TE Bvwg Erkenntnis 2020/8/20 W258 2217446-1

W258 2217446-1/15E

TEILERKENNTNIS

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch den Richter Mag. Gerold PAWELKA-SCHMIDT als Vorsitzenden und die fachkundigen Laienrichter Dr. Gerd TRÖTZMÜLLER und Gerhard RAUB als Beisitzer über die Beschwerde der XXXX , vertreten durch Schönherr Rechtsanwälte GmbH, 1010 Wien, gegen den Bescheid der Datenschutzbehörde vom XXXX , GZ XXXX , nach Durchführung einer mündlichen Verhandlung am 22.11.2019, in nichtöffentlicher Sitzung in einer datenschutzrechtlichen Angelegenheit zu Recht erkannt:

A) Der Beschwerde wird teilweise Folge gegeben und der Spruchpunkt 3. des angefochtenen Bescheids, wonach die XXXX gegen ihre Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung betreffend die Anwendung „DAM-Zielgruppenadressen“ verstoßen habe, indem sie diese entgegen den zeitlichen Angaben in der Datenschutz-Folgenabschätzung nicht im Zeitraum März bis Juni 2018, sondern zu einem späteren Zeitpunkt, jedenfalls aber nach dem 25.05.2018, durchgeführt habe, ersatzlos behoben.

B) Die Beschwerde gegen die Spruchpunkte 1., 4. und 5. wird abgewiesen.

C) Die Revision ist gemäß Art 133 Abs 4 B-VG zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

1. Auf Grund von Medienberichten über den angeblichen Verkauf personenbezogener Daten, insbesondere von Informationen über die „politische Affinität“ bestimmter Personen, hat die belangte Behörde am 08.01.2019 ein amtswegiges Prüfverfahren gegen die Beschwerdeführerin eingeleitet und sie aufgefordert, binnen zwei Wochen diverse Fragen zum Kunden- und Interessentendateisystem der Beschwerdeführerin zu beantworten und diverse bezughabende Urkunden vorzulegen, nämlich ein Verzeichnis von Verarbeitungstätigkeiten, eine allenfalls vorhandene Datenschutz-Folgenabschätzung, ein zufälliges anonymisiertes Kundenprofil, ein Protokoll über die allfällige Einholung von Einwilligungen und ein Muster einer „Unbedenklichkeitserklärung“ iSv § 151 Abs 6 GewO 1994.

2. Mit Schreiben vom 22.01.2019 legte die Beschwerdeführerin die geforderten Urkunden, mit Ausnahme der nicht vorhandenen Einwilligungserklärungen, vor und beantwortete die Fragen zusammengefasst wie folgt: Die Nutzung der Kundendaten zum Zwecke des Direktmarketings und ihrer Tätigkeit als Adressverlag stütze sich auf § 151 GewO. In diesem Zusammenhang würden auch Marketingklassifikationen, wie Wahrscheinlichkeitswerte über Parteiaffinitäten, verwendet. Derartige Wahrscheinlichkeitswerte würden aber nicht der DSGVO unterliegen, weil es ihnen an einer Aussage bzw Information über eine Person mangle und sie daher keine personenbezogenen Daten im Sinne der DSGVO seien. Dies zeige sich auch daran, dass Personen, die mehrere Wohnorte haben, je nach Wohnort verschiedene Wahrscheinlichkeitswerte zugeordnet würden. Derartige Daten seien auch keiner Berichtigung zugänglich; unterwerfe man sie der DSGVO, würde innerhalb ihres Anwendungsgebiets eine Teilmenge an Daten geschaffen, die sich manchen Betroffenenrechten verschließen würde; dieses Konzept sei der DSGVO aber fremd.

3. Mit Bescheid vom XXXX stellte die belangte Behörde fest, das amtswegige Prüfverfahren sei berechtigt gewesen und die Beschwerdeführerin habe besondere Kategorien personenbezogener Daten, nämlich die „Parteiaffinität“, im Rahmen der Ausübung des Gewerbes „Adressverlage und Direktmarketingunternehmen“ mangels Einwilligung der betroffenen Personen unrechtmäßig verarbeitet (Spruchpunkt 1.), wies die Beschwerdeführerin an, die Verarbeitung dieser besonderen Kategorien von Daten mit sofortiger Wirkung zu unterlassen und vorhandene Daten binnen zwei Wochen zu löschen, sofern im Einzelfall keine Ausnahme nach Art 17 Abs 3 DSGVO vorliege (Spruchpunkt 2.), stellte fest, die Beschwerdeführerin habe hinsichtlich der Anwendung „DAM-Zielgruppenadressen“ dadurch gegen ihre Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung verstoßen, indem sie diese entgegen den zeitlichen Angaben in der Datenschutz-Folgenabschätzung nicht im Zeitraum März bis Juni 2018, sondern zu einem späteren Zeitpunkt, jedenfalls aber nach dem 25.05.2018, durchgeführt habe (Spruchpunkt 3.), die Datenschutz-Folgenabschätzung zur Anwendung „DAM-Zielgruppenadressen“ sei fehlerhaft, weil in ihr die Verarbeitung besonderer Kategorien von Daten verneint werde, obwohl die „Parteiaffinität“ errechnet werde und als Ergebnis das Vorliegen eines hohen Risikos daher jedenfalls verneint werde (Spruchpunkt 4.) und das Verzeichnis zur Verarbeitungstätigkeit „DAM-Zielgruppenadressen“ sei fehlerhaft, weil eine Verarbeitung besonders schutzwürdiger Daten, darunter auch die politische Meinung, sowie eine umfangreiche Verarbeitung von sensiblen Daten verneint werde (Spruchpunkt 5.) und trug der Beschwerdeführerin auf, binnen zwei Monaten die Anwendung „DAM-Zielgruppenadressen“ einer erneuten Datenschutz-Folgenabschätzung zu unterziehen sowie die Verarbeitung „DAM-Zielgruppenadressen“ im Verarbeitungsverzeichnis dahingehend zu ergänzen, dass besondere Kategorien personenbezogener Daten verarbeitet werden (Spruchpunkt 6.).

Begründend führte die belangte Behörde zusammengefasst unter Anführung von Rechtsprechung des Europäischen Gerichtshofs, hg Rechtsprechung und Literaturmeinungen aus, dass es sich bei der „politischen Affinität“ auch dann um personenbezogene Daten handle, wenn sie eine „Durchschnittswahrscheinlichkeit für eine Marketinggruppe“ darstelle; sie würden sich im Ergebnis auch nicht von „herkömmlichen“ Profiling-Vorgängen bzw sonstigen automatisierten Entscheidungsfindungen, etwa durch Kreditauskunfteien, iSd Art 22 DSGVO unterscheiden: In all diesen Verfahren würde mit statistischen Verfahren, teilweise angereichert durch konkrete Erfahrungswerte zu bestimmten Personen, Werte ermittelt, die einer bestimmten oder bestimmbaren Person zugeordnet würden. Die „politische Affinität“ wäre von einem durchschnittlichen, objektiven Dritten zumindest mittelbar als „politische Meinung“ iSd Art 9 Abs 1 DSGVO erkennbar, die von der Beschwerdeführerin einer Person konkret zugeordnet werde, andernfalls keine zielgerichtete Werbung möglich wäre; sie stelle daher auch eine besondere Kategorie von Daten dar.

Da in der vorlegten Datenschutz-Folgenabschätzung als Begründung für ihre Durchführung ua auf die DSFA-V, BGBl. II Nr 278/2019 verwiesen werde, die erst am 09.11.2018 kundgemacht worden sei, könne die Datenschutz-Folgenabschätzung nicht vor Geltung der DSGVO am 25.05.2018 durchgeführt worden sein.

4. Gegen diesen Bescheid richtet sich die gegenständliche Beschwerde vom 11.03.2019 wegen inhaltlicher Rechtswidrigkeit und Rechtswidrigkeit auf Grund der Verletzung von Verfahrensvorschriften, in der die Beschwerdeführerin beantragte, eine mündliche Verhandlung durchzuführen, in der Sache selbst zu entscheiden und den angefochtenen Bescheid aufzuheben, in eventu den angefochtenen Bescheid aufzuheben und die Sache zur neuerlichen Entscheidung an die belangte Behörde zurückzuverweisen, jedenfalls aber bei teilweiser Stattgebung der Beschwerde die Spruchpunkte 1, 3, 4 und 5 wegen Unzuständigkeit und Rechtswidrigkeit aufzuheben.

Begründend führte sie nach detaillierter Darstellung ihrer Vorgehensweise zur Erstellung der „Parteiaffinität“ – auf das Wesentlichste zusammengefasst sinngemäß – aus, Marketingklassifikationen, insbesondere die hier verwendeten wahrscheinlichkeitsbezogenen Durchschnittsberechnungen, seien weder eine Information über eine bestimmte Person noch eine Aussage zu einer bestimmten Person und somit keine personenbezogenen Daten im Sinne der DSGVO. Sie seien auch nicht berichtigungsfähig, somit nicht allen durch die DSGVO eingeräumten Betroffenenrechten zugänglich, wodurch eine – würde man sie als personenbezogene Daten ansehen – Teilmenge an Daten geschaffen würde, die einer Berichtigung nicht zugänglich wäre; dies sei von der DSGVO aber nicht vorgesehen. Selbiges ergebe sich aus § 151 GewO, der zwischen personenbezogenen Daten und Marketingklassifikationen – dh hier Daten zur „Parteiaffinität“ – unterscheide.

Nicht jede – wie hier – mittelbare Information könne als Information über die politische Meinung Betroffener gesehen werden. Im Zweifelsfall solle das Vorliegen einer besonderen Kategorie von Daten verneint werden. Der Kontext, in dem eine Information verwendet werde, sei zu berücksichtigen. Wenn wie hier, die abstrakte Wahrscheinlichkeit eines Werbeinteresses einer konkreten Person zugeordnet und keine auf die Person bezogenen Informationskomponenten, wie Parteimitgliedschaften oder Teilnahme an Veranstaltungen, verarbeitet werden, könne es sich keinesfalls um Informationen über die politische Meinung Betroffener im Sinne des Art 9 Abs 1 DSGVO handeln.

Sollte das erkennende Gericht Zweifel an der Auslegung des Begriffs „personenbezogene Daten“ oder der Einordnung der gegenständlichen „Parteiaffinität“ als besondere Kategorie von Daten iSd Art 9 Abs 1 DSGVO hegen, werde ein Vorlageantrag an den Europäischen Gerichtshof angeregt.

Die Beschwerdeführerin machte auch diverse formelle Fehler geltend: Die belangte Behörde habe für die „feststellenden“ Spruchteile keine Kompetenz; über die Rechtswidrigkeit der Handlungen der Beschwerdeführerin sei, weil sie bloß Grundlage für die Anweisung zur Unterlassung bzw Löschung wären, nicht gesondert abzusprechen gewesen. Der Löschungsauftrag sei auf Art 58 Abs 2 lit g DSGVO zu stützen gewesen. Die belangte Behörde hätte überdies selbst eine etwaige Ausnahme von der Verpflichtung zur Löschung nach Art 17 DSGVO prüfen müssen und sie habe die zu löschenden Datensätze nicht ausreichende konkretisiert.

Hinsichtlich der Datenschutz-Folgenabschätzung habe die Beschwerdeführerin sie nicht erst nachträglich, dh nicht bis zum 25.05.2018, vorgenommen; vielmehr sei sie einer laufenden Evaluierung und Anpassung unterzogen worden, wodurch auch die Zitierung eines Gesetzes, das erst nach dem 25.05.2018 kundgemacht worden sei, erklärbar sei; die belangte Behörde habe es rechtswidrig unterlassen, der Beschwerdeführerin zu dieser Frage Parteiengehör zu gewähren.

5. Mit Schriftsatz vom 12.04.2019, hg eingelangt am 15.04.2019, legte die belangte Behörde die Beschwerde unter Anschluss des Verwaltungsaktes dem erkennenden Gericht vor. Sie erstattete eine Stellungnahme, auf die der Beschwerdeführer mit eingeräumter Stellungnahme vom 04.07.2019 replizierte.

6. Am 29.11.2019 fand eine mündliche Verhandlung statt, in der ua die Sach- und Rechtslage erörtert und XXXX als Zeugin zu den näheren Umständen der Durchführung der Datenschutz-Folgenabschätzung einvernommen wurde.

7. Mit Schriftsatz vom 05.02.2020 legte die Beschwerdeführerin eine Entscheidung der belangten Behörde vor, wonach die Zuschreibung von Marketingklassifikationen kein Vorgang einer automatisierten Einzelentscheidung bzw von Profiling sei, was der Begründung des gegenständlichen Bescheids widerspreche. Weiters eine Entscheidung des Landesgerichts Wels, wonach Marketingklassifikationen keine personenbezogenen Daten seien.

8. Mit Schriftsatz vom 09.03.2020 legte die Beschwerdeführerin ein Urteil des Oberlandesgericht Innsbruck vor, mit dem das von der belangten Behörde zum Beweis ihrer Rechtsmeinung vorgelegte Urteil des Landesgericht Feldkirch dahingehend abgeändert worden sei, dass die Klage zur Gänze abgewiesen worden sei. Es gehöre damit nicht mehr dem Rechtsbestand an und könne des Standpunkt der belangten Behörde nicht mehr stützen.

Beweise wurden erhoben durch Einsichtnahme in den Verwaltungsakt, das Gewerbeinformationssystem Austria und Einvernahme der XXXX – in Hinblick auf ein etwaiges sie betreffendes Verwaltungsstrafverfahren – als Partei.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Der folgende Sachverhalt steht fest:

1.1. Die Beschwerdeführerin betreibt ua seit 03.04.2001 das Gewerbe „Adressenverlag und Direktwerbeunternehmen“. Gewerberechtliche Geschäftsführerin ist seit 01.08.2006 Frau XXXX .

1.2. In Ausübung dieses Gewerbes betreibt sie eine Datenanwendung „DAM-Zielgruppenadressen“, um im Rahmen ihres Produktes „Adress Shop“ juristischen Personen personenbezogene Daten zu Marketingzwecken bereitzustellen. Dabei werden – neben diverser Verarbeitungen zur kaufmännischen Unterstützung – Zielgruppenadressen verarbeitet, Kundenbestandsdaten um zusätzliche Marketinginformationen angereichert, geeignete Personen nach Anforderung eines Interessenten gezählt und gegebenenfalls ausgewählt und die Daten an Kunden geliefert. Soweit verfahrensrelevant werden die folgenden Informationen natürlicher Personen verwendet und Dritten weitergegeben: Anrede, Vor- und Nachname, Adresse, Geburtsdatum und „Partei-Affinität“.

1.3. Die „Partei-Affinität“ setzt sich dabei aus den Datenfeldern „ÖVP AFFIN“, „SPÖ AFFIN“, „FPÖ AFFIN“, „NEOS AFFIN“ und „GRÜN AFFIN“ zusammen, denen jeweils ein einzelner Wert, nämlich „sehr niedrig“, „niedrig“, „hoch“ oder „sehr hoch“, zugeordnet sein kann.

1.4. Den konkreten Wert für die Datenfelder zur „Partei-Affinität“ ermittelt die Beschwerdeführerin, indem sie anonyme Meinungsumfragen durchführt. Dabei werden soziodemographische Daten, wie Alter, formale Bildung und Einkommensverhältnisse, der Wohnort sowie ein etwaiges Interesse an Wahlwerbung der jeweiligen politischen Parteien abgefragt. Im Anschluss werden anhand der sozidemografischen Daten und des Wohnorts Marketinggruppen innerhalb eines Rasters gebildet und für jede diese Marketinggruppe unter Berücksichtigung der Meinungsumfragen aber auch von regionalen Wahlergebnissen berechnet, mit welcher Wahrscheinlichkeiten eine Person mit bestimmten soziodemographischen Daten und einer bestimmten Regionszugehörigkeit Interesse an Werbung von den genannten politischen Parteien hat. Durch die Einordnung einer konkreten Person in eine bestimmte Marketinggruppe werden ihr die für diese Marketinggruppe berechneten Wahrscheinlichkeitswerte ebenfalls zugeordnet wodurch letztlich die konkreten Werte der Datenfelder für die jeweilige Parteiaffinität befüllt werden können.

1.5. Die Berechnung und Weitergabe der „Parteiaffinität“ zu den in der Datenanwendung „DAM-Zielgruppenadressen“ enthaltenen Personen hat den Zweck, Streuverluste in der Werbung zu verringern.

1.6. Die Beschwerdeführerin hat für die Verarbeitung der „Partei-Affinität“ keine Zustimmung von den Personen eingeholt, von denen der Wert ermittelt oder zugeordnet worden ist.

1.7. Die Beschwerdeführerin hat vor dem 25.05.2018 eine Datenschutz-Folgenabschätzung der Datenanwendung „DAM-Zielgruppenadressen“ durchgeführt. Darin wird die Verarbeitung besonderer Kategorien von Daten verneint und als Ergebnis das Vorliegen eines hohen Risikos daher jedenfalls verneint.

1.8. Die Beschwerdeführerin hat zur Datenanwendung „DAM-Zielgruppenadressen“ ein Verzeichnis der Verarbeitungstätigkeit erstellt. Darin verneint sie eine Verarbeitung besonders schutzwürdiger Daten, darunter auch die politische Meinung, und eine umfangreiche Verarbeitung von sensiblen Daten.

2. Die Feststellungen ergeben sich aus der folgenden Beweiswürdigung:

2.1. Die Feststellung zu 1.1. gründet auf dem unbedenklichen Vorbringen der Beschwerdeführerin und einer damit in Einklang stehenden Einschau in das Gewerbeinformationssystem Austria.

Die Feststellungen zu 1.2. gründen auf dem Vorbringen der Beschwerdeführerin in Zusammenschau mit der damit im Einklang stehenden Datenschutz-Folgenabschätzung Zielgruppenadressen, insbesondere Kapitel 1.3.3 und Anhang 2D, und Anhang 3 der Stellungnahme der Beschwerdeführerin vom 22.01.2019 (OZ 1 S 52, 83 ff und 185 ff).

Die Feststellungen zu 1.3. gründen auf Anhang 3 zur Stellungnahme der Beschwerdeführerin vom 22.01.2019 – „Datenbankauszug Parteiaffinität bei unterschiedlichen Wohnsitzen“ (OZ 1 S 185).

Die Feststellungen zu 1.4. gründen grundsätzlich auf dem Vorbringen der Beschwerdeführerin, insbesondere der Stellungnahme der Beschwerdeführerin vom 22.01.2019, Seite 2 (OZ 1 S 33). Ebenso auf die Stellungnahme der Beschwerdeführerin vom 22.01.2019, Seite 4 (OZ 1 S 35), wonach bei der Berechnung der Wahrscheinlichkeitswerte für die jeweilige Parteiaffinität regionale Wahlergebnisse stark gewichtet werden, und auf Anhang 3 zur Stellungnahme der Beschwerdeführerin vom 22.01.2019 – „Datenbankauszug Parteiaffinität bei unterschiedlichen Wohnsitzen“ (OZ 1 S 185), wonach in der Datenbank zu den jeweiligen Personen die jeweiligen Parteiaffinitäten gespeichert werden.

Die Feststellungen zu 1.5. gründen in den Angaben der Beschwerdeführerin in ihrer Stellungnahme vom 22.01.2019, Seite 2 (OZ 1 S 33).

Dass die Beschwerdeführerin für die Verarbeitung der diversen Datenarten „Parteiaffinität“ keine Zustimmung der Betroffenen eingeholt hat, folgt aus ihrem Vorbringen im behördlichen Verfahren.

Die Feststellungen zu 1.7. und 1.8. gründen in den im Verwaltungsverfahren vorgelegten Urkunden, nämlich der Datenschutz-Folgenabschätzung und dem Verzeichnis der Verarbeitungstätigkeiten, jeweils zur Datenanwendung „DAM-Zielgruppenadressen“.

2.2. Die Feststellungen zu 1.7. gründen darüber hinaus auf den folgenden Überlegungen:

2.2.1. Die im Verwaltungsverfahren vorgelegte Datenschutz-Folgenabschätzung zur Datenanwendung „DAM-Zielgruppenadressen“ (DSFA) bezieht sich auf die Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V), die erst am 09.11.2018, dh nach Geltung der DSGVO am 25.05.2018, kundgemacht worden ist. In Zusammenschau damit, dass sich die in der DSFA genannten Änderungen am Dokument lediglich auf die Corporate Identity der Beschwerdeführerin und geänderte Auftragsverarbeiter, nicht jedoch auf etwaige rechtliche Bestimmungen bezieht, schloss die belangte Behörde, dass die DSFA nicht – wie auf Grund von Art 35 DSGVO erforderlich – mit 25.05.2018, sondern tatsächlich erst zu einem späteren Zeitpunkt durchgeführt worden wäre. Diese Ansicht lässt sich auf Grund der Ausgestaltung der Datenschutz-Folgenabschätzung, dem Vorbringen der Beschwerdeführerin und der Aussage der Zeugin XXXX nicht aufrechterhalten:

2.2.2. So enthält die DSFA keine vollständige Übersicht über die am Dokument vorgenommenen Änderungen. Es sind lediglich das Erstellungsdatum und das Datum der letzten Änderung vermerkt. Eine Protokollierung etwaiger dazwischen erfolgten Änderungen ist im Dokument weder vorgesehen noch wurde sie vorgenommen. Die DSFA steht daher zum Vorbringen der Beschwerdeführerin im Beschwerdeverfahren nicht im Widerspruch, wonach die DSFA regelmäßig überarbeitet werde und in diesem Rahmen die DSFA-V – nach dem 25.05.2018 – eingearbeitet worden sei.

Die Einarbeitung der DSFA-V ist nachvollziehbar, weil die von der Beschwerdeführerin verwendete Vorlage für die Erstellung einer DSFA eine jeweils anzukreuzende Auflistung jener Voraussetzungen enthält, unter denen eine DSFA durchzuführen oder nicht durchzuführen ist. Da die DSFA-V Verarbeitungsvorgänge normiert, für die jedenfalls eine Datenschutz-Folgenabschätzung durchzuführen ist („Blacklist“), ist diese Rechtsgrundlage notwendiger Bestandteil einer derartigen Auflistung.

2.2.3. In Hinblick auf die Bedeutung der DSFA-V für die Beurteilung, ob im konkreten Fall eine DSFA durchzuführen ist, überzeugt auch die Zeugin XXXX , wenn sie ausführt, bereits auf die DSFA-V gewartet und die Qualitätssicherungszyklen für die DSFA – auch wenn sie nicht mehr genau das Quartal der Durchführung angeben konnte (S 6 des EV-Protokolls vom 22.11.2019, OZ 9) – auf ihre Veröffentlichung abgestimmt zu haben.

2.2.4. Darüber hinaus hat die Zeugin XXXX grundsätzlich schlüssig und glaubhaft dargelegt, dass bereits am 25.05.2018 eine – ihres Erachtens – rechtskonforme DSFA vorgelegen ist und die DSFA im Anschluss laufend angepasst und auf Grund von Schulungen optimiert worden ist. In Anbetracht der Unsicherheiten mit denen Rechtsunterworfen bei der Einführung neuer Rechtsnormen im Allgemeinen und von der DSGVO – insbesondere auf Grund der bei Verstößen drohenden hohen Geldbußen – im Besonderen konfrontiert sind, ist es nachvollziehbar, dass – wie von der Zeugin beschrieben – auch nach Abschluss der DSFA Mitarbeiter der Beschwerdeführerin an Schulungen teilgenommen haben, die zum Teil Eingang in die DSFA gefunden haben. Dadurch, sowie durch diverse am 25.05.2018 noch unbeantwortete – aber letztlich ergebnislose – Rückversicherungen der Zeugin bei diversen Fachbereichen der Beschwerdeführerin, ist auch erklärbar, dass in der DSFA das Ende des Durchführungszeitraums mit 29.06.2018 angeführt ist, obwohl sie grundsätzlich bereits mit 25.05.2018 abgeschlossen gewesen ist.

3. Rechtlich folgt daraus:

Die zulässige Beschwerde ist, soweit sie sich gegen Spruchpunkt 3. des bekämpften Bescheids richtet, berechtigt; soweit sie sich gegen die Spruchpunkte 1., 4. und 5. richtet, ist sie nicht berechtigt.

3.1. Zu Spruchpunkt A), rechtzeitige Durchführung der Datenschutz-Folgenabschätzung:

3.1.1. Gemäß des seit 25.05.2018 in Geltung stehenden Art 35 Abs 1 DSGVO hat ein Verantwortlicher unter bestimmten Voraussetzungen vor Aufnahme einer Datenverarbeitung die Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten abzuschätzen.

3.1.2. Die belangte Behörde ist im bekämpften Bescheid davon ausgegangen, die Beschwerdeführerin hätte die Datenschutz-Folgenabschätzung zu spät, nämlich nach dem 25.05.2018 sowie nach Aufnahme der Datenverarbeitung, durchgeführt, weshalb sie in Spruchpunkt 3. des bekämpften Bescheids eine entsprechende Rechtsverletzung festgestellt hat.

3.1.3. Da sich diese Annahme als unzutreffend herausgestellt hat, war Spruchpunkt 3. des bekämpften Bescheids ersatzlos zu beheben.

3.1.4. Über die in der mündlichen Verhandlung erörterte etwaige nicht ausreichende Einbindung des Datenschutzbeauftragten bei der Erstellung der Datenschutz-Folgenabschätzung wurde im Bescheid nicht abgesprochen, so bezieht sich Spruchpunkt 3. lediglich auf die Rechtzeitigkeit und es werden in den Spruchpunkten 4. bis 5. konkrete Fehler der Datenschutz-Folgenabschätzung festgestellt, die mit der Einbindung des Datenschutzbeauftragten nicht im Zusammenhang stehen, weshalb sie von der „Sache“ des Beschwerdeverfahrens nicht umfasst und darauf nicht weiter einzugehen war.

3.2. Zu Spruchpunkt B)

3.2.1. Zu den maßgeblichen rechtlichen Bestimmungen:

Der mit „Begriffsbestimmungen“ betitelte Art 4 DSGVO lautet in Z 1:

„1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“

Der mit „Grundsätze für die Verarbeitung personenbezogener Daten“ betitelte Art 5 DSGVO lautet:

„(1) Personenbezogene Daten müssen […]

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (‚Richtigkeit‘); […]“

Der mit „Verarbeitung besonderer Kategorien personenbezogener Daten“ betitelte Art 9 DSGVO lautet:

„(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:

a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden, […]

g) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich, […]“

Der mit „Recht auf Berichtigung“ betitelte Art 16 DSGVO lautet:

„Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.“

Der mit „Verzeichnis von Verarbeitungstätigkeiten“ betitelte Art 30 DSGVO lautet:

„(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben: […]

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; […]“

Der mit „Datenschutz-Folgenabschätzung“ betitelte Art 35 DSGVO lautet:

„(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. […]

(7) Die Folgenabschätzung enthält zumindest Folgendes:

a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen; […]

c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 […]“

Der mit „Befugnisse“ betitelte Art 58 DSGVO lautet:

„[…] (2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,

a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,

b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,

c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,

d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,

e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,

f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,

g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,

h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,

i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,

j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen. […]

(6) Jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass seine Aufsichtsbehörde neben den in den Absätzen 1, 2 und 3 aufgeführten Befugnissen über zusätzliche Befugnisse verfügt. Die Ausübung dieser Befugnisse darf nicht die effektive Durchführung des Kapitels VII beeinträchtigen.“

Die – soweit relevanten – Erwägungsgründe, insbesondere zu Art 9 DSGVO, der DSGVO lauten:

„(46) Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person oder einer anderen natürlichen Person zu schützen. […] Einige Arten der Verarbeitung können sowohl wichtigen Gründen des öffentlichen Interesses als auch lebenswichtigen Interessen der betroffenen Person dienen; so kann beispielsweise die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen erforderlich sein.

(47) Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. […] Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.

(51) Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. Diese personenbezogenen Daten sollten personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft hervorgeht, wobei die Verwendung des Begriffs „rassische Herkunft“ in dieser Verordnung nicht bedeutet, dass die Union Theorien, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen, gutheißt. Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Derartige personenbezogene Daten sollten nicht verarbeitet werden, es sei denn, die Verarbeitung ist in den in dieser Verordnung dargelegten besonderen Fällen zulässig, wobei zu berücksichtigen ist, dass im Recht der Mitgliedstaaten besondere Datenschutzbestimmungen festgelegt sein können, um die Anwendung der Bestimmungen dieser Verordnung anzupassen, damit die Einhaltung einer rechtlichen Verpflichtung oder die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder die Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, möglich ist. Zusätzlich zu den speziellen Anforderungen an eine derartige Verarbeitung sollten die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten. Ausnahmen von dem allgemeinen Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener Daten sollten ausdrücklich vorgesehen werden, unter anderem bei ausdrücklicher Einwilligung der betroffenen Person oder bei bestimmten Notwendigkeiten, insbesondere wenn die Verarbeitung im Rahmen rechtmäßiger Tätigkeiten bestimmter Vereinigungen oder Stiftungen vorgenommen wird, die sich für die Ausübung von Grundfreiheiten einsetzen.

(52) Ausnahmen vom Verbot der Verarbeitung besonderer Kategorien von personenbezogenen Daten sollten auch erlaubt sein, wenn sie im Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen sind, und — vorbehaltlich angemessener Garantien zum Schutz der personenbezogenen Daten und anderer Grundrechte — wenn dies durch das öffentliche Interesse gerechtfertigt ist, insbesondere für die Verarbeitung von personenbezogenen Daten auf dem Gebiet des Arbeitsrechts und des Rechts der sozialen Sicherheit einschließlich Renten und zwecks Sicherstellung und Überwachung der Gesundheit und Gesundheitswarnungen, Prävention oder Kontrolle ansteckender Krankheiten und anderer schwerwiegender Gesundheitsgefahren. Eine solche Ausnahme kann zu gesundheitlichen Zwecken gemacht werden, wie der Gewährleistung der öffentlichen Gesundheit und der Verwaltung von Leistungen der Gesundheitsversorgung, insbesondere wenn dadurch die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen sichergestellt werden soll, oder wenn die Verarbeitung im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken dient. Die Verarbeitung solcher personenbezogenen Daten sollte zudem ausnahmsweise erlaubt sein, wenn sie erforderlich ist, um rechtliche Ansprüche, sei es in einem Gerichtsverfahren oder in einem Verwaltungsverfahren oder einem außergerichtlichen Verfahren, geltend zu machen, auszuüben oder zu verteidigen.

(55) Auch die Verarbeitung personenbezogener Daten durch staatliche Stellen zu verfassungsrechtlich oder völkerrechtlich verankerten Zielen von staatlich anerkannten Religionsgemeinschaften erfolgt aus Gründen des öffentlichen Interesses.“

Der mit „Beschwerde an die Datenschutzbehörde“ betitelte § 24 DSG lautet:

„§ 24. (1) Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.

(2) Die Beschwerde hat zu enthalten:

[…]

5. das Begehren, die behauptete Rechtsverletzung festzustellen […]

(5) Soweit sich eine Beschwerde als berechtigt erweist, ist ihr Folge zu geben. Ist eine Verletzung einem Verantwortlichen des privaten Bereichs zuzurechnen, so ist diesem aufzutragen, den Anträgen des Beschwerdeführers auf Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung in jenem Umfang zu entsprechen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.“

Der mit „Adressverlage und Direktmarketingunternehmen“ betitelte § 151 GewO lautet:

„§ 151. (1) Auf die Verwendung von personenbezogenen Daten für Marketingzwecke Dritter durch die zur Ausübung des Gewerbes der Adressverlage und Direktmarketingunternehmen berechtigten Gewerbetreibenden sind die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 199 vom 4.5.2016 S 1, (im Folgenden: DSGVO), sowie des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl. I. Nr. 165/1999, in der Fassung des Bundesgesetzes BGBl. I. Nr. 120/2017, anzuwenden, soweit im Folgenden nicht Besonderes angeordnet ist.

(2) Die Tätigkeit als Mittler zwischen Inhabern und Nutzern von Kunden- und Interessentendateisystemen (Listbroking) ist den in Abs. 1 genannten Gewerbetreibenden vorbehalten.

(3) Die in Abs. 1 genannten Gewerbetreibenden sind berechtigt, für ihre Tätigkeiten gemäß Abs. 1 und 2 personenbezogene Daten aus öffentlich zugänglichen Informationen, durch Befragung der betroffenen Personen, aus Kunden- und Interessentendateisystemen Dritter oder aus Marketingdateisystemen anderer Adressverlage und Direktmarketingunternehmen zu ermitteln, soweit dies unter Beachtung des Grundsatzes der Verhältnismäßigkeit für

1. die Vorbereitung und Durchführung von Marketingaktionen Dritter einschließlich der Gestaltung und des Versands für Werbemitteln oder

2. das Listbroking

erforderlich und gemäß Abs. 4 und 5 zulässig ist.

(4) Soweit besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO betroffen sind, dürfen diese von den in Abs. 1 genannten Gewerbetreibenden verarbeitet werden, sofern ein ausdrückliches Einverständnis der betroffenen Person zur Verarbeitung dieser Daten für Marketingzwecke Dritter vorliegt. Die Ermittlung und Weiterverarbeitung besonderer Kategorien personenbezogener Daten aus Kunden- und Interessentendateisystemen Dritter auf Grund eines solchen Einverständnisses ist nur im Umfang des Abs. 5 und nur soweit zulässig, als der Inhaber des Dateisystems gegenüber dem Gewerbetreibenden nach Abs. 1 schriftlich unbedenklich erklärt hat, dass die betroffenen Personen mit der Verarbeitung ihrer Daten für Marketingzwecke Dritter ausdrücklich einverstanden waren. Strafrechtlich relevante Daten im Sinne des Art. 10 DSGVO dürfen von Gewerbetreibenden nach Abs. 1 für Marketingzwecke nur gemäß § 4 Abs. 3 DSG oder bei Vorliegen einer ausdrücklichen Einwilligung verarbeitet werden.

(5) Soweit keine Einwilligung der betroffenen Personen gemäß Art. 4 Z 11 DSGVO zur Übermittlung ihrer Daten für Marketingzwecke Dritter vorliegt, dürfen die in Abs. 1 genannten Gewerbetreibenden aus einem Kunden- und Interessentendateisystem eines Dritten nur die Daten

1. Namen,

2. Geschlecht,

3. Titel,

4. akademischer Grad,

5. Anschrift,

6. Geburtsdatum,

7. Berufs-, Branchen- oder Geschäftsbezeichnung und

8. Zugehörigkeit der betroffenen Person zu diesem Kunden- und Interessentendateisystem

ermitteln. Voraussetzung hiefür ist – soweit nicht die strengeren Bestimmungen des Abs. 4 Anwendung finden –, dass der Inhaber des Dateisystems dem Gewerbetreibenden nach Abs. 1 gegenüber schriftlich unbedenklich erklärt hat, dass die betroffenen Personen in geeigneter Weise über die Möglichkeit informiert wurden, die Übermittlung ihrer Daten für Marketingzwecke Dritter zu untersagen, und dass keine Untersagung erfolgt ist.

(6) Gewerbetreibende nach Abs. 1 dürfen für Marketingzwecke erhobene Marketinginformationen und -klassifikationen, die namentlich bestimmten Personen auf Grund von Marketinganalyseverfahren zugeschrieben werden, nur für Marketingzwecke verwenden und sie insbesondere an Dritte nur dann übermitteln, wenn diese unbedenklich erklären, dass sie diese Analyseergebnisse ausschließlich für Marketingzwecke verwenden werden.

[…]“

3.2.2. Angewendet auf den Sachverhalt bedeutet das:

Gemäß Art 9 Abs 1 DSGVO ist die Verarbeitung personenbezogener Daten, aus denen ua politische Meinungen hervorgehen, untersagt, sofern nicht eine der Ausnahmen des Abs 2 vorliegt.

Die belangte Behörde hat im bekämpften Bescheid unter Berufung auf das Verarbeitungsverbot des Art 9 Abs 1 DSGVO festgestellt, dass die Verarbeitung von Daten zur „Parteiaffinität“ durch die Beschwerdeführerin als Verarbeitung personenbezogener Daten, aus denen die politische Meinung hervorgeht, zu qualifizieren sei, die mangels Einwilligung der Betroffenen, einer Ausnahme in Sinne des Abs 2 leg cit, rechtswidrig gewesen wäre.

Die Beschwerdeführerin hält dem – unter detaillierten Ausführungen – zusammengefasst entgegen, dass Art 9 DSGVO nicht anwendbar sei, weil es sich bei den von ihr generierten und den Betroffenen zugeschriebenen Angaben zur Parteiaffinität um Wahrscheinlichkeitswerte handle, die weder personenbezogene Daten noch Informationen seien, aus denen politische Meinungen hervorgehen würden. Dem kann nicht gefolgt werden.

3.2.3. Daten zur „Parteiaffinität“ als personenbezogene Daten:

Gemäß Art 4 Z 1 DSGVO handelt es sich bei „personenbezogenen Daten“ um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.

Der Anwendungsbereich der DSGVO ist dabei sehr weit und die von ihr erfassten personenbezogenen Daten sind vielfältig. In der Verwendung des Ausdrucks „alle Informationen“ kommt nämlich das Ziel des Unionsgesetzgebers zum Ausdruck, dem Begriff der „personenbezogenen Daten“ eine weite Bedeutung beizumessen. Er umfasst alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt.

Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten oder bestimmbaren Person verknüpft ist (siehe zum Ganzen das noch zur Datenschutzrichtlinie 95/46/EG („DS-RL“) ergangene Urteil EuGH 22.06.2017, C-434/16, NOWAK Rz 33, dessen Aussagen auf Grund der im Englischen gleichlautenden Definition des Begriffs „personenbezogene Daten“ in Art 2 lit a DS-RL und in Art 4 Z 1 DSGVO auch für die DSGVO übernommen werden können (so auch Klar/Kühling in Kühling/Buchner (Hrsg), DSGVO² Art 4 Rz 2)).

Die Artikel-29-Datenschutzgruppe, der Vorläufer des Europäischen Datenschutzausschusses, definiert das vom EuGH genannte Inhalts-, Zweck- und Auswirkungserfordernis näher (Analyse der Definition für personenbezogene Daten nach der Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ der Artikel-29-Datenschutzgruppe, angenommen am 20.06.2007, 01248/07/DE WP 136; zur sinngemäßen Übertragbarkeit auf die DSGVO siehe – auch wenn das WP nicht ausdrücklich vom Datenschutzausschuss als auf die DSGVO allgemein übertragbar anerkannt worden ist (Endorsement 1/2018 vom 25.05.2018 des Europäischer Datenschutzausschuss) – oben; vgl dazu auch Karg in Simitis/Hornug/Spiecker (Hrsg), Datenschutzrecht (2019) Art 4 Nr 1 Rz 33 ff und Klabunde in Ehmann/Selmayr Datenschutz-Grundverordnung² Art 4 Rz 10 f):

Das „Inhaltselement“ ist immer dann vorhanden, wenn – nach dem allgemein üblichen Verständnis des Wortes „beziehen“ – Informationen über eine bestimmte Person gegeben werden, und zwar unabhängig vom Zweck aufseiten des für die Verarbeitung Verantwortlichen oder eines Dritten oder von den Auswirkungen dieser Information auf die betroffene Person. Informationen „beziehen“ sich auf eine Person, wenn es sich um Informationen „über“ diese Person handelt, was unter Berücksichtigung aller Begleitumstände zu beurteilen ist.

Das „Zweckelement“ gilt als gegeben, wenn die Daten unter Berücksichtigung aller Begleitumstände mit dem Zweck verwendet werden bzw verwendet werden könnten, eine Person zu beurteilen, in einer bestimmten Weise zu behandeln oder ihre Stellung oder ihr Verhalten zu beeinflussen.

Zum „Auswirkungserfordernis“ wird ausgeführt, dass Daten als „personenbezogen“ angesehen werden können, wenn sich ihre Verwendung unter Berücksichtigung aller jeweiligen Begleitumstände auf die Rechte und Interessen einer bestimmten Person auswirken könnte. Es muss sich bei dem möglichen Ergebnis nicht um nachhaltige Auswirkungen handeln. Es reicht aus, wenn die Person aufgrund der Verarbeitung solcher Daten anders als andere Personen behandelt werden könnte.

Die Beschwerdeführerin verknüpft nun im Ergebnis bestimmte natürliche Personen mit der Wahrscheinlichkeit, mit der die Personen jeweils Interesse an Werbung von bestimmten Parteien haben („Parteiaffinität“). Die Wahrscheinlichkeitswerte gründen dabei auf – von der Beschwerdeführerin mittels Meinungsumfragen und unter Berücksichtigung regionaler Wahlergebnisse ermittelten – statistischen Zusammenhängen zwischen bestimmten soziodemographischen Eigenschaften und dem Wohnort einerseits und dem Interesse an Wahlwerbung bestimmter politischer Parteien andererseits. Die Verknüpfung erfolgt, um Streuverluste in der Werbung gering zu halten, dh Personen zielgerichtet bewerben zu können.

Die Verknüpfung der Parteiaffinität mit einer einzelnen Person erfüllt dabei das Inhaltselement. So enthält, auch wenn die tatsächliche politische Meinung des Betroffenen nicht bekannt ist, die Parteiaffinität – entgegen den Ausführungen in der Bescheidbeschwerde – eine unmittelbare Aussage über die konkrete Person, nämlich, mit welcher Wahrscheinlichkeit sie sich für Werbung von einer bestimmten politischen Partei interessiert. Diese Aussage ist, auch wenn sie auf Grund der Ermittlungsmethode einer statistischen Schwankungsbreite unterliegt, nicht völlig zufällig, sondern leitet sich aus Korrelationen ab, die aus Meinungsumfragen und Wahlergebnissen gewonnen worden sind. Es handelt sich um eine statistisch fundierte Einschätzung der Person in Bezug auf ihr Interesse an Werbung für eine bestimmte politische Partei. Andernfalls wäre sie für den Zweck, Streuverluste in der Werbung zu verhindern, ungeeignet. Entgegen den Ausführungen der Beschwerdeführerin hängt vor diesem Hintergrund die Frage, ob das Inhaltselement erfüllt bzw ein personenbezogenes Datum vorliegt, nicht davon ab, ob die Einschätzung der betroffenen Person (auch) auf Parametern gründet, die im Verhalten der einzuschätzenden Person gelegen sind.

Auch das „Zweckelement“ ist erfüllt: Die Information „Parteiaffinität“ soll und kann dazu verwendet werden, Streuverluste in der Werbung zu vermeiden, dh Personen auf bestimmte Weise zu behandeln, die je nach der ermittelten Parteiaffinität Werbung für eine bestimmte Partei erhalten oder nicht erhalten.

Damit ist auch das „Auswirkungserfordernis“ erfüllt. Die betroffenen Personen könnten je nach der ihnen jeweils zugeordneten „Parteiaffinitäten“ anders behandelt werden, indem sie Werbung über eine bestimmte Partei erhalten oder nicht erhalten.

Bei der Datenart „Parteiaffinität“ handelt es sich somit um personenbezogene Daten im Sinne des Art 4 Z 1 DSGVO.

3.2.4. Die Argumente der Beschwerdeführerin können an dieser Einschätzung nichts ändern:

3.2.4.1. Das Argument der Beschwerdeführerin, wonach die von ihr ermittelte „Parteiaffinität“ mit Auswertungen der Statistik Austria, wie Durchschnittseinkommen in einem bestimmten mikrogeografischen Raster, vergleichbar wäre, die nicht als personenbezogene Daten angesehen werden, kann nicht überzeugen. So richtete sich der bekämpfte Bescheid nicht gegen die Ermittlung der – nicht personenbezogenen – Zusammenhänge zwischen soziodemographischen Daten bzw dem Wohnort und dem Interesse an Wahlwerbung von bestimmten Parteien. Gegenständlich ist die Anwendung dieser Zusammenhänge auf bestimmte Personen und die Verknüpfung der sich ergebenden „Parteiaffinitäten“ mit den jeweiligen Personen. Die Statistik Austria nimmt gerade keine Verknüpfung der von ihr generierten Informationen mit bestimmten oder bestimmbaren natürlichen Personen vor und es sollen auf Grund dieser Informationen natürliche Personen weder unterschiedlich behandelt werden noch werden sie unterschiedlich behandelt.

3.2.4.2. Die Beschwerdeführerin bringt weiters vor, die Daten seien dem Grunde nach nicht berichtigungsfähig, weshalb nicht alle Betroffenenrechte ausübbar wären. Sie könnten daher nicht der DSGVO unterstellt werden. Andernfalls würde eine Teilmenge von Datenarten geschaffen werden, die nicht allen Betroffenenrechten zugänglich wäre. Dieses Konzept sei der DSGVO fremd; es sei weder durch ihren Wortlaut noch durch ihre Erwägungsgründe gedeckt.

Die Beschwerdeführerin schließt damit von der vermeintlichen Tatsache, dass die „Parteiaffinität“ – als Wahrscheinlichkeitswert – nicht berichtigungsfähig sei und damit einer Berichtigung nach Art 16 DGVO nicht zugänglich wäre, darauf, dass damit die „Parteiaffinität“ dem gesamten Anwendungsbereich der DSGVO entzogen wäre. Abgesehen davon, dass aus einer Nichtanwendbarkeit bestimmter Bestimmungen der DSGVO nicht der Schluss gezogen werden kann, dass damit die gesamte DSGVO nicht anwendbar ist, übersieht die Beschwerdeführerin mit dieser Argumentation, dass die „Parteiaffinität“ sehr wohl einer Berichtigung zugänglich ist. Zwar kann sie nicht durch ein etwaig tatsächlich anderes Interesse des Betroffenen an Werbung für bestimmte politische Parteien berichtigt werden. Das ist aber nicht erforderlich. Die Richtigkeit personenbezogener Daten ist nämlich im Hinblick auf den Zweck zu beurteilen, für den die Daten erhoben wurden (Art 5 Abs 1 lit d DSGVO arg „in Hinblick auf die Zwecke ihrer Verarbeitung“; EuGH 22.06.2017, C-434/16, NOWAK Rz 53). Der Zweck der Ermittlung der „Parteiaffinität“ liegt nun gerade nicht darin, die Interessen betroffener Personen an Werbung von einer bestimmten Person konkret zu bestimmen, sondern lediglich darin, sie statistisch fundiert einzuschätzen. Es ist daher lediglich erforderlich, dass etwaige Fehler bei der Einschätzung, wie die Verwendung unrichtiger soziodemographischer Daten oder Fehler bei der Zuordnung des Betroffenen zu einer bestimmten Marketinggruppe, berichtigt werden können. Eine derartige Berichtigung ist durch eine neuerliche – korrekte – Bestimmung der „Parteiaffinität“ möglich. (siehe dazu auch den vergleichbaren Fall der Berichtigungsfähigkeit von Antworten auf Prüfungsfragen EuGH 22.06.2017, C-434/16, NOWAK Rz 46 ff)

3.2.4.3. Die Beschwerdeführerin beruft sich weiters auf § 151 GewO, dessen Struktur dafürspreche, dass es sich bei Marketingklassifikationen nicht um personenbezogene Daten handle. Demnach werde in § 151 Abs 4 und 5 die Zulässigkeit der Verwendung von personenbezogenen Daten für Zwecke des Adresshandels und Direktmarketings geregelt während in Abs 6 GewO die Zulässigkeit der Verwendung von Marketingklassifikationen geregelt werde. Weil in Abs 6 von Marketingklassifikationen und nicht von personenbezogenen Daten gesprochen werde und sich Abs 6 nicht auf die Abs 4 und 5 beziehe, sehe der Gesetzgeber Marketingklassifikationen nicht als personenbezogene Daten an. Andernfalls bliebe für die Anwendung des Abs 6 kein Raum, was dem Gesetzgeber nicht unterstellt werden könne.

Diese Argumentation übersieht, dass der Begriff „personenbezogene Daten“ in Art 4 Abs 1 Z 1 DSGVO, dh einer europarechtlichen Norm, die unmittelbar in den Mitgliedstaaten anwendbar ist, definiert wird. Mangels einer entsprechenden Öffnungsklausel ist er europarechtlich autonom auszulegen und es kann zu seiner Definition bzw Interpretation nicht auf Rechtsvorschriften der Mitgliedstaaten, hier § 151 GewO, zurückgegriffen werden.

3.2.4.4. Dem Einwand der Beschwerdeführerin, wonach die Parteiaffinitäten nicht Betroffenen zugeordnet, sondern Betroffene in Marketinggruppen eingeordnet werden (woraus sich dann die Parteiaffinität ergibt), ist entgegen zu halten, dass es für die Annahme eines personenbezogenen Datums ausreicht, wenn zwischen der betroffenen Person und der Information eine qualifizierte Verknüpfung besteht (EuGH 22.06.2017, C-434/16, NOWAK Rz 33). In welcher „Richtung“ die Verknüpfung erfolgt, ob also die Person der Information zugeordnet oder die Information der Person zugeordnet wird, ist dabei ebenso ohne Bedeutung wie die Frage, ob sich die Zuordnung erst mittelbar über die Einordnung in eine Marketinggruppe, deren Mitgliedern bestimmte Eigenschaften zugeschrieben werden, ergibt.

3.2.4.5. Der Einwand der Beschwerdeführerin, verschiedene Adressen der Betroffenen würden zu verschiedenen Parteiaffinitäten führen, zeigt zwar die Grenzen des verwendeten Algorithmus auf; dass er generell nicht geeignet wäre, ein Interesse Betroffener für die Werbung von wahlwerbenden Parteien abzuschätzen, vermag sie damit aber nicht darzutun.

3.2.4.6. Letztlich übersieht das Argument der Beschwerdeführerin, dass im Fall, dass die „Parteiaffinität“ als personenbezogenes Datum gesehen wird, jede Wahlanalyse des ORF personenbezogene Daten generieren würde, dass bei derartigen Wahlanalysen gerade keine Zuordnung zu bestimmten Personen vorgenommen wird. Auch die bloße Kenntnis der Betroffenen selbst, sich in einer der analysierten Gruppen wiederzufinden, stellt keinen datenschutzrechtlich relevanten Verarbeitungsvorgang dar.

3.2.5. Daten zur „Parteiaffinität“ als besondere Kategorien personenbezogener Daten:

Das Verarbeitungsverbot des Art 9 Abs 1 DSGVO gilt für besondere Kategorien von Daten, zu denen uA personenbezogene Daten gehören, aus denen politische Meinungen hervorgehen. Strittig ist, ob aus dem Datum, dass sich eine Person mit einer gewissen Wahrscheinlichkeit für Werbung über eine bestimmte politische Partei interessiert, die politische Meinung dieser Person im Sinne des Art 9 Abs 1 DSGVO hervorgeht.

Die Beschwerdeführerin argumentiert unter Wiedergabe zahlreicher Literaturmeinungen im Wesentlichen, sie würde lediglich berechnen, mit welcher Wahrscheinlichkeit Personen mit bestimmten sozidemografischen und regionalen Eigenschaften für bestimmte politische Parteien von Werbeinteresse sind, wodurch weder eine Aussage über politische Anschauungen oder politische Mitgliedschaften noch eine Aussage über eine politische Meinung oder eine damit verbundene Tätigkeit erzeugt wird, und die „Parteiaffinität“ daher nicht als „politische Meinung“ im Sinne der zitierten Literatur qualifiziert werden könne. Dem ist nicht zu folgen.

Maßgeblich für die Interpretation des Art 9 DSGVO ist sein Schutzzweck (vgl auch Schiff in Ehmann/Selmayr Datenschutz-Grundverordnung² Art 9 Rz 19). Es ist zu fragen, wovor die Bestimmung die betroffenen Personen schützen möchte. Die Interpretation findet ihre Grenze im äußersten Wortsinn der Bestimmung.

Hintergrund des Art 9 Abs 1 DSGVO ist, dass personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, einen besonderen Schutz verdienen, weil im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können (ErwGr 51 der DSGVO). Die genannten Datenarten weisen in der Regel ein hohes Schadens- und Diskriminierungspotential auf, welches sich immer wieder realisiert (vgl Paal/Pauly Datenschutzgrundverordnung Bundesdatenschutzgesetz ² Art 9 DSGVO Rz 6).

Art 9 DSGVO will daher vor den Gefahren schützen, die mit bestimmten Arten von personenbezogenen Daten üblicherweise verbunden sind.

Auf Grund des Wortlauts des Art 9 Abs 1 DSGVO, wonach das Verbot die Verarbeitung als solche betrifft, kommt es dabei lediglich auf die grundsätzliche Eignung der Datenarten an, diese Gefahren auszulösen. Der konkrete Verarbeitungskontext, wie Zweck der Verarbeitung oder konkrete Verarbeitungsschritte, sind damit zur Beurteilung der Frage, ob ein personenbezogenes Datum unter eine der besonderen Kategorien von Daten einzuordnen ist, nicht zu berücksichtigen (bei mittelbar sensiblen Daten strittig; Verwendungszusammenhang verneinend bspw Petri in Simitis/Hornug/Spiecker (Hrsg) Datenschutzrecht (2019) Art 9 Rz 12 unter Verweis auf Bergauer in Knyrim Das neue Datenschutzrecht in Österreich und wohl auch Schiff in Ehmann/Selmayr Datenschutz-Grundverordnung² Art 9 Rz 2 f; aA Schulz in Gola Art 9 Rz 13; Weichert in Kühling/Buchner (Hrsg), DSGVO² Art 9 Rz 22).

Anzuknüpfen ist somit an der abstrakten Eignung bestimmter personenbezogener Daten, besonders nachteilige Folgen für betroffene Personen auslösen zu können.

Welche Arten von personenbezogenen Daten das sind, bestimmt Art 9 Abs 1 DSGVO. Es muss sich ua um personenbezogene Daten handeln, aus denen die „politische Meinung“ der betroffenen Person hervorgeht.

Da bereits eine vermutete politische Meinung jene negativen Folgen für die betroffene Person auslösen kann, vor der Art 9 DSGVO schützen möchte, ist es für die Annahme einer politischen Meinung ausreichend, wenn aus der Information eine solche Meinung mit hinreichender Wahrscheinlichkeit hervorgeht (Schiff in Ehmann/Selmayr Datenschutz-Grundverordnung² Art 9 Rz 21). Gewissheit ist nicht erforderlich. Irrelevant ist auch, ob die Merkmalsangaben inhaltlich zutreffen (Weichert in Kühling/Buchner (Hrsg), DSGVO² Art 9 Rz 24).

Ob aus personenbezogenen Daten die politische Meinung der betroffenen Person mit hinreichender Wahrscheinlichkeit hervorgeht, ist aus dem Umständen des Einzelfalls unter Berücksichtigung des Schutzzwecks der Norm zu beurteilen (in diesem Sinne auch Schiff in Ehmann/Selmayr Datenschutz-Grundverordnung² Art 9 Rz 22).

Angewendet auf den Sachverhalt bedeutet das:

Im gegenständlichen Fall werden natürliche Personen mit der Wahrscheinlichkeit verknüpft, Interesse an Werbung über bestimmte politische Parteien zu haben. Zwischen dem (wahrscheinlichen) Interesse an Werbung von einer bestimmten Partei und einem Interesse für diese politische Partei und damit an einer politischen Meinung besteht ein relevanter Zusammenhang:

Zwar kann aus einem niedrigen Wahrscheinlichkeitswert nicht auf eine politische Meinung geschlossen werden, kann sie doch in einem grundsätzlichen Desinteresse an Politik oder in der Ablehnung von Werbematerial gründen. Ähnliches gilt für einen hohen Wahrscheinlichkeitswert, der lediglich an einem generellen politischen Interesse liegen kann. Da aber „Parteiaffinitäten“ mehreren politischen Parteien zugeordnet werden, folgen aus dem Zusammenspiel zwischen hohen Wahrscheinlichkeitswerten für bestimmte Parteien und niedrigen Wahrscheinlichkeitswerten für andere Parteien ein besonderes Werbeinteresse für die einen und ein reduziertes Werbeinteresse gegenüber den anderen Parteien. Die Werbeinteressen lassen in dieser Konstellation darauf schließen, ob der Betroffene grundsätzlich die Meinungen einer bestimmten politischen Partei vertritt, sich ihr nahe fühlt oder in Erwägung zieht, die Partei zu wählen, oder sie ablehnt.

Berücksichtigt man den Schutzzweck des Art 9 DSGVO, dh betroffene Personen vor Diskriminierungen auf Grund einer (unterstellten) politischen Meinung zu schützen, ergibt sich ebenfalls die hinreichende Wahrscheinlichkeit des Hervorgehens der politischen Meinung: werden – wie hier – Personen mit einer hohen „Parteiaffinität“, als für Werbung – und damit für eine bestimmte politische Meinung – empfänglich angesehen und sollen deshalb gezielt mit Werbung über bestimmte politische Parteien beworben werden, stehen dazu spiegelbildlich die Gefahren, die Art 9 DSGVO vermeiden möchte: Derartige Personen zu benachteiligen oder gar zu verfolgen, weil eine gewisse Nähe zu einer Partei vermutet wird.

3.2.6. Zu den Argumenten der Beschwerdeführerin:

Die Beschwerdeführerin wehrt sich gegen die Einstufung der „Parteiaffinitäten“ als