Datenminimierung und Löschkonzepte

In Dänemark wurde von der zuständigen Aufsichtsbehörde wegen unzureichender Löschung und mangelhafter Dokumentation ein Sanktionsverfahren gegen einen Taxi-Plattform-Betreiber eingeleitet. Darin empfiehlt die Aufsichtsbehörde dem zuständigen Gericht (in Dänemark verhängt nicht die Aufsichtsbehörde das Bußgeld, sondern empfiehlt dem zuständigen Gericht die Höhe der zu verhängenden Strafe) das Verhängen eines Bußgelds in Höhe von ca. 160.000 Euro.

Verstoß gegen die Grundprinzipien der Datenminimierung und der Speicherbegrenzung

Das empfohlene Bußgeld begründet die dänische Datenschutzbehörde damit, dass das Unternehmen gegen die Grundprinzipien der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) verstoßen habe. Presseberichten zufolge erhob das Taxiunternehmen den Namen, die Telefonnummer, die Standortdaten und/ oder Adressen sowie die Zeitpunkte des Ein- und Ausstiegs.

Anonymisierungsverfahren mangelhaft

Der Aufsichtsbehörde gegenüber gab das Unternehmen an, die personenbezogenen Daten nach zwei Jahren zu löschen. Tatsächlich nahm das Unternehmen nach diesem Zeitraum keine Löschung vor, sondern führte eine Anonymisierung der Daten durch. Hierfür löschte das Unternehmen den Namen des Kunden aus dem ERP-System, ohne aber zu berücksichtigen, dass mit den noch vorhandenen Daten wie der Adresse und der Telefonnummer ein Personenbezug mit nur geringem Aufwand wiederhergestellt werden konnte.

Die Aufsichtsbehörde sah in dem Verfahren folgerichtig keine Anonymisierung und damit auch keine Löschung der Daten gemäß DSGVO als gegeben an. Auch die grundlose Speicherung der weiterhin verfügbaren Daten für weitere drei Jahre war für die Behörde Anlass zur Kritik. Im Rahmen der Untersuchung stellte sie fest, dass das Unternehmen Fahrten-Daten von über acht Millionen Taxifahrten gespeichert hatte, die länger als zwei Jahre zurücklagen. Interessant ist, dass die dänische Datenschutzbehörde von dem Unternehmen fordert, die Daten auch in den Backups zu löschen und es verpflichtet, nachweisen zu können, dass geeignete Maßnahmen ergriffen werden, um dies sicherzustellen.

Fazit

Verstöße gegen die Grundprinzipien des Datenschutzes (Art. 5 DSGVO) können mit einem Bußgeld von bis zu 4 Prozent des weltweiten Gesamtjahresumsatzes geahndet werden. Unternehmen sollten daher ein besonderes Augenmerk auf die Entwicklung und Umsetzung eines Löschkonzeptes legen, welches sicherstellt, dass personenbezogene Daten nur solange verarbeitet werden, wie diese für die jeweiligen Zwecke erforderlich sind.

Auch in Deutschland kontrolliert das Bayrische Landesamt für Datenschutzaufsicht aktuell Löschroutinen bei größeren Unternehmen. Im Fokus steht das konforme und fristgerechte Löschen von personenbezogenen Daten in ERP-Systemen.