Immer häufiger verhängen die europäischen Datenschutzaufsichtsbehörden Bußgelder wegen Datenschutzverstößen im Online-Marketing. Aktuell traf es ein französisches Unternehmen wegen der unzulässigen Verwendung von Daten für Marketingzwecke. 310.000,- Euro soll Foriou zahlen, weil es auf von Data Brokern unzulässig erhobene Leads setzte.
Unwirksame Einwilligungen
Foriou bewirbt telefonisch und per E-Mail Treueprogramme und -karten. Die Daten der umworbenen Interessenten erhält das Unternehmen von Produkttest- und Gewinnspielanbietern. Die Formulare der Publisher ähneln sich jeweils und enthalten nach Ansicht der französischen Datenschutzaufsicht (CNIL) keine wirksame Einwilligung (Pressemitteilung der CNIL vom 5.3.2024).
Bemängelt hat die CNIL, dass
- die Schaltflächen, mit denen die Nutzer aufgefordert werden, ihre Daten zu Werbezwecken zu übermitteln aufgrund von Größe, Farbe, Überschrift und Position deutlich prominenter sind als die Hypertext-Links, die es den Nutzern ermöglichen, an dem Spiel teilzunehmen, ohne der Werbung zuzustimmen und
- das letztlich werbende Unternehmen nicht systematisch in der Liste der Partner erwähnt wird, an die die Daten weitergegeben werden.
Natürlich kann eine wirksame Werbeeinwilligung zu Gunsten eines Unternehmens nicht eingeholt werden, wenn dieses nicht einmal benannt wird. Der zweite Punkt ist damit eindeutig. Nicht so klar ist der erste angebliche Mangel: Warum eine wirksame Einwilligung nicht eingeholt werden können soll, wenn die Alternative kleiner geschrieben ist, ist schon deshalb nicht klar, weil die Nutzer an dem Gewinnspiel ja überhaupt nicht teilnehmen müssen.
Verantwortlichkeit bei Werbendem
Keinen Zweifel lässt die CNIL an der Verantwortlichkeit von Foriou: Es obliege dem werbenden Unternehmen, sich zu vergewissern, dass die betroffenen Personen eine gültige Einwilligung abgegeben haben. Nicht ausreichend sei, dem Lead-Generierer vertraglich aufzugeben, wirksame Einwilligungen einzuholen. Foriou hätte die Einhaltung dieser Bestimmung und die Einholung wirksamer Einwilligungserklärungen kontrollieren müssen.
Hier liegt die CNIL richtig: In der Praxis empfehlen wir schon lange, mit Gewinnspielanbietern konkrete Einwilligungstexte abzustimmen und konkrete Nachweise zu verlangen, dass diese auch verwendet werden. Zudem sollte die Einhaltung der Regeln kontrolliert werden.
Höhe des Bußgelds bemerkenswert
Die CNIL verhängte gegen das Unternehmen ein Bußgeld in Höhe von 310.000 Euro. Ausweislich der Pressemitteilung entspricht das etwa 1 % des Umsatzes des Unternehmens. Begründet wurde das mit der Schwere des Verstoßes.
Die Entscheidung zeigt, dass es die Datenschutzbehörden ernst meinen mit der Durchsetzung der DSGVO. Wer auf von Dritten erhobene personenbezogene Daten setzt, muss selbst dafür sorgen, dass eine ausreichende Rechtsgrundlage für die Verarbeitung der Daten vorliegt.
Fazit
Schon lange ist die Leadgenerierung durch Dritte für Werbezwecke ein Minenfeld. Aus Sicht des Advertisers bedarf es klarer Vorgaben für wirksame Einwilligungserklärungen. Diese müssen transparent sein und auch den später Werbenden eindeutig erkennen lassen. Dabei genügt es häufig nicht, wenn lediglich der Markenname genannt wird. In der Regel muss das werbende Unternehmen genau bezeichnet sein. Die Verwendung der abgestimmten Einwilligungen sollte überwacht und ein entsprechender Nachweis verlangt werden.