Blog

Datenschutzverstoß bei Newsletter – Schwedische Datenschutzaufsicht verhängt Bußgeld gegen schwedisches Modeunternehmen

Was ist passiert:

Die schwedische Aufsichtsbehörde für Datenschutz (IMY) hat zuletzt mit Bescheid vom 17.10.2023 ein Bußgeld gegen ein bekanntes schwedisches Modeunternehmen wegen mehrerer Datenschutzverstößein in Höhe von 350.000 SEK (ca. 30.265 Euro) verhängt. Hintergrund war eine mangelhafte Umsetzung von Betroffenenrechten im Zusammenhang mit Widersprüchen beim Newsletterversand.

OIG.4h7iuIiV

Sachverhalt

Dem Ermittlungsverfahren waren sechs Beschwerden aus den Ländern Polen, Italien und dem vereinigten Königreich vorausgegangen, deren Fälle und Beanstandungen sich über einen Zeitraum von 2018 bis 2020 erstreckten.

 

Zusammengefasst erhielten die sechs Beschwerdeführer regelmäßig unterschiedliche Newsletter vom Verantwortlichen. Diese versuchten sich über die Abmeldelinks in den einzelnen Newsletter mehrfach (teilweise bis zu zehn Mal) und erfolglos von der Maillingliste abzumelden und der weiteren Verarbeitung (zu Direktmarketingzwecken) zu widersprechen.

 

Teilweise wurde seitens der einzelnen Beschwerdeführer noch mehrfach versucht, die Kundendienste der einzelnen Länder zu kontaktieren oder über E-Mail und Kontaktformulare Kontakt zum Verantwortlichen aufzunehmen, um keine weiteren Newsletter mehr zu erhalten.

 

Nach Auskunft des Verantwortlichen lag dies in bestimmten Einzelfällen daran, dass versehentlich und entgegen interner Anweisungen nur eine Abmeldung vom allgemeinen Newsletter und nicht mit dem verbundenen Kundenclub erfolgt sei. Dennoch wurden trotz erster Widersprüche und Beschwerden aus dem Jahr 2018 teilweise bis 2020 weitere Newsletter an die Betroffen versendet, ehe die Marketingmaßnahmen eingestellt wurden.

 

Der Verantwortliche betreut jährlich eine sehr große Anzahl an Abonnenten. Nach Einschätzung des Unternehmens kam es nur in einem kleinen Teil der Fälle zu Problemen, insbesondere wenn ein Abonnent sich von weiteren Mailings abmelden möchte. Zudem hatte der Verantwortliche im Oktober 2019 eine spezielle Arbeitsgruppe, bestehend aus Spezialisten aus verschiedenen Geschäftsbereichen wie bspw. IT-Entwicklung, Datenschutz und Marketing eingesetzt. Ziel war es im Sinne eines kontinuierlichen Management- und Verbesserungsprozesses Ursachen für die fehlerhafte Umsetzung der Widerspruchsmöglichkeiten zu erkennen, um darauf aufbauend durch technische Anpassung die Ausübung der Betroffenenrechte künftig gewährleisten zu können.

 

Am 8. Dezember 2020 hat das Unternehmen eine technische Lösung implementiert, die sicherstellt, dass alle beteiligten Systeme unabhängig vom vorherigen Status aktualisierte Informationen im Zusammenhang mit der Abmeldung eines Kunden erhalten. Darüber hinaus hat das Unternehmen Funktionen zur systematischen Kennzeichnung implementiert, wenn ein Abonnent mehr als einmal auf einen Abmeldelink klickt.

Rechtliche Würdigung und Begründung der Bußgeldhöhe

 

Mangels Sicherstellung der Betroffenenrechte im Zuge der Widersprüche und einer damit verbundenen unzulässigen Verarbeitung für den Versand weiterer Newsletter, sah die IMY hierin Verstöße gegen

Der Verantwortliche stütze den Versand von Newslettern auf ein berichtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Nach Art. 21 Abs. 1, 2 DSGVO hat die betroffene Person jederzeit das Recht, der Verarbeitung personenbezogener Daten zu Direktmarketingzwecken, die sie betrifft, zu widersprechen. Ist ein solcher Widerspruch erfolgt folgt aus Art. 21 Abs. 3 DSGVO, dass personenbezogene Daten der betroffenen Person nicht mehr zu diesen Zwecken verarbeitet werden dürfen.

 

 

Hinweis:

 

Grundsätzlich ist für den üblichen Newsletter eine Einwilligung der Betroffenen Person im Sinne des Art. 6 Abs. 1 lit. a DSGVO erforderlich.

Eine Ausnahme hiervon besteht grds. nur im Rahmen eines Werbe-Newsletter an Bestandskunden und dies nur in den engen Grenzen des Art. 6 Abs. 1 lit. f DSGVO i.V.m. mit § 7 Abs 3 UWG.

Gemäß Art. 12 Abs. 3 DSGVO muss der Verantwortliche die registrierten Informationen über Maßnahmen, die als Ausübung eines Widerspruchs im Sinne des Art. 21 DSGVO ergriffen wurden unverzüglich, spätestens innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Hierbei obliegt dem Verantwortlichen Art. 12 Abs. 2 DSGVO folgend zusätzlich die Verantwortung und Aufgabe den betroffenen Personen die Ausübung ihrer Rechte gemäß Art. 15-22 DSGVO zu erleichtern. Gemäß Erwägungsgrund 59 sollten hierfür Modalitäten festgelegt werden, die einer betroffenen Person die Ausübung ihrer Rechte erleichtern, darunter auch Mechanismen, die dafür sorgen, dass sie unentgeltlich insbesondere Zugang zu personenbezogenen Daten und deren Berichtigung oder Löschung beantragen und gegeben falls erhalten oder von ihrem Widerspruchsrecht Gebrauch machen kann.

 

Diese Verpflichtung setzt nach Beurteilung der IMY voraus, dass der Verantwortliche regelmäßig prüft und sicherstellt, dass die verwendeten Verfahren und Systeme es den betroffenen Personen ermöglichen, ihre Rechte problemlos auszuüben.

 

In einer Würdigung der dargestellten Umstände kam die IMY zu dem Schluss, dass es in Bezug auf die Beschwerden Mängel im internen Prozess zur Bearbeitung von Widersprüchen gemäß Art. 21 Abs. 2 DSGVO gab, z.B.

  • Abmeldelink funktionierte nicht
  • Kundendienst verstand Anliegen und technischen Probleme nicht, sodass eine korrekte Bearbeitung nicht möglich war.

Diese führten dazu, dass die Ausübung des Widerspruchsrechts den Betroffenen weder erleichtert wurde, geschweige denn wirksam und damit unverzüglich umgesetzt werden konnte, sodass ein Verstoß gegen Art. 12 Abs. 2 und 3 DSGVO zu bejahen war. Da das Widerspruchsrecht gegen Direktmarketing gemäß Art. 21 DSGVO zudem unbedingt besteht, besteht kein Raum für eine individuelle Prüfung, ob einem solchen Widerspruch stattgegeben werden sollte.

 

Des Weiteren weißt die IMY darauf hin, dass angesichts des ausgeübten Widerspruchsrechts auch keine Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO für eine weitere Verarbeitung zu Werbezwecken vorliegen konnte. Die fortgesetzte Verarbeitung zu Marketingzwecken, nachdem ein Widerspruch beim Verantwortlichen eingegangen war, stellte somit zudem ein Verstoß gegen Art. 6 Abs.1 DSGVO dar.

 

 

Exkurs  – Gut zu wissen:

 

Wichtig in diesem Zusammenhang ist und dies betont auch die IMY, dass es für Unternehmen besonders wichtig ist, schnell zu handeln, wenn Anhaltspunkte dafür bestehen, dass Beschwerdeführer gehindert sind ihre Betroffenenrechte wirksam auszuüben.

Ist dies der Falls (bspw. Betroffener nimmt nach gescheitertem Widerspruch Kontakt zum Kundencenter auf), kommt die IMY zu dem Schluss, dass die Zeit, innerhalb derer der Verantwortliche hätte handeln müssen, sehr kurz aber im Einzelfall zu beurteilen ist. Angesichts der Umstände dieses Falles kam die IMY zur Einschätzung, dass zwei Tage für das Unternehmen eine angemessene Zeit waren, um das Widerspruchsersuchen in den sechs fraglichen Fällen zu bearbeiten.

Bußgeldbemessung

 

Im Rahmen der Bemessung der Bußgeldhöhe kam Art. 83 Abs. 5 DSGVO zu Anwendung, wonach bei Verstößen gegen die Art. 6, 12 und 21 DSGVO Geldbußen bis 20 Mio. € oder im Fall eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes verhängt werden können, je nachdem, welcher Betrag höher ist. Da die Verstöße im Zusammenhang mit den Beschwerden zum einen auf Verstoß gegen mehrere Bestimmungen der DSGVO führten und alle darauf zurückzuführen, dass das Unternehmen nicht in der Lage war, die Einwände der Beschwerdeführer gegen Direktmarketing ordnungsgemäß zu bearbeiten, bewertete die IMY dies als miteinander verbundene Verarbeitungsvorgänge im Sine des Art. 83 Abs. 3 DSGVO sodass der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß übersteigt.

 

Im Rahmen der Bußgeldhöhe berücksichtigte die Aufsichtsbehörde die Grundsätze des Art. 83 Abs. 2 DSGVO und den darin aufgenommen Bewertungsmaßstäben, u.a.

  • Art, Schwere und Dauer des Verstoßes
  • Art und Umfang des erlittenen Schadens
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • Grad der Verantwortung
  • Kategorien personenbezogener Daten,
  • Die Dauer der Straftat
  • Die durch die Begehung des Verstoßes erlangten Vorteile

Die Aufsichtsbehörde stütze sich dabei u.a. auf folgende Punkte:

 

  • Das Widerspruchsrecht ist ein zentrales Recht im Sinne der DSGVO. Es stellt an Verantwortliche hohe Anforderungen Systeme, Prozesse und Routinen einzuführen, um das Widerspruchsrecht der betroffenen Person kontinuierlich in angemessener Weise und innerhalb der richtigen Zeit gewährleisten zu können. Die Verstöße haben vorliegend lange gedauert und der Verantwortliche wurde im Zeitraum von Juni 2018 bis September 2019 mehrfach von unabhängigen Beschwerdeführern auf die Mängel aufmerksam gemacht.
  • Trotz ausgeübten Widerspruchs wurden weiterhin, teilweise bis 2020 weitere Newsletter versendet.
  • Der Verantwortliche hätte daher bereits im Rahmen der ersten Beschwerden mit abhelfenden Maßnahmen reagieren müssen.
  • Die Verstöße betrafen keine sensiblen personenbezogenen Daten, und es wurde festgestellt, dass sechs Beschwerdeführer von den Verstößen betroffen waren.
  • Die Art der Verstöße hatte nur begrenzte negative Auswirkungen für die registrierten Personen.
  • Als mildernden Umstand legte IMY besonderen Wert auf die Tatsache, dass das Unternehmen im Oktober 2019 eine spezielle Arbeitsgruppe eingesetzt hat, um sich der Thematik zu widmen, um die Betroffenenrechte künftig gewährleisten zu können.

Unter Einbezug dieser Gründe befand die IMY diesen Betrag im vorliegenden Fall für wirksam, verhältnismäßig und abschreckend.

Fazit

 

Das Bußgeld mag zwar für den Konzern auf den ersten Blick niedrig ausfallen, zeigt jedoch einmal mehr, dass E-Mail-Marketing datenschutzkonform ausgestaltet sein muss und insbesondere die Wahrung der Betroffenenrechte ein elementarer Baustein der DSGVO ist, die es gilt zu berücksichtigen. Entscheidend ist insoweit nicht nur einen sauberen rechtlichen Rahmen für eine Nutzung des Newsletterversands zu schaffen (flankierend gelten in Deutschland insbesondere zusätzlich die Regelungen des § 7 UWG), sondern auch interne technische und organisatorische Maßnahmen zu etablieren, die die uneingeschränkte Möglichkeit der Ausübung der Betroffenenrechte ermöglicht.

 

Das gegen das Modeunternehmen verhängte Bußgeld fiel an dieser Stelle deshalb vergleichsweise niedrig aus, da das Unternehmen als Verantwortlicher nachweisen konnte, dass es sich hier um Einzelfälle handelte in denen etwas singulär schieflief, es sich vergleichsweise wenig Betroffene handelte, es einen zusammenhängenden Fehler miteinander verbundener Verarbeitungsvorhänge betraf, die Daten nicht sensibel waren und grundsätzlich technische und organisatorische Maßnahmen vorhanden waren (s.o.). Letztere wurden zudem im Sinne des PDCA-Zyklus durch das Unternehmen und Etablierung einer internen Arbeitsgruppe mittlerweile behoben, sodass der Fehler nach Angaben des Unternehmens nicht mehr auftreten sollte.

 

 

Achten Sie daher deshalb, wie bei jeder Verarbeitung personenbezogener Daten, darauf, nicht nur eine Rechtsgrundlage für die Verarbeitung zu finden, sondern diese umfassen datenschutzkonform zu gestalten und regelmäßig zu überprüfen.  Bei Unsicherheiten ist es ratsam, sich von einem Experten beraten zu lassen, um sicherzustellen, dass alle erforderlichen Maßnahmen ergriffen wurden. Dies gilt umso mehr, wenn Sie mehrere Newsletter für unterschiedliche Zwecke bereitstellen und verwalten.

Schlagwörter: , , , , , , ,