Wir hatten neulich einen besonderen Auftrag: Datenschutz-Audit bei einem internationalen Logistikbetrieb mit angeschlossener Spielwaren-Manufaktur.

Der Geschäftsführer? Ein freundlicher älterer Herr mit Rauschebart. Er ist zwar ein Urgestein der Branche, nimmt es mit der DSGVO aber bisher … sagen wir: nicht ganz so genau. 🎅⚖️

Die Highlights aus unserem Sündenregister:

1. Die Rechtsgrundlage (Art. 6 DSGVO) Der Betrieb verarbeitet Adressdaten von Milliarden von Kindern. Die Rechtsgrundlage? „Haben wir schon immer so gemacht.“ Verträge? Keine. Einwilligungen? Fehlanzeige. Berechtigtes Interesse? Bei dieser Größenordnung mehr als fragwürdig.
👉 Urteil: Sehr bedenklich.

2. Profiling & Scoring (Art. 22 DSGVO) Wir konnten es kaum glauben: Es gibt eine Liste, die das Verhalten der Kinder bewertet („artig oder unartig“). Massenüberwachung trifft auf automatisierte Entscheidungsfindung. Datenschutz-Folgenabschätzung? Existiert nicht.
👉 Urteil: Absolut desaströs.

3. Sicherheit der Verarbeitung (Art. 32 DSGVO) Der Geschäftsführer gibt zu, die Geschenke weltweit mit einem offenen, fliegenden Schlitten zu verteilen. Die gesamte(!) Liste mit Namen und Adressen trägt er dabei lose in der Hand. Ein Windstoß, und die sensiblen Daten der gesamten Nachbarschaft liegen bei Herrn Müller im Garten.
👉 Urteil: Eine logistische Katastrophe.

4. Mangelnde Transparenz (Art. 13 & 14 DSGVO) Niemand weiß, woher die Daten stammen, und die Kinder werden nicht über die Speicherung informiert. Wer einen Wunschzettel schreibt, erhält alles – nur keine Datenschutzerklärung.
👉 Urteil: Vollständiges Organisationsversagen.

Fazit: Der Weihnachtsmann muss dringend nachbessern, bevor seine Werkstatt als „compliant“ durchgeht. Zum Glück hat die Aufsichtsbehörde am Nordpol wohl gerade Betriebsurlaub. ❄️😉