Im Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg) für das Jahr 2023 wird von folgendem skurrilen Fall berichtet (vgl. 39. Datenschutz-Tätigkeitsbericht, S. 75-76):
Der Ordnungsdienst einer namentlich nicht benannten Großstadt entdeckte neben einem Container für Altglas zwei große Müllsäcke voller Kassenbelege eines Pizzalieferservices. Diese enthielten Kundendaten wie Vor- und Nachnamen, Adressen, Handynummern, Bezahlarten sowie bestellte Speisen und Zahlungsbeträge, die noch überwiegend aus der Zeit der Corona-Pandemie stammten. Um zu ermitteln, um wie viele Belege es sich handeln könnte, wurden seitens der Stadt 1.000 einzelne Belege abgezählt und abgewogen. Auf dieser Basis erfolgte sodann eine Hochrechnung, wonach es sich schätzungsweise um 7.745 Kassenbelege handeln müsste. Der Betreiber des Lieferdienstes gab wiederum einem unzuverlässigen Beschäftigten die Schuld an der unsachgemäßen Entsorgung.
Wie reagierte die Datenschutzbehörde?
Da die Aufsichtsbehörde – aufgrund der Gesamtumstände – begründet vermutete, dass noch mehr Kassenbelege nicht datenschutzkonform vernichtet worden waren, erwirkte sie einen Durchsuchungsbeschluss für die Räumlichkeiten des Lieferservice und fand tatsächlich eine große Anzahl an Müllsäcken mit entsprechenden Belegen vor.
Wie ordnet die Behörde den Fall ein?
Die Datenschutzaufsichtsbehörde stellte einen Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit bei der Verarbeitung von personenbezogenen Daten gemäß Art. 5 Abs. 1 lit. f DSGVO fest. Demnach müssen personenbezogenen Daten „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen“. Die Ansammlung und Zwischenlagerung von Belegen in Müllsäcken innerhalb der Geschäftsräume sowie letztlich die teilweise Entsorgung neben dem Altglascontainer entspreche nicht den Anforderungen an einen Schutz von personenbezogenen Daten vor unbefugten Personen sowie einer ordnungsgemäßen Datenlagerung und -entsorgung.
Gegen den Betreiber des Pizzalieferservices – dem Verantwortlichen gemäß Art. 4 Nr. 7 DSGVO – wurde seitens der Aufsichtsbehörde eine Geldbuße im mittleren viertstelligen Bereich verhängt.
Einschätzung zu dem Fall
Interessant ist, dass die Behörde in ihrem Tätigkeitsbericht nur auf den Verstoß gegen den Grundsatz aus Art. 5 Abs. 1 lit. f DSGVO eingeht und angesichts der Langzeitlagerung von Belegen nicht z. B. auf Art. 5 Abs. 1 lit. e DSGVO (Prinzip der Speicherbegrenzung) oder Art. 17 DSGVO (Recht auf Löschung). Auch finden sich keine Ausführungen im Hinblick auf das Vorliegen einer Datenschutzverletzung gemäß Art. 4 Nr. 12 DSGVO, die bei einem Risiko für die betroffenen Personen zu einer Meldepflicht gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und bei hohem Risiko auch zu einer Benachrichtigungspflicht gegenüber den betroffenen Personen selbst (Art. 34 DSGVO) führt. Fraglich ist, ob die Aufsichtsbehörde in Baden-Württemberg derartige Überlegungen bei der Bußgeldverhängung einbezogen hat.
4. April 2024 @ 17:23
Waren die Bele denn noch DSGVO relevant? Ungeordnet nicht digital?
5. April 2024 @ 15:10
Vielen Dank für Ihren Kommentar. In jedem Fall ist der Sammlung der Belege eine Verarbeitung im Sinne der DSGVO vorausgegangen (nämlich deren Ausdruck als automatisierte Verarbeitung). Beanstandet wurde seitens der Aufsichtsbehörde wiederum die Vernichtung, bei der es sich ebenfalls um eine Datenverarbeitung nach Art. 4 Nr. 2 DSGVO handelt.