Das am 30. Oktober 2019 verhängte Bußgeld in Höhe von 14,5 Millionen Euro an die Deutsche Wohnen SE stellt bisher das höchste in Deutschland verhängte Bußgeld aufgrund von Datenschutzverstößen dar.
Ausgesprochen wurde das Bußgeld weil das Archivsystem der Deutsche Wohnen SE erhebliche Mängel aufwies. In Anlehnung an die Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit heißt es: „Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen.“ Darüber hinaus wurde bemängelt, dass eine Speicherung von personenbezogene Daten ohne Überprüfung der Zulässigkeit oder Erforderlichkeit stattfindet.
Der Datenschutzspezialist Stephan Böttger hat seit Einführung der EU-DSGVO eine Vielzahl von Audits rund um das Thema Datenschutz und IT-Sicherheit durchgeführt. Entsprechend der Prüfergebnisse mussten er oftmals feststellen, dass Organisationen zu einer sorglosen Datensammlung neigen und zudem überwiegend kein Löschkonzept vorweisen können obwohl die datenschutzrechtlichen Anforderungen bereits vor Einführung der EU-DSGVO galten.
Dies ist natürlich auch im Bereich der elektronischen Archivierung ein wichtiges Thema. Vor Einführung der EU-DSGVO standen hauptsächlich die handelsrechtlichen Anforderungen im Vordergrund und es ging darum, sicherzustellen, dass die Dokumente nicht vor Ablauf der gesetzlichen Aufbewahrungsfrist gelöscht oder geändert werden können. Die Archivierungssysteme sahen daher oftmals gar keine Möglichkeit vor Belege löschen zu können. Unter Berücksichtigung datenschutzrechtlicher Anforderungen ist es wichtig bei der Einführung von elektronischen Archivierungsverfahren auch direkt ein Löschkonzept zu erstellen. Hierzu zählt die Aufteilung von unterschiedlichen Belegarten (z.B. Rechnungen, Bewerbungsunterlagen) in unterschiedliche Speicherbereiche aufgrund unterschiedlicher Zugriffsrechte als Aufbewahrungsfristen. Es muss auch immer beurteilt werden, ob es für die jeweilige Belegart eine gesetzliche Aufbewahrungsfrist gibt, die ggf. die persönlichen Löschwünsche eines Betroffenen überwiegen. Wir empfehlen daher immer eine genaue Definition der Belegarten mit darauf enthaltenen personenbezogenen Daten und Rücksprache mit dem Datenschutzspezialisten.
Dem Bußgeld unterliegt das Berechnungsmodell, welches im Oktober veröffentlicht wurde und Sanktionen in Millionenhöhe wahrscheinlicher werden lässt. Dieses Modell versteht sich als ein gestuftes Berechnungsverfahren, welches in den ersten Berechnungsschritten den Bußgeldrahmen auf Grundlage der wirtschaftlichen Finanzkraft des Unternehmens ermittelt. Der letzte Berechnungsschritt dient der Anpassung des Bußgeldrahmens und berücksichtigt verschiedene Umstände wie beispielsweise eine drohende Zahlungsunfähigkeit, Ausmaß des Schadens, Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes.
Quelle: Pressemitteilung
Neueste Kommentare