DSGVO-Verstöße: Schuhversand Spartoo muss 250.000 Euro Strafe zahlen

Guido Kluck, LL.M. | 3. September 2020

Wegen DSGVO-Verstößen muss Spartoo 250.000 Euro Strafe zahlen. Grund dafür ist, dass der online-Händler Bankdaten teils unverschlüsselt abspeicherte.

Hintergrund 

CNIL, eine französische Datenschutzbehörde, hat gegen den online-Händler ermittelt, da er seinen Sitz im französischen Grenoble hat. Bei den Untersuchungen kam heraus, dass Spartoo mit Kundeninformationen nicht nach EU-Standards umgeht. „Die Behörde hatte das Unternehmen im Mai 2018 geprüft und dabei Mängel im Umgang mit Informationen über Kunden, Interessenten und Mitarbeiter festgestellt.“

DSGVO-Verstöße von Spartoo

Nach Ermittlungen der französischen Datenschutzbehörde hält der online-Händler „das Prinzip der Datenminimierung aus der DSGVO“ nicht ein! Die Behörde deckte auf, dass Telefongespräche immer ohne vorherige Zustimmung zu „Schulungszwecken“ aufgenommen wurden. Des Weiteren stellte sich heraus, dass bei telefonischen Bestellungen auch Bankdaten der Kunden „zum Zwecke der Mitarbeiterschulung“ gespeichert wurden. Welchen Zweck die Speicherung der Bankdaten zur „Mitarbeiterschulung“ haben soll ist fraglich!

Bei den Ermittlungen stellte sich auch heraus, dass Spartoo Scans aufbewahrte, die bei der Bestellung verwendete Kreditkartendaten beinhalteten – sogar unverschlüsselt!

Die Behörde deckte auch auf, dass der online-Händler für die Bestellung irrelevante Daten erfasste, wie zB. eine Kopie der Gesundheitskarte.

Auch hielt sich Spartoo, mit einer Speicherfrist von sechs Monaten, nicht an seine eigenen Vorgaben. Gerade bei Kunden, die seit Jahren nicht mehr in ihrem Kundenkonto aktiv waren, wurden diese Daten über Jahre hinweg gespeichert. 

Den Prüfern von CNIL viel auch auf, dass die auf der Website angegebenen Datenschutzerklärungen nicht mit der DSGVO im Einklang stehen.

Was ist mit der DSGVO nicht vereinbar?

Mit der DSGVO ist nicht vereinbar Kundendaten über Jahre hinweg zu speichern. Kundendaten sind dabei E-Mail Adressen, Passwörter, Adressen; nicht jedoch eine Kopie der Gesundheitskarte. 

Es ist wichtig, dass die Kundendaten für das Unternehmen relevant sind. Des Weiteren müssen solche Daten verschlüsselt abgespeichert werden.

Außerdem darf von Kunden auch keine „generelle Einwilligung“ für alle in der Zukunft durchzuführenden Vorgänge einholen.

DSGVO Bußgelder/ Strafen

Die nationalen Aufsichtbehörden sind verpflichtet DSGVO-Verstöße mit Bußgeldern bzw. Strafen zu verhängen. Sie sind auch verpflichtet dem Unternehmen eine Frist zu setzen die Verstöße umgehend zu unterlassen und ihre Unternehmenspraxis nachweislich DSGVO-konform umzustellen. Natürlich muss auch hier die Höhe des Bußgeldes verhältnismäßig sein. Für die Einhaltung der Verhältnismäßigkeit nutzt die Aufsichtbehörde einen vorher festgelegten „Sanktionen-Katalog“.

Was wirkt straferhöhend?

Straferhöhend wirkt sich unter anderem vorsätzlichen Verstöße, Versäumnisse und keine Zusammenarbeit mit der jeweiligen Aufsichtsbehörde aus.

„Für die im Gesetz unter Art. 83 Abs. 5 DSGVO aufgelisteten, besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist. Aber auch der Katalog von weniger gewichtigen Verstößen (Art. 83 Abs. 4) führt Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs an, je nachdem, welcher der Beträge höher ist. (….) Darüber hinaus haben die Mitgliedsstaaten Vorschriften über Sanktionen bei anderen Verstößen gegen die Grundverordnung festzulegen. Dies gilt insbesondere für solche Verstöße, die nicht bereits mit einer Geldbuße belegt sind. Dabei ist ebenfalls darauf zu achten, dass diese ebenfalls wirksam, verhältnismäßig und abschreckend sind.“

Fazit

Alles in allem kann man sagen, dass Spartoo sich bei der untersuchenden Behörde als wahren Datenmonster herausstellte, was regelmäßig gravierende DSGVO-Verstöße beging. Daher ist eine so hohe Strafe im Sinne des Datenschutzes auch angemessen. Damit Ihnen als Unternehmen so etwas nicht passiert, sollten Sie sich mit dem Thema DSGVO gut auseinandersetzen und sich von einem Fachanwalt beraten lassen. 

Sie haben Fragen zum Thema DSGVO, Datenschutz und online-Handel? Melden Sie sich bei uns! Wir stehen Ihnen sehr gerne schnell und unkompliziert zur Seite!

Lesen Sie auch unseren Artikel zum Thema „DSGVO und Softwareentwicklung“.

Jetzt teilen:

Guido Kluck, LL.M.

Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).

ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTOR

Das könnte Sie auch interessieren

Holen Sie sich Unterstützung

SIE HABEN NOCH FRAGEN?

Online Termin vereinbaren

Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.

Antworten per WhatsApp

LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.

LEGAL SMART Anwaltshotline

Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.

LEGAL SMART RECHTSPRODUKTE

ANWALTLICHE LEISTUNG ZUM FESTPREIS

LEGAL SMART Rechtsprodukt Vertragscheck
299,00 €

Vertragscheck

Machen Sie keine Kompromisse. Lassen Sie Ihren Vertrag anwaltlich prüfen, bevor Sie ihn unterschreiben. Professionell und zum Festpreis.

LEGAL SMART Rechtsprodukt Patientenverfügung
99,00 €

Patientenverfügung

Überlassen Sie Ihre Behandlung im Ernstfall nicht dem Zufall. Bestimmen Sie mit einer Patientenverfügung selbst, welche Behandlung Sie wünschen und welche nicht.

MEHR PRODUKTE Anwaltliche Leistung zum Festpreis

LEGAL SMART Rechtsanwaltsgesellschaft mbH

LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.