Bayreuth, 01.12.2021 — Ein Verstoß gegen die DSGVO kann bekanntlich teuer werden. Je nach Einzelfall betragen diese bis zu 20 Mio. Euro (bzw. 4% des gesamten Vorjahresumsatzes). Deshalb stellen wir Ihnen hier die Top Bußgelder vor, welche die Aufsichtsbehörden in den letzten Monaten verhängt haben, damit Sie Ihre vorhandenen Prozesse nochmals überprüfen und präventiv Maßnahmen ergreifen können.
1. Verstoß gegen die datenschutzrechtlichen Transparenzpflichten, Art. 12, 13 DSGVO
Gegen die Vattenfall Europe Sales GmbH hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) im September dieses Jahres ein Bußgeld i.H.v. 907.388,84 Euro verhängt.
Vattenfall hatte zwischen August 2018 und Dezember 2019 bei Vertragsanfragen für Sonderverträge, die mit einer besonderen Bonuszahlung verbunden waren, routinemäßig überprüft, ob die Kundinnen und Kunden ein „wechselauffälliges Verhalten“ zeigten. Hierzu bediente sich Vattenfall an Rechnungen – diese mussten aus steuer- und handelsrechtlichen Gründen für bis zu zehn Jahre aufbewahrt werden – aus früheren Vertragsbeziehungen mit diesen Kundinnen und Kunden. Dieser Datenabgleich sollte verhindern, dass Kund:innen solche Bonus-Verträge regelmäßig abschließen, da diese für das Unternehmen nicht rentabel sind.
Die Aufsichtsbehörde hielt nicht den Datenabgleich als solchen für rechtswidrig, sondern bemängelte die fehlende Transparenz über dieses Vorgehen. Vattenfall hätte die Kund:innen darüber informieren müssen, dass bei Abschluss eines solchen Vertrags eine interne Überprüfung ihres Status stattfindet.
Die Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) finden Sie hier: https://datenschutz-hamburg.de/pressemitteilungen/2021/09/2021-09-25-vattenfall2
2. Unzulässige Werbeanrufe
Der Pay-TV-Anbieter Sky Italia S.r.l. muss aufgrund von unzulässigen Werbeanrufen ein Bußgeld i.H.v. 3.296.326 Euro bezahlen. Die italienische Datenschutzbehörde konnte, nachdem eine Vielzahl an Beschwerden von Betroffenen verzeichnet wurde, ermitteln, dass teilweise trotz Widerspruch gegen Werbemaßnahmen Werbeanrufe getätigt wurden und Sky Produkte beworben wurden.
Sky Italia S.r.l. hatte von mehreren Unternehmen, mit welchen sie entsprechende Werbeverträge geschlossen hatte, Kontaktdaten bezogen. Die Unternehmen kontaktierten die Kunden via SMS, stellten diesen die Produktpalette von Sky vor und fragten, ob Sie von Sky Italia kontaktiert werden möchten. Kunden, die auf diese SMS mit „OK“ antworteten, wurden anschließend an Sky Italia übermittelt und von beauftragten Callcentern angerufen.
Fälschlicherweise ging Sky Italia davon aus, dass die Betroffenen mit der Weitergabe Ihrer Daten auch gleichzeitig in die Verwendung Ihrer Daten zu Werbezwecken einwilligten. Dies ist jedoch nicht der Fall. Eine solche Einwilligung hätte Sky Italia ausdrücklich nochmals am Telefon einholen müssen und erst anschließend ihre Produkte bewerben dürfen.
Zudem hat Sky Italia Kunden, die einen Widerspruch gegen Werbemaßnahmen erklärt hatten, angerufen, da es vor den Anrufen unterlassen wurde zu überprüfen, ob ein solcher Widerspruch vorlag.
Schließlich hatte Sky Italia die Verarbeitungstätigkeit der Unternehmen, von denen es die Telefonnummern bezogen hatte, nicht ordnungsgemäß in einem Auftragsverarbeitungsvertrag geregelt.
Die Pressemitteilung der italienischen Datenschutzbehörde finden Sie hier: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9708780
Den veröffentlichten Bußgeldbescheid finden Sie hier: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9706389
3. Profilerstellung und Bewertung der Kreditwürdigkeit von Nicht-Kunden ohne Einwilligung
Ein weiteres hohes Bußgeld verhängte die spanische Datenschutzbehörde im Oktober gegen die CaixaBank Payments & Consumer E.F.C., E.P., S.A. Mangels Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten – konkret: fehlende Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a) DSGVO – wurde ein Bußgeld in Höhe von 3 Mio. Euro verhängt.
Die Behörde ermittelte, dass die Bank Daten von Nicht-Kunden ohne deren Einwilligung zur Bewertung ihrer Kreditwürdigkeit verwendet um anschließend darauf aufbauende Profile von den Betroffenen zu erstellen. Sodann erhielten die Betroffenen Werbung mit Finanzprodukten. Eine konkrete Anzahl der betroffenen Personen wurde von der Datenschutzbehörde nicht mitgeteilt.
Den veröffentlichten Bußgeldbescheid der spanischen Datenschutzbehörde finden Sie hier: https://www.aepd.es/es/documento/ps-00500-2020.pdf