Geldbuße für den österreichischen JÖ Bonus-Club in Höhe von 2 Millionen Euro

Österreich, 15. August 2021

Die österreichische Datenschutzbehörde verhängte gegenüber der Unser Ö-Bonus Club GmbH eine Geldbuße in Höhe von 2 Millionen Euro. Dies geht aus dem am 2. August 2021 von der Behörde veröffentlichten Bescheid hervor.

Das Bußgeld wurde wegen unzureichenden Einwilligungen bei der Anmeldung zum JÖ Bonus-Club verhängt. Mit der Anmeldung erklärten sich die Mitglieder neben der Teilnahme am Bonus-Club auch damit einverstanden, dass die personenbezogenen Daten zu Profiling-Zwecken genutzt werden. Beim Profiling werden individuelle Kundenprofile erstellt, um Kunden mit zielgerichteter Werbung zu bespielen.

Da die Informationen zur Datenverarbeitung erst weiter unten ersichtlich waren, hat die Datenschutzbehörde die nicht korrekte Platzierung des Einwilligungskästchens zu den Datenschutzinformationen, beanstandet. Dies führte dazu, dass die potenziellen Mitglieder mit der Ansicht einwilligten, durch die Einwilligung von exklusiven Vorteilen und Aktionen profitieren zu können. Dabei konnten Besucher nicht erkennen, dass die Einwilligung zugleich auch zur Datenverarbeitung für Profilingzwecke war. Auch auf den Anmeldeformularen in Papierform, konnte eine gleichzeitige Einwilligung zu Profilingzwecken für die potenziellen Mitglieder nicht sofort erkannt werden.

Insgesamt sind rund 2,3 Millionen Menschen betroffen, welche zwischen Mai 2019 und März 2020 eine Mitgliedschaft in Papierform oder über die Webseite abgeschlossen haben.

Die Datenschutzbehörde ist der Meinung, dass die strengen Anforderungen für eine wirksame Einwilligung nach der DSGVO nicht erfüllt wurden. Die DSGVO sieht vor, dass die Information über eine beabsichtigte Datenverarbeitung – bevor eine Einwilligung vom Betroffenen gegeben wird – dem Betroffenen besonders verständlich und leicht zugänglich zur Verfügung gestellt werden muss. Nur dann ist es Betroffenen möglich, eine freie Entscheidung über die Verarbeitung ihrer Daten zu treffen.

Das Problem der Unwirksamkeit von Einwilligungen beim JÖ Bonus Club ist nicht neu. Vielmehr war der DSGVO-Verstoß schon einmal Thema bei der Datenschutzbehörde. Daraufhin wurden Änderungen an den Einwilligungserklärungen vorgenommen. Dennoch wurden die personenbezogenen Daten, welche unrechtmäßig von Betroffenen eingeholt worden waren, aber weiterhin ohne eine gültige Einwilligung der Betroffenen weiterverarbeitet.

Die Datenschutzbehörde hat die Corona-Pandemie als strafmildernd bei der Bemessung der Geldbuße berücksichtigt.

Mittlerweile wurde Berufung beim Bundesverwaltungsgericht eingelegt. Eine Entscheidung des Gerichts bleibt abzuwarten.

Unser Praxistipp

Die beabsichtigte Datenverarbeitung VOR Einholung von Einwilligungen muss immer leicht verständlich und klar beschrieben sein (Stichwort: Erfüllung der Informationspflichten). Bei Nichteinhaltung der Anforderungen nach Art 7 Abs 2 DSGVO riskiert jedes Unternehmen – ähnlich wie der JÖ Bonus-Club – aufgrund der Datenverarbeitung ohne Rechtsgrundlage eine saftige Geldstrafe.