Das Thema Löschung und die Umsetzung von Löschkonzepten hat mit dem Inkrafttreten der DSGVO immer weiter an Bedeutung gewonnen. Oftmals werden Unternehmen bei der Entwicklung und Umsetzung eines, den Anforderungen der DSGVO entsprechenden, Löschkonzepts, nicht zuletzt aufgrund der oftmals historisch gewachsenen IT-Infrastrukturen, vor große Herausforderungen gestellt. Dies hindert die Aufsichtsbehörden jedoch nicht daran Sanktionen gegen Organisationen und Unternehmen zu verhängen, die personenbezogene Daten zu lange speichern und verarbeiten.
Erneutes Bußgeld in Dänemark
In Dänemark hat die zuständige Aufsichtsbehörde bereits im vergangenen Jahr zwei Bußgelder wegen unzureichender Löschmechanismen empfohlen (wir berichteten hier und hier). Nun traf es Ende Juli eine kleinere Hotelkette aus Kopenhagen. Die Behörde empfahl in diesem Fall ein Bußgeld in Höhe von knapp 148.000€ aufgrund eines Verstoßes gegen Art. 5 Abs. 1 lit. e DSGVO (Grundsatz der Speicherbegrenzung). Zur Erklärung: In Dänemark werden die Bußgelder nicht direkt durch die Aufsichtsbehörden verhängt (Art. 83 Abs. 9, Erwägungsgrund 151 DSGVO). Die Aufsichtsbehörde empfiehlt die Höhe des Bußgeldes, verhängt wird dieses aber durch das zuständige Gericht.
Die Aufsichtsbehörde hatte im Rahmen einer Untersuchung festgestellt, dass personenbezogene Daten in dem Buchungssystem des Hotels zu lange vorgehalten werden. Den Angaben der Behörde zufolge wurden insgesamt 500.000 Kundenprofile nicht gelöscht, obwohl keine rechtliche Grundlage für die Speicherung dieser Daten mehr bestand. Ein Löschkonzept war dementsprechend für das Buchungssystem nicht korrekt umgesetzt worden.
Der Leiter der Aufsichtsbehörde in Dänemark kommentierte das Bußgeld wie folgt:
„In einer Gesellschaft, in der unsere personenbezogenen Daten zunehmend erfasst und genutzt werden, ist es entscheidend, dass wir als Bürger darauf vertrauen können, dass unsere personenbezogenen Daten für objektive Zwecke verarbeitet und nur so lange gespeichert werden, wie dies erforderlich ist.“ (eigene Übersetzung)
Weitere Bußgelder aufgrund unzureichender Löschroutinen in Europa
Doch nicht nur in Dänemark nimmt die Datenschutzaufsichtsbehörde die Themen Löschung und Datenminimierung ernst. Auch in Norwegen verhängte die zuständige Aufsichtsbehörde im März dieses Jahres ein Bußgeld i.H.v. rund 394.000€ gegen eine öffentliche Straßenverwaltung aufgrund fehlender Löschmechanismen. Die öffentliche Straßenverwaltungsgesellschaft hatte Fotos von Kfz-Kennzeichen an Mautstellen erstellt und diese Aufnahmen zusammen mit den Zeit- und Ortsangaben des Mautsensors dauerhaft gespeichert. Die Daten wurden damit, in dem bereits vor 20 Jahren eingeführten System, nie gelöscht, obwohl die Aufbewahrungspflicht für rechnungsrelevante Daten in Norwegen lediglich fünf Jahre beträgt.
Aber auch in Deutschland gab es bereits zwei drastische Bußgelder der Berliner Beauftragten für Datenschutz und Informationsfreiheit gegen Unternehmen, die die Entwicklung und Implementierung von geeigneten Löschkonzepten vernachlässigt hatten. Das (Rekord-)Bußgeld gegen die Deutsche Wohnen SE belief sich hierbei auf 17,7 Mio. Euro (nicht rechtskräftig) und gegen Deliveroo auf über 195.000 Euro. Die zugehörigen Pressemitteilungen sind hier und hier abrufbar.
Entwicklung eines Löschkonzeptes
Die aufgezeigten Bußgelder machen deutlich, dass Verantwortliche nicht weiter zögern sollten die Entwicklung eines Löschkonzepts im Unternehmen zielführend voranzutreiben (wir berichteten).Gleichzeitig gilt es bei der Einführung neuer Systeme darauf zu achten, dass diese die datenschutzkonforme Löschung von Daten unterstützen und die alten Systeme nicht zu „Datenfriedhöfen“ umfunktioniert werden.
Aufgrund der Tatsache, dass die Entwicklung und Umsetzung eines Löschkonzepts einen komplexen und ressourcenintensiven Prozess darstellt empfiehlt es sich, in Abhängigkeit der Anzahl der beteiligten Akteure, einen Projektplan zu definieren und die entsprechenden Aufgaben klar zu delegieren und kommunizieren.
Der erste Schritt ist hierbei stets die Analyse der bestehenden Verarbeitungstätigkeiten. Existiert ein umfängliches Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO sollten die bestehenden Datenverarbeitungsprozesse bereits bekannt sein. Hieran anknüpfend empfiehlt es sich zu prüfen, welche Systeme die jeweilige Verarbeitungstätigkeit unterstützen und ob Schnittstellen zu anderen Applikationen bestehen. Anschließend ist eine Kategorisierung der Verarbeiteten personenbezogenen Daten anhand der verfolgten Zwecke und der rechtlichen Grundlagen (z.B. Vertragsdurchführung, berechtigte Interessen) vorzunehmen.
Im nächsten Schritt gilt es unter Berücksichtigung der gesetzlichen Aufbewahrungspflichten (HGB, AO, SGB, ArbZG, etc.) Löschfristen zu definieren, die den Grundsätzen der Datenminimierung und der Speicherbegrenzung entsprechen. Sofern keine relevanten Aufbewahrungspflichten bestehen sollte bewertet werden, wie lange das jeweilige Datum tatsächlich für den verfolgten Zweck erforderlich ist.
Sind die Löschfristen definiert müssen diese technisch bestmöglich umgesetzt werden. Um hierbei ein befriedigendes Ergebnis zu erzielen ist es wichtig, dass alle beteiligten Funktionseinheiten des Unternehmens involviert werden. Neben der technischen Implementierung bedarf es in einigen Bereichen auch begleitender organisatorischer Maßnahmen (z.B. Erinnerung an die Löschung der Bewerbungsunterlagen aus den E-Mail-Postfächern) um die definierten Löschfristen konsistent umzusetzen.