Die CNIL hat am 30. November 2022 eine Busse von EUR 300’000 gegen den Fernmeldedienstanbieter FREE verhängt (n°SAN-2022 – 022; englische Übersetzung bei GDPRhub), nachdem 41 Beschwerden gegen FREE wegen Schwierigkeiten mit dem Auskunftsrecht eingegangen waren. FREE hatte u.a. keine Auskunft über die Quelle der für Marketingzwecke verwendeten Daten erteilt. FREE hatte geltend gemacht, diese Information stelle ein Geschäftsgeheimnis i.S.v. Art. 15 Abs. 4 DSGVO (“Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen”).
Die CNIL weist dies zurück. Der Vorbehalt der Rechte und Freiheiten anderer Personen beziehe sich allein auf Art. 15 Abs. 4 DSGVO, d.h. das Recht auf eine Kopie der Daten, nicht aber auf Art. 15 Abs. 1 DSGVO, d.h. die über die Datenverarbeitung zu erteilenden Informationen einschliesslich der verfügbaren Angaben über die Datenquelle. Zudem verlange Art. 5 Abs. 1 DSGVO u.a. Transparenz über die Verarbeitung. Der Verantwortliche könne Angaben über die Datenquelle daher nur verweigern, wenn die Angabe nicht möglich ist:
doit par principe communiquer “la source spécifique” relative aux données et […] la limitation du droit d’accès aux indications de la “nature des sources, des types d’organismes, d’entreprises et de secteurs” ne peut intervenir que lorsqu’il ne détient pas cette information, l’identification de la source spécifique des données à caractère personnel de la personne concernée étant impossible
Bei Verarbeitungsketten reiche es sodann nicht, nur dasjenige Glied zu nennen, das die Daten ursprünglich beim Betroffenen erhoben hatte. Zu nennen sei vielmehr die direkte Quelle, hier der Datenbroker, von dem FREE die Daten bezogen hatte.
Zudem hatte FREE das Recht auf Datenlöschung verletzt. Betroffene hatten verlangt, ihr Gratis-E-Mail-Konto zu löschen. FREE hatte auf die entsprechende Löschung verzichtet und geltend gemacht, die Aufforderung, ein E‑Mail-Konto zu löschen sei kein Löschbegehren i.S.d. DSGVO. Auch dies weist die CNIL zurück, weil diese Aufforderung zwangsläufig einen Antrag auf Löschung der mit dem Konto verbundenen Personendaten enthalte.
Schliesslich verletzte FREE die Anforderungen an die Datensicherheit, weil keine bestimmte Komplexität des Passworts für die Nutzerkonten vorgegeben war, weil Nutzerpasswörter im Klartext gespeichert und Nutzern im Klartext übermittelt worden waren. Ebenfalls verletzt war vorliegend die Pflicht, Verletzungen der Datensicherheit zu dokumentieren, nachdem wiederverwendete Hardware-Boxen an neue Abonnenten verteilt wurden, die weiterhin Personendaten der ehemaligen Abonnenten enthielten.