Fine against Bounty Limited
Die Firma Bounty Limited beschreibt sich als Schwangerschafts- und Elternclub und ist seit 1959 am britischen Markt tätig.
Über diverse Plattformen (Website, App, Kundenkarten, etc.) wurden personenbezogene Daten gesammelt. Jeder Datensatz enthielt zumindest die folgenden Informationen:
- Vollständiger Name
- Geburtsdatum (der Eltern)
- E-Mail Adresse
- Adresse
- Schwangerschaftsstatus
- Angabe ob sich um das erste Kind handelt
- Geschlecht des Kindes
- Geburtsdatum/Geburtstermin des Kindes
Wurden die Daten über die Smartphone-App erfasst, so wurden auch die Standortdaten erfasst.
Eine Löschung der Daten nach einem gewissen Zeitraum war nicht vorgesehen, stattdessen wären die Daten unendlich lange gespeichert worden.
Die erhobenen Daten wurden mit insgesamt 39 Unternehmen geteilt, unter anderem mit Acxiom (Marketing-Agentur), Equifax (Wirtschaftsauskunfts-Unternehmen), Indicia (Marketing-Agentur) und Sky (PayTV-Anbieter). Insgesamt wurden über 34 Millionen individuelle Datensätze übertragen, wobei eine Übertragung an ein Unternehmen auch mehrfach erfolgte.
Die britische Datenschutzkommission (ICO) stellte zudem fest, dass die Datenerfassung nicht mit dem britischen Datenschutzgesetz vereinbar war. Ein Opt-In System für die Datenerfassung und Weitergabe war nicht implementiert, stattdessen wurden die Betroffenen lediglich über einen Hinweistext darüber informiert.
Die Datenschutzbehörde verhängte letztlich eine Geldstrafe von £ 500.000,- (ca. € 465 000,-) wegen mehrfacher Verstöße gegen das britische Datenschutzgesetz (Data Protection Act). Unter anderem wurde kritisiert, dass die Datenweitergabe nicht legitimiert war, da die Firma nur von ausgewählten Partnern sprach, tatsächlich aber an eine Vielzahl von Unternehmen verkauft wurden. Auch fehlende Löschfristen waren Gegenstand der Untersuchung.
The investigation period extended to April 30, 2018, therefore the GDPR has not yet been applied. The maximum fine under the law at the time was £500,000.
Entscheidungsdatum:
11.04.2019
Land:
Great Britain
Art des Verstoßes:
Illegal data processing
Betroffene Datensätze:
34 267 889
Waren sensible Daten betroffen?:
No
verhängte Geldstrafe:
€ 465,000,-
Violation of GDPR Paragraph:
28. Processor
5. Principles relating to personal data processing
6. Lawfulness of processing
Quelle:
Communication from the UK data protection authority ICO (English)