CNIL verhängt 600.000 € Bußgeld für automatische Newsletteranmeldung

Hohes Bußgeld durch unzulässige Datenverwendung

Am 17.08.2022 gab die französische Datenschutzbehörde “Commission Nationale de l’Informatique et des Libertés” (CNIL) bekannt, dass sie der französischen Hotelgruppe ACCOR aufgrund diverser Datenschutzverstöße ein Bußgeld in Höhe von 600.000 € auferlegt hat. Grund hierfür sei, dass die ACCOR-Gruppe auf einigen Websites z. B. nach erfolgter Reservierung (online oder persönlich) durch einen Kunden die Daten automatisch in einen Newsletter zur Vermittlung kommerzieller Angebote aufgenommen hat. Die Checkbox zur Vergabe der Einwilligung sei sogar bereits vorausgewählt gewesen. Zudem konnten betroffene Personen sich über Wochen aufgrund von anhaltenden technischen Fehlern nicht ordnungsgemäß aus diesem Newsletter austragen und wurden somit fortlaufend mit Nachrichten überhäuft.

Die CNIL berücksichtigte vor allem die Menge jener – der Unternehmensgruppe vorgeworfenen – Verstöße sowie die Tatsache, dass hier Verstöße mehrerer Grundprinzipien der DSGVO vorlagen und somit eine erhebliche Verletzung bei der Verarbeitung personenbezogener Daten darstellen.

Genau genommen hat die ACCOR-Gruppe nicht nur gegen die DSGVO verstoßen, sondern auch gegen das französische Recht. Es wurden folgende Rechtsverletzungen der DSGVO festgestellt:

  • Verletzung der Informationspflicht (Artikel 12 und 13 DSGVO)
    Das Unternehmen stellt betroffenen Personen auf zugängliche Weise die Informationen zur Verfügung, die bei der Erstellung eines Kundenkontos oder der Mitgliedschaft im Programm der ACCOR-Gruppe erforderlich sind. Das Unternehmen bezieht sich auch nicht auf die Einwilligung als Rechtsgrundlage für die Verarbeitung und Prospektion zur Bewerbung von Produkten und Dienstleistungen Dritter. 
  • Verletzung der Pflicht zur Achtung des Rechts auf Zugang zu personenbezogenen Daten (Artikel 12 und 15 DSGVO)
    Das Unternehmen hat nicht rechtzeitig auf die Anfrage des Beschwerdeführers geantwortet. 
  • Verletzung der Pflicht zur Wahrung des Widerspruchsrechts der betroffenen Person (Artikel 12 und 21 DSGVO)
    Das Unternehmen hat die Forderung des Beschwerdeführers, das Versenden kommerzieller Nachrichten einzustellen, nicht berücksichtigt. 
  • Verletzung der Pflicht zur Gewährleistung der Sicherheit personenbezogener Daten (Art. 32 DSGVO)
    Das Unternehmen erlaubte die Verwendung von Passwörtern mit unzureichender Stärke. Die CNIL hat das Unternehmen auch dafür kritisiert, dass es aufgefordert hat, Ausweisdokumente per E-Mail zu versenden, ohne die betreffenden Daten zu verschlüsseln.

Mittlerweile wurden alle aufgeführten Mängel durch die ACCOR-Gruppe behoben und das Bußgeld beglichen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.

Informationen zur Verarbeitung deiner personenbezogenen Daten im Zusammenhang mit dem Verfassen eines Kommentares findest du in unserer Datenschutzerklärung.

Menü