.st0{fill:#FFFFFF;}

Unwirksame Einwilligung beim Profiling

Wichtige Datenschutz-Themen von Profis aufbereitet

Unwirksame Einwilligung beim Profiling

Bei Datenverarbeitungen kommt es in der Praxis immer wieder zu Verstößen im Bereich der Einwilligung und deren Wirksamkeitsvoraussetzungen. Diese werden mit hohen Bußgeldern geahndet. Unternehmen finden unterdies Schlupflöcher, um die Einholung einer Einwilligung auf ausreichender Informationsgrundlage zu umgehen.

So gelang es der Jö Bonus Club GmbH, ein durch REWE betriebenes Zweigunternehmen, Daten zu Profilingzwecken zu verarbeiten. Kunden und Kundinnen gingen allerdings aufgrund der Formatierung des Kundengewinnungsprogramms davon aus, nur von Rabattaktionen zu profitieren. Die österreichische Datenschutzbehörde verhängte für den Verstoß ein Bußgeld von 2 Mio. Euro.


Das Wichtigste in Kürze:

  • Die Datenverarbeitung steht unter Erlaubnisvorbehalt, Art. 6 Abs. 1 S. 1 DSGVO.
  • Nach Art. 7 Abs. 2 DSGVO muss die Datenverarbeitung transparent und verständlich erklärt sein.
  • Profiling ist nur im gesetzlichen Rahmen des Art. 22 DSGVO zulässig und es bedarf besonderer Vorsicht.
    Inhalt
    Das Wichtigste in Kürze:
    1. Zusammenfassung des Sachverhalts
    2. Die datenschutzrechtliche Einwilligung
    3. Profiling zu Werbezwecken
    4. Ausblick

    1. Zusammenfassung des Sachverhalts

    Hintergrund des Bußgeldbescheids war eine unzulässige Einwilligung in eine Datenverarbeitung. Ausgangspunkt war der österreichische „Jö Bonus Club“ – ein Kundenbindungsprogramm. Durch die Anmeldung zum Bonus-Club erteilten die Kunden und Kundinnen nicht nur ihre Einwilligung in Rabattaktionen. Gleichzeitig willigten sie in eine Datenverarbeitung zur Erstellung eines individuellen Profilings ein. Problematisch hierbei war die Einwilligungsaufmachung auf den Flyern und im Internet.

    Die Aufklärung darüber, wozu die Daten verarbeitet werden, fand sich erst weiter unten auf der Seite und war nicht gleich erkennbar. Die Kundschaft meldete sich also primär aus dem Grund an, von Rabatten zu profitieren. Etwaige Profilingmaßnahmen wurden effektiv verschleiert.


    2. Die datenschutzrechtliche Einwilligung

    Dass eine unzureichend eingeholte Einwilligung zu hohen Bußgeldern führen kann, verdeutlichte insbesondere der Fall AOK Baden-Württemberg. Der Versicherer musste aufgrund unrechtmäßiger Einwilligungen 1,2 Mio. Euro zahlen.

    Die Datenverarbeitung ist grundsätzlich verboten, es sei denn eine gesetzliche Bestimmung erlaubt dies oder der Betroffene willigt hierin ein (Einwilligungsvorbehalt), Art. 6 Abs. 1 S. 1 lit. a) DSGVO. Zusätzlich sind die Voraussetzungen des Art. 7 Abs. 2 DSGVO zu beachten. Hiernach muss das Ersuchen um Einwilligung in die Datenverarbeitung und die Anzahl der betroffenen Sachverhalte verständlich und leicht zugänglich sein. Nur so ist eine freie Entscheidung über die Datenverarbeitung gewährleistet (Informationspflicht).

    Achtung! Auch Erwägungsgrund 32 DSGVO sieht vor, dass die Einwilligung eine eindeutige bestätigende Handlung sei, die informiert und unmissverständlich bekundet wird.

    Die Behörde sah in der Handhabe der Einwilligung eine Pflichtverletzung des Clubs, das Einholen der Einwilligungen in transparenter und klarer Form zu gestalten. Demzufolge wertete die Behörde die getätigten Einwilligungen und das darauf basierende Kunden-Profiling als unzulässig. Sie verhängte ein Bußgeld von 2 Mio. Euro. Strafmildernd wirkte die mit der Pandemie verbundenen Verluste. Eine Entscheidung des Bundesverwaltungsgerichts steht offen. Berufung wurde eingelegt.

    3. Profiling zu Werbezwecken

    Zudem ging die zuständige österreichische Datenschutzbehörde auf die Vorsichtsmaßnahmen bei sog. Profiling ein. Dies wird in Art. 4 Nr. 4 DSGVO näher als Prognosemöglichkeit des Kaufverhaltens beschrieben.

    Bei Profilingaktivitäten geht es um die Erstellung individueller Kundenprofile, mit Hilfe derer ein auf die Bedürfnisse des jeweiligen Kunden abgestimmtes Produktportfolio und Werbungsspektrum aufbereitet wird. Dieses soll die Kaufentscheidung der Kaufinteressenten beeinflussen.

    Nach Ausführung der Behörde hätte man insbesondere beim Profiling verstärkt den Fokus auf die Informationsgrundlage der Kunden und Kundinnen legen sollen. Hier besteht ein eng gefasster rechtlicher Rahmen nach Art. 22 DSGVO. Vom Profiling gehe nämlich ein erhebliches Risiko aus: Dies lässt sich damit begründen, dass bestimmte Aspekte der Kundschaft bewertet würden und eine Vorhersage über ihr Verhalten in der Zukunft getroffen werden kann.


    4. Ausblick

    Im Datenschutzrecht gilt der Grundsatz: Die Verarbeitung von personenbezogenen Daten ist verboten, es sei denn das Gesetz sieht eine Ausnahme vor oder die betroffenen Personen willigen darin ein.

    Das Ersuchen um eine wirksame Einwilligung auf freiwilliger und informationsbasierter Grundlage ist unterdies ein von Unternehmen umgangener Prozess, um sich datenschutzrechtliche Mühen zu sparen. Dass sich eine rechtmäßige Gestaltung jedenfalls lohnt, zeigt insbesondere das hiesige Bußgeld von 2 Mio. Euro.

    Eine aufgedrängte und unzureichende Einwilligung durch die Kunden und Kundinnen kann sich im Nachhinein als tückisch herausstellen. So musste das Unternehmen die Profilierung von rund 2 Mio. Mitgliedern einstellen und konnte keine entsprechenden Angebote und Aktionen aussenden. Um derartige Bußgelder im Vorfeld zu verhindern, ist Handeln gefordert: Sie sollten daher die Einholung der Einwilligung auf ihre Rechtmäßigkeit, Aufklärung und Zugänglichkeit überprüfen.

    Es empfiehlt sich, frühzeitig einen Datenschutzbeauftragten einzubinden und aktuelle Defizite und Risiken auszuräumen. Diese können ruinöse Bußgelder zur Folge haben. Achten Sie hier insbesondere auf Art. 7 Abs. 2 DSGVO, nach dem die Erklärung über die Datenverarbeitung in leichter und transparenter Form ausgestaltet sein sollte.

    Share0
    Tweet0
    Share0

    Datenschutzschulungen für Ihre Mitarbeiter?

    Praxisnahe Online Schulungen für Datenschutz und Cybersecurity. DSGVO konform und zertifiziert.

     Mehr ansehen