AEPD verhängt 1.500.000 Euro Bußgeld gegen EDP ENERGÍA, S.A.U.

Spanien: Gegen den Energieversorger waren bei der spanischen Datenschutzbehörde eine Vielzahl an Beschwerden seitens Betroffener eingegangen, die im Zusammenhang mit Vertragsabschlüssen über deren Stromversorgung standen. 
EDP ENERGÍA, S.A.U hatte die Vertragsabwicklung über mehrere Kanäle vollzogen. Zu diesen gehörten Telefonhotlines, ein Website-Formular sowie Geschäftsstellen und externe Mitarbeiter für Abschlüsse mit persönlichem Kontrakt. Wie die Datenschutzbehörde feststellte, hatte der Energieversorger die Betroffenen bei der Erhebung ihrer Daten, insbesondere bei telefonischen Vertragsabschlüssen, dabei nicht ordnungsgemäß nach Art. 13 DSGVO informiert. So waren die Betroffenen nicht über ihre Rechte gem. Art. 15 bis Art. 22 DSGVO aufgeklärt worden und die Angaben zum Verantwortlichen (bspw. zu seiner Adresse) waren unvollständig, wodurch eine Kontaktaufnahme und damit der Zugang zu weiteren Informationen zur Datenverarbeitung erschwert wurde. Im Laufe der Ermittlungen hatte EDP ENERGÍA zu seiner Verteidigung angeführt, dass diese Informationen an anderer Stelle durchaus enthalten sind und durch eine einfache Suchanfrage von den Betroffenen aufgefunden werden können. Dies wies die Datenschutzbehörde ausdrücklich zurück und betonte in diesem Zusammenhang, dass die entsprechenden Informationen den Betroffenen vom Verantwortlichen aktiv zur Verfügung gestellt werden müssen. 
Des Weiteren erlaubte die Geschäftspraxis des Unternehmens, mit Ausnahme von Abschlüssen über die Website oder in assoziierten Filialen Dritter, Verträge mit Kundenvertretern, statt mit den Kunden direkt abzuschließen. In solchen Fällen wurde dabei von Seiten EDP ENERGÍA allerdings nicht überprüft, ob tatsächlich eine Vertretungsberechtigung für die Betroffenen vorlag. Im Rahmen telefonischer Vertragsabschlüsse wurde seitens des Unternehmens von den vermeintlichen (d.h. ungeprüften) Vertretern ferner ihre Einwilligung zur Verarbeitung der Daten der Betroffenen für Werbezwecke als hinreichend gewertet. Indem der Bußgeldempfänger es versäumt hatte, ein Verfahren zur Überprüfung der Autorisierung der angeblichen Vertreter zu implementieren, hatte er nach Auffassung der Datenschutzbehörde seine Pflicht verletzt, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen zu realisieren.
EDP ENERGÍA, S.A.U. war in den Jahren 2018 und 2019 bereits mehrmals von der spanischen Datenschutzbehörde aufgrund unrechtmäßiger Vertragsabschlüsse sanktioniert worden. Auch damals hatte das Unternehmen die Verträge nicht direkt mit den Betroffenen, sondern mit einem Dritten geschlossen, welcher dem Versorger gegenüber als der Vertreter der Vertragsnehmer aufgetreten war und zu keinem Zeitpunkt nachweisen konnte, tatsächlich über die Berechtigung zur Vertretung der Betroffenen zu verfügen. EDP ENERGÍA hatte die Existenz der Vertretungsvollmacht des Dritten nicht ordnungsgemäß geprüft und die Daten der Betroffenen entsprechend ohne deren Einwilligung erfasst und u.a. zur Vertragsdurchführung verwendet. Trotz mehrerer Sanktionen hatte das Unternehmen seine Prozesse daraufhin nicht den gesetzlichen Vorgaben angepasst. Bereits am 13. Juni 2019 gingen wieder die ersten Beschwerden von Betroffenen gegen das Unternehmen ein, welche die unrechtmäßige Datenverarbeitung rund um Vertragsabschlüsse zur Stromversorgung zum Gegenstand hatten.
Das Bußgeld steht im Zusammenhang mit der an die EDP COMERCIALIZADORA, S.A.U. verhängten Geldbuße. Es setzt sich anteilig aus 1.000.000 Euro für einen Verstoß gegen Art. 13 DSGVO und 500.000 Euro für einen Verstoß gegen Art. 25 DSGVO zusammen. .

Verwandter Beitrag  AEPD verhängt 1.000 Euro Bußgeld gegen INVERTIA TENERIFE 2019

Veröffentlicht am: 05-05-2021

Quelle von dsgvo-portal.de