CNIL verhängt 2.250.000 Euro Bußgeld gegen CARREFOUR FRANCE

Frankreich: Zwischen dem 8. Juni 2018 und dem 6. April 2019 gingen bei der französische Datenschutzaufsichtsbehörde CNIL 15 Beschwerden von Personen über Unternehmen der CARREFOUR-Gruppe ein. Die Beschwerden umfassten Werbung trotz des Widerspruchs der Betroffenen sowie Überschreitungen der Fristen bei Auskunftsersuchen und Löschbegehren von Betroffenen.
Die Aufsichtsbehörde führte daraufhin im Zeitraum vom 28. Mai bis 27. Juni 2019 Prüfungen bei CARREFOUR FRANCE durch, die das Carrefour Treueprogramm, Kundendatenbanken und technische und organisatorische Maßnahmen umfassten.
Die CNIL stellt bei den Untersuchungen fest, dass in der Kundendatenbank für Marketingkampagnen Datensätze von Kunden gespeichert wurden, deren letzter Kontakt bzw. letzte Transaktion bis zu vier Jahre zurücklag. Die Behörde hielt jedoch maximal drei Jahre für angemessen. Weiterhin waren in anderen Datenbanken noch Daten zu mehr als 28 Mio. Teilnehmern des Treueprogramms gespeichert, die bis zu 10 Jahre inaktiv waren.
Bei der Untersuchung der Erfüllung von Betroffenenrechten stellt die CNIL fest, dass Kopien von Personenausweisen als Identitätsnachweis für Anfragen der Betroffenen bis zu sechs Jahre lang aufbewahrt wurden. Der Behörde nach hätten die Kopien bereits nach Prüfung der Identität sofort gelöscht werden müssen. Ferner wurde die Praxis kritisiert, dass für jegliche Betroffenenanfragen eine Ausweiskopie verlangt wurde. Aus Sicht der Behörde hätte diese Form des Nachweises auf Fälle beschränkt werden müssen, bei denen Zweifel an der Identität des Betroffenen bestehen. Auch wurde bemängelt, dass die Bearbeitungszeiten von Betroffenenanfragen bis zu neun Monaten betragen haben.
Als weiteren Verstoß gegen die DSGVO sah die Behörde für die Webseite carrefour.fr die mangelhafte Zugänglichkeit zu Informationen der Art. 12 und 13 DSGVO. Die Datenschutzhinweise waren in mehrseitigen Nutzungsbedingungen untergebracht, so dass diese für die Betroffenen nicht leicht zugänglich waren. Zudem waren die Informationen an mehreren Stellen der Webseite verteilt. Auch war in den postalischen Werbesendungen des Treueprogramms zu den Datenschutzhinweisen nur ein allgemeiner Verweis auf die Webseite aufgeführt, jedoch nicht die genaue Webadresse oder Bezeichnung der Unterseite. Darüber hinaus kritisierte die Behörde, dass die Datenschutzhinweise unklare, mehrdeutige oder ungenaue Formulierungen enthielten. Verarbeitungen wurden verallgemeinert und beispielhaft dargestellt, so dass die in Art. 12 und 13 DSGVO geforderte Transparenz nicht gegeben war. Die Formulierungen waren so kompliziert, dass sich der Inhalt selbst fachkundigen Personen nur mühsam erschloss. Zu den Inhalten der Datenschutzerklärungen bemängelt die Behörde, dass der Verantwortliche für die Webseite carrefour.fr nicht korrekt identifizierbar war, die Rechtgrundlage und Speicherdauer der Verarbeitung nicht angegeben wurde und Angaben zu Übermittlungen in Drittstaaten fehlten.
Die Aufsichtsbehörde stellt zudem einen Mangel der technischen und organisatorischen Maßnahmen fest. Auf der Webseite carrefour.fr waren die Rechnungen von Kunden ohne jegliche Authentisierung von jedermann aufrufbar. Einzig die Kenntnis der spezifischen Webadresse hat gereicht, um die Daten einzusehen.
Am 1. Juli 2019 gab es einen Passwortangriff auf die Benutzerkonten der Webseite. Bei über 800.000 Verbindungsversuchen aus einem Bot-Net mit 10.000 IP-Adressen gab es 4.000 erfolgreiche Authentisierungen. In Folge kam es zu unautorisierten Zugriffen auf 275 Benutzerkonten. Der Vorfall wurde der CNIL jedoch nicht gemeldet.
Ferner bemängelt die Behörde, dass bei Besuch der Webseite 39 Cookies gesetzt werden, die überwiegend nicht technisch erforderlich waren. Unter den Cookies waren drei für das Tracking mittels Google Analytics. Für die Tracking-Cookies wäre eine Einwilligung der Besucher erforderlich gewesen.
Das Unternehmen war mit der Veröffentlichung des Berichts zum Bußgeldverfahren nicht einverstanden. Die Behörde war jedoch davon überzeugt, dass die hohe Anzahl an betroffenen Personen nur durch die Veröffentlichung von den Verstößen gegen ihre Rechte erfahren würden. .

Veröffentlicht am: 26-11-2020

Quelle von dsgvo-portal.de

Globeria Mannschaft

Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.

Globeria Consulting GmbH zeichnet sich als einer der führenden DSGVO-Dienstleister in Deutschland aus und bietet umfassende Lösungen durch zertifizierte Datenschutzbeauftragte (DSB). Unsere Dienstleistungen decken das gesamte Spektrum der DSGVO-Compliance ab und stellen sicher, dass Ihr Unternehmen alle rechtlichen Anforderungen effizient erfüllt. Vertrauen Sie auf unsere Expertise für ein beispielloses Datenschutz- und Privacy-Management.

Wir bedienen Berlin, Frankfurt, München, Magdeburg, Sachsen-Anhalt, Hamburg und ganz Deutschland.
Arbeitszeiten: Montag-Freitag, 09:00-17:00
© 2024 Globeria Consulting GmbH. Alle Rechte vorbehalten.