Schwedische Datenschutzbehörde: Umsetzung eines Widerspruchs gegen Werbe-E-Mails innerhalb von 2 Tagen

In einer Entscheidung vom 17.10.2023 hatte sich die schwedische Datenschutzbehörde (IMY) mit mehreren Beschwerden gegen das Unternehmen H&M wegen unzulässiger Marketing-E-Mails und Newsletter befasst. Unter anderem ging es um die Frage, wie schnell ein Verantwortlicher einen Werbewiderspruch nach Art. 21 Abs. 2 DSGVO umsetzen muss.

Sachverhalt

Ein Betroffener beschwerte sich, dass er am 5. April 2019 einen Widerspruch nach Art. 21 Abs. 2 DSGVO gegenüber H&M ausgeübt hatte, in der Folgezeit aber weiterhin werbliche E-Mails, in der Form von Newslettern, erhielt.

Der Widerspruch erfolgt wohl einmal in den Kontoeinstellungen und auch durch direkte Kontaktaufnahme mit dem Kundenservice in Polen und England. Am 8. April 2019 antwortete H&M, dass der Betroffene keine weiteren Newsletter erhalten würde.

Intern wurde der Betroffene wohl auch vom allgemeinen Newsletter genommen. Aber nicht von einem speziellen Kundenclub-Newsletter. Der Betroffene erhielt weiter bis zum 1. August 2019 diese Newsletter zugesendet – also ca. 4 Monate. Am 2. August 2019 wurde der Widerspruch dann auch für den Kundenclub-Newsletter umgesetzt.

Entscheidung der IMY

In ihrer Begründung stellt die IMY zunächst die gesetzlichen Anforderungen für diesen Fall dar.

Nach Art. 21 Abs. 2 DSGVO hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke von Werbung einzulegen. Es bedarf hierzu keiner weiteren Abwägung durch den Verantwortlichen oder Begründung durch den Betroffenen. Erfolgt der Widerspruch, so gibt Art. 21 Abs. 3 DSGVO vor, dass die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet werden dürfen.

Nach Ansicht der Aufsichtsbehörde folgt hieraus, dass eine weitere Verwendung der Daten für werbliche Zwecke einen Verstoß gegen Art. 6 Abs. 1 DSGVO darstellt, da hierfür keine Rechtsgrundlage vorliegt.

Die Umsetzung des Werbewiderspruchs stellt aus Sicht der IMY eine Routineaufgabe für Verantwortliche dar, da gerade keine weiteren Voraussetzungen zur Umsetzung des Widerspruchs zu erfüllen sind.

Zudem verlangt Art. 12 Abs. 3 DSGVO, dass der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung stellt. Die IMY versteht diese Vorgabe so, dass der Verantwortliche unverzüglich den Werbewiderspruch zu bearbeiten und umzusetzen hat.

Die IMY legt hier einen strengen Maßstab an die zeitliche Umsetzung des Widerspruchs in den Systemen von H&M an. Die Aufsichtsbehörde verweist darauf, dass H&M ein automatisiertes Verfahren zur Umsetzung von Widersprüchen implementiert hatte.

Es sei aber stets eine Frage des Einzelfalls und der konkreten Umstände, wie schnell der Verantwortliche den Widerspruch umsetzen muss – wie also die Vorgabe „unverzüglich“ zu verstehen ist.

Im konkreten Fall nahm die Aufsichtsbehörde an:

In Anbetracht der Umstände des Falles ist IMY der Ansicht, dass zwei Tage eine angemessene Frist für die Bearbeitung des Widerspruchs durch das Unternehmen waren

Die IMY begründet ihre Ansicht unter anderem damit, dass hier gerade ein automatisiertes Verfahren eingerichtet wurde. Die Frist könnte etwa im Fall von manuellen Umsetzungen eine andere sein. Zwei Tage sind also nicht als starre Vorgabe zu verstehen. Zudem dürfte hier auch der Umstand eine Rolle gespielt haben, dass es sich um ein großes Unternehmen handelt, welches viele Kunden weltweit hat und daher Widersprüche an sich nichts Besonderes darstellen.

Generell fordert die Aufsichtsbehörde, dass Widersprüche nach Art. 21 Abs. 2 DSGVO schnell umzusetzen sind, da entsprechend Abs. 3 gerade verhindert werden soll, dass die Daten für werbliche Zwecke weiter verarbeitet werden.

Insgesamt ging die Aufsichtsbehörde hier von Verstößen gegen Art. 12 Abs. 3, Art. 21 Abs. 3 und Art. 6 Abs. 1 DSGVO aus.

Bußgeld in Höhe von 310.000 EUR: Einkauf und Verwendung von Datensätzen (Leads) für Werbezwecke ohne rechtmäßige Einwilligung

Die französische Aufsichtsbehörde (CNIL) hat ein Bußgeld in Höhe von 310.000 EUR gegen das Unternehmen FORIOU erlassen, weil das Unternehmen personenbezogene Datensätze ohne Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für Marketingzwecke verwendet hat (Pressemitteilung der CNIL). Der konkrete Fall an sich mag „wenig spannend“ klingen, jedoch sind die der Entscheidung zugrunde liegenden Ansichten der CNIL generell praxisrelevant für den Umgang mit Daten von Kunden oder potentiellen Neukunden.

Entscheidung der CNIL

FORIOU führt telefonische Akquisitionskampagnen durch, um die von ihm vermarkteten Treueprogramme und -karten zu bewerben. Die Daten der potentiellen Interessenten kauft das Unternehmen von Datenmaklern und Betreibern von Websites für Gewinnspiele und Produkttests. Im Grunde also ein recht alltäglicher Vorgang in der heutigen digitalen Wirtschaft – der Einkauf von Leads / Datensätzen für Werbezwecke.

Die CNIL stellte im Rahmen einer Untersuchung jedoch fest, dass FORIOU keine Rechtsgrundlage, in Form einer wirksamen Einwilligung nach Art. 6 Abs. 1 a) DSGVO, für die Verwendung der Daten nachweisen konnte. Hierbei lag der Fehler nicht nur bei dem werbenden Unternehmen selbst – die Datensätze / Leads waren quasi schon ohne ausreichende Rechtsgrundlage erhoben und mit diesem Makel der „Rechtswidrigkeit“ an FORIOU verkauft worden. Folgende Verstöße legte die CNIL dem Unternehmen zur Last:

  • Irreführende Darstellung der Formulare zur Datenerhebung und Einholung einer (unwirksamen) Einwilligung bei den Datenlieferanten.
  • Die Zustimmungs-Schaltflächen, mit denen die Betroffenen die Einwilligung in die Weitergabe und werbliche Nutzung ihrer Daten erteilen sollten, wurden (durch ihre Größe, Farbe, Überschrift und Position) viel größer und deutlicher hervorgehoben, als die Ablehnungsmöglichkeit.
  • Zudem ist FORIOU, als Käufer der Daten, nach der DSGVO verpflichtet, sich zu vergewissern, dass die betroffenen Personen eine gültige Einwilligung erteilt haben.
  • Zwar habe FORIOU seinen Datenlieferanten im Vorfeld bestimmte vertragliche Anforderungen auferlegt – diese jedoch im weiteren Verlauf nicht wirksam kontrolliert.
  • Zudem wurde FORIOU nicht in jedem Formular als Partner / Unternehmen erwähnt, welches die Daten für werbliche Nutzungszwecke erhält.

Fazit

Die Entscheidung der CNIL knüpft inhaltlich an die festgestellten Verstöße im vergangenen Bußgeldverfahren gegen das Unternehmen CRITEO an. Für die Praxis bedeutet dies, dass Unternehmen, wenn sie personenbezogene Daten von Datenlieferanten, Partnern oder auch Konzerngesellschaften erhalten, stets selbst dafür Sorge tragen müssen, dass eine Rechtsgrundlage für den intendierten Nutzungszweck vorhanden ist.

Datenschutzbehörde Baden-Württemberg: neue Handreichung zu „Drittstaatentransfers“ – wann liegt eine „Übermittlung“ vor und wie muss darüber informiert werden?

Der LfDI Baden-Württemberg hat mit Stand Januar 2024 „Handreichung zu Kapitel V der DS-GVO“ veröffentlicht. Darin erläutert die Datenschutzbehörde ihre Position zu einigen praxisrelevanten Themen rund um Datentransfers in Drittländer außerhalb der EU. Nachfolgend betrachte ich beispielhaft zwei Aspekte der Handreichung.

Wann liegt eine „Übermittlung“ personenbezogener Daten vor?

Die Antwort auf diese Frage ist schon länger umstritten – u.a. auch, weil die DSGVO nicht definiert, was unter einer „Übermittlung“ im Sinne von Kap. V DSGVO zu verstehen ist.

Der LfDI geht für Fallkonstellationen des Zugriffs aus Drittländern auf Daten innerhalb der EU davon aus,  

„dass es sich auch beim Einräumen einer faktischen Zugriffsmöglichkeit aus dem Drittstaat (beispielsweise für administrative oder Supportzwecke) um einen Transfer gemäß Kapitel V DS-GVO handeln kann, zumindest dann, wenn der Zugriff später auch tatsächlich erfolgt.“

Wichtig sind bei dieser Ansicht zwei Aspekte:

  • Es „kann“ sich um eine Übermittlung handeln. Es liegt daher damit nicht per se bei Zugriffsmöglichkeit eine Übermittlung vor.
  • Und: dies ist nur der Fall, wenn der Zugriff auf Daten auch tatsächlich erfolgt.

Gerade die zweite Anforderung des LfDI ist aus meiner Sicht zu begrüßen. Denn hiermit positioniert sich die Behörde klar gegen Auslegungen, die bereits allein eine Zugriffsmöglichkeit als „Übermittlung“ ansehen wollen. Die Datenschutzbehörde verlangt aber klar, dass faktisch ein Zugriff erfolgen muss – die Möglichkeit allein genügt nicht.

Wie muss in Datenschutzhinweisen über Drittlandstransfers informiert werden?

Nach Art. 13 Abs. 1 f) DSGVO muss der Verantwortliche „gegebenenfalls“ über die Absicht informieren, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Art. 46 oder Art. 47 oder Art. 49 Abs. 1 Unterabsatz 2 DSGVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

In dieser gesetzlichen Anforderung stecken mehrere (alternative) Informationspflichten. Information über

  • die Absicht, personenbezogene Daten zu übermitteln
  • das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses
  • die geeigneten oder angemessenen Garantien nach Art. 46 oder Art. 47 oder Art. 49 Abs. 1 Unterabsatz 2 DSGVO und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar.

Zum zweiten Punkt vertritt etwa die irische Aufsichtsbehörde die Ansicht, dass die Information auf jeden Fall erteilt werden muss, auch wenn sie nur negativ ausfällt weil es keinen Angemessenheitsbeschluss gibt (z. B.: „Für das Land XYZ liegt kein Angemessenheitsbeschluss der Europäischen Kommission vor“) (vgl. hier meinen Blogbeitrag).

Der LfDI Baden-Württemberg setzt in seiner Handreichung voraus, dass 1) eine namentliche Nennung des Empfängerlandes und 2) des eingesetzten Transferinstruments erfolgen muss. Dies bedeutet für Datenschutzhinweise, dass diese sowohl das oder die konkreten Drittländer benennen müssen. Daneben muss auch konkret für das jeweilige Drittland angegeben werden, ob und welcher  Angemessenheitsbeschluss vorliegt oder aber z.B. die EU-Standarddatenschutzklauseln verwendet werden.

Wichtig: die irische Aufsichtsbehörde legt die Anforderungen des Art. 13 DSGVO in der Weise aus, dass es nicht ausreicht, einfach einen Link zu einer allgemeinen Webseite der Europäischen Kommission zu setzen. Die betroffene Person sollte vielmehr in der Lage sein, auf das jeweilige Dokument, auf das man sich beruft, zuzugreifen. Also etwa per Link auf den konkreten Angemessenheitsbeschluss.