Die Österreichische Datenschutzbehörde hat am 07.03.2019 in einem Bescheid (DSB-D130.033/0003-DSB/2019) festgestellt, dass ein Spam-E-Mail das Grundrecht auf Datenschutz des Empfängers verletzt.
Der Sachverhalt
Wie viele andere Newsletter-Verteiler hat auch ein Unternehmen mit Sitz in den USA an eine betroffene Person in Österreich (daher sind die DSGVO und das DSG anwendbar) am 18. Mai 2018 ein E-Mail gesandt, und mitgeteilt, dass eine Einwilligung benötigt werde, um weiterhin mit der betroffenen Person in Kontakt zu bleiben.
Der Empfänger dieser E-Mail hatte jedoch zuvor niemals seine Einwilligung erteilt, per E-Mail informiert zu werden bzw. einen Newsletter zu erhalten.
Das Verfahren.
Der Empfänger beschwerte sich bei der DSB, da das Unternehmen seine Daten rechtswidrig verarbeitete, und beantragte die Feststellung, dass er in seinem Grundrecht auf Datenschutz verletzt sei.
Die Beschwerdegegnerin verantwortete sich im Verfahren mit einer Stellungnahme vom 13. Februar 2019, in der Art,
„dass sich der Beschwerdeführer Ende 2014 bei der Beschwerdegegnerin zur Teilnahme einer Marketingveranstaltung angemeldet und seine Kontaktdaten übermittelt habe. Vor Geltung der DSGVO habe der Beschwerdeführer eine E-Mail mit der Bitte erhalten, eine Bestätigung abzugeben, sofern der Erhalt von weiteren E-Mails seitens der Beschwerdegegnerin weiterhin gewünscht sei. Der Beschwerdeführer habe der weiteren Kommunikation nicht zugestimmt, allerdings dennoch weiterhin E‑Mails der Beschwerdegegnerin erhalten, was jedoch nicht passieren hätte dürfen. In Anbetracht dessen werde bestätigt, dass der Beschwerdeführer „in allen zukünftigen Marketing-Mitteilungen von N*** vollständig entfernt ist“.
§ 107 TKG ist lex specialis
Die Spammingregelung des Telekommunikationsgesetzes, die grundsätzlich für die Zusendung von Direktwerbung per E-Mail die Einwilligung verlangt, ist eine Spezialnorm im Verhältnis zur DSGVO.
Die DSB verweist dazu auch auf einen bereits früher ergangenen Bescheid, und führt aus:
„Dies bedeutet jedoch nicht, dass dem Beschwerdeführer keine Datenschutzbeschwerde gemäß Art. 77 Abs. 1 DSGVO zusteht. Zwar richtet sich die Zulässigkeit einer Kontaktaufnahme zu Werbezwecken - wie dargelegt - nach den Bestimmungen des TKG 2003 bzw. der e-Datenschutz-RL und nicht nach Art. 6 DSGVO. Jedoch kann durch einen Verstoß gegen das TKG 2003 bzw. die e-Datenschutz-RL gleichzeitig eine Verletzung des Rechts auf Geheimhaltung nach § 1 Abs. 1 DSG und auch eine Verletzung jener Bestimmungen der DSGVO vorliegen, die dem Verantwortlichen keine zusätzlichen Pflichten iSv Art. 95 DSGVO auferlegen (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ DSB D123.076/0003-DSB/2018).
Da für den Versand der E-Mails keine Einwilligung iSd § 107 TKG gegeben war, war auch die Verarbeitung der personenbezogenen Daten für diesen Zweck rechtswidrig. Darin liegt eine Verletzung des § 1 Abs 1 DSG iVm Art 8 Abs 1 EU-GRC.
Der Beschwerdegegner (Verantwortliche) wäre – insbes. da keine „Bestätigung“ der Einwilligung nach dem E-Mail vom 18.05.2018 erfolgte – verpflichtet gewesen, die personenbezogenen Daten zu löschen. Der Verantwortliche hat im Verfahren mitgeteilt, dass die Löschung bereits erfolgt sei, sodass ein Leistungsauftrag durch die DSB (zur Löschung der Daten) nicht ergangen ist.
Fazit:
1. Die Zusendung von E-Mails zur Bestätigung der Einwilligung war Spam, sofern keine Einwilligung
davor bereits iSd § 107 TKG gegeben war.
2. Eine Verletzung der Spamming-Bestimmungen des TKG kann auch eine Verletzung der Bestimmungen des DSG
und der DSGVO darstellen, und es können die Sanktionen uU parallel bestehen.
3. Wenn ein Verantwortlicher im Zuge der „Sanierung“ seiner Einwilligungs-Erklärungen im Jahr 2018 (vor Geltungsbeginn der DSGVO) keine (positiven) Antworten erhalten hat, dann sollte er die personenbezogen Daten entweder löschen (sofern es sich nicht um Kunden oder Lieferanten oder sonstige Personen handelt, deren Daten er aus anderen Zwecken verarbeitet) oder für diesen Zweck nicht mehr verwenden.
15.05.2019, Autor
Michael Schweiger, zert. DSBA
Kommentar schreiben
Dipl.-Ing. Florian Fuchs (Freitag, 24 Mai 2019 09:20)
Sehr geehrter Herr Dr. Schweiger,
ist es aus Ihrer Sicht eigentlich erforderlich, dass die DSB hier die EU-GRC heranzieht?
Ihrem Kommentar im DatKomm zufolge können sich Betroffene doch nach Art 77 DSGVO ohnehin über sämtliche Verletzungen der Bestimmungen der DSGVO beschweren. Hingegen beschränkt die DSB das Beschwerderecht immer nur auf Kapitel III der DSGVO, es sei denn es liegt auch ein Verstoß gegen § 1 DSG bzw. jetzt auch nach Art 8 EU-GRC vor. Auch bei dieser Beschwerde meint sie dazu: „Vor diesem Hintergrund geht die Datenschutzbehörde davon aus, dass das Beschwerderecht nach Art. 77 Abs. 1 DSGVO – neben der Geltendmachung der Verletzung von Betroffenenrechten nach Kapitel III der Verordnung – auch bei internationalen Sachverhalten eine Beschwerdemöglichkeit gestützt auf § 1 Abs. 1 DSG iVm Art. 8 Abs. 1 EU-GRC eröffnet.“