Wegen mehrfacher Verletzung von Betroffenenrechten verhängte die französische Datenschutz-Aufsichtsbehörde CNIL ein Bußgeld von einer Mio. Euro gegen das französische Energieunternehmen Totalenergies Électricité et Gaz France. Die CNIL war mehreren Beschwerden von Betroffenen nachgegangen und konnte bei der Kontrolle fünf DSGVO-Verstöße feststellen und diese ahnden.
Hintergrund des DSGVO-Bußgeldes
Totalenergies Électricité et Gaz France ist ein Anbieter von Strom und Gas und gilt als führender Energieversorger in Frankreich. Die französische Aufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) hatte mehrere Beschwerden Betroffener erhalten, die beklagten, dass das Energieunternehmen die Inanspruchnahme von Betroffenenrechten erschwerte. Zudem konnten die Betroffenen beim Beantragen der Energieverträge dem Erhalt kommerzieller Angebote nicht widersprechen, sondern bestätigten mit dem Antrag diese Verarbeitung.
Dieses Vorgehen entspricht nicht den Anforderungen der DSGVO, insb. Art. 21 DSGVO, und des französischen Post- und elektronischen Kommunikationsgesetzbuches. Art. 21 DSGVO verlangt, dass die betroffene Person jederzeit die Möglichkeit haben muss, Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke der Direktwerbung einzulegen.
In einer darauffolgenden Kontrolle der CNIL wurden noch folgende weitere Verstöße festgestellt:
- Verstoß gegen die Informationspflichten (Art 14 DSGVO): Die per Telefon kontaktierten Betroffenen konnten keine Informationen über die Verarbeitung ihrer Daten erlangen und es wurde auch keine Möglichkeit eröffnet, auf diese Informationen zuzugreifen.
- Verstoß gegen das Auskunftsrecht (Art. 15 DSGVO) und das Widerspruchsrecht (Art. 21 DSGVO): Das Energieunternehmen teilte den Betroffenen nicht mit, welche Daten verarbeitet werden, und berücksichtigte den Widerspruch der Betroffenen in den Erhalt von kommerziellen Werbeanrufen nicht.
- Verstoß bezüglich der Ausübung der Betroffenenrechte (Art. 12 DSGVO): Die Betroffenen erhielten keine Rückmeldung auf ihre Anträge innerhalb der vorgeschriebenen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).
Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!
Datenschutzrechtliche Einschätzung des Bußgeldes
Das französische Wettbewerbsrecht sieht, anders als das deutsche, bei der Direktwerbung per Telefon die Opt-out-Möglichkeit vor. D.h. es ist keine vorherige Zustimmung des Adressaten erforderlich. Bei Verbrauchern muss jedoch zum Zeitpunkt der Erhebung der Telefonnummer über die Verwendung der Daten informiert werden und der Verbraucher muss in der Lage sein, der Nutzung seiner Daten zu Werbezwecken einfach und kostenfrei widersprechen zu können. Dies war bei dem Antragsformular nicht möglich.
Die Informationen nach Art. 13 DSGVO sind den Betroffenen zwingend bereitzustellen. Erfolgt die Erhebung der personenbezogenen Daten direkt bei der betroffenen Person, sind die Informationen gem. Art. 13 DSGVO zum Zeitpunkt der Erhebung durch den Verantwortlichen mitzuteilen. Ein solches Informationsschreiben für Kunden könnte mittels unserem kostenlosen Generator erstellt werden.
Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sind die Informationen innerhalb einer angemessenen Frist, längstens jedoch innerhalb eines Monats nach Erlangen der Daten zu erteilen. Werden die Daten zur Kommunikation mit der betroffenen Person verwendet, hat die Information spätestens zum Zeitpunkt der ersten Kontaktaufnahme zu erfolgen.
Die CNIL gibt diesbezüglich auch gleich eine Empfehlung mit. So könnten die Informationspflichten über das Telefon durch Drücken einer Taste auf der Telefontastatur bereitgestellt werden.
Fazit
Die Rechte der Betroffenen sollten Unternehmen nicht auf die leichte Schulter nehmen. Wie die französische Entscheidung zeigt, können bei Missachtung hohe Bußgelder drohen. Zudem können Beschwerden von Betroffenen bei der Aufsichtsbehörde zu weiteren Kontrollen im Unternehmen führen.
Als Verantwortlicher sollten Sie sicherstellen, dass konkrete interne Prozesse zur Wahrung der Betroffenenrechte vorhanden sind, die geeignet sind, die Anforderungen des Datenschutzrechts korrekt und rechtzeitig umzusetzen.
Hierzu ist eine zentrale Stelle zu empfehlen, welche die Betroffenenanfragen entgegennimmt, die interne Weiterleitung vornimmt bzw. die Umsetzung koordiniert und eine Rückmeldung innerhalb der gesetzlichen Frist an den Betroffenen gibt.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!