Fünf Jahre nach dem Vorwurf erzwungener Einwilligung: Elkjop mit 1,8 Mio. € Bußgeld belegt

 (thatprivacyguy.com)
1 Punkte von GN⁺ 7 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Der Nordic-Kundenclub der Elkjop-Gruppe verlangte zur Deaktivierung von Marketing-E-Mails eine Abmeldung aus der Mitgliedschaft, worauf ein Mitglied dies 2021 als Verstoß gegen GDPR und ePrivacy rügte
  • Im Kern ging es um die Frage, ob eine Struktur, bei der man auf die Vorteile des Kundenclubs verzichten muss, um Direktmarketing abzulehnen, die Anforderung einer freiwilligen Einwilligung erfüllt
  • Die schwedische Aufsichtsbehörde IMY übergab den Fall an die Zuständigkeit der norwegischen Muttergesellschaft, und Datatilsynet verhängte am 1. Juni 2026 ein Bußgeld von 20 Mio. NOK, also etwas mehr als 1,8 Mio. €
  • Datatilsynet kam zu dem Schluss, dass die Einwilligung erzwungen, nicht spezifisch und nicht ausreichend informiert war und dass die erhobenen personenbezogenen Daten für Werbung und Conversion-Tracking weiterverwendet wurden, ohne die nach GDPR Article 6(4) erforderliche Kompatibilitätsprüfung
  • Der Beschwerdeführer erklärte, er habe vom Ergebnis erst über GDPRhub erfahren, weil die Aufsichtsbehörden ihn nicht über die Entscheidung informiert hätten, und kündigte eine Erklärung von IMY, ein EU-infringement procedure sowie eine Zivilklage gegen Elkjop an

Struktur, bei der die Abmeldung von Marketing zur Kündigung der Mitgliedschaft führte

  • Im Sommer 2021 suchte ein Mitglied des Elgiganten Kundklubb nach einer Möglichkeit, Marketing-E-Mails im Kundenclub zu deaktivieren, den die Elkjop-Gruppe in den nordischen Ländern betreibt
  • Tatsächlich musste zur Beendigung des Marketings die Mitgliedschaft im Kundenclub selbst gekündigt werden
  • Das Mitglied informierte am 30. Juli den Data Protection Officer darüber, dass dieses Vorgehen gegen das Gesetz verstoße
    • GDPR Article 21(2) gewährt jeder Person ein uneingeschränktes Widerspruchsrecht gegen Direktmarketing
    • Nach der ePrivacy Directive ist E-Mail-Marketing nur dann rechtmäßig, wenn eine Einwilligung vorliegt oder eine bestehende Kundenbeziehung besteht und sowohl zum Zeitpunkt der Datenerhebung als auch in jeder späteren Nachricht eine einfache Opt-out-Möglichkeit angeboten wird
    • Nach GDPR Article 4(11) und Article 7 muss eine Einwilligung freiwillig erteilt werden und darf weder an andere Bedingungen geknüpft noch zur Voraussetzung gemacht werden
  • Wenn man auf die Vorteile des Kundenclubs verzichten muss, um ein bereits bestehendes Recht auszuüben, dann ist diese Einwilligung nach dieser Logik nicht freiwillig erteilt

Elkjops Antwort und die Beschwerde

  • Elkjop antwortete sinngemäß, dass der Erhalt von „Marketing/Angeboten“ an die Mitgliedschaft im Kundenclub geknüpft sei
  • Aus Sicht des Mitglieds blieb damit schriftlich festgehalten, dass die Ausübung eines Rechts in eine Beitrittsbedingung umgewandelt wurde
  • Anschließend leitete das Mitglied mehrere Schritte ein
    • Es beantragte formell eine Einschränkung der Verarbeitung nach GDPR Article 18
    • Es stellte ein umfassendes Auskunftsersuchen nach Article 15
    • Der Umfang des Ersuchens umfasste Rechtsgrundlagen, legitimate interest balancing test, Empfänger, Unterauftragsverarbeiter, internationale Übermittlungen und Profiling
    • Es reichte bei der schwedischen Aufsichtsbehörde Integritetsskyddsmyndigheten (IMY) eine Beschwerde ein; das Aktenzeichen lautet DI-2021-6660
  • Das Unternehmen verwies auf eine vage Datenschutzerklärung und verlängerte später die Frist für das Auskunftsersuchen auf 90 Tage mit Verweis auf „Komplexität“ und „begrenzte interne Ressourcen“

Wie aus einer schwedischen Beschwerde ein norwegisches Bußgeld wurde

  • Der Kundenclub wurde von der norwegischen Muttergesellschaft Elkjop Nordic AS betrieben, der auch die tatsächliche Entscheidungsbefugnis über Zwecke und Mittel der Verarbeitung zugeschrieben wurde
  • IMY entschied im September 2022, dass sie nicht die zuständige Aufsichtsbehörde sei
  • Im One-Stop-Shop-System nach GDPR Article 56(1) ist die Aufsichtsbehörde des Staates zuständig, in dem sich die Hauptniederlassung des Controllers befindet
    • Die Hauptniederlassung befindet sich in Norwegen
    • IMY übergab die Untersuchung und die Beschwerde an die norwegische DPA Datatilsynet
    • Datatilsynet nahm den Fall an
  • Danach zog sich der Fall lange Zeit ohne nennenswerte Neuigkeiten hin

Die Entscheidung von Datatilsynet aus dem Jahr 2026

  • Am 1. Juni 2026 verhängte Datatilsynet gegen die Elkjop-Gruppe ein Bußgeld von 20 Mio. NOK, also etwas mehr als 1,8 Mio. €
  • Im Kern entsprach die Entscheidung den Punkten, die bereits in der Beschwerde von 2021 aufgeworfen worden waren
    • Die Einwilligung im Kundenclub war nicht wirksam
    • Die Einwilligung war erzwungen
    • Die Einwilligung war nicht spezifisch
    • Die Mitglieder waren nicht ausreichend informiert worden
  • Datatilsynet war der Auffassung, dass Elkjop die über den Kundenclub erhobenen personenbezogenen Daten zusätzlich für Werbung und Conversion-Tracking genutzt hatte
  • Problematisch war auch, dass vor der Weiterverwendung der personenbezogenen Daten für andere Zwecke keine von GDPR Article 6(4) verlangte Kompatibilitätsprüfung vorgenommen wurde
  • Die Entscheidung umfasst Article 4(11), 5(1)(a), 5(2), 6(1)(a), 6(1)(f) und 6(4)
    • Damit wurden Rechtmäßigkeit, Fairness, Transparenz und Rechenschaftspflicht der gesamten Struktur gemeinsam behandelt

Erzwungene Einwilligung und das Pay-or-Consent-Problem

  • Erzwungene Einwilligung, Pay-or-Consent, gebündelte Einwilligung und Modelle nach dem Muster „Ohne Zustimmung zu allem kein Zugang zum Dienst“ werden in großen Teilen der digitalen Wirtschaft faktisch als Standard eingesetzt
  • Entscheidend ist, dass eine Einwilligung nicht freiwillig sein kann, wenn Nutzer bei einer Ablehnung etwas verlieren, das ihnen ursprünglich zustehen würde
  • Nach fünf Jahren und einem siebenstelligen Bußgeld ist dieser Punkt nun in einer veröffentlichten Entscheidung festgehalten

Pflicht zur Benachrichtigung des Beschwerdeführers und weitere Schritte

  • Der Beschwerdeführer erklärte, er habe an einem Donnerstagmorgen nicht von IMY oder Datatilsynet, sondern über das ehrenamtlich betriebene Wiki GDPRhub von der Entscheidung erfahren
  • GDPR Article 77(2) schreibt vor, dass die Aufsichtsbehörde den Beschwerdeführer über den Stand und das Ergebnis der Beschwerde informieren muss
    • Das ist keine Ermessens- oder Gefälligkeitsfrage, sondern eine gesetzliche Pflicht
    • Problematisch sei, dass die Beschwerde bei IMY eingereicht wurde, der von IMY weitergeleitete Fall in einer Durchsetzung in Millionenhöhe endete, aber keine der beteiligten Behörden den Beschwerdeführer informierte
  • Der Beschwerdeführer verlangte von IMY eine schriftliche Erklärung und setzte eine Frist von fünf Arbeitstagen für die Antwort
  • Falls die Antwort wie erwartet ausfalle, werde er die Angelegenheit im Rahmen eines infringement procedure der Europäischen Union weiterverfolgen
  • Nach Abschluss des aufsichtsrechtlichen Verfahrens stehe zudem noch eine Zivilklage gegen die Elkjop-Gruppe aus; wegen weiterer Details zur rechtswidrigen Datenverarbeitung könne der Umfang der Klage noch größer werden
  • Hätte Elkjop die Beanstandung bereits 2021 akzeptiert, hätte das Unternehmen Bußgeld, rechtswidrige Verarbeitung, Markenschaden und spätere Klagen vermeiden können

Verwandte Beiträge

1 Kommentare

 
GN⁺ 7 시간 전
Hacker-News-Kommentare

  • Gut, dass die Sache am Ende gut ausgegangen ist, und ich wünschte, mehr Menschen würden so handeln, je dystopischer alles wird.
    Gerade in den USA ist man deutlich im Nachteil gegenüber Leuten, die aus Angst, anzuecken oder Unruhe zu verursachen, lieber nichts sagen oder einfach denken „wird schon passen“, wenn man einfach nur seine Rechte wahrnimmt oder alles tatsächlich liest, was man unterschreiben soll.

    • Ich war in einem neuen Krankenhaus, und im Aufnahmeprozess sollte ich auf einem kleinen digitalen Pad „unterschreiben“, damit die Versicherung korrekt abgewickelt werden kann.
      Als ich darum bat, mir eine Papierkopie von dem zu zeigen, was ich unterschreibe, konnten sie nichts finden, und aus irgendeinem Grund konnten sie es auch nicht ausdrucken. Also habe ich schließlich aufgegeben, mit dem Finger irgendwie unterschrieben und wurde behandelt — völlig verrückt.
    • Ich habe in den USA einmal eine Wohnung gemietet, und in den Unterlagen stand, dass der Vermieter Video-, Foto- und Audioaufnahmen von mir und meiner Familie machen und sie für eigene Zwecke einschließlich kommerzieller Zwecke verwenden darf.
      Ich habe widersprochen, aber die Haltung war im Grunde: Wegen einer einzelnen Person holen wir nicht die Rechtsabteilung dazu, und wenn es dir nicht passt, kannst du gehen.
    • Ich bin jemand, der jede einzelne Zeile eines Vertrags liest, den ich unterschreibe, einschließlich Nutzungsbedingungen und Datenschutzerklärungen.
      Eigentlich finde ich es sogar gut, zu sehen, wen das stört. Denn daran erkennt man, wer zwar die Hand schüttelt, aber ohnehin nicht vorhat, sein Wort zu halten.
      Diese Erfahrung hat auch verändert, wie ich solche Dokumente selbst schreibe, und die letzten Nutzungsbedingungen und die letzte Datenschutzerklärung, die ich verfasst habe, waren jeweils kurz genug, um sie in einem Zug zu lesen.
    • Meine Frau hat vor Kurzem entbunden, und als wir im Krankenhaus ankamen, waren die Wehenabstände bereits kurz genug, dass sie aufgenommen werden musste.
      Trotzdem legte das Krankenhaus ihr etwa zehn Seiten Einwilligungsformulare zur Unterschrift vor, und es ist schwer vorstellbar, dass irgendjemand das in so einer Situation tatsächlich liest.
      Genauso schwer vorstellbar ist allerdings auch, dass sie die Aufnahme wegen dieser Formulare verweigert hätten.
    • Ja. Besonders bitter ist, dass sogar in diesem Thread Leute zu sehen sind, die sagen würden: „Diesen Kunden würde ich lebenslang sperren“, nur weil er seine Rechte kennt.
      Dass diese Kultur selbst unter Amerikanern, die sich für Patrioten halten, so weit verbreitet ist, ist erbärmlich.
      Dieses Land wurde durch Rebellion und das Einfordern von Rechten gegründet, und irgendwie scheint heute für viele Bürger genau das Gegenteil zum Ideal geworden zu sein.

  • Die eigentliche Entscheidung (Norwegisch): https://www.datatilsynet.no/contentassets/c8d0551d2a64403285...
    Eine Zusammenfassung des Blogposts und eine maschinell übersetzte Fassung von Abschnitt 5.1 (mit etwas weiterem Inhalt): https://chatgpt.com/share/6a34732c-0fa4-83e8-aae1-95c25dd117...
    Später habe ich gesehen, dass es auch eine offizielle englische Entscheidung gibt: https://www.datatilsynet.no/contentassets/59addbef9c1b48a28f...

  • Der Satz „Um Marketing/Angebote zu erhalten, muss man Mitglied im Kundenclub sein“ ist für mich so nicht ganz nachvollziehbar.
    Wenn gemeint wäre „Um Mitglied im Kundenclub zu werden, ist der Erhalt von Marketing/Angeboten Voraussetzung“, wäre das ein anderes Thema, aber der obige Satz klingt eher so, als sei für den Erhalt von Marketing eine Clubmitgliedschaft nötig.
    Es wirkt, als sei bei der Übersetzung oder Formulierung etwas vertauscht worden.

    • Das ist ein Übersetzungsproblem. Im norwegischen Original war gemeint, dass man Marketingmaßnahmen akzeptieren muss, um dem Treueclub beizutreten, aber die maschinelle Übersetzung hat das wörtlich übernommen, statt es in natürliches Englisch zu übertragen.
    • Ja, es klingt umgekehrt, und vermutlich wäre „Um Mitglied im Kundenclub zu werden, muss man Marketing/Angebote erhalten“ richtiger.
    • Mit „Marketing/Angebote“ sind hier wohl Rabatte gemeint.
      Um Rabatte oder Sonderaktionen zu bekommen, muss man Clubmitglied sein, und als Clubmitglied muss man dem Erhalt von E-Mails zustimmen, während man nach EU-Recht offenbar trotzdem Anspruch auf Zugang zu allen Rabatten hat.
    • Ich verstehe es auch nicht. Dass Mitgliedschaft eine Voraussetzung für den Erhalt ist, bedeutet nach meinem Verständnis nur, dass Nichtmitglieder nichts erhalten können oder sollen, nicht aber, dass Mitglieder zwingend etwas erhalten müssen.
      Das klingt an sich völlig normal und vernünftig.
    • Für mich klang das wie ein Übersetzungsfehler aus einer deutschsprachigen Sprache.
      Zum Beispiel eine Struktur wie: „Das Erhalten von Angeboten ist … eine Bedingung dafür, eingeschrieben zu sein.“

  • Fünf Jahre — das wirkt wie ein schlechter Witz. Demokratie und Rechtsstaatlichkeit scheinen nicht mehr zu existieren.
    Politiker werden immer reicher, niemand stellt sich ihnen entgegen, Ämter werden an Familienmitglieder weitergereicht, und die Steuern steigen weiter, während die Leistungen immer schlechter werden.
    Gleichzeitig ist es auf eine gewisse Weise interessant, die Zerstörung Europas und der westlichen Demokratien live mitzuerleben.
    So ähnlich muss sich dieser schmerzhafte Abstieg am Ende des Römischen Reiches angefühlt haben, und jetzt sehen wir wohl das Ende des europäischen/amerikanischen Imperiums.

  • Es gibt auch das Problem, dass EU-Unternehmen Bewerber vor Vorstellungsgesprächen dazu zwingen, einer anti-datenschutzfreundlichen Richtlinie zuzustimmen. Verwirrenderweise trägt sie den Namen „Datenschutzerklärung“.
    Darin steht, dass das Unternehmen und Dritte, faktisch also praktisch jeder, das Material einschließlich Audio und Bilddaten zu beliebigen Zwecken verwenden dürfen.
    Natürlich ist das in leicht vager Sprache formuliert, die für normale Menschen schwer zu verstehen ist.
    Ich frage mich, ob es in solchen Fällen ähnliche Maßnahmen gegeben hat.

    • Persönlich habe ich so etwas nicht erlebt, aber man kann bei der zuständigen Datenschutzbehörde Beschwerde einlegen.
      Solche Formulierungen dürften die Compliance-Anforderungen nur schwer erfüllen.
      Um die Wirkung zu maximieren, sollte man bei dem Unternehmen ein Auskunftsersuchen nach Art. 15 DSGVO stellen, sich die Liste der tatsächlichen Datenempfänger geben lassen und diesen Punkt ausdrücklich konkret anfordern. Anschließend schickt man an all diese Unternehmen ebenfalls Anfragen.
      Daraus können sich weitere Beschwerdemöglichkeiten ergeben, etwa warum keine Informationen nach Art. 14 übermittelt wurden oder ob die ursprüngliche Rechtsgrundlage — falls es Einwilligung war und diese nicht frei erteilt wurde — überhaupt tatsächlich tragfähig war.
    • Mich hat es kürzlich etwas gestört zu sehen, dass ein EU-Unternehmen https://www.crosschq.com/ verwendet.

  • Ich verstehe seine Position, aber es ist immer noch irgendwie komisch, dass er erneut gegen eine Rechtsbehörde vorgegangen ist, die in dem Fall zu seinen Gunsten entschieden hatte

    • Ich verstehe nicht, was das bedeuten soll. Ich verstehe es so, dass er plant, das betreffende Unternehmen zu verklagen, und vielleicht auch eine Beschwerde gegen die schwedische Datenschutzbehörde einzureichen.
      Zu seinen Gunsten entschieden hat nämlich die norwegische Datenschutzbehörde.
    • Wenn man den Bericht der norwegischen Datenschutzbehörde Datatilsynet liest, wird als Hintergrund auf „mehrere Beschwerden und Hinweise“ verwiesen.
      Vermutlich hat IMY entschieden, dass die Angelegenheit außerhalb ihrer Zuständigkeit liegt, die Beschwerde an Datatilsynet weitergeleitet und dann nach Abschluss des Falls vergessen, Hanff zu informieren — oder von Datatilsynet überhaupt keine Antwort erhalten.
    • Wenn er Einfluss auf die Entstehung der DSGVO hatte, der Rest der Öffentlichkeit insgesamt ein Gefühl der Ohnmacht hat und selbst die zuständigen Behörden ihre Arbeit nicht richtig machen, dann ist er am Ende vielleicht der Einzige, der überhaupt jemanden zur Rechenschaft zieht.

  • Zitat aus dem Original: Die Antwort, die ich ein paar Tage später erhielt, diente freundlicherweise dazu, den Verstoß aktenkundig zu machen. Ihre Position war, in ihren eigenen Worten: „Um Marketing/Angebote zu erhalten, muss man Mitglied im Kundenclub sein.“
    Ich verstehe nicht, wie daraus „Wenn man Clubmitglied ist, muss man zwingend Marketing/Angebote erhalten“ werden soll.
    Für mich bedeutet das einfach: „Nur Mitglieder erhalten Marketing/Angebote.“

  • Die norwegische Datenschutzbehörde Datatilsynet hat meiner Erfahrung nach die Nutzer konsequent im Blick.
    Es ist schade, dass es lange dauert, sich durch das System zu arbeiten, aber sie treffen durchweg gute Entscheidungen.

  • Bei mir wurde das Bild nicht geladen, und ich sah nur den für die Erstellung verwendeten Prompt — ehrlich gesagt ist mir das sogar lieber.

    • Bei mir wurden sowohl das Bild als auch der Prompt angezeigt, aber auf die ganze Seite war kein Styling angewendet.
      Nach einem Neuladen wurde auch das CSS geladen, und der Prompt ist jetzt nicht mehr sichtbar.
      Vermutlich war der Webserver vorübergehend vom Traffic überlastet, sodass bei manchen Besuchern die Bilder und bei anderen die CSS-Dateien nicht zuverlässig ausgeliefert wurden.
    • Könnte es statt des Prompts nicht auch eine Barrierefreiheitsbeschreibung für Screenreader gewesen sein?
    • Dem Modell wurde offenbar vorgegeben, das Ganze im Stil eines „Weitwinkel-Kinostills“ zu erzeugen, aber das Ergebnis wirkt eher illustrativ, was ich ein bisschen lustig finde.

  • Dass Elkjøp tatsächlich mit einer Geldbuße belegt wurde, ist großartig und selbstverständlich richtig, aber dass die betroffene Person darüber weiterhin nicht informiert wurde, ist ziemlich überraschend.

    • Nicht sie waren verpflichtet, mich zu informieren, sondern die schwedische Aufsichtsbehörde IMY.