Die Niederländische Datenschutzbehörde Autoriteit Persoonsgegevens teilt mit, dass sie ein DSGVO-Bußgeld iHv. 525.000,- EUR gegen den Tennis-Club Royal Dutch Lawn Tennis Association (KNLTB) wegen unerlaubtem Adressdaten-Verkauf verhängt hat.
Die Pressemitteilung kann hier nachgelesen werden, die konkrete Entscheidung im Original-Wortlaut gibt es hier.
Kern der Beanstandung ist die Weitergabe von KNLTB -Mitgliederdaten an zwei Sponsoren. Im ersten Fall wurden ca. 50.000 Datensätze übermittelt, im zweiten Fall ca. 300.000 Datensätze. Die Weitergaben kündigte der Verein ein paar Monate vorher in seinem Newsletter an seine Mitglieder an. Er wies auf die Möglichkeit des Widerspruchs hin, die der Kunde ausüben müsse, damit die Daten nicht weitergegeben würden.
Die Informationen enthielten u.a.: Vor- und Nachnahme, Adresse, Geschlecht, Telefonnummer, Handynummer, E-Mail-Adresse, Geburtsdatum. In ca. 40.000 Fällen wurden die betreffenden Mitglieder von dem Sponsor telefonisch kontaktiert.
Der Tennis-Club KNLTB rechtfertigte die Datenweitergabe mit zwei Gründen: Zum einen sollte ein Mehrwert für die Mitglieder geschaffen werden. Zum anderen sollten die reduzierten Einnahmen aufgrund der sinkenden Mitgliederzahlen ausgeglichen werden.
Die Niederländische Datenschutzbehörde erkannte dies nicht als ausreichende Sachgründe an. Die Datenweitergabe sei vielmehr ohne Erlaubnis erfolgt und verstoße damit gegen die DSGVO.
Hinsichtlich der konkreten Bußgeldhöhe bewerteten die Datenschützer die Handlungen als schweres Vergehen. Insbesondere habe der Club sich nicht ausreichend informiert. Zwar habe er in der Vergangenheit anwaltlichen Rat eingeholt. Die dort getroffenen Äußerungen stammten aber aus dem Jahr 2017 und würden sich nicht auf die erst 2018 wirksam gewordene DSGVO beziehen. Daher sei eine Geldbuße von 525.000,- EUR angemessen.
Die Entscheidung ist nicht rechtskräftig, der KNLTB hat bereits Rechtsmittel angekündigt.