Schlagwort: Löschpflichten

Daten werde in einem Shredder vernichtet

900.000 Euro Bußgeld wegen nicht gelöschter Daten

Weil personenbezogene Daten trotz abgelaufener Löschfristen bis zu fünf Jahre unrechtmäßig gespeichert wurden, verhängte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) von einem Verantwortlichen ein Bußgeld in Höhe von 900.000 Euro.

 

Hintergrund: Datenschutzprüfung im Forderungsmanagement

 

Der Verstoß kam ans Licht, als der HmbBfDI eine Schwerpunktprüfung bei marktführenden Unternehmen der Branche durchführte. Hamburg gilt als bedeutender Standort im Bereich  des Forderungsmanangents, weshalb der Umgang mit sensiblen Schuldnerdaten besonders kritisch betrachtet wird. Die erhobenen Daten, darunter oft Informationen zu Zahlungsausfällen, werden häufig an Dritte wie Auskunfteien oder Adressermittlungsdienste weitergegeben. Deshalb ist es essenziell, dass Unternehmen solche Daten mit größter Sorgfalt behandeln.

 

Im Rahmen der Prüfung wurden die Prozesse zur Datenspeicherung und -verarbeitung systematisch untersucht. Die betroffenen Unternehmen mussten umfassende Fragebögen ausfüllen und Dokumente wie Sicherheitskonzepte, Verzeichnisse von Verarbeitungstätigkeiten und Standarddokumente vorlegen. Ergänzend dazu führte der HmbBfDI Vor-Ort-Kontrollen durch.

 

Ergebnisse: Professionell, aber mit Schwachstellen

 

Die meisten geprüften Unternehmen zeigten ein hohes Maß an Professionalität und waren offen für Verbesserungen. Besonders die Transparenz gegenüber Betroffenen wurde gestärkt, etwa durch präzisere Auskunftsprozesse nach Artikel 15 der Datenschutz-Grundverordnung (DSGVO).

 

Ein Unternehmen fiel jedoch negativ auf: Bei einer Vor-Ort-Prüfung stellte sich heraus, dass personenbezogene Daten in erheblichem Umfang gespeichert blieben, obwohl die Löschfristen längst abgelaufen waren. Eine sechsstellige Zahl an Datensätzen wurde bis November 2023 ohne rechtliche Grundlage aufbewahrt. Der Verstoß gegen die DSGVO war damit eindeutig. Zwar wurden die Daten nicht an Dritte weitergegeben, doch das Unternehmen hielt sie teilweise bis zu fünf Jahre länger als erlaubt in seiner Datenbank vor.

 

Konsequenzen: Rechtskräftiges Bußgeld und Aufarbeitung

 

Für diesen Verstoß verhängte der HmbBfDI ein Bußgeld von 900.000 Euro. Das betroffene Unternehmen erkannte den Fehler an, akzeptierte die Strafe und kooperierte umfassend mit der Behörde. Diese kooperative Haltung wurde bei der Höhe des Bußgeldes berücksichtigt.

 

Ein ähnlicher Fall bei einem weiteren Unternehmen wurde ebenfalls festgestellt. Das entsprechende Verfahren ist jedoch noch nicht abgeschlossen.

 

Klare Worte vom Datenschutzbeauftragten

 

Thomas Fuchs, der Hamburgische Datenschutzbeauftragte, betonte:

„Daten, die nicht mehr benötigt werden, müssen unverzüglich oder spätestens nach festgelegten Fristen gelöscht werden. Unternehmen müssen schon bei der Erhebung klar definieren, welche Daten wie lange gespeichert werden dürfen. Ein fehlendes oder inkohärentes Löschkonzept ist in der heutigen datengetriebenen Wirtschaft nicht hinnehmbar.“

 

Fazit: Ein Weckruf für Unternehmen

 

Der Fall zeigt, wie wichtig es ist, Löschpflichten ernst zu nehmen und systematisch umzusetzen. Ein Löschkonzept ist dabei unerlässlich, um personenbezogene Daten rechtskonform zu verwalten und die Anforderungen der DSGVO zu erfüllen. Es stellt sicher, dass Daten nach Ablauf festgelegter Fristen sicher gelöscht werden und minimiert so das Risiko von Datenschutzverstößen. Unternehmen ohne klares Löschkonzept laufen Gefahr, Bußgelder zu riskieren und das Vertrauen ihrer Kunden zu verlieren.

 

Rechtsanwalt Robert Harzewski

Betroffenenrechte im Meldeverfahren

Betroffenenrechte im Meldeverfahren

Hinweisgeberschutz versus Datenschutz: Einschränkungen der Betroffenenrechte im Meldeverfahren

Kernidee des neuen Hinweisgeberverfahrens in der internen Meldestelle ist die Wahrung der Vertraulichkeit. Die Identität der hinweisgebenden Person und der Person, über die eine Meldung gemacht wird, sollen nur der Meldestelle bekannt werden. Dieses Prinzip kollidiert an einigen Stellen mit den Leitlinien des Datenschutzes. Denn grundsätzlich ist die Erhebung und Speicherung von personenbezogenen Daten ohne Wissen des Betroffenen nur unter hohen Anforderungen rechtmäßig. Deshalb müssen die Prozesse in der internen Meldestelle datenschutzrechtlich genau geprüft werden.

 

Datenschutzfolgeabschätzung bei Einrichtung der internen Meldestelle

In der internen Meldestelle kommen zahlreiche personenbezogene Daten zusammen, beispielsweise über den Hinweisgeber, aber auch über Personen im Unternehmen und entsprechende Sachverhalte. Im Sinne der Vertraulichkeit müssen diese Daten besonders geschützt werden. Die Verarbeitung beruht auf der Rechtsgrundlage des § 10 HinSchG. Hier wird ausdrücklich erlaubt, dass auch besondere Kategorien personenbezogener Daten verarbeitet werden, also solche, die Auskunft geben etwa über Geschlecht, Religionszugehörigkeit, Gesundheit oder politischer Gesinnung. Allerdings sind dann spezifische und angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzunehmen. Der Verweis auf § 22 Abs. 2 S. 2 BDSG bedeutet, dass entsprechende technische und organisatorische Maßnahmen den Schutz der personenbezogenen Daten gewährleisten müssen. Die hohen Risiken für die Betroffenen, deren personenbezogene Daten verarbeitet werden, müssen also entsprechend berücksichtigt werden bei der Gestaltung des Meldeprozesses. Die Risiken sollten erkannt, bewertet und bestenfalls eingedämmt werden.

Hierfür ist eine Datenschutzfolgeabschätzung im Vorfeld ratsam, um spätere Bußgelder zu vermeiden. Um die Betroffenenrechte im Meldeverfahren sicherzustellen, raten die Aufsichtsbehörden ebenfalls dazu, bei der Einrichtung einer internen Meldestelle eine DSFA nach Art. 35 DSGVO durchzuführen.

 

Betroffenenrechte: Informationspflicht, Auskunftsanspruch, Anspruch auf Löschung

Grundsätzlich gewährt die DSGVO dem Betroffenen Ansprüche auf Information darüber, dass seine personenbezogenen Daten verarbeitet werden (Art. 14 Abs. 1 DSGVO), eine Auskunft über die Herkunft der Daten (Art. 15 I lit g) DSGVO) und einen Anspruch auf die Löschung der Daten (Art. 17 Abs. 1 DSGVO). Diese Ansprüche werden im Meldeverfahren teilweise zugunsten des Hinweisgeberschutzes ausgehebelt.

 

Informationspflicht Art. 14 Abs. 1 DSGVO

Geht bei der internen Meldestelle ein Hinweis ein, in dem personenbezogene Daten eines Beschäftigten an die Meldestelle weitergegeben werden, müsste der Betreiber der Meldestelle dies an den betroffenen Beschäftigten melden, gem. Art. 14 Abs. 1 DSGVO. Das würde aber dem Vertraulichkeitsgebot des § 8 HinSchG widersprechen. Zudem könnte es auch unmöglich machen, dass die Meldung ordentlich bearbeitet werden kann, da der Betroffene womöglich Beweise vernichtet oder auf andere Weise die Aufklärung des Vorfalles verhindert.  Deshalb erlaubt Art. 14 Abs. 5 lit b) DSGVO eine Ausnahme: Die Information, dass seine personenbezogenen Daten verarbeitet werden, kann dem Beschäftigten vorenthalten werden, wenn sie „voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt“. Solange also zu befürchten ist, dass die Meldung nicht zielführend bearbeiten werden könnte, muss der Betroffene nicht informiert werden. Wenn dieser Grund aber wegfällt, greift wieder die Aufklärungspflicht aus der DSGVO. Beispielsweise, weil der Beschäftigungsgeber mit dem Betroffenen über die Vorwürfe gesprochen hat.

 

Auskunftsanspruch aus Art. 15 Abs. 1 lit g) DSGVO

Werden personenbezogene Daten verarbeitet, die nicht beim Betroffenen erhoben wurden, so kann der Betroffene Auskunft über die Herkunft der Daten verlangen. Er hat grundsätzlich das Recht, zu wissen, woher die Daten über ihn stammen. Die Offenlegung würde aber den Hinweisgeber entlarven und damit dem Prinzip der Vertraulichkeit im Hinweisgeberschutzgesetz zuwiderlaufen. Dieser Interessenskonflikt wird über § 29 Abs. 1 S.2 BDSG aufgelöst, der die Auskunftspflicht ausnahmsweise ablehnt, wenn eine Rechtsvorschrift dem entgegensteht wegen überwiegenden Interessen Dritter. Eine solche Rechtsvorschrift findet sich in § 8 HinSchG, der die Vertraulichkeit der hinweisgebenden Person höher gewichtet als den Auskunftsanspruch des Betroffenen. Andernfalls wäre der Hinweisgeber immer in Gefahr, dass seine Identität preisgegeben wird, wenn er eine Meldung macht, bei denen Personen eines Betriebes benannt werden.

 

Anspruch auf die Löschung der Daten Art. 17 Abs. 1 DSGVO

Der Betroffene kann seinen Anspruch auf Löschung seiner personenbezogenen Daten in der Meldestelle nicht durchsetzen, solange eine Verarbeitung seiner Daten noch stattfindet. Dies ergibt sich aus Art. 17 Abs. 1 a) DSGVO. Alle Informationen über das Meldeverfahren, und damit auch die von der Meldung betroffenen personenbezogenen Daten, müssen darüber hinaus 3 Jahre aufbewahrt werden (vgl. § 11 Ab. 5 HinSchG). Solange läuft der Anspruch des Betroffenen auf Löschung ins Leere.

 

Rechtsanwalt Robert Harzewski

Löschflicht für jedes Datum

Löschflicht für jedes Datum

Im Regelfall werden Unterlagen (z. B. Aufträge, Auftragsbestätigungen, Lieferscheine, Frachtbriefe oder Rechnungen) gemäß der Aufbewahrungspflichten nach Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 147 AO einheitlich abgespeichert. Hiernach ist die weitere Speicherung der Unterlagen rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der Verantwortliche unterliegt.

Vor dem Oberlandesgericht Dresden (Urteil vom 14.12.2021, Az.: 4 U 1278/21) war nun die spannende Frage zu beantworten, ob nicht rechtmäßig erhobenen Daten im Rahmen der gesetzlichen Aufbewahrungspflichten weiter gespeichert werden können oder gelöscht werden müssen. Müssen also bei der Löschpflicht nur das entsprechende Dokument oder jedes einzelne darin enthaltene Datum betrachtet werden?

Nach Auffassung des Gerichts kommt es bei der Betrachtung der Löschpflicht nicht auf ein Dokument als Gesamtheit aller darin enthaltenen Daten, sondern auf jedes einzelne Datum an. Daher lassen sich nicht rechtmäßig erhobene Daten nicht über die Aufbewahrungspflichten rechtfertigen. Im Umkehrschluss ist somit für jedes in einem Dokument enthaltene Datum eine Rechtsgrundlage für die Speicherung zu prüfen.

Unabhängig von der gesetzlichen Aufbewahrungspflicht müssten so zum Beispiel der Name, die Anschrift und das Geburtsdatum, also Daten, mit denen eine eindeutige Identifikation möglich ist, gelöscht werden.

Nach Auffassung des Gerichts seien Datenbestände so zu organisieren, dass nur auf die aufzeichnungspflichtigen - und aufbewahrungspflichtigen Daten zugegriffen werden kann. Dies kann z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen. Auf der geschäftlichen Korrespondenz können die Daten, die eine Identifizierung seiner Person erlauben, geschwärzt werden.

Die Entscheidung dürfte das ein oder andere Löschkonzept auf den Kopf stellen. In der Regel werden Löschfristen bislang anhand von Dokumenten und deren Aufbewahrungspflichten gebildet. Die Betrachtung jedes einzelnen Datums könnte einen nicht unerheblichen Mehraufwand bedeuten.

 

Rechtsanwalt Robert Harzewski