Französische Datenschutzbehörde verhängt Strafe von 500.000 €
Die französische Datenschutzbehörde CNIL macht ernst: Wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO), das französische Post- und elektronische Kommunikationsgesetz (CPCE) und das französische Datenschutzgesetz (Loi Informatique et Libertés) hat die CNIL am 14. Juni 2021 eine Geldstrafe in Höhe von 500.000 € gegen die französische Firma Brico Privé verhängt.
Da das Unternehmen, das eine Website für den Verkauf von Heimwerkerprodukten betreibt, sowohl in Frankreich als auch in drei weiteren EU-Ländern tätig ist, rief die CNIL die anderen beteiligten europäischen Aufsichtsbehörden zur Zusammenarbeit gemäß Art. 60 der DSGVO auf, um die Kontrollen über die Landesgrenzen hinaus auszuweiten und gemeinsam Sanktionen für die nachfolgend festgestellten Pflichtverstöße zu verhängen.
Verstoß gegen die Pflicht zur Begrenzung der Speicherdauer (Art. 5.1 DSGVO):
Gemäß Art. 5.1 e) DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Das Unternehmen hatte, ohne dies rechtfertigen zu können, Kundendaten für eine Dauer von mehr als fünf Jahren nach dem letzten Login aufbewahrt. Die CNIL befand, dass diese Speicherdauer als exzessiv anzusehen sei. Der Verstoß gegen die Speicherbegrenzung ist ein wiederkehrender Grund für Sanktionen seitens der CNIL, welche generell eine Speicherdauer von nicht mehr als drei Jahren empfiehlt.
Verstoß gegen die Informationspflicht nach Art. 13 DSGVO:
Bei der Erhebung personenbezogener Daten muss die jeweils betroffene Person zum Zeitpunkt der Erhebung über die in Artikel 13 DSGVO aufgeführten Punkte informiert werden. Im vorliegenden Fall befand die CNIL diese Informationen, die auf die Allgemeinen Geschäftsbedingungen, das Impressum und die Datenschutzrichtlinie verteilt waren, für unvollständig, insbesondere in Bezug auf die Dauer der Speicherung.
Verstoß gegen das Recht auf Löschung (Art. 17 DSGVO):
Bei ihrer Kontrolle stellte die CNIL fest, dass ein Antrag auf Löschung der personenbezogenen Daten lediglich zur Deaktivierung des Benutzerkontos, nicht jedoch zur endgültigen Löschung der Daten führte.
Übrigens: Wegen einer ähnlichen Zuwiderhandlung hatte die CNIL erst kürzlich eine Strafe gegen die Firma Nestor verhängt, weil diese Anträge der Kunden auf Auskunftserteilung unbearbeitet ließ und damit gegen das Auskunftsrecht gemäß Art. 15 DSGVO verstieß.
Verstoß gegen die Pflicht zum Ergreifen angemessener Sicherheitsvorkehrungen (Art. 32 DSGVO):
Die CNIL war der Ansicht, dass Brico Privé gegen Artikel 32 der DSGVO verstoßen habe, da das Unternehmen nicht alle geeigneten Maßnahmen ergriffen hatte, um einen dem Risiko angemessenen Datenschutz zu gewährleisten. Insbesondere bemängelte die CNIL die Verwendung unsicherer Passwörter, die Nutzung eines veralteten Hashsystems sowie die gemeinsame Nutzung von Passwörtern durch verschiedene Mitarbeiter sowie die Speicherung unverschlüsselter Passwörter auf einem Firmencomputer.
Dass es trotz dieser Sicherheitslücken zu keiner Datenrechtsverletzung kam, ist für die Feststellung der Pflichtverletzung unerheblich, da es sich bei der Sicherungspflicht gemäß Art. 32 DSGVO um eine Mittelpflicht und nicht um eine Ergebnispflicht handelt. Über ein ähnliches Vorgehen der CNIL in einem anderen Fall haben wir hier berichtet.
Verstöße im Zusammenhang mit Werbe-Mails und Cookies:
Allein für die vorstehend aufgeführten Verstöße gegen die DSGVO verhängte die CNIL ein Bußgeld in Höhe von 300.000 €. Weitere 200.000 € musste die Firma Brico Privé dafür zahlen, dass Cookies zu Werbezwecken genutzt und Werbe-E-Mails versendet wurden, ohne die vorherige Zustimmung der betroffenen Personen einzuholen. Den Einwand von Brico Privé, dass die Zustimmung zu den AGB, die eine Nutzung der personenbezogenen Daten des Kunden zu Werbezwecken vorsehen, eine gesonderte Einwilligung überflüssig mache, wies die CNIL zurück.
Praxistipp:
Grundsätzlich trägt die Zusammenarbeit zwischen den Aufsichtsbehörden der EU-Länder auf sehr heilsame Weise zur Einhaltung der Datenschutzbestimmungen innerhalb des europäischen Binnenmarktes bei. Das harte Durchgreifen der CNIL in diesem Fall ist jedoch insofern bemerkenswert, als es sich bei Brico Privé nicht um einen Global Player des E-Commerce, sondern um einen vergleichsweise kleinen Akteur handelt, dessen Datenverarbeitungsprozesse eine relativ kleine Menge personenbezogener Daten umfassen. Noch dazu lagen der CNIL im vorliegenden Fall keinerlei Beschwerden betroffener Personen vor.
Das wiederholt harte Vorgehen der CNIL sollte Unternehmen aller Art eine Warnung sein, die geltenden Datenschutzbestimmungen ernst zu nehmen. Dies gilt sowohl für Unternehmen, die im E-Commerce-Sektor tätig sind, als auch für solche, die im Rahmen ihrer Geschäftstätigkeit lediglich kleine Mengen personenbezogener Daten verarbeiten. In keinem Fall sollten Sie sich darauf verlassen, dass Ihr Unternehmen aufgrund seiner womöglich geringen Größe unter dem Radar der CNIL bleibt.
03.08.2021