· 

Wechsel der Rechtsgrundlage

Bildnachweis: (c) Kevin Leibold, https://twitter.com/kleibold23, Danke auch für den Hinweis auf die Entscheidung


Kann man sich, nachdem von der Behörde festgestellt wurde, dass eine Einwilligungserklärung ungültig ist, auf eine andere Rechtsgrundlage (Art 6, Art 9 DSGVO) berufen, um eine Verarbeitung zu rechtfertigten?

 

 

Entscheidung des BVwG vom 31.8.2021, W256 2227693-1/10E

 

Bescheid der DSB in einem amtswegigen Prüfverfahren gem. Art 58 Abs 2 lit b DSGVO iVm § 22 DSG (zur Gültigkeit einer EInwilligung zum Profiling in einem Kundenbindungsprogramm) vom 23.10.2019, GZ: DSB-D213.895/0003-DSB/2019

 

Die DSB leitete ein amtswegiges Prüfverfahren (Art 58 Abs 2 lit b DSGVO iVm § 22 DSG) zur allgemeine Prüfung der "Einhaltung der Bestimmungen der DSGVO und des DSG" ein und forderte den Verantwortlichen auf, bestimmte Unterlagen zu übermitteln, wobe auch das Verarbeitungsverzeichnis angefordert wurde.

 

In einem zweiten Schritt wurde der "Umfang mit den personenbezogenen Daten der Teilnehmer am XXX" (einem unternehmens- und branchenübergreifenden Kundenbindungsprogramm) überprüft.

 

 

Der Verantwortliche wurde u.a. aufgefordert, darzulegen wie

  • die Einwilligung einer betroffenen Person für den Erhalt von personalisierter Werbung durch Profiling im Rahmen der Anmeldung zum Kundenbindungsprogramm eingeholt werde, wobei ein Muster der Einwilligungserklärung angefordert wurde, und

  • die Informationspflichten nach Art 13 DSGVO im Rahmen einer solchen Anmeldung zum Kundenbindungsprogramm umgesetzt werden würden.

Mit Bescheid vom 23.10.2019 hat die DSB die Verarbeitung auf Basis der erteilten Einwilligung wegen der Ungültigkeit der Einwilligung (insbes. Verstoß gegen die Anforderungen des Art 4 Z 11 DSGVO (Definition der Einwilligung) und des Art 7 DSGVO (Bedingungen für die Einwilligung)) untersagt und Folgendes angeordnet:

 

„1. Das amtswegige Prüfverfahren war berechtigt und es wird festgestellt, dass das Ersuchen um Einwilligung zur Verarbeitung von personenbezogenen Daten von den am „ XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch die XXXX GmbH mit dem Wortlaut

„Einwilligungserklärung: Ich erkläre mich [..] damit einverstanden, dass die XXXX GmbH sowie die XXXX Partner, bei denen ich meine XXXX Karte verwendet habe,

 

(1) meine Teilnahmedaten und Einkaufsdaten zusammenführen und analysieren, um mir für mich relevante und auf meine Interessen zugeschnittene, individualisierte Informationen zum XXXX Programm zukommen zu lassen und Angebote zum Sammeln und Einlösen von XXXX auf meine Bedürfnisse anzupassen (sog. „Profiling“ für Zielgruppenselektion, Werbemaßnahmen [..], um

 

(2) mir Werbung mit personalisierten Angeboten über Produkte und Dienstleistungen des Betreibers und der XXXX Partner [..] zuzusenden, und

 

(3) dass meine auf diese Weise gewonnenen personenbezogenen Daten bei Widerruf
meiner Einwilligung, spätestens nach Ende meiner Mitgliedschaft gelöscht werden. [..].“

 

unter Verwendung folgender Methoden:

i)       Webseite www. XXXX .at

ii)       XXXX App

iii)     XXXX in der Filiale eines Partners und

iv)      Anmeldebroschüre („Flyer“)

nicht den Anforderungen an eine Einwilligung gemäß Art 4 Z 11 DSGVO und Art 7 DSGVO entspricht und dass folglich die Verarbeitung von personenbezogenen Daten von den am „ XXXX “ registrierten betroffenen Personen zum Zweck des Profiling durch die XXXX GmbH mangels gültiger Einwilligung unzulässig ist.

 

2.       Die Beschwerdeführerin wird angewiesen, innerhalb einer Frist von drei Monaten bei sonstiger Exekution, das in Spruchpunkt 1. genannte Ersuchen um Einwilligung unter Verwendung der in Spruchpunkt 1. i) bis iv) genannten Methoden gemäß Art 4 Z 11 DSGVO und Art 7 DSGVO anzupassen.

 

3.       Der XXXX GmbH wird untersagt und die XXXX GmbH wird angewiesen, die gemäß Spruchpunkt 1. eingeholten Einwilligungen ab 1. Mai 2020 zum Zweck des Profiling nicht mehr zu verwenden. Dies gilt nicht, sofern von den betroffenen Personen innerhalb derselben Frist eine gültige Einwilligung, unter Einhaltung der Anforderungen an eine Einwilligung gemäß Spruchpunkt 2. eingeholt wird."

 

 

Prüfungsgegenstand im Verfahren

Die DSB prüfte im Rahmen des Verfahrens die Einwilligungserklärungen und die Wege, derer sich der Veratnwortliche zur Einholung bediente, insbes. auch im Hinblick auf die Transparenz und stellte fest, dass die Anforderungen des Art 4 Z 11 DSGVO und des Art 7 DSGVO nicht erfüllt wären.

 

Die mit dem Formular verbundenen Informationen über Profiling wären nicht in einer leicht zugänglichen Form verfügbar sowie in keiner klaren und einfachen Sprache formuliert. Die Verarbeitung zum Zweck des Profiling sei daher mangels gültiger Einwilligung unzulässig. Der Verantwortlich ehabe jedochdie Möglichkeit, durch "Einholung neuer Einwilligungserklärungen eine rechtmäßige Datenverarbeitung zu erwirken".

 

Gegen diese bescheidmäßige Anordnung erhob der Verantwortliche die Beschwerde an das Bundesverwaltungsericht, und argumentierte u.a. das der Prüfungsmaßstab der Behörde zu eng gewählt worden wäre, da sich dies nur auf die Einwilligung bezogen hat. DIese Beschwerde ist nun entschieden, und hat das BVwG den Bescheid (bzw. die sog. Berufungsvorentscheidung, die den Bescheid bestätigt hat, nach einem Vorlageantrag des Verantwortlichen (= Beschwerdeführer) ersatzlos behoben, soddass das Verfahren nun wieder bei der DSB anhängig ist (bzw. wäre, wenn nicht die Revision an den VwGH erhoben wird).

 

 

Wechsel der Rechtsgrundlage

Im Zuge dieses Erkenntnisses hat das BVwG auch die Frage des "Wechsels der Rechtsgrundlage" thematisiert, und festgehalten, dass ein derartiger Wechsel nicht generell ausgeschlossen ist, und sich das auch nicht aus den Leitlinien des EDSA ergäbe.

 

Die DSB hat die Verarbeitung ausschließlich auf Basis der Rechtsgrundlage "Einwilligung" geprüft, und auch ausgeführt, dass ein Wechsel der Rechtsgrundlage ohnehin nicht zulässig sei. "Schließlich weise auch die Art 29 Datenschutzgruppe in ihren Leitlinien darauf hin, dass es nicht gestattet sei, rückwirkend berechtigte Interessen als Grundlage für die Rechtfertigung der Verarbeitung zu wählen, wenn Probleme mit der Gültigkeit der Einwilligung aufgetreten seien." Aus diesem Grund hat die DSB weitere Rechtsgrundlagen gar nicht in Erwägung und in die Prüfung einbezogen. 

 

Der Bescheid der DSB leidet an rechtlichen Mängeln und wurde daher (ersatzlos) aufgehoben. Einerseits liegt es in der ausschließlichen Veranwortung der DSB die Rechtmäßigkeit der Verarbeitzung zu prüfen und ist sie dabei nur an das Gesetz gebunden. Das Vorbringen der Parteien ist dazu ein Anhaltspunkt, aber die DSB ist nicht an den "Normanwendungsanspruch des Verantwortlichen" gebunden, sondern obliegt ihr die umfassende Prüfung in rechtlicher Hinsicht.

 

Des weiteren vermischt die DSB nach Ansicht des BVwG die Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz (Art 5 Abs 1 lit a DSGVO), da diese getrennt von einander zu betrachten sind.

 

Die mangelhafte (fehlende) Information iSd Art 13 Abs 1 lit c DSGVO kann durch die DSB geahndet (bestraft) werden, weil dies einen Verstoß gegen den Grundsatz der Transparenz darstellen kann, aber dies führt nicht unmittelbar zur Rechtswidrigkeit der Verarbeitung, weil die Einwilligung ungültig ist, da daraus kein Verstoß gegen die Rechtmäßigkeit per se abgeleitet werden kann.

 

Das BVwG kommt auch zum Schluss, dass die Rechtsgrundlage (Art 6 DSGVO, Art 9 DSGVO) von den Grundsätzen der "Transparenz" und der "Verarbeitung nach Treu und Glauben" unabhängig zu betrachten sind.

 

Auch das Wort "mindestens" in des Art 6 Abs 1  DSGVO legt dar, dass die Rechtmäßigkeit der Verarbeitung nicht nur auf einer, sondern gleichzeitig auf mehreren Verarbeitungsgrundlagen basiern kann.

 

 

"Dass im Falle einer ungültigen Einwilligung generell ein Rückgriff auf sonstige Erlaubnistatbestände des Art 6 DSGVO bei fehlender vorangehender Information der betroffenen Person nicht möglich wäre, kann letztlich aber auch den von der belangten Behörde zitierten Leitlinien der Art 29 Datenschutzgruppe und auch der dazu ergangenen Literatur nicht entnommen werden (u.a. Buchner/Kühling, in Kühling/Buchner (Hrsg), DSGVO² Art 7 Rz 18; Schantz in Simitis, Hornung, Spiecker (Hrsg.), Datenschutzrecht, Art. 6 Abs. 1 Rz 12)."

 

Dort wird (nach Ansicht des BVwG) ausschließlich der Widerruf der Einwilligung und dessen Folgen thematisiert, und dass nach einem Widerruf die betroffene Person erwartet, dass die Daten nicht mehr verarbeitet werden.

 

Das BVwG kommt zum Schluss, dass die Ansicht der DSB, dass eine ungültige Einwilligungserklärung bei mangelnder Information über weitere Rechtsgrundlagen (für die gleiche Verarbeitung) die Unzulässigkeit der Verarbeitung bewirkt, und daher keine weiteren Rechtsgrundlagen für die Verarbeitung zu prüfen sind, nicht korrekt ist.

 

Weil das BVwG der Ansicht war, dass die DSB bei der bescheidmäßigen Anordnung Fehler gemacht hat, bedurfte es keiner Auseinandersetzung mit der Frage der (Un)-Gültigkeit der Einwilligung selbst.

 

 

Danke an Kevin Leibold (https://twitter.com/kleibold23) für die Information über die Entscheidung auf twitter. Er hat auch das Bild (animiertes gif) zur Verfügung gestellt.

 

Kommentar schreiben

Kommentare: 0