Auf einen Blick
Der Garante für den Schutz personenbezogener Daten hat ein Verfahren gegen Zena s.r.l.s. eingeleitet, weil das Unternehmen einen Nutzer ohne gültige Einwilligung in eine WhatsApp-Gruppe mit 47 Mitgliedern aufgenommen und deren Mobiltelefonnummern sichtbar gemacht hatte. Das Unternehmen hatte die Maßnahme mit einer angeblich „breiten Einwilligung“ gerechtfertigt, die aus einem Kauf bei Amazon resultierte. Der Garante stellte jedoch überwiegend werbliche Zwecke fest, die nicht durch eine geeignete Rechtsgrundlage gedeckt waren.
Hintergrund
Das Büro des Garante hat diese Argumente beanstandet und festgestellt, dass der Chat „offensichtlich werbliche Zwecke“ hatte. Unter den von der Gesellschaft in der Gruppe veröffentlichten Nachrichten befanden sich explizite Werbebotschaften wie „Guten Morgen!!! Wir schreiben Ihnen von Zena Padel, es gibt viele Rabatte auf unserer Website!!! www.zenapadel.com“ und „Guten Morgen, auf der Website www.zenapadel.com gibt es alle Verkäufe, die es natürlich nicht auf Amazon gibt“.
Warum es wichtig ist
Für einen DSB oder einen IT-Verantwortlichen unterstreicht dieser Fall die Bedeutung der Implementierung strenger Verfahren für die Verwaltung von Einwilligungen und Datenschutzerklärungen. Die Sichtbarkeit der Telefonnummern mehrerer Nutzer ohne deren explizite Einwilligung kann zudem eine Verletzung des Schutzes personenbezogener Daten (Data Breach) darstellen, was eine sorgfältige Risikobewertung und die Umsetzung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen erfordert. Die NIS2-Richtlinie, obwohl hier nicht direkt anwendbar, stärkt das Konzept der Risikosteuerung und der Meldung von Vorfällen, Grundsätze, die auch der DSGVO zugrunde liegen.
Was zu tun ist
- Stets eine explizite, spezifische und informierte Einwilligung einholen, bevor Nutzer in Messaging-Gruppen oder für Werbezwecke aufgenommen werden.
- Sicherstellen, dass die Rechtsgrundlage für jede Verarbeitung personenbezogener Daten klar definiert, dokumentiert und gültig ist.
- Klare, vollständige und leicht zugängliche Datenschutzerklärungen bereitstellen, die die Zwecke der Verarbeitung und die Rechte der betroffenen Personen detailliert darlegen.
- Technische und organisatorische Maßnahmen implementieren, um Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Design und by Default) zu gewährleisten und die Offenlegung personenbezogener Daten zu minimieren.
- Interne Richtlinien zur Nutzung von Messaging-Plattformen für die Kundenkommunikation regelmäßig überprüfen und aktualisieren.
Was zu vermeiden ist
- Nutzer automatisch in Werbechatgruppen aufnehmen, ohne deren spezifische und unmissverständliche Einwilligung eingeholt zu haben.
- Einen allgemeinen Kauf als eine „breite Einwilligung“ für Marketingzwecke zu interpretieren, die für die Vertragserfüllung nicht zwingend erforderlich sind.
- Personenbezogene Daten (wie Mobiltelefonnummern) mehrerer Nutzer in einer Gruppe ohne ausdrückliche Genehmigung jeder betroffenen Person sichtbar machen.
- Nutzerbeschwerden bezüglich der Verarbeitung personenbezogener Daten unterschätzen und keine erschöpfenden und konformen Antworten geben.
Praktische Auswirkungen
Organisationen müssen ihre Datenschutz-Governance stärken und sicherstellen, dass jede Aktivität, die personenbezogene Daten betrifft, durch eine solide und dokumentierte Rechtsgrundlage gestützt wird. Die Nutzung von Kommunikationsmitteln wie WhatsApp für kommerzielle oder werbliche Zwecke erfordert eine sorgfältige Bewertung der Auswirkungen auf den Datenschutz und die Einführung von Praktiken, die die volle Achtung der Rechte der betroffenen Personen gewährleisten. Nichteinhaltung, selbst bei scheinbar geringfügigen Praktiken, kann zu erheblichen Sanktionen und Reputationsschäden führen.
Empfohlene Maßnahmen
- Eine interne Prüfung der Verfahren zur Einholung der Einwilligung für alle Marketing- und Kommunikationsaktivitäten durchführen.
- Das Personal in Bezug auf Best Practices im Datenschutz und die Verwaltung personenbezogener Daten schulen, einschließlich der zulässigen Nutzung von Messaging-Plattformen.
- Die Implementierung von Systemen prüfen, die die Einwilligung der Nutzer für verschiedene Verarbeitungszwecke transparent und widerrufbar nachverfolgen.
- Alternativen zu WhatsApp-Gruppen (z.B. Broadcast-Listen, wenn einseitig und mit Einwilligung) in Betracht ziehen, die eine größere Kontrolle über die Sichtbarkeit der Nutzerdaten gewährleisten.
Zu vermeidende Fehler
- Annehmen, dass ein Kunde automatisch bereit ist, Werbemitteilungen über nicht explizit autorisierte Kanäle zu erhalten.
- Keine klare Dokumentation zu besitzen, die die Einwilligung für jeden spezifischen Zweck der Datenverarbeitung nachweist.
- Die Bedeutung der Rechte der betroffenen Personen, wie das Widerspruchs- oder Löschungsrecht, ignorieren oder minimieren.
Fragen zur Selbsteinschätzung
- Haben wir eine explizite und granulare Einwilligung für alle Marketing- und Kommunikationszwecke, die personenbezogene Daten unserer Kunden betreffen, eingeholt?
- Wie verwalten und dokumentieren wir die Einwilligungen der Nutzer, und wie ist deren Widerrufsmöglichkeit gewährleistet?
- Sind die personenbezogenen Daten unserer Kunden in einem von uns genutzten Gruppenkommunikationssystem für andere Nutzer sichtbar, und haben wir die spezifische Einwilligung für diese Offenlegung?
- Sind unsere Datenschutzerklärungen ausreichend klar und zugänglich, um Nutzer darüber zu informieren, wie ihre Daten verarbeitet werden und welche Rechte sie haben?
Verweise
Nationales Recht: Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (GDPR) · Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196) · Regolamento (UE) 2016/679 (GDPR) art. 58 par. 2 · Codice in materia di protezione dei dati personali (d.lgs. 196/2003) art. 166 comma 5 · Codice in materia di protezione dei dati personali (d.lgs. 196/2003) art. 157
Zum Originalartikel auf garanteprivacy.it ↗
Lesen Sie auch
- PL Consulting und Studio Pfeifer & Partners: Pioniererfolg mit ISO 9001 und BIM 11 Jul 2026
- Die Rolle des DSB: Wann er Pflicht ist und warum er strategisch für Ihr Unternehmen ist 11 Jul 2026
- Chatkontrolle in Europa: Vorschlag, Debatte und Implikationen für Datenschutz und Cybersicherheit 10 Jul 2026
