DSGVO-Verstöße und Wettbewerbsrecht
Wann DSGVO-Verstöße wettbewerbsrechtlich relevant und verfolgbar sind, ist nach wie vor […]
Wegen DSGVO-Verstößen muss Spartoo 250.000 Euro Strafe zahlen. Grund dafür ist, dass der online-Händler Bankdaten teils unverschlüsselt abspeicherte.
CNIL, eine französische Datenschutzbehörde, hat gegen den online-Händler ermittelt, da er seinen Sitz im französischen Grenoble hat. Bei den Untersuchungen kam heraus, dass Spartoo mit Kundeninformationen nicht nach EU-Standards umgeht. „Die Behörde hatte das Unternehmen im Mai 2018 geprüft und dabei Mängel im Umgang mit Informationen über Kunden, Interessenten und Mitarbeiter festgestellt.“
Nach Ermittlungen der französischen Datenschutzbehörde hält der online-Händler „das Prinzip der Datenminimierung aus der DSGVO“ nicht ein! Die Behörde deckte auf, dass Telefongespräche immer ohne vorherige Zustimmung zu „Schulungszwecken“ aufgenommen wurden. Des Weiteren stellte sich heraus, dass bei telefonischen Bestellungen auch Bankdaten der Kunden „zum Zwecke der Mitarbeiterschulung“ gespeichert wurden. Welchen Zweck die Speicherung der Bankdaten zur „Mitarbeiterschulung“ haben soll ist fraglich!
Bei den Ermittlungen stellte sich auch heraus, dass Spartoo Scans aufbewahrte, die bei der Bestellung verwendete Kreditkartendaten beinhalteten – sogar unverschlüsselt!
Die Behörde deckte auch auf, dass der online-Händler für die Bestellung irrelevante Daten erfasste, wie zB. eine Kopie der Gesundheitskarte.
Auch hielt sich Spartoo, mit einer Speicherfrist von sechs Monaten, nicht an seine eigenen Vorgaben. Gerade bei Kunden, die seit Jahren nicht mehr in ihrem Kundenkonto aktiv waren, wurden diese Daten über Jahre hinweg gespeichert.
Den Prüfern von CNIL viel auch auf, dass die auf der Website angegebenen Datenschutzerklärungen nicht mit der DSGVO im Einklang stehen.
Mit der DSGVO ist nicht vereinbar Kundendaten über Jahre hinweg zu speichern. Kundendaten sind dabei E-Mail Adressen, Passwörter, Adressen; nicht jedoch eine Kopie der Gesundheitskarte.
Es ist wichtig, dass die Kundendaten für das Unternehmen relevant sind. Des Weiteren müssen solche Daten verschlüsselt abgespeichert werden.
Außerdem darf von Kunden auch keine „generelle Einwilligung“ für alle in der Zukunft durchzuführenden Vorgänge einholen.
Die nationalen Aufsichtbehörden sind verpflichtet DSGVO-Verstöße mit Bußgeldern bzw. Strafen zu verhängen. Sie sind auch verpflichtet dem Unternehmen eine Frist zu setzen die Verstöße umgehend zu unterlassen und ihre Unternehmenspraxis nachweislich DSGVO-konform umzustellen. Natürlich muss auch hier die Höhe des Bußgeldes verhältnismäßig sein. Für die Einhaltung der Verhältnismäßigkeit nutzt die Aufsichtbehörde einen vorher festgelegten „Sanktionen-Katalog“.
Straferhöhend wirkt sich unter anderem vorsätzlichen Verstöße, Versäumnisse und keine Zusammenarbeit mit der jeweiligen Aufsichtsbehörde aus.
„Für die im Gesetz unter Art. 83 Abs. 5 DSGVO aufgelisteten, besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist. Aber auch der Katalog von weniger gewichtigen Verstößen (Art. 83 Abs. 4) führt Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs an, je nachdem, welcher der Beträge höher ist. (….) Darüber hinaus haben die Mitgliedsstaaten Vorschriften über Sanktionen bei anderen Verstößen gegen die Grundverordnung festzulegen. Dies gilt insbesondere für solche Verstöße, die nicht bereits mit einer Geldbuße belegt sind. Dabei ist ebenfalls darauf zu achten, dass diese ebenfalls wirksam, verhältnismäßig und abschreckend sind.“
Fazit
Alles in allem kann man sagen, dass Spartoo sich bei der untersuchenden Behörde als wahren Datenmonster herausstellte, was regelmäßig gravierende DSGVO-Verstöße beging. Daher ist eine so hohe Strafe im Sinne des Datenschutzes auch angemessen. Damit Ihnen als Unternehmen so etwas nicht passiert, sollten Sie sich mit dem Thema DSGVO gut auseinandersetzen und sich von einem Fachanwalt beraten lassen.
Sie haben Fragen zum Thema DSGVO, Datenschutz und online-Handel? Melden Sie sich bei uns! Wir stehen Ihnen sehr gerne schnell und unkompliziert zur Seite!
Lesen Sie auch unseren Artikel zum Thema „DSGVO und Softwareentwicklung“.
Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).
ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTORWann DSGVO-Verstöße wettbewerbsrechtlich relevant und verfolgbar sind, ist nach wie vor […]
Der Bußgeldtatbestand gem. Art. 83 DSGVO ist bekannt und dementsprechend stellen […]
Wie man einem aktuellen Bericht der Süddeutschen Zeitung entnehmen kann, soll […]
Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.
LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.
Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.
Sie haben eine Filesharing Abmahnung erhalten? Lassen Sie sich vom Profi verteidigen und reduzieren Sie Ihre Kosten.
Machen Sie keine Kompromisse. Lassen Sie Ihren Vertrag anwaltlich prüfen, bevor Sie ihn unterschreiben. Professionell und zum Festpreis.
Überlassen Sie Ihre Behandlung im Ernstfall nicht dem Zufall. Bestimmen Sie mit einer Patientenverfügung selbst, welche Behandlung Sie wünschen und welche nicht.
LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.