600.000 Euro Geldstrafe gegen französische Hotelkette wegen Verstoß gegen die DSGVO
Es ist verboten, jemanden automatisch für einen Newsletter mit Werbeangeboten anzumelden. Die französische Datenschutzbehörde CNIL verweist am 17. August 2022 darauf, indem sie eine Strafe von 600.000 Euro gegen eine berühmte französische Hotelgruppe verhängt.
Bei der französischen Datenschutzbehörde CNIL und mehreren anderen europäischen Datenschutzbehörden sind Beschwerden über Schwierigkeiten eingegangen, die Betroffene bei der Ausübung ihrer Rechte bei einer französischen Hotelgruppe erfahren haben. Die von der CNIL aufgrund dieser Beschwerden durchgeführten Nachforschungen ergaben, dass ein Kunde, der eine Buchung bei einem Hotel oder auf der Website der Hotelgruppe vornahm, automatisch einen Newsletter mit Werbeangeboten von Partnern erhielt, da das Kästchen für die Zustimmung zum Erhalt des Newsletters standardmäßig angeklickt war. Laut der CNIL hinderten technische Fehler eine signifikante Anzahl von Nutzern daran, dem Erhalt von Werbebotschaften wirksam zu widersprechen.
Die CNIL hat festgestellt, dass die Hotelgruppe die folgenden Pflichten nicht eingehalten hat:
- Die Verpflichtung, die Zustimmung der betroffenen Person zur Verarbeitung ihrer Daten zu Zwecken der kommerziellen Werbung einzuholen (Art. L. 34-5 des französischen Gesetzbuches für Post und elektronische Kommunikation).
- Die Informationspflicht (Art. 12 und 13 DSGVO): Das Unternehmen hat den betroffenen Personen die notwendigen Informationen über die Verarbeitung ihrer Daten nicht zur Verfügung gestellt.
- Das Auskunftsrecht (Art. 12 und 15 DSGVO): Das Unternehmen hat nicht fristgerecht auf ein Auskunftsersuchen reagiert.
- Das Widerspruchsrecht (Art. 12 und 21 DSGVO): Das Unternehmen hat die Aufforderungen der betroffenen Personen, keine weiteren Werbebotschaften mehr an sie zu senden, nicht berücksichtigt.
- Die Pflicht, die Sicherheit personenbezogener Daten zu gewährleisten (Art. 32 DSGVO): Das Unternehmen erlaubte die Verwendung von nicht ausreichend starken Passwörtern.
Da andere Datenschutzbehörden Beschwerde erhalten haben, hat die CNIL den anderen betroffenen Aufsichtsbehörden einen Beschlussentwurf zur Stellungnahme vorgelegt. Gegen diesen Entwurf hat die polnische Datenschutzbehörde Einspruch erhoben, mit der Begründung, dass die von der CNIL vorgeschlagene Höhe der Geldstrafe nicht abschreckend genug sei.
Die CNIL folgte dem Einspruch nicht, und der Europäische Datenschutzausschuss ("EDSB") musste gemäß Art. 65 Abs. 1 a) DSGVO über den Streitfall entscheiden. Er forderte die CNIL auf, die Geldstrafe zu erhöhen, um gemäß Artikel 83 Absatz 1 DSGVO eine abschreckende Wirkung zu erzielen.
Die CNIL verhängte gegen die Hotelgruppe eine Strafe in Höhe von 600.000 EUR, davon 500.000 EUR für die Verstöße gegen die DSGVO und 100.000 EUR für die Verstöße gegen das französische Gesetzbuch für Post und elektronische Kommunikation.
Sie sind sich unsicher, ob bei Ihnen alle Pflichten, die sich aus der DSGVO ergeben, eingehalten werden?
11.10.2022