Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 03/26

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
26. August 2022

Grundsätze der Datenverarbeitung, Teil 1: Mit Datenminimierung Prozesse optimieren

DP+
Es ist sicherlich nicht übertrieben, davon auszugehen, dass die Menge der verarbeiteten Daten sich alle zwei Jahre verdoppelt. Da kann es schon erheblich sein, wenn es gelänge, mit Datenminimierung ein Gutteil der Daten als nicht erforderlich zu identifizieren.
Bild: iStock.com / metamorworks
0,00 (0)
drucken
Wie ein Online-Schuhverkäufer eine Geldbuße von 250.000 € bekam
Unmittelbar nach Anwendbarkeit der DSGVO überprüfte die französische Aufsichtsbehörde CNIL den Online-Verkäufer Spartoo, der Schuhe in 13 EU-Länder verkauft. Sie verhängte im Juli 2020 eine Geldbuße von 250.000 €, u.a. wegen Verstößen gegen die Datenminimierung. Wie hätte sich das verhindern lassen?
Die Commission Nationale de l’Informatique et des Libertés (CNIL) untersuchte die Datenverarbeitungen beim genannten Schuhhändler im Zusammenhang mit Daten von Kunden und Interessenten. Dabei kam heraus, dass Spartoo alle Kundengespräche aufzeichnete. Die Begründung war, dass dies zu Schulungszwecken erforderlich sei. Allerdings wurde nur ein Gespräch je Mitarbeiter pro Woche ausgewertet. Die Aufsichtsbehörde kritisierte, dass Spartoo die übrigen Telefonate unnötig aufgezeichnet hatte. Hier wurde also gegen die Datenminimierung verstoßen. Da das Unternehmen die kurz darauf vorgebrachte Behauptung, man habe die aufgezeichneten Gespräche auf 30 % reduziert, nicht bewies, blieb es bei der verhängten Geldbuße.

Aufzeichnung aller Bankdaten

Ein weiterer Verstoß lag nach Ansicht der Aufsichtsbehörde darin, dass Spartoo bei telefonischen Bestellungen sämtliche Bankdaten aufzeichnete. Sie wurden darüber hinaus 15 Tage im Klartext gespeichert. Da diese Daten für die Schulungszwecke nach Überzeugung der Aufsichtsbehörde völlig überflüssig waren, hätte die jeweilige Aufzeichnung vor der Abfrage der Bankdaten beendet werden müssen.

Aufzeichnung von Identitätsnachweisen

Doch damit nicht genug. Zusätzlich mussten die Kunden einen Identitätsnachweis vorlegen. Deutsche Kunden beispielsweise den Personalausweis. Italienische Kunden mussten ihren Gesundheitsausweis („tessera sanitaria“) übermitteln. Die Dokumente enthielten eine Vielzahl von persönlichen Informationen, die definitiv nicht für die Betrugsbekämpfung, die Spartoo als Abfragegrund angab, …

Eberhard Häcker
+

Weiterlesen mit Abo

Basic 299 € pro Jahr

1 Online-Zugang
12 PDF-Ausgaben pro Jahr inklusive
Zugriff auf alle Ausgaben und DP+ Arbeitshilfen

Perfekt für alle internen oder externen Datenschutzbeauftragten und Datenschutzkoordinatoren, die im Homeoffice oder mobil arbeiten.

Jetzt testen
Pro 333,95 € pro Jahr
TOP SELLER

1 Online-Zugang
12 Hefte + 12 PDF-Ausgaben pro Jahr inkl. Versand
Zugriff auf alle Ausgaben und DP+ Arbeitshilfen

Perfekt für alle internen oder externen Datenschutzbeauftragten und Datenschutzkoordinatoren, die im Homeoffice oder mobil arbeiten.

Jetzt testen
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Eberhard Häcker
Eberhard Häcker
Eberhard Häcker ist seit vielen Jahren als externer Datenschutz­beauftragter tätig. Seit 2005 ist Eberhard Häcker selbstständig mit Schwerpunkt Datenschutzberatung.
Verwandte Beiträge
24. Februar 2026
DP+
Bei der Videoüberwachung von Beschäftigten am Arbeitsplatz sind zahlreiche Punkte zu beachten. Ein Urteil des LAG Hamm bietet hierfür eine nützliche Orientierungshilfe.
Bild: iStock.com/EvgeniyShkolenko

Videoüberwachung datenschutz­konform anwenden

Urteil
Urteil
23. Februar 2026
DP+
Nach einem datenschutzrelevanten Sicherheitsvorfall ist die gründliche Risikobewertung der wichtigste Schritt. Danach entscheidet sich, ob eine Meldung des Vorfalls geboten ist.
Bild: iStock.com/Pressmaster

Wenn ein Vorfall alles verändert: Datenpannen richtig einordnen

Ratgeber
Cybersicherheit IT-Sicherheit KI
20. Februar 2026
DP+
Der datenschutzkonforme Einsatz von Microsoft Copilot erfordert einiges an Vorarbeit seitens der IT-Administration
Bild: iStock.com/Drazen Zigic

Copilot in Microsoft 365 richtig konfigurieren

Praxisbericht
KI Microsoft 365
18. Februar 2026
DP+
Ein unveränderlicher Speicher (Immutable Storage) bietet soliden Schutz vor Ransomware-Angriffen. Doch der Speicher will mit Bedacht eingestellt sein, um Konflikte mit DSGVO-Pflichten zu vermeiden.
Bild: iStock.com/sdecoret

Schutz vor Ransomware versus Löschpflichten

Ratgeber
IT-Sicherheit
18. Februar 2026
DP+

Datensicherheit stärken, Löschpflichten erfüllen

Downloads
Checklisten Muster Vorlagen IT-Sicherheit
weitere Beiträge laden
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.