„The gloves are off!“, wie es so schön sprichwörtlich im Englischen heißt. Die Eingewöhnungsphase bezüglich der DSGVO ist endgültig vorbei! Das zeigt nun auch wieder die aktuelle Bußgeldentscheidung des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (HmbBfDI) zum Thema Löschfristen.
Einer der größten Knackpunkte im Verfahrensverzeichnis und gleichzeitig eines der unbeliebtesten Themen bei vielen Unternehmen sind die fehlenden oder fehlerhaften Fristen zur Löschung von Daten. Als Datenschutzberater weisen wir immer wieder freundlich, aber bestimmt darauf hin, dass diese nicht nur dezidiert dokumentiert, sondern auch in der Praxis umgesetzt werden müssen. Nicht mehr so freundlich war nun der aktuelle Bescheid der Hamburger Aufsichtsbehörde zu diesem Thema. „Es ist nicht akzeptabel, wenn Unternehmen, die in datengetriebenen digitalen Branchen arbeiten, kein kohärentes Löschkonzept (…) haben“, so der HmbBfDI, Thomas Fuchs. Entsprechend wurde im vorliegenden Fall ein Bußgeld in Höhe von fast 1 Million Euro verhängt, weil Löschpflichten jahrelang massiv missachtet wurden.
Wie kam es dazu?
Es kommt immer wieder vor, dass (ehemalige) Mitarbeiter oder externe Dritte mit Auffälligkeiten an die Aufsichtsbehörden für Datenschutz herantreten und dem sodann nachgegangen wird. In diesem Fall war es jedoch anders. Im Rahmen einer Schwerpunktprüfung wurden eine Reihe an Hamburger Unternehmen des Forderungsmanagements auditiert. Besonders in dieser Branche ist, dass eine Vielzahl an personenbezogenen Finanzdaten säumiger Schuldner Gegenstand der Verarbeitung ist. Es handelt sich dabei um Informationen, die für die Betroffenen ein besonderes Gefährdungspotenzial aufweisen und entsprechend in hohem Maße schutzbedürftig sind.
Die Aufsichtsbehörde steht vor der Tür
Wenn die Aufsichtsbehörde nun also für ein Audit vor der Tür steht, was passiert dann eigentlich?
Zunächst werden in aller Regel ausführliche Fragebögen an die zu prüfenden Unternehmen versendet, die verschiedenste Bereiche des Datenschutzes betreffen können. Darunter fallen etwa, das Verzeichnis der Verarbeitungstätigkeiten, die technischen und organisatorischen Maßnahmen (TOMs), Musterdokumente (z.B. Informationen über die Verarbeitung von personenbezogenen Daten nach Art. 13 ff. DSGVO, Muster bzgl. der Ausübung von Betroffenenrechten) und Verträge zur Auftragsverarbeitung. Diese müssen eindeutig und klar formuliert sein, damit die dort enthaltenen Informationen auch von juristischen Laien leicht verstanden werden können. Die ausgefüllten Fragebögen können dabei schon tiefe Einblicke in das Niveau des Datenschutzes und der Umsetzung der DSGVO in der Praxis geben.
Termine beim Unternehmen vor Ort, um Interviews mit den für den Datenschutz verantwortlichen Mitarbeitern zu führen und selbst die Systeme zwecks Prüfung in Augenschein zu nehmen, sind dabei keine Seltenheit. Es reicht also bei Weitem nicht aus nur über ein detailliertes Löschkonzept zu verfügen, dieses allerdings im Praxisalltag nicht auch genauso gewissenhaft umzusetzen. D.h. konkret die Daten müssen sortiert, kategorisiert und wenn sie nicht mehr erforderlich sind bzw. nach Ablauf einer bestimmten gesetzlichen Frist auch tatsächlich vernichtet werden. Das grenzenlose Anhäufen von Daten, die man ja vielleicht nochmal irgendwann gebrauchen könnte, sollte somit tunlichst vermieden werden. So verlockend es auch sein mag, seien Sie bitte kein Daten-Messie!
Im vorliegenden Fall haben die Informationen aus den Fragebögen Auffälligkeiten ergeben, die sodann beim Unternehmen vor Ort näher überprüft wurden. Dabei ist zum Vorschein gekommen, dass hunderttausende von personenbezogenen Daten noch Jahre lang nach Ablauf der Aufbewahrungsfrist weiterhin gespeichert und damit verarbeitet wurden. Eine ordnungsgemäße Löschung erfolgte nicht!
„Ach, dann sollen sie die Sachen einfach schnell löschen und alles ist gut!“, könnte so manch einer jetzt meinen. Im Datenschutz gilt jedoch das sog. „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich erst einmal immer verboten ist, es sei denn mindestens eine der Erlaubnistatbestände des Art. 6 DSGVO ist erfüllt. Ist dies nicht der Fall, stellt dies wiederum einen Verstoß gegen den Grundsatz der Rechtmäßigkeit nach Art. 5 Abs. 1 lit. a DSGVO dar. Besonders problematisch ist hier, dass mit Ablauf der Aufbewahrungsfrist nämlich auch die Rechtsgrundlage für die Verarbeitung entfallen ist und die Speicherung damit über Jahre hinweg für hunderttausende von Datensätzen und einer riesigen Anzahl an Betroffenen rechtswidrig erfolgte.
Das Bußgeld
Verstöße gegen einen der DSGVO-Grundsätze fallen dabei stets besonders gravierend ins Gewicht, wie auch hier ersichtlich wird. Nach Art. 83 Abs. 5 lit. a DSGVO erstreckt sich der Bußgeldrahmen in diesen Fällen auf bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweiten Jahresumsatzes des vergangenen Geschäftsjahres (je nachdem, welcher Betrag höher ist) und ist damit besonders hoch.
Da sich das betroffene Unternehmen allerdings einsichtig zeigte und insgesamt professionell mit der Aufsichtsbehörde kooperierte, wurde dies begünstigend bei der Bemessung des Bußgelds berücksichtigt. Der entsprechende Bescheid ist mittlerweile rechtskräftig, d.h. er kann nicht mehr wirksam angegriffen werden.
Für ein weiteres Unternehmen aus dem Forderungsmanagement dauert das Audit jedoch aktuell noch an. Auch hier wurden vergleichbare Probleme in Sachen Löschfristen festgestellt. Es bleibt abzuwarten, ob auch hier eine vergleichbar massive Strafe ergeht. Es bleibt also spannend!
Fazit
Löschfristen werden immer wieder als zu vernachlässigende Kleinigkeit abgetan. Dieses Bußgeld sollte daher alle wachrütteln, die diese Meinung bisher ebenfalls vertreten haben. Sie zeigt, welche überaus wichtige Bedeutung der Löschung von Daten tatsächlich zukommt.
Falls Sie sich also noch nicht um Ihr Löschkonzept oder dessen Umsetzung im Detail gekümmert haben, wird es allerhöchste Zeit! Sollte Sie diese Mammutaufgabe nun etwas überfordern, denken Sie daran, dass Sie nicht allein sind. Wir unterstützen Sie immer gerne dabei!