Die Fast-Food-Kette KFC muss 25.000 Euro Bußgeld in Spanien wegen Verstößen gegen Art. 37 DSGVO und Art. 13 DSGVO bezahlen. Grund dafür war die fehlende Nennung eines Datenschutzbeauftragten auf der Webseite sowie eine unvollständige Datenschutzerklärung.
KFC war der Ansicht, dass sie als Unternehmen hauptsächlich gastronomische Dienstleistungen erbringt und daher keinen Datenschutzbeauftragten benennen müsse. Die Verarbeitung personenbezogener Daten auf der Webseite erfolge lediglich bei Aktivitäten wie der Bereitstellung des Lieferservices. Die spanische Datenschutzbehörde sah dies jedoch anders und verhängte gegen KFC ein Bußgeld.
Zusätzlich wurde KFC angewiesen, einen Datenschutzbeauftragten zu benennen und in der Datenschutzerklärung der Webseite Informationen über die Verarbeitung personenbezogener Daten zur Verfügung zu stellen. Die Behörde betonte, dass die Benennung eines Datenschutzbeauftragten in Spanien verpflichtend sei, wenn eine Organisation personenbezogene Daten verarbeitet.
Die Datenschutzbehörde erklärte, dass Unternehmen eine klare und umfassende Datenschutzerklärung zur Verfügung stellen müssen, um Transparenz und Vertrauen bei Kunden zu gewährleisten. Kunden sollten genau wissen, welche personenbezogenen Daten von ihnen erfasst werden, wie diese Daten verarbeitet werden und welche Rechte sie bezüglich dieser Daten haben.
Insgesamt zeigt dieser Fall, wie wichtig es ist, die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) sorgfältig zu beachten. Unternehmen sollten sicherstellen, dass ihre Datenschutzerklärungen vollständig und transparent sind und dass sie einen Datenschutzbeauftragten benennen, wenn dies gesetzlich vorgeschrieben ist. Andernfalls können Bußgelder und Strafen verhängt werden, die das Image und den Ruf des Unternehmens beeinträchtigen können.
Sanktionsadressat
KFC Restaurants Spain S.L.
Bußgeld
25.000 Euro
Verletzte Rechtsnorm
Art. 37 DSGVO
Art. 13 DSGVO
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
————————————————————————————————————————-
Quellen und Links:
Datenschutzbehörde: Spanien – Agencia española protección datos
https://www.aepd.es/es/documento/ps-00140-2022.pdf
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen