Am vergangenen Freitag, den 24.09.2021, machte das betroffene Unternehmen, die Vattenfall Europe Sales GmbH, eine Pressemitteilung publik, wonach gegenüber dem Energiekonzern ein Bußgeld in sechsstelliger Höhe ergangen sei. Das Bußgeld von 900.000 Euro ist vom zuständigen Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) verhängt worden. Eine offizielle Pressemitteilung seitens der Aufsichtsbehörde steht aktuell noch aus und dürfte in Kürze auf der Website des HmbBfDI abrufbar sein. Anlass für die Bußgeldverhängung war ein alleiniger Verstoß gegen die datenschutzrechtlichen Transparenzpflichten gemäß Art. 12 und 13 DSGVO.
Das gerügte (Fehl-)Verhalten
Vorliegend hatte der Energieriese es versäumt, rund 500.000 Kunden in einer Datenschutzinformation bzw. -belehrung ausreichend über einen internen Datenabgleich im Zusammenhang mit Vertragsanfragen für Sonderangebote zu informieren. Hierdurch wurden die von dem Datenabgleich betroffenen Kunden nicht ausreichend und transparent gemäß den Anforderungen der Art. 13 und 14 DSGVO informiert und diese damit im Unklaren gelassen.
Vattenfall hatte im Zeitraum zwischen August 2018 und Dezember 2019 systematisch potenzielle Neukunden darauf überprüft, ob diese in der Vergangenheit bereits Kunden des Konzerns waren und ob sie ein wechselwilliges Verhalten zeigten. Auf diese Weise konnte Vattenfall nachvollziehen, ob die Neukunden häufiger ihren Energieversorger wechseln, um etwaige Bonuszahlungen für sich einzustreichen.
Die Verarbeitung im Rahmen des internen Abgleichs der Kundendaten selbst wurde seitens der Aufsichtsbehörde nicht beanstandet und war vorliegend nicht Gegenstand des Bußgeldverfahrens. In der veröffentlichten Stellungnahme seitens des Unternehmens heißt es dazu: „Die Hamburger Datenschutzaufsichtsbehörde hat nunmehr final bestätigt, dass die von der Vattenfall Europe Sales GmbH verantwortete Datenverarbeitung in der Vergangenheit rechtmäßig war. Gleiches gilt für die Zukunft. Mit dieser verbindlichen Klärung ist für Vattenfall ein wichtiges Ziel erreicht.“
Ob ein solcher Abgleich von Kundendaten, wie er in der Pressemitteilung beschrieben wird, tatsächlich rechtmäßig ist, kann an dieser Stelle nicht hinreichend bewertet werden. Jedenfalls hat Vattenfall das kassierte Bußgeld in der verhängten sechsstelligen Höhe akzeptiert. Die Höhe des Bußgeldes konnte der Konzern wohlmöglich zum einen durch eine umfassende Kooperation mit der zuständigen Behörde und zum anderen durch die direkte Einstellung des intransparenten Datenabgleichs unmittelbar nach Tätigwerden der Behörde zu seinen Gunsten beeinflussen.
Kurzer Ausblick
Ein Bußgeld dieser Größenordnung – auch wenn dieses vorliegend unter Berücksichtigung des Art. 83 DSGVO und den darin genannten Bedingungen für die Verhängung von Geldbußen durchaus höher hätte ausfallen können – entfaltet stets Signalwirkung. So zeigt der vorliegende Fall deutlich auf, dass für die Verhängung einer Geldbuße nicht zwingend ein rechtswidriges Verhalten vorausgehen muss, sondern auch die Missachtung und Verletzung von Betroffenenrechten genügt, um eine wirkungsvolle und abschreckende Geldbuße zu verhängen. Unternehmen sind bei einem Kontakt mit der Aufsichtsbehörde gut beraten, bei der Sachverhaltsaufklärung mitzuwirken, um das „Bußgeld-Schreckgespenst“ möglichst schnell und zu Unternehmensgunsten abzuwehren und den Schaden durch eine verhängte Geldbuße möglichst klein ausfallen zu lassen.