Teil 3: Bußgeldverfahren, wirksame Maßnahmen zur Vermeidung
Wir hatten zuletzt (Teil 2) über die von den Datenschutzbehörden verhängten Bußgelder berichtet. In dem Rekordfall von 14.5 Mio. EUR hatte die zuständige Behörde explizit die „Datenfriedhöfe“ in den Systemen des Verantwortlichen moniert. Das IT-System hatte in seinem Archiv eine Löschung nicht vorgesehen, und so waren über viele Jahre hinweg im datenschutzrechtlichen Sinne nicht mehr erforderliche (Verstoß Zweckbindungsgrundsatz und Grundsatz der Speicherbegrenzung), sensible (z.B. Sozialversicherungs-) Daten gespeichert und für mit den Vorgängen nicht befasste Mitarbeiter des Verantwortlichen (Verstoß need-to-know-Prinzip) einsehbar abgelegt.
Gegen einen beliebten beliebten Kommunikationsanbieter verhängte die französische Datenschutzbehörde im Dezember 2022 ein Bußgeld in Höhe von 800 TEUR, da der Anbieter über kein Löschkonzept verfügte und auch nicht die in EG 39, S. 10 DS-GVO postulierte regelmäßige Überprüfung der Datenbestände vornahm. Aus diesem Grunde entstanden verwaiste Accounts, die zum Teil über mehrere Jahre nicht genutzt worden waren.
Die Verletzung der Datenschutzgrundsätze des Art. 5 DSGVO, wozu u.a. die Speicherbegrenzung und die Rechenschaftspflicht gehören, ist mit einem Bußgeldrisiko von bis zu 20 Mio. EUR oder 4 % des Jahresgesamtumsatzes bedroht (Art. 83 Abs. 5a DSGVO). Die Bußgeldhöhe kann sich unter anderem nach den Kategorien der unter Verletzung der einschlägigen Vorschriften weiterverarbeiteten Daten ergeben, aber auch das Fehlen von Dokumentationen einbeziehen, ferner die Anzahl der betroffenen Personen und insbesondere auch unzureichende technische und organisatorische Datenschutzmaßnahmen.
In zivilrechtlicher Hinsicht besteht über Art. 82 DSGVO die Möglichkeit, dass betroffene natürliche Personen, denen durch die unterlassene Datenlöschung oder sonstige Verstöße gegen die Verpflichtung zur Erstellung und Unterhaltung eines Löschkonzepts unmittelbare oder mittelbare Schäden entstanden sind, diese gegenüber dem Verantwortlichen geltend machen. Ihnen steht dabei eine prozessuale Privilegierung durch Beweislastumkehr zu ihren Gunsten zur Seite. Daher ist die Dokumentation eines Löschkonzepts von hoher Wichtigkeit, nicht zuletzt auch zur Beweissicherung und zur Abwehr unberechtigter Ansprüche Dritter oder seitens der Aufsichtsbehörden.
Wertvolle Orientierung geben hier – wie im Teil 1 bereits erwähnt – die DIN 66399, ferner das BSI-Grundschutzkompendium im Baustein „Löschen und Vernichten“ CON.6, das Erfordernis zur Angabe der Dauer der Datenverarbeitung im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 Abs. 1 lit. f DSGVO) und der Baustein 60 des Standarddatenschutzmodells der Datenschutzaufsichtsbehörden zur Löschung und Vernichtung von Daten.
Die Erstellung eines Löschkonzepts wird daher regelmäßig notwendig sein, um der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachzukommen.
Die e|s|b data gmbh hat nun – nach dem ersten deutschen DIN-zertifizierten Hinweisgeberschutzsystem – einen weiteren Compliance-Garanten für Unternehmen und öffentliche Verwaltung entwickelt.
Falls Sie weitere Informationen zum Thema Löschkonzept benötigen oder ein Beratungsgespräch wünschen, erreichen Sie uns unter 0711/46905830 oder info@esb-data.de