Am 4. April 2024 verhängte die CNIL gegen das Unternehmen HUBSIDE.STORE eine Geldstrafe in Höhe von 525.000 Euro unter anderem wegen der Nutzung von Daten, die von Datenmaklern zur Verfügung gestellt wurden, zu Zwecken der kommerziellen Werbung, ohne sich zu vergewissern, dass die betroffenen Personen einer solchen Werbung rechtsgültig zugestimmt hatten.
Der Kontext
HUBSIDE.STORE führt Telefon- und SMS-Akquisekampagnen durch, um die in seinen Geschäften verkauften Produkte (Mobiltelefone, Computer usw.) zu bewerben. Die Daten der angesprochenen potenziellen Kunden werden von Datenhändlern gekauft, die Gewinnspiel- und Produkttest-Websites herausgeben.
Auf der Grundlage von Feststellungen, die bei Kontrollen gemacht wurden, war die beschränkte Formation – das Organ der CNIL, das für die Verhängung von Sanktionen zuständig ist – der Ansicht, dass das irreführende Erscheinungsbild der Sammelformulare, die von den die Sammlung veranlassenden Brokern eingesetzt wurden, keine gültige Zustimmung der betroffenen Personen ermöglichte. Das Unternehmen HUBSIDE.STORE konnte daher seine Werbeaktionen per SMS (Verstoß gegen die Bestimmungen von Artikel L. 34-5 des französischen Gesetzbuchs für Post und elektronische Kommunikation oder CPCE) und per Telefon (Verstoß gegen die Bestimmungen von Artikel 6 der Allgemeinen Datenschutzverordnung oder DSGVO) nicht rechtmäßig durchführen.
Darüber hinaus vertrat die Kleine Kammer die Auffassung, dass das Unternehmen bei der telefonischen Kundenwerbung den Personen keine ausreichenden Informationen zukommen ließ und damit gegen Artikel 14 der DSGVO verstieß.
Sie verhängte gegen das Unternehmen eine Geldstrafe in Höhe von 525 000 EUR, die öffentlich bekannt gemacht wurde. Diese Geldbuße wurde in Zusammenarbeit mit den betroffenen europäischen Aufsichtsbehörden (Belgien, Italien, Spanien, Portugal) im Rahmen des One-Stop-Shops verhängt, da HUBSIDE STORE Daten von Kunden und Interessenten aus mehreren EU-Mitgliedstaaten verarbeitet.
Die Höhe der Geldbuße, die etwa 2 % des Umsatzes des Unternehmens entspricht, wurde insbesondere im Hinblick auf die Schwere der festgestellten Verstöße und die Verantwortung der Organisation, die die gesammelten Daten verwendet, entschieden. Der engere Ausschuss berücksichtigte auch die Tatsache, dass HUBSIDE.STORE in großem Umfang auf kommerzielle Werbung zurückgriff.
Die sanktionierten Verstöße
Ein Verstoß gegen die Verpflichtung, die Zustimmung der Personen zum Erhalt von kommerzieller Werbung auf elektronischem Wege einzuholen (Artikel L.34-5 CPCE).
Um seine SMS-Akquisekampagnen durchzuführen, kauft das Unternehmen HUBSIDE.STORE Daten von potenziellen Kunden bei mehreren Datenbrokern. Die Sammlung dieser Daten erfolgt durch die Broker über Formulare zur Teilnahme an Gewinnspielen oder Online-Produkttests auf verschiedenen Websites.
Nach Ansicht der eingeschränkten Gruppe ist es aufgrund des irreführenden Erscheinungsbildes dieser Formulare nicht möglich, eine freie und eindeutige Einwilligung einzuholen, die den Anforderungen der DSGVO entspricht und die Grundlage für die SMS-Werbeaktionen des Unternehmens bilden würde.
Beispiele für Formulare :
Die Hervorhebung der Schaltflächen, die zur Übermittlung ihrer Daten zu Zwecken der kommerziellen Werbung führen (durch Größe, Farbe, Titel und Platzierung), im Vergleich zu den Hyperlinks, die die Teilnahme am Spiel ermöglichen, ohne dieser Übermittlung zuzustimmen (in deutlich geringerer Größe und mit dem Textkörper verschmolzen), drängt die Nutzer stark zur Zustimmung.
Es liegt in der Verantwortung des Unternehmens als Nutzer der gesammelten Daten, sicherzustellen, dass die betroffenen Personen eine gültige Einwilligung abgegeben haben. In diesem Zusammenhang stellte die Kleine Kammer fest, dass das Unternehmen seinen Datenlieferanten zwar bestimmte vertragliche Anforderungen im Upstream-Bereich auferlegte, im Downstream-Bereich jedoch keine wirksame Kontrolle dieser Anforderungen erfolgte. So stellte die CNIL einen hohen Anteil an nicht konformen Interessentendateien fest.
Ein Verstoß gegen die Verpflichtung, über eine Rechtsgrundlage für die durchgeführten Verarbeitungen zu verfügen (Artikel 6 DSGVO).
In Bezug auf die kommerzielle Werbung durch Telefonanrufe erinnerte die beschränkte Formation daran, dass diese zwar auf dem berechtigten Interesse des Unternehmens beruhen kann, dies aber nur unter der Bedingung, dass die betroffenen Personen zum Zeitpunkt der Erhebung ihrer Daten darüber informiert werden, dass sie Angebote zur kommerziellen Werbung von diesem Unternehmen erhalten können.
Die CNIL stellte jedoch fest, dass in den Gewinnspielformularen, anhand derer die Daten der potenziellen Kunden gesammelt wurden, das Unternehmen HUBSIDE.STORE nicht systematisch in der Liste der Partner erwähnt wurde, die die betroffenen Personen ansprechen könnten.
Ein Verstoß gegen die Informationspflicht (Artikel 14 der DSGVO).
Die durchgeführten Kontrollen ergaben, dass die telefonisch geworbenen Personen nicht über alle notwendigen Informationen über die Erhebung und Verwendung ihrer personenbezogenen Daten verfügten (z. B. Identität und Kontaktdaten der Organisation, Zweck der Datennutzung, Aufbewahrungsfristen, Datenquelle, ihre Rechte oder auch ihre Möglichkeit, eine Beschwerde bei der CNIL einzureichen).
Der engere Ausschuss erinnerte daran, dass diese Informationen unerlässlich sind, damit die betroffenen Personen ihre Rechte ausüben können, z. B. das Recht, auf ihre Daten zuzugreifen, sie zu berichtigen oder sich auf einfache und kostenlose Weise weiteren Aufforderungen zu widersetzen.