CNIL verhängt Bußgeld vertretend für 12 weitere Aufsichtsbehörden 

Die französische Datenschutzaufsichtsbehörde (CNIL), hat ein Bußgeld i.H.v. 250.000€ gegen die Firma Spartoo SAS verhängt. Spartoo ist ein in 13 EU-Ländern agierender Online Shop, mit Hauptsitz in Frankreich. Für die Datenverarbeitung in allen 13 Ländern wurden diverse Mängel festgestellt. Die Bewertung der CNIL ist, bis auf einen Sonderfall, generell gefasst. Somit agierte die CNIL gem. Art. 56 DSGVO in Vertretung für 12 weitere Aufsichtsbehörden. 

Das Prinzip der Datenminimierung nach Art. 5, Abs. 1, lit. c DSGVO wurde nicht eingehalten, da alle Anrufe beim Kundenservice aufgenommen wurden. Kunden konnten zwar die Aufnahme ablehnen, aber nicht die Mitarbeiter. Diese wurden auch nicht gem. Art. 13 DSGVO über die permanente Aufnahme der Anrufe informiert. Durch diese Aufnahmen wurden auch sensible Daten für eine Dauer von 14 Tagen ohne jegliche Pseudonymisierung gespeichert. Besonders besorgniserregend waren die mündlich übermittelten Kreditkartendaten bei Telefonbestellungen 

Zudem wurden nach Aufforderung von Spartoo Fotos oder Scans von Kreditkarten per E-Mail, ggf. unverschlüsselt versendet. Diese wurden ebenfalls im Klartext für 6 Monate gespeichert. Gehashte BenutzerPasswörter wurden mit dem Lösungsschlüssel im selben Ordner gespeichert. Unrechtmäßige Identitätsbeweismittel, wie beispielsweise Ausweiskopien, wurden eingefordert und gespeichert. Hier zitierte die CNIL auch einen Sonderfall in Italien, wo zusätzlich zur Kopie des Ausweises, eine Kopie der Gesundheitskarte angefordert und gespeichert wurde. 

Die Speicherbegrenzung gem. Art. 5, Abs. 1, lit. e DSGVO wurde nicht eingehalten. Laut Aussagen von Spartoo werden die Daten nach 5 Jahren Inaktivität des Accounts gelöscht. Allerdings waren während der Ermittlung Daten von 3.620.000 Kunden gespeichert, die seit über 5 Jahren nicht aktiv waren, davon ca. 682 000 Kunden, die seit über 8 Jahren nicht aktiv waren und sogar ca. 119 000 Kunden, die seit mehr als 10 Jahren nicht aktiv waren. 

Auch Interessentendaten wurden 5 Jahre aufbewahrt, wobei die Bestimmung eines Interessenten viel zu umfassend war: rein das Öffnen einer E-Mail von Spartoo, auch unabsichtlich, reichte, um als Interessent zu gelten und weiterhin im System als aktiv bewertet zu werden. 

Besonders interessant bei dieser Entscheidung ist, dass die CNIL die Ermittlung in Vertretung von 13 EULändern durchführte. Der ganze Prozess, der wenige Tage nach Inkrafttreten der DSGVO, im Jahr 2018, begann, wurde durchgehend in Zusammenarbeit mit allen Aufsichtsbehörden durchgeführt. Die von der CNIL festgestellten Mängel und ein Entscheidungsentwurf wurden zu Mitbestimmungszwecken mit den anderen Aufsichtsbehörden geteiltDie Reaktionen und Feststellungen einiger Aufsichtsbehörden, einschl. die Niedersächsische, wurden für die finale Entscheidung der CNIL mitberücksichtigt.  

Diese Entscheidung steht für eine Verstärkung der Zusammenarbeit und Harmonisierung von EU-Ländern im Schutz von personenbezogenen Daten und trifft genau das Ziel der DSGVO. Auch für Betroffene bedeutet es eine Verstärkung des Schutzes ihrer Daten und Persönlichkeitsrechte. Die Aufsichtsbehörden beweisen mit dieser Entscheidung, dass sie mit- und füreinander agieren.