Die Datenschutzbehörde in Österreich hat gegen die Betreiberin eines sogenannten Kundenbindungsprogramms ein Bußgeld in Höhe von 2 Millionen Euro aufgrund einer unzulässigen Einwilligung verhängt. Daher war keine Rechtsgrundlage für die Datenverarbeitung gegeben. Der Fall wurde vor dem Bundesverwaltungsgericht (BVwG) der Republik Österreich (256 2246230-1) verhandelt. Das Gericht bestätigte den Datenschutzverstoß teilweise, reduzierte die Geldbuße jedoch auf 500.000 € zuzüglich Verfahrenskosten.
Hintergrund
Im Rahmen des Kundenbindungsprogramms wurden den Teilnehmer:innen durch Einkäufe Punkte bei bestimmten Geschäften gutgeschrieben. Diese konnten sie später bei den teilnehmenden Händlern als „exklusive“ Rabatte oder Bonus einlösen. Hierbei wurden auch Einkaufsdaten der Teilnehmer:innen gesammelt und analysiert, um auf dieser Grundlage Profildaten zu gewinnen. Daraus wurden automatisierte personalisierte Angebote erstellt. Die dabei verwendete Einwilligung war nach Auffassung der Aufsichtsbehörde so nicht zulässig.
Die Einwilligung konnte online über die Webseite oder über einen Flyer, der in den Geschäften der teilnehmenden Händler auslag, bei Registrierung erteilt werden. Die Einwilligungsüberschrift lautete „Genießen Sie Ihre persönlichen Vorteile“. Die Einwilligung umfasste jedoch nicht nur die Zustimmung für die Datenverarbeitung zum Zweck des Profilings für die Betreiberin des Kundenbindungsprogramms. Gleichzeitig gaben die Teilnehmer:innen auch die Zustimmung für 14 weitere Partner des Programms. Auf der Grundlage dieser Einwilligung hatte die Betreiberin des Kundenbindungsprogramms in der Zeit von Mai 2019 bis Januar 2021 personenbezogene Daten für personalisierte Werbung erhoben.
Einwilligung auf der Webseite
Nach Ansicht der Datenschutzbehörde konnten Personen, die sich über die Website registrierten, nicht sofort erkennen, dass der Abschnitt mit der Überschrift „Genießen Sie Ihre persönlichen Vorteile“ die Verarbeitung personenbezogener Daten zum Zweck der Profilerstellung betraf. Erst in den Allgemeinen Geschäftsbedingungen und der Datenschutzinformation wurde darauf hingewiesen, dass es sich um eine Einwilligung zum Profiling handelte.
Konkret war in diesem Abschnitt ein Kasten eingebettet, der lediglich auf die AGB und die Datenschutzerklärung verwies:
„Ich willige gemäß Ziffer 5.5. und 5.6. der AGB [sowie Ziffer 4.4. und 4.5. der Datenschutzerklärung] ein, dass …“.
Erst nach Herunterscrollen der Box wurde ein Hinweis auf die Verarbeitung personenbezogener Daten zum Zwecke des Profilings angezeigt.
Es entspreche nicht allgemeiner Lebenserfahrung, dass die Optionen „Ja“ und „Nein“, die nur allgemein auf den Erhalt oder Nichterhalt von „exklusiven Vorteilen und Aktionen“ verweisen, unmittelbar mit einem damit zusammenhängenden Profiling verbunden würden, so jedenfalls die Datenschützer aus Österreich.
Einwilligung auf dem Flyer
Auch der in den teilnehmenden Geschäften ausliegende Flyer wurde von der Aufsichtsbehörde als intransparent gestaltet kritisiert. Das Ende des Formulars wies das Feld „Unterschrift“ mit folgendem Hinweis:
„Diese Unterschrift gilt nur für die Einwilligungserklärung und ist freiwillig. Ihre Anmeldung zum XXXX ist auch ohne Unterschrift wirksam“.
Die Einwilligungserklärung hingegen befand sich jedoch über dem Feld für die Unterschrift. Dies erweckte laut Aufsichtsbehörde den Eindruck, dass es sich bei der Unterschrift um eine Bestätigung der Anmeldung zum Programm handelte, nicht jedoch um eine datenschutzrechtliche Einwilligung zum Profiling.
Kein ausreichender Hinweis zur Widerrufbarkeit
Neben der Gestaltung der Einwilligung beanstandete die Aufsichtsbehörde, dass bei beiden Varianten keine gut sichtbaren Hinweise auf die Möglichkeit zum Widerruf der Einwilligung gegeben waren
Keine Rechtsgrundlage und Bußgeld
Die hier verwendete Einwilligung konnte daher insgesamt nicht als Rechtsgrundlage für die Datenverarbeitung herangezogen werden. Somit lag ein Verstoß gegen Art. 6 Abs. 1 DSGVO in Verbindung mit Art. 5 Abs. 1 Buchst. a) DSGVO vor. Dies zog eine Geldbuße in Höhe von 2 Millionen Euro für die Betreiberin des Kundenbindungsprogramme nach sich. Bei der Entscheidung über die Höhe der Geldbuße wurde auch der Zeitraum von Mai 2019 bis Januar 2021 berücksichtigt, ebenso wie die hohe Anzahl der Betroffenen.
Gerichtsentscheidung
Die Betreiberin des Kundenbindungsprogramms erhob Berufung gegen das Bußgeld, sodass der Fall vor dem BVwG landete.
Das Gericht bestätigte die Rechtsauffassung der Aufsichtsbehörde. Insbesondere die Annahme, dass ein durchschnittlicher Verbraucher aufgrund der fettgedruckten Überschrift der Einwilligungserklärung „Genießen Sie Ihre persönlichen Vorteile“ nicht davon ausgehen könne, es handele sich um die Einholung einer Einwilligung zur Durchführung der Profilbildung. Damit fehlte es an einer wirksamen Einwilligung und auch an einer Rechtsgrundlage für die Datenverarbeitung.
Allerdings war im vorliegenden Fall zum einen die Verjährungsfrist für die Strafverfolgung bereits abgelaufen. Zum anderen waren nach Auffassung des Gerichts die ersten Hinweise der Aufsichtsbehörde an die Betreiberin des Kundenbindungsprogramms nicht konkret genug. Das Gericht vertrat die Auffassung, die Aufsichtsbehörde habe den datenschutzrechtlich Verantwortlichen zunächst nicht in die Lage versetzen können, zu erkennen, wo genau die Rechtsverletzung liege und welchen Umfang sie habe. Ohne Kenntnis des konkreten Verstoßes sei der Verantwortliche daher nicht in der Lage gewesen, angemessen zu reagieren.
Bei der Bemessung der Geldbuße berücksichtigte das BVwG die Leitlinien 04/2022 des Europäischen Datenschutzausschusses (EDSA) für den Ausgangsbetrag der Geldbuße und die neu hinzugekommenen Milderungsgründe, so dass hier die vom Gericht festgestellte fahrlässige Begehung bei der Einstufung der Schwere des Verstoßes berücksichtigt wurde. Das Gericht setzt daraufhin die Geldbuße von 2 Mio. € auf 500.000,00 € herab.
Fazit
Der vorliegende Fall zeigt, dass es sich für Unternehmen durchaus lohnen kann, gegen eine verhängte Geldbuße gerichtlich vorzugehen. Insbesondere hat das Gericht hier auch die Leitlinien 04/2022 des EDSA angewandt und im Hinblick auf eine festgestellte Fahrlässigkeit die Geldbuße auf ¼ herabgesetzt.
Auch wird hier deutlich, dass die Einwilligung als Rechtsgrundlage unbedingt den gesetzlichen Vorgaben entsprechen muss. Diese sollte nicht unwirksam sein, damit es dann nicht an einer Rechtsgrundlage fehlt. Unternehmen, die eine Datenverarbeitung auf eine Einwilligung gemäß Art. 7 DSGVO stützen, sollten sich stets bewusst sein, dass sie zunächst den Nachweis der Einwilligung erbringen müssen. Des Weiteren ist sicherzustellen, dass die Gestaltung der Einwilligungserklärung transparent erfolgt, sodass die Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren, einfachen Sprache jederzeit widerrufbar ist. Hierbei ist zu beachten, dass die Texte nicht zu verklausuliert formuliert werden sollten, um die Widerrufsmöglichkeit zu gewährleisten.
Weitere Artikel zur Ausgestaltung von Einwilligungen finden Sie hier im Rahmen des Arbeitsverhältnisses und hier zur Nutzung von Cookies.
Bildnachweis: KI generiert
AUTOR
Matthias Rosa ist als externer Datenschutzbeauftragter und Datenschutzberater bei der RMPrivacy GmbH für Unternehmen und Konzerne tätig. Darüber hinaus ist er Rechtsanwalt und Fachanwalt für IT-Recht bei der Kanzlei Bette Westenberger & Brink in Mainz sowie Dozent zu datenschutzrechtlichen Themen beim Mainzer Medieninstitut im Rahmen des Masterstudiengangs Medienrecht.