Die französische Datenschutzbehörde CNIL verhängte gegen den Hotelkonzern Accor ein Bußgeld in Höhe von 600.000 Euro. Grund für das Bußgeld ist insbesondere die Nichteinhaltung von Informationspflichten und die Vernachlässigung von Betroffenenrechten. Fehler, die die Hotelkette leicht hätte vermeiden können.
Hintergrund des Bußgeldes
Insgesamt stellte CNIL drei Verstöße des Hotelkonzerns gegen die Datenschutz-Grundverordnung (DSGVO) fest. Einer der Datenschutzverstöße bestand darin, dass Accor seine Kunden automatisch zu einem Newsletter anmeldete, ohne dass die Betroffenen ihre Einwilligung aktiv hierzu gaben. Dies geschah, da die Newsletter-Maske bereits ein vorausgefülltes Ankreuzkästchen enthielt und die Kunden somit automatisch einwilligten, sobald sie eine Reservierung auf der Accor-Website tätigten.
Doch es blieb nicht nur bei diesem einen Verstoß. Der Konzern verstieß unter anderem auch gegen das Widerspruchsrecht aus Art. 21 DSGVO in Verbindung mit Art. 12 DSGVO, indem Accor nicht auf die Forderung der Betroffenen einging, das Versenden kommerzieller Werbung einzustellen. Zudem verletzte der Hotelkonzern das Auskunftsrecht gemäß Art. 15 DSGVO, da die entstandenen Datenschutzersuchen der Betroffenen nicht fristgerecht bearbeitet wurden.
Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!
Datenschutzrechtliche Einschätzung des Bußgeldes
Verstoß gegen die Informationspflichten
Nach Art. 13 DSGVO sind betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten zum Zeitpunkt der Erhebung zu informieren. Dies beinhaltet unter anderem die Zwecke, die zustehenden Betroffenenrechte wie auch die zugrundeliegende Rechtsgrundlage für die Datenverarbeitung. Die Bedingungen, wie der Betroffene zu informieren ist, ergeben sich aus Art. 12 Abs. 1 DSGVO.
Der Konzern informierte die Kunden nicht ausreichend und nicht in leicht zugänglicher Form über die Einwilligung als Rechtsgrundlage für die Verarbeitung bezüglich des Newsletters. Accor holte zwar für seinen Newsletter Einwilligung seiner Kunden ein, allerdings über ein sogenanntes Opt-out-Verfahren. Das bedeutet, dass das Ankreuzkästchen bereits vorausgefüllt war und die Kunden, wenn sie nicht zum Newsletter angemeldet werden wollten, dieses hätten abwählen müssen. Beim Opt-out handelt es sich um eine nach der DSGVO rechtswidrige Einholung von Einwilligungen, die bereits in Bezug auf Cookies vom EuGH für unzulässig erklärt wurde. Um datenschutzkonform zu sein, muss die Einholung der Einwilligung für den Newsletter über ein sogenanntes Opt-in-Verfahren, also durch das aktive Ankreuzen des Kästchens durch Kunden erfolgen.
Verstoß gegen das Widerspruchsrecht
Aus Art. 21 Abs. 2 der DSGVO in Verbindung mit Art. 12 Abs. 2 DSGVO ergibt sich für den Betroffenen bei Direktwerbung ein Widerspruchsrecht. Dem Betroffenen muss somit das Recht eingeräumt werden, der Verwendung seiner Daten zum Zwecke der Direktwerbung jederzeit zu widersprechen. Im Fall Accor war die Ausübung dieses Rechts für die Betroffenen nicht möglich. Aufgrund technischer Probleme konnten diese der Verarbeitung ihrer Daten nicht widersprechen, in Form ihrer Newsletter Abmeldung.
Dieses Betroffenenrecht sollte jedoch sehr ernst genommen werden, da eine Verletzung des Widerspruchsrechts gemäß Art. 83 DSGVO enorme Bußgelder nach sich ziehen kann.
Verstoß gegen das Recht auf Auskunft
Ein weiteres bedeutendes Recht für betroffene Personen ergibt sich aus Art. 15 DSGVO. Hiernach steht der betroffenen Person ein sogenanntes Auskunftsrecht zu. Demnach hat die betroffene Person das Recht, Auskunft darüber zu verlangen, welche personenbezogenen Daten über sie verarbeitet bzw. gespeichert werden. Welche Informationen das im Näheren sind, ist in Art. 15 DSGVO aufgelistet.
Da der Hotelkonzern die Anfragen der Beschwerdeführer, die durch das Versenden der Newsletter entstanden sind, nicht fristgerecht bearbeitete, wurde gegen das Auskunftsrecht verstoßen. Auch dieses Recht unterliegt bei Missachtung einem Bußgeld gemäß Art. 83 DSGVO von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes.
Tipp: Nutzen Sie unsere kostenlose Vorlage für eine Richtlinie zum Umgang mit Betroffenenanfragen, um solche Prozesse besser zu regeln. In unserer Anleitung zum gleichen Thema finden Sie weitere Hinweise für die praktische Umsetzung.
Fazit: Leicht vermeidbare Fehler
Die Entscheidung der französischen Aufsichtsbehörde zeigt wieder einmal, wie wichtig es ist, die Grundprinzipien des Datenschutzrechts einzuhalten und die Rechte der Betroffenen zu achten. Dass ein großer Konzern wie Accor hier bei eigentlich einfach umzusetzenden Gesetzesvorgaben versagte, überrascht.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!