Bußgelder aufgrund von Datenschutzverstößen, etwa wenn personenbezogene Daten nicht oder zu spät gelöscht bzw. vernichtet worden sind, sind keine Seltenheit (ein Beispiel, über das wir auf diesem Blog berichteten, finden Sie hier). Doch auch der umgekehrte Fall, also die Löschung bzw. Vernichtung personenbezogener Daten, kann einen Verstoß im Sinne des Datenschutzes darstellen. Dies zeigte kürzlich ein recht außergewöhnlicher Fall, welcher zu einem Bußgeld von umgerechnet etwa 20.650 Euro führte und von der Datenschutzaufsichtsbehörde des Vereinigten Königreiches, dem Information Commissioner’s Office (ICO), verhängt wurde. Die Adressatin des Bußgeldes, die schottische Wohltätigkeitsorganisation Birthlink, hatte nämlich unbeabsichtigt und unrechtmäßig personenbezogene Daten unwiderruflich vernichtet. Dieser Verstoß führte auch zu einer Verletzung der Rechte betroffener Personen. Hierbei verwies das ICO auf den sog. „Ripple-Effekt“ (Wellen-Effekt), denn die persönlichen Konsequenzen für die betroffenen Personen seien weitreichend, sich sukzessiv ausbreitend und nicht vollständig vorhersehbar.

Chronik des Vorfalls und der Untersuchung durch die Aufsichtsbehörde

Birthlink bietet Unterstützung und Beratung für erwachsene Adoptierte, leibliche Eltern und Familien, Adoptiveltern und andere Fachleute in Bezug auf Adoptionen an. Im Rahmen ihrer Aufgaben bewahrte die Organisation zahlreiche personenbezogene Daten in Aktenschränken auf, wie z. B. handschriftliche Briefe von leiblichen Eltern oder Fotos und Kopien von Geburtsurkunden.

Aufgrund von Platzmangel wurde Anfang 2021 geprüft und sodann beschlossen, dass ein Teil des Datenbestandes vernichtet werden soll. Diese Vernichtung wurde im April und Mai 2021 umfassend und unwiderruflich vorgenommen. Erst im August 2023 wurde im Rahmen einer Prüfung festgestellt, dass wegen unzureichender Aktenführung nicht ersetzbare Unterlagen vernichtet worden waren und somit eine Datenschutzverletzung eingetreten war.

Die Datenschutzverletzung wurde ohne weitere Verzögerung beim ICO gemeldet, welches eine entsprechende aufsichtsbehördliche Untersuchung einleitete. Hierbei wurde festgestellt, dass einrichtungsübergreifend eine unzureichende Organisation und Sensibilisierung für den Datenschutz vorlag und Birthlink somit einen Datenschutzverstoß begangen hatte. Aufgrund der Kooperationsbereitschaft und der unverzüglichen Vornahme von Datenschutzmaßnahmen wurde das Bußgeld für diesen Verstoß von ursprünglich umgerechnet etwa 51.600 Euro reduziert.

Rechtlicher Hintergrund des Datenschutzverstoßes und Konsequenzen

Die rechtlichen Bestimmungen zum Datenschutz ergeben sich im Vereinigten Königreich aus der UK GDPR, welche im Hinblick auf die Prinzipen, Rechte und Verpflichtungen auf der EU-GDPR (hier DSGVO) basiert, sowie dem im Juni in Kraft getretenen UK Data (Use and Access) Act 2025 (DUAA, wir berichteten). Die Vorgaben zur Vernichtung, Löschung und Aufbewahrung von personenbezogenen Daten sind im Vereinigten Königreich demnach deckungsgleich zu den Bestimmungen in der DSGVO. Konkret sah das ICO in der Vernichtung der Daten einen Verstoß gegen

  1. Art. 5 Abs. 1 lit. f DSGVO / UK GDPR und Art. 32 DSGVO/UK GDPR: Das ICO bewertete die getroffenen technischen und organisatorischen Maßnahmen als nicht angemessen, was dazu führte, dass die personenbezogenen Daten unbeabsichtigt verloren gegangen sind;
  2. Art. 5 Abs. 2 DSGVO / UK GDPR: Es lag laut ICO auch ein Verstoß gegen die Rechenschaftspflicht vor, da Birthlink die Einhaltung der Datenschutzgrundsätze (hier: Integrität und Vertraulichkeit) logischerweise nicht nachweisen konnte;
  3. Art. 33 DSGVO / UK GDPR: Da wie eingangsbeschrieben die Vernichtung der personenbezogenen Daten 2021 erfolgte, der unbeabsichtigte Verlust allerdings erst 2023 auffiel, lag ein Verstoß gegen die unverzügliche bzw. binnen 72 Stunden zu erfolgende Meldepflicht einer Datenschutzverletzung vor.

Dieser Verstoß war laut ICO ursächlich für die weitreichende Datenschutzverletzung. Hierbei verwies das ICO auf den eingangs erwähnten „Ripple-Effekt“ einer Datenschutzverletzung, also den weitreichenden, sich sukzessiv ausbreitenden und nicht vollständig vorhersehbaren Konsequenzen für das Leben der betroffenen Personen. Diesen betroffenen Personen wurde durch die Datenvernichtung die Möglichkeit genommen, Antworten auf Fragen zu ihrer Identität zu finden, unbekannte Erinnerungen zu wecken oder ein Zugehörigkeitsgefühl herzustellen.

Worauf verantwortliche Stellen vor der Löschung, Vernichtung und Aufbewahrung personenbezogener Daten achten sollten

Die erforderliche Aufbewahrung und fristgerechte Löschung von personenbezogenen Daten stellen verantwortliche Stellen oftmals vor Herausforderungen. Ursächlich dafür ist der stetig steigende Datenbestand und die dafür erforderlichen angemessenen technischen und organisatorischen Maßnahmen. Neben der Schaffung und Bereitstellung von Ressourcen für die praktische Umsetzung, sollte vorgelagert ein umfassendes Löschkonzept mit folgenden Inhalten implementiert werden:

  • Auflistung der Systeme und Prozesse, in denen personenbezogene Daten verarbeitet bzw. aufbewahrt werden;
  • Nennung der verarbeiteten Datenkategorien für die einzelnen Systeme und Prozesse;
  • Aufbewahrungsfristen und deren Beginn, ggf. unter Angabe der einschlägigen Rechtsgrundlage;
  • Nennung der für die Löschung/Vernichtung verantwortlichen Abteilung/Person;
  • Art bzw. Verfahren der Löschung/Vernichtung (manuell/automatisiert).

Findet – wie im vorliegenden Fall – eine Verarbeitung höchstpersönlicher und sensibler personenbezogenen Daten statt, muss auch der „Ripple-Effekt“ einer möglichen Datenschutzverletzung angemessen berücksichtigt werden. Hierfür sollte eine Datenschutz-Folgenabschätzung (DSFA) im Sinne des Art. 35 DSGVO ein geeignetes Instrument darstellen, die die Risiken eines Datenverlustes näher beleuchtet und die erforderlichen Abhilfemaßnahmen festhält.

| | , | , , , , , , , , , , , ,