Compliance im Mittelstand

Compliance News

 

 

 

27.12.2019

 

Häufig vernachlässigtes Risiko:

Bußgeld wegen Datenfriedhöfen

 

Vor dem Hintergrund der im Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung dürfte der Umgang mit vielleicht seit Jahrzehnten gespeicherten personenbezogenen Daten noch für viele Unternehmen zur Herausforderung werden. Die Rede ist von sog. Datenfriedhöfen mit alten Beständen von personenbezogenen Daten, deren fortwährende Speicherung nicht mehr zulässig ist.

 

 

Datenminimierung und Speicherbegrenzung

Gemäß Artikel 5 Absatz 1 der Datenschutz-Grundverordnung müssen personenbezogene Daten auf das für die Zwecke von deren Verarbeitung notwendige Maß beschränkt sein (Datenminimierung) und dürfen nur so lange mit Möglichkeit zur Identifizierung der betroffenen Personen gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist (Speicherbegrenzung).

 

Gemäß Artikel 25 der Datenschutz-Grundverordnung hat der für die Datenverarbeitung Verantwortliche darüber hinaus technische und organisatorische Maßnahmen zu treffen, um die Datenschutzgrundsätze, wie z.B. die Datenminimierung und die Speicherbegrenzung, wirksam umzusetzen.

 

 

14,5 Mio. EUR Bußgeld gegen Deutsche Wohnen SE verhängt

Im Archivsystem der Deutsche Wohnen SE wurden nach Angaben der zuständigen Berliner Beauftragten für Datenschutz und Informationsfreiheit zumindest bis zum März 2019 alte Daten zu persönlichen und finanziellen Verhältnissen von Mietern gespeichert, die nicht mehr dem Zweck ihrer ursprünglichen Erhebung dienten. Das Archivsystem sah angeblich auch keine Möglichkeit vor, die gespeicherten Daten auf ihr Speichererfordernis zu prüfen und ggf. nicht mehr erforderliche Daten zu löschen.

 

Anzumerken ist, dass die Berliner Datenschutzbeauftragte angeblich bereits 2017 empfohlen hatte, das Archivsystem umzustellen. Im März 2019 waren nach Auffassung der Berliner Datenschutzbeauftragten zwar Vorbereitungen zur Beseitigung der Beanstandungen getroffen, die Datenbestände jedoch noch nicht bereinigt und auch keine rechtlichen Gründe für die fortwährende Speicherung dargelegt worden. Dementsprechend kam die Berliner Datenschutzbeauftragte zu dem Ergebnis, dass noch kein rechtmäßiger Zustand hergestellt worden war, und hat am 30. Oktober 2019 ein Bußgeld in Höhe von 14,5 Mio. EUR verhängt. Die Deutsche Wohnen hat Einspruch gegen den Bußgeldbescheid eingelegt.

 

 

Bemessung des Bußgeldes

Die Datenschutz-Grundverordnung sieht Bußgelder bis zu 20 Mio. EUR oder 4 % des weltweiten Vorjahresumsatzes vor, der bei der Deutsche Wohnen über 1 Mrd. EUR erreicht hatte.

 

Die Berliner Datenschutzbeauftragte hat als entlastend berücksichtigt, dass die Deutsche Wohnen erste Maßnahmen ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet habe und dass keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten. Als belastend wurde hingegen gewertet, dass die beanstandeten Archivstrukturen bewusst angelegt und die Daten über einen längeren Zeitraum gespeichert worden seien.

 

 

Löschkonzept erforderlich

Der Fall Deutsche Wohnen macht Folgendes deutlich: Es reicht nicht aus, Daten, deren Speicherung nicht mehr zulässig ist, durch technische Sicherungen so zu „begraben“, dass missbräuchlichen Zugriffe, z.B. durch Hacker, bestmöglich ausgeschlossen werden können.

 

Erforderlich sind vielmehr Archivsysteme und Löschkonzepte, die regelmäßig Erfordernis und Zulässigkeit der Speicherung personenbezogener Daten überprüfen und die Löschung derjenigen Daten veranlassen, die nicht mehr dem Zweck ihrer ursprünglichen Erhebung dienen und auch nicht aus anderen von der Datenschutz-Grundverordnung anerkannten Gründen länger gespeichert werden dürfen.

 

 

Hier geht's zur Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit [...»]