Der Fall Realmaps zeigt in aller Deutlichkeit, wie Unternehmen grundlegende Anforderungen der DSGVO ignorieren – und welche Konsequenzen das hat. Die italienische Datenschutzaufsicht (Garante) hat eine Geldbuße in Höhe von 100.000 Euro verhängt. Grund: Massive Datenschutzverletzungen bei der Weitergabe personenbezogener Daten für Werbezwecke durch Realmaps und verschiedene Immobilienagenturen.
Was war passiert?
-
Zwischen Mai 2022 und April 2024 erhielten zahlreiche Betroffene unerwünschte Werbeanrufe von Immobilienagenturen.
-
Die Agenturen verwiesen auf Realmaps als Datenquelle.
-
Realmaps bezog Eigentümerdaten (einschließlich Telefonnummer, E-Mail, Sozialversicherungsnummer etc.) aus Katasterdatenbanken und kombinierte sie mit weiteren Informationen.
-
Die so angereicherten Datensätze wurden an Agenturen für Marketingzwecke weitergegeben.
Zentrale Datenschutzverstöße
Die Aufsichtsbehörde stellte systematische Verstöße gegen die DSGVO fest:
| Artikel | Verstoß |
|---|---|
| Art. 5(2), 6(1)(a), 7, 24, 13, 14 | Kein gültiger, informierter, spezifischer Consent für Datenweitergabe zu Werbezwecken |
| Art. 30 | Kein Verzeichnis von Verarbeitungstätigkeiten |
| Art. 35 | Keine Datenschutz-Folgenabschätzung (DSFA) |
| Art. 37 | Kein Datenschutzbeauftragter bestellt |
| Art. 12(2)(3), 21(2) | Kein Widerspruchskanal für Betroffene |
| Art. 5(1)(e) | Keine Speicherbegrenzung – Daten wurden unbegrenzt gespeichert |
| Art. 5(1)(a), 6(1)(a), 7, 12(1) | Keine transparente Information, keine nachvollziehbare Rechtsgrundlage |
Maßnahmen, die zwingend erforderlich gewesen wären
Unternehmen, die Daten erheben, weitergeben oder nutzen, müssen folgende Punkte sicherstellen – unabhängig davon, ob es sich um Direktmarketing oder andere Zwecke handelt:
-
Rechtsgrundlage prüfen:
-
Consent muss freiwillig, spezifisch, informiert und nachweisbar sein (Art. 6, Art. 7 DSGVO).
-
Eine allgemeine Zustimmung zur Nutzung durch Dritte reicht nicht.
-
Weitergabe zu Werbezwecken benötigt ein gesondertes Einverständnis.
-
-
Transparenzpflichten erfüllen:
-
Betroffene müssen klar erkennen, wer ihre Daten verarbeitet und wozu (Art. 13, 14 DSGVO).
-
Die Datenschutzinformation muss präzise, verständlich und zugänglich sein.
-
-
Datenschutz-Folgenabschätzung durchführen:
-
Bei systematischer Verarbeitung großer Datenmengen mit hohem Risiko für Rechte der Betroffenen (z. B. Profiling) ist eine DSFA zwingend (Art. 35 DSGVO).
-
-
Verzeichnis von Verarbeitungstätigkeiten führen:
-
Verpflichtend ab einer gewissen Unternehmensgröße oder wenn regelmäßig besondere Daten verarbeitet werden (Art. 30 DSGVO).
-
-
Datenschutzbeauftragten benennen:
-
Wenn Kerntätigkeiten eine umfangreiche Verarbeitung personenbezogener Daten erfordern (Art. 37 DSGVO).
-
-
Speicherbegrenzung durchsetzen:
-
Daten dürfen nicht unbegrenzt gespeichert werden. Es braucht klare Löschfristen (Art. 5(1)(e) DSGVO).
-
-
Widerspruchskanäle ermöglichen:
-
Einfache, erreichbare Kommunikationswege zur Ausübung von Betroffenenrechten (Art. 12(2), 21(2) DSGVO).
-
Praxis-Tipp: So setzen Sie die Lehren aus dem Fall Realmaps um
| Maßnahme | Umsetzung |
|---|---|
| DSGVO-konformes Consent-Management | Consent-Banner mit granularer Auswahl, dokumentierte Nachweispflicht |
| Datenschutzinformationen überarbeiten | Kurzfassung + Volltext, gut sichtbar auf allen Kontaktpunkten |
| Datenschutzaudit einführen | Prüfung externer Datenquellen und eigener Verarbeitungsvorgänge |
| Auftragsverarbeitung vs. Joint Controllership prüfen | Vertragliche Regelungen nach Art. 26 oder 28 DSGVO je nach Rolle |
| Datenschutzbeauftragten berufen | Intern oder extern – inklusive Meldepflicht an die Aufsicht |
| Rechtekanäle einrichten | z. B. datenschutz@domain.de + Online-Formulare für Anfragen |
Relevante Urteile und Beiträge
-
EuGH, Urteil vom 11.12.2019 – C-708/18: Einwilligung muss aktiv erfolgen und getrennt für jeden Zweck.
-
LG München I, Urteil vom 20.01.2022 – 3 O 17493/20: Datenweitergabe ohne spezifische Einwilligung ist unzulässig.
-
EDPB Guidelines 05/2020 zur Einwilligung nach Art. 6(1)(a) DSGVO: Klare Anforderungen an Gültigkeit der Zustimmung.
Fazit
Die Datenschutzverletzung durch Realmaps ist kein Einzelfall. Sie ist symptomatisch für eine Praxis, bei der Daten kommerzialisiert werden, ohne die Rechte der Betroffenen zu achten. Die DSGVO bietet klare Regeln. Wer sie ignoriert, riskiert nicht nur Bußgelder, sondern auch massiven Reputationsschaden.
Haben Sie schon geprüft, ob Ihre Datenquellen und Dienstleister rechtssicher arbeiten? Wenn nicht, ist jetzt der richtige Zeitpunkt.
Fragen Sie sich, ob Sie als Unternehmen oder Behörde bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliate-Links/Werbelinks