In Italien wurde von den Aufsichtsbehörden ein Bußgeld nach der Datenschutzgrundverordnung (DSGVO) in Höhe von über 2 Millionen Euro verhängt. Dieses richtete sich gegen ein Unternehmen, das über ein albanisches Callcenter Telemarketing und Teleselling Maßnahmen ohne eine entsprechende Einwilligung durchgeführt hat.
Das Callcenter wurde im Auftrag des Unternehmens zur Akquisition neuer Kunden tätig und benutzte dafür Telefonnummern aus dem eigenen Kundenstamm. Auf den Kundenstamm der italienischen Firmen wurde nicht zugegriffen.
Die zuständige Finanz- und Zollpolizei Guardia di Finanzia stellte fest, dass die kontaktierten betroffenen Personen nicht über ihre Rechte informiert wurden und auch keine schriftliche Einwilligung zur Erhebung und Verarbeitung der personenbezogenen Daten zu Marketingzwecken vorlag. Der Verantwortliche konnte seine Informationspflichten nicht durch die Vorlage der Verträge erfüllen, weil diese den betroffenen Personen erst im Anschluss übermittelt wurden. Die Verträge wurden auch nicht durch die betroffenen Personen unterschrieben, es befand sich darauf lediglich ein Kürzel des Mitarbeiters des Verantwortlichen. Eine Information der betroffenen Personen während des Telefongesprächs fand nicht statt. Das Callcenter besaß kein Skript, das den betroffenen Personen die entsprechenden Informationen zur Verfügung stellen sollte.
Das Bußgeld richtete sich nach Art. 83 Abs. 5 DSGVO und setzte sich zusammen aus 78 Verstößen gegen das Erhebungsverbot zu je 6.000 Euro/Verstoß und 155 Verstößen gegen das Verarbeitungsverbot zu je 10.000 Euro/Verstoß. Dabei wurde der einzelne Verstoß schon am unteren Ende des möglichen Strafrahmens gebildet. Die Höhe des Bußgeldes kam daher aufgrund der Vielzahl der Verstöße zustande.
Berücksichtigt wurden dabei u.a. der Mangel an der Einhaltung der Datenschutzbestimmungen, die fehlende Bezeichnung des Verantwortlichen, die kurze Zeitspanne zwischen den einzelnen Verletzungshandlungen, die Schwere der Verstöße bezüglich wirtschaftlicher und sozialer Tätigkeiten, das Verhalten des Verantwortlichen gegenüber der Guardia di Finanzia während der Ermittlungen, der Jahresabschluss des verantwortlichen Unternehmens aus 2016 und dass keine vorherigen Sanktionsverfahren vorlagen.
Hieran lässt sich wieder erkennen, dass die Datenschutzverstöße aufgrund einer Vielzahl von Aspekten bewertet werden und eine Kooperation mit den Aufsichtsbehörden strafmildern berücksichtigt werden kann.
Es zeigt aber auch, dass ein Verstoß gegen die DSGVO nicht auf die leichte Schulter zu nehmen ist. Achten Sie bei Telefonwerbung unbedingt darauf die Einwilligung der betroffenen Personen einzuholen, deren Daten Sie zum Zwecke der Telefonwerbung verarbeiten wollen.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
In unserem heutigen Blogbeitrag möchten wir zusammenfassend über datenschutzrelevante Ereignisse der letzten Monate informieren:
- Mit der Entscheidung des EuGH sind Fanpagebetreiber ebenso verantwortlich für die damit verbundene Datenverarbeitung wie die Plattformbetreiber (z.B. Facebook Ireland Ltd.).
- Mit der Entscheidung des Landgerichts Würzburg (LG Würzburg, Beschluss vom 13.9.2018, Az. 11 O 1741/18), können Verstöße gegen die DSGVO von Mitbewerbern abgemahnt werden. Bisher bestand hier erhebliche Unsicherheit, ob es sich bei der DSGVO überhaupt um eine drittschützende Norm im Sinne des § 3a UWG handelt.
- Der BGH hat nun endgültig entschieden, dass Befragungen zur Kundenzufriedenheit und Feedback-Anfragen Werbung sind.
- Derzeit verschickt die sog. "Datenschutzauskunft-Zentrale“ ein Schreiben, in dem Unternehmen aufgefordert werden, Angaben über ihren Betrieb zu machen, "um ihrer gesetzlichen Pflicht zur Umsetzung des Datenschutzes nachzukommen". Hierbei handelt es sich um eine Abo-Falle. .
- Die Aufsichtsbehörden haben klargestellt, dass Unternehmen den Messenger-Dienst ‚WhatsApp‘ derzeit nicht datenschutzkonform einsetzen können:
- vgl. auch Merkblatt der Landesbeauftragten für den Datenschutz Niedersachsen
- vgl. auch Thüringer Landesbeauftragter für Datenschutz und Informationsfreiheit: 3. Tätigkeitsbericht Datenschutz: Nicht-öffentlicher Bereich, 2016/2017, S. 375.
- Laut dem Thüringer Landesarbeitsgericht (Urteil vom 16.05.2018, Az. 6 Sa 442/17) ist die Erhebung der privaten Telefonnummer durch den Arbeitgeber ein erheblicher Eingriff in die Persönlichkeitsrechte des Mitarbeiters.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Den Verantwortlichen, der personenbezogene Daten über eine betroffene Person bereits erhoben hat und diese Daten zu anderen als den ursprünglich festgelegten Zwecken weiterverarbeiten möchte, treffen vor der Weiterverarbeitung Informationspflichten gemäß Art. 13 Abs. 3 bzw. 14 Abs. 4 DSGVO.
Sofern die personenbezogenen Daten, die nun zu einem anderen Zweck weiterverarbeitet werden sollen, erstmalig bei der betroffenen Person erhoben wurden, muss die betroffene Person gemäß Art.13 Abs. 3 i.V.m. Abs. 2 DSGVO informiert werden über
- den Zweck, für den die gespeicherten personenbezogenen Daten weiterverarbeitet werden,
- die bestehende Verpflichtung der betroffenen Person, die Daten bereitzustellen,
- die Folgen der Nicht-Bereitstellung der Daten durch die betroffene Person,
- die Dauer der Datenspeicherung,
- ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
- ihr Recht auf Datenübertragbarkeit,
- ihr etwaiges Widerspruchsrecht i.S.v. Art. 21 DSGVO,
- ihr Widerrufsrecht, sofern die bisherige Datenverarbeitung auf ihrer Einwilligung beruhte,
- ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
- Logik, Tragweite und Auswirkungen einer geplanten automatisierten Einzelentscheidung, die Ergebnis der Datenverarbeitung ist,
- Logik, Tragweite und Auswirkungen eines geplanten Profilings, welches mit den erhobenen Daten durchgeführt wird.
Die Informationspflicht kann gemäß Art. 13 Abs. 4 DSGVO entfallen, wenn die betroffene Person bereits über diese Informationen verfügt.
Sofern die personenbezogenen Daten, die nun zu einem anderen Zweck weiterverarbeitet werden sollen, erstmalig bei anderen Quellen erhoben wurden, muss die betroffene Person gemäß Art.14 Abs. 4 i.V.m. Abs. 2 DSGVO informiert werden über
- den Zweck, für den die gespeicherten personenbezogenen Daten weiterverarbeitet werden,
- die Herkunft der Daten,
- das berechtigte Interesse des Verantwortlichen, sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht,
- die Dauer der Datenspeicherung,
- ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
- ihr Recht auf Datenübertragbarkeit,
- ihr etwaiges Widerspruchsrecht i.S.v. Art. 21 DSGVO,
- ihr Widerrufsrecht, sofern die bisherige Datenverarbeitung auf ihrer Einwilligung beruhte,
- ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
- Logik, Tragweite und Auswirkungen einer geplanten automatisierten Einzelentscheidung, die Ergebnis der Datenverarbeitung ist,
- Logik, Tragweite und Auswirkungen eines geplanten Profilings, welches mit den erhobenen Daten durchgeführt wird.
Die Informationspflicht kann gemäß Art. 14 Abs. 5 DSGVO entfallen, wenn
- die betroffene Person bereits über diese Informationen verfügt oder nach den Umständen des Einzelfalls und der Lebenserfahrung mit der entsprechenden Datenverarbeitung rechnen muss.
- die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
- die Beschaffung der personenbezogenen Daten oder die Offenlegung der personenbezogenen Daten gegenüber dem konkreten Empfänger durch Rechtsvorschrift ausdrücklich geregelt ist.
- die so beschafften Daten einem Amts- oder Berufsgeheimnis unterliegen.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Den Verantwortlichen, der personenbezogene Daten über eine betroffene Person bei anderen Quellen beschafft, treffen Informationspflichten gemäß Art. 14 Abs. 1 und 2 DSGVO:
Sofern eine Beschaffung personenbezogener Daten der betroffenen Person bei anderen Quellen erfolgt, wird die betroffene Person informiert über
- die Identität des Verantwortlichen,
- den Zweck, für den die so erhobenen personenbezogenen Daten verarbeitet werden,
- die Rechtsgrundlage der Datenverarbeitung,
- Kategorien personenbezogener Daten,
- die Herkunft der Daten,
- die Empfänger, an die die Daten weitergegeben werden,
- geplante Datenübermittlungen in Drittstaaten und deren Rechtsgrundlage,
- die Dauer der Datenspeicherung,
- das berechtigte Interesse des Verantwortlichen, sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht,
- ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
- ihr etwaiges Widerspruchsrecht i.S.v. Art. 21 DSGVO,
- ihr Recht auf Datenübertragbarkeit,
- ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
- ihr Widerrufsrecht, sofern die Datenverarbeitung auf ihrer Einwilligung beruhte,
Die Informationen müssen der betroffenen Person zugehen
- bei der erstmaligen Kommunikation mit der betroffenen Person.
- zum Zeitpunkt der ersten Offenlegung gegenüber einem Empfänger.
- zum Zeitpunkt der ersten werblichen Ansprache.
- spätestens jedoch innerhalb eines Monats nach Datenerhebung.
Die Informationspflicht kann entfallen, wenn
- die betroffene Person bereits über diese Informationen verfügt.
- die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
- die Beschaffung der personenbezogenen Daten oder die Offenlegung der personenbezogenen Daten gegenüber dem konkreten Empfänger durch Rechtsvorschrift ausdrücklich geregelt ist.
- die so beschafften Daten einem Amts- oder Berufsgeheimnis unterliegen.
In Teil III wird es eine Übersicht zu den Informationspflichten des Verantwortlichen geben, wenn er personenbezogene Daten einer betroffenen Person zu anderen als den ursprünglich festgelegten Zwecken weiterverarbeitet.
Sabrina Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Es ist unmittelbarer Ausfluss des informationellen Selbstbestimmungsrechts, dass die betroffene Person stets weiß, wer welche personenbezogenen Daten wann über sie erhebt. Personenbezogene Daten der betroffenen Person dürfen somit nicht ohne ihr Wissen erhoben werden. Die erstmalige Erhebung und damit einhergehende Verarbeitung ihrer personenbezogenen Daten oder eine Weiterverarbeitung zu einem anderen als dem ursprünglich festgelegten Zweck darf nicht ohne Kenntnis der betroffenen Person erfolgen.
Auch nach der DSGVO bestehen Informationspflichten, wenn personenbezogene Daten einer betroffenen Person
- direkt bei der betroffenen Person erhoben werden, Art. 13 DSGVO.
- bei anderen Quellen beschafft werden, Art. 14 DSGVO.
- zu anderen als den ursprünglich festgelegten Zwecken weiterverarbeitet werden, Art. 13 Abs. 3 DSGVO bzw. Art. 14 Abs. 4 DSGVO.
Den Verantwortlichen, der personenbezogene Daten über eine betroffene Person direkt bei dieser erhebt, treffen Informationspflichten gemäß Art. 13 Abs. 1 und 2 DSGVO zum Zeitpunkt der Erhebung:
Die betroffene Person muss vom Verantwortlichen informiert werden über
- die Identität des Verantwortlichen,
- den Zweck, für den die so erhobenen personenbezogenen Daten verarbeitet werden,
- die Rechtsgrundlage der Datenverarbeitung,
- eine etwaige bestehende Verpflichtung der betroffenen Person, die Daten bereitzustellen,
- die Folgen der Nicht-Bereitstellung der Daten durch die betroffene Person,
- die Empfänger, an die die Daten weitergegeben werden,
- geplante Datenübermittlungen in Drittstaaten und deren Rechtsgrundlage,
- die Dauer der Datenspeicherung,
- ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
- ihr etwaiges Widerspruchsrecht gemäß Art. 21 DSGVO,
- ihr Recht auf Datenübertragbarkeit,
- ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
- ihr Widerrufsrecht, sofern die Datenverarbeitung auf ihrer Einwilligung beruhte,
- das berechtigte Interesse des Verantwortlichen, sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht,
- Logik, Tragweite und Auswirkungen einer geplanten automatisierten Einzelentscheidung, die Ergebnis der Datenverarbeitung ist,
- Logik, Tragweite und Auswirkungen eines geplanten Profilings, welches mit den erhobenen Daten durchgeführt wird.
Die Informationspflicht kann entfallen, wenn die betroffene Person bereits über diese Informationen verfügt.
In Teil II wird es eine Übersicht zu den Informationspflichten des Verantwortlichen geben, wenn er personenbezogene Daten einer betroffenen Person bei anderen Quellen beschafft.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.