Mauß Datenschutz GmbH
  • Über uns
  • Hinweisgebersystem
  • Websitemonitoring
  • Kontakt
  • Blog
  • Newsletter
  • Impressum
  • Datenschutzhinweise
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
Abmahnung uwg edsa bußgeldzumessung bußgeld leitlinien 900000 löschpflicht eugh urteil anrede

Löschpflichten im Fokus: Ein teures Beispiel aus Hamburg

9. Dezember 2024/von Datenschutzbeauftragter/tma

Im November dieses Jahres verhängte die Hamburger Datenschutzaufsicht ein in ihrer Geschichte historisches Bußgeld: 900.000 Euro muss ein Unternehmen zahlen, das personenbezogene Daten länger als erlaubt gespeichert hat. Zu diesem Ergebnis kam die Aufsicht im Rahmen einer branchenweiten Schwerpunktprüfung marktstarker Unternehmen des Forderungsmanagements. Hierzu setzte die Aufsicht Fragebögen ein und forderte umfangreiche Dokumente zu den datenschutzrelevanten Prozessen bei den Unternehmen an wie etwa das Verzeichnis der Verarbeitungstätigkeiten, die technischen und organisatorischen Maßnahmen und Musterschreiben für die Bearbeitung von Anfragen betroffener Personen. In einigen Fällen fanden im Anschluss an die Prüfung per Fragebogen auch Prüfungen in den Geschäftsräumen der Unternehmen statt.

Das Unternehmen, um das es in diesem Artikel geht und das bislang namentlich nicht bekannt wurde, hatte hunderttausende Datensätze mit personenbezogenen Daten deutlich über die gesetzliche Aufbewahrungsfrist hinaus gespeichert. Zwar handelte es sich bei den betroffenen Daten nicht um Daten, die den besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO zuzurechnen sind. Die besondere Sensibilität der Daten, die im Rahmen von Inkassoverfahren verarbeitet werden, dürfte dennoch auf der Hand liegen.

Aufgrund der hohen Sensibilität dieser personenbezogenen Daten und der großen Zahl betroffener Personen hat der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit (HmbBfDI) ein Bußgeld in Höhe von 900.000 Euro verhängt, das vom Unternehmen akzeptiert wurde und mittlerweile rechtskräftig ist.

Die Höhe des Bußgelds dürfte sich an dem Risiko für die betroffenen Personen und großen Menge gespeicherter Daten orientiert haben. Gleichwohl wurde die „professionelle“ Zusammenarbeit des Unternehmens mit dem HmbBfDI bei der Bußgeldbemessung berücksichtigt. Es hätte folglich ein weitaus höheres Bußgeld ausgesprochen werden können. Hieran zeigt sich einmal mehr, dass die Zusammenarbeit mit der Datenschutzaufsicht nicht nur wegen Art. 31 DSGVO angeraten ist.

Probleme beim Löschen

Auch wenn derart umfangreiche Verstöße hoffentlich die Ausnahme bilden, so ist dennoch auch bei Verstößen im kleineren Maßstab eine Sanktionierung durch die Aufsichtsbehörden möglich. Umso wichtiger bleibt es, die Löschfristen im Verzeichnis der Verarbeitungstätigkeiten (siehe Art. 30 Abs. 1 DSGVO) klar zu benennen und anschließend konsequent umzusetzen, um so vermeidbare Bußgelder abzuwenden. Im Rahmen unserer Beratungstätigkeit behandeln wir dieses Thema ausgesprochen häufig mit unseren Mandantinnen und wissen auch um die praktischen Schwierigkeiten bei der Umsetzung.

Die Löschfrist muss bestimmt werden

Zum einen sind die gesetzlich vorgeschriebenen Aufbewahrungspflichten, die als Rechtsgrundlage für die Verarbeitung nach Art. 6 Abs. 1 lit. c DSGVO dienen, nicht leicht zu überblicken. Sie können sich beispielsweise aus dem Handelsrecht, dem Steuerrecht oder dem Arbeitsrecht ergeben. Daneben sind spezialgesetzliche Regelungen zu berücksichtigen.

Und als wäre die Prüfung der Anwendbarkeit einer bestimmten Aufbewahrungspflicht noch nicht kompliziert genug, kommen mitunter auch Änderungen an diesen Fristen hinzu, wie wir am Beispiel des Bürokratieentlastungsgesetzes hier beleuchtet haben.

Unter Umständen kann es auch nötig sein, personenbezogene Daten zu speichern, auch wenn keine explizite Aufbewahrungspflicht existiert. So haben Bewerber*innen beispielsweise nach § 15 des Allgemeinen Gleichbehandlungsgesetzes (AGG) die Möglichkeit, innerhalb von zwei Monaten Ansprüche wegen Benachteiligung geltend zu machen. Würde der Verantwortliche die Daten vor Ablauf der Frist löschen, würde ihn dies seiner Nachweismöglichkeiten in einem diesbezüglichen Gerichtsverfahren berauben. Hierbei ist entscheidend, dass das AGG, sofern Indizien vorliegen, dass eine Benachteiligung stattgefunden hat die Beweislast zu Lasten des Arbeitgebers umkehrt, dieser also beweisen muss, dass keine Benachteiligung vorlag. Insofern kann eine Speicherung der Daten bis zum Ablauf eventueller Forderungsfristen auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Das berechtigte Interesse besteht hierbei darin, eine gegebenenfalls vorgebrachte Benachteiligung widerlegen zu können.

Die Löschfrist muss dokumentiert werden

Sind die gesetzlichen Aufbewahrungspflichten identifiziert, so schreibt Art. 30 Abs. 1 DSGVO vor, dass die „vorgesehenen Fristen für die Löschung“ im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden. Dies ist zum einen zur Erfüllung der gesetzlichen Anforderung geboten, andererseits aber auch sinnvoll, um als Verantwortlicher einen Überblick der einzuhaltenden Löschfristen zu haben.

Zu beachten bleibt hierbei, dass die Löschfristen für jede Verarbeitung getrennt bestimmt werden müssen. Daraus resultiert auch, dass unter Umständen dieselben Daten für eine Verarbeitung noch genutzt werden dürfen, wohingegen sie im Rahmen einer anderen Verarbeitung zu löschen wären. Um diesen rechtlichen Rahmenbedingungen gerecht zu werden, ist die Trennung der Daten nach Verarbeitungen schon bei der technischen Gestaltung angeraten (Art. 25 DSGVO).

Anhand der im Verzeichnis der Verarbeitungstätigkeiten festgelegten Löschfristen sollte der Verantwortliche regelmäßig überprüfen, ob diese mit den gesetzlichen Anforderungen übereinstimmen oder sich Anpassungsbedarf ergibt (siehe Bürokratieentlastungsgesetz).

Es gibt nicht  nur gesetzliche Aufbewahrungsfristen

Neben den gesetzlichen Aufbewahrungsfristen können sich die Löschfristen auch anderweitig bestimmen. Beispielsweise, wenn personenbezogene Daten auf Basis eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) verarbeitet werden. In diesen Fällen existiert häufig keine gesetzliche Verpflichtung, die Daten aufzubewahren. Dennoch müssen auch diese irgendwann gelöscht werden. Hier richtet sich die Löschpflicht üblicherweise nach dem zu erreichenden berechtigten Interesse. Werden die Daten hierfür nicht mehr benötigt, sind sie zu löschen.

Ist die Rechtsgrundlage ein Vertrag, bei dem die betroffene Person Vertragspartei ist (Art. 6 Abs. 1 lit. b DSGVO), richtet sich die Löschfrist üblicherweise nach der Vertragsdauer. Hier kommt allerdings sehr häufig auch noch das Thema „Verjährungsfristen“ ins Spiel. Sind bestimmte Ansprüche verjährt, werden die zu Nachweiszwecken gespeicherten Daten unter Umständen nicht mehr benötigt – und müssen dann gelöscht werden.

Die Löschfrist muss umgesetzt werden

Außerdem kann die Umsetzung der zuvor bestimmten Löschfristen problematisch sein, da zwei in Teilen widerstreitende Anforderungen der DSGVO zu erfüllen sind. Grundsätzlich gilt das Verbot der Verarbeitung mit Erlaubnisvorbehalt aus Art. 6 DSGVO. Es muss also für jede Verarbeitung (und hierzu zählt bereits die reine Speicherung in einem Dateisystem) eine entsprechende Rechtsgrundlage existieren.

Gleichzeitig fordert Art. 5 Abs. 1 lit. f DSGVO den Schutz der personenbezogenen Daten vor „unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“, wobei in den meisten Unternehmen Backups einen Bestandteil zur Erfüllung dieser Vorschrift darstellen. Zur Erfüllung der Löschpflicht muss eigentlich auch aus den Backups gelöscht werden. Dies ist jedoch schwierig bis unmöglich, da die eingesetzten Systeme eine selektive Löschung üblicherweise nicht hergeben und es auch die Integrität der Backups gefährden würde. Diesem Thema haben wir vor einiger Zeit bereits einen eigenen Artikel gewidmet.

Fazit

Schlussendlich müssen wir feststellen, dass die Umsetzung der Löschfristen für Verantwortliche eine große Herausforderung ist. Auf die leichte Schulter darf die Anforderung dennoch nicht genommen werden, wie das Bußgeld des HmBfDI deutlich macht. Wir empfehlen, sich im Falle von Fragen zu Löschfristen und deren technischer sowie organisatorischer Umsetzung frühzeitig an Ihre*n Datenschutzbeauftragte*n zu wenden, um das Risiko für Verstöße und die damit verbundenen Bußgelder signifikant zu verringern.

Grundsätzlich müssen die im Verzeichnis für Verarbeitungstätigkeiten niedergeschriebenen Angaben auch im Unternehmen gelebt werden und deren Umsetzung sichergestellt sein. Für die diesbezügliche Überprüfung können (sollten!) Sie sich ebenfalls vertrauensvoll an Ihre*n Datenschutzbeauftragte*n wenden.

https://datenschutzbeauftragter-hamburg.de/wp-content/uploads/2020/12/argument-238529-scaled.jpg 1707 2560 Datenschutzbeauftragter/tma /wp-content/uploads/2016/06/datenschutz_hamburg_logo.png Datenschutzbeauftragter/tma2024-12-09 16:12:072024-12-10 11:18:51Löschpflichten im Fokus: Ein teures Beispiel aus Hamburg
Das könnte Sie auch interessieren
Datenschutzerklärung Datenschutzhinweise nur auf englisch LG Hamburg: Datenschutzhinweise müssen in der Sprache der Nutzer*innen geschrieben sein
Privacy by Design und Privacy by Default
auftragsverarbeitung kontrolle juristische person als datenschutzbeauftragter Auftragsverarbeitung – Kontrolle der (Unter-)Auftragnehmer
aufsichtsbehörde prüft rechtsgrundlage öffentliches interesse öffentliche gewalt hoheitliche aufgabe 6 1 e dsgvo tom passwörter bsi risikoanalyse zawas kontrollpflicht auftragsverarbeitung awareness awarenesskampagnen Der Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS)
KI-VO Serie zur KI-Verordnung: KI-Kompetenz und verbotene Praktiken
private nutzung emails zugriff arbeitgeber Datenschutz im Beschäftigungsverhältnis: Wann dürfen Arbeitgeber auf E-Mails, Logs und Dateien zugreifen?

Bitte beachten Sie

Unsere Beiträge sind stets als allgemeine Information zu verstehen. Sie stellen die persönliche Meinung der jeweiligen Autor*innen dar und können eine professionelle Datenschutzberatung nicht ersetzen. Für die Korrektheit übernehmen wir keine Gewähr. Alle Informationen basieren auf unserem Wissensstand zum Zeitpunkt der Veröffentlichung. Sie können möglicherweise durch Rechtsprechung, Aussagen der Aufsichtsbehörden zum Datenschutz, geänderte Gesetzgebung oder ähnliches nicht mehr aktuell sein. Dies gilt insbesondere mit zunehmendem zeitlichen Abstand zum Veröffentlichungszeitpunkt.

Melden Sie sich für unseren kostenlosen Newsletter an

Abonnieren Sie unseren kostenlosen Newsletter.

Selbstverständlich können Sie sich jederzeit wieder abmelden. Für alle weiteren Details beachten Sie bitte unsere Datenschutzhinweise.

Sie erhalten in den nächsten Minuten eine E-Mail mit einem Bestätigungs-Link. Bitte prüfen Sie Ihren Posteingang und ggf. auch den Spamordner. Bitte klicken Sie den Bestätigungs-Link an, um Ihr Abonnement zu bestätigen. Erst danach ist das Abonnement aktiv. Vielen Dank für Ihr Interesse an unserem Newsletter. Mauß Datenschutz GmbH

Suchen

Search Search

Kontakt

Mauß Datenschutz GmbH

Neuer Wall 10
20354 Hamburg

Telefon:
040 / 999 99 52-0

Rechtliches

Impressum
Datenschutzhinweise

© Copyright Mauß Datenschutz GmbH | Datenschutz | Impressum | Kontakt         
Link to: Erteilung der datenschutzrechtlichen Auskunft mittels eines Online Self-Service-Tools Link to: Erteilung der datenschutzrechtlichen Auskunft mittels eines Online Self-Service-Tools Erteilung der datenschutzrechtlichen Auskunft mittels eines Online Self-Ser...Telemetriedaten microsoft 365 dsk verboten auskunft selfservice tool online Link to: Google reCAPTCHA – interessante Entscheidung des Bundesverwaltungsgerichts Österreich (ÖBVwG) Link to: Google reCAPTCHA – interessante Entscheidung des Bundesverwaltungsgerichts Österreich (ÖBVwG) Google reCAPTCHA – interessante Entscheidung des Bundesverwaltungsgerichts...
Nach oben scrollen Nach oben scrollen Nach oben scrollen