Nachdem in Dänemark von der zuständigen Aufsichtsbehörde wegen unzureichender Löschung und mangelhafter Dokumentation ein Sanktionsverfahren gegen einen Taxi-Plattform-Betreiber eingeleitet wurde[1], rückt das ohnehin brisante Thema rund um Löschkonzepte wieder vermehrt in den Fokus. Dieser Beitrag schildert zunächst die Hintergründe des Verfahrens in Dänemark und zeigt dann auf, was ein Löschkonzept grundsätzlich leisten muss, um den Anforderungen der DSGVO gerecht zu werden.
Bußgeldempfehlung in Dänemark
Als Folge einer Untersuchung der dänischen Aufsichtsbehörde bei dem Unternehmen Taxa 4×35 Anfang Oktober vergangenen Jahres leitete die Aufsichtsbehörde nun Ende März 2019 ein Verfahren gegen das Unternehmen bei der zuständigen Polizeidienststelle ein und empfahl das Verhängen eines Bußgelds i.H.v. knapp 161.000 € (1.2 Mio. DKK). Das örtlich zuständige Gericht in Dänemark ist dabei angehalten, der Empfehlung der Aufsichtsbehörde zu folgen.
Das angeregte Bußgeld begründet die Aufsichtsbehörde damit, dass das Unternehmen den Grundprinzipien der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO und der Speicherbegrenzung Art. 5 Abs. 1 lit. e DSGVO klar zuwidergehandelt habe.
Mit dem System DDS Pathfinder erhob das Taxiunternehmen den Namen, die Telefonnummer, Standortdaten, die gefahrene Strecke, die Zeitpunkte des Ein- und Ausstiegs sowie ggf. die Adresse der Fahrgäste. Dabei gab das Unternehmen (in dem Fragebogen der Aufsichtsbehörde) an, die personenbezogenen Daten nach zwei Jahren zu löschen. Tatsächlich nahm das Unternehmen nach 2 Jahren keine Löschung vor, sondern führte eine vermeintliche Anonymisierung der Daten durch.[2] Hierfür löschte das Unternehmen den Namen des Kunden aus dem System, ohne zu berücksichtigen, dass mit den weithin verfügbaren Daten, wie der Adresse und der Telefonnummer ein Personenbezug mit nur geringem Aufwand wiederhergestellt werden konnte. Es ist daher nicht sonderlich überraschend, dass die Aufsichtsbehörde in diesem Fall keine Anonymisierung und damit einhergehend auch keine Löschung i.S.d. Art. 17 Abs. 1 DSGVO gegeben sah. Im Zusammenhang mit diesem Verstoß gegen die Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) kritisierte die Behörde die grundlose Speicherung der verbliebenen personenbezogenen Daten für weitere drei Jahre (insgesamt damit 5 Jahre). Das Unternehmen gab zwar an, die Daten für die Geschäftsentwicklung zu nutzen, dies stellt allerdings keinen hinreichenden Zweck der Datenverarbeitung dar. Tatsächlich hatte das Unternehmen aufgrund systemseitiger Gegebenheiten die Telefonnummer als Referenznummer verwendet, ohne zu bedenken, dass damit der Personenbezug der Daten ohne weiteres gegeben bleibt.
Im Rahmen der Untersuchung stellte die Aufsichtsbehörde fest, dass das Taxiunternehmen personenbezogene Daten von über 8,8 Mio. Taxifahrten gespeichert hatte, die länger als zwei Jahre zurück liegen.
Die Höhe des empfohlenen Bußgelds, das wohl mehr als 2 Prozent des Jahresumsatzes des Unternehmens ausmacht, dürfte maßgeblich durch den großen Umfang an personenbezogenen Daten, die mangelhafte Dokumentation der Löschvorgänge sowie dem Umstand geschuldet sein, dass das Unternehmen vermeintlich bewusst gegen den Grundsatz der Datenminimierung und Speicherbegrenzung aufgrund systemseitiger Komplikationen verstoßen hat.
Interessant ist hierbei insbesondere, dass die Aufsichtsbehörde in Dänemark mit der Empfehlung des Bußgeldes zum Ausdruck bringt, inwieweit Verantwortliche ein klares Konzept entwickeln müssen, wie bzw. wann Sie die in ihrer Verantwortung verarbeiteten personenbezogenen Daten löschen und eine entsprechende Dokumentation gewährleisten. Besonders brisant ist dabei auch, dass explizit die Löschung der in den Backups enthaltenen, aber aus dem aktiven System bereits gelöschten personenbezogenen Daten, thematisiert wird und hierfür geeignete Löschpläne und Prozesse gefordert werden.
Anforderungen an ein Löschkonzept
Um den Anforderungen der DSGVO gerecht werden zu können, bedarf es grundsätzlich einer konsequenten Kategorisierung und Organisation der im Unternehmen verarbeiteten personenbezogenen Daten.
Die DSGVO bestimmt, dass personenbezogene Daten nur solange verarbeitet werden dürfen, wie diese für die Verarbeitung konkreter und legitimer Zwecke erforderlich sind.
Für eine entsprechende Kategorisierung müssen die Zwecke daher ausreichend definiert und die Verarbeitung einer der in Art. 6 Abs. 1 S. 1 lit. a bis f DSGVO genannten Rechtsgrundlagen zugeordnet werden. Beispielsweise Art. 6 Abs. 1 S. 1 lit. b DSGVO für die Verarbeitungen im Rahmen der Durchführung oder Abwicklung eines Vertrages.
Ist der Zweck und die rechtliche Grundlage der Verarbeitung jedem personenbezogenen Datum zugewiesen, muss festgelegt werden, welches Ereignis zu einer Löschpflicht führt. Das kann z.B. die Kündigung eines Vertrages oder der Widerruf einer Einwilligung sein. Tritt das Ereignis ein, muss anschließend geprüft (bestenfalls bereits innerhalb der Kategorisierung berücksichtigt) werden, ob das vorliegende Datum aufgrund einer gesetzlichen Verpflichtung (z.B. aus dem Steuerrecht) weiterhin verarbeitet werden muss, oder Gründe ersichtlich sind, die eine Aufbewahrung des personenbezogenen Datums für die Ausübung, Geltendmachung oder Verteidigung von Rechtsansprüchen rechtfertigen (Art. 17 Abs. 3 lit. e DSGVO).
Besteht demnach kein weitergehender Zweck der Verarbeitung, muss das Datum nach Art. 17 Abs. 1 DSGVO unverzüglich (engl. Fassung der DSGVO lautet: „without undue delay“) gelöscht werden. Verlangt werden kann hierbei keine taggenaue Löschung, sondern vielmehr darf der Zeitraum bis zur tatsächlichen Löschung nicht unverhältnismäßig ausgedehnt werden. Die Frist bis zur tatsächlichen Löschung ist folglich abhängig von den Umständen und Gegebenheiten des Unternehmens, sollte allerdings so kurz wie möglich gehalten werden, da bei unzureichender Umsetzung, wie das Beispiel in Dänemark zeigt, mit drastischen Bußgeldern zu rechnen ist. Der Verantwortliche ist daher dazu angehalten individuelle Löschroutinen nach Maßgabe der Systeme, idealerweise in Zusammenarbeit mit der IT-Abteilung oder dem Dienstleister, zu entwickeln und die Prozesse entsprechend zu dokumentieren.
Ausblick
Dem ausstehenden Bußgeldverfahren in Dänemark ist deutliche Signalkraft beizumessen, sodass Unternehmen angehalten sind, passgenaue Löschkonzepte zu entwickeln. Auch in Deutschland untersucht bereits das Bayrische Landesamt für Datenschutzaufsicht die Umsetzung der Löschvorgaben innerhalb von ERP-Systemen großer Unternehmen.
Quellen:
https://www.dqmgrc.com/article/taxi-firm-fined-heavily-under-gdpr-data-retention
[1] In Dänemark gelten abweichende Verfahrensregeln für Bußgelder nach Art. 83 Abs. 9 DSGVO (Erwägungsgrund 151), da das Sanktionssystem in Dänemark keine behördlichen Bußgelder vorsieht. Dort verhängt die Aufsichtsbehörde selbst kein Bußgeld, sondern empfiehlt dem zuständigen Gericht die Höhe der zu verhängenden Strafe. Das Gericht ist dabei angehalten der Empfehlung der Aufsichtsbehörden zu folgen.
[2] Grundsätzlich ist ein Datum dann gelöscht, wenn es nicht mehr bzw. nur noch mit unverhältnismäßigem Aufwand möglich ist ein Datum einer Person zuzuordnen. Eine Löschung durch Anonymisierung damit durchaus möglich (siehe hierzu den Bescheidspruch der Österreichischen Aufsichtsbehörde vom 05.12.18).
Anonymous
26. April 2019 @ 21:52
Es ist nur zu dumm, dass in Deutschland die großen Softwarehersteller „vergessen“ haben, eine Löschfunktion in ihren Programmen vorzusehen und Aufsichtsbehörden nur darüber jahrelang berichten, aber keine Änderung herbeiführen
u.a.
https://fragdenstaat.de/anfrage/pruf-und-kontrollberichte-bei-gesetzlichen-krankenkassen/29094/anhang/20150624antwort-bfdi.pdf
bzw. diverse Tätigkeitsberichte von „Aufsichtsbehörden“, die jahrelang in KrankenhausInformationsSystemen (KIS) solche Missstände dulden.