Das hat die KG COM nicht kommen sehen! Online-Hellseher mit 150.000 EUR Bußgeld belegt

Die französische Aufsichtsbehörde (CNIL) verhängte mit Beschluss vom 8. Juni 2023 gegen die KG COM zwei Bußgelder in Höhe von insgesamt 150.000 Euro, weil das Unternehmen seinen Verpflichtungen aus der Datenschutz-Grundverordnung und dem französischen Datenschutzgesetz nicht nachkam. Insbesondere erhob das Unternehmen übermäßig viele Daten sowie sensible Daten ohne vorherige und ausdrückliche Einwilligung. Auch war die Sicherheit der Daten nicht ausreichend gewährleistet.

Hintergrund

Die KG COM bietet über mehrere Websites hellseherische Beratungen per Chat oder Telefon an. Nachdem im Jahr 2020 ein Journalist eine Datenpanne bei der KG COM enthüllte, stellte die CNIL Untersuchungen an.

Hierbei stellte sie fest, dass die KG COM systematisch Telefongespräche mit Kunden aufzeichnete und dabei auch Informationen zu deren Gesundheitszustand oder deren sexueller Orientierung sammelte, ohne dass die KG COM eine ausdrückliche Einwilligung für die Verarbeitung dieser personenbezogenen Daten der besonderen Kategorie einholte. Weiterhin wurden Bankdaten über den erforderlichen Zeitraum hinaus und dazu noch nicht ausreichend verschlüsselt aufbewahrt.

Obwohl das Unternehmen die telefonischen Wahrsagungen und damit auch die Telefonaufzeichnungen zwischenzeitlich eingestellt hatte, konnte es keine Rechtfertigung für die frühere Notwendigkeit liefern, alle Anrufe zum Zwecke der Qualitätssicherung und Nachweisbarkeit von Vertragsabschlüssen systematisch aufzuzeichnen.

Die festgestellte Datenpanne versäumte KG COM zum einen, der Datenschutzbehörde zu melden, weswegen die CNIL in Kooperation mit den Datenschutzbehörden in Belgien, Luxemburg, Italien, Spanien, Portugal, Bulgarien, Berlin und Irland im Rahmen eines One-Stop-Shop-Verfahrens ein Bußgeld von 120.000 Euro verhängte. Hintergrund der Zusammenarbeit war, dass die KG COM in mehreren Mitgliedsstaaten der EU tätig ist.

Die CNIL stellte weiterhin fest, dass das Unternehmen auf seinen Websites nicht ausreichend über die Verwendung von Cookies informierte und diese ohne Einwilligung der Webseitenbesucher auf deren Endgeräten abspeicherte. Dafür verhängte die CNIL ein weiteres Bußgeld von 30.000 Euro.

Wesentliche Faktoren der Bußgeldhöhe

Bei der Höhe der Bußgelder berücksichtigte die CNIL zum einen die besonders hohe Zahl der Verstöße gegen die Datenschutzvorschriften, die Sensibilität der verarbeiteten personenbezogenen Daten (Gesundheitsdaten, Informationen über die sexuelle Orientierung) und die Zahl der betroffenen Personen, aber zum anderen auch die finanzielle Lage des Unternehmens, das nach einem erheblichen Umsatzrückgang für das Jahr 2020 ein negatives Nettoergebnis auswies.

Fazit

Ein datenschutzrechtliches Bußgeld ist auch in Frankreich kein Kavaliersdelikt, sondern kann ernsthafte finanzielle und reputationsbezogene Folgen haben. Um ein solches Bußgeld zu vermeiden, sollten Unternehmen und Organisationen die Anforderungen der DSGVO und der lokalen Datenschutzgesetze sorgfältig beachten und umsetzen. Dazu gehört auch, die Rechte der betroffenen Personen zu wahren, die Sicherheit der Daten zu gewährleisten und im Falle einer Datenschutzverletzung die erforderlichen Schritte zu unternehmen. Nur so kann der Schutz der personenbezogenen Daten in der digitalen Welt gewährleistet werden.