Unklare Einwilligungserklärungen zum Profiling werden Unternehmen weiterhin zum Verhängnis. [...]
Erst kürzlich stellte dies die österreichische Datenschutzbehörde (DSB) im Zusammenhang mit den Praktiken eines Kundenclubs fest und qualifizierte diese als unzulässig. Es droht eine Geldbuße in Höhe von 2 Mio. Euro. Die Datenschutzbehörde stellte bei einem Kundenclub einen Verstoß gegen die DSGVO aufgrund unzulässiger Einwilligungserklärungen fest, von dem die personenbezogenen Daten von etwa 2,3 Mio. Betroffenen beeinträchtigt sein sollen. Die DSB wirft dem Kundenvorteilsprogramm vor, eine irreführende Einwilligungserklärung zum Profiling zu verwenden. Die Entscheidung der DSB ist noch nicht rechtskräftig. Infolgedessen sollten sich auch andere Werbetreibende mit der Frage befassen, welche Auswirkungen diese Entscheidung für ihre Werbeschaltung haben könnten.
Intransparente Einwilligungserklärung?
Nach Ansicht der DSB sollen über ein Jahr lang durch die Verwendung intransparenter Einwilligungserklärungen Kundendaten gesammelt worden sein, die für Profiling-Zwecke verwendet wurden. Profiling ist die automatische Verwertung personenbezogener Daten zur Bewertung und Analyse von Personen. In weiterer Folge sollen individuelle Kundenprofile erstellt werden, um zielgenaues Marketing sowie die Beeinflussung von Kaufentscheidungen zu ermöglichen. Nach Ansicht der DSB birgt das Profiling besondere datenschutzrechtliche Risiken aufgrund der Berechnung menschlichen Verhaltens und der Weitergabe dieser Informationen an Dritte. Profiling ist gesetzlich zulässig, allerdings muss der Kunde seine ausdrückliche Einwilligung in transparenter und klar ersichtlicher Form erteilen. Im Rahmen des gegenständlichen Sachverhaltes hat die DSB die Formatierung der Website, sowie der Anmeldeformulare beanstandet. Die Anmelde-Flyer, auf deren Ende eine Unterschrift zu setzen ist, sollen gegen die Anforderung an die informierte, klare und ausdrückliche Einwilligung zum Profiling verstoßen. Dasselbe Problem stellte sich auch auf dem Anmeldeformular der Website, auf der Informationen zum Profiling erst nach der Einwilligungserteilung am Ende der Website erfolgten. Die generierten Daten wurden trotz unwirksamer Einwilligung weiterverarbeitet, was einen Datenschutzverstoß konstituiert.
Die Entscheidung verdeutlicht, dass die datenschutzrechtlichen Anforderungen an das Profiling bedingungslos einzuhalten sind. Die aktuelle Entscheidungspraxis der DSB zeigt, dass sich nicht nur die Datenschutzstrafen mehren, sondern auch die Strafhöhen ansteigen. Es ist davon auszugehen, dass die DSB auch in Zukunft die Datenverarbeitungsgrundlage zum Profiling genauer überprüfen wird. Angesichts dieser Entscheidung ist eine genaue Konformitätsbewertung datenschutzrechtlicher Umsetzungsmaßnahmen im Unternehmen und gegebenenfalls die Beiziehung einer rechtlichen Beratung zu empfehlen.
*Mag. Andreas Schütz ist Anwalt bei Taylor-Wessing.
Be the first to comment