DSGVO-Verstöße: Schuhversand Spartoo muss 250.000 Euro zahlen

Inhaltsverzeichnis

Die französische Datenschutzbehörde CNIL hat gegen den Online-Schuhverkäufer Spartoo, der seinen Stammsitz in Grenoble hat und Kunden in 13 EU-Staaten inklusive Deutschlands beliefert, eine Geldbuße von 250.000 Euro wegen diverser Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) verhängt. Die Behörde hatte das Unternehmen im Mai 2018 geprüft und dabei Mängel im Umgang mit Informationen über Kunden, Interessenten und Mitarbeiter festgestellt.

Datenminimierung nicht geleistet

Da die Betroffenen in mehreren europäischen Ländern ansässig sind, arbeitete die CNIL nach eigenen Angaben während des gesamten Verfahrens mit allen dortigen Aufsichtsbehörden zusammen, um den nun veröffentlichten Sanktionsbeschluss zu erlassen. Auf Basis der durchgeführten Untersuchungen sah das eingesetzte Ad-hoc-Gremium es als erwiesen an, dass Spartoo unter anderem das Prinzip der Datenminimierung aus der DSGVO nicht eingehalten habe.

Übel stieß den Prüfern etwa auf, dass die Firma Telefongespräche, die Mitarbeiter des Kundendienstes entgegennahmen, permanent und vollständig für angebliche Schulungszwecke aufzeichnete. Dies sei nicht gerechtfertigt, da die verantwortliche Person nur einen Mitschnitt pro Woche und pro Mitarbeiter anhörte. Über die Hotline wurden bei telefonischen Bestellungen auch Bankdaten der Kunden zum Zwecke der Mitarbeiterschulung erfasst und gespeichert, was die Kontrolleure ebenfalls nicht als erforderlich erachteten.

"Übertrieben und irrelevant"

Spartoo bewahrte im Rahmen der Betrugsbekämpfung zudem Scans der für eine Bestellung verwendeten Zahlungskarte sechs Monate unverschlüsselt auf. Dies diente laut der Entscheidung nicht der Sicherheit der Finanzinformationen der Kunden. In Italien forderte der Versandhändler zudem zusätzlich zum Personalausweis eine Kopie der "Gesundheitskarte" der Käufer an, die weitere persönliche Informationen enthält. Dies war laut dem Gremium "übertrieben und irrelevant".

Zum Zeitpunkt des CNIL-Audits hatte das Unternehmen ferner gar keine Speicherfrist für Daten potenzieller und aktiver Kunden festgelegt, löschte sie also auch nicht regelmäßig. Im Anschluss habe es geplant, die Informationen fünf Jahre lang aufzubewahren, schreiben die Kontrolleure. Bei einer "sehr großen Zahl von Daten" von über drei Millionen früherer Kunden, die sich seit mehr als fünf Jahren nicht mehr in ihr Konto eingeloggt hatten, habe Spartoo sich aber nicht an diese eigene Vorgabe gehalten.

Informationen über rund 25 Millionen Interessenten hielt die Firma fünf Jahre lang vor, obwohl sie diese nach zwei Jahren nicht mehr aktiv nutzte, wenn keine Reaktion erfolgte. Es sei daher auch nicht nötig, die Daten länger als 24 Monate zu speichern, befanden die Prüfer. Das bloße Öffnen einer E-Mail werteten sie nicht als erneute Interessenbekundung. Nach fünf Jahren sei es auch nicht mehr mit der DSGVO vereinbar, E-Mail-Adressen und Passwörter der Kunden in pseudonymisierter Form aufzubewahren, damit sie sich gegebenenfalls wieder in ihr Konto einloggen könnten.

Mängel über Mängel

Einzelne Klauseln in der Datenschutzerklärung auf der Spartoo-Webseite sind dem Beschluss zufolge ebenfalls nicht rechtskonform. So dürfe das Unternehmen etwa nicht angeben, dass es die Einwilligung von Kunden als Rechtsgrundlage für alle durchgeführten Verarbeitungsvorgänge heranziehe. Faktisch beruhten viele einschlägige Aktivitäten auf einem Vertrag oder von der Firma verfolgten legitimen Interessen.

Angesichts der Vielzahl und Breite der Verstöße erachteten die Kontrolleure die Sanktion als angemessen. Sie erinnerten daran, dass mehrere der Rechtsverletzungen größtenteils Auflagen betrafen, die bereits vor dem Inkrafttreten der DSGVO bestanden. Das Gremium wies das Unternehmen an, seine Praktiken binnen drei Monaten in Einklang mit der Verordnung zu bringen. Bei Verzug droht ein Zwangsgeld in Höhe von 250 Euro pro Tag.

(mho)