Sanktionen in Höhe von 2.250.000 Euro und 800.000 Euro für die Unternehmen Carrefour France und Carrefour Banque
Nach Erhalt mehrerer Beschwerden hat die CNIL zwei Unternehmen der Gruppe CARREFOUR wegen Verstößen gegen das RGPD, insbesondere in Bezug auf die Information der Personen und die Achtung ihrer Rechte, sanktioniert.
Nach Eingang mehrerer Beschwerden gegen die Gruppe CARREFOUR hat die CNIL zwischen Mai und Juli 2019 Inspektionen bei CARREFOUR FRANCE (Einzelhandel) und CARREFOUR BANQUE (Bankensektor) durchgeführt. Bei dieser Gelegenheit stellte die CNIL Unzulänglichkeiten bei der Verarbeitung der Daten von Kunden und potentiellen Benutzern fest. Der Präsident der CNIL beschloss daher, ein Sanktionsverfahren gegen diese Unternehmen einzuleiten.
Am Ende dieses Verfahrens gelangte das Restricted Panel – das mit der Verhängung von Sanktionen beauftragte Organ der CNIL – effektiv zu der Auffassung, dass die Unternehmen mehrere im RGPD vorgesehene Verpflichtungen nicht eingehalten hatten.
So sanktionierte es CARREFOUR FRANCE mit einer Geldstrafe von 2.250.000 Euro und CARREFOUR BANQUE mit einer Geldstrafe von 800.000 Euro. 800,000. Andererseits erließ sie keine einstweilige Verfügung, da sie feststellte, dass erhebliche Anstrengungen unternommen worden waren, um alle festgestellten Verstöße in Übereinstimmung zu bringen.
Verstöße gegen die Pflicht zur Unterrichtung von Einzelpersonen (Artikel 13 der RGPD)
Die Informationen, die den Benutzern der Websites carrefour.fr und carrefour-banque.fr sowie den Personen, die dem Treueprogramm oder der Pass-Karte beitreten möchten, zur Verfügung gestellt wurden, waren weder leicht zugänglich (Zugang zu Informationen, die zu kompliziert waren, in sehr langen Dokumenten, die andere Informationen enthielten), noch leicht verständlich (Informationen, die allgemein und unpräzise geschrieben waren, manchmal mit unnötig komplizierten Formulierungen). Darüber hinaus war sie im Hinblick auf die Aufbewahrungsdauer der Daten unvollständig.
Was die Website carrefour.fr anbelangt, so waren die Informationen auch in Bezug auf die Datenübermittlung in Länder außerhalb der Europäischen Union und die Rechtsgrundlage der Verarbeitungen (Dateien) unzureichend.
In diesem Punkt haben die Unternehmen im Laufe des Verfahrens ihre Informationshinweise und Websites geändert, um dem nachzukommen.
Cookie Consent Manager | 2-wöchige kostenlose Testversion
Starten Sie eine 2-wöchige kostenlose Testversion für unsere kostenpflichtigen Pläne oder erstellen Sie ein Kostenloses Konto. …
Unzulänglichkeiten in Bezug auf Cookies (Artikel 82 des französischen Datenschutzgesetzes)
Die CNIL weist darauf hin, dass, wenn sich ein Benutzer mit der Website carrefour.fr oder carrefour-banque.fr verbindet, automatisch mehrere Cookies auf seinem Terminal abgelegt werden, bevor eine Aktion seinerseits erfolgt. Mehrere dieser Cookies wurden zu Werbezwecken verwendet, wobei die Zustimmung des Benutzers vor der Hinterlegung hätte eingeholt werden müssen.
Die Unternehmen haben im Laufe des Verfahrens die Funktionsweise ihrer Websites geändert. Es werden nun keine Werbe-Cookies mehr hinterlegt, bevor der Benutzer seine Zustimmung gegeben hat.
Nichteinhaltung der Verpflichtung zur Begrenzung der Aufbewahrungsfrist der Daten (Artikel 5.1.e des RGPD)
Die Firma CARREFOUR FRANCE hat die von ihr festgelegten Datenaufbewahrungsfristen nicht eingehalten. Die Daten von mehr als achtundzwanzig Millionen Kunden, die seit fünf bis zehn Jahren inaktiv waren, wurden im Rahmen des Treueprogramms aufbewahrt. Dasselbe galt für 750.000 Benutzer der Website carrefour.fr, die fünf bis zehn Jahre lang inaktiv waren.
In diesem Fall hält die eingeschränkte Schulung zudem eine Aufbewahrungsfrist von 4 Jahren für Kundendaten nach ihrem letzten Kauf für übertrieben. In der Tat übersteigt diese ursprünglich vom Unternehmen beibehaltene Dauer das, was im Bereich des Massenvertriebs angesichts der Konsumgewohnheiten von Kunden, die hauptsächlich regelmäßige Einkäufe tätigen, notwendig erscheint.
Während des Verfahrens hat CARREFOUR FRANCE beträchtliche Mittel bereitgestellt, um die notwendigen Änderungen vorzunehmen, damit es mit der RGPD vereinbar ist. Insbesondere wurden alle Daten, die zu alt waren, gelöscht.
Nichteinhaltung der Verpflichtung, die Ausübung der Rechte zu erleichtern (Artikel 12 des RGPD)
Das Unternehmen CARREFOUR FRANCE verlangte, mit Ausnahme der Opposition gegen die kommerzielle Prospektion, für jeden Antrag auf Ausübung eines Rechts einen Identitätsnachweis. Dieser systematische Antrag war nicht gerechtfertigt, da es keinen Zweifel an der Identität der Personen gab, die ihre Rechte ausüben. Darüber hinaus war das Unternehmen nicht in der Lage, mehrere Anträge auf Ausübung von Rechten innerhalb der von der RGPD geforderten Fristen zu bearbeiten.
In diesen beiden Punkten änderte das Unternehmen während des Verfahrens seine Praxis. Insbesondere setzte sie erhebliche personelle und organisatorische Ressourcen ein, um auf alle innerhalb von weniger als einem Monat eingegangenen Anträge zu antworten.
Sind Sie eine Agentur, ein Webdesigner oder ein anderer potentieller Reseller?
Verdienen Sie 30% Provision, werfen Sie einen Blick auf unser Reseller-Modell oder kontaktieren Sie uns für Kundenzahlen über 500
Missachtung von Rechten (Artikel 15, 17 und 21 des RGPD und L34-5 des Post- und Elektronikkommunikationsgesetzes)
Zunächst einmal hat die Firma CARREFOUR FRANCE auf mehrere Anfragen von Personen, die Zugang zu ihren persönlichen Daten wünschen, nicht geantwortet. Das Unternehmen hat sich während des Verfahrens an alle betroffenen Personen gewandt.
Zweitens hat das Unternehmen in mehreren Fällen die von mehreren Personen beantragte Löschung von Daten nicht vorgenommen, obwohl es dies hätte tun müssen. Auch in diesem Punkt ist das Unternehmen während des Verfahrens allen Anträgen nachgekommen.
Schliesslich hat das Unternehmen mehrere Anfragen von Personen nicht berücksichtigt, die sich gegen den Erhalt von Werbung per SMS oder E-Mail, insbesondere aufgrund spezifischer technischer Fehler, ausgesprochen haben. Auch in diesem Punkt ist das Unternehmen während des Verfahrens nachgekommen.
Nichteinhaltung der Verpflichtung zur fairen Datenverarbeitung (Artikel 5 RGPD)
Wenn eine Person, die die Pass-Karte (eine Kreditkarte, die an das Treuekonto angehängt werden kann) abonniert hat, ebenfalls dem Treueprogramm beitreten wollte, musste sie ein Kästchen ankreuzen, das angibt, dass sie akzeptiert, dass CARREFOUR BANQUE “Carrefour fidélité” ihren Namen, Vornamen und ihre E-Mail-Adresse mitteilt. CARREFOUR BANQUE gab ausdrücklich an, dass keine weiteren Daten übermittelt werden. Die CNIL stellte jedoch fest, dass andere Daten übermittelt wurden, wie die Postanschrift, die Telefonnummer und die Anzahl ihrer Kinder, obwohl sich das Unternehmen verpflichtete, keine weiteren Daten zu übermitteln.
Zu diesem Punkt änderte das Unternehmen während des Verfahrens seine Praktiken. Es hat sein Online-Abonnementverfahren für die Pass-Karte vollständig überarbeitet, und die Personen werden nun über alle an CARREFOUR FRANCE übermittelten Daten informiert.