Die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk, hat die bisher höchste deutsche Strafe wegen Verstößen gegen die EU-Datenschutzgrundverordnung verhängt. Der Bußgeldbescheid in Höhe von 14,5 Millionen Euro richtet sich gegen
den Immobilienkonzern Deutsche Wohnen SE. Dieser ist bisher nicht rechtskräftig. Der Immobilienkonzern hat in einer Pressemitteilung angekünidgt, Rechtsmittel gegen den Bescheid der Behörde einzulegen. Die gerichtliche Entscheidung wird unter Datenschützern mit Spannung erwartet.
Was wird geahndet?
Aus der Pressemitteilung der Berliner Behörde geht hervor, dass es einerseits um die Verfahrensweise bei der Archivierung alter Vorgänge und die Nicht – Löschung von nicht mehr erforderlichen Daten, sowie die Speicherung von Daten ohne Prüfung, ob diese noch erforderlich sind, geht.
Maja Smoltczyk führt dazu aus, dass es sich hierbei um ein eher alltägliches Problem handelt:
„Datenfriedhöfe, wie wir sie bei der Deutschen Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen. Es ist erfreulich, dass der Gesetzgeber mit der Datenschutz-Grundverordnung die Möglichkeit eingeführt hat, solche strukturellen Mängel zu sanktionieren, bevor es zum Daten-GAU kommt. Ich empfehle allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen.“
Wie sieht es bei unseren Mandanten aus?
Auch wir stellen immer wieder fest, dass Daten nach dem Motto „besser zu viel als zu wenig“ erhoben und gespeichert werden. Der Grundsatz der Speicherbegrenzung findet kaum Beachtung, Daten werden zwar revisionssicher archiviert, über die Löschung z.B. nach Zweckwegfall macht sich jedoch kaum jemand Gedanken.
Was sollten Sie sofort tun?
Auch wenn die gerichtliche Überprüfung in diesem Fall noch aussteht, sollten Sie die Hinweise der Berliner Datenschutzbehörde ernst nehmen:
- Stellen Sie sicher, dass Sie Daten nur rechtmäßig, für einen festgelegten Zweck und auf das notwendige Maß beschränkt (Stichwort Datenminimierung) verarbeiten und speichern.
- Erstellen Sie ein Löschkonzept, um den datenschutzrechtlichen Anforderungen gerecht zu werden.
- Überprüfen Sie Ihre Datenarchivierung auf Vereinbarkeit mit der DSGVO.
Was wir für Sie tun können
Lassen Sie sich von unseren Datenschutzexperten zur DSGVO beraten: Das Recht der Betroffenen auf Löschung steht Ihrer gesetzlichen Pflicht zur Aufbewahrung entgegen. Wir helfen Ihnen ein Konzept zu erstellen, um beiden Ansprüchen gerecht zu werden.
Unsere Datenschutzprofis stehen Ihnen auch in Bezug auf Löschfristen mit Rat und Tat zur Seite und erstellen mit Ihnen ein dokumentiertes und strukturiertes Löschkonzept für Ihr Unternehmen. Denn nur so lässt sich datenschutzkonform löschen.
Wenn Sie noch Nachholbedarf bei diesen und anderen Datenschutzthemen haben, bietet Ihnen unser Datenschutzkonzept „DSGVO-Spezial“ eine schnelle Einführung eines wirksamen Datenschutz-Managementsystems. Angefangen vom grundlegenden Datenschutz-Audit über die korrekte Erstellung Ihres Verzeichnisses der Verarbeitungstätigkeiten, Dokumentation Ihrer technischen und organisatorischen Maßnahmen (TOM) bis zur Einführung wirksamer Prozesse zur Erfüllung Ihrer Informationspflicht gegenüber Betroffenen.