Rekordstrafen im Datenschutzrecht: Die DSGVO betrifft mich nicht… oder doch?

Zwei aktuelle Entscheidungen europäischer Datenschutzbehörden sorgten vor kurzem in den Medien für Aufregung. Laut Medienberichten wurde in Luxemburg gegen Amazon eine Rekordstrafe von 746 Millionen Euro und in Österreich gegen den Jö-Bonusclub eine Strafe in Höhe von zwei Millionen Euro verhängt. Doch was bedeutet das für uns in Österreich?

Verarbeitung von Kundendaten

Der Onlinehändler Amazon gab in seinem Quartalsbericht die Entscheidung der Datenschutzbehörde Luxemburg bekannt. Da die Entscheidung noch nicht veröffentlicht wurde, sind noch nicht alle Details bekannt. Nach übereinstimmenden Medienberichten hat Amazon gegen die DSGVO verstoßen, da Nutzer des Online-Marktplatzes auf dessen Website nicht dem Einsatz von personalisierter Werbung widersprechen konnten.

Weiters wird in den Medien berichtet: In Österreich hat der Jö-Bonusclub im Zeitraum von Mai 2019 bis März 2020 sowohl auf der Website als auch bei Flyer des Bonusclubs bei der Einholung der Einwilligung zur Verarbeitung von Kundendaten die Einwilligungserklärung nicht richtig erteilt. Der Bonusclub führte mit den Kundendaten Profiling durch. Über diesen Umstand wurden die Kunden jedoch nicht ausreichend informiert, so der Vorwurf. Beispielsweise verlangt die DSGVO, dass der Betroffene über die Verarbeitung seiner personenbezogenen Daten zu informieren ist, bevor er seine Zustimmung dazu erteilt. Auf der Website ist der Betroffene jedoch erst informiert worden, nachdem dieser eine Checkbox mit „Ja“ bzw. „Nein“ versehen und nach unten gescrollt hat.

Beide Entscheidungen zeigen, dass der DSGVO, vor allem im Bereich der für die Unternehmen besonders interessanten personenbezogenen Datenauswertung, eine wesentliche praktische Relevanz zukommt.

Profiling mit Kundendaten

 Profiling im Sinne der DSGVO ist “jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten“ wie zB. die Arbeitsleistung. Dabei werden im Zuge des Profiling oftmals umfangreiche Profile der betroffenen Personen erstellt.

Gemäß Art 22 DSGVO darf das Ergebnis des Profiling, welches der betroffenen Person gegenüber „rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“ nur dann verwendet werden, wenn die betroffene Person der Verarbeitung ausdrücklich zugestimmt hat, aufgrund eines Gesetzes eines Mitgliedsstaates oder der Union explizit erlaubt ist, oder für die Erfüllung einer vertraglichen Pflicht zwingend erforderlich ist.

Wenn zuletzt teilweise noch vertreten wurde, dass personalisierte Werbung nicht unter eine „erhebliche Beeinträchtigung“ falle, zeigt die Entscheidung der Datenschutzbehörde auf, dass die Zustimmung des Betroffenen jedenfalls dann benötigt wird, wenn seine Daten verwendet werden, um automationsunterstützt das Einkaufsmuster der Person nachvollziehen zu können oder Kundenpräferenzen zu ermitteln, um gezielt Werbemaßnahmen setzen zu können.

Gerne beraten wir Sie bei Fragen zum Thema Datenschutz. Ihre Ansprechpartner finden Sie hier.

Disclaimer: Dieser Beitrag dient lediglich zur allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Für die Richtigkeit, Aktualität und Vollständigkeit wird von Waitz Haselbruner Rechtsanwälte GmbH keine Haftung übernommen.