Berlin: Millionen-Bußgeld wegen nicht vorhandenem, geeignetem Archivsystem
Von Thomas Waetke 7. November 2019Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat gegen ein Unternehmen ein Bußgeld von ca. 14,5 Mio Euro wegen Verstoßes gegen die DSGVO verhängt. Aufhorchen lässt der Verstoß, denn viele Unternehmen werden ein ähnliches Problem haben:
Das Unternehmen hatte für die Speicherung personenbezogener Daten seiner Kunden ein Archivsystem verwendet, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Daten seien gespeichert worden, ohne dass geprüft worden wäre, ob die Speicherung zulässig oder überhaupt erforderlich ist, teilt die Landesbeauftragte in ihrer Pressemeldung mit.
Ich höre selbst von vielen Mandanten oder Zuhörern bei meinen Vorträgen zum Thema DSGVO, dass bspw. E-Mails, Komtakdaten usw. tatsächlich nahezu unkontrolliert gespeichert werden und auch unkontrollierbar bleiben – weil man systemseitig gar nicht in der Lage sei, überhaupt nach Speichergrund und Notwendigkeit usw. unterscheiden zu können: Und bevor man alle Daten lösche, behalte man sie lieber…
Dennoch lag hier in dem Berliner Fall noch eine Besonderheit vor: Denn das Unternehmen erhielt bereits im Jahr 2017 eine nachdrückliche Ermahnung, ein geeignetes Archivsystem einzuführen. Bei einer Kontrolle im März 2019 wurde jedoch festgestellt, dass weder der alte Datenbestand bereinigt war, noch dass für die Daten hätte nachgewiesen werden können, dass ein Recht zur fortgesetzten Speicherung bestehen würde.
“Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen. Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt”, so die Berliner Landesbeauftragte. Sie spricht von “Datenfriedhöfen” – die tatsächlich keine Seltenheit sind.
Hintergrundinfo
“Personenbezogene Daten müssen … in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist…”
Löschkonzept dringend notwendig!
D.h.: Um ein Löschkonzept kommt man als Datenverarbeiter nicht herum.
Das betrifft alle Speichermedien wie bspw. E-Mailprogramme, Betriebshandys (bzw. Privathandys, wenn diese betrieblich genutzt werden), Faxgeräte, Telefonanlage, CRM-Systeme, Newsletter-Datenbanken, Datenbanken für Werbeadressen, Fotos oder Kundendaten usw.
Dazu gehört aber auch, dass das datenverarbeitende Unternehmen auch weiß, wo überall Daten gespeichert sind.
Ich berate alle Verantwortlichen auf einer Veranstaltung. Ich bin Rechtsanwalt und Fachanwalt für Urheber- und Medienrecht und Herausgeber von EVENTFAQ. Mehr über mich
Profitieren auch Sie von meiner jahrelangen praktischen und theoretischen Erfahrung in Organisation, anwaltlicher Beratung und Durchführung von Veranstaltungen aller Art!
Kontakt: info@eventfaq.de oder Telefon 0721 1205060.
Urheberangabe für das/die Foto(s) (Symbolfoto):
- Thomas-Waetke_Profil: © Sebastian Heck
- Archiv: © imagewell10 - Fotolia.com
