Französische Datenschutzbehörde verhängt Bußgeld wegen Telefon- und SMS-Werbung ohne wirksame Einwilligung

Geschrieben am

Die Verarbeitung personenbezogener Daten ist ganz allgemein nur rechtmäßig, wenn sich der datenschutzrechtlich Verantwortliche auf eine der Rechtsgrundlagen aus Art. 6 DSGVO stützen kann. Dies gilt auch in den Konstellationen, in denen so genannte Datenbroker Daten sammeln und an Unternehmen verkaufen, die diese zum Versand von Werbung nutzen. Das jeweils datenverarbeitende Unternehmen trifft hierbei die Verantwortung, selbst sicherzustellen, dass die Daten von den Datenbrokern rechtmäßig erhoben wurden. Dieser Verantwortung ist das Unternehmen Hubside.Store nicht nachgekommen und wurde deshalb von der französischen Datenschutzbehörde CNIL mit einem Bußgeld in Höhe von gut 500.000 € belegt.

Hubside.Store macht Telefon- und SMS-Werbung und nutzt dafür Daten, die von Datenbrokern bei der Teilnahme an Online-Gewinnspielen und Produkttests erhoben werden. Die Datenbroker verwendeten bei der Erhebung dieser Daten Eingabemasken, die nach Meinung von CNIL keine ausreichende Basis für die Einholung einer wirksamen Einwilligung nach der DSGVO sein können. Als besonders problematisch erachtete CNIL die Gestaltung der Auswahlmöglichkeiten: Die Schaltfläche, mit dem die Einwilligung in die Weiterleitung der personenbezogenen Daten an die werbenden Unternehmen erteilt werden sollte, war optisch so deutlich hervorgehoben, dass die Möglichkeit, keine Einwilligung zu erteilen, von den Betroffenen nicht mehr ernsthaft als Alternative in Betracht gezogen werden konnte.

Dass Hubside.Store als datenschutzrechtlich Verantwortlicher für die Nichteinhaltung der DSGVO durch die Datenbroker haftet, obwohl diese gegenüber dem werbenden Unternehmen vertraglich zur Einhaltung der DSGVO verpflichtet waren, begründete CNIL damit, dass Hubside.Store es versäumt hatte, die Einhaltung der DSGVO durch die Datenbroker auch tatsächlich zu überprüfen. Dies zeigt erneut, wie weit die Verantwortlichkeit bei der Verarbeitung personenbezogener Daten reicht und wie wichtig es ist, sich auf eine rechtmäßige Datenerhebung berufen zu können. Kontaktieren Sie uns gerne, wenn wir Ihnen dabei beratend zur Seite stehen können.

Im Falle von Hubside.Store lag überdies noch ein Verstoß gegen Art. 14 DSGVO vor, der die Informationsplicht bei Datenerhebung statuiert. Hier hatten die Datenbroker Hubside.Store nicht in die Liste derjenigen Unternehmen aufgenommen, an die die personenbezogenen Daten weitergeleitet werden. Somit wussten die Betroffenen bei Erteilung der Einwilligung gegenüber den Datenbrokern nicht, dass sie möglicherweise auch von Hubside.Store kontaktiert werden. Auch dafür ist das werbende Unternehmen selbst haftbar, da die Pflicht aus Art. 14 DSGVO den datenschutzrechtlich Verantwortlichen trifft und dieser zu gewährleisten hat, dass die Betroffenen imstande sind, ihre Rechte aus der DSGVO geltend zu machen, die sich insbesondere gegen den datenschutzrechtlich Verantwortlichen richten.