CNIL verhängt 500.000 Euro Bußgeld gegen BRICO PRIVÉ
Frankreich: Der vorliegende Bußgeldbescheid steht mit drei Inspektionen im Zusammenhang, welche die französische Datenschutzbehörde CNIL zwischen 2018 und 2021 beim Betreiber von www.bricoprive.com, einem Online-Shop rund um die Themen Heimwerken und Gartenarbeit, durchgeführt hatte. Die Überprüfungen hatten die Verarbeitung personenbezogener Daten von Interessenten und Kunden, die über einen Account im Shop verfügten, zum Gegenstand.
BRICO PRIVÉ ist in Frankreich und in drei weiteren europäischen Ländern (Spanien, Italien und Portugal) tätig. Da daher auch die Betroffenen in mehreren Ländern der Europäischen Union ansässig sind, hat die CNIL mit den Aufsichtsbehörden der drei Länder zusammengearbeitet, in denen BRICO PRIVÉ seine Dienstleistungen anbietet.
Eine Überprüfung vom 13. November 2018 hatte ergeben, dass BRICO PRIVÉ überhaupt keine Aufbewahrungsfrist für gespeicherte Nutzerdaten definiert und damit einhergehend keine regelmäßige Löschung oder Archivierung nicht länger benötigter Daten vorgenommen hatte. So waren in der aktiven Datenbank des Bußgeldempfängers damals 16.653 Einträge von Personen enthalten, welche seit über fünf Jahren keine Bestellungen mehr aufgegeben hatten. Nach der Überprüfung hatte das Unternehmen neue Richtlinien für die Aufbewahrung von Nutzerdaten eingeführt. Diese sahen vor, dass Nutzerdaten aus der aktiven Datenbank entfernt werden, wenn das zugehörige Konto gelöscht wird oder für drei Jahre inaktiv bleibt. Nach Ablauf dieser Fristen werden die Daten bis zum Ablauf gesetzlicher Fristen archiviert, sofern sie für vorgerichtliche oder prozessuale Zwecke erforderlich sind, und danach gelöscht.
Doch wie die Datenschutzbehörde feststellte, waren die neuen Richtlinien nicht ordnungsgemäß angewandt worden. Daten wurden in der Praxis deutlich länger aufbewahrt, als die Richtlinien es vorsahen, ohne dass dies für den Verarbeitungszweck angemessen war. So ergab eine Anfrage vom 4. März 2020, dass BRICO PRIVÉ Daten von 130.000 Personen gespeichert hatte, die sich seit über fünf Jahren nicht mehr in ihren Account eingeloggt hatten. Die Datenschutzbehörde wertete dies als eine Verletzung des Prinzips der Speicherbegrenzung aufseiten des Bußgeldempfängers.
Darüber hinaus hatte der Bußgeldempfänger die Betroffenen bei der Erhebung ihrer Daten nicht ordnungsgemäß über deren Verarbeitung informiert. Weder waren den Betroffenen die Kontaktdaten des Verantwortlichen mitgeteilt worden noch waren die Betroffenen über die Speicherfristen ihrer Daten, die Rechtsgrundlage der Verarbeitung und ihre Betroffenenrechte aufgeklärt worden.
Auch war das Unternehmen Löschanfragen seitens der Betroffenen nicht ordnungsgemäß nachgekommen. Wie die Datenschutzbehörde feststellte, wurden in Fällen, in denen Betroffene von ihrem Recht auf Löschung Gebrauch machten, ihre Accounts nur deaktiviert, anstatt sie und die mit ihnen assoziierten personenbezogenen Daten zu löschen.
Des Weiteren hatte der Bußgeldempfänger seine Pflicht verletzt, adäquate technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus für die Verarbeitung der Betroffenendaten zu implementieren, da sein Umgang mit Passwörtern nicht gängigen Sicherheitsstandards entsprach. So setzten sich Passwörter, mit denen sich Nutzer bei der Account-Erstellung authentifizieren konnten, nur aus sechs Ziffern und Passwörter, mit denen sich Mitarbeiter in die Kundenverwaltungssoftware einloggen konnten, aus acht Zeichen mit mindestens einer Ziffer und einem Buchstaben zusammen. Letztere waren dabei außerdem im Klartext in einer Textdatei auf den Computersystemen des Unternehmens gespeichert worden.
Zudem hatte das Unternehmen gegen die Vorgaben des französischen Datenschutzgesetzes (loi informatique et libertés) verstoßen, indem es Cookies auf den Endgeräten der Betroffenen installiert hatte, ohne dass diese zuvor darin eingewilligt hatten. Ebenso erkannte die Datenschutzbehörde einen Verstoß gegen das französische Gesetz zur postalischen und elektronischen Kommunikation (code des postes et des communications électroniques, CPCE), weil der Bußgeldempfänger die bei der Accounterstellung erfassten Kontaktdaten der Betroffenen für Werbezwecke verwendet hatte, ohne sich zuvor die Einwilligung der Betroffenen dafür einzuholen.
Das Bußgeld setzt sich anteilig aus 300.000 EUR für Verstöße gegen Art. 5 Abs. 1 lit. e, Art. 13, Art. 17 und Art. 32 DSGVO und 200.000 EUR für Verstöße gegen Art. 82 des loi informatique et libertés und gegen Art. L. 34-5 CPCE zusammen. .
Veröffentlicht am: 17-06-2021
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.