Bußgeld wegen Datenschutzverstößen in Frankreich

Viele Verstöße = 250.000 €, gut weggekommen?

Bußgeld wegen Datenschutzverstößen in Frankreich

Getroffen hat es den französischen Online-Schuhhandel Spartoo, der bereits 6 Tage nach Inkrafttreten der DSGVO am 31.05.2018 Besuch seiner Datenaufsichtsbehörde erhielt.

Da für nahezu Alle lehrreich, fasse ich mal die festgestellten Verstöße zusammen:

Verstöße gegen den Grundsatz der Datensparsamkeit (Artikel 5 Abs. 1 lit. c DSGVO)

Kundengespräche wurden vollumfänglich und jederzeit aufgezeichnet. Als Grund wurden hierzu Schulungszwecke genannt. Tatsächlich wurde aber pro Woche nur ein Telefongespräch eines Mitarbeiters ausgewertet. Die Behörde hält die Aufzeichnung der übrigen Telefonate für unnötig.

Die behauptete Reduzierung der Anzahl der Aufzeichnungen von 100% auf 30% hat wohl ebenfalls nicht geholfen.

Erschwerend dürfte hinzugekommen; dass bei telefonischen Bestellungen Bankdaten aufgezeichnet und in Klartext für 15 Tage in der Datenbank gespeichert wurden.

Unter die Rubrik Datensparsamkeit fällt nach Ansicht der Behörde auch nicht die Tatsache, dass Spartoo von den Kunden die Vorlage des Personalausweises zur Identitätsfeststellung verlangte, um sich vor Betrügern zu schützen. Italienische Kunden mussten zusätzlich ihren Gesundheitsausweis einreichen.

Wir haben schon darauf hingewiesen, dass die Verarbeitung des Personalausweises und Führerscheins problematisch ist.

Verstoß gegen den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)

Bei der Überprüfung im Jahr 2018 (Achtung: Vor über 2 Jahren!!!) hatte der Online-Händler weder Löschroutinen ein Löschkonzept aufgestellt noch in irgendeiner Weise Daten faktisch gelöscht. Mit Gründungsjahr 2006 kann man ungefähr erahnen, wie viele Kundendatensätze bereits gesammelt und aufbewahrt wurden. Folgende Zahlen stellte die Behörde bei ihren Untersuchungen fest:

Daten von 118.768 Kunden, die sich seit dem 25. Mai 2008 nicht in ihr Konto eingeloggt hatten

Daten von 682.164 Kunden, die sich seit dem 25. Mai 2010 nicht in ihr Konto eingeloggt hatten

Daten von 3.620.401 Kunden, die sich seit dem 25. Mai 2013 nicht in ihr Konto eingeloggt hatten

Daten von 25.911.675 Interessenten, die seit 25.Mai 2015 nicht mehr aktiv waren

Aber nicht nur die Daten von Alt-Kunden wurden ewig gespeichert. Auch Interessentendaten, also Betroffene mit denen kein Vertrag zustande kam, fanden sich in dieser Datenbank noch Jahre später.

Bei der Anhörung im Jahr 2019 teilte das Unternehmen der Behörde mit, dass es für diese Daten nun eine aktive Aufbewahrungsfrist von fünf Jahren ab dem Datum der letzten Aktivität von Kunden und Interessenten festgelegt habe. Als Kundenkontakt gelte hierbei beispielsweise eine Verbindung zum Kundenkonto, ein Klick in einem Newsletter oder das Öffnen des Newsletters.

Nach Auffassung der Behörde wäre lediglich eine Aufbewahrungsfrist von zwei Jahren angemessen. Zudem könne das bloße Öffnen einer Werbe-Mail nicht bereits als Kundenkontakt gewertet werden. Die Person muss vielmehr mindestens auf einen in einer E-Mail enthaltenen Hyperlink klicken, damit von einem echten Interesse an der Aufrechterhaltung des Kundenkontaktes ausgegangen werden kann (wie gesagt die Ansicht der französischen Datenschutz-Aufsichtsbehörde, die jedoch von der Auffassung hiesiger nicht weit entfernt seit dürfte).

Schließlich wurde seitens der Behörde klargestellt, dass das Hashen der E-Mail-Adressen und Passwörter der Kunden mit einem SHA-256-Algorithmus lediglich eine Pseudonymisierung darstellt und dass diese daher keine Löschung im Sinne der DSGVO entspricht. Die angewandte Hash-Funktion führe nur zur Erhöhung der Datensicherheit, aber eben nicht zur Anonymisierung (die einer Löschung entsprechen kann).

Anmerkung: Ich hoffe doch sehr, dass meine Hinweise der letzten Jahre verstanden wurden und Löschkonzepte zumindest in fortgeschrittener Entwicklung befindlich sind! Wenn nicht sollte spätestens nunmehr gestartet werden. Liegt es an den software-Entwicklern, sollte diese  - vielleicht unter Hinweis auf dieses Bußgeld – mit Nachdruck darauf hingewiesen werden, „zu liefern“, also Löschroutinen in der Software zur Verfügung zu stellen.

Mängel bei den Technisch-organisatorischen Maßnahmen (TOM)

Beim Anlegen von Benutzerkonten für die Kunden wurden Passwörter mit einer Länge von 6 Zeichen und einer Zeichenkategorie zugelassen. Hinzu kommt, dass lediglich eine ein-minütige Sperrung der IP-Adresse erfolgte, wenn von dieser IP-Adresse 19 Fehlversuche beim Login innerhalb einer Minute erfolgte.

Bei Kundenbestellungen über die französische, italienische, spanische, ungarische, slowakische, dänische und griechische Webseite wurden die Kunden im Rahmen der Betrugsbekämpfung gebeten, Kopien ihrer Bankkarte per E-Mail zu senden, die sie für den Bezahlvorgang verwenden. Diese Scans wurden sodann 6 Monate in Klartext gespeichert. Hierdurch wurden die Kunden zu einem ungesicherten E-Mail-Versand verleitet, obwohl es sich bei Bankdaten um sensiblere Informationen handelt. Der Online-Händler hätte technische Maßnahmen ergreifen müssen, damit der Kunde gesichert und auch nur den wirklich erforderlichen Teil der Bankkarte übermittelt.

Hinzu kamen Verstöße gegen die Informationspflichten gegenüber den Betroffenen (Art. 13 DSGVO)

Im Wesentlichen liegen Verstöße vor, die zumindest nach deutschem Recht auch vor der DSGVO schon zu einem Bußgeld hätten führen können. Der Grundsatz der Datensparsamkeit und die Löschpflicht waren bereits im deutschen BDSG verankert. Und die Themen der IT-Sicherheit, insbesondere mit Blick auf Sicherheitsvorkehrungen zum Schutz von Passwörtern und Bankdaten sind auch keine Neuheiten der DSGVO, liegen nach meiner Auffassung im ureigenen Interesse einer jeden datenverarbeitenden Stelle, allein schon wegen des drohenden Image-Schadens bei Verlust.

Ich kenne den Umsatz der betroffenen Firma nicht; ich kann mir bei der Anzahl gravierender Verstöße durchaus vorstellen, dass hier noch ein Bonus eingerechnet wurde, gerade weil die Überprüfung direkt nach dem Inkrafttreten der DSGVO stattfand..