Frankreich: Bußgeld von 250K Euro wegen DSGVO Verstößen

21 August 2020

Spartoo, ein französischer online-Schuhverkäufer wurde am 31.5.2018 (sechs Tage nach Ablauf der Umsetzungsfrist der DSGVO). von der französischen Datenschutzbehörde CNIL überprüft. Bei dieser Inspektion wurden diverse Mängel festgestellt, mit der Folge , dass die Behörde am 28.07.2020 ein Bußgeldbescheid in Höhe von 250.000 Euro verhängt hat. Zudem ist Spartoo angehalten, die festgestellten Mängel binnen 3 Monate nach Bekanntgabe des Beschlusses zu beseitigen, andernfalls droht ein weiteres Zwangsgeld in Höhe von 250 Euro pro versäumten Tag.

Festgestellt hatte die französiche Aufsichtsbehörde bei Iher Kontrolle:

 

Verstöße gegen den Grundsatz der Sparsamkeit (Art. 5 Abs.1 lit. c DSGVO) in Form von:

  • Aufzeichnung sämtlicher Kundenanrufe zu Schulungszwecken (ein in der Call-Center Branche bekanntes Problem)
  • Aufzeichung von Bankdaten auf den Mitschnitten zu Schulungszwecken
  • Erhebung der Personalausweisdaten im Rahmen der Identitätsprüfungen (Fraud) und von Gesundheitsausweisen (bei italienischen Kunde)

 

Verstöße gegen den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)

  • Spartoo hatte weder Löschroutinen in einem Löschkonzept aufgestellt, noch in irgendeiner Weise Daten faktisch gelöscht.

 

Verletzung der Informationspflichten gegenüber Betroffenen (Art. 13 DSGVO)

  • Hier wurde gerügt, dass in der Datenschutzerklärung auf der Webseite nicht alle in Betracht kommenden Rechtsgrundlagen genannt wurden, obwohl offensichtlich noch weitere Rechtsgrundlagen in Betracht kamen.
  • Aber auch die Mitarbeiter von Spartoo seien nicht ordnungsgemäß und vollumfänglich informiert worden.

 

Gewährleistung der Datensicherheit (Art. 32 DSGVO)

  • Hier gab es Beanstandungen hinsichtlich der Passwortsicherheits, die für ungenügend erachtet twurde
  • Es gab nur eine einminütige Passworteingabesperre nach 19-Fehlversuchen für das Systemen, mit denen Benutzerkonten angelegt wurden.
  • Beanstandungen im Zusammenhang mit der Aufbewahrung von Bankkarten-Scans hinsichtlich der unverschlüsselten Zusendung und des Umfangs der gespeicherten Daten.

 

Hinsichtlich der Vielzahl der Datenschutzverletzungen fiel das Bußgeld relativ gering aus, auch wenn man berücksichtigt, dass die DSGVO erst seit ein paar Tagen bindend war. Die inhaltlichen Anforderungen jedenfalls waren schon zwei Jahre vorher bekannt und sind auch nicht neu.

 

Einzelheiten kann man hier nachlesen: https://www.dr-datenschutz.de/spartoo-bussgeld-von-250-000-euro-wegen-dsgvo-verstoessen/

 

Das könnte Sie auch interessieren

21 August 2020

Länderübergreifende Datenschutz-Prüfung:…

Länderübergreifende Datenschutz-Prüfung: Sind Tracking-Technologien auf Websites von Zeitungs-Verlagen…

Mehr Erfahren
13 August 2020

NL: Bußgeld wegen unrechtmäßiger…

Niederlanden: Bußgeld wegen unrechtmäßiger Verarbeitung von Fingerabdrücken in Höhe von 725K Euro

Mehr Erfahren
05 August 2020

Geschäfts­mo­dell Daten­schutz-Klage?

Forderung von immateriellen Schadenerstatz wegen Datenschutzverletzungen als zukünftiges Geschäftsmodell?

Mehr Erfahren
21 November 2019

Videoüberwachung im Fitness-Studio

Das Thema Videoüberwachung bzw. Videoaufzeichnung beschäftigt die Betroffenen und Aufsichtsbehörden immer…

Mehr Erfahren
17 September 2019

BVerwG Urteil zu Facebook…

Urlaubsbedingt etwas verspätet möchte ich an dieser Stelle auf die Entscheidung des BVerwG Urteil vom…

Mehr Erfahren
28 August 2019

Fragenkatalog Prüfung…

Die LfD Niedersachsen hat in den vergangenen Monaten in 50 großen und mittelgroßen Unternehmen geprüft,…

Mehr Erfahren