Datenschutzbehörde

Entscheidungstext DSB-D213.642/0002-DSB/201...

Entscheidende Behörde

Datenschutzbehörde

Dokumenttyp

Entscheidungstext

Entscheidungsart

Bescheid amtswegiges Prüfverfahren

Geschäftszahl

DSB-D213.642/0002-DSB/2018Nächster Suchbegriff

Entscheidungsdatum

31.07.2018

Anfechtung beim BVwG/VwGH/VfGH

Dieser Bescheid ist rechtskräftig.

Norm

DSGVO Art4 Z11
DSGVO Art6 Abs1 lita
DSGVO Art7 Abs2
DSGVO Art57 Abs1 lith
DSGVO Art58 Abs2 litd

Text

GZ: Vorheriger SuchbegriffDSBNächster Suchbegriff-D213.642/0002-Vorheriger SuchbegriffDSBNächster Suchbegriff/2018 vom 31.7.2018

 

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

 

 

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet im Rahmen eines amtswegigen Prüfverfahrens gegen den B*****-Automobilclub bezüglich datenschutzrechtlicher Einwilligung wie folgt:

1.    Das amtswegige Prüfverfahren war berechtigt und es wird festgestellt, dass das Formular „Ich werde neues B*****-Automobilclub Mitglied“ des B*****-Automobilclubs im Abschnitt „Information & Datenschutz: Datenschutzrechtliche EINWILLIGUNG gemäß Artikel 6 Abs 1 lit a DSGVO zu Marketingzwecken“ nicht den Vorgaben der DSGVO entspricht.

2.    Dem B*****-Automobilclub wird aufgetragen, innerhalb einer Frist von drei Monaten bei sonstiger Exekution seine „datenschutzrechtliche Einwilligung gemäß Artikel 6 Abs. 1 lit. a DSGVO zu Marketingzwecken“ den gesetzlichen Erfordernissen anzupassen.

 

Rechtsgrundlagen: Art. 4 Z 11, Art. 7 Abs. 2, Art. 57 Abs. 1 lit. h und Art. 58 Abs. 2 lit. d der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), ABl. Nr. L 199 S. 1.

BEGRÜNDUNG

A. Verfahrensgang

Die Datenschutzbehörde nahm den Abschnitt „Information & Datenschutz: Datenschutzrechtliche EINWILLIGUNG gemäß Art. 6 Abs. 1 lit. a DSGVO zu Marketingzwecken“ im Formular „Ich werde neues B*****-Automobilclub Mitglied“ des B*****-Automobilclubs zum Anlass ein amtswegiges Prüfverfahren einzuleiten, da der Verdacht bestand, dass dieser Abschnitt nicht den datenschutzrechtlichen Vorgaben der DSGVO entspreche.

Der B*****-Automobilclub erwiderte in seiner Stellungnahme vom 25. Juni 2018 im Wesentlichen, dass der verfahrensgegenständliche Abschnitt den Kriterien der DSGVO entspreche. Insbesondere sei die gegenständliche Einwilligung derart konzipiert, dass die betroffene Person sich durch das Ankreuzen der vorhandenen Kästchen entscheiden könne, ob und in welcher Form sie Marketing-Zusendung erhalten möchte. Auch sei die vorformulierte Einwilligungserklärung klar und deutlich aufgebaut und daher entsprechend der DSGVO in verständlicher und leicht zugänglicher Form gehalten.

B. Verfahrensgegenstand

Aufgrund des oben angeführten Vorbringens ergibt sich, dass Verfahrensgegenstand in diesem amtswegigen Prüfverfahren die Frage ist, ob der B*****-Automobilclub seine vorformulierte Einwilligungserklärung entsprechend den Vorgaben der DSGVO verfasst hat.

C. Sachverhaltsfeststellungen

Der B*****-Automobilclub verschickte an seine Mitglieder Formulare zur Anwerbung von neuen Mitgliedern.

Das Formular ist in zwei Teile untergliedert. Der erste Teil enthält personenbezogenen Daten des Mitglieds selbst, der zweite Teil ist mit „Ich werde neues B*****-Automobilclub Mitglied“ betitelt und dient der Erfassung personenbezogener Daten neuer Mitglieder.

Im zweiten Teil des Formulars befindet sich unter dem Abschnitt „Information und Datenschutz“ folgende Passage (Format und Schriftbild nicht originalgetreu wiedergegeben):

Datenschutzrechtliche EINWILLIGUNG gemäß Artikel 6 Abs 1 lit a DSGVO zu Marketingzwecken: Ich willige ein, dass der B*****-Automobilclub meine personenbezogenen Daten (Vorname, Familienname, Clubkartennummer, Adresse, Telefonnummer, E-Mail-Adresse) zum Zweck der Zusendung/Mitteilung von Informationen über neue Angebote, Produkte und Dienstleistungen wie insbesondere über S*******, Clubartikel, Fahrsicherheitstraining, R*******- und V*******produkte

O per Post               O per elektronischem Übermittlungsweg               O per Telefon

verarbeitet und an die Landesvereine des B*****-Automobilclub* sowie die sonstigen Gesellschaften im B*****-Automobilclub-Verbund** (inkl. B*****-Automobilclub GmbH) für diese Zwecke übermittelt. Die Nutzung der Daten zur Erbringung der Leistungen aus Mitgliedschaft und S******* ist von dieser Einwilligung unabhängig.
Widerruf: Diese Einwilligungen kann ich jederzeit per E-Mail an widerruf@b*****-automobilclub.at oder Brief an B*****-Automobilclub, 1**0 Wien, X**y**Zstraße 2* widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht berührt.“

Darunter befindet sich ein neuer Abschnitt, welcher für das gänzliche Formular gilt, mit einem Textfeld für Datum und Unterschrift.

Beweiswürdigung: Die Feststellungen beruhen auf den Ergebnissen des Ermittlungsverfahrens, insbesondere auf dem verfahrensgegenständlichen Formular des B*****-Automobilclubs selbst.

D. In rechtlicher Hinsicht folgt daraus:

In der gegenständlichen Rechtssache verwendet der B*****-Automobilclub in seinem Formular eine vorformulierte Einwilligungserklärung. Bei einer solchen Einwilligungserklärung handelt es sich um eine datenschutzrechtliche Einwilligung gemäß Art. 4 Z 11 DSGVO (Hervorhebungen durch die Datenschutzbehörde):

Artikel 4

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

[…]

11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

Art. 7 DSGVO normiert die Bedingungen für eine DSGVO-konforme Einwilligung und lautet wie folgt (Hervorhebungen durch die Datenschutzbehörde):

Artikel 7

Bedingungen für die Einwilligung

(1)  Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

(2)  Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

(3)  Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

(4)  Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Aus den genannten Bestimmungen lassen sich folgende Kriterien für eine DSGVO-konforme Einwilligung ableiten: Freiwilligkeit, Bestimmtheit, Information, Verständlichkeit, leichte Zugänglichkeit, klare und einfache Sprache.

In der gegenständlichen Rechtssache ist primär das Kriterium der Verständlichkeit bedenklich:

Da es sich um eine schriftliche Einwilligungserklärung handelt ist Art. 7 Abs. 2 Satz 1 DSGVO anwendbar und muss das Ersuchen um Einwilligung daher in verständlicher und leicht zugänglicher Form, in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Hierzu führt der B*****-Automobilclub selbst in seiner Stellungnahme korrekt aus, dass eine vorformulierte Einwilligungserklärung klar und deutlich aufgebaut sein sollte.

Gegenständlich ist die vorformulierte Einwilligungserklärung des B*****-Automobilclubs jedoch in einer Form aufgebaut, die der betroffenen Person den Eindruck vermittelt, lediglich entscheiden zu können durch welches Medium sie Marketing-Zusendungen erhalten möchte, nämlich per Post, per elektronischem Übermittlungsweg oder per Telefon.

Zudem trägt der allgemeine Aufbau des Formulars, konkret, die Platzierung der Einwilligungserklärung nach Art. 6 Abs. 1 lit. a DSGVO direkt vor der Unterschrift, welche die Anmeldung zur Mitgliedschaft bestätigt, zur weiteren Undeutlichkeit bei. Die betroffene Person kann die optionale Einwilligung der Verarbeitung von personenbezogenen Daten zu Marketingzwecken so als zwingenden Bestandteil des Formulars verstehen und annehmen, dass für die Mitgliedschaft auch die Einwilligung zu einer solchen Verarbeitung erforderlich ist, weil die Unterschrift der betroffenen Person erst nach dieser Textpassage gesetzt wird.

Auch durch den, im unmittelbaren textlichen Zusammenhang stehenden Hinweis auf die Widerrufsmöglichkeit wird der Eindruck vermittelt, einer Datenverarbeitung zu Marketingzwecken jedenfalls zustimmen zu müssen und erst durch die Möglichkeit eines Widerrufs eine Datenverarbeitung zu solchen Zwecken unterbinden zu können („opt-out“-Lösung, welche durch die DSGVO nicht gestattet ist; vgl. dazu Buchner/Kühling in Kühling/Buchner, Datenschutz-Grundverordnung1 (Kommentar) Art. 7 Rz 26).

Als Konsequenz dessen ist auch die Freiwilligkeit einer solch abgegebenen Einwilligung fraglich.

Wie der B*****-Automobilclub hier ebenfalls korrekt ausführt, wird eine Einwilligung dann freiwillig erteilt, wenn die betroffene Person frei entscheiden kann, ob und in welcher Form sie der Datenverarbeitung, welche Gegenstand der Einwilligung ist, zustimmt. Da das gegenständliche Formular eine Auswahlmöglichkeit, ob die betroffene Person überhaupt in die Verarbeitung ihrer personenbezogenen Daten zum Marketingzwecken einwilligt oder nicht, nicht explizit enthält und durch die Platzierung der verfahrensgegenständlichen Textpassage vor dem Feld der Unterschrift suggeriert, dass die Unterschrift auch gleichzeitig eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO darstellt, ist aus Sicht der Datenschutzbehörde auch das Element der Freiwilligkeit nicht gegeben.

Das verfahrensgegenständliche Formular des B*****-Automobilclubs entspricht somit nicht den Vorgaben des Art. 7 Abs. 2 iVm Art. 4 Z 11 DSGVO und war die Datenschutzbehörde daher gemäß Art. 52 Abs. 2 lit. d DSGVO [Anmerkung Bearbeiter: Redaktionsversehen, gemeint offenkundig Art. 58 Abs. 2 lit. d DSGVO] für die Herstellung des rechtskonformen Zustandes berechtigt, den B*****-Automobilclub binnen einer gesetzten Frist anzuweisen, seine vorformulierte Einwilligungserklärung den Vorgaben des DSGVO entsprechend anzupassen.

Eine Frist von drei Monaten erscheint angemessen, die Einwilligungserklärung anzupassen.

Schlagworte

Anweisung an Verantwortlichen, Rechtmäßigkeit der Verarbeitung, Einwilligung, Datenverarbeitung zu Marketingzwecken, Automobilklub, Mitgliederwerbung

European Case Law Identifier (ECLI)

ECLI:AT:Vorheriger SuchbegriffDSBNächster Suchbegriff:2018:Vorheriger SuchbegriffDSBNächster Suchbegriff.D213.642.0002.Vorheriger SuchbegriffDSB.2018

Zuletzt aktualisiert am

29.01.2019

Dokumentnummer

DSBT_20180731_DSB_D213_642_0002_DSB_2018_00