Französische Datenschutzbehörde (CNIL) greift aktiv ein
Nicht nur die österreichische Datenschutzbehörde straft gerade Unternehmen, die sich nicht an die DSGVO halten. Auch die französische Datenschutzbehörde (CNIL) greift immer aktiver ein, wie Sie in den folgenden Beispielen sehen können.
Personenbezogene Daten unrechtmäßig für Marketingzwecke benutzt
1. Die französische Datenschutzbehörde hat am 18. Oktober fünf Bescheide gegen drei Firmen der Gie Humanis Fonctions Group und gegen zwei Firmen der Malakoff-Médéric-Gruppe veröffentlicht. Es hat sich herausgestellt, dass diese Unternehmen Artikel 6 (2) der DSGVO verletzt haben. Artikel 6 beschreibt die Rechtmäßigkeit der Verarbeitung.
Die CNIL fand bei ihrer Untersuchung heraus, dass den oben genannten Firmen personenbezogene Daten von zwei Vereinigungen für die Umsetzung von zusätzlichen Pensionsplänen zu Verfügung gestellt wurden. Jedoch nutzten diese Unternehmen die personenbezogenen Daten auch für Vermarktungszwecke. Das geschah ohne der Berechtigung von diesen zwei Vereinigungen.
Diese Unternehmen haben dadurch ohne Zweifel gegen die DSGVO verstoßen, da es kein berechtigtes Interesse für diese Verarbeitung bestand. Die französische Datenschutzbehörde verlangte deshalb von diesen fünf Unternehmen, dass sie diese Verarbeitung sofort zu unterlassen haben und dass die Vorgaben der DSGVO innerhalb eines Monats erfüllt sein müssen.
Illegale Sammlung von personenbezogenen Daten
2. Der zweite Fall betrifft das französische Unternehmen Singlespot, das die folgenden Daten von seinen Kunden über die eigene mobile App gesammelt hat: die IDs für mobile Werbung (vergleichbar mit Cookies, nur bei mobilen Apps), den Namen und die Version der mobilen App der Benutzer und auch welches Betriebssystem (Android oder IOS) dabei verwendet wurde. Diese Daten wurden dann an das Unternehmen übertragen, ohne die Kunden gezielt darüber zu informieren und auch ohne die Einwilligung der Kunden für diese Übertragung einzuholen.
Am Ende der Kontrolle durch die CNIL wurden über 14 Millionen Werbe-IDs, anhand derer personalisierte Werbung erstellt wird, in der Datenbank von Singlespot gefunden. Und über 5 Millionen von diesen waren zusätzlich noch mit der Geolocation verbunden, das heißt es wurde der genaue Standort von den Personen gespeichert, als sie die App verwendet haben.
Daraus ergeben sich einige Verstöße gegen die Rechtsvorschriften:
- Es wurde kein Rechtsgrund für die Umsetzung dieser Verarbeitung bereitgestellt (eine Einwilligung, in diesem Fall).
- Es wurde keine angemessene Aufbewahrungsfrist für diesen Zweck der Verarbeitung festgelegt oder eingehalten (Grundsatz der Datenminimierung).
- Die Datensicherheit und die Datenvertraulichkeitwurden nicht, wie in der Datenschutzerklärung des Unternehmens genannt, sichergestellt.
Die CNIL hat daher beschlossen, dass alle 14 Millionen Aufzeichnungen von den Kunden/möglichen Kunden, die gesammelt wurden, ohne die DSGVO zu beachten, gelöscht werden müssen. Weiters muss zukünftige Datensammlung in Einklang mit der DSGVO gebracht werden, andernfalls hat die Datenschutzbehörde bereits Geldstrafen angekündigt.
Quelle: Yes the GDPR has teeth