Bußgelder wegen Datenschutzfehler bei der Werbung
Werbung gehört zu den Bereichen, bei denen aus Datenschutzsicht besonders leicht viele Fehler gemacht werden. Gleichzeitig fällt genervten Werbeempfängern der Gang zur Aufsichtsbehörde leicht. Zwar können Werbemaßnahmen laut dem Erwägungsgrund Nr. 47 zur DS-GVO als berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO angesehen werden, jedoch ist dies gerade kein Freifahrtschein. Im Gegenteil: auch im Werbebereich bestehen umfangreiche Datenschutzpflichten und nicht immer gilt Art. 6 Abs. 1 S. 1 DS-GVO wirklich. Es muss daher jede Werbemaßnahme geprüft werden, es sind umfangreiche Informationen der Empfänger nötig, klare Prozesse und ein gut geschultes Personal. Auch wenn die Einhaltung der datenschutzrechtlichen Spielregeln im Werbebereich damit zeit- und kostenintensiv ist, die Verletzung der Vorgaben ist keine Bagatelle und kann hohe Bußgelder mit sich ziehen.
Die Übersicht der Bußgelder ist noch in Arbeit und wird in Kürze ergänzt.
Deutschland
Eine Krankenkasse in Baden-Württemberg veranstaltete von 2015 bis 2019 mehrere Gewinnspiele. Dabei wurden personenbezogene Daten, wie z.B. Kontaktdaten und die Krankenkassenzugehörigkeit, der Teilnehmer erfasst. Diese Daten wurden später für Werbezwecke verwendet, wobei in rund 500 Fällen keine Einwilligung der Betroffenen vorlagen. Grund hierfür waren mangelhafte technisch-organisatorische Maßnahmen.
Weitere Informationen zu diesem Bußgeld finden Sie auch in unserem Blogartikel „Gewinnspieldaten für Werbezwecke genutzt: 1,2 Millionen Bußgeld„!
Die Bundesnetzagentur verhängte gegen ein Callcenter, das von verschiedenen Unternehmen beauftragt wurde, ein Bußgeld wegen Verstößen gegen das Wettbewerbsrecht. Das Unternehmen tätigte Werbeanrufe, ohne dass die Betroffenen hierin eingewilligt hätten. Teilweise hatten sie der Werbung sogar widersprochen. Zum Teil wurden betroffenen Personen Rechnungen über Dienstleistungen erstellt, welche sie nicht beauftragt hatten. Die Rufnummern stammten von Dritten, wobei weder das Callcenter noch dessen Auftraggeber geprüft hatten, ob die Angabe der Adresshändler korrekt waren und tatsächlich die Einwilligungen der Betroffenen vorlagen. Gegen die Auftraggeber des Callcenters wurde ebenfalls ein Bußgeld verhängt.
Ein Betroffener erhielt von einem Telekommunikationsdienstleister wiederholt Werbeanrufe auf seiner Mobil- und Festnetznummer und reichte deshalb bei der Bundesnetzagentur Beschwerde ein. Diese ahndete den Verstoß des Unternehmens gegen das Wettbewerbsrecht mit einem Bußgeld.
Die Bundesnetzagentur ahndete die unzulässige Telefonwerbeaktionen eines Energieversorgers mit einem Bußgeld. Das Unternehmen hatte wiederholt Werbeanrufe bei betroffenen Personen durchführen lassen, die explizit ihr Widerspruchsrecht geltend gemacht hatten. Zudem waren vorhandene Einwilligungen intransparent gestaltet und damit unwirksam. Erschwerend kam hinzu, dass die Anrufe zum Teil mit unterdrückter Nummer getätigt und Identitäten sowie Anrufzwecke bewusst verschleiert wurden. Unter Vorgabe falscher Tatsachen erhielt das Unternehmen in einigen Fällen Daten, die für einen Energieversorgerwechsel erforderlich sind und schickte den Betroffenen Vertragsunterlagen oder Auftragsbestätigungen zu, die Betroffene mit viel Aufwand widerrufen mussten.
Die Bundesnetzagentur verhängte gegen ein Callcenter ein Bußgeld, da dieses Werbeanrufe gegenüber Verbrauchern getätigt hat, ohne hierfür wirksame Einwilligungen vorweisen zu können. Teilweise reichten die Betroffenen sogar Widerspruch ein, der allerdings erfolglos blieb. Erschwerend kam hinzu, dass das Unternehmen auch vorliegende Einwilligungserklärungen nicht geprüft hatte. Eine Vielzahl war unecht, rechtsfehlerhaft oder veraltet.
Der Hannoversche Volksbank wertete ohne Rechtsgrundlage die Daten aktueller und früherer Kunden bzgl. deren Online-Nutzerverhaltens aus, um eine gezieltere Werbeansprache durchführen zu können. Hierfür analysierte die Bank das Gesamtvolumen von Käufen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern und die Menge an Überweisungen per Online-Banking im Vergleich zu denen bei Filialbesuchen. Zur Durchführung der Auswertung hatte die Bank einen Dienstleister beauftragt und die erhaltenen Ergebnisse mit Informationen einer Wirtschaftsauskunftei – vermutlich der Schufa – verglichen und darum ergänzt. Zweck dieser Auswertung war es, Kunden, die online-affin sind, zu identifizieren und anschließend für vertragliche oder werbliche Inhalte digital zu kontaktieren. Bekannt wurde die Aktion wohl nur, weil einige Kunden, die bei der Schufa ein zahlungspflichtiges Upgrade zur automatischen Information über Änderungen ihrer Daten, abonniert haben, Informationen darüber seitens der Schufa erhalten haben, dass die Volksbank hier eine entsprechende Anfrage gestellt hat. Daraufhin soll es diesbezüglich mindestens zwei Beschwerden bei der Datenschutzaufsichtsbehörde gegeben haben.
Im Zuge ihrer Untersuchung stellte die zuständige Aufsichtsbehörde fest, dass die Betroffenen in einem 28-seitigen Brief über die Analyse informiert und über ein Widerspruchsrecht aufgeklärt wurden. Allerdings wurde von ihnen keine Einwilligung nach Art. 6 Abs. 1 lit. a) DS-GVO eingeholt. Die Verarbeitung konnte auch nicht auf Art. 6 Abs. 1 lit. f) DS-GVO gestützt werden, da das berechtigte Interesse der Güterabwägung den Interessen der Betroffenen in diesem Zusammenhang nicht überwog. Schlussendlich hatte sich die Bank kooperativ und einsichtig gezeigt, mit der Aufsichtsbehörde kooperiert und die Analyseergebnisse nicht verwendet – dies wirkte sich mildernd auf die Höhe des Bußgelds aus.
Großbritannien
Ein Modeunternehmen versendete im Rahmen einer Direktmarketingkampagne zwischen Juni 2019 und Juni 2020 insgesamt 1.746.632 Textnachrichten an Betroffene. Für diese Datenverarbeitung hatte das Unternehmen allerdings nicht die Einwilligung der Empfänger eingeholt.
Ein Callcenter tätigte über sechs Monate hinweg 159.461 Werbeanrufe, obwohl die Betroffenen auf der Robinsonliste eingetragen waren. Zudem konnte das Unternehmen keinen Nachweis erbringen, dass die Betroffenen wirksam in die Verarbeitung eingewilligt hätten.
Ein Sicherheitsunternehmen tätigte zwischen Mai und Dezember 2018 im Rahmen einer Direktmarketingkampagne insgesamt 669.966 Anrufe, wobei die Rufnummer in 371.958 Fällen auf der Robinsonliste eingetragen waren. Die Rufnummern stammten von einem Dritten und das Unternehmen hatte die Einwilligungen nach dem Erwerb nicht ordnungsgemäß geprüft.
Ein Versandhändler verschickte zwischen August 2019 und April 2020 491.995 Werbe-E-Mails an Kunden, die hierfür keine Einwilligung erteilt hatten. Von diesen Nachrichten wurden 276.866 von Ende März bis Anfang April 2020 versendet.
Ein Unternehmen tätigte zwischen Januar und Juni 2019 1.103.292 unzulässige Werbeanrufe. Ein Teil der Betroffenen hatte der Werbung zuvor bereits widersprochen. Die Rufnummern stammten von einem Dritten, der im Rahmen von Telefonumfragen gezielt Daten abfragten, um diese später für Werbezwecke zu verwenden. Die Datenschutzbehörde betonte, dass diese telefonischen Einwilligungen wegen unzureichender Information und fraglicher Freiwilligkeit unwirksam sind. Insbesondere deshalb, da der spätere Werbetreibende nicht konkret benannt wurde.
Ein Marketingunternehmen hat zwischen März und Juni 2019 in 617.323 Fällen Werbeanrufe getätigt, wobei die Betroffenen zum Großteil in der Robinsonliste aufgeführt waren. Hintergrund war, dass die Dritten, von denen die Daten stammten, die Kontaktdaten nicht ordnungsgemäß mit der Robinsonliste abgeglichen hatten.
Trotz ausdrücklicher Werbewidersprüche hatte ein Unternehmen die Rufnummern der Betroffenen nicht aus der Datenbank gelöscht und sie weiterhin zu Werbezwecken telefonisch kontaktiert. Zu keiner der Personen bestand ein Vertragsverhältnis. Im Rahmen ihrer Untersuchungen stellte die Datenschutzbehörde fest, dass von Januar bis April 2019 188.665 unzulässige Werbeanrufe getätigt wurden, wobei 126.019 der Rufnummern sogar auf der Robinsonliste standen.
Ein Unternehmen hatte von Juni 2017 bis Mai 2018 in Summe 851.392 Werbeanrufe getätigt, ohne dass die Betroffenen eine Einwilligung erteilt hätten. In über der Hälfte der Fälle (565.344) standen die Rufnummern sogar auf der Robinsonliste. Das Unternehmen hatte die Nummern von verschiedenen Dritten erhalten, das Vorliegen der Einwilligungen der Betroffenen allerdings nicht ordnungsgemäß geprüft.
Ein britisches Unternehmen versendete über 16 Millionen Werbe-E-Mails. Die Firma holte zwar von den Betroffenen vorab eine Einwilligung ein, jedoch waren diese aufgrund mehrerer Mängel unwirksam. Zum einen wurde bemängelt, dass die Einwilligungen nicht freiwillig abgegeben worden sind. Zum anderen waren die Angaben weder spezifisch genug noch transparent gestaltet.
Die britische Aufsichtsbehörde ermittelte gegen ein Marketingunternehmen, nachdem bei ihr 63 Beschwerden wegen unerwünschter Werbeanrufe eingingen. Dabei wurde festgestellt, dass das Unternehmen in 365.369 Fällen Werbeanrufe getätigt hatte, ohne dass ein Vertragsverhältnis mit den Angerufenen bestand oder deren Einwilligung vorlag. Die Telefonnummern wurden aus 61 Rufnummerlisten ausgelesen. Erschwerend kam hinzu, dass der Verantwortliche seine Identität bei den Angerufenen verbergen wollte und sich als indisches Unternehmen ausgab.
Finnland
Ein finnisches Unternehmen führte Marketingmaßnahmen per SMS durch. Für den Versand der Werbe-SMS lagen jedoch keine Einwilligungen der Empfänger vor. Zudem wurde die Aufforderung der Betroffenen, die Werbemaßnahmen zu unterlassen, nicht umgesetzt. Neben der unrechtmäßigen Datenverarbeitung kritisierte die Aufsichtsbehörde auch noch die nicht beantworteten Auskunftsersuchen der Betroffenen.
Frankreich
Die französische Aufsichtsbehörde verhängte gegen einen Lieferdienst ein Bußgeld, unter anderem wegen Verstößen gegen Informationspflichten, unzureichender Sicherheitsmaßnahmen und unvollständiger Beantwortung von Auskunftsersuchen. Hauptgrund für die Geldbuße war der Versand von Werbe-E-Mails an 653.033 Personen ohne deren Einwilligung. Die Daten stammten aus angelegten Nutzerkonten, die teilweise inaktiv waren.
Italien
Ein italienischer Telekommunikationsanbieter tätigte millionenfach Werbeanrufe, ohne dass die Betroffenen hierin eingewilligt hätten. In einigen Fällen hatten die Betroffenen sogar widersprochen oder waren in einer öffentlichen Opt-Out-Liste eingetragen. Die Aufsichtsbehörde bemängelte zudem, dass Aufnahmen von telefonischen Bestellungen länger als erforderlich gespeichert wurden. Hinzukamen unrichtige und intransparente Datenschutzinformationen bei den Apps des Anbieters.
Vodafone Italien erhielt ein Bußgeld, nachdem bei der Aufsichtsbehörde mehrere hundert Beschwerden wegen unerwünschter Telefonwerbung eingingen. Dabei wurden von den Callcentern auch gefälschte und nicht registrierte Rufnummern eingesetzt. Eine Einwilligung für den Erhalt der Kontaktlisten von Geschäftspartnern und Dritten konnte das Unternehmen ebenfalls nicht vorweisen. Zudem stieß die Aufsichtsbehörde bei ihren Ermittlungen auf weitere Verstöße gegen Grundprinzipien der DS-GVO sowie den Schutz personenbezogener Daten.
Polen
Eine polnische Arbeitsvermittlung hatte personenbezogene Daten aus dem Internet für Werbemaßnahmen verwendet. Die Personalvermittlung sendete den Betroffenen Werbemails ohne dafür deren Einwilligung eingeholt zu haben. Selbst die Werbewidersprüche eines Empfängers mit der ausdrücklichen Aufforderung, die Werbemails einzustellen, wurden von dem Unternehmen konsequent ignoriert. Der Empfänger beschwerte sich anschließend bei der zuständigen Aufsichtsbehörde. Diese forderte die Personalvermittlung zur Klärung des Sachverhalts auf – ohne Reaktion der Arbeitsvermittlung.
Grundlage des Bußgelds ist somit die unrechtmäßige Verarbeitung personenbezogener Daten für Werbezwecke sowie der Verstoß gegen die Pflicht, mit der Aufsichtsbehörde zusammenzuarbeiten.
Spanien
Der Betreiber eines Online-Shops versendete wiederholt Werbenachrichten an einen Betroffenen, zu dem keine Vertragsbeziehung bestand. Der Empfänger hatte nie in die Verarbeitung eingewilligt und stand sogar auf der Robinsonliste. Das ursprüngliche Bußgeld von 4.000 Euro wurde wegen auf 2.400 Euro reduziert, da der Betreiber die Schuld anerkannte und sofort zahlte.
Ein von Vodafone beauftragtes Callcenter verwendete die Rufnummer einer Betroffenen für Werbeanrufe, obwohl diese auf der Robinsonliste stand. Das Unternehmen begründete den Vorfall mit einem punktuellen Fehler im Filter. Das ursprüngliche Bußgeld von 40.000 Euro wurde wegen auf 24.000 Euro reduziert, da das Unternehmen die Schuld anerkannte und sofort zahlte.
Nach dem der Betroffene sich vom Newsletter angemeldet und die Löschung seiner Daten gefordert hatte, erhielt er von dem betreffenden Unternehmen eine Löschbestätigung per SMS. Trotz der Bestätigung erhielt er weiterhin E-Mail-Werbung von dem Unternehmen.
Ein Unternehmen bestätigte dem Betroffenen per Fax die Löschung seiner personenbezogenen Daten. Mehrere Monate später erhielt dieser dennoch Werbe-Nachrichten auf sein Mobiltelefon.
Aufgrund eines technischen Fehlers in der Datenbank erhielt ein Betroffener E-Mail-Werbung, ohne dass mit dem werbenden Unternehmen eine Vertragsbeziehung bestanden hätte oder er eine Einwilligung erteilt hätte. Das ursprüngliche Bußgeld von 1.500 Euro wurde auf 900 Euro reduziert, da das Unternehmen sofort zahlte und die Schuld anerkannte.
Der Betreiber eines Onlineshops versendete wiederholt per SMS Werbung an einen Betroffenen, ohne hierfür eine Einwilligung eingeholt zu haben. Vielmehr stand die betreffende Handynummer sogar auf der Robinsonliste. Nach einem Schuldanerkenntnis und wegen fristgerechter Zahlung wurde das Bußgeld von 4.000 Euro auf 2.400 Euro reduziert.
Ein spanischer Energieversorger verwendete die Telefonnummer eines Betroffenen für Werbeanrufe, obwohl dieser auf der Robinsonliste stand. Nach Angaben des Unternehmens sei der Vorfall auf einen menschlichen Fehler zurückzuführen, da die verwendeten Telefonnummern für die Anrufe in der Regel nicht für Werbeanrufe verwendet werden. Das Bußgeld in Höhe von 10.000 Euro wurde auf 6.000 Euro gesenkt, da der Verantwortliche die Schuld anerkannte und fristgerecht zahlte.
Ungarn
Das Bußgeld wurde gegen Facebook aufgrund irreführender Werbung verhängt. Das Unternehmen wirbt damit, kostenlos zu sein, was aber nicht der Fall sei. Die Aufsichtsbehörde begründete das Bußgeld damit, dass das Geschäftsmodell von Facebook darin besteht, detaillierte Daten über die Nutzer zusammenzustellen und gezielte Werbemöglichkeiten an Geschäftskunden zu verkaufen. Der Preis für die Nutzung sind die persönlichen Daten der User, die Werbung mit einer kostenlosen Mitgliedschaft sei damit falsch und irreführend. Das Unternehmen wurde seit dem Jahr 2010 mehrfach ermahnt, dennoch wurden die Nutzungsbedingungen nach Ansicht der Aufsichtsbehörde nicht ausreichend angepasst