Grundsätze der Datenverarbeitung, Teil 1: Mit Datenminimierung Prozesse optimieren
Die Commission Nationale de l’Informatique et des Libertés (CNIL) untersuchte die Datenverarbeitungen beim genannten Schuhhändler im Zusammenhang mit Daten von Kunden und Interessenten. Dabei kam heraus, dass Spartoo alle Kundengespräche aufzeichnete. Die Begründung war, dass dies zu Schulungszwecken erforderlich sei. Allerdings wurde nur ein Gespräch je Mitarbeiter pro Woche ausgewertet. Die Aufsichtsbehörde kritisierte, dass Spartoo die übrigen Telefonate unnötig aufgezeichnet hatte. Hier wurde also gegen die Datenminimierung verstoßen. Da das Unternehmen die kurz darauf vorgebrachte Behauptung, man habe die aufgezeichneten Gespräche auf 30 % reduziert, nicht bewies, blieb es bei der verhängten Geldbuße.
Aufzeichnung aller Bankdaten
Ein weiterer Verstoß lag nach Ansicht der Aufsichtsbehörde darin, dass Spartoo bei telefonischen Bestellungen sämtliche Bankdaten aufzeichnete. Sie wurden darüber hinaus 15 Tage im Klartext gespeichert. Da diese Daten für die Schulungszwecke nach Überzeugung der Aufsichtsbehörde völlig überflüssig waren, hätte die jeweilige Aufzeichnung vor der Abfrage der Bankdaten beendet werden müssen.
Aufzeichnung von Identitätsnachweisen
Doch damit nicht genug. Zusätzlich mussten die Kunden einen Identitätsnachweis vorlegen. Deutsche Kunden beispielsweise den Personalausweis. Italienische Kunden mussten ihren Gesundheitsausweis („tessera sanitaria“) übermitteln. Die Dokumente enthielten eine Vielzahl von persönlichen Informationen, die definitiv nicht für die Betrugsbekämpfung, die Spartoo als Abfragegrund angab, …