Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat gegen ein Telekommunikationsunternehmen aus NRW ein Bußgeld in Höhe von insgesamt 300.000 Euro verhängt.[1] Anlass waren personalisierte Werbeschreiben, die Verbraucher seit 2022 erhielten. Teils lagen diesen bereits vorausgefüllten Vertragsunterlagen für einen Internet- und Telefonanschluss bei, obwohl die Betroffenen nach eigener Darstellung nie zuvor Kontakt mit dem Anbieter hatten. Viele erkannten aufgrund Aufmachung und Namensähnlichkeit zu einem bekannten (anderen) Telekommunikationsunternehmen nicht, dass sie einen Anbieterwechsel unterschrieben.
Datenschutzrechtliche Einordnung: Transparenzpflicht und Betroffenenrechte
„Der Verstoß gegen Auskunftsrechte der Verbraucherinnen und Verbraucher sowie die hartnäckige Weigerung des Unternehmens, Transparenz über die eigene Datenverarbeitung herzustellen, konnte nicht ohne Antwort bleiben“, erklärte die NRW-Landesbeauftragte Bettina Gayk und bezieht sich damit auf zwei wesentliche datenschutzrechtlich relevante Aspekte.
Zum einen die Transparenzpflicht aus Art. 12 DSGVO. Verantwortliche müssen transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person bereitstellen. Zum anderen und hiermit korrespondierend die Betroffenenrechte. Betroffene haben Anspruch auf Auskunft (Art. 15 DSGVO), Löschung (Art. 17 DSGVO) und Widerspruch gegen bestimmte Verarbeitungen (Art. 21). Wenn ein Unternehmen Anfragen hierzu ignoriert oder die Herkunft der Daten nicht transparent macht, betrifft das den Kernmechanismus der DSGVO-Durchsetzung.
Der Fall im Detail
Besonders sensibel stellte sich in dem sanktionierten Falle dar, dass die verschickten Schreiben ein bereits mit Namen, Adresse und Anschluss vorausgefüllter Auftrag sowie einen Formularteil zur Kündigung beim bisherigen Anbieter enthielten. Die Betroffenen sollten „nur noch“ die IBAN ergänzen und unterschreiben. Die Aufmachung und Namensähnlichkeit zu einem sehr bekannten Anbieter irritierte die Verbraucher und verschleierte, dass es nicht um einen Tarifwechsel beim bisherigen Unternehmen, sondern um einen Anbieterwechsel ging. In der Folge wurden die Verträge unterschrieben und auf den später erfolgten Widerruf bzw. die Kündigung reagierte das Unternehmen teils mit Forderungen einer Schadensersatzpauschale.
Bußgeldentscheidung der LDI NRW
Die LDI NRW verhängte hierfür Bußgelder über 100.000 € und 200.000 € wegen Verstößen gegen Betroffenenrechte und das Transparenzgebot. Die Rechtsgrundlage bildet Art. 83 DSGVO. Danach müssen Geldbußen „wirksam, verhältnismäßig und abschreckend“ sein. Die Höhe richtet sich nach Kriterien wie Art, Schwere und Dauer des Verstoßes, Vorsatz bzw. Fahrlässigkeitsgrad sowie Kooperation. Für Verstöße gegen Betroffenenrechte sieht Art. 83 Abs. 5 lit. b) DSGVO einen Bußgeldrahmen bis 20 Mio. € bzw. 4 % Umsatz vor.
Bewertung der Aufsichtsbehörde & schwere der Verstöße
Im Hinblick auf das Transparenzgebot sei das Unternehmen nach Darstellung des LDI beim Nachweis der Datenherkunft konsequent intransparent geblieben. Die Werbeschreiben enthielten laut LDI NRW nicht die vorgeschriebenen Informationen über die Datenverarbeitung, etwa Angaben zum Verantwortlichen und zum Datenschutzbeauftragten. Verschärfend trat hierzu die mangelnde Kooperation im Verfahren.
Die (systematische) Missachtung von Betroffenenrechten wog ebenfalls besonders schwer. Nach der Darstellung der Landesbeauftragten reagierte das Unternehmen nicht auf Auskunftsansprüche reagiert und ebenso wenig auf Löschersuchen oder Widersprüche gegen die Verarbeitung. Zudem seien Schreiben „entgegen der Einlassung“ des Unternehmens in den meisten Fällen nachweisbar zugegangen. Die Behörde betont im Hinblick auf die Höhe der Bußgelder, dass die Beschwerdeverfahren „sehr schleppend“ verliefen und das Unternehmen trotz klarer gesetzlicher Mitwirkungspflichten „nur sehr eingeschränkt kooperativ“ gewesen sei. Das floss ausdrücklich in die Einschätzung ein, dass eine „empfindliche Geldbuße“ angezeigt sei.
Praktische Auswirkungen
Für Verbraucher bildet dieser Fall ein Warnsignal. Bei „vorausgefüllten“ Vertragsunterlagen lohnt sich ein genauer Blick auf Absender, Markenname und Vertragsinhalt. Der Fall verdeutlicht aber auch, warum Betroffenenrechte aktiv genutzt werden sollte: Ersuchen auf Auskunft, Löschung und insbesondere Widerspruch können helfen, Datenflüsse sichtbar zu machen und zu stoppen und sind ein Hebel, um dubiose Datenquellen aufzudecken.
Für Unternehmen ist die Sanktion ein Zeichen, Transparenz nicht als bloße Formalie zu betrachten: Pflichtinformationen und saubere Prozesse für Betroffenenanfragen sind „Compliance-Grundausstattung“, nicht nur Kür. Direktmarketing braucht belastbare Datenbasis und saubere Dokumentation: Wer Adressdaten nutzt, muss die Datenherkunft und Rechtsgrundlage nachvollziehbar dokumentieren. Außerdem wird klar, dass Kooperation mit der Aufsicht Risiko und Ergebnis beeinflussen können: Verfahrensverschleppung und Nichtreaktion sind regelmäßig „Multiplikatoren“ für eine Sanktion.
Fazit
Der Fall zeigt, dass Aufsichtsbehörde bei „Datenpannen“ klare rote Linien ziehen. Nicht allein die Zusendung personalisierter Werbeschreiben, sondern vor allem der systematische Verstoß gegen Auskunftsrechte und die hartnäckige Weigerung des Unternehmens, Transparenz über die eigene Datenverarbeitung herzustellen, waren aus Sicht der Landesdatenschutzbeauftragten nicht hinnehmbar. Wie Bettina Gayk ausdrücklich betont, konnte dieses Verhalten „nicht ohne Antwort bleiben“.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
