Kategorien
Datenschutz im Betrieb

DSGVO-Löschkonzept zwingend erforderlich

Durchaus schmerzlich musste ein Unternehmen nun erfahren, dass ein Löschkonzept nach der DSGVO zwingend erforderlich ist, da ansonsten Bussgelder drohen. Insbesondere ist es dabei Teil des Löschkonzeots, dass auch archivierte Daten bereinigt werden müssen. Die zuständige datenschutzrechtliche Aufsichtsbehörde in Berlin teilte insoweit mit:

Am 30. Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die (…) einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen. Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten.

Quelle: PM der Datenschutzbeauftragten Berlin, https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf

Es handelt sich um einen recht krassen Fall, die Höhe des Bussgeldes orientiert sich an dem immensen Umsatz des Unternehmens. Wichtig ist, dass Unternehmen diesen Bereich vor Augen haben, gerade bei digitalen Archiven wird die Problematik der rechtzeitigen Löschung gerne aus den Augen verloren, nicht ohne Grund ist dies ein eigener Posten in aktuellen behördlichen Fragebögen. Die Brisanz ist nicht zu unterschätzen, zumal die Behörde nunmehr mitteilt, dies eingehender zu prüfen – bei Unternehmen und Vereinen.

Ein Löschkonzept wird dabei nicht nur gerne unterschätzt, sondern ist im Gegenteil auch noch besonders Arbeitsintensiv – ohne einen vorher erstellten Überblick über vorhandene Datenverarbeitungsprozesse samt zugehöriger Kategorisierung, kann man weder einen Überblick haben wie lange welche Daten behördlich aufzubewahren sind, noch wo welche Daten liegen, die zu bestimmten Zeitpunkten zu löschen sind. Insbesondere sind nach Artikel 17 Abs.1a DSGVO personenbezogenen Daten zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.

Links dazu:

Fachanwalt für IT-Recht Jens Ferner

Von Fachanwalt für IT-Recht Jens Ferner

Ich habe mich als Strafverteidiger & Fachanwalt für IT-Recht spezialisiert auf Rechtsfragen rund um Strafrecht, Technik & Arbeit: IT-Recht, Datenschutzrecht, Medienrecht, Vertragsrecht & Softwarerecht ebenso wie IT-Arbeitsrecht, IT-Strafrecht, digitales Werberecht & Urheberrecht.

Meine juristische Expertise ergänze ich mit umfangreicher technischer Erfahrung als Programmierer & Linux-Systemadministrator inkl. Netzwerksicherheit, IT-Forensik & IT-Risikomanagement.