Die ungarische Datenschutzbehörde hat ein Bußgeld gegen die Discounter-Kette Aldi verhängt, nachdem sich mehrere Personen über das Verfahren zur Altersverifizierung, bzgl. des Verkaufs von altersbeschränkten Artikeln, über das Unternehmens beschwert hatten.
Beim Verkauf von alkoholischen Getränken hatte Aldi das Geburtsdatum von Kunden mittels Kassensystem erfasst und gespeichert. Hierdurch sollte vorgeblich die Arbeit der Kassierer erleichtert werden, da die Software automatisch berechnen konnte, ob die Person über 18 Jahre alt war oder nicht. Allerdings wurden die Daten als Teil der Logfiles für 180 Tage gespeichert und waren somit auch für Datenverarbeiter der Ladenkette zugänglich.
Die ungarische Datenschutzbehörde bemängelte nicht nur die Speicherung der Daten, sondern auch die fehlende Angabe der Rechtsgrundlage für diese Verarbeitung. Beides stellt einen klaren Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) dar, nach der personenbezogene Daten nur unter bestimmten Bedingungen verarbeitet werden dürfen und alle Datenschutzverfahren gem. Art 30 DSGVO dokumentiert werden müssen. Da eine Speicherung der Daten zur Erfüllung der gesetzlichen Verpflichtungen, hier Altersverifizierung, aber nicht erforderlich war, war die gesamte Verarbeitung als rechtswidrig einzustufen und ein Bußgeld auszusprechen.
Sanktionsadressat
Aldi
Bußgeld
253.000 Euro (95.000.000 HUF)
Verletzte Rechtsnorm
Art. 5 Abs. 1 lit. a DSGVO
Art. 5 Abs. 1 lit. c DSGVO
Art. 12 DSGVO
Art. 13 DSGVO
Art. 6 DSGVO
Art. 32 Abs. 1, 4 DSGVO
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
————————————————————————————————————————-
Quellen und Links:
Datenschutzbehörde: Ungarn – Nemzeti Adatvédelmi és Információszabadság Hatóság
https://hvg.hu/kkv/20230411_aldi_buntetes_alkoholvasarlas_szemelyi_igazolvny_elkerese_adatrogzites_NAIH_birsag
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen