Belgien: Datenschutzbehörde bestraft Anbieter von "Pink boxes"

Die belgische Datenschutzbehörde verhängte am 27. Januar 2021 gegen das Unternehmen "Family Service", den Anbieter der bekannten Pink Boxes, ein Bußgeld in Höhe von 50.000 Euro und darüber hinaus auch die Verpflichtung zur Änderung seiner Datenverarbeitungstätigkeit. Das Unternehmen teilte unter anderem personenbezogene Daten von mehr als 1 Million Kund*innen mit ihren Geschäftspartnern, ohne über eine entsprechende Rechtsgrundlage für die Weitergabe zu verfügen. Außerdem wurden die Verpflichtungen zur notwendigen Transparenz im Zusammenhang mit der Datenverarbeitung nicht eingehalten.

Bei den Pink Boxes handelt es sich um Geschenkpakete an werdende Mütter, die Produktproben, diverse Angebote und Informationsblätter zu "Babyprodukten" enthalten. Das Geschäftsmodell von Family Service beruht insbesondere darauf, personenbezogene Daten der Kunden (und auch deren Kindern) zu sammeln und an seine Geschäftspartner zu Marketingzwecken weiterzugeben.

• Einer der Hauptvorwürfe der belgischen Behörde war, dass Family Service seine Leistungen nicht transparent genug angeboten hatte. So entstand bei einigen Kunden der falsche Eindruck, bei dem Unternehmen handle es sich um eine staatliche oder gemeinnützige Organisation. Das lag einerseits am Firmennamen aber auch daran, dass die Boxen von Krankenhäusern zur Verfügung gestellt wurden.
• Außerdem befand die Behörde, dass Family Service bei ihren Verarbeitungstätigkeiten, insbesondere der Datenweitergabe dieselben hohen Transparenzverpflichtungen zu erfüllen hätte, wie diese für Werbung bestehen. Dementsprechend hätte das Unternehmen in ihren Informationen ausdrücklich Formulierungen wie "Datenverkauf" und "Direktmarketing" verwenden müssen.
• Ein weiterer Vorwurf der Behörde war, dass es Family Service bei der Festlegung des Zwecks der Verarbeitungstätigkeiten verabsäumt hatte, anzugeben, dass die Daten der Kund*innen gegen eine Vergütung an die Geschäftspartner weitergegeben wurden. Als nicht ausreichend befunden, wurde "die Bereitstellung der personenbezogenen Daten an Geschäftspartner für Direktmarketingzwecke" als Verarbeitungszweck.
• Ferner erachtete es die Behörde für notwendig, die konkreten Empfänger der Daten zu nennen; die bloße Angabe von Empfängerkategorien sei nicht ausreichend. Family Service könne die Nichtbekanntgabe nicht mit dem Schutz von Geschäftsgeheimnissen rechtfertigen.

Family Service stützte sich für ihre Datenverarbeitungen auf die Rechtsgrundlage der Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung wurde jedoch von der Behörde als rechtsunwirksam angesehen. Sie war weder informiert noch freiwillig und wurde als unspezifisch angesehen. Ferner war der Widerrufsmechanismus rechtswidrig. Eine Einwilligung kann laut der Behörde dann nicht als freiwillig angesehen werden, wenn der Erhalt, der mit der Pink Box verbundenen Vorteile an die Abgabe einer Einwilligung geknüpft wird. Die Behörde stellte zudem fest, dass die betroffene Person in der Lage sein sollte, die Einwilligung in dem Moment zu widerrufen, in dem sie erteilt wird. Dementsprechend war es nicht ausreichend, nur eine "Seite" zur Verfügung zu stellen, die die Möglichkeit bietet, die Einwilligung zu widerrufen.

Während manche von der Behörde herangezogenen Transparenzkriterien als sehr streng und möglicherweise als zu weitgehend zu werten sind, stellt sich auch die Frage, ob und inwieweit der Erhalt von scheinbar kostenlosen Produkten oder Leistungen mit einer Werbeeinwilligung gekoppelt werden kann. In Deutschland hat das Oberlandesgericht Frankfurt bereits im Juni 2019 entschieden, dass die Teilnahme an einem Gewinnspiel von der Erteilung einer Werbeeinwilligung abhängig gemacht werden kann. Freiwilligkeit sei dann gegeben, wenn ein Unternehmen einen Kunden nur durch eine Vergünstigung anlockt. In diesem Fall werde er nicht gezwungen, eine Werbeeinwilligung abzugeben; er könne frei entscheiden, „ob ihm die Teilnahme die Preisgabe seiner Daten wert ist.“

In Österreich gibt es zum Thema „Bezahlen mit Daten“ die sogenannte „Der Standard“-Entscheidung aus dem Jahr 2018. Darin hat die österreichische Datenschutzbehörde die Vorgangsweise des Zeitungsverlages im Zusammenhang mit deren Online-Auftritt als rechtmäßig angesehen. Ein Nutzer kann die Inhalte der Webseite nur dann abrufen, wenn er entweder der Verwendung seiner personenbezogenen Daten zu werblichen Zwecken zustimmt oder ein kostenpflichtiges Abo kauft. In diesem Fall lag keine unzulässige Kopplung vor und wird die Einwilligung freiwillig erteilt. Unfreiwillig ist eine Einwilligung immer dann, wenn bei Nichtabgabe der Einwilligung ein Nachteil zu erwarten ist. Die Behörde sah jedoch bei Nichtabgabe einer Einwilligung keinen solchen Nachteil, da der Nutzer die Möglichkeit hat, entweder ein günstiges Abo abzuschließen oder auf ein alternatives Informationsangebot auszuweichen.

Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.