RGPD : la jurisprudence se précise !

DSGVO: Die Rechtsprechung wird klarer!

DSGVO: Die Rechtsprechung wird klarer! Die CNIL hatte sich bereits im Januar einen Namen gemacht, als sie Google eine Rekordstrafe in Höhe von 50 Millionen Euro auferlegte, weil das Unternehmen seine Kunden bei der Nutzung von Android nicht informiert hatte. Diese Strafe wurde im Juni vom Staatsrat bestätigt.

Heute wurden Carrefour France und Carrefour Banque von der französischen Datenschutzbehörde mit einer Geldstrafe von 2.250.000 bzw. 800.000 Euro belegt.

Obwohl die CNIL seit Inkrafttreten der DSGVO bereits zahlreiche repressive Maßnahmen ergriffen hat, verrät uns die Beratung vom 18. November etwas mehr über ihre Einschätzung von Gesetzesverstößen und die Gründe, die ihre Entscheidungen leiten.

Auslöser einer Untersuchung

Im Allgemeinen leitet die CNIL eine Untersuchung entweder nach Einreichung einer Beschwerde oder eines spezifischen Berichts oder von sich aus im Rahmen ihrer Überwachungsmissionen ein.

Im letzteren Fall werden die Kontrollen umfassender auf die Verantwortlichen eines zuvor identifizierten Sektors ausgedehnt. 

Die CNIL hat daher in ihrer Kontrollstrategie für 2020 mehrere Prioritäten definiert, die einer eingehenderen Überprüfung unterliegen: Gesundheitsdaten, Geolokalisierung für lokale Dienste sowie Cookies und andere Tracker.

In diesem Fall waren die beiden Unternehmen Carrefour France und Carrefour Banque Gegenstand einer Untersuchung, nachdem zwischen Juni 2018 und April 2019 15 Beschwerden bei der CNIL eingereicht worden waren.

Diese Beschwerden betrafen kommerzielle Kundenakquisepraktiken und die Missachtung des Rechts auf Datenzugriff und Datenlöschung.

Die CNIL führte mehrere Online-Kontrollen in den Firmenräumen durch und leitete Ende Januar 2019 eine formelle Untersuchung ein.

Das kontradiktorische Verfahren führte zu mehreren Meinungsaustauschen zwischen dem Unternehmen und dem CNIL-Berichterstatter, die in der offiziellen Beratung am 18. November gipfelten.

 

Entscheidungsgründe

Die CNIL stellt Verstöße gegen zahlreiche Artikel der DSGVO fest:

  • Die Informationspflicht gegenüber Einzelpersonen (Artikel 13 der DSGVO)

Die den Einzelpersonen zur Verfügung gestellten Informationen zur Verarbeitung ihrer Daten waren schwer zugänglich, unvollständig und in langen Texten zu anderen Themen vergraben.

Die CNIL kritisiert die Verwendung zu vager Begriffe: Die fast systematische Verwendung (…) von Begriffen wie „Diese Behandlungen umfassen insbesondere einen oder mehrere der folgenden Gründe“ Oder „Ihre Daten dürfen verwendet werden“ es den betroffenen Personen nicht ermöglichen, die durchgeführte Verarbeitung vollständig zu verstehen.

  • Cookies (Artikel 82 des Datenschutzgesetzes)

Beim Aufrufen der Website wurden jedem Besucher 39 Cookies angezeigt, bevor er überhaupt die Möglichkeit hatte, diese zu akzeptieren oder abzulehnen.

Drei dieser Cookies gehörten zur Google Analytics-Lösung mit dem Ziel, Internetnutzer gezielt mit Werbung anzusprechen.

Die Daten der Besucher der Website Carrefour.fr wurden daher unter Verstoß gegen Artikel 82 des Datenschutzgesetzes erhoben.

Um weitere Informationen zur Verfolgung von Internetnutzern zu erhalten, hat die CNIL am 1. Oktober eine Aktualisierung ihrer Richtlinien veröffentlicht.

  • Aufbewahrungsfrist für Daten (Artikel 5.1.e der DSGVO)

Die CNIL ist der Ansicht, dass die Aufbewahrungsfrist für Kundendaten (4 Jahre) zu lang ist: Ein Kunde, der mehrere Jahre lang keine Geschäfte mit dem Unternehmen getätigt hat, sollte nicht mehr als aktiver Kunde betrachtet werden. 

Die Kommission verweist auf ihre diesbezügliche Doktrin, die eine maximale Aufbewahrungsfrist von drei Jahren empfiehlt: Sie zitiert den alten vereinfachten Standard Nr. 48 zu Kunden- und Interessentendateien und Online-Verkäufen sowie ihren jüngsten Entwurf eines Referenzrahmens zur Verarbeitung personenbezogener Daten zum Zwecke der Abwicklung kommerzieller Aktivitäten.

  • Ausübung von Rechten (Art. 12 DSGVO)

Das von Carrefour France eingeführte Verfahren verlangte von den Antragstellern einen Identitätsnachweis, obwohl dies nicht erforderlich war, da die Identität der Kunden bereits festgestellt worden war.

Darüber hinaus übertrafen die Bearbeitungszeiten der Anfragen in mehreren Fällen die gesetzlichen Anforderungen.

  • Achtung der Rechte (Artikel 15, 17 und 21 der DSGVO und L34-5 des Post- und elektronischen Kommunikationsgesetzes)

Die CNIL stellte fest, dass in mehreren Fällen auf die Anträge der Beschwerdeführer auf Zugang, Widerspruch und Löschung der Daten nicht reagiert wurde.

  • Verpflichtung zur fairen Datenverarbeitung (Artikel 5 DSGVO)

Bestimmte Daten (Postanschrift, Telefonnummer, Anzahl der Kinder), die bei der Online-Anmeldung für eine Carrefour-Kreditkarte (Pass-Karte) angegeben wurden, wurden im Widerspruch zu den den betroffenen Personen bereitgestellten Informationen an das Carrefour-Treueprogramm übermittelt.

  • Sicherheitsverletzung (Artikel 32 der DSGVO)

Die CNIL hat endlich eine Sicherheitslücke festgestellt, die den Online-Zugriff auf Kundenrechnungen ermöglicht, und betont, dass die eingeführte Maßnahme, nämlich das Hinzufügen einer zufälligen Zeichenfolge, allein nicht ausreicht, um eine solche Sicherheitslücke zu schließen.

Die CNIL weist darauf hin, dass die ANSSI bereits seit 2013 vor dieser Sicherheitslücke im Zusammenhang mit URL-Adressen warnt.

Nach der Entdeckung der Sicherheitslücke hätte ein obligatorisches Vorauthentifizierungssystem implementiert werden müssen.

Compliance-Bemühungen und angemessene Sanktionen

Die Unternehmen haben im Verfahren mit der CNIL zusammengearbeitet und alle notwendigen Maßnahmen ergriffen, um ihre Datenverarbeitung in Einklang mit dem Gesetz zu bringen.

Die CNIL hebt diese Zusammenarbeit zwar hervor, verhängt jedoch aufgrund der Schwere der Verstöße Sanktionen gegen die Verantwortlichen: Es handelt sich um schwerwiegende Versäumnisse, von denen eine beträchtliche Zahl von Menschen betroffen ist.

Allerdings sind wir noch weit von der Höchststrafe entfernt, die die CNIL hätte verhängen können, nämlich 41 TP3T Umsatz. 

Zur Berechnung dieses Umsatzes, der als Grundlage für die Berechnung der Geldbuße dient, identifiziert die CNIL zunächst das betroffene Unternehmen.

Sie ist der Auffassung, dass es zur Beurteilung des Unternehmensbegriffs im Sinne der Artikel 101 und 102 AEUV angebracht sei, den Umsatz zu berücksichtigen, den das Unternehmen CARREFOUR FRANCE und seine Tochtergesellschaften erzielt hätten, die von der Verarbeitung profitiert hätten. 

Der Umsatz dieses Unternehmens (…) beträgt somit im Jahr 2019 14,9 Milliarden Euro.

Die eingeschränkte Ausbildung der CNIL berücksichtigt jedoch auch die Besonderheiten des Wirtschaftsmodells des Massenvertriebs, das durch besonders hohe Umsätze, aber niedrige Margen gekennzeichnet ist. 

Aufgrund dieser Elemente wurde eine Geldbuße in Höhe von 2.250.000 Euro gegen Carrefour France und 800.000 Euro gegen Carrefour Banque verhängt.

Die Schwere der Verstöße rechtfertigt zudem die Veröffentlichung der Entscheidung und stellt eine Möglichkeit dar, die vielen betroffenen Menschen zu informieren.

Heilmittel

Die Entscheidung der CNIL stellt einen Akt einer Verwaltungsbehörde dar, gegen den innerhalb von zwei Monaten nach Bekanntgabe Berufung beim Staatsrat eingelegt werden kann. 

Und auch

Frankreich:

  • Die von der CNIL organisierte Veranstaltung am 23. November auf der Datenportabilität ist online auf der Website der Behörde verfügbar.
  • Um Gemeinden und interkommunale Organisationen für die – sehr realen – Risiken von Cyberangriffen zu sensibilisieren, veröffentlicht ANSSI eine Leitfaden zu CybersicherheitsproblemenDieser Leitfaden soll gewählte Amtsträger davon überzeugen, in die Entwicklung des Schutzes ihrer Informationssysteme zu investieren.

Europa:

  • Die belgische Datenschutzbehörde schloss am 26. November einen Vergleich Absichtserklärung mit DNS Belgium die „.be“-Domänennamen von Websites zu sperren, die gegen die DSGVO verstoßen.
  • Vor dem 8. Januar wird die Europäische Kommission über dieGoogle übernimmt FitBit, eine Übernahme, die Fragen in den Bereichen Datenschutz und Wettbewerb aufwirft.
  • Die Europäische Kommission hat am 12. November ihren Entwurf für Standardvertragsklauseln veröffentlicht, der vier Wochen lang zur Kommentierung offen steht.

Diese überarbeitete Fassung zielt darauf ab, die Folgen des mittlerweile berühmten Schrems II-Urteils zu beheben und es den Datenübermittlungen in die USA unter Einhaltung des europäischen Rechts.

Wir verweisen auch auf die Empfehlungen des Europäischen Datenschutzausschusses zum gleichen Thema, die am 10. November angenommen wurden.

  • Die neue europäische Verordnung zu digitalen Diensten wird voraussichtlich Anfang Dezember veröffentlicht.

Das Ziel der Kommission besteht darin, Regulierung von „Big Tech“ indem wir Kleinstunternehmen und KMUs außerdem dabei unterstützen, ihre Dienste zu entwickeln, digitale Akteure zu stärken und Desinformation im Internet zu bekämpfen.

Internationales:

  • Das neue kanadische Gesetz zum Schutz personenbezogener Daten wurde wirksamer gestaltet und sieht bei Verstößen gegen seine Grundsätze hohe Geldstrafen vor.
  • Vereinigte Staaten: die Kalifornisches Datenschutzgesetz („CPRA“) wurde am 3. November verabschiedet.

Mit diesem neuen Text wird eine Aufsichtsbehörde, die California Privacy Protection Agency, eingerichtet, die befugt ist, Geldstrafen zu verhängen.

Es handelt sich um die erste Aufsichtsbehörde in diesem Sektor in den USA.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.

 

Entdecken Sie Viqtor®
de_ATDE_AT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL de_ATDE_AT