600.000 EURO Bußgeld für Accor

Am 22. August 2022 wurde Accor ein Bußgeldbescheid über 600.000 Euro zugestellt. Grund dafür waren gleich mehrere Datenschutzverstöße. Der Bescheid wird Accor, einem Unternehmen mit ca. 2,2 Milliarden Jahresumsatz (2021) kaum weh tun, aber der Imageschaden wird bleiben. Dabei wären die Verstöße einfach zu vermeiden gewesen.  

Rechtswidrige Newsletter-Mails 

Der Aussteller des Bescheids, die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) und mehrere andere europäische Datenschutzbehörden hatten Beschwerden über die französische Hotelgruppe Accor erhalten.  

Die anschließenden Kontrollen der CNIL ergaben, dass das Ankreuze-Kästchen für die Einwilligung zum Erhalt eines Newsletters ohne Zutun des Nutzers bereits vor-ausgewählt war. So hatte eine beträchtliche Anzahl von Kunden eine Newsletter-E-Mail bekommen. Ein solches Vorgehen wurde von der CNIL zu Recht in Frage gestellt. 

Wer einen Newsletter verschicken will, muss zur Verarbeitung der E-Mail-Adresse grundsätzlich die Einwilligung des Newsletter-Empfängers einholen.Dieser Grundasatz ist in Frankreich in Artikel L.32 des französichen Code des postes et des communications électroniques normiert. Einzige Ausnahme ist die Versendung eines Newsletters an Bestandskunden. Diese kann auch ohne Einwilligung, allerdings unter Beachtung der engen Voraussetzungen des Artikel L. 32 Absatz 4 des Code des postes et des communications électroniques, erfolgen.  

 Gemäß Artikel L. 32 Absatz 2 des Code des postes et des communications électroniques ist eine Einwilligung jede freie, spezifische und informierte Willensbekundung, mit der eine Person akzeptiert, dass sie betreffende personenbezogene Daten zum Zwecke der Direktwerbung verwendet werden dürfen. Als Direktwerbung gilt die Versendung jeder Nachricht, die der unmittelbaren oder mittelbaren Förderung des Absatzes von Waren oder Dienstleistungen dient. Dazu zählen auch Newsletter-Nachrichten, die unmittelbar oder mittelbar Produkte des Absenders bewerben. 

Ein bereits vor-ausgewähltes Ankreuze-Kästchen stellt keine abgegebene Willensbekundung dar. Denn die betroffene Person wird durch diese Methode dazu gezwungen, durch das Entfernen des bereits gesetzten Häkchens zu erklären, dass Sie diese Datenverarbeitung nicht wünscht. Diese sogenannte Opt-Out-Methode ist daher rechtswidrig. Stützt sich die Verarbeitung – wie in diesem Fall – auf die Einwilligung der betroffenen Person, muss die Einwilligung durch eine bestätigende Handlung, also z.B. das eigenständige Ausfüllen des Ankreuze-Kästchens erklärt werden können (Opt-In-Methode).  

Unvollständiger Datenschutzhinweis 

Nach Art. 12 und 13 DSGVO müssen betroffene Personen zum Zeitpunkt der Datenerhebung über die Datenverarbeitung informiert werden. Dies schließt Informationen über die Rechte der betroffenen Person mit ein. Zudem sind zusätzliche Angaben nach Art. 13 Abs. 1,2 DSGVO, wie unter anderem die Angaben zur Rechtsgrundlage, Zweck und Dauer der Verarbeitung, notwendig.  

Accor hatte den Besuchern bei der Erstellung eines Kundenkontos und bei der Teilnahme am Treuprogramm der Accor-Gruppe die erforderlichen Informationen nicht auf zugängliche Weise zur Verfügung gestellt. Dabei hätte ein Verweis auf eine Datenschutzerklärung, welche über die Registrierung eines Kundenkontos und die Teilnahme am Treueprogramm informiert, genügt. Dieser Verweis fehlte allerdings. 

Verspätete Bearbeitung von Auskunftsanfragen 

Auch die Beschwerde einer betroffenen Person wurde laut CNIL nicht fristgerecht bearbeitet. Eine Frist zur Beantwortung von Auskunftsanfragen ist zwar in Art. 15 Abs.1 DSGVO nicht vorgesehen, allerdings besagt Art.12 Abs.3 DSGVO, dass Informationen im Sinne von Art. 15 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu erteilen sind. Nur in besonderen Ausnahmefällen kann die Frist auf maximal drei Monate verlängert werden. Inwieweit diese Frist von Accor überschritten wurde, wurde von der CNIL nicht veröffentlicht. 

Versagen bei der Datensicherheit 

Die CNIL wirft Accor zudem vor, die Nutzung von zu schwachen Passwörtern zu billigen und eine betroffene Person dazu aufgefordert zu haben, ihr Ausweisedokument zum Zwecke der Identifikation per E-Mail zu versenden, ohne dass Accor einen sicheren Übertragungsweg angeboten hätte. 

Fazit 

Unternehmen, die mehrere Webseiten betreiben, sind in besonderem Maße anfällig für Datenschutzverstöße, da zumeist Zuständigkeiten nicht geklärt sind oder im schlimmsten Fall überhaupt keine Verantwortungsbereiche im Rahmen der Datenschutz-Compliance abgesteckt sind. 

Bei der Versendung von Newslettern gibt es viele Möglichkeiten, gegen die Vorschriften der DSGVO zu verstoßen. Die Verantwortlichen können vergessen, in ihrer Datenschutzerklärung auf die Verarbeitung der E-Mail-Adresse hinzuweisen oder die Dokumentation zur Authentifizierung des Newsletter-Abonnenten abzuspeichern. Aber verglichen mit der Verwendung einer Opt-Out-Methode zur vermeidlichen Einholung einer Einwilligung- wie im Fall Accor- sind derlei Fehler nur eine Lappalie. Die finale Entscheidung der CNIL, die Höhe des Bußgeldes auf 600.000 Euro anzusetzen, überrascht daher nicht.Wer Bußgelder im sechsstelligen Bereich vermeiden will, sollte daher einen Datenschutzbeauftragten bestimmen.