Wegen DSGVO-Verstößen muss Spartoo 250.000 Euro Strafe zahlen. Grund dafür ist, dass der online-Händler Bankdaten teils unverschlüsselt abspeicherte.

Hintergrund 

CNIL, eine französische Datenschutzbehörde, hat gegen den online-Händler ermittelt, da er seinen Sitz im französischen Grenoble hat. Bei den Untersuchungen kam heraus, dass Spartoo mit Kundeninformationen nicht nach EU-Standards umgeht. „Die Behörde hatte das Unternehmen im Mai 2018 geprüft und dabei Mängel im Umgang mit Informationen über Kunden, Interessenten und Mitarbeiter festgestellt.“

DSGVO-Verstöße von Spartoo

Nach Ermittlungen der französischen Datenschutzbehörde hält der online-Händler „das Prinzip der Datenminimierung aus der DSGVO“ nicht ein! Die Behörde deckte auf, dass Telefongespräche immer ohne vorherige Zustimmung zu „Schulungszwecken“ aufgenommen wurden. Des Weiteren stellte sich heraus, dass bei telefonischen Bestellungen auch Bankdaten der Kunden „zum Zwecke der Mitarbeiterschulung“ gespeichert wurden. Welchen Zweck die Speicherung der Bankdaten zur „Mitarbeiterschulung“ haben soll ist fraglich!

Bei den Ermittlungen stellte sich auch heraus, dass Spartoo Scans aufbewahrte, die bei der Bestellung verwendete Kreditkartendaten beinhalteten – sogar unverschlüsselt!

Die Behörde deckte auch auf, dass der online-Händler für die Bestellung irrelevante Daten erfasste, wie zB. eine Kopie der Gesundheitskarte.

Auch hielt sich Spartoo, mit einer Speicherfrist von sechs Monaten, nicht an seine eigenen Vorgaben. Gerade bei Kunden, die seit Jahren nicht mehr in ihrem Kundenkonto aktiv waren, wurden diese Daten über Jahre hinweg gespeichert. 

Den Prüfern von CNIL viel auch auf, dass die auf der Website angegebenen Datenschutzerklärungen nicht mit der DSGVO im Einklang stehen.

Was ist mit der DSGVO nicht vereinbar?

Mit der DSGVO ist nicht vereinbar Kundendaten über Jahre hinweg zu speichern. Kundendaten sind dabei E-Mail Adressen, Passwörter, Adressen; nicht jedoch eine Kopie der Gesundheitskarte. 

Es ist wichtig, dass die Kundendaten für das Unternehmen relevant sind. Des Weiteren müssen solche Daten verschlüsselt abgespeichert werden.

Außerdem darf von Kunden auch keine „generelle Einwilligung“ für alle in der Zukunft durchzuführenden Vorgänge einholen.

DSGVO Bußgelder/ Strafen

Die nationalen Aufsichtbehörden sind verpflichtet DSGVO-Verstöße mit Bußgeldern bzw. Strafen zu verhängen. Sie sind auch verpflichtet dem Unternehmen eine Frist zu setzen die Verstöße umgehend zu unterlassen und ihre Unternehmenspraxis nachweislich DSGVO-konform umzustellen. Natürlich muss auch hier die Höhe des Bußgeldes verhältnismäßig sein. Für die Einhaltung der Verhältnismäßigkeit nutzt die Aufsichtbehörde einen vorher festgelegten „Sanktionen-Katalog“.

Was wirkt straferhöhend?

Straferhöhend wirkt sich unter anderem vorsätzlichen Verstöße, Versäumnisse und keine Zusammenarbeit mit der jeweiligen Aufsichtsbehörde aus.

„Für die im Gesetz unter Art. 83 Abs. 5 DSGVO aufgelisteten, besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist. Aber auch der Katalog von weniger gewichtigen Verstößen (Art. 83 Abs. 4) führt Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs an, je nachdem, welcher der Beträge höher ist. (….) Darüber hinaus haben die Mitgliedsstaaten Vorschriften über Sanktionen bei anderen Verstößen gegen die Grundverordnung festzulegen. Dies gilt insbesondere für solche Verstöße, die nicht bereits mit einer Geldbuße belegt sind. Dabei ist ebenfalls darauf zu achten, dass diese ebenfalls wirksam, verhältnismäßig und abschreckend sind.“

Fazit

Alles in allem kann man sagen, dass Spartoo sich bei der untersuchenden Behörde als wahren Datenmonster herausstellte, was regelmäßig gravierende DSGVO-Verstöße beging. Daher ist eine so hohe Strafe im Sinne des Datenschutzes auch angemessen. Damit Ihnen als Unternehmen so etwas nicht passiert, sollten Sie sich mit dem Thema DSGVO gut auseinandersetzen und sich von einem Fachanwalt beraten lassen. 

Sie haben Fragen zum Thema DSGVO, Datenschutz und online-Handel? Melden Sie sich bei uns! Wir stehen Ihnen sehr gerne schnell und unkompliziert zur Seite!

Lesen Sie auch unseren Artikel zum Thema „DSGVO und Softwareentwicklung“.