Die Datenschutzbehörde hatte im Jahr 2021 (siehe drei Geldbußen gegen Unternehmen verhängt, die Kundenbindungsprogramme betreiben und für die Verarbeitung personenbezogener Daten zum Zwecke des Profiling Einwilligungen von den Betroffenen eingeholt hatten. Diese Einwilligungen entsprachen nicht den Anforderungen der DSGVO.
Auszug aus dem Datenschutzbericht 2021:
Unzulässige Einwilligungen/Verarbeitung im Rahmen von Kundenbindungsprogrammen Die Datenschutzbehörde hat im Jahr 2021 insgesamt drei Geldbußen gegen juristische Personen, die in Österreich Kundenbindungsprogramme betreiben und für die Verarbeitung von personenbezogenen Daten zum Zwecke des Profiling von den Betroffenen eine Einwilligung erhoben, verhängt. Die Einwilligungen wurden entweder im Rahmen eines physischen Flyers oder elektronisch auf der Webseite der Verantwortlichen erhoben.
Es ist entscheidend, dass bei der Verarbeitung von personenbezogenen Daten auf Grund einer Einwilligung des Betroffenen im Sinne des Art. 6 Abs. 1 lit. a DSGVO jedenfalls die Bedingungen einer Einwilligung nach Art. 7 DSGVO erfüllt sein müssen. Werden diese nicht erfüllt, liegt eine unzulässige Einwilligung der Betroffenen vor und die Datenverarbeitung ist in Folge mangels Rechtsgrundlage zu unterlassen.
Darüber hinaus führt eine unzulässige Einwilligung dazu, dass die Datenverarbeitung rückwirkend als unrechtmäßig zu qualifizieren ist.
In den Verwaltungsstrafverfahren gegen die Unternehmen wurde zusammengefasst festgestellt, dass sowohl die Formulare für die Erhebung der Einwilligungen mittels Flyer als auch auf der Webseite irreführend gestaltet waren, sodass der Durchschnittsnutzer bei der Erteilung der Einwilligung nicht erkennen konnte, dass er auch eine Einwilligung für Profiling erteilt.
Auf Grund der irreführenden Gestaltung der Einwilligungsformulare stellte die Datenschutzbehörde daher im Ergebnis fest, dass die erhobenen Einwilligungen der Betroffenen unzulässig waren. Die Verantwortlichen stützten die Verarbeitung ausschließlich auf diese unzulässige Einwilligung.
Die Datenschutzbehörde stellte daher zudem fest, dass die bisherige Datenverarbeitung - mangels Rechtsgrundlage - unrechtmäßig erfolgte. Die Datenschutzbehörde untersagte - im Rahmen von amtswegigen Prüfverfahren - nicht nur die Datenverarbeitung, die auf Grund der unzulässigen Einwilligung bis dahin erfolgte, sondern verhängte gegen die jeweiligen Verantwortlichen Geldbußen in Höhe von insgesamt EUR 11.200.000,00.
Nun hat das BVwG entschieden und die Strafe auf EUR 700.000,00 reduziert
Unzulässige Einwilligungen:
- Die Einwilligungsersuchen, die im Rahmen der Anmeldeformulare zu den Kundenbindungsprogrammen gestellt wurden, erfüllten nicht die Anforderungen gemäß Art. 4 Z 11, Art. 5 Abs. 1 lit. a und Art. 7 Abs. 2 DSGVO.
- Die Formulare waren irreführend gestaltet und veranlassten die Betroffenen zur Einwilligung, ohne dass die notwendigen Voraussetzungen vorlagen.
-
Folglich war die Verarbeitung personenbezogener Daten auf Basis dieser Einwilligungen unrechtmäßig.
Strafhöhe:
- Das BVwG reduzierte die ursprünglich verhängte Geldbuße unter Anwendung der Fines-Leitlinien auf 700.000 EUR.
- Bei der Strafbemessung wurde der Umsatz der gesamten „wirtschaftlichen Einheit“ (Unternehmen im Sinne von Art. 101 und 102 AEUV) herangezogen, welcher ca. 304 Millionen Euro beträgt.
- Die reduzierte Geldstrafe wurde als wirksam, abschreckend und verhältnismäßig erachtet.
Ergebnis:
- Die Entscheidung ist rechtskräftig, und die Strafe wurde erheblich reduziert, um den Anforderungen der Verhältnismäßigkeit zu entsprechen, während die unrechtmäßige Praxis der Datenverarbeitung bestätigt wurde.
Kommentar schreiben