DSGVO und E-Mail-Marketing – aktuelle Bussgeld-Entscheidungen

Gewinnspiele und E-Mail-Marketing der AOK

Zwischen 2015 und 2019 veranstaltete die AOK diverse Gewinnspiele. Von den Teilnehmern wurden verschiedene personenbezogene Daten erhoben, unter anderem die Krankenkassenzugehörigkeit sowie die Kontaktangaben. Die Teilnehmer konnten bei der Anmeldung ihre Einwilligung dazu erteilen, dass ihre Daten zukünftig auch zu Werbezwecken genutzt werden dürfen. Die AOK beabsichtigte, über technische und organisatorische Massnahmen, wie Datenschutzschulungen und interne Datenschutzrichtlinien, sicherzustellen, dass ausschliesslich die Daten derjenigen Teilnehmer, welche rechtsgültig eingewilligt hatten, für Werbezwecke genutzt werden. Es zeigte sich jedoch, dass die Massnahmen nicht die gewünschte Wirkung erzielten. Im Rahmen einer E-Mailmarketing-Kampagne wurden auch Personendaten von über 500 Teilnehmern verwendet, welche der Nutzung zu Werbezwecken nicht zugestimmt hatten. Diesen Teilnehmern wurden dieselben Marketingmailings zugesandt, wie denjenigen, welche eingewilligt hatten.

Gemäss der Pressemitteilung vom 30.Juni 2020 sah die Datenschutzaufsichtsbehörde Baden-Württemberg (LfDI) darin eine Verletzung der «Sicherheit der Verarbeitung» (Art. 32 DSGVO). Die DGSVO-Bestimmung zur Datensicherheit schreibt vor, dass unter Berücksichtigung des Stands der Technik, der Art und der Zwecke der Datenverarbeitung sowie unter Berücksichtigung des Risikos für die Rechte natürlicher Personen, geeignete technische und organisatorische Massnahmen getroffen werden müssen, um für ein angemessenes Schutzniveau der verarbeiteten personenbezogenen Daten zu sorgen. Die getroffenen Massnahmen müssen zudem regelmässig überprüft und deren Wirksamkeit evaluiert werden. Gegebenenfalls müssen die getroffenen Massnahmen nach der Überprüfung dem aktuellen Stand der Technik angeglichen werden. Aus der Sicht der LfDI waren die Massnahmen der AOK im vorliegenden Fall ungenügend, um das von der DSGVO verlangte «angemessene Schutzniveau» sicherzustellen. Erhielten doch nicht nur diejenigen Personen E-Mail-Werbung, welche dafür rechtsgültig eingewilligt hatten.

Schadensbegrenzung der AOK und Bussgeldbemessung

Die Datensicherheitsverletzung hatte für die AOK im vorliegenden Fall eine Busse in der Höhe von EUR 1.24 Mio. zur Folge. Die DSGVO würde für Verletzungen der Datensicherheit – abweichend vom «ordentlichen» Bussenrahmen – Bussen von bis zu 10 Mio. Euro oder bis zu 2% des weltweiten Jahresumsatzes vorsehen, je nachdem welcher Betrag höher ist (Art. 83 Abs. 4 DSGVO). Innerhalb dieses Bussgeldrahmens sind aber verschiedene Faktoren bei der Berechnung zu berücksichtigen, wobei das Bussgeld in jedem Fall wirksam, verhältnismässig und abschreckend zu sein hat. Die AOK konnte vorliegend eine höhere Busse für ihr E-Mail-Marketing verhindern, indem sie sofort nach Bekanntwerden alle vertrieblichen Aktivitäten einstellte, um die internen Abläufe zu überprüfen. Zudem setzte die AOK eine Datenschutz-Task Force ein und passte die Einwilligungserklärungen, internen Prozesse und Kontrollstrukturen an. Auch die konstruktive Kooperation mit der Aufsichtsbehörde wurde positiv gewertet.

Gemäss Aufsichtsbehörde konnte so eine rasche Steigerung des Schutzniveaus für die personenbezogenen Daten erreicht werden. Ohne diese Sofortmassnahmen – so lässt sich schliessen – hätte das Bussgeld um einiges höher ausfallen können. Die Aufsichtsbehörde berücksichtigte bei der Bussenbemessung nebst Grösse und Bedeutung der AOK zudem den Umstand, dass die AOK eine gesetzliche Krankenversicherung und daher wichtiger Bestandteil des Gesundheitssystems sei. Die Erfüllung dieser gesetzlichen Aufgabe sollte gemäss Medienmitteilung durch die Busse nicht gefährdet werden, insbesondere da Krankenversicherer aufgrund der gegenwärtigen Pandemie bereits einer grossen Herausforderung gegenüberstehen würden.

E-Mail-Marketing eines gemeinnützigen belgischen Vereins

Auch die belgische Datenschutzbehörde hat kürzlich für den Versand von Marketing-E-Mails eine Geldbusse nach der DSGVO ausgesprochen (vgl. Pressemitteilung des EDSA vom 26. Juni 2020). Ein Verein versandte an verschiedene ehemalige Spender E-Mails mit Spendenaufrufen. Der Verein sah sein überwiegendes berechtigtes Interesse an der Datenverarbeitung als rechtliche Grundlage für den E-Mail-Versand (Art. 6 Abs. 1 lit. f DSGVO) und berief sich somit nicht auf die Einwilligung der Empfänger. Ein ehemaliger Spender, der vom Verein mehrfach erfolglos die Löschung seiner Daten verlangt hatte, wandte sich in der Folge mit Beschwerde an die belgische Datenschutzbehörde.

Verletzung des Rechts auf Datenlöschung und des Widerspruchsrechts

Die DSGVO sieht vor, dass betroffene Personen jederzeit der Datenverarbeitung zur Direktwerbung widersprechen und die Löschung der über sie erhobenen Daten verlangen können. In ihrer Entscheidung (DOS-2019-04191) stellt die belgische Datenschutzbehörde einleitend fest, dass es sich bei den vorliegenden Spendenaufrufen per E-Mail um Direktwerbung im Sinne der DSGVO handle. Für die Direktwerbung sieht die DSGVO ein einschränkungsloses Widerspruchsrecht vor. Erhebt die betroffene Person Widerspruch, muss somit ohne jedwelche weitere Prüfung die Datenverarbeitung zu Direktmarketing-Zwecken eingestellt werden. Daran anknüpfend wird für diesen Fall des Widerspruchs auch eine Pflicht zur unverzüglichen Löschung der betreffenden personenbezogenen Daten vorgesehen.

Im vorliegenden Fall kam der Verein den Löschungs- und Widerspruchsbegehren mehrfach nicht nach. Vielmehr wurden dem Beschwerdeführer weiterhin Werbe-Mails zugestellt, selbst nach Eröffnung des vorliegenden Verfahrens. Somit waren die Rechte der betroffenen Person zweifelsohne verletzt (Art. 17 Abs. 1 lit. c und d, sowie Art. 21 Abs. 3 und 4 DSGVO).

Kein überwiegendes berechtigtes Interesses für E-Mail-Marketing

Die belgische Datenschutbehörde gelangte weiter zum Schluss, dass der Verein durch den Versand der E-Mails auch gegen den Grundsatz der Rechtmässigkeit der Datenverarbeitung verstossen hat. Danach ist die Verarbeitung von personenbezogenen Daten nur zulässig, wenn dafür ein Erlaubnistatbestand vorliegt, wie z.B. die Einwilligung der betroffenen Person. Vorliegend berief sich der Verein den Erlaubnistatbestand des «überwiegenden berechtigten Interesses». Nach Ansicht der Behörde waren die erforderlichen Voraussetzungen dafür aber nicht erfüllt.

Gemäss der Rechtsprechung des Gerichtshofs der Europäischen Union (EUGH) (vgl. dazu z.B. MLL-News vom 10.2.2020) muss der für die Verarbeitung Verantwortliche zur Abstützung auf ein überwiegendes berechtigtes Interesse nachweisen, dass:

• die mit der Verarbeitung verfolgten Interessen «berechtigt» sind (sog. «Purpose Test»),
• die beabsichtigte Verarbeitung für die Zwecke erforderlich ist (sog. «Necessity Test») und
• die Abwägung dieser Interessen gegen die Grundrechte der betroffenen Personen zugunsten des Verantwortlichen ausfällt (sog. «Balancing Test»).

Die belgische Datenschutzbehörde gelangte zum Schluss, dass das letzte Kriterium, der Balancing Test, im vorliegenden Fall bezüglich des E-Mail-Marketings des Vereins nicht erfüllt war. Insbesondere bestünden Zweifel daran, ob die ehemaligen Spender vernünftigerweise zu erwarten hatten, dass ihre Daten auch noch etwas mehr als sieben Jahre nach der Erhebung für Direktmarketingzwecke verarbeitet werden würden. Noch stärker ins Gewicht fiel allerdings der Umstand, dass der Verein keine einfache und effiziente Möglichkeit zur Ausübung des Widerspruchsrechts bereitstellte und auch nicht transparent darauf hinwies. Denn neben den (strengen) Anforderungen aus den Sondervorschriften zum Schutz vor unerwünschter Werbung («Spam») verlangt auch die DSGVO von den Unternehmen, dass sie spätestens im Zeitpunkt der ersten Kommunikation auf das jederzeitige Widerspruchsrecht gegen Direktwerbung hinweisen. Dieser Hinweis muss sodann in einer von den übrigen Informationen getrennten Form erfolgen. Da die Werbe-Mails des Vereins keinen solchen Hinweis enthielten, war der blosse Hinweis in der Datenschutzerklärung des Vereins ungenügend. Aus diesem Grund konnte sich der Verein auch nicht auf ein überwiegendes berechtigtes Interesse für den Versand von Marketing-E-Mails berufen.

Für die verschiedenen Verstösse sprach die belgische Datenschutzbehörde eine Busse in der Höhe von EUR 1’000 aus. Diese Busse erscheint mit Blick auf die mehrfachen, fortgesetzten Verstösse vergleichsweise tief. Die Behörde berücksichtigte allerdings, dass der gebüsste Verein von Spenden lebt, somit einen vergleichsweise tiefen Umsatz hat und somit auch von der relativ tiefen Busse empfindlich getroffen werden kann.

Direktmarketing-Sanktionierung der italienischen Aufsichtsbehörde

Auch die italienische Datenschutzbehörde, der Garante, hat kürzlich (vgl. Pressemitteilung vom 13. Juli 2020) eine hohe Geldbusse für Datenschutzverletzungen im Zusammenhang mit Direktmarketingmassnahmen ausgesprochen. Betroffen war der Telekommunikationsanbieter Wind Tre SpA. Gegen Wind Tre waren vorgängig mehrere Beschwerden bei der Behörde eingegangen. So meldeten Kunden des Dienstes, ohne ihre Zustimmung Textnachrichten, E-Mails, Faxe und auch automatisierte Telefonanrufe erhalten zu haben. In mehreren Fällen erklärten die betroffenen Personen, dass es ihnen nicht möglich gewesen sei, von ihren Rechten als betroffene Person Gebrauch zu machen, die Einwilligung zu widerrufen oder der Verarbeitung ihrer Daten zu Marketingzwecken grundsätzlich zu widersprechen. Teilweise sei dies auf die ungenauen Kontaktangaben in den Mitteilungen zurückzuführen. Wind Tre wurde zudem vorgeworfen, Benutzer trotz Widerspruch in öffentliche Telefonlisten aufgenommen zu haben.

Nach ausführlichen Untersuchungen seitens des Garantes (vgl. Verfügung vom 9. Juli 2020 in Sachen Wind Tre) verhängte dieser schliesslich ein Bussgeld in der Höhe von rund 16.7 Mio. Euro.

Hintergrund der Sanktionierung von Wind Tre

Aus der Verfügung des Garante geht hervor, dass Wind Tre ihre Applikationen (insbesondere die MyWind-App und die My3-App) so konfiguriert hatte, dass Benutzer bei jedem Zugriff der Verarbeitung für verschiedene Zwecke zustimmen mussten. Davon erfasst waren unter anderem Datenverarbeitungen zum Zwecke des Marketings, Profilings, der Datenübermittlungen an Dritte, der Anreicherung der personenbezogenen Daten sowie der Geolokalisierung der Nutzer. Ein Widerruf dieser Einwilligung war jedoch nur während 24 Stunden möglich, obwohl die DSGVO explizit eine jederzeitige Widerrufbarkeit vorschreibt.. Bei der Untersuchung kamen zudem auch verschiedene Datenschutzverstösse von Geschäftspartnern von Wind Tre ans Licht.

Die von Wind Tre daraufhin ergriffenen Korrekturmassnahmen wurden von der italienischen Datenschutzaufsichtsbehörde aber weiterhin als unzureichend befunden. Insgesamt wurden somit Verstösse gegen eine mehrere DSGVO-Vorschriften festgestellt, darunter auch die Verletzung des zentralen Rechtmässigkeits-Grundsatzes. Wind Tre wurde deshalb für sein E-Mail-Marketing mit einer Busse in der Höhe von EUR 16.7 Mio. sanktioniert. Wind Tre muss darüber hinaus auch technische und organisatorische Massnahmen ergreifen, um eine wirksame Aufsicht über ihre Geschäftspartner zu gewährleisten, sowie Prozesse einführen, um die Rechte der Betroffenen jederzeit zu wahren.

Entscheidungen sind auch für Schweizer Unternehmen wichtig

Da der Anwendungsbereich der (DSGVO) bekanntlich über die Grenzen der EU bzw. des EWR hinausreicht (vgl. MLL-News vom 19.12.2019), sind die erläuterten Bussgeldentscheidungen auch für das E-Mail-Marketing von Schweizer Unternehmen von grossem Interesse. Fällt ein Schweizer Unternehmens in den extraterritorialen Anwendungsbereich der DSGVO, so gelten die Anforderungen der DSGVO auch für das Schweizer Unternehmen. Folglich kann ein Schweizer Unternehmen, das grenzüberschreitendes E-Mail-Marketing betreibt, auch von den hohen Sanktionen der DSGVO erfasst werden.

Auch Schweizer Unternehmen sollten die Verfahren zum Anlass nehmen, um die Datenschutz-Compliance ihres E-Mail-Marketings zu überprüfen. Zentral ist dabei, ob tatsächlich ein Erlaubnistatbestand (z.B eine Einwilligung oder ein überwiegendes berechtigtes Interesse) vorliegt, die erforderlichen Hinweise zum Widerspruch oder zum Widerruf einer Einwilligung rechtzeitig vorgenommen und eventuelle Widersprüche oder Widerrufe effektiv und rasch umgesetzt werden können. Widersprechende Personen müssen umgehend aus den Verteilern entfernt werden. Dazu sind Prozesse zu implementieren, welche (technisch und organisatorisch) sicherstellen, dass die personenbezogenen Daten der betroffenen Personen, welche einer Verarbeitung widersprochen haben, effektiv nicht mehr für die jeweiligen Zwecke verarbeitet werden (z.B. keine Zusendung von Marketing-E-Mails). Der Entscheid des LFDI zeigt zudem, dass es sich bei der Implementierung solcher Massnahmen nicht um eine einmalige Aufgabe handelt, sondern regelmässig Überprüfungen und ggf. Anpassungen erforderlich sind.

Die Massnahmen zur Gewährleistung der Datensicherheit sind auch im geltenden Schweizer Datenschutzgesetz (DSG) eines der zentralen Themen. Bereits unter geltendem Schweizer Recht sind deshalb angemessene technische und organisatorische Massnahmen zu ergreifen und periodisch zu überprüfen (Art. 7 DSG). Darüber hinaus wird das DSG derzeit revidiert und soll an das EU-Datenschutzniveau angeglichen werden (vgl. MLL-News vom 4.8.2020, MLL-News vom 29.07.2020). Nach revidiertem DSG drohen bei mangelhafter Datensicherheit ebenfalls einschneidende Sanktionen (vgl. MLL-News vom 13.02.2020).

Weitere Informationen:

• EU-DSGVO
• Pressemitteilung des LfDI Baden-Württemberg vom 30. Juni 2020: «LfDI Baden-Württemberg verhängt Bußgeld gegen AOK Baden-Württemberg – Wirksamer Datenschutz erfordert regelmäßige Kontrolle und Anpassung»
• Pressemitteilung des EDSA vom 26. Juni 2020: «Belgian DPA imposed a fine of 1,000 EUR on an association that sent direct marketing messages to (former) donors for fundraising»
• Pressemitteilung des Garante vom 13. Juli 2020: «Telephone Operators: Italian SA Fines Wind EUR 17 Million and Iliad EUR 0.8 Million»
• Verfügung des Garante vom 9. Juli 2020 in Sachen Wind Tre (italienisch)
• MLL-News vom vom 19.12.2019: «EU-Datenschützer (EDSA) veröffentlichen definitive Leitlinien zum räumlichen Anwendungsbereich der DSGVO»
• MLL-News vom 29.07.2020:»Update zur DSG-Revision – letzte strittige Punkte»