Zum Inhalt springen Zur Navigation springen
Spartoo: Bußgeld von 250.000 Euro wegen DSGVO-Verstößen

Spartoo: Bußgeld von 250.000 Euro wegen DSGVO-Verstößen

Sommerferien?! Urlaub ist ein Fremdwort für den Datenschutz, wie der französische Online-Schuhverkäufer Spartoo nunmehr lernen musste. Denn gegen diesen wurde vor wenigen Tagen ein Bußgeld in Höhe von 250.000 Euro verhängt, da eine Vielzahl an Verstößen gegen die DSGVO festgestellt wurden. Wo der Behörde konkret der Schuh drückte, erfahren Sie in diesem Beitrag.

Was ist passiert?

Spartoo beliefert Kunden von 13 EU-Ländern, darunter auch Deutschland, mit Schuhen. Am 31. Mai 2018 – also nur 6 Tage nach der Anwendbarkeit der DSGVO – inspizierte die französische Datenschutzbehörde CNIL das Unternehmen. Zweck dieser Mission war es, zu überprüfen, ob Spartoo alle Bestimmungen der DSGVO und des französischen Datenschutzgesetzes einhält. Die Prüfung konzentrierte sich insbesondere auf die Verarbeitung personenbezogener Daten der Kunden und Interessenten des Unternehmens sowie auf die Aufzeichnung von Telefongesprächen zwischen Kunden und den Kundendienstmitarbeitern des Unternehmens.

Bei dieser Inspektion wurden diverse Mängel festgestellt, sodass die Behörde nunmehr am 28.07.2020 ein Bußgeldbescheid in Höhe von 250.000 Euro verhängt hat. Zudem ist Spartoo angehalten, die festgestellten Mängel binnen 3 Monate nach Bekanntgabe des Beschlusses zu beseitigen, andernfalls droht ein weiteres Zwangsgeld in Höhe von 250 Euro pro versäumten Tag.

Die CNIL veröffentlicht diese Entscheidung sowohl auf der eigenen Webseite als auch auf der Webseite von Légifrance, wobei erst nach zwei Jahren die namentliche Nennung von Spartoo entfernt wird.

Welche Verstöße wurden festgestellt?

Die Liste des rügbaren Fehlverhaltens ist sehr lang. Spartoo verstieß mit seinen betrieblichen Abläufen insbesondere gegen folgende Grundsätze und Pflichten:

Grundsatz der Datensparsamkeit (Artikel 5 Abs. 1 lit. c DSGVO)

Aus Art.5 Abs. 1 lit. c DSGVO ergibt sich, dass man nur so viele Daten erheben soll, die tatsächlich für die Datenverarbeitung nötig sind. Man soll also vermeiden, unnötige Informationen beim Betroffenen abzufragen.

a) Aufzeichnung sämtlicher Kundenanrufe

Spartoo zeichnete Kundengespräche vollumfänglich und jederzeit auf. Als Grund wurden hierzu Schulungszwecke genannt. Tatsächlich wurde aber pro Woche nur ein Telefongespräch eines Mitarbeiters ausgewertet. Die Aufzeichnung all der übrigen Telefonate war insoweit unnötig, wie die Aufsichtsbehörde befand.

Zwar beteuerte das Unternehmen in den Anhörungen im Jahr 2019, dass die Anzahl der Aufzeichnungen von 100% auf 30% reduziert wurde, beweisen konnte es diese Änderung aber gegenüber der Behörde nicht.

b) Aufzeichnung der Bankdaten

Aber nicht nur die Vielzahl an Aufzeichnungen führte zu Unmut, sondern auch der Umfang. Die Behörde stellte fest, dass bei den telefonischen Bestellungen auch die Bankdaten aufgezeichnet und in Klartext für 15 Tage in der Datenbank gespeichert wurden. Hier hätte Spartoo vor Abfrage der Bankdaten die Aufzeichnung beenden müssen, da diese definitiv nicht mehr vom Schulungszweck gedeckt waren.

c) Erhebung von Personalausweis und Gesundheitsausweis

Schließlich verlangte Spartoo von den Kunden die Vorlage des Personalausweises zur Identitätsfeststellung, um sich vor Betrügern zu schützen. Italienische Kunden mussten sogar zusätzlich ihren Gesundheitsausweis („tessera sanitaria“) einreichen.

Das bereits die Erhebung und Speicherung des Personalausweises problematisch ist, haben wir schon in der Vergangenheit erörtert. Die Abfrage von zwei Dokumenten zur Betrugsbekämpfung hält die Datenschutzbehörde jedenfalls für übertrieben und daher nicht mehr erforderlich. Der italienische Gesundheitsausweis enthält eine große Summe an Informationen über italienischen Inhaber, nämlich Angaben zu Name, Vorname, Geschlecht, Steuercode, Geburtsort. Aus dem Ablaufdatum der Karte kann zudem auch abgeleitet werden, dass die Person eine Aufenthaltsgenehmigung für Italien besitzt, sodass hier auch mittelbar Informationen zur Staatsangehörigkeit entnommen werden können. Es ist also offensichtlich, dass hier viel zu viele Daten erhoben wurden.

Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)

Die DSGVO sieht vor, dass personenbezogene Daten nicht länger, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, gespeichert werden.

Bei der Inspektion im Jahr 2018 hatte Spartoo weder Löschroutinen in einem Löschkonzept aufgestellt, noch in irgendeiner Weise Daten faktisch gelöscht. Da Spartoo bereits im Jahr 2006 gegründet wurde, kann man nur erahnen, wie viele Kundendatensätze bereits gesammelt und aufbewahrt wurden. Folgende Zahlen stellte die Behörde bei ihren Untersuchungen fest:

  • Daten von 118.768 Kunden, die sich seit dem 25. Mai 2008 nicht in ihr Konto eingeloggt hatten
  • Daten von 682.164 Kunden, die sich seit dem 25. Mai 2010 nicht in ihr Konto eingeloggt hatten
  • Daten von 3.620.401 Kunden, die sich seit dem 25. Mai 2013 nicht in ihr Konto eingeloggt hatten
  • Daten von 25.911.675 Interessente, die seit 25.Mai 2015 nicht mehr aktiv waren

Aber nicht nur die Daten von Alt-Kunden wurden ewig gespeichert. Auch Interessentendaten, also Betroffene mit denen kein Vertrag zustande kam, fanden sich in dieser Datenbank noch Jahre später.

Bei der Anhörung im Jahr 2019 teilte das Unternehmen der Behörde mit, dass es für diese Daten nun eine aktive Aufbewahrungsfrist von fünf Jahren ab dem Datum der letzten Aktivität von Kunden und Interessenten festgelegt habe. Als Kundenkontakt gelte hierbei beispielsweise eine Verbindung zum Kundenkonto, ein Klick in einem Newsletter oder das Öffnen des Newsletters.

Nach Auffassung der französischen Behörde wäre lediglich eine Aufbewahrungsfrist von zwei Jahren angemessen. Zudem könne das bloße Öffnen einer Werbe-Mail nicht bereits als Kundenkontakt gewertet werden. Die Person muss vielmehr mindestens auf einen in einer E-Mail enthaltenen Hyperlink klicken, damit von einem echten Interesse an der Aufrechterhaltung des Kundenkontaktes ausgegangen werden kann.

Schließlich wurde seitens der Behörde klargestellt, dass das Hashen der E-Mail-Adressen und Passwörter der Kunden mit einem SHA-256-Algorithmus lediglich eine Pseudonymisierung darstellt und dass diese daher keine Löschung im Sinne der DSGVO entspricht. Die angewandte Hash-Funktion führe nur zur Erhöhung der Datensicherheit, aber eben nicht zur Anonymisierung. Wie unsere ausmerksamen Leser wissen, kann aber nur die Anonymisierung einer Löschung gleichgesetzt werden.

Informationspflichten gegenüber Betroffenen (Art. 13 DSGVO)

Die Aufsichtsbehörde rügte auch die auf der Webseite veröffentlichte Datenschutzerklärung von Spartoo, weil nur die Einwilligung als Rechtsgrundlage genannt wurde, obwohl offensichtlich weitere Rechtsgrundlagen bei den verschiedenen Datenverarbeitungen vorlagen. Zudem hätten die Kunden darüber informiert werden müssen, dass die aufgezeichneten Telefonanrufe nach Madagaskar übermittelt werden.

Aber auch die Mitarbeiter von Spartoo wurden nicht ordnungsgemäß und vollumfänglich informiert. Lediglich die an einer Schulung im Januar 2016 teilnehmenden Mitarbeiter erfuhren von den Aufzeichnungen der Kundentelefonate zu Schulungszwecke. Schriftliche Informationsblätter für neu eingestellte Mitarbeiter wurden jedoch nicht zur Verfügung gestellt. Die erstellten Dokumente für die Mitarbeiter deckten auch im Übrigen nicht die Mindestangaben aus Art. 13 DSGVO ab, sodass die Datenverarbeitungen nicht transparent für die Mitarbeiter sind.

Gewährleistung der Datensicherheit (Art. 32 DSGVO)

Art. 32 DSGVO verlangt vom Verantwortlichen der Datenverarbeitung, dass dieser unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen vorzunehmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

a) Unsichere Passwörter

Beim Anlegen von Benutzerkonten für die Kunden wurden Passwörter mit einer Länge von 6 Zeichen und einer Zeichenkategorie zugelassen. Worauf man bei der Erstellung von Passwörtern achten sollte, haben wir in unseren zahlreichen Blogbeiträgen bereits thematisiert.

Noch gravierender ist der Umstand, dass lediglich eine ein-minutige Sperrung der IP-Adresse erfolgte, wenn von dieser IP-Adresse 19 Fehlversuche beim Login innerhalb einer Minute erfolgte.

Bei einem solchen lapidaren Umgang mit der Passwort-Sicherheit sind Brute-Force-Angriffe Tür und Tor geöffnet. Bei solchen Angriffen werden sukzessiv und systematisch zahlreiche Passwörter getestet, bis man Zugang zum Konto erhält, um dann die darin enthaltenen persönlichen Daten zu erhalten. Wenn der Kunde dieses Passwort dann noch für weitere Konten anderer Webseiten nutzt, kann dies zu einem sehr großen Schaden für diesen führen.

b) Unsichere Aufbewahrung von Bankkarten-Scans

Bei Kundenbestellungen über die französische, italienische, spanische, ungarische, slowakische, dänische und griechische Webseite wurden die Kunden im Rahmen der Betrugsbekämpfung gebeten, Kopien ihrer Bankkarte per E-Mail zu senden, die sie für den Bezahlvorgang verwenden. Diese Scans wurden sodann 6 Monate in Klartext gespeichert. Bei dieser Form der Übermittlung sind zwei Aspekte problematisch: Einerseits wurden die Kunden so zu einem ungesicherten E-Mail-Versand verleitet, obwohl es sich bei Bankdaten um sensiblere Informationen handelt. Andererseits war Spartoo nicht berechtigt, die Gesamtheit der Bankkartennummern zu verarbeiten. Es hätte nur einen Teil zum Zwecke der Betrugsbekämpfung verarbeiten dürfen. Insoweit hätte Spartoo technische Maßnahmen ergreifen müssen, damit der Kunde gesichert und auch nur den wirklich erforderlichen Teil der Bankkarte übermittelt.

Dieses Jahr wohl kein Summer-Sale

Spartoo muss wohl dieses Jahr noch einige Schuhe verkaufen, um dieses Loch im Geldbeutel infolge des Bußgeldes zu stopfen. Es war sicherlich Pech für den Online-Anbieter, dass sich die Behörde nun ausgerechnet ihn direkt nach Wirksamwerden der DSGVO herausgepickt haben. Allerdings liegen hier Verstöße vor, die zumindest nach deutschem Recht auch vor der DSGVO schon zu einem Bußgeld hätten führen können. Der Grundsatz der Datensparsamkeit und die Transparenz- sowie Löschpflicht waren bereits im deutschen BDSG verankert. Jedenfalls hatte Spartoo bereits zwei Jahre Zeit, um sich hiermit vertraut zu machen. Und die Themen der IT-Sicherheit, insbesondere mit Blick auf Sicherheitsvorkehrungen zum Schutz von Passwörtern und Bankdaten sind auch keine neuen Erfindungen der DSGVO.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • da ist Spartoo aber noch verdammt glimpflich davon gekommen, für solche Vergehen in diesem Umfang sollten härtere Strafen verhängt werden, auch wenn es nur 6 Tage nach der Anwendbarkeit der DSGVO war. Heute wundert mich nichts mehr, was im Internet alles preisgegeben wird und was dann mit den Daten passiert, andererseits muss ich aber auch sagen, wer sich als Kunde im Internet so ausziehen lässt, den kann ich nicht bedauern. Schuhe kann Mann (Frau) schliesslich auch woander kaufen… Gerold Diers, Datenschutzbeauftragter (TÜV zertifiziert)

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.