Die französische Datenschutzaufsichtsbehörde ("CNIL") hat mit ihrem Entscheid SAN-2020-008 vom 18. November 2020 CARREFOUR FRANCE gerügt, persönliche Kundendaten und -rechte missachtet zu haben. Bei den Untersuchungen wurde festgestellt, dass Kunden in Bezug auf die Nutzung ihrer Daten nicht informiert wurden und ihnen durch systematische Prozesse des Unternehmens die Rechtsausübung verwehrt wurde.

Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Artikel 13 DSGVO)

Gemäss Art. 12 DSGVO muss der Verantwortliche geeignete Massnahmen treffen, um der betroffenen Person alle Informationen gemäss den Artikeln 13 und 14, die sich auf die Verarbeitung personenbezogener Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Im vorliegenden Fall wurde festgestellt, dass CARREFOUR FRANCE die Informationen zwar zur Verfügung stellte, diese aber auf verschiedenen Seiten und nur über verschiedene Hyperlinks zugänglich waren. Hinzu kam, dass die Ausführungen für Laien nicht klar verständlich formuliert wurden und zu Verwirrung führten. Die CNIL hält in diesem Entscheid fest, dass Verweise zu weiteren Inhalten präzisiert werden und wenn möglich auf demselben Dokument erscheinen müssen.

Zur Verletzung in Bezug auf Cookies (Artikel 82 des französischen Datenschutzgesetzes)

Die CNIL hält in diesem Urteil, mit Verweis auf Artikel 82 des französischen Datenschutzgesetzes, fest, dass Nutzende zwingend über die Verwendung von Cookies zu Beginn des Webseitenbesuchs informiert werden müssen, ausser wenn deren einziger Zweck darin besteht, die Kommunikation auf elektronischem Wege zu ermöglichen oder zu erleichtern, oder die für die Bereitstellung eines Online-Kommunikationsdienstes auf ausdrücklichen Wunsch des Benutzers unbedingt erforderlich sind. Von den 39 automatisch gespeicherten Cookies waren 3 von Google Analytics. Diese sind aber mit Google Ads assoziiert, welche wiederum die gesammelten Daten für andere Zwecke verwenden können. Es muss immer geprüft werden, ob eigene oder fremde Cookies beziehungsweise Webseitendaten mit Verknüpfungen zu weiteren Datennutzern bestehen. Der Nutzer muss auch über solche Cookies informiert werden und sein Einverständnis zur Verwendung geben.

Nichteinhaltung der Verpflichtung zur Begrenzung der Datenspeicherfrist (Artikel 5.1.e DSGVO)

Die CNIL hat grundlegend festgestellt, dass eine 3-jährige Aufbewahrung personenbezogener Daten bei Grossverteilern bereits als erheblich eingestuft werden kann und eine 4-jährige Speicherung bereits übermässig ist (E. 32 ff.). Zu diesem Schluss kommt die CNIL, da Kunden von Grossverteilern regelmässig und auf verschiedenen Kanälen die jeweiligen  Treueprogramme nutzen. Allerdings räumt die CNIL ein, dass eine dreijährige Speicherung gerechtfertigt werden könne, falls das entsprechende Treueprogramm auch weitreichend vernetzt sei.

Unterlassung der Erleichterung der Rechtsausübung (Artikel 12 der DSGVO)

Gemäss Art. 12 DSGVO muss der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte erleichtern, ausser wenn er glaubhaft macht, dass er gemäss Art. 11 DSGVO nicht in der Lage ist, die betroffene Person zu identifizieren. Das Unternehmen hat systematisch Identitätsnachweise gefordert, auch wenn keine begründeten Zweifel an der Identität der Person bestanden. Sie bemängelt, dass das Unternehmen mit ihrem systematischen Prozess gegen Art. 12 DSGVO verstösst, da es eine unbegründete Hürde für die betroffene Person darstellt, welche ihr Recht ausüben möchte. Die CNIL geht allerdings nicht weiter auf die klare Identifikation der betroffenen Personen ein und überlässt diese Entscheidung weiterhin dem Unternehmen, wie er diese identifiziert, solange es nicht systematisch geschieht.

Xavier Igloi