DSGVO-Bußgeld: Spartoo zahlt 250.000 Euro
Der Online-Schuhhändler Spartoo wird aufgrund von Verstößen gegen die DSGVO zur Kasse gebeten: 250.000 Euro muss das Unternehmen zahlen, hat die französische Datenschutzbehörde CNIL entschieden. Der Schuhverkäufer hat seinen Stammsitz in Grenoble und beliefert Kunden in 13 EU-Staaten – auch für Deutschland existiert eine eigene Bestellseite. Nach einer Prüfung stellte die CNIL diverse Mängel fest, unter anderem wurden Telefongespräche aufgezeichnet.
Prüfung kurz nach Start der DSGVO
Die EU-Datenschutz-Grundverordnung (DSGVO) ist mit dem 25. Mai 2018 nach einer Übergangsfrist von zwei Jahren in Kraft getreten – und nur sechs Tage später, am 31. Mai 2018, inspizierte die französische Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) den Online-Versandhändler Spartoo. Dabei fokussierte sich die CNIL vorrangig darauf, wie personenbezogene Daten bei Spartoo verarbeitet werden.
Sehr sauer stieß den Prüfern auf, dass Spartoo Telefongespräche vollständig aufzeichnete. Im Hause Spartoo wurden sämtliche Telefonate, die durch die Mitarbeiterinnen und Mitarbeiter des Kundendiensts geführt wurden, permanent aufgezeichnet – angeblich zu Schulungszwecken, wie dem im Juli veröffentlichten Sanktionsbeschluss zu entnehmen ist. Da die dafür verantwortliche Person lediglich einen Mitschnitt pro Woche und Mitarbeiter anhörte, empfanden die Prüfer diese Aufzeichnungen als nicht gerechtfertigt. Zum Zwecke der Mitarbeiterschulung wurden über diese Hotline bei Bestellungen mitunter auch Kontodaten der Kunden erfasst und gespeichert – Informationen, die die Prüfer für Schulungszwecke keinesfalls für erforderlich hielten.
DSGVO-Sanktionen: Welche Daten waren konkret betroffen?
Die Prüfer störten sich nicht nur an den Mitschnitten, sondern auch an der Tatsache, dass diese Mitschnitte weder verschlüsselt noch gelöscht wurden. Nicht nur Kundendaten waren von der nicht-DSGVO-konformen Verarbeitung betroffen, sondern auch die Daten der Newsletter-Abonnenten sowie die Daten der eigenen Mitarbeiterinnen und Mitarbeiter.
Konkret wurden folgende Sachverhalte als nicht DSGVO-konform angesehen:
- Spartoo speicherte die für Zahlungen verwendeten Bankdaten bis zu sechs Monate lang unverschlüsselt.
- Fürs Anlegen der Kunden-Accounts waren keine sicheren Passwörter notwendig.
- Die Aufbewahrungsfristen für sensible Daten nahm Spartoo nicht allzu genau. Weder war festgelegt, wie lange welche Informationen aufbewahrt werden sollen, noch wurden gespeicherte Daten irgendwann gelöscht oder auch nur archiviert. Den Prüfern entgangen die Angaben von über drei Millionen Kunden nicht, deren Konten seit über fünf Jahren ungenutzt waren.
- Für die für Schulungszwecke aufgezeichneten Telefonate wurden Einwilligungen eingeholt – das hatte seine Richtigkeit. Jedoch wurden, wie oben erwähnt, in diesem Zusammenhang auch Kontodaten mitgeschnitten und gespeichert. Außerdem habe das Unternehmen deutlich mehr Anrufe mitgeschnitten als für Schulungszwecke notwendig gewesen wäre. Damit liege ein Verstoß gegen das Prinzip der Datenminimierung vor.
- Seinen Informationspflichten sei Spartoo darüber hinaus nur unzureichend nachgekommen: Man habe Kunden, Newsletter-Abonnenten oder Mitarbeiter nicht oder ungenügend über Zeitraum, Zweck sowie Rechtsgrundlagen der Datenspeicherungen informiert.
- Weiter habe Spartoo es verpasst, den Verpflichtungen nachzukommen, die die DSGVO zur Gewährleistung der Datensicherheit vorschreibt.
- Zur Identitätsfeststellung verlangte Spartoo von seinen Kunden den Personalausweis, Kunden aus Italien hatten sogar ihren „tessera sanitaria“, ihren Gesundheitsausweis einzureichen. Darin enthalten sind zahlreiche Daten, einschließlich Steuercode oder Geburtsort sowie Informationen zur Staatsangehörigkeit. Dass hier zu viele Daten erhoben wurden, ist mehr als offensichtlich.
Das CNIL betont, dass dies eine Vielzahl von Verstößen gegen die DSGVO seien: mehr als drei Millionen Kunden, über 25 Millionen Interessenten sowie die eigenen Mitarbeiterinnen und Mitarbeiter waren betroffen – und das rechtfertige eine Strafe in Höhe von 250.000 Euro. Nun muss Spartoo seine Datenverarbeitungsprozesse binnen drei Monaten DSGVO-konform anpassen – andernfalls drohen weitere Strafen.
DSGVO-Verstöße: Spartoos Verfehlungen
Spartoos bisherige Geschäftsprozesse verstoßen mehrfach gegen die DSGVO:
Verstoß gegen den Grundsatz der Datenminimierung („Datensparsamkeit“)
Gemäß Art. 5 Abs. 1 lit. c DSGVO dürfen Unternehmen lediglich so viele Daten erheben, wie es tatsächlich notwendig ist. Betroffene mit der Herausgabe unnötiger Daten zu belästigen, sollte also vermieden werden. Es wurden …
- … sämtliche Anrufe aufgezeichnet: Da pro Woche und pro Mitarbeiter wöchentlich lediglich ein Gespräch zu Schulungszwecken verwendet wird, sind die Aufzeichnungen aller weiteren Telefonate unnötig.
- … Bankdaten aufgezeichnet: Da der Schulungszweck nicht mehr greift, wenn Bankdaten genannt werden, hätte Spartoo an diesem Punkt die Aufzeichnungen beenden müssen – das fand jedoch nicht statt. Stattdessen wurden die aufgezeichneten Bankdaten unverschlüsselt gespeichert, und zwar unnötig lang.
- … Personal- und Gesundheitsausweise abgefragt: Die CNIL betonte, dass es übertrieben und somit nicht erforderlich sei, gleich zwei Ausweisdokumente zur Identitätsfeststellung und Betrugsbekämpfung vorlegen zu lassen. Weiter wurden dabei, wie oben erwähnt, viel zu viele Daten erfasst.
Verstoß gegen den Grundsatz der Speicherbegrenzung
Ebenfalls in Art. 5 Abs. 1 DSGVO wird der Grundsatz der Speicherbegrenzung behandelt, gegen den Spartoo ebenfalls verstoßen hat. Personenbezogene Daten, so besagt die DSGVO, sollten nicht länger gespeichert werden, als es für den Zweck, für den die Datenspeicherung erfolgt, notwendig ist.
Da Spartoo weder über ein Löschkonzept verfügt noch die gespeicherten Daten löscht, hat sich über die Jahre extrem viel Datenmaterial angesammelt – viel zu viel, wie die CNIL feststellen musste. So fand man tatsächlich Daten von mehr als 118.750 Kunden, die sich nach dem 25. Mai 2008 nicht mehr eingeloggt hatten – und das war nur die Spitze des Eisbergs. Nicht nur nicht mehr benötigte Daten von Kunden speicherte das Unternehmen ewig, sondern auch Interessentendaten, die lediglich Informationen eingeholt hatten, lagerten noch Jahre nach den Anfragen in den Tiefen der Datenbanken.
Verstoß gegen die Informationspflichten
Art. 13 DSGVO klärt über die umfassenden Informationspflichten auf, die Unternehmen gegenüber Betroffenen haben. Spartoo selbst erklärte, dass die Einwilligungen der Kunden und Interessenten als Rechtsgrundlage für die Datenspeicherung dienen. Den Prüfern der CNIL fiel jedoch die Datenschutzerklärung auf, die der Versandhändler auf seiner Website veröffentlicht hatte. Dementsprechend müssten weitere Rechtsgrundlagen bei den unterschiedlichen Datenverarbeitungen vorliegen.
Es fehlte zudem die Information für die Kunden, dass aufgezeichnete Telefonate nach Madagaskar übermittelt wurden. Wie auch die Kunden und Interessenten wurden die Mitarbeiter ebenfalls nicht vollumfänglich informiert: Im Januar 2016 fand eine Mitarbeiterschulung statt, auf der darüber informiert wurde, dass Kundentelefonate zu Schulungszwecken aufgezeichnet werden. Danach fand eine derartige Information über die Aufzeichnungen nicht mehr statt. Die Prüfer kamen zu dem Schluss, dass die durchgeführten Datenverarbeitungen für die Mitarbeiterinnen und Mitarbeiter nicht transparent seien.
Verstoß gegen die Gewährleistung der Sicherheit der Verarbeitung („Datensicherheit“)
Gemäß Art. 32 DSGVO müssen Verantwortliche der Datenverarbeitung mit technischen sowie organisatorischen Maßnahmen ein dem Risiko angemessenes Schutzniveau gewährleisten. Dass man hier aktiver sein muss als Spartoo, zeigen die Verfehlungen des Online-Schuhhändlers:
Kunden konnten Passwörter anlegen, die mit lediglich sechs Zeichen sowie einer Zeichenkategorie nur bedingt sicher sein können. Wurden von einer IP-Adresse 19 Login-Fehlversuche binnen einer Minute eingegeben, so erfolgte die Sperrung dieser IP-Adresse für nur eine Minute. Brute-Force-Angriffe mit dem Ziel, persönliche Daten aus Kundenaccounts abzugreifen, sind mit solch laxen Sicherheitseinstellungen extrem einfach.
Kunden aus einigen Ländern (Frankreich, Italien, Spanien, Ungarn, Slowakei, Dänemark und Griechenland) wurden gebeten, Bankkarten-Kopien per E-Mail zu senden, damit Spartoo Betrugsbekämpfung betreiben kann. Dass die Scans sechs Monate lang unverschlüsselt gespeichert wurden, ist schon ein Desaster. Der unverschlüsselte E-Mail-Versand, zu dem die Kunden so verleitet wurden, ein weiteres: Bei Bankdaten handelt es sich um sehr sensible Informationen!
Zum Zwecke der Betrugsbekämpfung war Spartoo darüber hinaus nicht berechtigt, alle Bankkartennummern zu verarbeiten. Spartoo wäre in der Pflicht gewesen, mit technischen Maßnahmen wie Verschlüsselung die gesicherte Kundenkommunikation zu ermöglichen und Kunden die Möglichkeit zu geben, nur den wirklich erforderlichen Teil ihrer Bankkarten zu übermitteln.
Ist die Höhe der DSGVO-Strafe angemessen?
Es wäre ein Leichtes gewesen, die Bedingungen für die Betroffenen zu optimieren: Ein auf Sicherheit bedachtes Login-Verfahren, Betrugsbekämpfung mit ausschließlich dafür erforderlichen Daten und sicheren Übermittlungsmethoden oder ein effizientes Löschkonzept hätten sicher dafür gesorgt, dass die Strafe nicht derartig hoch ausfällt. Dass die Kontrolle durch die französische Datenschutzbehörde kurz nach Inkrafttreten der DSGVO anstand, ist sicherlich schlicht als Pech anzusehen. Doch die hier vorliegenden Verstöße hätten – zumindest hierzulande – auch vor der DSGVO zu Bußgeldern geführt. In Anbetracht der Summe der Verstöße und den Unmengen Betroffener erscheinen 250.000 Euro DSGVO-Strafe berechtigt.