Online-Händler Spartoo muss 250.000 Euro DSGVO-Bußgeld zahlen

Der Schuh-Versandhändler Spartoo mit Sitz in Frankreich wurde von der französischen Datenschutzbehörde CNIL zu einem Bußgeld in Höhe von 250.000 Euro verurteilt. Grund ist die mangelhafte Umsetzung der Datenschutzgrundverordnung (DSGVO). 

Spartoo handelt in 13 EU-Staaten, unter anderem auch nach Deutschland, und wird bereits seit Mai 2018 von der Datenschutzbehörde untersucht.

Gesundheitskarte gegen Schuhe

Die Zehennägel dürfte es den Behördenmitarbeitern beim Punkt der Datensparsamkeit hochgerollt haben: Normalerweise sollen nur die Daten verarbeitet werden, die tatsächlich für den Zweck benötigt werden. Spartoo speicherte laut Heise unter anderem Scans der für die Bestellung verwendeten Zahlungskarte für sechs Monate unverschlüsselt. Das soll der Betrugsbekämpfung dienen. Bei Kunden aus Italien forderte der Versandhändler zudem eine Kopie des Personalausweises und der Gesundheitskarte. Dies wurde von den Datenschützern als „übertrieben und irrelevant“ beurteilt. 

Lange Speicherung nicht mehr aktiver Kunden

Auch die Löschkultur im Unternehmen ließ zu Wünschen übrig: Rund 25 Millionen gespeicherte Datensätze wurden fünf Jahre lang gespeichert, obwohl die Kunden bereits nach zwei Jahren kein Interesse mehr hatten und auch nicht mehr auf Mailings reagierten. Ein Speichern der Daten über 24 Monate hinaus sei nicht notwendig. Nach fünf Jahren sei es auch nicht mehr mit der DSGVO vereinbar, Daten pseudonymisiert zu speichern, damit sich die Kunden irgendwann wieder einloggen können.

Aufgezeichnete Gespräche

Zu Schulungszwecken nahm das Unternehmen außerdem die Gespräche der Kundenhotline auf. Hier monierte die Behörde, dass der zuständige Mitarbeiter sich ohnehin nur ein Mitschnitt pro Woche und pro Mitarbeiter anhören könne. Daher sei eine Aufzeichnung jedes Telefonats nicht erforderlich.