+++ Kurzmitteilung +++
Nach mehreren Beschwerden gegen den französischen Einzel- und Großhandelsriesen Carrefour hat die französiche Aufsichtsbehörde CNIL das Unternehmen ins Visir genommen und zwischen Mai und Juli 2019 einige Vorort-Inspektionen durchgeführt. Dabei sind verschiedene Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) ans Licht gekommen, die in einer Gesamtstrafe von 3,05 Millionen Euro für Carrefour zu Buche schlagen. Das Bußgeld setzt sich dabei aus einer Strafe von 2,25 Millionen Euro für den Mutterkonzern und 800.000 Euro für die Banktochter Carrefour Banque zusammen.
Die folgenden Verstöße werden dem Unternehmen zu Lasten gelegt:
- Nichtbeachtung von Speicher- und Löschfristen: Daten von mehr als 28 Millionen Kunden wurden vorgehalten, obwohl diese seit 5 bis 10 Jahren inaktiv waren. Die Daten wurden im Rahmen eines Bonusprogramms erhoben. Gleiches gilt für die Daten von 750.000 Nutzern der Website carrefour.fr. Auch hier wurden die Daten 4 Jahre nach dem letzten Kauf aufbewahrt, was eine viel zu lange Speicherung von Kundendaten ist.
- verletzte Informationspflichten: Sowohl auf der Webseite als auch im Bonusprogramm (Nutzung einer Bonuskarte) wurden die Kunden nicht ausreichend über die datenschutzrechtlichen Gegebenheiten (insbesondere die Erhebung, Nutzung und Verarbeitung ihrer personenbezogenen Daten) informiert. Die vorhandenen Informationen waren schwer zu finden, lückenhaft und kompliziert formuliert, sodass keine Transparenz dem Kunden gegenüber gegeben war.
- Setzen von Cookies ohne Einwilligung: Dieser Sachverhalt war gelebte Praxis auf der Webseite von Carrefour. Ohne eine ausdrückliche Zustimmung des Kunden ist dieses Vorgehen rechtswidrig (vgl. Cookie-Urteil des EuGH, Oktober 2019)!
- Nicht-Nachkommen von Auskunftsersuchen von Betroffenen: Im Sinne der Betroffenenrechte (Artikel 13 DSGVO, „Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“) muss Carrefour einem Auskunftsersuchen nachkommen. Auch dies war nicht gegeben.
- Erhebung von persönlichen Kontaktangaben für das Treueprogramm und Weitergabe der Daten an den hauseigenen Finanzdienstleister: Eine interne Weitergabe von personenbezogenen Daten ist ohne Legitimation (wie z.B. eine Einwilligung durch den Betroffenen) unzulässig. Auch wenn der Betroffene einmalig in die Erhebung seiner Daten eingewilligt hat, gilt dies für den jeweiligen Erhebungszweck und die Daten dürfen im Sinne des Grundsatzes der Zweckbindung nicht einfach für andere Zwecke weitergegeben werden.
Diese Verstöße kommen dem Konzern nun teuer zu stehen. Die französische Aufsichtsbehörde CNIL gibt allerdings an, dass das Unternehmen „erhebliche Anstrengungen unternommen“ habe, um alle festgestellten Verstöße zu beheben und sieht aus diesem Grund von weiteren, schärferen Sanktionen ab.
Quelle: Artikel „DSGVO-Verstöße: Über drei Millionen Euro Strafe für Carrefour“, aufgerufen am 27.11.2020 unter: https://www.heise.de/news/DSGVO-Verstoesse-Ueber-drei-Millionen-Euro-Strafe-fuer-Carrefour-4972448.html?wt_mc=nl.red.ho.ho-nl-daily.2020-11-27.link.link