Entscheidungsdatum
23.02.2026Norm
B-VG Art133 Abs4Spruch
,
W137 2257661-1/15E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch den Richter Mag. Peter HAMMER als Vorsitzender und die fachkundigen Laienrichterinnen Mag. Philipp SCHEDIFKA als Beisitzer sowie Mag. Martina CHLESTIL als Beisitzerin über die Beschwerde der XXXX , vertreten durch GEISTWERT Kletzer Messner Mosing Schnider Schultes Rechtsanwälte OG, gegen Spruchpunkt 1. des Bescheides der Datenschutzbehörde vom 17.06.2022, GZ. D.124.1681 2022-0.196.923, zu Recht erkannt:Das Bundesverwaltungsgericht hat durch den Richter Mag. Peter HAMMER als Vorsitzender und die fachkundigen Laienrichterinnen Mag. Philipp SCHEDIFKA als Beisitzer sowie Mag. Martina CHLESTIL als Beisitzerin über die Beschwerde der römisch 40 , vertreten durch GEISTWERT Kletzer Messner Mosing Schnider Schultes Rechtsanwälte OG, gegen Spruchpunkt 1. des Bescheides der Datenschutzbehörde vom 17.06.2022, GZ. D.124.1681 2022-0.196.923, zu Recht erkannt:
A)
Die Beschwerde wird gemäß § 28 Abs. 2 VwGVG iVm § 24 Abs. 1 und Abs. 5 DSG idgF als unbegründet abgewiesen. Die Beschwerde wird gemäß Paragraph 28, Absatz 2, VwGVG in Verbindung mit Paragraph 24, Absatz eins und Absatz 5, DSG idgF als unbegründet abgewiesen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.Die Revision ist gemäß Artikel 133, Absatz 4, B-VG nicht zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:römisch eins. Verfahrensgang:
1. Mit verfahrenseinleitender Eingabe vom 31.10.2019 (eingelangt am 13.11.2019) erhob XXXX (= mitbeteiligte Partei vor dem Bundesverwaltungsgericht und Antragstellerin vor der Datenschutzbehörde) eine Datenschutzbeschwerde gegen die XXXX (= Beschwerdeführerin vor dem Bundesverwaltungsgericht und Beschwerdegegnerin vor der Datenschutzbehörde) wegen einer behaupteten Verletzung im Recht auf Geheimhaltung, Auskunft, Widerspruch und Löschung. Begründend wurde im Wesentlichen ausgeführt, dass die mitbeteiligte Partei aufgrund einer Google-Suche am 07.08.2019 auf die Website XXXX gelangt sei. Dort sei diese mit einer „Cookiebar“ konfrontiert worden, habe jedoch keine Einwilligung in die Verarbeitung ihrer Daten erteilt. Im Anschluss sei der mitbeteiligten Partei aufgefallen, dass ihr Werbung jenes Unternehmens im Browser angezeigt worden sei, dessen Website sie – ohne Abgabe einer Einwilligung zur Datenverarbeitung – besucht habe. Eine Kontrolle des verwendeten Computers habe ergeben, dass die Website trotz der fehlenden Einwilligung Analyse-, Profiling- und Retargetingdienste geladen und Skripte von Drittanbieterdiensten ausgeführt habe. Gegenständlich liege ein klarer Fall der gemeinsamen Verantwortung des Unternehmens als Websitebetreiber und den Betreibern der Drittanbieterdienste, für eine illegale Verarbeitung der IP-Adresse, Cookies sowie weiterer Daten zur Erstellung eines eindeutigen „Browser-Fingerprints“, vor. Zudem sei die Beschwerdeführerin den Aufforderungen der mitbeteiligten Partei – auch im Zusammenhang mit weiteren Betroffenenrechten – nicht nachgekommen.1. Mit verfahrenseinleitender Eingabe vom 31.10.2019 (eingelangt am 13.11.2019) erhob römisch 40 (= mitbeteiligte Partei vor dem Bundesverwaltungsgericht und Antragstellerin vor der Datenschutzbehörde) eine Datenschutzbeschwerde gegen die römisch 40 (= Beschwerdeführerin vor dem Bundesverwaltungsgericht und Beschwerdegegnerin vor der Datenschutzbehörde) wegen einer behaupteten Verletzung im Recht auf Geheimhaltung, Auskunft, Widerspruch und Löschung. Begründend wurde im Wesentlichen ausgeführt, dass die mitbeteiligte Partei aufgrund einer Google-Suche am 07.08.2019 auf die Website römisch 40 gelangt sei. Dort sei diese mit einer „Cookiebar“ konfrontiert worden, habe jedoch keine Einwilligung in die Verarbeitung ihrer Daten erteilt. Im Anschluss sei der mitbeteiligten Partei aufgefallen, dass ihr Werbung jenes Unternehmens im Browser angezeigt worden sei, dessen Website sie – ohne Abgabe einer Einwilligung zur Datenverarbeitung – besucht habe. Eine Kontrolle des verwendeten Computers habe ergeben, dass die Website trotz der fehlenden Einwilligung Analyse-, Profiling- und Retargetingdienste geladen und Skripte von Drittanbieterdiensten ausgeführt habe. Gegenständlich liege ein klarer Fall der gemeinsamen Verantwortung des Unternehmens als Websitebetreiber und den Betreibern der Drittanbieterdienste, für eine illegale Verarbeitung der IP-Adresse, Cookies sowie weiterer Daten zur Erstellung eines eindeutigen „Browser-Fingerprints“, vor. Zudem sei die Beschwerdeführerin den Aufforderungen der mitbeteiligten Partei – auch im Zusammenhang mit weiteren Betroffenenrechten – nicht nachgekommen.
2. Mit Stellungnahme vom 31.01.2020 brachte die Beschwerdeführerin im Wesentlichen vor, dass auf ihrer Website gebräuchliche Cookie-Technologie zum Einsatz komme. Im Rahmen dieser Cookies würden jedoch keine personenbezogenen Daten der mitbeteiligten Partei verarbeitet. Eine von der mitbeteiligten Partei behauptete „Gemeinsame Verantwortung“ der Beschwerdeführerin mit den Dienstleistern scheitere somit bereits am mangelnden Personenbezug. Dieser könne auch nicht nachträglich hergestellt werden. Selbst wenn man davon ausgehen würde, dass es möglich sei, die gesammelten Daten einer identifizierten oder identifizierbaren Person zuordnen, sei dies der Beschwerdeführerin selbst – mit verhältnismäßigem Aufwand – nicht möglich, sodass von anonymen Daten auszugehen sei. Das Datenschutzrecht könne folglich keine Anwendung finden.
Darüber hinaus habe die mitbeteiligte Partei die Beschwerdeführerin im Zusammenhang mit den weiteren Betroffenenrechten nicht vorab befasst und sei der mitbeteiligten Partei mit Schreiben vom 30.08.2019 eine „Negativauskunft“ gemäß Art. 15 DSGVO erteilt worden.Darüber hinaus habe die mitbeteiligte Partei die Beschwerdeführerin im Zusammenhang mit den weiteren Betroffenenrechten nicht vorab befasst und sei der mitbeteiligten Partei mit Schreiben vom 30.08.2019 eine „Negativauskunft“ gemäß Artikel 15, DSGVO erteilt worden.
3. Mit Eingabe vom 01.06.2020 (eingelangt am 12.06.2020) führte die mitbeteiligte Partei soweit verfahrensrelevant aus, dass die Stellungnahme der Beschwerdeführerin in mehrfacher Sicht unrichtig sei, da ein mangelnder Personenbezug der verarbeiteten Daten nicht vorliege.
4. Nach Aufforderung der Datenschutzbehörde teilte die Beschwerdeführerin mit Stellungnahme vom 19.10.2020 im Wesentlichen mit, dass teilweise UUID (Universally Unique Identifier) eingesetzt worden seien, aber dennoch keine Verarbeitung von personenbezogenen Daten stattgefunden habe. Dabei handle es sich um Zufallskennungen, welche – für die Beschwerdeführerin und gemäß den Informationen durch die Dienstleister (auch) durch diese – nicht mit personenbezogenen Daten zusammengeführt werden könnten, sodass – trotz UUIDs – kein Personenbezug vorliege. Es sei von anonymen Daten auszugehen.
5. Mit Stellungnahme vom 24.11.2020 (eingelangt am 25.11.2020) verwies die mitbeteiligte Partei auf ein weiteres Verfahren vor der Datenschutzbehörde und führte aus, dass die dort gemachten Ausführungen der Beschwerdeführerin hinsichtlich der Verarbeitung von personenbezogenen Daten und den eingesetzten Cookies (mit UUIDs) widersprüchlich seien. Bei jedem eingesetzten Dienst der Beschwerdeführerin finde eine Verarbeitung von personenbezogenen Daten statt.
6. Mit Schreiben vom 14.03.2022 brachte die mitbeteiligte Partei soweit verfahrensrelevant vor, dass sie erst nach dem Besuch der Website der Beschwerdeführerin auf die Verarbeitung ihrer personenbezogenen Daten in der Form des Retargeting, also durch die Anzeige von Werbung der Beschwerdeführerin auf anderen Websites, aufmerksam geworden sei. Die mitbeteiligte Partei habe somit keine Möglichkeit gehabt, die konkret verwendete dynamische IP-Adresse beim Besuch der Website der Beschwerdeführerin für ein Verfahren vor der Datenschutzbehörde für Beweiszwecke zu sichern. Es sei jedoch allgemein bekannt, dass es den von der Beschwerdeführerin eingesetzten Auftragsverarbeitern problemlos möglich sei, sie quer durch das Internet zu identifizieren und Werbung der Beschwerdeführerin anzuzeigen. Zum Zeitpunkt des Besuchs der Website der Beschwerdeführerin sei die mitbeteiligte Partei nicht mit einem Google-Konto eingeloggt gewesen.
7. Mit Bescheid vom 17.06.2022, GZ. D.124.1681 2022-0.196.923, gab die Datenschutzbehörde der Datenschutzbeschwerde vom 31.10.2019 teilwiese statt und stellte fest, dass die Beschwerdeführerin als Verantwortliche durch ihre Entscheidung, diverse Dienste (dies sind zumindest Google Analytics und Criteo) auf ihrer Website unter XXXX zu implementieren, zumindest am 07.08.2019 personenbezogene Daten der mitbeteiligten Partei (dies sind zumindest in Kombination deren Online-Kennung in Form der IP-Adresse und einzigartiger Nutzer-Identifikations-Nummern sowie die Information, welche Produkte die mitbeteiligte Partei auf der Website unter XXXX am 07.08.2019 angesehen habe), entgegen den Vorgaben von Art. 5 Abs. 1 lit. a (Grundsatz der Rechtmäßigkeit) und Art. 6 Abs. 1 DSGVO unrechtmäßig verarbeitet habe, indem sie die genannten personenbezogenen Daten der mitbeteiligten Partei ihren Werbepartnern zum Zwecke des Ausspielens von personalisierter Werbung ohne Rechtsgrundlage zur Verfügung gestellt habe (Spruchpunkt 1.). Im Übrigen wurde die Beschwerde abgewiesen (Spruchpunkt 2.).7. Mit Bescheid vom 17.06.2022, GZ. D.124.1681 2022-0.196.923, gab die Datenschutzbehörde der Datenschutzbeschwerde vom 31.10.2019 teilwiese statt und stellte fest, dass die Beschwerdeführerin als Verantwortliche durch ihre Entscheidung, diverse Dienste (dies sind zumindest Google Analytics und Criteo) auf ihrer Website unter römisch 40 zu implementieren, zumindest am 07.08.2019 personenbezogene Daten der mitbeteiligten Partei (dies sind zumindest in Kombination deren Online-Kennung in Form der IP-Adresse und einzigartiger Nutzer-Identifikations-Nummern sowie die Information, welche Produkte die mitbeteiligte Partei auf der Website unter römisch 40 am 07.08.2019 angesehen habe), entgegen den Vorgaben von Artikel 5, Absatz eins, Litera a, (Grundsatz der Rechtmäßigkeit) und Artikel 6, Absatz eins, DSGVO unrechtmäßig verarbeitet habe, indem sie die genannten personenbezogenen Daten der mitbeteiligten Partei ihren Werbepartnern zum Zwecke des Ausspielens von personalisierter Werbung ohne Rechtsgrundlage zur Verfügung gestellt habe (Spruchpunkt 1.). Im Übrigen wurde die Beschwerde abgewiesen (Spruchpunkt 2.).
In diesem Bescheid traf die Datenschutzbehörde hinsichtlich Spruchpunkt 1. im Wesentlichen folgende Sachverhaltsfeststellungen:
Websites würden Cookies nutzen, um Nutzer zu identifizieren und sich die Vorlieben ihrer Kunden zu merken. Cookies seien auch dazu nutzbar, um anhand des Online-Verhaltens Informationen für gezielte Werbung und Vermarktung zu sammeln und auszuspielen.
Die Beschwerdeführerin sei jedenfalls am 07.08.2019 die Website-Betreiberin von XXXX gewesen und treffe die Entscheidung darüber, welche Cookies unter welchen Voraussetzungen beim Aufruf der Website XXXX gesetzt oder ausgelesen werden würden. Bei der betriebenen Website handle es sich um einen Versandhandel für Bekleidung. Darüber hinaus treffe die Beschwerdeführerin die Entscheidung darüber, welche JavaScript-Codes beim Aufruf der Website XXXX ein Setzen oder Auslesen von Cookies im Browser von Website-Besuchern auslöse. Die Beschwerdeführerin sei jedenfalls am 07.08.2019 die Website-Betreiberin von römisch 40 gewesen und treffe die Entscheidung darüber, welche Cookies unter welchen Voraussetzungen beim Aufruf der Website römisch 40 gesetzt oder ausgelesen werden würden. Bei der betriebenen Website handle es sich um einen Versandhandel für Bekleidung. Darüber hinaus treffe die Beschwerdeführerin die Entscheidung darüber, welche JavaScript-Codes beim Aufruf der Website römisch 40 ein Setzen oder Auslesen von Cookies im Browser von Website-Besuchern auslöse.
Die mitbeteiligte Partei habe zumindest am 07.08.2019 die Website der Beschwerdeführerin besucht. Bei diesem Besuch sei ein Cookie-Banner aufgetaucht, mit dem die Zustimmung zur Verwendung von Cookies der mitbeteiligten Partei eingeholt werden sollte. Die mitbeteiligte Partei habe mit dem dargestellten Cookie-Banner nicht interagiert und keine Einwilligung abgegeben.
Bei diesem Besuch seien zumindest folgende Dienste (d.h. Cookies oder JavaScript-Codes) seitens der Beschwerdeführerin verwendet worden: Criteo, DoubleClick, Econda, Facebook Pixel, Google Analytics, Krxd. Net, Userlike.
Zumindest die Dienste Google Analytics und Criteo würden Cookies mit einer einzigartigen Nutzer-Identifikations-Nummer verwenden, wodurch ein Endgerät markiert werde.
Die mitbeteiligte Partei habe sich während des Besuchs der Website Produkte der Beschwerdeführerin angesehen. Dabei seien zumindest die von der mitbeteiligten Partei aufgerufenen Produktunterseiten mithilfe von Cookies aufgezeichnet worden. Als die mitbeteiligte Partei nach dem Besuch unter XXXX die Websites www.focus.de, www.wetteronline.at, sowie http://privacy.eu.criteo.com/ besucht habe, seien der mitbeteiligten Partei zumindest auf den genannten Websites die Werbung der Beschwerdeführerin angezeigt worden.Die mitbeteiligte Partei habe sich während des Besuchs der Website Produkte der Beschwerdeführerin angesehen. Dabei seien zumindest die von der mitbeteiligten Partei aufgerufenen Produktunterseiten mithilfe von Cookies aufgezeichnet worden. Als die mitbeteiligte Partei nach dem Besuch unter römisch 40 die Websites www.focus.de, www.wetteronline.at, sowie http://privacy.eu.criteo.com/ besucht habe, seien der mitbeteiligten Partei zumindest auf den genannten Websites die Werbung der Beschwerdeführerin angezeigt worden.
Auf der Grundlage dieser Sachverhaltsfeststellungen folgerte die Datenschutzbehörde in rechtlicher Hinsicht betreffend Spruchpunkt 1. im Wesentlichen:
Die Datenschutzbehörde sei zur Behandlung der Beschwerde zuständig, da kein Verstoß gegen das TKG 2021 moniert werde, sondern hinsichtlich jener Datenverarbeitung, welche nach dem Zugriff iSd § 165 Abs. 3 TKG 2021 (also dem Setzen und Auslesen von Cookies) erfolge. Im Hinblick auf die Online-Kennungen sei festzuhalten, dass die gegenständlichen Cookies (zum Beispiel die Cookies “_ga” [Client ID] und “_gid” [User ID]) einzigartige Nutzer-Identifikations-Nummern enthalten würden und auf dem Endgerät bzw. im Browser der mitbeteiligten Partei abgelegt worden seien. Dies führe dazu, dass die hier gegenständlichen Nutzer-Identifikations-Nummern schon grundsätzlich als personenbezogene Daten (in Form einer Online-Kennung) gemäß Art. 4 Z 1 DSGVO zu qualifizieren seien. Da ein bloßes „Weitersurfen“ jedenfalls keine „eindeutige bestätigende und unmissverständliche Handlung“ darstelle, mangle es an einer Einwilligung im Sinne des Art. 6 Abs. 1 lit. a DSGVO. Ebenso wenig komme Art. 6 Abs. 1 lit. f DSGVO als Erlaubnistatbestand in Betracht. Die durchgeführte Verarbeitung der personenbezogenen Daten der mitbeteiligten Partei sei somit rechtswidrig.Die Datenschutzbehörde sei zur Behandlung der Beschwerde zuständig, da kein Verstoß gegen das TKG 2021 moniert werde, sondern hinsichtlich jener Datenverarbeitung, welche nach dem Zugriff iSd Paragraph 165, Absatz 3, TKG 2021 (also dem Setzen und Auslesen von Cookies) erfolge. Im Hinblick auf die Online-Kennungen sei festzuhalten, dass die gegenständlichen Cookies (zum Beispiel die Cookies “_ga” [Client ID] und “_gid” [User ID]) einzigartige Nutzer-Identifikations-Nummern enthalten würden und auf dem Endgerät bzw. im Browser der mitbeteiligten Partei abgelegt worden seien. Dies führe dazu, dass die hier gegenständlichen Nutzer-Identifikations-Nummern schon grundsätzlich als personenbezogene Daten (in Form einer Online-Kennung) gemäß Artikel 4, Ziffer eins, DSGVO zu qualifizieren seien. Da ein bloßes „Weitersurfen“ jedenfalls keine „eindeutige bestätigende und unmissverständliche Handlung“ darstelle, mangle es an einer Einwilligung im Sinne des Artikel 6, Absatz eins, Litera a, DSGVO. Ebenso wenig komme Artikel 6, Absatz eins, Litera f, DSGVO als Erlaubnistatbestand in Betracht. Die durchgeführte Verarbeitung der personenbezogenen Daten der mitbeteiligten Partei sei somit rechtswidrig.
8. In der gegen Spruchpunkt 1. des Bescheides fristgerecht erhobenen Beschwerde brachte die Beschwerdeführerin im Wesentlichen vor:
Es liege eine Verletzung des Bestimmtheitsgrundsatzes vor, da die Datenschutzbehörde einerseits festgestellt habe (BS 41f), dass die mitbeteiligte Partei im Datenbestand der Beschwerdeführerin nicht identifizierbar sei, aber andererseits annehme, dass eine Identifizierbarkeit gegeben sei, also personenbezogene Daten der mitbeteiligten Partei verarbeitet worden seien. Zudem sei die Datenschutzbehörde aufgrund der Anwendbarkeit des TKG 2021 unzuständig und liege nach wie vor kein Personenbezug der verarbeiteten Daten vor. Abschließend gehe es der mitbeteiligten Partei primär darum, Ersatzansprüche zu lukrieren. Sie vermeide mit der Einbringung der verfahrensgegenständlichen Datenschutzbeschwerde nur das Kostenrisiko vor einem Zivilgericht und führe regelmäßig Massenabmahnungen durch, um Einnahmen zu generieren.
9. Mit Schreiben der Datenschutzbehörde vom 21.07.2022 (hg eingelangt am 29.07.2022) wurde die Beschwerde samt Verwaltungsakt an das Bundesverwaltungsgericht übermittelt. Darin wurde auf den Bescheid verwiesen und die Abweisung der Beschwerde beantragt. Ergänzend wurde soweit verfahrensrelevant ausgeführt, dass die Datenschutzbehörde nur aufgrund der in Art. 57 Abs. 4 DSGVO genannten Tatbeständen die Beschwerdebehandlung ablehnen könne. Gegenständlich liege jedoch keine „offenkundig unbegründete“ Beschwerde oder ein eindeutiger Rechtsmissbrauch vor. 9. Mit Schreiben der Datenschutzbehörde vom 21.07.2022 (hg eingelangt am 29.07.2022) wurde die Beschwerde samt Verwaltungsakt an das Bundesverwaltungsgericht übermittelt. Darin wurde auf den Bescheid verwiesen und die Abweisung der Beschwerde beantragt. Ergänzend wurde soweit verfahrensrelevant ausgeführt, dass die Datenschutzbehörde nur aufgrund der in Artikel 57, Absatz 4, DSGVO genannten Tatbeständen die Beschwerdebehandlung ablehnen könne. Gegenständlich liege jedoch keine „offenkundig unbegründete“ Beschwerde oder ein eindeutiger Rechtsmissbrauch vor.
10. Mit Stellungnahme vom 01.09.2022 wiederholte die Beschwerdeführerin ihr bereits in der Bescheidbeschwerde erstattetes Vorbringen und führte ergänzend aus, dass die Datenschutzbehörde sich mit der rechtsmissbräuchlichen Geltendmachung von Datenschutzverletzungen nicht weiter auseinandergesetzt habe, obwohl dieser bekannt sei, dass die mitbeteiligte Partei „Massenabmahnungen“ durchführe und das ausschließlich mit dem Ziel, sich durch die unklare Rechtslage zu bereichern. Zudem werde angeregt das gegenständliches Beschwerdeverfahren bis zur Entscheidung des Europäischen Gerichtshofs C-307/22 - FT gegen DW zu unterbrechen.
11. Mit Stellungnahme vom 31.10.2022 erwiderte die mitbeteiligte Partei, dass die Datenschutzbehörde für die Behandlung der geltend gemachten Datenschutzverletzung zuständig sei und das Beschwerdeverfahren nicht auszusetzen sei, da der durch den EuGH in der Rechtssache C-307/22 zu beurteilende Sachverhalt nicht mit dem verfahrensgegenständlichen Fall vergleichbar sei.
II. Das Bundesverwaltungsgericht hat erwogen:römisch zwei. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
1.1. Mittels Cookies lassen sich Informationen sammeln, die von einer Website generiert und über den Browser eines Internetnutzers gespeichert werden. Es handelt sich um eine kleine Datei oder Textinformation (in der Regel kleiner als ein Kilobyte), die von einer Website über den Browser eines Internetnutzers auf der Festplatte des Computers oder mobilen Endgeräts platziert wird.
Ein Cookie erlaubt es der Website, sich an die Aktionen oder Vorlieben des Nutzers zu „erinnern“. Die meisten Webbrowser unterstützen Cookies, aber die Nutzer können ihre Browser so einstellen, dass sie Cookies abweisen. Sie können Cookies auch jederzeit löschen.
Websites nutzen Cookies, um Nutzer zu identifizieren, sich die Vorlieben ihrer Kunden zu merken und es den Nutzern zu ermöglichen, Aufgaben abzuschließen, ohne Informationen neu eingeben zu müssen, wenn sie zu einer anderen Seite wechseln oder die Website später erneut besuchen.
Cookies können auch genutzt werden, um anhand des Online-Verhaltens Informationen für gezielte Werbung und Vermarktung zu sammeln. Unternehmen verwenden zum Beispiel Software, um das Nutzerverhalten nachzuverfolgen und persönliche Profile zu erstellen, die es ermöglichen, den Nutzern Werbung zu zeigen, die auf ihre zuvor durchgeführten Suchvorgänge zugeschnitten ist.
1.2. Die Beschwerdeführerin betrieb am 07.08.2019 die Website XXXX . Sie trifft die Entscheidung, unter welchen Voraussetzungen (Java Script) welche Cookies beim Aufruf der genannten Website gesetzt oder ausgelesen werden.1.2. Die Beschwerdeführerin betrieb am 07.08.2019 die Website römisch 40 . Sie trifft die Entscheidung, unter welchen Voraussetzungen (Java Script) welche Cookies beim Aufruf der genannten Website gesetzt oder ausgelesen werden.
1.3. Die mitbeteiligte Partei besuchte zumindest am 07.08.2019 die Website der Beschwerdeführerin mittels eines Computers. Beim Aufruf der Website erschien im oberen Bereich des Browsers ein Banner, welches darauf hinwies, dass das Weitersurfen auf der Website als Zustimmung zur Cookie-Nutzung gewertet wird. Die mitbeteiligte Partei hat mit dem genannten Cookie-Banner nicht interagiert und keine aktiven Handlungen zur Einwilligung in die Cookie-Nutzung gesetzt.
1.4. Als Folge des Besuchs der Website XXXX wurden am 07.08.2019 die von der Datenschutzbehörde festgestellten Cookies am Endgerät der mitbeteiligten Partei gesetzt und ausgelesen. Dabei handelte es sich um die Dienste (Cookies oder Java-Script) von Criteo, DoubleClick, Econda, Facebook Pixel, Google Analytics, Krxd. Net und Userlike. 1.4. Als Folge des Besuchs der Website römisch 40 wurden am 07.08.2019 die von der Datenschutzbehörde festgestellten Cookies am Endgerät der mitbeteiligten Partei gesetzt und ausgelesen. Dabei handelte es sich um die Dienste (Cookies oder Java-Script) von Criteo, DoubleClick, Econda, Facebook Pixel, Google Analytics, Krxd. Net und Userlike.
Zumindest die Dienste Google Analytics (z.B. _ga / _gid) und Criteo (z.B. uid) beinhalten einen einzigartigen, zufallsgenerierten Wert (random number).
1.5. Bei „Google Analytics“ handelt es sich um einen Messdienst, der es ermöglicht, Trafficeigenschaften zu messen. Die Cookies „_ga“ und „_gid“ dienen der Unterscheidung von Usern über definierte Zeiträume.
1.6. Bei „Criteo“ handelt es sich um eine digitale Werbeplattform. Das Cookie „uid“ speichert die Anzahl der Besuche, die durchschnittliche Verweildauer auf der Website und welche Seiten geladen wurden, mit dem Ziel der Darstellung zielgerichteter Anzeigen (Werbung).
1.7. Während des Websitebesuchs unter XXXX betrachtete die mitbeteiligte Partei Produkte (u.a. Badeanzüge). Dabei wurden zumindest die von der Beschwerdeführerin aufgerufenen Produktunterseiten mithilfe von Cookies aufgezeichnet.1.7. Während des Websitebesuchs unter römisch 40 betrachtete die mitbeteiligte Partei Produkte (u.a. Badeanzüge). Dabei wurden zumindest die von der Beschwerdeführerin aufgerufenen Produktunterseiten mithilfe von Cookies aufgezeichnet.
Als die mitbeteiligte Partei die Website der Beschwerdeführerin verließ und die Websites www.focus.de, www.wetteronline.at, sowie http://privacy.eu.criteo.com/ besuchte, wurden ihr zumindest auf den genannten Websites die Werbung der Beschwerdeführerin (u.a. Badeanzüge und Kleider) angezeigt.
1.8. Die mitbeteiligte Partei machte der Beschwerdeführerin mit Schreiben vom 06.07.2022 – nach Erlassung des hinsichtlich Spruchpunkt 1. bekämpften Bescheids – ein monetäres Vergleichsangebot, widrigenfalls die mitbeteiligte Partei den aus der festgestellten Datenschutzverletzung resultierenden Schadenersatzanspruch zivilgerichtlich geltend machen würde.
2. Beweiswürdigung:
Die Feststellungen zum maßgeblichen Sachverhalt ergeben sich aus dem Verwaltungsakt, der Beschwerde sowie dem Gerichtsakt. Die relevanten Ermittlungsergebnisse und Urkunden liegen in den genannten Akten ein.
Die Ausführungen betreffend den allgemeinen Einsatz und die generelle Funktionsweise von Cookies stammen aus den Schlussanträgen des Generalanwalts in der Rechtssache C-673/17 (Planet49), Rz 36 ff.
Die Feststellungen unter 1.2. und 1.3. ergeben sich aus dem Verwaltungsakt und dem eigenen Vorbringen der Verfahrensparteien im Laufe des Verfahrens. Diese wurde nicht bestritten.
Die Feststellungen unter 1.4. ergeben sich aus den Vorbringen der Verfahrensparteien sowie den durch die mitbeteiligte Partei vorgelegten Screenshots, welche die auf ihrem Computer abgelegten Cookies, zeigen. Der erkennende Senat übersieht dabei nicht, dass die Spalte mit den einzigartigen und zufallsgenerierten Werten teilweise abgeschnitten ist, jedoch ist zweifelsfrei erkennbar, dass diese Werte jedenfalls gesetzt bzw. vergeben wurden. Auch, dass die mitbeteiligte Partei ihre (zu diesem Zeitpunkt aufgrund der Verwendung eines Computers jedenfalls zugeordnete) dynamische IP-Adresse nicht vorzulegen vermag, ändert an der amtswegig bekannten Funktionsweise der einschlägigen Cookies nichts (vgl. Google Analytics BVwG 30.06, W137 2264614-1). Zudem wurde die durch die mitbeteiligte Partei vorgelegte Dokumentation der gesetzten Cookies nicht bestritten. Ebenso unstrittig ist, dass die Dienste von Google Analytics UUIDs einsetzen (vgl. die Stellungnahme der Beschwerdeführerin vom 19.10.2020 und der mitbeteiligten Partei vom 24.11.2020). Soweit die Beschwerdeführerin dies hinsichtlich das Diensts „Criteo“ bestritt, ist auf den aufgedeckten Widerspruch durch die mitbeteiligte Partei zu den Stellungnahmen der Beschwerdeführerin in anderen Datenschutzverfahren hinzuweisen und ergibt sich dies im Übrigen aus einer amtswegigen Recherche des erkennenden Senats.Die Feststellungen unter 1.4. ergeben sich aus den Vorbringen der Verfahrensparteien sowie den durch die mitbeteiligte Partei vorgelegten Screenshots, welche die auf ihrem Computer abgelegten Cookies, zeigen. Der erkennende Senat übersieht dabei nicht, dass die Spalte mit den einzigartigen und zufallsgenerierten Werten teilweise abgeschnitten ist, jedoch ist zweifelsfrei erkennbar, dass diese Werte jedenfalls gesetzt bzw. vergeben wurden. Auch, dass die mitbeteiligte Partei ihre (zu diesem Zeitpunkt aufgrund der Verwendung eines Computers jedenfalls zugeordnete) dynamische IP-Adresse nicht vorzulegen vermag, ändert an der amtswegig bekannten Funktionsweise der einschlägigen Cookies nichts vergleiche Google Analytics BVwG 30.06, W137 2264614-1). Zudem wurde die durch die mitbeteiligte Partei vorgelegte Dokumentation der gesetzten Cookies nicht bestritten. Ebenso unstrittig ist, dass die Dienste von Google Analytics UUIDs einsetzen vergleiche die Stellungnahme der Beschwerdeführerin vom 19.10.2020 und der mitbeteiligten Partei vom 24.11.2020). Soweit die Beschwerdeführerin dies hinsichtlich das Diensts „Criteo“ bestritt, ist auf den aufgedeckten Widerspruch durch die mitbeteiligte Partei zu den Stellungnahmen der Beschwerdeführerin in anderen Datenschutzverfahren hinzuweisen und ergibt sich dies im Übrigen aus einer amtswegigen Recherche des erkennenden Senats.
Die unter 1.5. und 1.6. getroffenen Feststellungen beruhen auf dem Verwaltungsakt und einer amtswegigen Recherche durch den erkennenden Senat unter https://developers.google.com/analytics/devguides/collection/ga4/tag-options?hl=de sowie https://ailab.criteo.com/cookie-declaration/ (beide zuletzt abgefragt am 08.04.2025).
Die Feststellung 1.7. ergibt sich aus dem Vorbringen der mitbeteiligten Partei in ihrer Datenschutzbeschwerde vom 31.10.2019, insbesondere den diesbezüglich vorgelegten Screenshots.
Die Feststellung zum Zeitpunkt der Erlassung des teilweise angefochten Bescheids, dem Vergleichsangebot und der Androhung der zivilgerichtlichen Geltendmachung eines Schadenersatzanspruchs ergeben sich aus dem Schreiben der mitbeteiligten Partei vom 06.07.2022 an die Beschwerdeführerin und der Beschwerde der Beschwerdeführerin.
3. Rechtliche Beurteilung:
Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gegenständlich liegt gemäß § 27 DSG Senatszuständigkeit vor.Gemäß Paragraph 6, BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gegenständlich liegt gemäß Paragraph 27, DSG Senatszuständigkeit vor.
3.1. Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.3.1. Gemäß Paragraph 17, VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Artikel 130, Absatz eins, B-VG die Bestimmungen des AVG mit Ausnahme der Paragraphen eins bis 5 sowie des römisch vier. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, Bundesgesetzblatt Nr. 194 aus 1961,, des Agrarverfahrensgesetzes – AgrVG, Bundesgesetzblatt Nr. 173 aus 1950,, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, Bundesgesetzblatt Nr. 29 aus 1984,, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.
3.2. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist. Gemäß § 28 Abs. 1 VwGVG hat Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist.3.2. Gemäß Paragraph 31, Absatz eins, VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist. Gemäß Paragraph 28, Absatz eins, VwGVG hat Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist.
Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden dann in der Sache selbst zu entscheiden, wenn der maßgebliche Sachverhalt feststeht oder die Feststellung des maßgeblichen Sachverhaltes durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.Gemäß Paragraph 28, Absatz 2, VwGVG hat das Verwaltungsgericht über Beschwerden dann in der Sache selbst zu entscheiden, wenn der maßgebliche Sachverhalt feststeht oder die Feststellung des maßgeblichen Sachverhaltes durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.
Zu A)
3.3. Die maßgebenden Bestimmungen der DSGVO:
Artikel 4 DSGVO – Begriffsbestimmungen:
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
(…)
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
(…)
Artikel 5 DSGVO – Grundsätze für die Verarbeitung personenbezogener Daten:
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Artikel 6 DSGVO – Rechtmäßigkeit der Verarbeitung:
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
(…)
Artikel 7 DSGVO – Bedingungen für die Einwilligung:
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Art. 57 DSGVO – Aufgaben:Artikel 57, DSGVO – Aufgaben:
(…)
(4) Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.
Art. 77 DSGVO – Recht auf Beschwerde bei einer Aufsichtsbehörde:Artikel 77, DSGVO – Recht auf Beschwerde bei einer Aufsichtsbehörde:
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.
3.4. Die maßgeblichen Bestimmungen des DSG:
§ 1 DSG – Grundrecht auf Datenschutz:Paragraph eins, DSG – Grundrecht auf Datenschutz:
(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Artikel 8, Absatz 2, der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), Bundesgesetzblatt Nr. 210 aus 1958,, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(…)
3.5. Die Beschwerdeführerin moniert mit ihrer Bescheidbeschwerde im Wesentlichen, dass der angefochtene Bescheid mehrfach widersprüchlich sei und gegen das rechtsstaatliche Bestimmtheitsgebot (insbesondere iSd Art. 18 B-VG bzw. Art. 7 EMRK bzw. Art. 49 GRC) verstoße, die Unzuständigkeit der Datenschutzbehörde aufgrund des TKG 2021 vorliege, keine personenbezogenen Daten verarbeitet worden seien und eine rechtsmissbräuchliche Geltendmachung von Rechten nach der DSGVO/ dem DSG durch die mitbeteiligte Partei vorliege.3.5. Die Beschwerdeführerin moniert mit ihrer Bescheidbeschwerde im Wesentlichen, dass der angefochtene Bescheid mehrfach widersprüchlich sei und gegen das rechtsstaatliche Bestimmtheitsgebot (insbesondere iSd Artikel 18, B-VG bzw. Artikel 7, EMRK bzw. Artikel 49, GRC) verstoße, die Unzuständigkeit der Datenschutzbehörde aufgrund des TKG 2021 vorliege, keine personenbezogenen Daten verarbeitet worden seien und eine rechtsmissbräuchliche Geltendmachung von Rechten nach der DSGVO/ dem DSG durch die mitbeteiligte Partei vorliege.
Dem kann aus nachstehenden Erwägungen nicht gefolgt werden:
3.5.1 Zur Verarbeitung von personenbezogenen Daten durch die Beschwerdeführerin als Verantwortliche im Sinne des Art. 4 Z 7 DSGVO:3.5.1 Zur Verarbeitung von personenbezogenen Daten durch die Beschwerdeführerin als Verantwortliche im Sinne des Artikel 4, Ziffer 7, DSGVO:
Der sachliche Anwendungsbereich des Art. 2 Z 1 DSGVO setzt grundlegend voraus, dass „personenbezogene Daten“ verarbeitet werden. Für den erkennenden Senat haben sich keine Zweifel an der Anwendbarkeit der DSGVO auf den gegenständlichen Sachverhalt ergeben: Der sachliche Anwendungsbereich des Artikel 2, Ziffer eins, DSGVO setzt grundlegend voraus, dass „personenbezogene Daten“ verarbeitet werden. Für den erkennenden Senat haben sich keine Zweifel an der Anwendbarkeit der DSGVO auf den gegenständlichen Sachverhalt ergeben:
IP-Adressen stellen – mittlerweile unstrittig – personenbezogene Daten iSv Art. 4 Z 1 DSGVO dar. Das gilt unabhängig davon, ob es sich um „dynamische“ oder „statische“ IP-Adressen handelt (vgl. EuGH 19.10.2016, C-582/14 Rz 31ff). Dies sind Ziffernfolgen, die mit dem Internet verbundenen Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Beim Abruf einer Website wird die IP-Adresse des abrufenden Computers an den Server übermittelt, auf dem die abgerufene Website gespeichert ist. Dies ist erforderlich, um die abgerufenen Daten an den richtigen Empfänger übertragen zu können (vgl. dazu EuGH 19.10.2016, C-582/14, Bundesrepublik Deutschland, Rz 15).IP-Adressen stellen – mittlerweile unstrittig – personenbezogene Daten iSv Artikel 4, Ziffer eins, DSGVO dar. Das gilt unabhängig davon, ob es sich um „dynamische“ oder „statische“ IP-Adressen handelt vergleiche EuGH 19.10.2016, C-582/14 Rz 31ff). Dies sind Ziffernfolgen, die mit dem Internet verbundenen Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Beim Abruf einer Website wird die IP-Adresse des abrufenden Computers an den Server übermittelt, auf dem die abgerufene Website gespeichert ist. Dies ist erforderlich, um die abgerufenen Daten an den richtigen Empfänger übertragen zu können vergleiche dazu EuGH 19.10.2016, C-582/14, Bundesrepublik Deutschland, Rz 15).
Wie der EuGH ebenfalls ausführte, ist bei der Verknüpfung einer aus einer Kombination von Buchstaben und Zeichen bestehenden Zeichenfolge, mit zusätzlichen Daten, insbesondere der IP?Adresse des Geräts eines Nutzers oder anderen Kennungen, die die Identifizierung dieses Nutzers ermögl
