Was, wenn beim Transport etwas schiefgeht?
Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.
Datenschutzrechtliche Bußgelder haben auch im Jahr 2023 wieder eine Menge Aufmerksamkeit auf sich gezogen. Insbesondere an den Schlagzeilen zum Milliarden-Bußgeld für Meta kam man kaum vorbei. Die Medienpräsenz solcher Sanktionen kommt dabei nicht von ungefähr, sondern ist der zunehmenden Bedeutung und Durchsetzung von Datenschutzregelungen geschuldet.
In diesem Rechtstipp der Woche möchten wir Ihnen fünf Datenschutz Bußgelder aus dem Jahr 2023 vorstellen und Sie hinsichtlich der Relevanz einer Datenschutz-Compliance sensibilisieren.
Denn wichtig ist: Bußgelder tangieren nicht nur große Player, sondern werden auch gegenüber kleineren Unternehmen verhängt. Wie Sie unserer Aufstellung der Top 5 Datenschutzbußgelder 2023 entnehmen können, kann es jeden treffen.
Im Mai 2023 verhängte die irische Datenschutzbehörde gegenüber Meta Platforms Ireland Limited ein Bußgeld in Höhe von 1,2 Milliarden Euro. Grund war die unzulässige Drittlandsübermittlung personenbezogener Daten in die USA.
Das Bußgeld ist nicht nur das bislang höchste verhängte DSGVO-Bußgeld, sondern weist noch eine weitere Besonderheit auf. Es resultiert aus einem Beschluss des Europäischen Datenschutzausschusses. Zunächst hatte die irische Aufsichtsbehörde nämlich nicht beabsichtigt, ein solches Bußgeld zu verhängen. Nach der Intervention anderer Aufsichtsbehörden aus der EU und einem fehlenden Konsens untereinander traf schließlich der Europäische Datenschutzausschuss die Entscheidung, die zu dem Milliardenbußgeld führte.
Solch enorme Bußgeldsummen sind bislang eher Einzelfälle und kleine Unternehmen und Shop-Betreiber*innen müssen sich nicht vor derartigen Konsequenzen fürchten. Dem Datenschutzrecht wohnt der Grundsatz der Verhältnismäßigkeit inne, sodass bei der Festlegung der Bußgeldhöhe gegenüber umsatzstarken Unternehmen deutlich höhere Bußgelder im Bereich des Möglichen sind als bei umsatzschwächeren Unternehmen.
Da aber auch kleinere Bußgelder durchaus schmerzen, sollten die geltenden Datenschutzvorschriften grundsätzlich unabhängig vom eigenen Umsatz eingehalten und Verstöße vermieden werden.
Das Unternehmen verstieß gleich gegen mehrere Datenschutzvorschriften: fehlende Einwilligungsnachweise, mangelnde Transparenz und Vernachlässigung von Betroffenenrechten. Konkret stellte die Datenschutzbehörde 5 Verstöße fest.
CRITEO platzierte (Tracer-) Cookies ohne Einwilligung der Betroffenen und sicherte auch nicht ab, dass Partner wirksame Einwilligungen einholen. Die von CRITEO verwendete Datenschutzrichtlinie war unvollständig und zu vage bzw. weit formuliert.
Auch Auskunftspflichten wurden verletzt und der Widerruf von Einwilligungen führte nicht zur Löschung der Daten, sondern hatte lediglich zur Folge, dass den betroffenen Personen keine personalisierte Werbung mehr ausgespielt wurde. Auch die von CRITEO geschlossenen Partnervereinbarungen erfüllten nicht alle DSGVO-Anforderungen.
Die Einhaltung von Datenschutzvorschriften stellt viele Unternehmen noch immer vor Herausforderungen und kann durch die jeweiligen Geschäftsmodelle an Komplexität gewinnen.
Für die praktische Umsetzung bietet Trusted Shops zahlreiche Tools und Leistungen an, die Sie bei der Einhaltung der datenschutzrechtlichen Regelungen unterstützen können.
Unser Consent Manager beispielsweise hilft Ihnen bei der wirksamen Einholung und Nachhaltung von Einwilligungen.
Die Datenschutzbehörde stellte fest, dass Widersprüche von Betroffenen gegen den Erhalt von Direktwerbung nicht in angemessener Zeit umgesetzt wurden, sodass die betroffenen Personen nach ihrem Widerspruch noch Werbung erhielten. Auch wurden intern keine hinreichenden Maßnahmen ergriffen, um sicherstellen zu können, dass datenschutzrechtliche Beschwerden bearbeitet werden und der Abmeldelink für den Newsletter funktionsfähig war.
Der mit diesem Bußgeld sanktionierte Verstoß ist ein Dauerbrenner in der Datenschutzpraxis. Sie als Shop-Betreiber*in sollten daher besonderes Augenmerk auf Betroffenenanfragen, insbesondere den Widerspruch gegen einen Newsletter-Erhalt legen und funktionierende interne Prozesse etablieren.
Weitere Informationen zum Widerspruchsrecht finden Sie auch in unserem Beitrag „Widerspruchsrecht & Widerrufsrecht im Rahmen der DSGVO – wichtige Unterschiede!“.
Bei der sanktionierten Partei handelte es sich um einen Versandhändler, welcher E-Mail-Newsletter versendet. Das von ihm dafür genutzte System ließ aufgrund technischer Störungen keine Abmeldung des Newsletters zu. Datenschutzrechtlich Betroffene hatten infolgedessen eine Menge unerwünschte Newsletter erhalten.
Der Versuch, eine Abmeldung des Newsletters über Mitarbeitende zu erreichen, scheiterte ebenfalls. Folglich wurden Werbewidersprüche nicht berücksichtigt. Auch den geltend gemachten Betroffenenrechten (z.B. auf Auskunft) wurde teilweise nicht nachgekommen, was insgesamt das genannte Bußgeld zur Folge hatte.
Auch in diesem Sachverhalt zeig sich wieder die Bedeutung funktionsfähiger Prozesse, mit denen die Einhaltung datenschutzrechtlicher Vorgaben sichergestellt werden kann. Sollte die technische Umsetzung Mängel aufweisen oder temporär ausfallen, ist anzuraten, weitere interne Prozesse zu etablieren, die ein Erfüllen der Betroffenenrechte (notfalls über die Mitarbeitenden) ermöglicht.
Newsletter sind eine gern verwendete Form des Marketings. Bei Ihnen sind jedoch neben den wettbewerbsrechtlichen Voraussetzungen auch eine Vielzahl von datenschutzrechtlichen Hürden zu meistern.
Nähere Informationen zur Ausgestaltung eines Newsletter-Versands finden Sie in unserem Whitepaper „Rechtssicherer Newsletterversand“, welches Sie über Ihren Legal Account abrufen können. Auf einen Leitfaden zum Thema „E-Mail-Marketing in Zeiten der DSGVO“ können Sie über unserem Blog zugreifen.
Grund für das Bußgeld waren Verstöße gegen die Grundsätze der Datenverarbeitung in Form einer zu langen Datenspeicherung sowie gegen das in der DSGVO verankerte Erfordernis einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten (inkl. Verschärfungen für Gesundheitsdaten i.S.v. Art. 9 DSGVO).
Zusätzlich stellte die CNIL fest, dass die nach Art. 26 DSGVO erforderlichen Vereinbarungen zur gemeinsamen Verantwortlichkeit nicht vorlagen und DOCTISSIMO keine ausreichenden technisch organisatorischen Maßnahmen implementiert hatte. So war die Website bspw. nur über eine unverschlüsselte http-Verbindung abrufbar und auch die Passwörter der Nutzer*innen waren nicht hinreichend gesichert worden.
Neben diesen DSGVO-spezifischen Themen kritisierte die CNIL den Einsatz von Cookies durch DOCTISSIMO, da auch hier die erforderlichen Einwilligungen nicht eingeholt wurden.
Die Befolgung der Grundsätze der Datenverarbeitung aus Art. 5 DSGVO und das Vorliegen einer Rechtsgrundlage i.S.v. Art. 6 DSGVO zählen zu den wichtigsten Grundvoraussetzungen einer rechtmäßigen Datenverarbeitung.
Sie stellen wie aus den obigen Sachverhalten ersichtlich wird aber nur die halbe Miete dar. Zusätzlich gilt es, die datenschutzrechtlich vorgeschriebenen Vereinbarungen mit Auftragsverarbeitern und gemeinsamen Verantwortlichen zu schließen, technisch organisatorische Maßnahmen zu implementieren, den Betroffenenrechten nachzukommen und vieles mehr.
Damit Sie den Überblick behalten, haben wir in unserem „DSGVO-Handbuch“ sowie dem „DSGVO-Navigator, beides über Ihren Legal Account abrufbar, eine detaillierte Aufgliederung der wichtigsten Regelungen und daraus resultierenden Pflichten für Sie zusammengestellt. Auch in unseren Rechtstipps der Woche und auf unserem Blog greifen wir regelmäßig spannende Themen aus dem Bereich des Datenschutzes auf.
Sollten Sie trotz Ihrer Bemühungen zur Einhaltung der Datenschutzvorschriften mit einem Bußgeldverfahren konfrontiert werden, verfallen Sie nicht in Panik, sondern agieren sie zügig und bedacht.
Den Aufsichtsbehörden ist in der Regel nicht daran gelegen, Sie möglichst hart zu bestrafen. Das Ziel ist vielmehr mit Ihnen gemeinsam eine Lösung zu finden, die zukünftig Verstößen vorbeugt und zu einer Datenschutz-Compliance beiträgt.
Sanktionen in Form von Bußgeldern oder Anordnungen können dabei nicht ausgeschlossen werden, dennoch kann sich ein kooperatives Verhalten ihrerseits positiv auf den Verlauf des Verfahrens/die Entscheidung der Datenschutzbehörde auswirken.
Hinweis: Bitte beachten Sie, dass die von Aufsichtsbehörden verhängten Bußgelder nicht die einzige Folge von Datenschutzverstößen sein können, sondern neben einem nicht in Zahlen zu fassenden Reputationsverlust auch (zivilrechtliche) Schadensersatzansprüche auf Sie zu kommen können.
11.01.24Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.
Wann brauchen Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten? Welche Aufgaben sind zu erfüllen? Alle Antworten dazu in diesem Artikel.