Dänische Aufsichtsbehörde empfiehlt Bußgeld von über 160.000 Euro

Dienstag, 30. April 2019

Ein aktuelles Bußgeldverfahren in Dänemark zeigt, wie wichtig es für Unternehmen ist, ein passgenaues Löschkonzept zu entwickeln. Die dänische Datenschutzbehörde hat wegen mangelhafter Löschroutinen ein Sanktionsverfahren gegen den Taxi-Plattform-Betreiber Taxa 4×35 eingeleitet.

Darin empfiehlt die Aufsichtsbehörde dem zuständigen Gericht (in Dänemark verhängt nicht die Aufsichtsbehörde das Bußgeld, sondern empfiehlt dem zuständigen Gericht die Höhe der zu verhängenden Strafe) das Verhängen eines Bußgelds in Höhe von knapp 161.000 Euro.

Verstoß gegen die Grundprinzipien der Datenminimierung und der Speicherbegrenzung

Das empfohlene Bußgeld begründet die dänische Datenschutzbehörde damit, dass das Unternehmen gegen die Grundprinzipien der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) verstoßen habe. Presseberichten zufolge erhob Taxa 4x35 den Namen, die Telefonnummer, die Standortdaten und/ oder Adressen sowie die Zeitpunkte des Ein- und Ausstiegs.

Anonymisierungsverfahren mangelhaft

Der Aufsichtsbehörde gegenüber gab das Unternehmen an, die personenbezogenen Daten nach zwei Jahren zu löschen. Tatsächlich nahm das Unternehmen nach diesem Zeitraum keine Löschung vor, sondern führte eine (vermeintliche) Anonymisierung der Daten durch. Hierfür löschte das Unternehmen den Namen des Kunden aus dem ERP-System, ohne aber zu berücksichtigen, dass mit den noch vorhandenen Daten wie der Adresse und der Telefonnummer ein Personenbezug mit nur geringem Aufwand wiederhergestellt werden konnte.

Die Aufsichtsbehörde sah in dem Verfahren folgerichtig keine Anonymisierung und damit auch keine Löschung der Daten gemäß DSGVO als gegeben an. Auch die grundlose Speicherung der weiterhin verfügbaren Daten für weitere drei Jahre war für die Behörde Anlass zur Kritik. Im Rahmen der Untersuchung stellte sie fest, dass das Unternehmen Fahrten-Daten von über acht Millionen Taxifahrten gespeichert hatte, die länger als zwei Jahre zurücklagen.

Löschung auch im Backup

Brisant ist, dass die dänische Datenschutzbehörde von dem Unternehmen fordert, die Daten auch in den Backups zu löschen und es verpflichtet, nachweisen zu können, dass geeignete Maßnahmen ergriffen werden, um dies sicherzustellen.

Löschkonzept

Verstöße gegen die Grundprinzipien des Datenschutzes (Artikel 5 DSGVO) können mit einem Bußgeld von bis zu 4 Prozent des weltweiten Gesamtjahresumsatzes geahndet werden. Unternehmen sollten daher ein besonderes Augenmerk auf die Entwicklung und Umsetzung eines Löschkonzeptes legen, welches sicherstellt, dass personenbezogene Daten nur solange verarbeitet werden, wie diese für die jeweiligen Zwecke erforderlich sind.

Auch in Deutschland kontrolliert das Bayrische Landesamt für Datenschutzaufsicht aktuell Löschroutinen bei größeren Unternehmen. Im Fokus steht das konforme und fristgerechte Löschen von personenbezogenen Daten in ERP-Systemen. (fl)

Quellen:

Datenschutz notizen vom 25.04.2019: Datenminimierung und Löschkonzepte – Aufsichtsbehörde in Dänemark empfiehlt Bußgeld von über 160.000€

Gorrissen Federspiel vom 27.03.2019: Recommended fine of DKK 1.2 million to Taxa 4x35 for violation of the GDPR

DQM GRC (ohne Datumsangabe): Taxi firm fined heavily under GDPR for data retention