Sachverhalt
Im August 2016 erlitt die Klägerin einen schweren Verkehrsunfall, woraufhin sie am 08.09.2016 den Beklagten als Rechtsanwalt zur Regulierung der Unfallschäden beauftragte. Außerdem wurde der Beklagte für die Klägerin in einer Schadenssache gegen einen Haftpflichtversicherer eines Kosmetikstudios aus 2017 tätig.
Am 07.01.2020 kündigte die Klägerin das Mandatsverhältnis und verlangte vom Beklagten eine vollständige Datenauskunft gemäß Art. 15 DSGVO sowie Herausgabe einer Kopie der Handakte. Diese Akte ist eine Zusammenstellung aller gesammelten und zu einem bestimmten Rechtsfall gehörenden Schriftstücke.
Der Beklagte befand sich mit Erteilung der Datenauskunft neun Monate im Verzug, zudem wurde der Anspruch nicht vollständig erfüllt. Es fehlten Angaben zum Mandatskonto, sowie Berichte der Kommunikation über E-Mail und WhatsApp zwischen der Klägerin und dem Beklagten. Außerdem ist unklar, ob Daten an einen weiteren Rechtsanwalt weitergegeben worden sind, der sich mit dem Beklagten in einer Bürogemeinschaft befand und die gleiche Telefaxnummer nutzte.
Die Klägerin sah sich aufgrund dessen gezwungen, einen anderen Rechtsanwalt zu beauftragen, woraus weitere Kosten entstanden, die sie ersetzt haben wollte. Sie bezeichnete das Verhalten des Beklagten als mutwillig, da dieser nicht nur eine erheblich verspätete, sondern vor allem untervollständige Datenauskunft erteilt habe.
Schließlich fehle es noch an Auskünften bezüglich des Verfahrens gegen das Kosmetikstudio. Aufgrund der verspäteten Datenauskunft war die Klägerin nicht in der Lage, Ansprüche gegenüber der Versicherung geltend zu machen.
In diesem Zusammenhang forderte die Klägerin zusätzlich Schmerzensgeld aus Art. 82 DSGVO, das € 1.000 nicht unterschreiten sollte. Der Verzug sowie die unterstellte Mutwilligkeit wurden zur Begründung eines immateriellen Schadens angeführt.
Indem er mit einem irreführend formatierten Anmeldeformular Nutzerinnen und Nutzer dazu bewegte, personenbezogene Daten für Werbezwecke in Form des Profilings zu nutzen, soll der von der REWE Österreich ins Leben gerufene „Jö Bonus Club“ nun 2 Millionen Euro Strafe zahlen. Die angemeldeten Kunden und Kundinnen gingen davon aus, sie meldeten sich lediglich für den Bonusclub selbst an. Dies geht aus dem am 2. August 2021 veröffentlichen Bescheid der österreichischen Datenschutzbehörde hervor.
Im Datenschutzrecht gilt der Grundsatz: Die Verarbeitung von personenbezogenen Daten ist verboten, es sei denn das Gesetz sieht eine Ausnahme vor oder die betroffenen Personen willigen darin ein. Das Einholen einer freiwilligen und informierten Einwilligung von Kundinnen und Kunden, wie das Gesetz es vorschreibt, ist jedoch in der Praxis ein durch Unternehmen vielfach übergangenes und auch teilweise ignoriertes Institut. So kommt es immer wieder vor, dass Kunden zumeist gar nicht erst in die Datenverarbeitung eingewilligt haben, buchstäblich unter Druck gesetzt wurden oder im Zuge von Verschleierungstaktiken nicht wussten, worin sie tatsächlich einwilligen.
Das Wichtigste in Kürze:
- Die Verarbeitung personenbezogener Daten unterliegt einem Verbot mit Erlaubnisvorbehalt, Art. 6 Abs. 1 S. 1 DSGVO.
- 7 Abs. 2 DSGVO regelt die Voraussetzungen an eine Wirksame Einwilligung. Demnach muss für den Betroffenen verständlich und transparent gemacht werden, in welche Datenverarbeitung er einwilligt.
- Bei Profiling zum Zwecke der bedürfnisorientierten Werbegestaltung ist der Rahmen des Art. 22 DSGVO datenschutzrechtlich zu beachten und besondere Vorsicht geboten.
- Intransparent gestaltete Einwilligungserklärungen sind unwirksam und können nicht als Rechtsgrundlage herangezogen werden.
- Im Zuge der Irreführung von rund 2,3 Millionen Menschen liegt der Jö Bonus Club GmbH nun ein Bußgeldbescheid von 2 Mio. Euro vor.
Hintergrund
Ausgangspunkt des verhängten Bußgelds war eine unzureichende Einwilligung bei der Anmeldung zum sog. Jö Bonus Club in Österreich. Die Jö Bonus Club GmbH gehört zu der Supermarktkette Rewe Österreich. Bei dem Jö Bonus Club handelt es sich, ähnlich wie bei Paypal, um ein Kundenbindungsprogramm. Mit der Anmeldung erklärten sich die Mitglieder, neben der Teilnahme am Bonus Club, unter anderem damit einverstanden, dass personenbezogene Daten zu Profilingzwecken genutzt werden.
Beim Profiling geht es um das Erstellen individueller Kundenprofile, um letztlich ein auf den jeweiligen Kunden und die jeweilige Kundin zugeschnittenes Werbungspaket zu identifizieren und ihnen dann zielgerichtet, nach persönlichen Präferenzen und Bedürfnissen mit Werbung zu bespielen. Die österreichische Datenschutzbehörde gab an, dass die eingeholten Einwilligungen der Kundschaft für das Profiling in dem Zeitraum von Mai 2019 bis März 2020 unwirksam sind.
Dies betrifft die Einwilligungen von insgesamt rund 2,3 Millionen Betroffenen. Grund hierfür war die Gestaltung des Einwilligungsverfahrens des Jö Bonus Clubs. Da die Informationen zur zusätzlichen Datenverarbeitung erst weiter unten ersichtlich waren und damit schwer einsehbar, hat die Datenschutzbehörde die Platzierung des Einwilligungskästchens zu den Datenschutzinformationen beanstandet. Dies führte dazu, dass die potentiellen Mitglieder mit der Absicht einwilligten, von exklusiven Vorteilen und Aktionen profitieren zu können, anstatt an besagter Stelle über die weitere Datenverarbeitung aufgeklärt zu werden.
Dabei konnten Besucher nicht erkennen, dass die Einwilligung zugleich auch zur Datenverarbeitung für Profilingzwecke diente. Man verschleierte also effektiv etwaige Profilingtätigkeiten. Auch auf den Anmeldeformularen in Papierform konnte eine gleichzeitige Einwilligung zu Profilingzwecken für die potenziellen Mitglieder nicht sofort erkannt werden. Die Einwilligungsgestaltung erweckte also vielmehr den Anschein, es handle sich ausschließlich um eine Anmeldung für den Bonus Club selbst, wohingegen tatsächlich auch eine Einwilligung zum Profiling eingeholt wurde.
Die Einwilligung und der Datenschutz
Die Einholung der Einwilligung kann bereits aus Gründen der Unachtsamkeit oder mangelnder datenschutzrechtlicher Aufklärung vieler Unternehmen eine knifflige Angelegenheit darstellen und bei Fehlern ein hohes Bußgeld heraufbeschwören. Bei einer fehlenden bzw. unzulässigen Einwilligung handelt es sich nämlich nicht um ein Kavaliersdelikt.
So musste die AOK Baden-Württemberg ein Bußgeld in Höhe von 1,2 Mio. Euro zahlen. Die Einwilligungen der Kunden und Kundinnen wurden teilweise nicht eindeutig abgegeben, die AOK verarbeitete die Daten trotzdem. Auch die Sparkasse sorgte mit fragwürdigen Mitteln für eine Einwilligung ihrer Kunden und Kundinnen. Hier wurde die Kundschaft durch Ausübung von Druck zu ihrer Einwilligung in die Datenverarbeitung bewegt.
Entscheidender Punkt bei der Verarbeitung von personenbezogenen Daten ist die Einwilligung im Sinne des Art. 6 Abs. 1 S. 1 lit. a) DSGVO, da es sich im Datenschutzrecht um ein Verbot mit Erlaubnisvorbehalt handelt. Dies bedeutet, dass die Datenverarbeitung grundsätzlich erst einmal verboten ist. Liegen eine gesetzliche Ausnahme oder eine Einwilligung seitens des Betroffenen in die jeweilige Verarbeitung vor, so ist die Datenverarbeitung erlaubt. Überdies sind die Anforderungen des Art. 7 DSGVO nicht außer Acht zu lassen.
Die DSGVO sieht in Art. 7 Abs. 2 DSGVO vor, dass die Information über eine beabsichtigte Datenverarbeitung – bevor eine Einwilligung vom Betroffenen gegeben wird – dem Betroffenen besonders verständlich und leicht zugänglich zur Verfügung gestellt werden muss. Nur dann ist es Betroffenen möglich, eine freie Entscheidung über die Verarbeitung ihrer Daten zu treffen. Die Erklärung und der gesamte Einwilligungsprozess selbst müssen also für den Betroffenen unmissverständlich sein.
Gesondert niedergelegt ist dies nochmals im Erwägungsgrund 32 der DSGVO: „Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.“
Profilingaktivitäten als Marketingmaßnahme
Bei Profiling handelt es sich um die Erstellung individueller Kundenprofile,. Hierdurch wird ein zielgenaues und auf die Bedürfnisse der Kunden abgestimmtes Marketing gewährleistet, welches die Beeinflussung von Kaufentscheidungen ermöglichen soll.
Gemäß Art. 4 Nr. 4 DSGVO versteht man unter Profiling jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Der eng gefasste rechtliche Rahmen von Profiling ist in Art. 22 Abs. 1 DSGVO vorgegeben.
Danach hat die betroffene Person das Recht, „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“
Gerade beim Profiling hätte, laut der zuständigen Behörde, aufgrund des erhöhten Risikos mehr Aufmerksamkeit auf die Information über die Datenverarbeitung gelegt werden müssen.
Der Bescheid der österreichischen Datenschutzbehörde
Die österreichische Behörde erkannte in den Vorkommnissen eine Verletzung der Pflicht des Clubs, sein Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu gestalten. Dementsprechend wertete die Behörde die Einwilligungen der Kunden und Kundinnen als unwirksam und das auf ihrer Grundlage durchgeführte Profiling als unrechtmäßig. Dieser Verstoß war schon einmal Gegenstand eines Verfahrens gegen das Unternehmen. Als Reaktion darauf hatte dieses vormalig Änderungen an seinen Einwilligungserklärungen vorgenommen.
Anstatt eine neue, ordnungsgemäße Einwilligung hinsichtlich des Profilings zu gestalten und die Betroffenen und von den bereits bestehenden Kunden eine rechtmäßige Einwilligung einzuholen, verarbeitete die Jö Bonus Club GmbH die bereits unrechtmäßig eingeholten Daten weiterhin – ohne eine gültige Einwilligung.
Die österreichische Datenschutzbehörde verhängte ein Bußgeld von über 2 Millionen Euro. Dabei wurden die Auswirkungen der Corona-Pandemie seitens der Behörde als strafmildernd bei der Bemessung der Geldbuße berücksichtigt, weil die COVID-19-Pandemie geschäftliche Tätigkeiten erschwerte und der Club Verluste erlitt. Mittlerweile wurde Berufung beim Bundesverwaltungsgericht eingelegt. Eine Entscheidung des Gerichts steht noch aus.
Ausblick
Die Verarbeitung personenbezogener Daten zu Marketingzwecken birgt enorme Potentiale zur Absatzsteigerung von Unternehmen. Hierbei spielt eine möglichst zielgenaue Werbeansprache potentieller Kunden eine große Rolle. Derartige Maßnahmen – und speziell das besonderes Datenintensive Profiling zu Marketingzwecken – bedürfen jedoch zwingend einer Einwilligung der Betroffenen.
Potentiellen Kunden offenzulegen, dass über diese Persönlichkeitsprofile erstellt werden, um ihnen gezielter Werbung anzeigen zu können, kann auf diese abschreckend wirken und sie von der Erteilung der entsprechenden Einwilligung abhlaten. So ist es nicht verwunderlich, dass Unternehmen oftmals durch geschicktes Platzieren der rechtlich verbindlichen Hinweise versuchen, eine Einwilligung zu erhalten, ohne dass dem Nutzer bewusst ist, worin er eigentlich einwilligt.
Dieses Phänomen lässt sich insbesondere auch bei der Gestaltung von Cookie Consent-Managern beobachten. Dort wird der Nutzer oftmals durch den Einsatz sogenannter „Dark Patterns“ in Form der ganz bewusst gewählten Gestaltung und Platzierung von Schaltflächen dazu bewegt, in mehr Datenverarbeitungen einzuwilligen als technisch notwendig. Auch auf Grund des Einsatzes solcher „Dark Patterns“ werden europäische Datenschutzbehörden verstärkt aktiv. Ähnlich liegt der Fall hier.
Der Club hat durch die konkrete Gestaltung der Datenschutzinformationen den Eindruck vermittelt, Kunden würden sich nur für Rabatte und Gutscheine anmelden. Nur sofern sie nach unten scrollten, hätten sie erfahren, dass sie sich zum sogenannten Profiling bereit erklären, also zur Weiterverwendung persönlicher Daten, um künftige Prognosen zu treffen.
Der konkrete Fall zeigt jedoch, dass sich entsprechendes Verhalten nicht unbedingt auszahlt.
Das Unternehmen musste die Profilierung bei Kunden und Kundinnen einstellen, die ihre Einwilligung in dem betroffenen Zeitraum zwischen Mai 2019 und März 2020 abgegeben haben. Um bereits im Vorfeld zu verhindern, dass die erhoffte Rechtsgrundlage für die Verarbeitung sich nicht als unwirksam herausstellt und trotz einer eingeholten Einwilligung keine Datenverarbeitung möglich ist, sollte folglich vor Einholung von Einwilligungen umfassend geprüft werden, ob sämtliche Anforderungen für deren Wirksamkeit erfüllt sind.
Es empfiehlt sich aufgrund der Komplexität der Angelegenheit, den Datenschutzbeauftragten frühzeitig zu konsultieren und in derartige Vorhaben einzubinden. Die beabsichtigte Datenverarbeitung muss im Vorfeld immer leicht verständlich, transparent und klar beschrieben sein. Bei Nichteinhaltung der Anforderungen des Art. 7 Abs. 2 DSGVO riskiert jedes Unternehmen – ähnlich wie der Jö Bonus Club – aufgrund der Datenverarbeitung ohne Rechtsgrundlage eine hohe Geldstrafe.
