Verstoß gegen die DSGVO: Schuhvertreiber Spartoo muss Summe von 250.000 Euro zahlen
Der international tätige und in Frankreich ansäßige Schuhversender „Spartoo“ muss nach mehreren Verstößen gegen die Datenschutzgrundverordnung (DSGVO) die stolze Summe von insgesamt 250.000 Euro zahlen.
Das Unternehmen hatte unter anderem Kundentelefonate aufgezeichnet und nicht gelöscht, sowie Bankdaten unverschlüsselt gespeichert.
Spartoo spart nicht an DSGVO-Verstößen
Spartoo wurde bereits 2006 gegründet, und bietet in insgesamt dreizehn Ländern (darunter auch Deutschland) vorwiegend in Europa eigene Bestellseiten an. Hier kann der Kunde neben der Hauptware Schuhe auch Taschen und Kleidung per Mausklick erstehen.
Das Strafgeld wurde von der französischen Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (kurz CNIL) verhängt, welche bereits vor etwa zwei Jahren diverse Verstöße des Schuhgiganten gegen die DSGVO festgestellt hatte. Die hohe Summe ist nun Ergebnis eines länger andauerenden Ermittlungs- und Sanktionsverfahrens, an dem gleich mehrere Datenschutzbehörden mitgewirkt hatten.
„Diverse“ Verstöße ist in diesem Zusammenhang durchaus milde ausgedrückt, hatte der Online-Shop doch gleich in einer Vielzahl von teilweise schwerwiegenden Fällen die Vorgaben der DSGVO missachtet. So wurden unter anderem Kundendaten auf unbestimmte Zeit gespeichert, weswegen Informationen von knapp drei Millionen Nutzern gefunden wurden, deren Accounts seit über fünf Jahren nicht mehr genutzt worden waren. Auch die für eine Onlinezahlung erforderlichen Angaben wie Bankverbindungen und Ähnliches wurden bis zu sechs Monate nach Einkauf weiter aufbewahrt.
Auch Abseits der Shops auf den diversen Internetseiten wurde die DSGVO vielerorts ignoriert: Gespräche mit dem Kundenservice wurden – zwar mit vorher eingeholter Genehmigung – aufgezeichnet, allerdings wurden auch hier Zahlungsinformationen eingeholt und gespeichert. In diesem Zusammenhang seien laut der CNIL außerdem deutlich zu viele Konversationen mitgeschnitten worden, als für die Auswertung tatsächlich notwendig. So sei pro „überwachenden“ Mitarbeiter nur ein Gespräch pro Woche und pro Tätigem im Callcenter tatsächlich abgehört worden. Dem Grundprinzip der DSGVO nach Datenminimierung sei daher hier keine Rechnung getragen worden.
Schließlich wurde seitens Spartoo im Falle der Bestellung über die italienische Online-Präsenz gefordert, eine Kopie der eigenen „Gesundheitskarte“ einzureichen. Diese Maßnahme wurden seitens der zuständigen Datenschutzbehörde gar als „übertrieben“ und „irrelevant“ bezeichnet.
Dreimonatiges Ultimatum für Schuhversand
Neben der Geldstrafe wurde dem Unternehmen auferlegt, innerhalb von drei Monaten sämtliche gegen die DSGVO verstoßenden Praktiken umzustellen, andernfalls droht die Zahlung von 250 Euro pro weiterem Tag. Die Höhe der Geldstrafe von 250.000 Euro und die vergleichsweise kurze Frist zur Abänderung wurden unter Anderem damit begründet, dass viele der angegriffenen Maßnahmen auch bereits vor Inkrafttreten der Datenschutzgrundverordnung rechtswidrig gewesen wären. Hauptargument war aber selbstredend die Schwere und vorallem die Vielfältigkeit der Verstöße. Auch die Größe des Unternehmens und dessen breit angelegter Absatzmarkt spielten eine Rolle bei der Bemessung. In den Erwägungsgründen zur DSGVO bezüglich der Bußgelder und Sanktionen heißt es entsprechend:
Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verstößen gegen diese Verordnung zusätzlich zu den geeigneten Maßnahmen, die die Aufsichtsbehörde gemäß dieser Verordnung verhängt, oder an Stelle solcher Maßnahmen Sanktionen einschließlich Geldbußen verhängt werden.
Folgendem sollte (…) gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes, dem vorsätzlichen Charakter des Verstoßes, den Maßnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln und jedem anderen erschwerenden oder mildernden Umstand.
In dieser Verordnung sollten die Verstöße sowie die Obergrenze der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung genannt werden, wobei diese Geldbußen von der zuständigen Aufsichtsbehörde in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und insbesondere der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, festzusetzen sind.
Fazit
Datenschutz ist und bleibt ein sensilbes Thema. Aus Unternehmersicht empfiehlt es sich angesichts vereinzelt durchaus sehr hoher Geldstrafen, im Vorfeld rechtliche Beratung im Umgang mit Informationen der eigenen Kunden einzuholen. Neben der Verarbeitung selbst müssen die Verbraucher auch in ausreichender Form auf die etwaige Erhebung der Angaben hingewiesen werden. Einen umfassenden Ratgeber zur Datenschutzgrundverordnung, sowohl für Unternehmer als auch Verbraucher, finden Sie daher hier: