{"id":54927,"date":"2020-09-04T08:14:07","date_gmt":"2020-09-04T06:14:07","guid":{"rendered":"https:\/\/www.lhr-law.de\/?p=54927"},"modified":"2020-09-04T15:45:30","modified_gmt":"2020-09-04T13:45:30","slug":"verstoss-gegen-die-dsgvo-schuhvertreiber-spartoo-muss-summe-von-250-000-euro-zahlen","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/verstoss-gegen-die-dsgvo-schuhvertreiber-spartoo-muss-summe-von-250-000-euro-zahlen\/","title":{"rendered":"Versto\u00df gegen die DSGVO: Schuhvertreiber Spartoo muss Summe von 250.000 Euro zahlen"},"content":{"rendered":"
\"\"
\u00a9 Sinuswelle – Fotolia.com<\/figcaption><\/figure>\n

Der international t\u00e4tige und in Frankreich ans\u00e4\u00dfige Schuhversender “Spartoo” muss nach mehreren Verst\u00f6\u00dfen gegen die Datenschutzgrundverordnung (DSGVO)<\/a> die stolze Summe von insgesamt 250.000 Euro zahlen. <\/em><\/p>\n

Das Unternehmen hatte unter anderem Kundentelefonate aufgezeichnet und nicht gel\u00f6scht, sowie Bankdaten unverschl\u00fcsselt gespeichert.<\/em><\/p>\n

Spartoo spart nicht an DSGVO-Verst\u00f6\u00dfen<\/h2>\n

Spartoo wurde bereits 2006 gegr\u00fcndet, und bietet in insgesamt dreizehn L\u00e4ndern (darunter auch Deutschland) vorwiegend in Europa eigene Bestellseiten an. Hier kann der Kunde neben der Hauptware Schuhe auch Taschen und Kleidung per Mausklick erstehen.<\/p>\n

Das Strafgeld wurde von der franz\u00f6sischen Datenschutzbeh\u00f6rde Commission Nationale de l\u2019Informatique et des Libert\u00e9s (kurz CNIL) verh\u00e4ngt, welche bereits vor etwa zwei Jahren diverse Verst\u00f6\u00dfe des Schuhgiganten gegen die DSGVO<\/a> festgestellt hatte. Die hohe Summe ist nun Ergebnis eines l\u00e4nger andauerenden Ermittlungs- und Sanktionsverfahrens, an dem gleich mehrere Datenschutzbeh\u00f6rden<\/a> mitgewirkt hatten.<\/p>\n

“Diverse” Verst\u00f6\u00dfe ist in diesem Zusammenhang durchaus milde ausgedr\u00fcckt, hatte der Online-Shop doch gleich in einer Vielzahl von teilweise schwerwiegenden F\u00e4llen die Vorgaben der DSGVO<\/a> missachtet. So wurden unter anderem Kundendaten<\/a> auf unbestimmte Zeit gespeichert, weswegen Informationen<\/a> von knapp drei Millionen Nutzern gefunden wurden, deren Accounts seit \u00fcber f\u00fcnf Jahren nicht mehr genutzt worden waren. Auch die f\u00fcr eine Onlinezahlung erforderlichen Angaben wie Bankverbindungen und \u00c4hnliches wurden bis zu sechs Monate nach Einkauf weiter aufbewahrt.<\/p>\n

Auch Abseits der Shops auf den diversen Internetseiten wurde die DSGVO<\/a> vielerorts ignoriert: Gespr\u00e4che mit dem Kundenservice wurden – zwar mit vorher eingeholter Genehmigung – aufgezeichnet, allerdings wurden auch hier Zahlungsinformationen eingeholt und gespeichert. In diesem Zusammenhang seien laut der CNIL au\u00dferdem deutlich zu viele Konversationen mitgeschnitten worden, als f\u00fcr die Auswertung tats\u00e4chlich notwendig. So sei pro “\u00fcberwachenden” Mitarbeiter nur ein Gespr\u00e4ch pro Woche und pro T\u00e4tigem im Callcenter tats\u00e4chlich abgeh\u00f6rt worden. Dem Grundprinzip der DSGVO<\/a> nach Datenminimierung sei daher hier keine Rechnung getragen worden.<\/p>\n

Schlie\u00dflich wurde seitens Spartoo im Falle der Bestellung \u00fcber die italienische Online-Pr\u00e4senz gefordert, eine Kopie der eigenen “Gesundheitskarte”<\/a> einzureichen. Diese Ma\u00dfnahme wurden seitens der zust\u00e4ndigen Datenschutzbeh\u00f6rde gar als “\u00fcbertrieben” und “irrelevant” bezeichnet.<\/p>\n

Dreimonatiges Ultimatum f\u00fcr Schuhversand<\/h2>\n

Neben der Geldstrafe<\/a> wurde dem Unternehmen auferlegt, innerhalb von drei Monaten s\u00e4mtliche gegen die DSGVO<\/a> versto\u00dfenden Praktiken umzustellen, andernfalls droht die Zahlung von 250 Euro pro weiterem Tag. Die H\u00f6he der Geldstrafe von 250.000 Euro und die vergleichsweise kurze Frist zur Ab\u00e4nderung wurden unter Anderem damit begr\u00fcndet, dass viele der angegriffenen Ma\u00dfnahmen auch bereits vor Inkrafttreten der Datenschutzgrundverordnung<\/a> rechtswidrig gewesen w\u00e4ren. Hauptargument war aber selbstredend die Schwere und vorallem die Vielf\u00e4ltigkeit der Verst\u00f6\u00dfe. Auch die Gr\u00f6\u00dfe des Unternehmens und dessen breit angelegter Absatzmarkt spielten eine Rolle bei der Bemessung. In den Erw\u00e4gungsgr\u00fcnden zur DSGVO<\/a> bez\u00fcglich der Bu\u00dfgelder und Sanktionen hei\u00dft es entsprechend:<\/p>\n

Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verst\u00f6\u00dfen gegen diese Verordnung zus\u00e4tzlich zu den geeigneten Ma\u00dfnahmen, die die Aufsichtsbeh\u00f6rde gem\u00e4\u00df dieser Verordnung verh\u00e4ngt, oder an Stelle solcher Ma\u00dfnahmen Sanktionen einschlie\u00dflich Geldbu\u00dfen verh\u00e4ngt werden.<\/p>\n

Folgendem sollte (…) geb\u00fchrend Rechnung getragen werden: der Art, Schwere und Dauer des Versto\u00dfes, dem vors\u00e4tzlichen Charakter des Versto\u00dfes, den Ma\u00dfnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit oder jeglichem fr\u00fcheren Versto\u00df, der Art und Weise, wie der Versto\u00df der Aufsichtsbeh\u00f6rde bekannt wurde, der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Ma\u00dfnahmen, der Einhaltung von Verhaltensregeln und jedem anderen erschwerenden oder mildernden Umstand.<\/p>\n

In dieser Verordnung sollten die Verst\u00f6\u00dfe sowie die Obergrenze der entsprechenden Geldbu\u00dfen und die Kriterien f\u00fcr ihre Festsetzung genannt werden, wobei diese Geldbu\u00dfen von der zust\u00e4ndigen Aufsichtsbeh\u00f6rde in jedem Einzelfall unter Ber\u00fccksichtigung aller besonderen Umst\u00e4nde und insbesondere der Art, Schwere und Dauer des Versto\u00dfes und seiner Folgen sowie der Ma\u00dfnahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gew\u00e4hrleisten und die Folgen des Versto\u00dfes abzuwenden oder abzumildern, festzusetzen sind.<\/p><\/blockquote>\n

Fazit<\/h2>\n

Datenschutz<\/a> ist und bleibt ein sensilbes Thema. Aus Unternehmersicht empfiehlt es sich angesichts vereinzelt durchaus sehr hoher Geldstrafen, im Vorfeld rechtliche Beratung<\/a> im Umgang mit Informationen der eigenen Kunden einzuholen. Neben der Verarbeitung selbst m\u00fcssen die Verbraucher auch in ausreichender Form auf die etwaige Erhebung der Angaben hingewiesen werden. Einen umfassenden Ratgeber zur Datenschutzgrundverordnung<\/a>, sowohl f\u00fcr Unternehmer als auch Verbraucher, finden Sie daher hier:<\/p>\n