Am 21.11.2019 verhängte die CNIL eine DSGVO-Strafe in Höhe von EUR 500.000,-- wegen des Verstoßes gegen die Artikel 5 Abs 1 lit c, 12, 13, 14, 21, 31 und 44 DSGVO.
Der Verantwortliche:
Die FUTURA INTERNATIONALE (im Folgenden: Gesellschaft) ist eine Aktiengesellschaft mit einem einzigen Gesellschafter. Der Sitz befindet sich in der 1 avenue des Violettes in Bonneuil-sur-Marne (94380). Die Geschäftstätigkeit reicht von Fenstern, Dämmungen bis zu Wäremepumpen.
Im Jahr 2017 erzielte das Unternehmen einen Umsatz von EUR 27.6 Mio mit einem Gewinn von mehr als EUR 500T. Der Umsatz des Jahres 2018 ist in der Entscheidung nicht angegeben. Im März 2018 waren ca. 75 Mitarbeiter beschäftigt.
Der Anlassfall
Eine Person beschwerte sich über unzulässige Telefonwerbung, die trotz eines Widerspruches erfolgt sei. Die Beschwerde wurde am 6.2.2018 (vor Geltung der DSGVO) eingereicht. Die CNIL führte daraufhin eine Untersuchung durch und prüfte die Verfahrensabläufe der Verarbeitungstätigkeiten.
Die Feststellungen der CNIL
Der CNIL wurde ein System dargelegt, bei dem auch Sub-Unternehmer aus Afrika beschäftigt wurde, um Call-Center-Dienstleistungen durchzuführen, wobei von diesen der
„Erstkontakt“ mit potentiellen Kunden hergestellt wurde, und das Interesse erfragt wurde. Der weitere Kontakt bei Interesse erfolgte durch Mitarbeiter_Innen des Verantwortlichen.
Es wurde festgestellt, dass es keinen „zentralen Mechanismus“ gab, der Widersprüche von Betroffenen berücksichtigte. Es wurden jedoch 19 E-Mails von Privatpersonen ermittelt, die Widerspruch erklärt hatten.
Die Abwicklung der Kundenkontakte erfolgte über ein CRM-System (Progibos), wobei im CRM-System auch Informationen über den Gesundheitszustand der angerufenen Personen als auch über Unmutsäúerungen derselben dokumentiert waren. Dies wurde bei einer Einschau vor Ort von den Mitarbeiter*Innen der CNIL festgestellt.
Weiters wurde festgestellt, dass die Gespräche mit den Interessenten aufgezeichnet wurden, diese jedoch nicht darüber informiert wurden.
Auch wurden den Betroffenen keine ausreichenden Informationen iSd Art 13 DSGVO zur Kenntnis gebracht.
Die CNIL forderte den Verantwortlichen auf, die Verträge mit den Call-Centern vorzulegen. Dies erfolgte jedoch nicht.
Anordnung der CNIL
Bereits am 27.9.2018 forderte die CNIL den Verantwortlichen auf, Art 5 Abs 1 lit c DSGVO („Datenminimierung“) zu entsprechen,
· und „unangemessene und übermäßiege Kommentare“ aus der CRM-Software zu entfernen,
· sowie Maßnahmen zu setzen, um zu verhindern, dass über das notwendige Maß hinausgehende Kommentare in der PROGIBOS-Software gespeichert werden, indem beispielsweise ein automatisches Erkennungssystem für unangemessene und irrelevante Wörter in Bezug auf den Zweck der Verarbeitung eingerichtet wird,
· das Personal darin zu schulen bzw. zu sensibilisieren, nur angemessene, relevante und zweckmäßige Daten zu erfassen;
Weiteres Verfahren und Entscheidung
Im Rahmen der Erlassung der DSGVO-Strafe hat die Aufsichtsbehörde festgestellt, dass es nicht ausreicht, die Nutzer anzuweisen bestimmte Begriffe nicht in das CRM-Sytem aufzunehmen, sondern das System so zu gestalten ist, dass verhindert wird, dass bestimmte Begriffe im CRM-System gespeichert werden, dh entweder durch ein automatisiertes System oder eine nachfolgende Kontrolle.
Weiters wurde vom Verantwortlichen angegeben, nach dem Telefonat per Email die notwendigen Informationen gem. Art 13 DSGVO zu geben. Das reicht nach Ansicht der Aufsichtsbehörde nicht aus, da die Informationen bei der Erhebung der Daten und nicht danach zur Kenntnis gebracht werden müssen. Die Informationen müssten zB per Telefonansage oder durch direktes Zusenden einer E-Mail erfolgen.
Die Aufsichtsbehörde war auch der Ansicht, dass ein automatisiertes Verfahren zur Evidenthaltung von Widersprüchen notwendig ist, da eine große Anzahl von Personen kontaktiert wurde. Die Art und Weise, wie der Verantwortliche dies abwickelte, war nach Ansicht der Behörde nicht ausreichend.
Bemängelt wurde von der Behörde auch, dass die geführte Liste von Personen, die nicht mehr telefonisch kontaktiert werden wollten, neben der Namen und Telefonnummern auch deren Postadresse enthielt, die jedoch nicht notwendig sei.
Die Behörde stellt auch fest, dass der Verantwortliche seiner Mitwirkungspflicht nicht ausreichend nachgekommen sei.
Da der Verantwortliche personenbezogene Daten von Betroffenen auch in das außereuropäische Ausland übermittelt, um von dort Call-Center-Leistungen durchführen zu lassen, hätte er auch die Verpflichtung gehabt, gem. Art 44 ff. DSGVO eine Regelung mit den „Datenempfängern“ zu finden, und für eine ausreichende Rechtsgrundlage für die Übermittlung zu sorgen.
Die Entscheidung
Die Aufsichtsbehörde verhängte eine Geldstrafe in Höhe von ca. 2,5 % des Umsatzes des Jahres 2017, nämlich EUR 500.000,-- gegen den Verantwortlichen.
Weiters wurde angeordnet, die Entscheidung unter Nennung des Namens des Verantwortlichen für einen Zeitraum von zwei Jahren zu veröffentlichen.
Überdies wurden von der Aufsichtsbehörde Anordnungen
· in Bezug auf das CRM-System (Verhinderung der Speicherung von nicht zweckmäßigen Informationen),
· zur Erfüllung der Informationspflichten,
· zur Herstellung eines Systems, um das Widerspruchsrecht von Betroffenen zu respektieren
· sowie zur Schaffung einer rechtmäßigen Grundlage der Datenübermittlung in das außereuropäische Ausland
getroffen, die umzusetzen sind, und eine Strafe von EUR 500,-- pro Tag angedroht, falls diese Anordnungen nicht innerhalb einer gesetzen Frist umgesetzt sind.
02.12.2019, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben