Hohes Bußgeld durch unzulässige Datenverwendung
Am 17.08.2022 gab die französische Datenschutzbehörde “Commission Nationale de l’Informatique et des Libertés” (CNIL) bekannt, dass sie der französischen Hotelgruppe ACCOR aufgrund diverser Datenschutzverstöße ein Bußgeld in Höhe von 600.000 € auferlegt hat. Grund hierfür sei, dass die ACCOR-Gruppe auf einigen Websites z. B. nach erfolgter Reservierung (online oder persönlich) durch einen Kunden die Daten automatisch in einen Newsletter zur Vermittlung kommerzieller Angebote aufgenommen hat. Die Checkbox zur Vergabe der Einwilligung sei sogar bereits vorausgewählt gewesen. Zudem konnten betroffene Personen sich über Wochen aufgrund von anhaltenden technischen Fehlern nicht ordnungsgemäß aus diesem Newsletter austragen und wurden somit fortlaufend mit Nachrichten überhäuft.
Die CNIL berücksichtigte vor allem die Menge jener – der Unternehmensgruppe vorgeworfenen – Verstöße sowie die Tatsache, dass hier Verstöße mehrerer Grundprinzipien der DSGVO vorlagen und somit eine erhebliche Verletzung bei der Verarbeitung personenbezogener Daten darstellen.
Genau genommen hat die ACCOR-Gruppe nicht nur gegen die DSGVO verstoßen, sondern auch gegen das französische Recht. Es wurden folgende Rechtsverletzungen der DSGVO festgestellt:
- Verletzung der Informationspflicht (Artikel 12 und 13 DSGVO)
Das Unternehmen stellt betroffenen Personen auf zugängliche Weise die Informationen zur Verfügung, die bei der Erstellung eines Kundenkontos oder der Mitgliedschaft im Programm der ACCOR-Gruppe erforderlich sind. Das Unternehmen bezieht sich auch nicht auf die Einwilligung als Rechtsgrundlage für die Verarbeitung und Prospektion zur Bewerbung von Produkten und Dienstleistungen Dritter. - Verletzung der Pflicht zur Achtung des Rechts auf Zugang zu personenbezogenen Daten (Artikel 12 und 15 DSGVO)
Das Unternehmen hat nicht rechtzeitig auf die Anfrage des Beschwerdeführers geantwortet. - Verletzung der Pflicht zur Wahrung des Widerspruchsrechts der betroffenen Person (Artikel 12 und 21 DSGVO)
Das Unternehmen hat die Forderung des Beschwerdeführers, das Versenden kommerzieller Nachrichten einzustellen, nicht berücksichtigt. - Verletzung der Pflicht zur Gewährleistung der Sicherheit personenbezogener Daten (Art. 32 DSGVO)
Das Unternehmen erlaubte die Verwendung von Passwörtern mit unzureichender Stärke. Die CNIL hat das Unternehmen auch dafür kritisiert, dass es aufgefordert hat, Ausweisdokumente per E-Mail zu versenden, ohne die betreffenden Daten zu verschlüsseln.
Mittlerweile wurden alle aufgeführten Mängel durch die ACCOR-Gruppe behoben und das Bußgeld beglichen.
Schon während des Wirtschaftsrechts-Studiums entdeckte Frau Konstanze Krollpfeiffer ihr großes Interesse für den Datenschutz und arbeitete bereits als Werkstudentin bei der Keyed GmbH. Nach dem Abschluss des Studiums unterstützt sie das Team nunmehr als Junior Data Protection Consultant und betreut Kunden bei der Umsetzung datenschutzrechtlicher Vorgaben sowie bei der Etablierung datenschutzrechtlicher Standards. Durch ihre juristische sowie wirtschaftsrechtliche Ausbildung bringt Frau Krollpfeiffer dabei die notwendige Sachkenntnis mit.
