EVENTFAQ News

aus dem Eventrecht
Berlin: Millionen-Bußgeld wegen nicht vorhandenem, geeignetem Archivsystem

Berlin: Millionen-Bußgeld wegen nicht vorhandenem, geeignetem Archivsystem

Von Thomas Waetke 7. November 2019

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat gegen ein Unternehmen ein Bußgeld von ca. 14,5 Mio Euro wegen Verstoßes gegen die DSGVO verhängt. Aufhorchen lässt der Verstoß, denn viele Unternehmen werden ein ähnliches Problem haben:

Das Unternehmen hatte für die Speicherung personenbezogener Daten seiner Kunden ein Archivsystem verwendet, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Daten seien gespeichert worden, ohne dass geprüft worden wäre, ob die Speicherung zulässig oder überhaupt erforderlich ist, teilt die Landesbeauftragte in ihrer Pressemeldung mit.

Ich höre selbst von vielen Mandanten oder Zuhörern bei meinen Vorträgen zum Thema DSGVO, dass bspw. E-Mails, Komtakdaten usw. tatsächlich nahezu unkontrolliert gespeichert werden und auch unkontrollierbar bleiben – weil man systemseitig gar nicht in der Lage sei, überhaupt nach Speichergrund und Notwendigkeit usw. unterscheiden zu können: Und bevor man alle Daten lösche, behalte man sie lieber…

Dennoch lag hier in dem Berliner Fall noch eine Besonderheit vor: Denn das Unternehmen erhielt bereits im Jahr 2017 eine nachdrückliche Ermahnung, ein geeignetes Archivsystem einzuführen. Bei einer Kontrolle im März 2019 wurde jedoch festgestellt, dass weder der alte Datenbestand bereinigt war, noch dass für die Daten hätte nachgewiesen werden können, dass ein Recht zur fortgesetzten Speicherung bestehen würde.

“Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen. Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt”, so die Berliner Landesbeauftragte. Sie spricht von “Datenfriedhöfen” – die tatsächlich keine Seltenheit sind.

Hintergrundinfo
Im Datenschutzrecht gibt es u.a. den Grundsatz der Speicherbegrenzung, der in Art. 5 Abs. 1e DSGVO geregelt ist:

“Personenbezogene Daten müssen … in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist…”

Löschkonzept dringend notwendig!

D.h.: Um ein Löschkonzept kommt man als Datenverarbeiter nicht herum.

Das betrifft alle Speichermedien wie bspw. E-Mailprogramme, Betriebshandys (bzw. Privathandys, wenn diese betrieblich genutzt werden), Faxgeräte, Telefonanlage, CRM-Systeme, Newsletter-Datenbanken, Datenbanken für Werbeadressen, Fotos oder Kundendaten usw.

Dazu gehört aber auch, dass das datenverarbeitende Unternehmen auch weiß, wo überall Daten gespeichert sind.

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Thomas-Waetke_Profil: © Sebastian Heck
  • Archiv: © imagewell10 - Fotolia.com