Frankreich: Kommerzielle Werbung und Datenschutz

​veröffentlicht am 20. September 2022 | Lesedauer ca. 2 Minuten

Die ACCOR-Gruppe wurde am 3. August zu einer Verwaltungsgeldstrafe von 600.000 Euro wegen verschiedener Verstöße gegen die Vorschriften zum Schutz personenbezogener Daten verurteilt. Diese Verstöße erfolgten im Rahmen der Marketingpolitik des Hotelkonzerns, der wie die meisten Unternehmen Newsletter an seine Kunden in Frankreich und im Ausland versendet.

Der Schutz personenbezogener Daten wird hauptsächlich durch eine europäische Verordnung („DSGVO") und in Frankreich durch das Gesetz „Informatique & Libertés" geregelt. Speziell die Nutzung personenbezogener Daten für die Marketing-Aktivitäten auf elektronischem Wege (Mailing) ist ebenfalls im „Gesetzbuch über Post und elektronische Medien" geregelt.

Viele B2C-Unternehmen fragen sich immer noch, ob und wie sie ihre Kunden- oder Interessentendateien (die sie angeblich rechtmäßig besitzen oder erworben haben) für den Versand elektronischer Mitteilungen (insbesondere Newsletter) nutzen dürfen. Es sei daran erinnert, dass jede „Verarbeitung" (Nutzung) personenbezogener Daten, wie z. B. die Politik der Kundenwerbung, auf einer der sechs in der DSGVO vorgesehenen Rechtsgrundlagen beruhen muss, zu denen (i) das Gesetz, (ii) der Vertrag, (iii) die Einwilligung und (iv) das berechtigte Interesse des für die Verarbeitung verantwortlichen Unternehmens gehören.

Im Bereich der elektronischen Werbung (z. B. Versand von Newslettern) haben die Wirtschaftsakteure inzwischen gut verinnerlicht, dass die spezifische und vorherige Einwilligung der Person in die Werbung die Regel ist, wobei diese Einwilligung nachweisbar sein muss (dedizierte Unterschrift, dediziertes Kästchen zum Ankreuzen, Videoaufzeichnung usw.). Diese Zustimmung erfolgt typischerweise online in Form eines Kästchens zum Ankreuzen am Ende eines Formulars oder in Geschäften durch eine Unterschrift auf einem erklärenden Formular. Daher wissen die Unternehmen jetzt genau, dass das Vorkreuzen des Kästchens, in dem die Einwilligung verlangt wird, ebenso verboten ist wie die Anzeige eines einzigen Kästchens für mehrere unterschiedliche Einwilligungen (z. B.: Zustimmung zu den AGB und Zustimmung zu Werbeaktionen). Die Handlung des Kunden oder Interessenten muss aktiv und offenkundig sein und darf nicht erzwungen oder vorausgesetzt werden.

Um jedoch zu vermeiden, dass die Vorabzustimmung der Zielpersonen eingeholt werden muss, oder einfach aus fahrlässigem Grund, argumentieren einige Unternehmen oder Agenturen mit dem berechtigten Interesse eines jeden kommerziellen Unternehmens, per E-Mail oder online Werbung zu betreiben, um ihre Dienstleistungen in der Öffentlichkeit, insbesondere bei ihren Kunden, bekannt zu machen.

Es gibt in der Tat eine Ausnahme bezüglich der „Einwilligung", deren Rechtsgrundlage diesmal das berechtigte Interesse des Unternehmens ist. Diese Ausnahme ist sehr begrenzt und gilt nicht für potenzielle Kunden (Interessen). Sie erlaubt das Versenden von Marketingmitteilungen an bestehende Kunden ohne Einwilligung nur dann, wenn drei Bedingungen kumulativ erfüllt sind:

1. Die Daten des Kunden müssen direkt von ihm bei der Erstellung der Nachricht erhoben worden sein,
2. die Kommunikation darf sich nur auf Produkte oder Dienstleistungen beziehen, die analog zu den bereits an den besagten Kunden gelieferten Produkten oder Dienstleistungen sind,
3. der besagte Kunde wurde bei der Datenerfassung wie auch in jedem Mailing korrekt über sein Recht informiert, gegen diese Sendungen Einspruch zu erheben.... Einspruch, den das Unternehmen, das ihn erhält, effizient und nach den von der DSGVO vorgeschriebenen Fristen und Modalitäten bearbeiten muss. Es handelt sich also hier um ein "Opt-out" und nicht um ein "Opt-in".

Unabhängig von der Situation, ob Regel oder Ausnahme, sei daran erinnert, dass es für eine rechtmäßige Verarbeitung personenbezogener Daten unerlässlich ist, dass die betroffenen Personen zum Zeitpunkt der Erhebung ihrer Daten eindeutig informiert worden sind. Die Informationen müssen sich insbesondere auf (i) die Art der Verarbeitung (bei einem Kunden in der Regel über das Kaufformular oder einen Link zur Datenschutzpolitik des Unternehmens), (ii) die Rechte des Kunden oder Interessenten in Bezug auf diese Verarbeitung und (iii) die Modalitäten zur Ausübung dieser Rechte beziehen.

So sollten die Personen dank vollständiger und verständlicher Informationen leicht in der Lage sein, entweder ihre Einwilligung zu widerrufen (wenn die Einwilligung die Rechtsgrundlage ist) oder sich der Verarbeitung zu widersetzen (wenn das berechtigte Interesse (Opt-out) die Rechtsgrundlage ist, abgesehen von Ausnahmen...).

Zurück zu unserem Fall ACCOR: In diesem Fall hat die französische Regulierungsbehörde („CNIL") nach mehreren Kundenbeschwerden und Online- und Vor-Ort-Kontrollen das Unternehmen ACCOR SA bestraft, weil es mehrere dieser Leitprinzipien der DSGVO nicht eingehalten hat:

• Das mit der Zustimmung zum Erhalt von Newslettern verbundene Kästchen war vorab angekreuzt, eine vollkommen unentschuldbare Nachlässigkeit. Selbst wenn also der Anschein zur Einholung einer Einwilligungserklärung bestand, war diese erzwungen und daher ungültig;
• Accor verschickte an die Gäste seiner Hotels einen 'Newsletter', der nicht nur Informationen über Hotelleistungen, sondern auch über andere Leistungen des Konzerns und vor allem über Angebote von Drittpartnern (Fluggesellschaften, Autovermietungen...) enthielt. Die Werbung war also nicht auf analoge Dienstleistungen beschränkt, wie die, die den Kunden bereits angeboten wurden (d. h. Hoteldienstleistungen), und ihre Zustimmung hätte daher von Anfang an korrekt eingeholt werden müssen;
  Diese strenge Auslegung könnte ein heikles Problem für die Herausgeber von Newslettern darstellen, die in der Regel auf der Grundlage der Ausnahme von Einwilligungspflicht an Kunden verschickt werden, obwohl die darin enthaltenen Werbeinformationen in der Regel auf weit mehr abzielen als nur auf Produkte oder Dienstleistungen, die den bereits an die genannten Kunden gelieferten ähnlich sind!
• Es gab keine Vorabinformationen für die betroffenen Kunden und Interessenten, und erst recht wurde bei der Online-Kontaktaufnahme kein Link zu einer Datenschutzcharta angeboten;
• Die Wahl der Rechtsgrundlage war daher unangemessen („berechtigtes Interesse" statt „Einwilligung");
• Accor hatte es versäumt, eine wirksame Verwaltung der von bestimmten Kunden ausgeübten Rechte einzurichten, insbesondere die Einhaltung der Fristen für die Bearbeitung der von Kunden erhaltenen Zugangsanträge,  die Möglichkeit auf Widerruf der Dateneinwilligung oder -verarbeitung;

Ein weiteres klassisches, aber allzu oft vernachlässigtes Thema ist die Wahl von Passwörtern, insbesondere die allgemeine Frage zur Sicherung des Informationssystems eines Unternehmens und der Zugriff auf die Werkzeuge zur Speicherung bestimmter Kategorien personenbezogener Daten.  Die Wahl des Passworts ist ein Dauerthema und war bereits Gegenstand zahlreicher Verfahren und Entscheidungen. Auch wenn die Entwicklung von Sicherungstechniken dazu tendiert, Passwörter durch andere Identifikationsschlüssel zu ersetzen, entsprechen diese häufig noch nicht den von der Regulierungsbehörde festgelegten Grundsätzen.

Die französische CNIL hatte hier festgestellt, dass das Passwort für den Zugriff auf das Accor-Programm, das Marketingsendungen an Kunden und Interessenten verwaltet, nicht zuverlässig genug war. Es sei daran erinnert, dass die CNIL in ihren Richtlinien ein Passwort fordert, das je nach Fall aus 8 bis 12 Zeichen besteht, darunter drei oder vier der folgenden Zeichen: eine Zahl, ein Großbuchstabe, ein Buchstabe und ein Sonderzeichen. Dies ist in den meisten Unternehmen nicht üblich, so dass ihnen im Falle eines Diebstahls oder Hackerangriffs auf ihr Informationssystem bestimmte Entschädigungen oder Versicherungen verweigert werden können.

Die bei ACCOR festgestellten Verstöße betrafen eine beträchtliche Anzahl von Personen, erstreckten sich über mehrere Länder und betrafen grundlegende Prinzipien der DSGVO, die insbesondere bei internationalen Konzernen als bekannt vorausgesetzt wurden. Daher verhängte die CNIL trotz einiger Korrekturen, die der Konzern während des Verfahrens vornahm, eine Strafe nach Maß, nachdem sie im Übrigen vom EDSB (der europäischen für die Verfahrenskoordinierung nationaler Behörden zuständigen Super-CNIL) dazu gedrängt worden war, eine erste als unzureichend eingestufte Strafe zu verschärfen.

Einige Wochen zuvor, am 23. Juni, hatte die CNIL die Gruppe TotalEnergies zu einer Geldstrafe von 1 Million Euro verurteilt, ebenfalls wegen ähnlicher Verstöße im Rahmen einer Werbepolitik , die nicht mit den Grundsätzen der DSGVO übereinstimmte. In diesem Fall hatte TotalEnergies jedoch einige der festgestellten Verstöße behoben, weshalb die Strafe angesichts der finanziellen Möglichkeiten des internationalen französischen Konzerns "relativ" moderat ausfiel.