DSGVO-Bußgelder in Österreich

Im Berichtszeitraum erfolgten Abmahnungen von der DSB gegen österreichische Unternehmen, die Kundenbindungsprogramme betreiben. Grund dafür war, dass sie das Profiling im Rahmen ihrer Kundenbindungsprogramme auf Grundlage (vermutlich) ungültiger Einwilligungen stützten. In den Verwaltungsstrafverfahren hat die Behörde festgestellt, dass keine ordentliche Benachrichtigung der Kunden des Programms über die weitere Nutzung ihrer Daten erfolgte. Wegen einer irreführenden Gestaltung der entsprechenden Informationen konnten Durchschnittsnutzer nicht erkennen, dass sie ihre Einwilligungen für Profiling erteilen. Beispielsweise wirkte das Unterschriftenfeld in Anmeldeformularen auf den physischen Flyern so, als handelte es sich dabei um eine Bestätigung der Anmeldung im Club. Tatsächlich war es aber eine Einwilligung zum Profiling.

Ebenfalls war die einschlägige Information auf der Internetseite nicht vor, sondern nach dem Kästchen platziert, welches von Nutzern für die Einwilligung ihrer Daten zu markieren war. Außerdem wurde dabei effektiv verschleiert, dass die Einwilligung sich auf Profiling bezog, indem die Unternehmen mit „exklusiven Vorteilen und Aktionen“ warben, anstatt prominent über die Datenverarbeitung aufzuklären. Somit haben die Firmen ihre Informationspflichten verletzt. Demzufolge seien die Einwilligungen ungültig und das Profiling unrechtmäßig.

Anscheinend setzen die von der DSB abgemahnten Firmen die richtigen Verbesserungen nicht (schnell) um. So wurden im Sommer 2021 zwei Millionen Euro an „jö Bonus Club“ verhängt. Im Januar 2022 kam die nächste ähnliche Bußgeld-Entscheidung – jedoch mit einer vierfach höheren Summe – gegen das Rewe-Tochter-Unternehmen.

In einem anderen Verwaltungsstrafverfahren wurde ein Unternehmen wegen des Verstoßes gegen den Erleichterungsgrundsatz gemäß Art. 12 Abs. 2 DSGVO zur Ordnung gerufen, weil er als Verantwortlicher den Betroffenen die Ausübung ihrer Rechte gemäß den Art. 15-22 DSGVO nicht erleichtert, sondern erschwert hat, indem er diese nur auf ein Kontaktformular auf der Webseite einschränkte. Das von den Betroffenen zuvor für die Geltendmachung ihrer Rechte genutzte E-Mail-Postfach wurde mit der Implementierung dieses Web-Formulars zur Kontaktaufnahme derart umgestellt, dass sämtliche E-Mails an dieses Postfach – automatisiert mit einem Verweis auf die ausschließliche Nutzung eines neu implementierten Formulars – „beantwortet“ wurden. Obwohl circa 98% der Betroffenenanfragen mittels einer E-Mail eingingen, hat das Unternehmen diese überwiegend ignoriert. Dafür verhängte die DSB 9,5 Millionen Euro.

Ein Bußgeld in Höhe von 4 Millionen Euro erhielt ein Kreditinstitut. Dieses bewahrte eine Excel-Datei mit personenbezogenen Daten und insbesondere den Kontoinformationen der Kunden zum Zwecke der internen Administration von Bankkunden filialweise auf einem internen Laufwerk auf. Die Datei war weder verschlüsselt noch sonst vor unberechtigten Zugriffen geschützt. Zudem konnte sie von allen Mitarbeitern der Filiale abgerufen und eingesehen werden. Die oben genannte Excel-Liste hat eine Mitarbeiterin in einer E-Mail irrtümlich an 234 Kunden versendet.

Wegen des Verstoßes gegen die Mitwirkungspflicht von Verantwortlichen mit der Datenschutzbehörde gemäß Art. 31 DSGVO erließ die DSB Bescheid mit 3 000 Euro: Das Unternehmen war in drei Beschwerdeverfahren als Beschwerdegegnerin beteiligt und weigerte sich, am Verfahren teilzunehmen bzw. eine Stellungnahme einzubringen. Auf zwei Beschwerden hat es sich gar nicht und in einem Fall erst viel später geäußert.

Wie die Praxis zeigt, stehen Unternehmen in allen Ländern vor ähnlichen Problemen. Dabei werden ebenfalls in Österreich, je nach Fall und Betrachter, unterschiedliche – mal abschreckende, mal knappe und dann wieder angemessene- Summen verhängt.

Sie haben Fragen zum Thema Datenschutz oder IT-Sicherheit? Kontaktieren Sie uns gerne!