Strafe in Millionenhöhe: Unzulässiges Profi ling

Unklare Einwilligungserklärungen zum Profiling werden Unternehmen weiterhin zum Verhängnis. [...]

Mag. Andreas Schütz ist Anwalt bei Taylor-Wessing (c) Taylor-Wessing
Mag. Andreas Schütz ist Anwalt bei Taylor-Wessing (c) Taylor-Wessing

Erst kürzlich stellte dies die österreichische Datenschutzbehörde (DSB) im Zusammenhang mit den Praktiken eines Kundenclubs fest und qualifizierte diese als unzulässig. Es droht eine Geldbuße in Höhe von 2 Mio. Euro. Die Datenschutzbehörde stellte bei einem Kundenclub einen Verstoß gegen die DSGVO aufgrund unzulässiger Einwilligungserklärungen fest, von dem die personenbezogenen Daten von etwa 2,3 Mio. Betroffenen beeinträchtigt sein sollen. Die DSB wirft dem Kundenvorteilsprogramm vor, eine irreführende Einwilligungserklärung zum Profiling zu verwenden. Die Entscheidung der DSB ist noch nicht rechtskräftig. Infolgedessen sollten sich auch andere Werbetreibende mit der Frage befassen, welche Auswirkungen diese Entscheidung für ihre Werbeschaltung haben könnten.

Intransparente Einwilligungserklärung?

Nach Ansicht der DSB sollen über ein Jahr lang durch die Verwendung intransparenter Einwilligungserklärungen Kundendaten gesammelt worden sein, die für Profiling-Zwecke verwendet wurden. Profiling ist die automatische Verwertung personenbezogener Daten zur Bewertung und Analyse von Personen. In weiterer Folge sollen individuelle Kundenprofile erstellt werden, um zielgenaues Marketing sowie die Beeinflussung von Kaufentscheidungen zu ermöglichen. Nach Ansicht der DSB birgt das Profiling besondere datenschutzrechtliche Risiken aufgrund der Berechnung menschlichen Verhaltens und der Weitergabe dieser Informationen an Dritte. Profiling ist gesetzlich zulässig, allerdings muss der Kunde seine ausdrückliche Einwilligung in transparenter und klar ersichtlicher Form erteilen. Im Rahmen des gegenständlichen Sachverhaltes hat die DSB die Formatierung der Website, sowie der Anmeldeformulare beanstandet. Die Anmelde-Flyer, auf deren Ende eine Unterschrift zu setzen ist, sollen gegen die Anforderung an die informierte, klare und ausdrückliche Einwilligung zum Profiling verstoßen. Dasselbe Problem stellte sich auch auf dem Anmeldeformular der Website, auf der Informationen zum Profiling erst nach der Einwilligungserteilung am Ende der Website erfolgten. Die generierten Daten wurden trotz unwirksamer Einwilligung weiterverarbeitet, was einen Datenschutzverstoß konstituiert.

Die Entscheidung verdeutlicht, dass die datenschutzrechtlichen Anforderungen an das Profiling bedingungslos einzuhalten sind. Die aktuelle Entscheidungspraxis der DSB zeigt, dass sich nicht nur die Datenschutzstrafen mehren, sondern auch die Strafhöhen ansteigen. Es ist davon auszugehen, dass die DSB auch in Zukunft die Datenverarbeitungsgrundlage zum Profiling genauer überprüfen wird. Angesichts dieser Entscheidung ist eine genaue Konformitätsbewertung datenschutzrechtlicher Umsetzungsmaßnahmen im Unternehmen und gegebenenfalls die Beiziehung einer rechtlichen Beratung zu empfehlen.

*Mag. Andreas Schütz ist Anwalt bei Taylor-Wessing.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*