Über viele Monate hinweg haben zahlreiche Schreiben von Bürger*innen die Datenschutzaufsicht erreicht, die sich darüber beschwert haben, dass sie wiederholt Werbung per E-Mail von einem Unternehmen erhielten, ohne hierfür eine entsprechende Werbeeinwilligung oder sonstige Zustimmung gegeben zu haben. Vielen der Betroffenen war der Anbieter der E-Mail-Werbung auch nicht bekannt. Auf Auskunftsersuchen seitens der betroffenen Personen wurde oftmals gar nicht oder erst mit großer Verzögerung reagiert. Ebenso verhielt es sich, wenn die Betroffenen mit Aufforderungen zur Sperrung oder Löschung der eigenen Daten an den Anbieter herangetreten sind. Die Aufsichtsbehörde hat den Sachverhalt eingehend untersucht und den Anbieter um Stellungnahme gebeten.
Auf das Anschreiben hin teilte der Anbieter mit, dass er die E-Mail-Adressen der betroffenen Personen häufig durch deren Teilnahme an Gewinnspielen oder mittels Adressmiete erlangt habe. Nach seinen Angaben geschah dies entweder dadurch, dass er als Co-Sponsor der Gewinnspiele den Teilnahmebedingungen entsprechend auch Zugriff auf die Namen und E-Mail-Adressen der Teilnehmer*innen erhielt oder dies durch die Anmietung großer Datenmengen über sog. Listeneigner*innen erfolgte, insbesondere aus Großbritannien.
Oftmals lagen keine wirksamen Einwilligungen seitens der Betroffenen zum Erhalt werblicher Kommunikation vor. Auffällig war überdies, dass der Anbieter die Erlangung der Daten häufig erst auf beharrlichen Druck durch die Berliner Beauftragte für Datenschutz und Informationsfreiheit hinreichend offenlegte und viele der Gewinnspiele bereits vor mehreren Jahren beendet worden waren, die verantwortliche Stelle die Kund*innen jedoch erst in den letzten zwölf Monaten zu Werbezwecken angeschrieben hatte.
Eine Einwilligung unterliegt zwar grundsätzlich keinem Verfallsdatum. Vor dem Hintergrund des Grundsatzes der transparenten Datenverarbeitung gemäß Art. 5 Abs. 1 lit. a DSGVO empfiehlt der Europäische Datenschutzausschuss (EDSA) jedoch, die Einwilligung in angemessenen Zeitabständen erneuern zu lassen. Wenn alle mit der Datenverarbeitung verbundenen Hinweise dann erneut erteilt werden, hilft das sicherzustellen, dass die betroffene Person darüber informiert bleibt, wie ihre Daten verwendet werden und wie sie ihre Rechte ausüben kann. Wenn, wie hier, über einen längeren Zeitraum keine Kontaktaufnahme mehr erfolgt ist, kann von einem Weiterbestehen der Einwilligung nicht mehr ohne Weiteres ausgegangen werden. Ein Zeitraum von zehn Jahren oder mehr ohne Kontaktaufnahme kann insoweit nicht mehr als angemessen betrachtet werden.
Hinzu kam im vorliegenden Fall, dass die verantwortliche Stelle oftmals erst nach mehreren Monaten auf Anfragen reagierte. Nach Art. 12 Abs. 3 Satz 1 DSGVO haben Verantwortliche der betroffenen Person beantragte Informationen unverzüglich zur Verfügung zu stellen, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags. Innerhalb dieser Frist muss die Auskunft erteilt oder es muss zumindest mitgeteilt werden, warum dies innerhalb der Frist nicht möglich ist.
Der Anbieter wurde darauf hingewiesen, dass sein Verhalten datenschutzrechtlich fragwürdig ist und das Verfahren zu ändern sei. Zu beachten sei dabei insbesondere auch, dass die Rechte der Betroffenen auf Auskunft, Löschung und Sperrung ihrer Daten stets zu wahren und zügig zu realisieren sind. Auch hinsichtlich der Transparenz des Umgangs mit den Daten der Kund*innen wurden deutliche Verbesserungen angemahnt.
Wenngleich die Prüfung noch nicht abgeschlossen ist, wurde der Anbieter bereits deutlich darauf hingewiesen, dass ein derartiges Fehlverhalten nicht geduldet wird und dies unverzüglich abzustellen ist. Der Verantwortliche hat zugesagt, die Hinweisen der Aufsichtsbehörde zu beachten und umzusetzen. Die Datenschutzaufsicht wird den Anbieter auch in Zukunft weiterhin aufmerksam beobachten. Unbeschadet der bisher bereits erfolgten Maßnahmen behält sie sich auch die Verhängung entsprechender Bußgelder gegen die verantwortliche Stelle vor.
Quelle: BInBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks