Hohe DSGVO-Strafe für Onlinehändler Spartoo

Die französische Datenschutzbehörde CNIL hat Ende Juli 2020 gegen den französischen Schuhversand-Händler Spartoo eine Geldstrafe in Höhe von € 250.000 verhängt, da dieser bei Kunden- und Interessentendaten gegen die Grundsätze der Datensparsamkeit und Speicherbegrenzung, sowie seine Informations- und Datensicherheitsverpflichtungen verstoßen hatte. Da das Unternehmen über mehrere Online-Shops innerhalb der EU verfügt, arbeitete die CNIL in diesem Bußgeldverfahren mit anderen EU-Aufsichtsbehörden zusammen.

Bereits wenige Tage nach Anwendbarkeit der DSGVO wurde von der CNIL am 31. Mai 2018 gegen Spartoo ein Prüfverfahren eingeleitet. Ziel der Untersuchung war die Überprüfung der Verarbeitung von Kunden- und Interessentendaten sowie die Aufzeichnung von Kundendienstgesprächen. Hierbei wurden mehrere DSGVO-Verstöße festgestellt. Unter anderem hatte das Unternehmen mehr Daten verarbeitet als dies für die Erfüllung der festgelegten Zwecke erforderlich war. Damit hat Spartoo gegen den Grundsatz der Datensparsamkeit (Art 5 Abs 1 lit c DSGVO) verstoßen.

Das Unternehmen zeichnete Kundengespräche (mit Einwilligung) für Schulungszwecke vollumfänglich auf. Tatsächlich wurden jedoch nur vereinzelt aufgezeichnete Telefonate für den angegeben Zweck ausgewertet. Eine Aufzeichnung der meisten Telefonate war daher nicht notwendig.

Um sich vor Betrügern zu schützen wurde von Kunden ein Identitätsnachweis angefordert. Italienische Kunden mussten zusätzlich sogar einen Gesundheitsausweis vorlegen. Das Abfragen und Speichern eines Identitätsnachweises ist bereits grundsätzlich problematisch. Nach Ansicht der CNIL war beispielsweise die Vorlage zweier Dokumente zur Betrugsbekämpfung jedenfalls überschießend und nicht notwendig.

Außerdem wurden Daten viel zu lange gespeichert, womit Spartoo gegen den Grundsatz der Speicherbegrenzung (Art 5 Abs 1 lit e DSGVO) verstoßen hat. Kundendatensätze wurden weder gelöscht noch archiviert, ein Löschkonzept gab es nicht.

Die Aufsichtsbehörde beanstandete auch, dass die auf der Webseite veröffentlichte Datenschutzerklärung von Spartoo unzureichend war. Darin wurde als einzige Rechtsgrundlage nur die Einwilligung genannt, obwohl offensichtlich auch andere Rechtsgrundlagen für die Datenverarbeitungen vorlagen. Ferner wurden die Kunden nicht darüber informiert, dass aufgezeichnete Telefongespräche nach Madagaskar übermittelt wurden. Die meisten Mitarbeiter von Spartoo wurden überdies auch nicht über die Telefonaufzeichnungen für Schulungszwecken informiert.

Zuletzt stellte die CNIL fest, dass das Unternehmen nicht die notwendigen Datensicherheitsmaßnahmen (Art 32 DSGVO) implementiert hatte. Für das Anlegen von Kunden-Accounts wurden Passwörter mit lediglich sechs Zeichen und einer Zeichenkategorie verlangt. Außerdem erfolgte bei 19 Fehlversuchen beim LogIn innerhalb einer Minute lediglich eine Sperre der IP Adresse von einer Minute. In mehreren Ländern mussten Kunden zur Betrugsbekämpfung Kopien ihrer Bankkarte per E-Mail übermitteln, die für den Bezahlvorgang verwenden wurden. Diese Scans wurden sechs Monate unverschlüsselt gespeichert.

Aufgrund der vorliegenden Verstöße und der großen Anzahl an Betroffenen (über drei Millionen Kunden und mehr als 25 Millionen Interessenten) wurde ein Bußgeld in Höhe von € 250.000 von der CNIL verhängt. Zudem wurde Spartoo aufgetragen, die festgestellten Mängel binnen drei Monaten zu beseitigen, andernfalls würden pro versäumten Tag weitere Strafen in Höhe von € 250 Euro verhängt werden.

Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.