheids Bindungswirkung entfaltet und nicht etwa auch die Begründung (vgl. VwGH 09.11.2023, Ra 2021/08/0087; VwGH 01.03.2018, Ra 2017/16/0102; VwGH 30.06.2016, 2013/07/0262).
Wie eingangs dargelegt, handelt es sich bei den Zweit-, Dritt- und Viertbeschwerdeführerinnen um die Verantwortlichen iSd. Art. 4 Z 7 DSGVO, die die hier in Rede stehenden personenbezogenen Daten iSd. Art. 4 Z 1 DSGVO des Erstbeschwerdeführers verarbeiteten. Granularität ist als eines der Schlüsselelemente hinsichtlich der Freiwilligkeit von Datenverarbeitungen anzusehen. Gegenständlich mangelt es bereits an der Granularität, sodass eine Einwilligung im Sinne des Art. 6 Abs. 1 lit a DSGVO zu verneinen ist:
Art 4 Z 11 DSGVO definiert die „Einwilligung“ der betroffenen Person als jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Art. 6 Abs. 1 lit a DSGVO lautet (Hervorhebung nicht im Original):
„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;“
Dem Erwägungsgrund 32 kann entnommen werden, dass die Einwilligung sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen sollte. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden.
Im Erwägungsgrund 43 heißt es, dass die Einwilligung nicht als freiwillig erteilt gilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.
Die Zweit-, Dritt- und Viertbeschwerdeführerinnen brachten in ihrer Bescheidbeschwerde vor, dass aufgrund von Erwägungsgrund 43 eine gemeinsame Einwilligung zulässig sei. Dem ist Folgendes entgegenzuhalten: Im gegenständlichen Fall hat der Erstbeschwerdeführer nur eine einzelne Einwilligung für die Verwendung von Cookies für Webanalyse und digitale Werbemaßnahmen abgegeben. Die Einwilligung dient für mehrere in ihrer Datenschutzerklärung angeführte Verarbeitungszwecke (siehe Punkt 1.4.). So geht aus der Datenschutzerklärung unter „Analyse-Cookies“ klar hervor, dass diese auch den Zweck haben, die eigene Website zu optimieren XXXX Auch aus den Ausführungen des informierten Vertreters der Zweitbeschwerdeführerin im Zuge der mündlichen Verhandlung am 24.07.2025 ergibt sich, dass die Verantwortlichen auch ihre Website optimierten (siehe Punkt 1.12.). Dem Argument, dass eine einzelne Einwilligung im vorliegenden Fall „angebracht“ wäre, kann der erkennende Senat nicht folgen. Bereits aus der in der Datenschutzerklärung getroffenen Einteilung „Funktionale Cookies“, „Analyse-Cookies“ und „Werbe-Cookies“ wird deutlich, dass mit den Datenverarbeitungen unterschiedliche Zwecke verfolgt werden.
Gegenständlich konnte der Erstbeschwerdeführer nicht frei wählen, welchem Zweck er zustimmen möchte, sondern konnte er nur in ein Bündel an Verarbeitungszwecken einwilligen (vgl. EDSA-Leitlinie 05/2020 zur Einwilligung gemäß Verordnung 2016/679, 04.05.2020, Absatz 42). Der EDSA-Leitlinie zur Einwilligung kann entnommen werden, dass im Falle, dass der Verantwortliche verschiedene Zwecke für die Verarbeitung zusammengefasst hat und nicht versucht hat, gesonderte Einwilligungen für jeden Zweck einzuholen, die Freiheit fehlt. Diese Granularität ist eng verwandt mit dem Erfordernis, dass die Einwilligung für den konkreten Fall zu erteilen ist. Werden mit der Datenverarbeitung mehrere Zwecke verfolgt, liegt die Lösung für die Einhaltung der Bedingungen für eine gültige Einwilligung in der Granularität, dh. in der Trennung dieser Zwecke und dem Einholen der Einwilligung für jeden Zweck (vgl. EDSA-Leitlinie 05/2020, Absatz 44). Zudem bestätigt Art. 6 Abs. 1 lit. a DSGVO, dass die Einwilligung der betroffenen Person für „einen oder mehrere bestimmte“ Zwecke erteilt werden muss und dass eine betroffene Person in Bezug auf jeden dieser Zwecke eine Wahlmöglichkeit haben muss (EDSA-Leitlinie 05/2020, Abs. 55). Auch die Ausführungen der Leitlinie führen zum Ergebnis, dass es sich gegenständlich um keine granulare Einwilligung handelte, da es keine gesonderten Einwilligungen für die unterschiedlichen Zwecke gab. Der Erstbeschwerdeführer konnte nicht frei wählen, welchen Zwecken er zustimmen möchte. Der Verantwortliche hat nicht versucht, gesondert die Einwilligung für jeden Zweck einzuholen.
Aus der Stellungnahme 08/2024 zur „Wirksamkeit von Einwilligungen im Kontext von ‚Consent or Pay‘-Modellen großer Online-Plattformen“ des EDSA ergibt sich, dass wenn der betroffenen Person ein „Consent or Pay“-Modell präsentiert wird, ihr es freistehen sollte, welche individuellen Zwecke sie wählt, anstatt nur die Möglichkeit zu haben, in ein Bündel mit sämtlichen Verarbeitungszwecken einwilligen zu können. Die Granularität steht in engem Zusammenhang mit der Anforderung, dass die Einwilligung für einen bestimmten Zweck erteilt werden muss. Weiters wird in der Stellungnahme ausgeführt, dass die Granularität der Einwilligung in Bezug auf verhaltensorientierte Werbung durch große Online-Plattformen besondere Aufmerksamkeit verdient, da die dort herrschende komplexe Dynamik erhebliche Herausforderungen mit sich bringt. In diesem Zusammenhang wurde in der Stellungnahme des EDSA darauf hingewiesen, dass an verhaltensorientierter Werbung beteiligte Online-Plattformen technisch fortschrittliche Infrastrukturen nutzen, die häufig Teil eines digitalen Ökosystems sind, in dem höchstwahrscheinlich mehrere Datensätze aus verschiedenen Quellen kombiniert, analysiert und unter Umständen auch in Echtzeit versteigert werden. Angesichts dieser unterschiedlichen Dynamiken ist es nicht datenschutzkonform, wenn Verantwortliche den betroffenen Personen nur die Möglichkeit einer pauschalen Einwilligung für eine Reihe verschiedener Zwecke wie die Personalisierung von Inhalten, die Personalisierung von Werbung, die Entwicklung oder Verbesserung von Diensten sowie die Publikumsmessung anbieten. In diesem Sinn erinnert der EDSA daran, dass es den betroffenen Personen freistehen sollte, welchen Zweck sie akzeptieren, anstatt mit einem einzigen Einwilligungsersuchen konfrontiert zu werden, in dem sämtliche Zwecke zusammengefasst werden. In diesem Zusammenhang sollte der Schwerpunkt auf der Unterscheidung zwischen den mit der Funktionalität des Dienstes zusammenhängenden Zwecken einerseits und Zwecken der verhaltensorientierten Werbung sowie den damit verbundenen Verarbeitungsvorgängen andererseits liegen (EDSA-Stellungnahme 08/2024, Abs. 139 f).
Auch die Ausführungen in dieser EDSA-Stellungnahme führen zum Schluss, dass es an der Granularität gegenständlich mangelt. Die Verantwortlichen, die verhaltensorientierte Werbung betreiben, haben dem Erstbeschwerdeführer nur die Möglichkeit einer pauschalen Einwilligung und einen einzigen Einwilligungsversuch für eine Reihe verschiedener Zwecke wie die Personalisierung von Werbung aber auch die Entwicklung oder Verbesserung von Diensten angeboten. Festgehalten wird, dass sich diese Stellungahme – wie dieser zu entnehmen ist – in der Regel, aber nicht ausschließlich, an große Online-Plattformen richtet. Die Erwägungen können sich generell als nützlich für die Anwendung des Begriffs der Einwilligung von „Consent or Pay“-Modellen erweisen (EDSA-Stellungnahme 08/2024, Abs. 31).
Das Argument der Zweit-, Dritt- und Viertbeschwerdeführerinnen, wonach personalisierte Werbung am Markt derzeit nunmehr fast ausschließlich von Werbekunden begehrt werde und damit auch zwingend eine Werbeanalyse verbunden sein müsse, ist kein rechtliches Argument iSd DSGVO. „Werbung“ als zugrundeliegendes Ziel im Hintergrund kann nicht als gemeinsamer Zweck erachtet werden. Diesbezüglich gilt zu bedenken, dass die Datenverarbeitungen jedenfalls, wie aufgezeigt, auch der Optimierung der Website dienten. Die Datenschutzbehörde legte ihrem Bescheid zugrunde, dass eine Einwilligung zum Zweck der Anzeige (personalisierter) Werbung und der Messung des Werbeerfolgs angemessen und möglich wäre, eine Einwilligung in weitere Verarbeitungsvorgänge (insbesondere Cookies zur Website-Optimierung und Social-Media-Plug-ins) jedoch nicht. Im Übrigen steht die Annahme, dass es angemessen bzw. angebracht wäre, dass die Einwilligung auch weitere Verarbeitungen umfasse, auch dem Grundsatz der Datenminimierung iSd Art 5 Abs. 1 lit. c DSGVO entgegen (siehe auch Stellungnahme des Erstbeschwerdeführers vom 15.09.2023 Rz 17f). Zu bedenken gilt auch, dass es für den Nutzer nicht ersichtlich ist, dass es sich um einen einzigen Zweck handeln sollte, diesbezüglich wird nochmals auf die Cookie-Einteilung in der Datenschutzerklärung verwiesen. Wird eine betroffene Person beispielweise nicht hinreichend über alle Umstände im Zusammenhang mit einer Verarbeitung personenbezogener Daten, einschließlich des Zwecks der Verarbeitung und der Empfänger der Daten, informiert, steht dies der Erteilung einer „informierten“ Einwilligung entgegen, was zur Rechtswidrigkeit dieser Verarbeitung führt (Bergauer/Gosch, Datenschutzrecht, S. 126). Doch selbst wenn entgegen obenstehender Ausführungen von einem (einzigen) Zweck ausgegangen werden könnte – die Zweit-, Dritt- und Viertbeschwerdeführerinnen bringen den Zweck der Generierung von Werbeeinnahmen vor (siehe etwa Bescheidbeschwerde Rz 5, 40) – wäre der Erstbeschwerdeführer nicht ausreichend über die Zwecke der Verarbeitung informiert.
In diesem Zusammenhang wird in Hinblick auf die von Zweit-, Dritt- und Viertbeschwerdeführerinnen vorgelegten Consent-Wall der XXXX bemerkt, dass diesbezüglich eine gesonderte Einwilligung hinsichtlich „Werbung (Zustimmung nötig)“, „Webanalyse und Websiten-Optimierung“ sowie „Laden externer Resourcen [sic!] (u.a. social embeds)“ jeweils möglich ist.
Der Datenschutzbehörde ist auch zuzustimmen, dass ein Vorgehen, bei dem nicht einmal versucht wird, die Vorgaben hinsichtlich der Granularität einzuhalten und bei dem eine „Pauschaleinwilligung“ einer kostenpflichtigen Abonnement-Variante gegenübergestellt wird, kein angemessener Ausgleich der Grundrechte nach Art. 8 EU-GRC (Schutz personenbezogener Daten) und Art 16 EU-GRC (unternehmerische Freiheit) sein kann. Alleine der Umstand eines wirtschaftlichen Interesses kann nicht dazu führen, dass es angemessen iSd Erwägungsgrundes 43 ist, für unterschiedliche Verarbeitungsvorgänge keine gesonderten Einwilligungen einzuholen. Festgehalten wird, dass sowohl die Werbe-Cookies als auch die Analyse-Cookies laut Datenschutzerklärung Profiling durchführen.
Auch lässt sich aus der EuGH Entscheidung „Planet49 GmbH“ (EuGH 01.10.2019, C-673/17, Rz 58) ableiten, dass eine Willensbekundung (i.e. Einwilligung in die Datenverarbeitung) für den konkreten Fall erfolgen muss, weshalb sich die Willensbekundung auf die jeweils betreffende Datenverarbeitung beziehen muss, was im gegenständlichen Sachverhalt mit diversen Verarbeitungsvorgängen und -zwecken nicht der Fall war (vgl. auch Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 4 Z 11 DSGVO Rz 11 [Stand 1.12.2020, rdb.at]). Auch nach Buchner/Kühling muss die Zweckbestimmung zur Einwilligung so präzise wie möglich erfolgen, um sicherzustellen, dass personenbezogene Daten nicht für unvorhergesehene Zwecke verarbeitet werden (vgl. Buchner/Kühling in Kühling/Buchner D-SGVO, BDSG Kommentar⁴ Art 7 Rz 61 [2024]).
Im Übrigen weichen die Verarbeitungszwecke auch wesentlich iSd Beschlusses der (deutschen) Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 22.03.2023 voneinander ab. Gegenständlich haben Nutzende keine Möglichkeit, die einzelnen Zwecke, zu denen eine Einwilligung eingeholt werden soll, selbst und aktiv auswählen zu können. Ein sehr enger Zusammenhang zwischen der Webanalyse, die die Optimierung der Website umfasst, und personalisierten bzw. digitale Werbemaßnahmen kann nicht erkannt werden. Diesbezüglich wird bemerkt, dass auch in der Vergangenheit vor Verwendung personalisierter Werbemaßnahmen eine Webanalyse stattgefunden hat (siehe Punkt 1.12.). Gegenständlich ist es durchaus denkbar, dass ein Nutzer zwar einer Datenverarbeitung zustimmen würde, damit eine von ihm regelmäßig besuchte Website optimiert werden könnte, aber er eine Datenverarbeitung für personalisierte bzw. digitale Werbemaßnahmen ablehnen würde. Der Ansicht der Zweit-, Dritt- und Viertbeschwerdeführerinnen, wonach ein „sehr enger Zusammenhang“ bestehe und eine Bündelung in Betracht komme (siehe etwa Stellungnahme 12.09.2023), kann nicht gefolgt werden. Daher muss die pauschale Gesamteinwilligung in verschiedene Zwecke als nicht wirksam erteilt angesehen werden.
Festgehalten wird, dass sich die Zweit-, Dritt- und Viertbeschwerdeführerinnen betreffend die Social-Media-Plug-ins hinsichtlich der verfahrensgegenständlichen Datenverarbeitung ausschließlich auf das Medienprivileg und nicht auf eine Einwilligung gestützt haben (siehe etwa Schriftsatz 07.07.2025 Rz 68 und VH 24.07.2025 S. 4). Wie der Begründung in 3.4.2. entnommen werden kann, wurde den Ausführungen der Zweit-, Dritt- und Viertbeschwerdeführerinnen zum Medienprivileg nicht gefolgt. Auch hinsichtlich der Social-Media-Plug-ins ist eine Granularität der Einwilligung zu verneinen.
3.5.3. Da bereits aufgrund der fehlenden Granularität keine rechtsgültige Einwilligung in die Datenverarbeitungsvorgänge der Zweit-, Dritt- und Viertbeschwerdeführerinnen vorlag, ergibt sich bereits dadurch die Unwirksamkeit der Einwilligung des Erstbeschwerdeführers im verfahrensgegenständlichen Zeitpunkt.
In diesen Zusammenhang überzeugen auch die Ausführungen der Zweit-, Dritt- und Viertbeschwerdeführerinnen nicht, wonach diese nicht für die Datenverarbeitung mittels Social-Media-Plugins verantwortlich wären und wird diesbezüglich auf das Urteil des EuGH vom 29.07.2019, C-40/17 insb. Rz 64 ff, verwiesen.
Im Übrigen wird darauf hingewiesen, dass das Setzen oder Auslesen von Cookies gemäß Art 5 Abs. 3 der Richtlinie 2002/58/EG, umgesetzt in § 165 Abs. 3 TKG 2021, eine gültige Einwilligung erfordert (vgl. EuGH 01.10.2019, C-673/17, insbesondere Rz 46 und 49).
Die Einwilligung des Erstbeschwerdeführers war, wie ausgeführt, unwirksam und war die darauffolgende Datenverarbeitung daher unrechtmäßig. Eine nähere Auseinandersetzung mit den weiteren Erlaubnistatbeständen des Art. 6 Abs. 1 DSGVO konnte daher unterbleiben.
Diesbezüglich wird auch auf die EDSA-Leitlinien 05/2020 Rz 123 zur Einwilligung verwiesen, demnach sich der Verantwortliche nicht rückwirkend auf eine andere Rechtsgrundlage nach Art. 6 DSGVO berufen kann. Aufgrund der Verpflichtung, die Rechtsgrundlage, auf die sich der Verantwortliche stützt, zum Zeitpunkt der Erhebung der personenbezogenen Daten anzugeben, müssen Verantwortliche vor der Erhebung entschieden haben, welche Rechtsgrundlage zur Anwendung kommt.
3.5.4. Ergebnis betreffend die Bescheidbeschwerden der Zweit-, Dritt- und Viertbeschwerdeführerinnen:
Die Datenschutzbehörde hat aus den unter Punkt 3.5. angeführten Gründen daher zu Recht festgestellt, dass die Zweit- Dritt- und Viertbeschwerdeführerinnen gegen den Grundsatz der Rechtmäßigkeit gemäß Art. 5 Abs. 1 lit. a iVm Art. 6 Abs. 1 DSGVO verstoßen und den Erstbeschwerdeführer damit auch im Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG verletzt haben, indem diese beim Besuch der verfahrensgegenständlichen Website am 12.08.2021 personenbezogene Daten des Erstbeschwerdeführers unrechtmäßig verarbeitet haben (siehe Spruchpunkt 1. des angefochtenen Bescheids).
Vor diesem Hintergrund hat die Datenschutzbehörde auch rechtmäßig – vorbehaltlich der Ausführungen unter Punkt 3.6. – von ihrer Abhilfebefugnis nach Art. 58 DSGVO Gebrauch gemacht (siehe Feststellung unter Punkt 1.10; Spruchpunkt 2. des angefochtenen Bescheids). Die für das Bundesverwaltungsgericht maßgebliche Sach- und Rechtslage bestimmt sich – mangels anderer gesetzlicher Regelung – nach dem Zeitpunkt der verwaltungsgerichtlichen Entscheidung (vgl. bspw. VwGH 24.03.2015, Ro 2014/09/0066). Wie sich jedoch aus der Feststellung unter Punkt 1.11. ergibt, wurden die in Punkt 1.6. genannten Cookie Werte (value) und Browserdaten gelöscht. Da die Daten zum Zeitpunkt der verwaltungsgerichtlichen Entscheidung bereits gelöscht waren, war der Spruchpunkt 2.) des bekämpften Bescheids ersatzlos zu beheben. Der Löschungsauftrag zielte nämlich auf die Beseitigung der vorhandenen Ergebnisse der rechtswidrigen Datenverarbeitung ab (vgl dazu VwGH 14.12.2021, Ro 2021/04/0007, Punkt 4.5.).
3.5.5. Zur Anregung eines Vorabentscheidungsersuchens:
Von den Parteien wird in diversen Stellungnahmen angeregt, den EuGH mit der Klärung näher genannter Rechtsfragen (betreffend rechtsmissbräuchliches Verhalten und Wirksamkeit einer datenschutzrechtlichen Einwilligung im Zuge eines „Pay or Okay“-Modells) zu befassen.
Zunächst ist darauf hinzuweisen, dass das Bundesverwaltungsgericht berechtigt, aber nicht verpflichtet ist, ein Vorabentscheidungsersuchen an den EuGH zu stellen (siehe Schima in Jaeger/Stöger [Hrsg], EUV/AEUV Art 267 AEUV Rz 84 und Rz 84/2 [Stand 1.3.2020, rdb.at] mit Hinweis auf EuGH 05. 10. 2010, C-173/09, Elchinov, Rz 28 mwN).
Was das von den Zweit-, Dritt-, und Viertbeschwerdeführerinnen vorgebrachte (hier: verneintes) rechtsmissbräuchliche Verhalten des Erstbeschwerdeführers und seiner Vertretung betrifft, wird in Erinnerung gerufen, dass das Vorliegen eines derartigen Verhaltens jeweils einzelfallbezogen zu beurteilen ist. Etwas anderes ergibt sich auch aus der von den Zweit-, Dritt-, und Viertbeschwerdeführerinnen zitierten Rechtsprechung des EuGH (Hinweis auf EuGH 09.01.2025, C-416/23 Rz 56; EuGH 26.02.2019, C-116/16 und C-117/16 Rz 97) nicht. Der erkennende Senat ist nach einer Einzelfallprüfung in der vorliegenden Rechtssache zum Ergebnis gekommen, dass ein rechtsmissbräuchliches Verhalten des Erstbeschwerdeführers und seiner Rechtsvertretung nicht vorliegt, und wird auf die diesbezüglichen Ausführungen verwiesen.
Bei der Frage der Wirksamkeit einer datenschutzrechtlichen Einwilligung im Rahmen des „Pay or Okay“-Modells der Zweit-, Dritt-, und Viertbeschwerdeführerinnen stützte sich der Senat insbesondere auf die Erwägungsgründe der DSGVO, EDSA-Leitlinien 05/2020, die EDSA-Stellungnahme 08/2024 sowie auf die Ausführungen des EuGH im Urteil vom 01.10.2019, C-673/17. In diesem Zusammenhang wird in Erinnerung gerufen, dass der EDSA nach Art. 70 Abs. 1 erster Satz DSGVO die einheitliche Anwendung der DSGVO sicherstellt (siehe insb. Art. 70 Abs. 1 lit. e DSGVO). Zudem stützt sich die hier vorliegende Entscheidung maßgeblich auf die mangelnde Granularität der datenschutzrechtlichen Einwilligung, die bei den Anregungen der Parteien betreffend ein Vorabentscheidungsersuchen gerade nicht angesprochen wurde, gleichwohl es den Parteien bewusst war, dass sich bereits die Datenschutzbehörde in ihrem Bescheid auf die fehlende Granularität stützte und diese bereits im Bescheid den zentralen Aspekt darstellte. Die von den Parteien angeregten Vorlagefragen sind daher vorliegenden Falls nicht entscheidungserheblich (siehe VwGH 10.12.2024, Ro 2021/04/0022 Rz 80 mwN).
3.6. Zur Stattgabe der Bescheidbeschwerde des Erstbeschwerdeführers
Die Bescheidbeschwerde des Erstbeschwerdeführers richtet sich lediglich gegen Spruchpunkt 3. des gegenständlichen Bescheids, insoweit dieser die Zurückweisung des Antrags auf Verhängung eines Verarbeitungsverbots betrifft.
Hat die Datenschutzbehörde einen Antrag zurückgewiesen und wird dagegen Beschwerde erhoben, ist „Sache“ des Beschwerdeverfahrens vor dem Verwaltungsgericht lediglich die Frage der Rechtmäßigkeit dieser Zurückweisung. Das Verwaltungsgericht hat allein zu prüfen, ob die inhaltliche Behandlung des Antrags zu Recht verweigert worden ist (vgl. etwa VwGH 4.5.2023, Ra 2020/11/0227, mwN). Mit einer meritorischen Entscheidung über den Antrag überschreitet das Verwaltungsgericht hingegen die „Sache“ des Beschwerdeverfahrens (vgl. VwGH 07.03.2024; Ra 2023/14/0456 mwN.).
In Spruchpunkt 3. des angefochtenen Bescheids nahm die Datenschutzbehörde eine Zurückweisung des Antrages des Erstbeschwerdeführers vor und enthält die Begründung diesbezüglich nur Ausführungen, die nicht als meritorische Auseinandersetzung mit dem Vorbringen des Beschwerdeführers zu seinem Antrag, die Abhilfemaßnahme des Verarbeitungsverbotes anzuordnen, verstanden werden können. Mit dieser Entscheidung hat die Datenschutzbehörde über die Nichtzulässigkeit des Antrages des Erstbeschwerdeführers auf Verhängung eines Verarbeitungsverbotes mangels eines subjektiven Rechtes bzw. einer Auswahlbefugnis des Erstbeschwerdeführers abgesprochen. Ausgehend davon kann nicht gesagt werden, dass sich die Datenschutzbehörde lediglich im Ausdruck vergriffen hätte und inhaltlich über den Antrag des Erstbeschwerdeführers absprechen wollte bzw. abgesprochen hätte. Vielmehr kommt in dieser Erledigung zweifelsfrei der Wille der Datenschutzbehörde zum Ausdruck, mangels eines subjektiven Rechts bzw. einer Auswahlbefugnis des Erstbeschwerdeführers bezüglich einer Abhilfemaßnahme gemäß Art. 58 Abs. 2 DSGVO betreffend das von ihm beantragte Verarbeitungsverbot keine Sachentscheidung zu treffen, sodass ein Umdeuten dieses klaren behördlichen Willens nicht zulässig ist.
Die Datenschutzbehörde führte in ihrem Bescheid nur sehr knapp aus, warum sie kein Verarbeitungsverbot verhängte. Aus dem Wortlaut von Art. 58 Abs. 2 lit. f DSGVO könne dies ebenso nicht wie aus der Judikatur des EuGH aus dem Jahr 2020 abgeleitet werden. So habe dieser festgehalten, dass eine Aufsichtsbehörde zwar verpflichtet sei, im Falle eines festgestellten Verstoßes geeignete Abhilfemaßnahmen zu treffen. Die konkrete Auswahl der Abhilfebefugnisse obliege jedoch der Aufsichtsbehörde. Wenn nach dem EuGH die Auswahl der Abhilfebefugnisse aber Sache der Aufsichtsbehörde sei, so könne umgekehrt kein subjektiver Rechtsanspruch auf die Ausübung einer ganz konkreten Abhilfebefugnis bestehen.
Zur (hier allein relevanten) Frage, ob die Datenschutzbehörde den Antrag des Erstbeschwerdeführers zu Recht zurückgewiesen hat, ist Folgendes auszuführen:
Der Erstbeschwerdeführer hält der Zurückweisung seines Antrags auf Verhängung eines Verarbeitungsverbots durch die Datenschutzbehörde zusammengefasst entgegen, dass die Entscheidung der Datenschutzbehörde bezüglich der Anordnung der Löschung nach den Umständen des konkreten Falles nur einen unzulänglichen Rechtsschutz gegen mögliche zukünftige Datenverarbeitungen biete. Es bestehe gegenständlich eine imminente Wiederholungsgefahr. Selbst falls man daher einen subjektiven Anspruch auf Verhängung eines Verarbeitungsverbots verneine, müsse die Datenschutzbehörde gegenständlich ein solches verhängen.
Diese Ausführungen des Erstbeschwerdeführers führen seine Beschwerde im Ergebnis zum Erfolg.
Der EuGH hat in seiner Entscheidung vom 26.09.2024, C-768/21, auszugsweise Folgendes ausgeführt:
„37 Insoweit ist darauf hinzuweisen, dass die DSGVO der Aufsichtsbehörde ein Ermessen hinsichtlich der Art und Weise einräumt, wie sie der festgestellten Unzulänglichkeit abhilft, da Art. 58 Abs. 2 DSGVO der Aufsichtsbehörde die Befugnis verleiht, verschiedene Abhilfemaßnahmen zu ergreifen. So hat der Gerichtshof bereits entschieden, dass es der Aufsichtsbehörde obliegt, unter Berücksichtigung aller Umstände des konkreten Falles das geeignete und erforderliche Mittel zu wählen, und sie verpflichtet ist, mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen (vgl. in diesem Sinne Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C-311/18, EU:C:2020:559, Rn. 112).
38 Dieses Ermessen wird jedoch durch das Erfordernis begrenzt, durch einen klar durchsetzbaren Rechtsrahmen ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten, wie sich aus den Erwägungsgründen 7 und 10 der DSGVO ergibt.
[…]
41 Somit kann weder aus Art. 58 Abs. 2 DSGVO noch aus Art. 83 dieser Verordnung abgeleitet werden, dass die Aufsichtsbehörde verpflichtet wäre, in jedem Fall, wenn sie eine Verletzung des Schutzes personenbezogener Daten feststellt, eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, da ihre Verpflichtung unter derartigen Umständen darin besteht, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen. Daher steht, wie der Generalanwalt in Nr. 81 seiner Schlussanträge ausgeführt hat, dem Beschwerdeführer, dessen Rechte verletzt wurden, kein subjektives Recht zu, dass die Aufsichtsbehörde gegen den für die Verarbeitung Verantwortlichen eine Geldbuße verhängt.
42 Dagegen ist die Aufsichtsbehörde zum Einschreiten verpflichtet, wenn das Ergreifen einer oder mehrerer der in Art. 58 Abs. 2 DSGVO vorgesehenen Abhilfemaßnahmen unter Berücksichtigung aller Umstände des konkreten Falles geeignet, erforderlich und verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.
[…]
44 Die Auslegung, wonach die Aufsichtsbehörde, wenn sie eine Verletzung des Schutzes personenbezogener Daten feststellt, nicht in jedem Fall verpflichtet ist, eine Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO zu ergreifen, wird durch die mit Art. 58 Abs. 2 und Art. 83 dieser Verordnung verfolgten Ziele bestätigt.
[…]
49 Da Beschlüsse einer Aufsichtsbehörde über eine Beschwerde einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegen (Urteil vom 7. Dezember 2023, SCHUFA Holding [Restschuldbefreiung], C-26/22 und C-64/22, EU:C:2023:958, Rn. 70), ist es Sache des vorlegenden Gerichts, zu prüfen, ob sich der HBDI mit aller gebotenen Sorgfalt mit der betreffenden Beschwerde befasst hat und beim Erlass des im Ausgangsverfahren in Rede stehenden Bescheids die Grenzen des Ermessens, das ihm Art. 58 Abs. 2 DSGVO einräumt, eingehalten hat (vgl. entsprechend Urteil vom 7. Dezember 2023, SCHUFA Holding [Restschuldbefreiung], C-26/22 und C-64/22, EU:C:2023:958, Rn. 68 und 69 sowie die dort angeführte Rechtsprechung).
50 Nach alledem ist auf die Vorlagefrage zu antworten, dass Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 DSGVO dahin auszulegen sind, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.“
Aus diesem Urteil des EuGH ergibt sich (im Sinne der Ansicht der Datenschutzbehörde), dass ein subjektives Recht des Erstbeschwerdeführers auf eine (bestimmte) Abhilfemaßnahme gemäß Art. 58 Abs. 2 DSGVO durch die Aufsichtsbehörde mit der Einräumung von Ermessen an die Aufsichtsbehörde nicht ausgedrückt wird.
Da Art. 58 Abs. 2 DSGVO dem Erstbeschwerdeführer, dessen Datenschutzrechte verletzt wurden, kein subjektives Recht auf eine (bestimmte) Abhilfemaßnahme, etwa auf Anordnung eines Verarbeitungsverbotes gemäß Art. 58 Abs. 2 lit. f DSGVO, durch die Datenschutzbehörde einräumt, kommt ihm auch kein diesbezügliches Antragsrecht zu. Ein (wie im vorliegenden Fall) dennoch gestellter Antrag wäre daher – wie die Datenschutzbehörde an sich zutreffend erkannt hat – mangels Antragslegitimation zurückzuweisen (vgl. neuerlich VwGH 24.02.2022, Ra 2020/05/0231).
Aus Art. 57 Abs. 1 lit. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 DSGVO sowie den Urteilen des EuGH vom 26.09.2024, C-768/21, und vom 07.12.2023, C-26/22 und C-64/22, ergibt sich hingegen, dass ein auf Anordnung einer bestimmten Abhilfemaßnahme lautendes Begehren einer in ihren Datenschutzrechten verletzten Person nicht allein deshalb (mangels eines subjektiven Rechtes bzw. einer Auswahlbefugnis) zurückgewiesen werden darf, ohne dass eine – den eben genannten Urteilen des EuGH entsprechende – inhaltliche Prüfung dahin vorgenommen worden wäre, ob das Ergreifen einer (weiteren) in Art. 58 Abs. 2 DSGVO vorgesehenen Abhilfemaßnahme unter Berücksichtigung aller Umstände des konkreten Falles geeignet, erforderlich und verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten, wobei sich die Datenschutzbehörde mit aller gebotenen Sorgfalt damit zu befassen hat sowie beim Erlass ihrer diesbezüglichen Entscheidung die Grenzen des Ermessens, das ihr Art. 58 Abs. 2 DSGVO einräumt, einzuhalten hat. Die mangelnde Verpflichtung der Datenschutzbehörde, als Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nach Art. 58 Abs. 2 DSGVO eine Abhilfemaßnahme zu ergreifen, ist nach Ansicht des EuGH in seinem Urteil in der Rechtssache C-768/21 nur dann gegeben, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.
Die Aufsichtsbehörde ist daher aufgrund der unionsrechtlichen Vorgaben der Art. 57 Abs. 1 lit. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 DSGVO verpflichtet, (bereits) im Rahmen der Beurteilung (der Zulässigkeit) einer Datenschutzbeschwerde bzw. (wie im vorliegenden Fall) eines Antrages hierzu, mit dem eine bestimmte Abhilfemaßnahme begehrt wird, eine inhaltliche Prüfung im oben dargestellten Sinn durchzuführen, die dann der vollen inhaltlichen Überprüfung durch ein Gericht unterliegt (vgl. dazu die Ausführungen des EuGH in der Rechtssache C-768/21, Rz 49, wonach Beschlüsse einer Aufsichtsbehörde über eine Beschwerde einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegen und es Sache des Gerichts ist, zu prüfen, ob sich die Aufsichtsbehörde mit aller gebotenen Sorgfalt mit der betreffenden Beschwerde befasst hat und beim Erlass des Bescheides die Grenzen des Ermessens, das ihr Art. 58 Abs. 2 DSGVO einräumt, eingehalten hat).
Im vorliegenden Fall hat die Datenschutzbehörde in ihrer Entscheidung über den gegenständlichen Antrag des Erstbeschwerdeführers eine derartige inhaltliche Beurteilung im Sinne des bereits zitierten Unionsrechtes und der dazu ergangenen, zuvor angeführten Rechtsprechung des EuGH aber nicht vorgenommen, sondern ohne Fällung einer Sachentscheidung zurückgewiesen. Die Datenschutzbehörde hat zwar eine Abhilfemaßnahme iSd Art. 58 DSGVO ergriffen, indem sie die Löschung der personenbezogenen Daten des Erstbeschwerdeführers angeordnet hat, jedoch hat sie sich mit der vom Erstbeschwerdeführer begehrten (und nach seinen Ausführungen einzig geeigneten bzw. wirksamen) Maßnahme der Untersagung der Verarbeitung gar nicht inhaltlich auseinandergesetzt.
Vor diesem Hintergrund ist jedenfalls nicht zu erkennen, dass sich die Datenschutzbehörde nach der Vorgabe des EuGH mit aller gebotenen Sorgfalt mit dem gegenständlichen Antrag und dem begehrten Verarbeitungsverbot befasst hat. Die Datenschutzbehörde hat eine andere Maßnahme angeordnet, wobei sie die Gründe, weshalb sie die Anordnung der Löschung für zweckmäßiger erachtet hat, nicht offengelegt hat. Die Datenschutzbehörde hätte aber im Sinne einer inhaltlichen Auseinandersetzung unter Behandlung des Vorbringens des Erstbeschwerdeführers zu prüfen gehabt, ob die von ihr angeordnete Maßnahme der Löschung ausreichend ist, um dem Verstoß iSd Rechtsprechung des EuGH abzuhelfen, oder ob – wie der Erstbeschwerdeführer dartut – eine andere (zusätzliche) Maßnahme erforderlich ist, und das Ergebnis ihrer Prüfung in ihrer Entscheidung nachvollziehbar darzulegen gehabt. Damit hat die Datenschutzbehörde ihr Ermessen hinsichtlich der Frage der Anordnung eines Verarbeitungsverbotes im Rahmen der gegenständlich angefochtenen Entscheidung nicht wahrgenommen und im Ergebnis eine inhaltliche Prüfung des Antrages des Erstbeschwerdeführers auf Ergreifung einer bestimmten Abhilfemaßnahme verweigert.
Nach dem oben Gesagten stehen aber einer derartigen Verweigerung der inhaltlichen Prüfung mit der Begründung des Nichtvorliegens eines subjektiven Rechtes die unionsrechtlichen Vorgaben der Art. 57 Abs. 1 lit. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 DSGVO entgegen. Diesen kann auf dem Boden der geltenden Rechtslage aber nur so nachgekommen werden, dass von einer solchen Begründung für die Zurückweisung eines Antrages auf Verhängung einer bestimmten Abhilfemaßnahme – und damit in diesem Umfang auch von einer Zurückweisung mangels Antragslegitimation bzw. eines subjektiven Rechts (vgl. oben Punkt) – Abstand genommen wird (vgl. etwa zu einem Folgeantrag auf internationalen Schutz VwGH 19.10.2021, Ro 2019/14/0006, siehe insbesondere Rz 82).
Die mangelnde inhaltliche Prüfung und Ermessensausübung der Aufsichtsbehörde kann vorliegend vom Bundesverwaltungsgericht auch nicht saniert bzw. nachgeholt werden, zumal nach ständiger Rechtsprechung des Verwaltungsgerichtshofs ein Verwaltungsgericht auf Grund einer gegen eine Zurückweisung erhobenen Beschwerde nur über die Rechtmäßigkeit des Zurückweisungsbescheides, nicht hingegen meritorisch über den Antrag selbst entscheiden darf. Für den Antrag des Erstbeschwerdeführers, das Bundesverwaltungsgericht möge der mitbeteiligten Partei gemäß Art. 58 Abs. 2 lit. f DSGVO verbieten, personenbezogene Daten des Erstbeschwerdeführers, bei Besuch der verfahrensgegenständlichen Website ohne wirksame Einwilligung iSd Art. 6 Abs. 1 lit. a DSGVO zu verarbeiten, verbleibt daher vorliegend kein Raum.
Festgehalten wird, dass die Akten in der mündlichen Verhandlung wegen ihres sachlichen und rechtlichen Zusammenhanges gemäß § 39 Abs. 2 AVG iVm § 17 VwGVG zur gemeinsamen Entscheidung verbunden wurden.
Eine mündliche Verkündung am Ende der Verhandlung war aufgrund einer notwendigen, näheren Befassung mit dem in der mündlichen Verhandlung vorgelegten, umfassenden neuen Beweismitteln nicht möglich.
Zu B) Ausspruch über die Zulässigkeit der Revision:
Zulässigkeit der Revision betreffend Spruchpunkt A) II. 1.:
Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt.
Der Verwaltungsgerichtshof hat sich in seiner Rechtsprechung bis dato nicht mit der sogenannten Granularität einer datenschutzrechtlichen Einwilligung auseinandergesetzt. So ist derzeit höchstgerichtlich nicht geklärt, ob und unter welchen näheren Voraussetzungen eine einzige Einwilligung („Generaleinwilligung“) für mehrere Datenverarbeitungen bzw. Datenverarbeitungsvorgänge wirksam erteilt werden kann, um den Anforderungen des Art. 6 Abs. 1 lit. a DSGVO zu genügen. Welche Kriterien zur näheren Handhabung der in Erwägungsgrund 43 angesprochenen Angebrachtheit („obwohl dies im Einzelfall angebracht ist“) maßgeblich sind, ist derzeit ebenso ungeklärt.
Darüber hinaus bestehen in der Rechtsprechung des Verwaltungsgerichtshofs keine Leitlinien, anhand welcher Kriterien die Bestimmung eines Zwecks einer Datenverarbeitung erfolgen muss.
Wie die äußert knappen Ausführungen des EuGH in seinem Urteil vom 04.07.2023, C-252/21, Rz 150 zu verstehen sind, ist derzeit ebenso unklar.
Den aufgeworfenen Rechtsfragen kommt grundsätzliche Bedeutung über den konkreten Einzelfall hinaus zu, zumal eine Vielzahl von anderen Verantwortlichen sich bei den verschiedensten Datenverarbeitungen auf den Tatbestand nach Art. 6 Abs. 1 lit. a DSGVO stützen, und – wie ausgeführt wurde – die nähren Voraussetzungen betreffend die Wirksamkeit einer datenschutzrechtlichen Einwilligung nach der leg. cit. höchstgerichtlich nicht geklärt sind.
Zu den übrigen Spruchpunkten:
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor.
Rückverweise
Keine Verweise gefunden
