CNIL: Sank­ti­on u.a. wegen ver­wei­ger­ter Aus­kunft über die Daten­quel­le – kein Ein­wand des Geschäfts­ge­heim­nis­ses; Anga­ben bei Verwertungsketten

Die CNIL hat am 30. Novem­ber 2022 eine Bus­se von EUR 300’000 gegen den Fern­mel­de­dienst­an­bie­ter FREE ver­hängt (n°SAN-2022 – 022; eng­li­sche Über­set­zung bei GDPRhub), nach­dem 41 Beschwer­den gegen FREE wegen Schwie­rig­kei­ten mit dem Aus­kunfts­recht ein­ge­gan­gen waren. FREE hat­te u.a. kei­ne Aus­kunft über die Quel­le der für Mar­ke­ting­zwecke ver­wen­de­ten Daten erteilt. FREE hat­te gel­tend gemacht, die­se Infor­ma­ti­on stel­le ein Geschäfts­ge­heim­nis i.S.v. Art. 15 Abs. 4 DSGVO (“Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rech­te und Frei­hei­ten ande­rer Per­so­nen nicht beeinträchtigen”).

Die CNIL weist dies zurück. Der Vor­be­halt der Rech­te und Frei­hei­ten ande­rer Per­so­nen bezie­he sich allein auf Art. 15 Abs. 4 DSGVO, d.h. das Recht auf eine Kopie der Daten, nicht aber auf Art. 15 Abs. 1 DSGVO, d.h. die über die Daten­ver­ar­bei­tung zu ertei­len­den Infor­ma­tio­nen ein­schliess­lich der ver­füg­ba­ren Anga­ben über die Daten­quel­le. Zudem ver­lan­ge Art. 5 Abs. 1 DSGVO u.a. Trans­pa­renz über die Ver­ar­bei­tung. Der Ver­ant­wort­li­che kön­ne Anga­ben über die Daten­quel­le daher nur ver­wei­gern, wenn die Anga­be nicht mög­lich ist:

doit par prin­ci­pe com­mu­ni­quer “la source spé­ci­fi­que” rela­ti­ve aux don­nées et […] la limi­ta­ti­on du droit d’accès aux indi­ca­ti­ons de la “natu­re des sources, des types d’organismes, d’entreprises et de sec­teurs” ne peut inter­ve­nir que lorsqu’il ne déti­ent pas cet­te infor­ma­ti­on, l’identification de la source spé­ci­fi­que des don­nées à carac­tère per­son­nel de la per­son­ne con­cer­née étant impossible

Bei Ver­ar­bei­tungs­ket­ten rei­che es sodann nicht, nur das­je­ni­ge Glied zu nen­nen, das die Daten ursprüng­lich beim Betrof­fe­nen erho­ben hat­te. Zu nen­nen sei viel­mehr die direk­te Quel­le, hier der Daten­bro­ker, von dem FREE die Daten bezo­gen hatte.

Zudem hat­te FREE das Recht auf Daten­lö­schung ver­letzt. Betrof­fe­ne hat­ten ver­langt, ihr Gra­tis-E-Mail-Kon­to zu löschen. FREE hat­te auf die ent­spre­chen­de Löschung ver­zich­tet und gel­tend gemacht, die Auf­for­de­rung, ein E‑Mail-Kon­to zu löschen sei kein Lösch­be­geh­ren i.S.d. DSGVO. Auch dies weist die CNIL zurück, weil die­se Auf­for­de­rung zwangs­läu­fig einen Antrag auf Löschung der mit dem Kon­to ver­bun­de­nen Per­so­nen­da­ten enthalte.

Schliess­lich ver­letz­te FREE die Anfor­de­run­gen an die Daten­si­cher­heit, weil kei­ne bestimm­te Kom­ple­xi­tät des Pass­worts für die Nut­zer­kon­ten vor­ge­ge­ben war, weil Nut­zer­pass­wör­ter im Klar­text gespei­chert und Nut­zern im Klar­text über­mit­telt wor­den waren. Eben­falls ver­letzt war vor­lie­gend die Pflicht, Ver­let­zun­gen der Daten­si­cher­heit zu doku­men­tie­ren, nach­dem wie­der­ver­wen­de­te Hard­ware-Boxen an neue Abon­nen­ten ver­teilt wur­den, die wei­ter­hin Per­so­nen­da­ten der ehe­ma­li­gen Abon­nen­ten enthielten.

Gebiet:

Region:

Behörde:

Themen:

Ähnliche Beiträge