Schweizer Hotelbuchungsplattform verletzt die DSGVO-Informationspflicht in Österreich

  
Die österreichische Datenschutzbehörde verpflichtet in ihrem Entscheid eine Online-Hotelbuchungsplattform mit Sitz in der Schweiz zur Einhaltung der DSGVO-Informationspflicht. Das Schweizer Unternehmen war den Informationspflichten nur unvollständig nachgekommen und hatte es zudem unterlassen, einen Unionsvertreter zu benennen. Die Anwendbarkeit der DSGVO erachtete die Datenschutzbehörde in diesem Fall aufgrund einer sogenannten Angebotsausrichtung als gegeben. Vorgebracht wurde die Beschwerde der Datenschutzbehörde von einem österreichischen Rechtsanwalt. Dieser hatte auf der Buchungsplattform zunächst mittels Kontaktformular ein Angebot für eine Ferienreise angefragt. Das erhaltene Angebot lehnte er ab, in der Folge sandte ihm die Plattform per E-Mail aber ungefragt eine Einladung zur Teilnahme am Newsletter zu, worauf der Rechtsanwalt auf die mangelnde Einhaltung der Informationspflichten aufmerksam wurde und Beschwerde einreichte. Aufgrund der Beschwerde verpflichtete die österreichische Datenschutzbehörde das Schweizer Unternehmen zur nachträglichen Information des Beschwerdeführers und zur Vervollständigung der Information in Ihrer Datenschutzerklärung innert vier Wochen.
  

Österreichischer Rechtsanwalt reicht Beschwerde gegen Schweizer Hotelbuchungsplattform bei der österreichischen Datenschutzbehörde ein

Die N Group AG (Beschwerdegegnerin) ist eine Online-Hotelbuchungsplattform mit Sitz in der Schweiz. Sie sandte im Januar 2019 einem österreichischen Rechtsanwalt (Beschwerdeführer), auf dessen Anfrage hin per E-Mail ein Angebot für eine Urlaubsreise zu. Dieser lehnte das Angebot gleichentags per E-Mail ab. Einen Tag später erhielt der Beschwerdeführer von der Buchungsplattform ungefragt Werbung auf die gleiche E-Mail-Adresse. Das E-Mail enthielt einen Anmeldelink für den unternehmenseigenen Newsletter der Hotelbuchungsplattform.

Kurz darauf rügte der Beschwerdeführer bei der österreichischen Datenschutzbehörde eine Verletzung des Informationsrechts nach Art. 13 DSGVO durch die Beschwerdegegnerin mit einer ausführlichen Liste der fehlenden Informationen. Im Februar 2019 forderte die Datenschutzbehörde die Beschwerdegegnerin auf, ihr einen Unionsvertreter im Sinne von Art. 27 DSGVO mitzuteilen (MLL-News vom 15.5.2018). Dem kam die Beschwerdegegnerin aber erst im Mai 2019 nach. Im April 2019 behauptete die Beschwerdegegnerin, dem Beschwerdeführer die streitigen Informationen in der Zwischenzeit nachträglich mitgeteilt zu haben. Der Beschwerdeführer rügte daraufhin aber insbesondere die Unvollständigkeit und Mangelhaftigkeit der gelieferten Information sowie deren zu spät erfolgte Mitteilung.
  

Anwendbarkeit der DSGVO und Benennung eines EU-Vertreters

Die österreichische Datenschutzbehörde äusserte sich in ihrem Entscheid vom 22. August 2019 (DSB-D130.206/0006-DSB/2019) zunächst zum räumlichen Anwendungsbereich der DSGVO sowie zur Pflicht zur Benennung eines Unionsvertreters.

Der räumliche Anwendungsbereich der DSGVO ist insbesondere dann eröffnet, wenn eine sogenannte Angebotsausrichtung auf die EU vorliegt (MLL-News vom 10.12.2018). Demnach ist die Anwendbarkeit der DSGVO dann gegeben, wenn ein nicht in der EU niedergelassener Verantwortlicher oder Auftragsverarbeiter sein Waren- oder Dienstleistungsangebot auf Personen in der EU ausrichtet und dabei deren personenbezogene Daten verarbeitet (Art. 3 Abs. 2 DSGVO). Vorliegend bejahte die Datenschutzbehörde die räumliche Anwendbarkeit der DSGVO, weil sie eine Angebotsausrichtung der Schweizer Hotelbuchungsplattform aufgrund verschiedener Indizien feststellte. Entscheidende Indizien für diese Einschätzung waren die Verwendung einer österreichischen Top-Level-Domain (.at) und die Sprache der Website (Deutsch), sowie die Möglichkeit von in der EU wohnhaften Personen Angebote in einem Newsletter zu erhalten.

Bei einer räumlichen Anwendung der DSGVO aufgrund einer Angebotsausrichtung ist der betreffende Anbieter dazu verpflichtet, einen Vertreter in der EU zu benennen (Art. 27 Abs. 1 und Abs. 3 DSGVO). Dieser dient den Aufsichtsbehörden und betroffenen Personen bei Fragen im Zusammenhang mit der Einhaltung der DSGVO bzw. bei der Ausübung der Betroffenenrechte als Kontaktstelle in der EU (MLL-News vom 15.5.2018). Eine Überwälzung der datenschutzrechtlichen Verantwortlichkeit ist damit jedoch nicht verbunden, was auch die Datenschutzbehörde vorliegend nochmals betonte. Die Beschwerdegegnerin hatte es jedoch unterlassen, einen Vertreter in der EU zu bestellen, worauf die Datenschutzbehörde diese zur Benennung eines solchen aufforderte. Dieser Aufforderung kam die Beschwerdegegnerin, wenn auch verspätet, nach.
  

Zugänglichkeit der Informationen

Eine Informationspflicht seitens des Verantwortlichen wird dann ausgelöst, wenn dieser personenbezogene Daten verarbeitet (Art. 13 und 14 DSGVO) und zwar bevor die Verarbeitungstätigkeit aufgenommen wird. Der Verantwortliche ist dazu verpflichtet, umfassende durch die DSGVO vorgeschriebene Informationen, wie beispielsweise die Kontaktdaten des Verantwortlichen, die Bearbeitungszwecke oder die Empfänger der Daten, zur Verfügung zu stellen.

Vorliegend wurden mittels Kontaktformular auf der Website personenbezogene Daten des Beschwerdeführers erhoben und verarbeitet. Zwecks Angebotsübermittlung hatte er seinen Namen, Vornamen und E-Mail-Adresse im Kontaktformular der Webseite eingegeben. Die Beschwerdegegnerin wäre deshalb dazu verpflichtet gewesen, die gemäss DSGVO vorgeschriebenen Informationen zugänglich zu machen. Die Datenschutzbehörde hielt hierzu fest, dass eine „leichte Zugänglichkeit“ der Informationen gefordert sei. Bei einer für die Öffentlichkeit bestimmten Website sei dies z.B. dann erfüllt, wenn die Informationen in elektronischer Form zur Verfügung gestellt werden, was allerdings kein proaktives Handeln des Informationspflichtigen durch einen E-Mail-Versand der Informationen an die betroffene Person voraussetze. Die Beschwerdegegnerin legte allerdings nicht dar, inwiefern sie die Informationen zum Zeitpunkt der Datenerhebung dem Beschwerdeführer leicht zugänglich gemacht habe.
  

Konkrete Beanstandungen der österreichischen Datenschutzbehörde

Die Datenschutzbehörde prüfte in der Folge, ob die Beschwerdegegnerin alle gemäss der DSGVO erforderlichen Informationen zumindest im Verlaufe des Verfahrens vollständig und leicht zugänglich machte. Dabei stiess sie auf verschiedene Mängel bei der Einhaltung der DSGVO-Informationspflicht seitens der Beschwerdegegnerin.

  • Verantwortlicher: Gefordert ist die Bekanntgabe des für die Datenbearbeitung Verantwortlichen sowie gegebenenfalls seines Vertreters. Die Beschwerdegegnerin gab aber nur die Kontaktdaten eines „Datenschutzverantwortlichen“ bekannt. Da der Begriff „Datenschutzverantwortlicher“ der DSGVO fremd sei und auch der in der DSGVO ebenfalls vorkommende „Datenschutzbeauftragte“ damit hätte gemeint sein können, ordnete die Datenschutzbehörde die Präzisierung und korrekte Angabe eines Verantwortlichen bzw. seines Vertreters an.
      
  • Empfänger der personenbezogenen Daten: Anzugeben sind sodann die „Empfänger oder Kategorien von Empfängern“ der erhobenen Personendaten. Nach der Auffassung der Behörde kann dabei die blosse Angabe der Kategorien dann genügen, wenn die namentliche Nennung der konkreten Empfänger mit unverhältnismässig hohem Aufwand verbunden wäre oder die konkreten Empfänger noch nicht bekannt sind. Die Beschwerdegegnerin gab Empfängerkategorien an, die in sehr allgemeiner Weise als „Geschäftspartner“ und „Kreditauskunfteien“ benannt wurden. Sie konnte zudem nicht darlegen, weshalb in ihrem Fall die explizite Benennung konkreter Empfänger mit unverhältnismässig hohem Aufwand verbunden gewesen wäre. Ausserdem sei die blosse Angabe der Empfängerkategorie „Geschäftspartner“ ohnehin zu allgemein gehalten, weshalb die Datenschutzbehörde die Beschwerdegegnerin zur Darlegung der Gründe für die blosse Nennung von Kategorien, jedenfalls aber zur Konkretisierung dieser Empfängerkategorie anhielt.
      
  • Speicherdauer und Löschung: In den von der Beschwerdegegnerin zur Verfügung gestellten Informationen stand geschrieben, dass ein Löschungsbegehren für jene Daten nicht berücksichtigt wird, die für Abrechnungs- und buchhalterische Zwecke oder zur Erfüllung rechtlicher Verpflichtungen benötigt werden. Auch diese Angaben beanstandete die Datenschutzbehörde als zu unpräzise und verlangte von der Beschwerdegegnerin hinreichend verständliche und präzise Informationen im Hinblick auf die Speicherdauer. Dies ergebe sich gemäss der Datenschutzbehörde aus dem Präzisions- und Verständlichkeitsgebots der DSGVO (Art. 12 Abs. 1 DSGVO). Wo dies nicht möglich sei, so seien Informationen über die Kriterien für die Festlegung der Speicherdauer mitzuteilen.
      
  • Bereitstellung personenbezogener Daten aufgrund gesetzlicher oder vertraglicher Pflicht: Gefehlt habe gemäss der Datenschutzbehörde auch die Information bezüglich einer allfälligen gesetzlichen Pflicht zur Bereitstellung der personenbezogenen Daten oder deren Erforderlichkeit für einen Vertragsabschluss. Hinsichtlich der Erforderlichkeit für einen Vertragsabschluss müsse insbesondere mitgeteilt werden, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und mit welchen Folgen sie bei der Nichtbereitstellung zu rechnen habe. Diese Information müsse von der Beschwerdegegnerin ebenso nachgeliefert werden.
      
  • Bestehen automatisierter Entscheidungsfindung: Des Weiteren seien von der Beschwerdegegnerin Informationen über das allfällige Bestehen einer automatisierten Entscheidungsfindung (inkl. „Profiling“) zu liefern. Automatisierte Entscheidungsfindungen kommen beispielsweise bei Bonitätsprüfungen zur Anwendung. Die Datenschutzbehörde hielt fest, dass, wenn eine automatisierte Entscheidungsfindung zum Einsatz komme, nicht nur darüber selbst, sondern auch über die dabei angewandte Logik und die Tragweite der angestrebten Auswirkungen für die betroffene Person informiert werden muss. Die Information hat gemäss der Datenschutzbehörde aussagekräftig zu sein. Da die Beschwerdegegnerin darüber nicht informierte, habe sie dies zu korrigieren und die Information gegenüber dem Beschwerdeführer offenzulegen.
      
  • Bearbeitungszweck und Zweckbindung: Eine weitere Information hätte hinsichtlich der Tatsache erfolgen müssen, dass die Erhebung der personenbezogenen Daten des Beschwerdeführers nicht nur zum Zweck der Beantwortung der Kundenanfrage, sondern auch zu späteren Kontaktierung per E-Mail zu Werbezwecken (Angebot zur Teilnahme am Newsletter) erfolgt sei. Personenbezogene Daten können nämlich nur für den offengelegten Zweck rechtmässig verarbeitet werden (sog. Zweckbindung). Werde auch eine Weiterverarbeitung zu zusätzlichen anderen Zwecken als zu den Erhebungszwecken der personenbezogenen Daten beabsichtigt, müsse über die konkreten weiteren Verarbeitungszwecke informiert werden.
      

Aufforderung zur Nachholung der DSGVO-Informationspflicht innert vier Wochen

Die Datenschutzbehörde verpflichtete die Beschwerdegegnerin, vorerst ohne eine Busse zu verhängen, zur Ergänzung der dargelegten fehlenden bzw. unvollständigen Informationen. Die vollständigen Informationen seien innert vier Wochen dem Beschwerdeführer mitzuteilen. Darüber hinaus muss die Beschwerdegegnerin innert selber Frist ihre Datenschutzerklärung mit den obengenannten Punkten und entsprechend Art. 13 DSGVO vervollständigen und der Datenschutzbehörde eine Kopie der angepassten Datenschutzerklärung zustellen. Sollte die Beschwerdegegnerin diesen Anordnungen nicht nachkommen, komme es gemäss der Datenschutzbehörde zur Exekution, d.h. zur Verhängung eines Bussgelds gemäss der DSGVO. Ob eine andere Datenschutzbehörde vor der Verhängung einer Busse das betroffene Unternehmen ebenfalls zur Ergreifung von Korrekturmassnahmen aufgefordert hätte, ist zumindest fraglich. Die bereits gefällten Entscheide von anderen Datenschutzbehörden weisen aber eher darauf hin, dass diese direkt Bussen verhängen (vgl. dazu jüngst beispielsweise MLL-News vom 25.10.2019).
  

Bedeutung für Schweizer Unternehmen

Das vorliegende Verfahren war bislang das erste (veröffentlichte) Verfahren überhaupt, das gestützt auf die DSGVO gegen ein Schweizer Unternehmen geführt wurde. Es bestätigt, dass Schweizer Unternehmen relativ rasch vom Anwendungsbereich der DSGVO erfasst sein können und eine (weit zu verstehende) Ausrichtung des Angebots an Personen in der EU genügt. Entscheidend bei der Angebotsausrichtung ist die Frage, ob ein Unternehmen seinen Willen zum Ausdruck bringt, sein Angebot auch gegenüber Personen zu erbringen, die sich in der EU befinden (MLL-News vom 10.12.2018). In dieser Hinsicht zeigt der Entscheid, dass die Behörden auf die bekannten Indizien, wie die Verwendung einer Top-Level-Domain, die Sprache einer Website oder die Möglichkeit des Erhalts von Angeboten, zur Annahme einer Angebotsausrichtung zurückgreifen. Auch die Angabe eines Anfahrtswegs aus der EU zum Erfüllungsort, kann beispielsweise bereits als Indiz für eine Angebotsausrichtung herangezogen werden. Dies dürfte gerade für Tourismusunternehmen, wie Hotel- oder Buchungsplattformbetreiber, von hoher Relevanz sein. Insofern muss jeweils sorgfältig geprüft werden, ob die DSGVO anwendbar ist. Sobald dies der Fall ist, müssen auch die entsprechenden Massnahmen getroffen, um die Vielzahl an Pflichten umzusetzen. Für Schweizer Unternehmen gilt es dabei nicht ausser Acht zu lassen, dass regelmässig auch ein Vertreter in der EU benannt werden muss. Ferner veranschaulicht das vorliegende Verfahren einmal mehr auch die (hohen) Anforderungen zur Erfüllung der DSGVO-Informationspflicht.

 

Weitere Informationen: