10-Mio.-Kronen-Bußgeld gegen Fitnesskette wegen Datenschutzverstößen

Norwegen: 10-Mio.-Kronen-Bußgeld gegen Fitnesskette wegen Datenschutzverstößen

Die dänische Datenschutzbehörde (Datatilsynet) hat gegen die nordische Fitnessstudiokette SATS ASA eine Geldstrafe in Höhe von 10 Millionen norwegischen Kronen (ungefähr 900.000 Euro) verhängt, da zahlreiche Verstöße gegen die Datenschutzgrundverordnung (DSGVO) festgestellt wurden. Diese Verstöße betrafen die Weitergabe von Kundendaten innerhalb der Unternehmensgruppe und die Erstellung von Fitness- und Trainingsanalysen. Die Entscheidung der Behörde vom 06.02.2023 stützt sich vor allem auf fehlende Rechtsgrundlagen für Datenverarbeitungen und eine unzureichende Umsetzung der Betroffenenrechte.

SATS ASA hat Fitness-Center in Norwegen, Schweden, Finnland und Dänemark und ist somit die größte Kette in der nordischen Region. Aufgrund des Verfahrens grenzüberschreitender Kooperation ist Datatilsynet federführend für das Verfahren zuständig.

Kunden hatten Beschwerden über die Verletzung ihrer Rechte aus der DSGVO eingereicht, insbesondere darüber, dass SATS Kundendaten innerhalb der Unternehmensgruppe weitergegeben hatte und Auskunfts- und Löschungsanfragen unbeantwortet blieben. Daraufhin hatte Datatilsynet das Verfahren bereits 2018 eingeleitet. Das Unternehmen erklärte im Verfahren, es sei so kurz nach Inkrafttreten der DSGVO mit den neu auferlegten Pflichten überfordert gewesen. Zudem wollte es gesperrte Kunden an der Nutzung der Dienste hindern. Bezüglich der Speicherung der Daten für Trainingsanalysen gab SATS ASA an, dass die Kunden dieser Datenverarbeitung mit dem Akzeptieren der AGB zugestimmt hatten. Eine Löschung der Daten war in den AGB auch nach Ende der Mitgliedschaft auf Antrag des Kunden und erst nach 60 Tagen vorgesehen.

SATS ASA argumentierte im Verfahren zudem, dass die Datenverarbeitungen für Trainingsanalysen im Interesse des Kunden liegen würden, um seinen Trainingsfortschritt beobachten zu können. Dies sei keine Einwilligung im Sinne der DSGVO, sondern die Erfüllung vertraglicher Zwecke, sodass dies die Rechtsgrundlage für die Speicherung der Daten sei. Die Behörde hielt dem entgegen, dass es darauf ankomme, wie den Betroffenen die Verarbeitung kommuniziert wird, und nicht, wie das Unternehmen die Verarbeitung nachträglich begründet. Grund hierfür seien die Informationspflichten der DSGVO. Aufgrund des Wortlauts der AGB mussten Betroffene davon ausgehen, dass es sich um eine Einwilligung handelte, zumal ein Widerrufsrecht eingeräumt wurde. Bei der Erfüllung vertraglicher Zwecke wird hingegen ein Widerspruchsrecht eingeräumt, was vorliegend nicht der Fall war.

Eine Einwilligung im Sinne der DSGVO muss informiert, ausdrücklich und freiwillig geschehen. Laut Datatisynet genügt das Akzeptieren von AGB diesen Anforderungen nicht, weshalb für die Datenverarbeitung die Rechtsgrundlage fehlte. Auch die Verweigerung der Auskunft und Löschung waren der Behörde nach rechtswidrig, sodass SATS ASA an mehreren Stellen gegen die DSGVO verstoßen hat.

Menü