Informationspflicht, DSGVO, Bußgeld

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat entsprechend einer Pressemitteilung von Vattenfall Europe Sales GmbH vom 24.09.2021, ein Bußgeld in Höhe von 901.388,84 € gegen das Unternehmen aufgrund eines Verstoßes gegen die Informationspflicht verhangen.

Vattenfall habe im Zeitraum zwischen August 2018 und Dezember 2019 potentielle Neukunden mithilfe eines Datenabgleiches überprüft um feststellen zu können, ob es sich bei diesen Anträgen von potentiellen Neukunden um sogenannte „Bonushopper“ handelt. Es wurde unter anderem geprüft, ob die betroffenen Kunden in der Vergangenheit bereits in eine Vertragsbeziehung zu Vattenfall standen und grundsätzlich wechselwilliges Verhalten zeigten. Es ging darum abzuklären, ob die anstehenden Neukunden häufig die jeweiligen Energieversorger wechseln, um Vorteile für aktuelle Verträge wahrnehmen zu können.

Wie die Datenschutzbehörde in ihrer Pressemitteilung bekannt gibt, nutzte Vattenfall Rechnungen aus alten Verträgen, welche aus steuer- und handelsrechtlichen Vorgaben bis zu zehn Jahre aufbewahrt werden müssen. Insgesamt waren ca. 500.000 Kunden betroffen. Zugleich wurde mitgeteilt, dass eine Rechtswidrigkeit sich nicht auf den Datenabgleich an sich bezog, sondern auf die fehlende Transparenz bei der Verarbeitung. In wieweit ein solcher Abgleich per se zulässig ist, ließ die Datenschutzbehörde offen und merkte dahingehend nur an, dass diese Verarbeitung nicht ausdrücklich in der Datenschutzgrundverordung (DSGVO) geregelt ist. Der Bescheid sei mittlerweile rechtskräftig.

Datenschutzverstoß

In diesem Zusammenhang unterließ es Vattenfall bis dahin die entsprechenden Betroffenen umfassend über diesen Verarbeitungsvorgang zu informieren. Somit wurde das Transparenzgebot aus der DSGVO, insbesondere mit Blick auf die Anforderung des Art. 13 und 14 DSGVO, nicht erfüllt und notwendige Informationspflichten, zum Zeitpunkt der Erhebung der Daten nicht ausreichend umfangreich erteilt. Somit lag ein Datenschutzverstoß im Sinne des Art. 83 DSGVO vor, der mit einem Bußgeld von 20.000.000 Euro bzw. vier Prozent des weltweiten Jahresumsatz bedacht werden kann. Übersicht zu den Geldbußen nach DSGVO

Informationspflicht

Die Datenschutzbehörde beanstandete gemäß der Pressemitteilung die Verarbeitung der vorliegenden personenbezogenen Daten der Betroffenen mithilfe der Kundendatenbank nicht, sondern lediglich die fehlenden Informationen für die Betroffenen. Inwieweit die ursprüngliche Erhebung der personenbezogenen Daten und der Zweck der hier vorgenommenen Verarbeitung auf eine wirksame Rechtsgrundlage beruhte, war nicht Gegenstand der Prüfung. 

Es erfolgte im Nachgang eine Abstimmung zwischen Vattenfall und der Datenschutzbehörde in Bezug auf die Abstimmung eines Verfahrens das die Datenschutzrechte der Kundinnen und Kunden berücksichtigt und zugleich die wirtschaftlichen Belange von Vattenfall beachtet. Zukünftig werden Kundinnen und Kunden bei einem Vertragsschluss umfassend über die jeweiligen Verarbeitungsvorgänge informiert und zugleich transparent und verständlich auf den Datenabgleich sowie den damit verfolgten Zweck unterrichtet. Kundinnen und Kunden, die zukünftig einen rabattierten Vertrag abschließen wollen, der einen internen Abgleich beinhaltete können zugleich entscheiden einen Vertrag abzuschließen, der entsprechende Rabatte nicht enthält und dafür eine Abgleich der Datensätze nicht beinhaltet. Diese Informationen bei der Erhebung der Daten sind nötig, um die Pflichten aus Art. 12 ff DSGVO zu erfüllen.

Fazit

Aufgrund der Anzahl der Betroffenen war eine Verhängung eines Bußgeldes angezeigt. Aufgrund der umfassenden Kooperation von Vattenfall bei der Aufklärung der Umstände und da Vattenfall unmittelbar nach dem Tätigwerden der Hamburger Behörde die Verarbeitung in Bezug auf den Datenabgleich unterließ, wurde das Bußgeld deutlich reduziert und der mögliche Rahmen nicht ausgeschöpft. Dennoch soll das Bußgeld anderen Unternehmen als Warnung dienen, die entsprechenden Pflichten aus der DSGVO zu beachten. Die Gefahr eines Bußgeldes seitens des Datenschutzbehörden, aber auch die Gefahr eines geltend gemachten Schadensersatzanspruch durch einen oder mehrer Betroffene besteht gerade aktuell verstärkt. Die Aktivitäten der Datenschutzbehörden werden sich sehr wahrscheinlich in der Zukunft noch verstärken. Dieser Eindruck kann jedenfalls bei den vermehrt erkennbaren Stellenausschreibungen der einzelnen Datenschutzbehörden entstehen.

Auch mit Blick auf dieses Bußgeld sollten Unternehmen stets Betroffene umfassend über die anstehende Verarbeitung im Zeitpunkt der Erhebung der personenbezogenen Daten informieren, wie es die Art. 12 ff. DSGVO vorsehen. Die so zu erteilenden Informationspflichten sollten Sie gemeinsam mit Ihrem Datenschutzbeauftragten erstellen oder mithilfe von entsprechenden Experten prüfen.

So erreichen Sie uns

Adresse
Aachener Straße 75
50931 Köln
©LR Datenschutz GmbH