Schwedische Datenschutzbehörde stärkt Datenschutz in Bezug auf digitale Zeitungsabonnements
In einer Entscheidung vom 1. April 2022 beschäftigte sich die schwedische Datenschutzbehörde (IMY) mit der Beschwerde eines Kunden eines Online-Dienstes für den digitalen Vertrieb von Zeitungen und Zeitschriften. Die Entscheidung wirft ein Licht auf die Bedeutung des Datenschutzes in Bezug auf solche Dienste und könnte Auswirkungen auf ähnliche Geschäftsmodelle haben.
Der Sachverhalt
Ein Kunde meldete sich bei dem Online-Dienst an und lehnte gleichzeitig ab, in Zukunft E-Mails von dem Unternehmen zu erhalten. Trotz dieser Ablehnung erhielt er mehrere E-Mails von dem Unternehmen. Nachdem er sich an den Kundendienst des Unternehmens gewandt hatte, wurde der Versand von E-Mails eingestellt. Das Unternehmen argumentierte, dass es einen Unterschied zwischen E-Mails gibt, die auf einem Vertrag beruhen, und Marketing-E-Mails, die auf einem berechtigten Interesse basieren. Die E-Mails, die der Kunde erhielt, sollten dazu dienen, den Nutzer über den Dienst zu informieren und hatten den Vertrag als Rechtsgrundlage. Das Unternehmen behauptete, dass die persönlichen Daten nicht zu Marketingzwecken verarbeitet wurden.
Die Entscheidung der IMY
Die IMY hatte zu prüfen, ob die Verarbeitung der persönlichen Daten auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden konnte. Dies erfordert, dass die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. Die IMY stellte fest, dass einige der E-Mails Informationen darüber enthielten, wie der Kunde den Dienst personalisieren und personalisierte Empfehlungen basierend auf seinem Leseverhalten erhalten könne. Das Unternehmen informierte auch darüber, dass es personalisierte Inhalte anbietet. Die IMY argumentierte jedoch, dass ein durchschnittlicher Nutzer dies nicht als notwendigen Bestandteil des Dienstes verstehen würde.
Ein weiteres Argument der IMY war, dass das Unternehmen die Möglichkeit bietet, sich von solchen E-Mails abzumelden. Dies legte nahe, dass die Verarbeitung der persönlichen Daten nicht zur Vertragserfüllung notwendig war.
Die IMY verlangte, dass der für die Verarbeitung Verantwortliche nachweist, dass die Verarbeitung tatsächlich erforderlich ist, um den Hauptzweck des Vertrags zu erfüllen. Die IMY argumentierte, dass die E-Mails, die der Kunde erhielt, nicht notwendig waren, um den Hauptzweck des Vertrags zu erfüllen, nämlich das Lesen digitaler Zeitungen und Zeitschriften.
Fazit und Auswirkungen
Diese Entscheidung der IMY könnte Auswirkungen auf ähnliche Geschäftsmodelle haben, wenn andere Datenschutzbehörden eine ähnlich strenge Auslegung des Erforderlichkeitsmerkmals in Art. 6 Abs. 1 lit. b DSGVO verfolgen. Unternehmen, die personalisierte Dienste anbieten und die Verarbeitung auf dieser Grundlage begründen möchten, sollten sicherstellen, dass ihre Begründung konsistent ist und die Betroffenenrechte angemessen berücksichtigt werden.
Die Entscheidung zeigt auch, wie wichtig es ist, Datenschutzrichtlinien und -praktiken sorgfältig zu prüfen und sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen. Datenschutz ist ein wesentlicher Aspekt des Vertrauens zwischen Unternehmen und Kunden, und Unternehmen sollten sicherstellen, dass sie die Privatsphäre ihrer Kunden respektieren und schützen.
