Italienische Datenschutzbehörde verhängt knapp 3 Millionen Euro Bußgeld wegen unzulässiger Marketing-Aktivitäten

Geschrieben am

Die italienische Datenschutzbehörde (Garante per la Protezione dei Dati Personali, kurz „Garante“) hat am 22. Juni bekannt gegeben, dass sie gegen Iren Mercato, ein Unternehmen aus dem Energiesektor, ein Bußgeld in Höhe von 2,9 Millionen Euro verhängt hat. Der Entscheidung liegen Werbemaßnahmen zu Grunde, die nicht von einer wirksamen Einwilligung oder anderen Rechtsgrundlage gedeckt waren.

Was war passiert?

Mehrere Betroffene hatten gegen Iren Beschwerden bei der italienischen Datenschutzbehörde Garante eingereicht, nachdem sie unaufgefordert Werbung erhalten hatten. In der anschließenden Untersuchung stellte die Behörde fest, dass Iren personenbezogene Daten für Telemarketing-Aktivitäten verarbeitet hatte, die sie nicht direkt erhoben, sondern aus anderen Quellen erworben hatte. Iren hatte Listen mit personenbezogenen Daten von einem Unternehmen erhalten, das dieses wiederum von zwei anderen Unternehmen erworben hatte. Dabei hatte Iren nicht überprüft, ob für alle Übermittlungen personenbezogener Daten wirksame Einwilligungen der Betroffenen eingeholt worden waren. So stellte sich heraus, dass die Betroffenen zwar Einwilligungen für Marketingzwecke erteilt hatten, diese Einwilligungen jedoch nicht die Übermittlung von Kundendaten an Iren umfassten.

Rechtlicher Hintergrund

Grundsätzlich bedarf jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage nach der Datenschutzgrundverordnung. Am praktisch relevantesten sind dabei die Einwilligung des Betroffenen, die Erforderlichkeit der Datenverarbeitung zur Erfüllung eines Vertrags mit dem Betroffenen sowie die Datenverarbeitung auf der Grundlage berechtigter Interessen. Für Werbezwecke wie im vorliegenden Fall kommt regelmäßig lediglich die Einwilligung des Betroffenen nach Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage in Betracht.

Damit eine Einwilligung wirksam ist, müssen die folgenden Voraussetzungen erfüllt sein:

Freiwilligkeit

Die Einwilligung setzt zunächst eine freiwillige Entscheidung des Betroffenen voraus. Nach der DSGVO kann eine Einwilligung nur freiwillig sein, wenn die betroffene Person „eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“.

Informiertheit

Außerdem muss die betroffene Person ihre Einwilligung „in informierter Weise“ erteilen. Das setzt voraus, dass die betroffene Person mindestens weiß, wer der Verantwortliche ist und für welchen Zweck ihre Daten verarbeitet werden sollen. Insgesamt muss die Unterrichtung die betroffene Person in die Lage versetzen zu wissen, dass und in welchem Umfang sie ihre Einwilligung erteilt.

Nach Art. 7 Abs. 3 S. 3 DSGVO ist die betroffene Person zudem darüber zu informieren, dass sie jederzeit ihre Einwilligung widerrufen kann.

Bezug auf einen bestimmten Zweck und eine bestimmte Verarbeitung

Außerdem muss sich die Einwilligung auf „einen oder mehrere bestimmte Zwecke“ beziehen.

Die Einwilligung muss sich weiterhin auf bestimmte Verarbeitungstätigkeiten beziehen. Einwilligungen, die einen im Zeitpunkt der Einwilligung nicht absehbaren Kreis von Verarbeitungstätigkeiten abdecken sollen, genügen nicht.

Unmissverständlichkeit

Zudem muss die betroffene Person die Einwilligung unmissverständlich zum Ausdruck gebracht haben. Diese Willensbekundung kann in Form einer ausdrücklichen Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung erfolgen.

Keine wirksame Einwilligung für Datenübermittlungen an ungenannte Dritte

Iren hatte die Daten von einem Unternehmen erworben, welche diese wiederum von zwei anderen Unternehmen erhalten hatte. Die beiden Unternehmen, welche die Daten erhoben hatten, hatten dabei von den Betroffenen eine Einwilligung für die Weitergabe von Daten an Dritte eingeholt. Die Garante entschied, dass die Verarbeitung der Daten durch Iren als weiteren Verantwortlichen nicht auf die pauschale Einwilligung in die Weitergabe der Daten an Dritte gestützt werden kann, da die Daten von einem zwischengeschalteten Verantwortlichen erworben wurden.

Auch durfte sich Iren nicht auf eine vertragliche Regelung verlassen, nach welcher das zwischengeschaltete Unternehmen garantierte, dass eine wirksame Einwilligung vorliege. Im Fall des Erwerbs von Daten von einem Zwischenhändler könne sich Iren nicht auf eine Garantie, nach welcher das zwischengeschaltete Unternehmen die Wirksamkeit der erteilten Einwilligung vertraglich zusichert berufen. Iren hätte überprüfen müssen, ob die Einwilligung auch die erneute Datenweitergabe umfasst.

Die Garante betonte, dass die von einem Betroffenen erteilte Einwilligung in Werbeaktivitäten Dritter sich nicht auf weitere Übermittlungen an andere Dritte bezieht. Solche Übermittlungen seien nicht durch die erforderliche spezifische und in Kenntnis der Sachlage erteilte Einwilligung gedeckt.

Zum Bußgeld

Die Datenschutzbehörde nahm deshalb einen Verstoß gegen Art. 6 Abs. 1 lit. a und Art. 7 Abs. 1 DSGVO an. Zudem lag nach Ansicht der Datenschutzbehörde ein Verstoß gegen die allgemeinen Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben und der Transparenz sowie der Rechenschaftspflicht aus Art. 5 Abs. 1 lit. a und Abs. 2 DSGVO vor.

Die Garante setzte dehsalb gegen Iren Mercato eine Geldbuße in Höhe von 2,9 Millionen Euro fest. Die Höhe der Sanktion wurde vor allem damit begründet, dass die personenbezogenen Daten, die ohne wirksame Einwilligung übermittelt worden waren, mehrere Millionen Personen betrafen.

Fazit

Die Entscheidung der Garante verdeutlicht, dass insbesondere Unternehmen, die personenbezogene Daten von anderen Unternehmen zu Werbezwecken übernehmen, genau prüfen müssen, ob eine wirksame Einwilligung der Betroffenen vorliegt und ob diese Einwilligung auch die Übermittlung an und die Nutzung durch das eigene Unternehmen umfasst. In keinem Fall darf man sich rein auf vertragliche Zusicherungen verlassen, sondern sollte konkret prüfen, ob sich die Einwilligung der Betroffenen auch auf die eigenen Verarbeitungszwecke erstreckt.