Frankreich: Bußgeld in Höhe von 250.000 Euro gegen die SPARTOO SAS
Der Verstoß gegen die Grundsätze der Datenminimierung und der Speicherbegrenzung hat die Firma Spartoo SAS jede Menge Geld gekostet.
Die französische Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) verhängte ein Bußgeld in Höhe von 250.000 Euro gegen die SPARTOO SAS, einem europaweit agierenden Versandhändler für Schuhe, wegen millionenfacher Verstöße gegen die Grundsätze der Datenminimierung und der Speicherbegrenzung sowie weiterer Verstöße gegen geltendes Datenschutzrecht.
Bereits kurz nach Geltung der DSGVO stattete die CNIL dem französischen Unternehmen einen Besuch ab und prüfte die Umsetzung der Vorgaben aus der DSGVO sowie dem französischen Datenschutzgesetz. Dabei legte die Behörde den Fokus ihrer Prüfung auf die rechtmäßige Verarbeitung von Kunden und Interessentendaten. Als Resultat hat die Behörde Folgendes festgestellt:
Verstoß gegen den Grundsatz der Speicherbegrenzung:
Die SPARTOO SAS verfügte über keinerlei Löschroutinen, geschweige denn über ein dokumentiertes Löschkonzept. Somit sammelte sich über die Jahre eine enorme Datenmenge von Kunden an, die sich zu großen Teilen seit mehreren Jahren nicht mehr in ihr Kundenkonto eingeloggt hatten. Zudem befanden sich in der Datenbank Interessentendaten der letzten Jahre, mit denen nie ein Vertragsverhältnis zustande kam.
Verstoß gegen den Grundsatz der Datenminimierung:
Die SPARTOO SAS zeichnete jedes Telefongespräch mit ihren Kunden auf. Die Behörde billigt zwar eine Aufzeichnung zu Schulungszwecken, hält die Vielzahl der Aufzeichnungen in diesem Zusammenhang aber für zu weitreichend. Darüber hinaus wurde der Umfang der Aufzeichnung beanstandet, da darin auch Kontodaten der Kunden erfasst und gespeichert wurden. Schließlich verlangte SPARTOO zur Identitätsfeststellung eine Kopie des Personalausweises ihrer Kunden. In Italien fand zudem eine Abfrage des Gesundheitsausweises statt. Die Behörden erachteten auch das für zu weitreichend und damit unzulässig.
Weitere Verstöße
Die Behörde rügte die fehlerhaften und unvollständigen Datenschutzhinweise zur Erfüllung der Informationspflichten sowohl gegenüber Kunden als auch gegenüber den eigenen Beschäftigten. Weiterhin fehlte es an ausreichenden technischen und organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus nach Art. 32 DSGVO, insbesondere im Bereich der Passwortsicherheit und der digitalen Datenhaltung.
Die SPARTOO SAS ist nun dazu angehalten, die Mängel innerhalb von drei Monaten zu beheben. Andernfalls droht ein weiteres Zwangsgeld in Höhe von 250 Euro pro Tag.
Das Problem ist nicht neu und wird sicherlich auch in naher Zukunft noch einige Firmen treffen die kein Datenschutzmanagement aufgebaut haben.