Frank­reich: Dawn Raid; Bus­se von EUR 250’000 gegen Spar­too

Die fran­zö­si­sche Auf­sichts­be­hör­de CNIL hat das Online-Unter­neh­men Spar­too SAS mit einer Bus­se von EUR 250’000 bestraft. Fol­gen­de Kri­te­ri­en waren dabei v.a. rele­vant:

  • Der Bus­sen­rah­men von EUR 20 Mio./4% des Jah­res­um­sat­zes;
  • dass die Ver­stö­sse weit­ge­hend Bestim­mun­gen betra­fen, die bereits vor dem Inkraft­tre­ten der DSGVO bestan­den hat­ten:
  • die Schwe­re der Ver­stö­sse;
  • die Zahl betrof­fe­ner Per­so­nen (mehr als 25 Mio.);
  • dass Spar­too ein eta­blier­ter Anbie­ter ist;
  • dass Spar­too erst nach der Durch­su­chung (s. sogl.) Schrit­te zur Com­pli­an­ce unter­nom­men hat­te und auch zum Zeit­punkt des Bus­sen­ent­scheids nicht alle Ver­stö­sse beho­ben waren.

Inter­es­sant ist dabei u.a. (abge­se­hen davon, dass dies das erste Ver­fah­ren war, in dem die CNIL mit Behör­den in diver­sen Mit­glied­staa­ten zusam­men­ge­ar­bei­tet hat), dass die CNIL dabei eine Haus­durch­su­chung (“Dawn Raid”) in den Räum­lich­kei­ten von Spar­too in Frank­reich durch­ge­führt hat­te. Das Ziel der Durch­su­chung bestand dar­in, Infor­ma­tio­nen zur Bear­bei­tung von Kun­den­da­ten, aber auch von Auf­zeich­nun­gen von Mit­ar­bei­ter­ge­sprä­chen zu erhal­ten.