26. August 2022

Grundsätze der Datenverarbeitung, Teil 1: Mit Datenminimierung Prozesse optimieren

DP+

Es ist sicherlich nicht übertrieben, davon auszugehen, dass die Menge der verarbeiteten Daten sich alle zwei Jahre verdoppelt. Da kann es schon erheblich sein, wenn es gelänge, mit Datenminimierung ein Gutteil der Daten als nicht erforderlich zu identifizieren.

Bild: iStock.com / metamorworks

0,00 (0)

Wie ein Online-Schuhverkäufer eine Geldbuße von 250.000 € bekam

Unmittelbar nach Anwendbarkeit der DSGVO überprüfte die französische Aufsichtsbehörde CNIL den Online-Verkäufer Spartoo, der Schuhe in 13 EU-Länder verkauft. Sie verhängte im Juli 2020 eine Geldbuße von 250.000 €, u.a. wegen Verstößen gegen die Datenminimierung. Wie hätte sich das verhindern lassen?

Die Commission Nationale de l’Informatique et des Libertés (CNIL) untersuchte die Datenverarbeitungen beim genannten Schuhhändler im Zusammenhang mit Daten von Kunden und Interessenten. Dabei kam heraus, dass Spartoo alle Kundengespräche aufzeichnete. Die Begründung war, dass dies zu Schulungszwecken erforderlich sei. Allerdings wurde nur ein Gespräch je Mitarbeiter pro Woche ausgewertet. Die Aufsichtsbehörde kritisierte, dass Spartoo die übrigen Telefonate unnötig aufgezeichnet hatte. Hier wurde also gegen die Datenminimierung verstoßen. Da das Unternehmen die kurz darauf vorgebrachte Behauptung, man habe die aufgezeichneten Gespräche auf 30 % reduziert, nicht bewies, blieb es bei der verhängten Geldbuße.

Aufzeichnung aller Bankdaten

Ein weiterer Verstoß lag nach Ansicht der Aufsichtsbehörde darin, dass Spartoo bei telefonischen Bestellungen sämtliche Bankdaten aufzeichnete. Sie wurden darüber hinaus 15 Tage im Klartext gespeichert. Da diese Daten für die Schulungszwecke nach Überzeugung der Aufsichtsbehörde völlig überflüssig waren, hätte die jeweilige Aufzeichnung vor der Abfrage der Bankdaten beendet werden müssen.

Aufzeichnung von Identitätsnachweisen

Doch damit nicht genug. Zusätzlich mussten die Kunden einen Identitätsnachweis vorlegen. Deutsche Kunden beispielsweise den Personalausweis. Italienische Kunden mussten ihren Gesundheitsausweis („tessera sanitaria“) übermitteln. Die Dokumente enthielten eine Vielzahl von persönlichen Informationen, die definitiv nicht für die Betrugsbekämpfung, die Spartoo als Abfragegrund angab, …

Eberhard Häcker

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Konzentrieren Sie sich aufs Wesentliche

Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.

Kein Stress mit Juristen- und Admin-Deutsch

Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.

Sparen Sie sich langes Suchen

Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.

Jetzt testen

zu den Kommentaren

Wie nützlich war dieser Beitrag für Sie?

drucken

Verfasst von

Eberhard Häcker

Eberhard Häcker ist seit vielen Jahren als externer Datenschutzbeauftragter tätig. Seit 2005 ist Eberhard Häcker selbstständig mit Schwerpunkt Datenschutzberatung.