Der Online-Schuhh\u00e4ndler Spartoo wird aufgrund von Verst\u00f6\u00dfen gegen die DSGVO zur Kasse gebeten: 250.000 Euro muss das Unternehmen zahlen, hat die franz\u00f6sische Datenschutzbeh\u00f6rde CNIL entschieden. Der Schuhverk\u00e4ufer hat seinen Stammsitz in Grenoble und beliefert Kunden in 13 EU-Staaten \u2013 auch f\u00fcr Deutschland existiert eine eigene Bestellseite. Nach einer Pr\u00fcfung stellte die CNIL diverse M\u00e4ngel fest, unter anderem wurden Telefongespr\u00e4che aufgezeichnet.<\/p>\n
Die EU-Datenschutz-Grundverordnung (DSGVO) ist mit dem 25. Mai 2018 nach einer \u00dcbergangsfrist von zwei Jahren in Kraft getreten \u2013 und nur sechs Tage sp\u00e4ter, am 31. Mai 2018, inspizierte die franz\u00f6sische Datenschutzbeh\u00f6rde CNIL (Commission Nationale de l\u2019Informatique et des Libert\u00e9s) den Online-Versandh\u00e4ndler Spartoo. Dabei fokussierte sich die CNIL vorrangig darauf, wie personenbezogene Daten bei Spartoo verarbeitet werden.<\/p>\n
Sehr sauer stie\u00df den Pr\u00fcfern auf, dass Spartoo Telefongespr\u00e4che vollst\u00e4ndig aufzeichnete. Im Hause Spartoo wurden s\u00e4mtliche Telefonate, die durch die Mitarbeiterinnen und Mitarbeiter des Kundendiensts gef\u00fchrt wurden, permanent aufgezeichnet \u2013 angeblich zu Schulungszwecken, wie dem im Juli ver\u00f6ffentlichten Sanktionsbeschluss<\/a> zu entnehmen ist. Da die daf\u00fcr verantwortliche Person lediglich einen Mitschnitt pro Woche und Mitarbeiter anh\u00f6rte, empfanden die Pr\u00fcfer diese Aufzeichnungen als nicht gerechtfertigt. Zum Zwecke der Mitarbeiterschulung wurden \u00fcber diese Hotline bei Bestellungen mitunter auch Kontodaten der Kunden erfasst und gespeichert \u2013 Informationen, die die Pr\u00fcfer f\u00fcr Schulungszwecke keinesfalls f\u00fcr erforderlich hielten.<\/p>\n Die Pr\u00fcfer st\u00f6rten sich nicht nur an den Mitschnitten, sondern auch an der Tatsache, dass diese Mitschnitte weder verschl\u00fcsselt noch gel\u00f6scht wurden. Nicht nur Kundendaten waren von der nicht-DSGVO-konformen Verarbeitung betroffen, sondern auch die Daten der Newsletter-Abonnenten sowie die Daten der eigenen Mitarbeiterinnen und Mitarbeiter.<\/p>\n Konkret wurden folgende Sachverhalte als nicht DSGVO-konform angesehen:<\/p>\n Das CNIL betont, dass dies eine Vielzahl von Verst\u00f6\u00dfen gegen die DSGVO seien: mehr als drei Millionen Kunden, \u00fcber 25 Millionen Interessenten sowie die eigenen Mitarbeiterinnen und Mitarbeiter waren betroffen \u2013 und das rechtfertige eine Strafe in H\u00f6he von 250.000 Euro. Nun muss Spartoo seine Datenverarbeitungsprozesse binnen drei Monaten DSGVO-konform anpassen \u2013 andernfalls drohen weitere Strafen.<\/p>\n Spartoos bisherige Gesch\u00e4ftsprozesse versto\u00dfen mehrfach gegen die DSGVO:<\/p>\n Gem\u00e4\u00df Art. 5 Abs. 1 lit. c DSGVO<\/a> d\u00fcrfen Unternehmen lediglich so viele Daten erheben, wie es tats\u00e4chlich notwendig ist. Betroffene mit der Herausgabe unn\u00f6tiger Daten zu bel\u00e4stigen, sollte also vermieden werden. Es wurden \u2026<\/p>\n Ebenfalls in Art. 5 Abs. 1 DSGVO wird der Grundsatz der Speicherbegrenzung behandelt, gegen den Spartoo ebenfalls versto\u00dfen hat. Personenbezogene Daten, so besagt die DSGVO, sollten nicht l\u00e4nger gespeichert werden, als es f\u00fcr den Zweck, f\u00fcr den die Datenspeicherung erfolgt, notwendig ist.<\/p>\n Da Spartoo weder \u00fcber ein L\u00f6schkonzept verf\u00fcgt noch die gespeicherten Daten l\u00f6scht, hat sich \u00fcber die Jahre extrem viel Datenmaterial angesammelt \u2013 viel zu viel, wie die CNIL feststellen musste. So fand man tats\u00e4chlich Daten von mehr als 118.750 Kunden, die sich nach dem 25. Mai 2008 nicht mehr eingeloggt hatten \u2013 und das war nur die Spitze des Eisbergs. Nicht nur nicht mehr ben\u00f6tigte Daten von Kunden speicherte das Unternehmen ewig, sondern auch Interessentendaten, die lediglich Informationen eingeholt hatten, lagerten noch Jahre nach den Anfragen in den Tiefen der Datenbanken.<\/p>\n Art. 13 DSGVO<\/a> kl\u00e4rt \u00fcber die umfassenden Informationspflichten auf, die Unternehmen gegen\u00fcber Betroffenen haben. Spartoo selbst erkl\u00e4rte, dass die Einwilligungen der Kunden und Interessenten als Rechtsgrundlage f\u00fcr die Datenspeicherung dienen. Den Pr\u00fcfern der CNIL fiel jedoch die Datenschutzerkl\u00e4rung auf, die der Versandh\u00e4ndler auf seiner Website ver\u00f6ffentlicht hatte. Dementsprechend m\u00fcssten weitere Rechtsgrundlagen bei den unterschiedlichen Datenverarbeitungen vorliegen.<\/p>\n Es fehlte zudem die Information f\u00fcr die Kunden, dass aufgezeichnete Telefonate nach Madagaskar \u00fcbermittelt wurden. Wie auch die Kunden und Interessenten wurden die Mitarbeiter ebenfalls nicht vollumf\u00e4nglich informiert: Im Januar 2016 fand eine Mitarbeiterschulung statt, auf der dar\u00fcber informiert wurde, dass Kundentelefonate zu Schulungszwecken aufgezeichnet werden. Danach fand eine derartige Information \u00fcber die Aufzeichnungen nicht mehr statt. Die Pr\u00fcfer kamen zu dem Schluss, dass die durchgef\u00fchrten Datenverarbeitungen f\u00fcr die Mitarbeiterinnen und Mitarbeiter nicht transparent seien.<\/p>\nDSGVO-Sanktionen: Welche Daten waren konkret betroffen?<\/h3>\n
\n
DSGVO-Verst\u00f6\u00dfe: Spartoos Verfehlungen<\/h2>\n
Versto\u00df gegen den Grundsatz der Datenminimierung („Datensparsamkeit“)<\/h3>\n
\n
Versto\u00df gegen den Grundsatz der Speicherbegrenzung<\/h3>\n
Versto\u00df gegen die Informationspflichten<\/h3>\n
Versto\u00df gegen die Gew\u00e4hrleistung der Sicherheit der Verarbeitung („Datensicherheit“)<\/h3>\n