Im Oktober 2021 untersuchte die ungarische Datenschutzbehörde (NAIH) die Datenverwaltungspraktiken im Zusammenhang mit der Messung der Kundenzufriedenheit, die von einem Automarkenservice und einem damit kooperierenden Autoimporteur durchgeführt werden.

Es ist an sich nicht rechtswidrig, Fragebögen zur Kundenzufriedenheit ausschließlich auf der Grundlage der Rechtsgrundlage berechtigtes Interesse" gemäß Artikel 6 (1) (f) der DSGVO zu versenden, aber es ist wichtig, mehr Informationen und das Recht auf Vorrang bereitzustellen Einspruch gegenüber den Adressaten.

1.) Tatbestand

Der Beschwerdeführer, der sich an die Datenschutzbehörde wandte, gab seine E-Mail-Adresse an den Händler weiter, der sein Auto gewartet hatte. Daraufhin erhielt er eine unaufgeforderte E-Mail an diese E-Mail-Adresse von einem Autoimporteur, in der er aufgefordert wurde, eine Umfrage zur Kundenzufriedenheit auszufüllen, und dann eine weitere E-Mail, in der er aufgefordert wurde, den Fragebogen aufgrund fehlender Antwort erneut auszufüllen.

Die E-Mail enthielt keine Informationen

  • über den Absender der E-Mail,
  • darüber, dass welche personenbezogenen Daten des Adressaten verwaltet,
  • und aus welcher Quelle er diese hat.

Die Rechtsgrundlage für den Versand der E-Mail gemäß Artikel 6 der DSGVO ebenfalls fehlte und der Hinweis, wo der Adressat weitere Informationen zum Umgang mit seinen Daten finden kann.

Die NAIH prüfte in seinem Verfahren vor allem, ob die Datenverarbeitung im Zusammenhang mit den vom Importeur versandten Kundenzufriedenheits-E-Mails rechtmäßig war, insbesondere ob der Importeur die personenbezogenen Daten und Leistungsdaten des Beschwerdeführers rechtmäßig von dem Marken-Dienstleister erhalten hatte.

2.) Datenschutzprüfung eines Vertrages mit Kundenzufriedenheitsmessung

Hinsichtlich der Datenübermittlung argumentierte der Markendienst, dass er bei der Datenübermittlung nur auf der Grundlage eines Markendienstleistungsvertrags mit dem Importeur gehandelt habe. Daher prüfte die NAIH im Zuge der Ermittlungen zunächst den Vertrag.

Gemäß den Vertragsbestimmungen hat der Importeur die Datenübermittlung als einseitige Verpflichtung seitens des Markenservices auferlegt. Das Autohaus war beispielsweise verpflichtet, ein Kundenverzeichnis in der vom Importeur vorgegebenen Form zu führen, dessen Daten dem Importeur regelmäßig und kontinuierlich zur Verfügung zu stellen waren, und Produkte und Dienstleistungen zu entwickeln und zu empfehlen, die am besten mit den Kundenerwartungen zusammenpassen.

Gemäß dem Vertrag hingen die Messung der Kundenzufriedenheit, die Definition der zugehörigen Daten und die Verpflichtung zur Bereitstellung von Markendienstdaten ausschließlich von der einseitigen Entscheidung des Importeurs abhing.

Der NAIH stufte den Vertrag zwischen dem Markenservice und dem Importeur daher aus datenschutzrechtlicher Sicht als Auftragsverarbeitungsvertrag im Sinne ein.

Die praktische Konsequenz daraus ist , dass die NAIH stellte keine Zuwiderhandlung seitens des Markendienstes fest, da sie ihn nicht als Datenverantwortlichen zum Zweck der Messung der Kundenzufriedenheit ansah.

Welche Mängel hat die NAIH festgestellt?

NAIH stellte jedoch drei Hauptverstöße seitens des Importunternehmens fest: Welche Mängel hat die NAIH festgestellt? NAIH stellte jedoch drei Hauptverstöße seitens des Importunternehmens fest:

1. Mangel an angemessenen Datenschutzinformationen.

Das Unternehmen verarbeitete die E-Mail-Adresse, Privatanschrift und Telefonnummer des Beschwerdeführers sowie die technische Identifikation seines Fahrzeugs, da angemessene individuelle Informationen und eine gültige Rechtsgrundlage während der Kundenzufriedenheitsumfrage fehlten. Damit verstößt das Unternehmen gegen den Grundsatz der rechtmäßigen und transparenten Datenverarbeitung gem. Art. 5 Abs. 1 lit. a DSGVO, in knapper, transparenter, verständlicher und leicht zugänglicher Form gem. Art. 12 Abs. 1 DSGVO und Art. 13 DSGVO , die Pflicht zur Bereitstellung klarer und verständlicher Informationen und der Grundsatz der Rechenschaftspflicht gemäß Artikel 5 Absatz 2 der DSGVO.1. Mangel an angemessenen Datenschutzinformationen. Das Unternehmen verarbeitete die E-Mail-Adresse, Privatanschrift und Telefonnummer des Beschwerdeführers sowie die technische Identifikation seines Fahrzeugs, da angemessene individuelle Informationen und eine gültige Rechtsgrundlage während der Kundenzufriedenheitsumfrage fehlten. Damit verstößt das Unternehmen gegen den Grundsatz der rechtmäßigen und transparenten Datenverarbeitung gem. Art. 5 Abs. 1 lit. a DSGVO, in knapper, transparenter, verständlicher und leicht zugänglicher Form gem. Art. 12 Abs. 1 DSGVO und Art. 13 DSGVO, die Pflicht zur Bereitstellung klarer und verständlicher Informationen und der Grundsatz der Rechenschaftspflicht nach Artikel 5 Absatz 2 der DSGVO.

2. Ungültigkeit der Rechtsgrundlage für die Datenverarbeitung.

Rechtsgrundlage für die Kundenzufriedenheitsmessung des Unternehmens ist das berechtigte Interesse des Unternehmens, als alleiniger Importeur der betreffenden Fahrzeuge in Ungarn zu überprüfen, ob die ungarischen Händler- und Servicepartner die geforderten Qualitätsanforderungen erfüllen.

Die Vorhersehbarkeits- und Garantiebedingungen der DSGVO waren jedoch nicht erfüllt, da der Beschwerdeführer das Eintreffen der Zufriedenheitsmessungs-E-Mail mangels angemessener Informationen vernünftigerweise nicht vorhersehen konnte und keine Möglichkeit hatte, dagegen Einspruch einzulegen, dass er keine E-Mails über Kundenzufriedenheitsmessungen erhalten möchte.

Daher ist laut NAIH die Rechtsgrundlage für ein berechtigtes Interesse in diesem speziellen Fall daher nicht gültig.

Die Einrede des berechtigten Interesses greift daher laut NAIH in diesem konkreten Fall nicht.

3. Umgang mit unnötigen Daten.

Der Hauptzweck der Kundenzufriedenheitsmessung ist nach Angaben des Unternehmens statistisch und trendmäßig, jedoch ist laut NAIH die Identifizierung der betroffenen Person für diesen Zweck nicht erforderlich. In der Praxis bedeutet dies, dass Name, Adresse, Telefonnummer, Alter und Geschlecht der betroffenen Person für eine E-Mail-Anfrage nicht erforderlich sind.

Das Unternehmen hätte bei seiner Interessenabwägung berücksichtigen müssen, ob die Erhebung und Speicherung einzelner Servicedaten auf personenbezogener Basis zwingend erforderlich ist oder ob sowohl statistische als auch mögliche Beschwerdebearbeitungszwecke auf andere Weise zur Verfügung stehen.

Um Fehler bei der Datenverwaltung zu umgehen, müssen daher bestimmter datenschutzrechtliche Maßgaben besser und detaillierter im Auge behalten werden.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.