Ein bahnbrechender Bussgeld-Bescheid wurde am 5.11.2019 durch die Berliner Datenschutzbehörde erlassen. Zitat:

Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist.

Dies sind die Kerninhalte des Bescheids:

• Die fehlende Löschfunktionalität bedeutet eine Verletzung der DS-GVO
• Es wurden „strukturelle“ Mängel gebüsst, d.h. ohne Eintritt einer direkten Verletzung der Persönlichkeitsrechte
• Das Bussgeld beträgt € 14,5 Mio., ein sattlicher Betrag, auch wenn das Unternehmen Umsätze über eine Mia. erzielt
• Die Gebüsste wurde vorgängig ermahnt

Update: Das Verfahren wurde durch das Landericht Berlin aufgehoben, was wiederum von der Staatsanwaltschaft angefochten wurde (März 21).

Kommentar:

Zum ersten Mal wird die Unfähigkeit gebüsst, Daten nicht löschen zu können. Dies ist ein bemerkenswerter Entscheid, denn die Busse wurde nicht gefällt, weil konkrete Verletzungen von Persönlichkeitsrechten bestanden, sondern weil strukturelle Fehler vorhanden waren. Der Betreiber wurde gebüsst, weil er nicht in der Lage war, die Personendaten ordnungsgemäss zu löschen. Das Archivsystem war ungeeignet, um die gesetzeskonforme Löschung der Daten durchzuführen. Das ist eine wichtige Funktion eines ordnungsgemässen Archivsystems. Offenbar war die Betreiberin weder in der Lage, noch befähigt, diesen Umstand zu beheben. Das erstaunt nicht, denn ein falsch aufgesetztes Archivsystem kann nur mit sehr hohem Aufwand ordnungsgemäss konfiguriert werden. In der Regel ist es gar nicht möglich. In der Regel muss eine Migration der Daten in ein neues Archivsystem erfolgen. Auch wenn der Entscheid noch einige Fragen offen lässt, ist der insofern wegweisend, als dass die grundsätzliche Unfähigkeit, Daten zu löschen, eine grosse Busse nach sich ziehen kann. Wie ich bereits mehrfach publiziert habe, werden die Auswirkungen solcher Entscheide auf Schweizer Unternehmen nicht lange auf sich warten lassen.

Was Sie tun müssen, um solchen Strafen zu entgehen:

• Führen Sie ein Assessment Ihrer Datenschutz-Fähigkeiten durch. Testen Sie, ob Sie Daten löschen können.
• Entwerfen Sie ein Information-Governance und Daten-Governance Konzept
• Beschreiben Sie Ihre Daten und erfassen Sie sie (Taxonomie, Ontologie, Semantische Verfahren)
• Führen Sie eine Datenbereinigung durch (Data Cleanup)
• Evaluieren Sie ein richtiges Archivsystem und führen es ein
• Löschen Sie die Daten regelmässig

Umfassende Informationen zu all diesen Schritten finden Sie auf dieser Website sowie auf Matrio.swiss oder wenden Sie sich direkt an uns.