Bußgeldverfahren, wirksame Maßnahmen zur Vermeidung
Wir hatten zuletzt (siehe: Teil 2) über die von den Datenschutzbehörden verhängten Bußgelder berichtet. In dem Rekordfall von 14,5 Mio. EUR hatte die zuständige Behörde explizit die „Datenfriedhöfe“ in den Systemen des Verantwortlichen moniert.
Das IT-System hatte in seinem Archiv eine Löschung nicht vorgesehen, und so waren über viele Jahre hinweg im datenschutzrechtlichen Sinne nicht mehr erforderliche (Verstoß Zweckbindungsgrundsatz und Grundsatz der Speicherbegrenzung), sensible (z.B. Sozialversicherungs-) Daten gespeichert und für mit den Vorgängen nicht befasste Mitarbeiter des Verantwortlichen (Verstoß need-to-know-Prinzip) einsehbar abgelegt.
Die Verletzung der Datenschutzgrundsätze des Art. 5 DSGVO, wozu u.a. die Speicherbegrenzung und die Rechenschaftspflicht gehören, ist mit einem Bußgeldrisiko von bis zu 20 Mio. EUR oder 4 % des Jahresgesamtumsatzes bedroht (Art. 83 Abs. 5a DSGVO).
Die Bußgeldhöhe kann sich unter anderem nach den Kategorien der unter Verletzung der einschlägigen Vorschriften weiterverarbeiteten Daten ergeben, aber auch das Fehlen von Dokumentationen einbeziehen, ferner die Anzahl der betroffenen Personen und insbesondere auch unzureichende technische und organisatorische Datenschutzmaßnahmen.
In zivilrechtlicher Hinsicht besteht über Art. 82 DSGVO die Möglichkeit, dass betroffene natürliche Personen, denen durch die unterlassene Datenlöschung oder sonstige Verstöße gegen die Verpflichtung zur Erstellung und Unterhaltung eines Löschkonzepts unmittelbare oder mittelbare Schäden entstanden sind, diese gegenüber dem Verantwortlichen geltend machen.
Ihnen steht dabei eine prozessuale Privilegierung durch Beweislastumkehr zu ihren Gunsten zur Seite. Daher ist die Dokumentation eines Löschkonzepts von hoher Wichtigkeit, nicht zuletzt auch zur Beweissicherung und zur Abwehr unberechtigter Ansprüche Dritter oder seitens der Aufsichtsbehörden.
Wertvolle Orientierung geben hier – wie im Teil 1 bereits erwähnt – die DIN 66399, ferner das BSI-Grundschutzkompendium im Baustein „Löschen und Vernichten“ CON.6, das Erfordernis zur Angabe der Dauer der Datenverarbeitung im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 Abs. 1 lit. f DSGVO) und der Baustein 60 des Standarddatenschutzmodells der Datenschutzaufsichtsbehörden zur Löschung und Vernichtung von Daten.
Die Erstellung eines Löschkonzepts wird daher regelmäßig notwendig sein, um der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachzukommen.
Hierbei können neu entwickelte Softwarelösungen unterstützend hinzugezogen werden. Dieses können als weiteren Compliance-Garanten für Unternehmen und öffentliche Verwaltung überaus hilfreich sein, ein Löschkonzept zu erstellen und nachfolgend zu aktualisieren.
Inzwischen stehen die DSGVO-Konformität erleichternde Tools zur Verfügung, welche die in der jeweiligen Organisation eingesetzte Software nach verarbeiteten Datenarten klassifiziert, mehrstufige Fristen für Löschtermine hinterlegt und ein Gesamtverzeichnis für Verarbeitungstätigkeiten anlegen kann.
Über den Autor:
Dr. Jens Bücking ist Rechtsanwalt und Fachanwalt für IT-Recht. Er ist Mitbegründer und Senior Partner der internationalen Kanzlei e|s|b, Lehrbeauftragter, VOI Certified Expert „Risk Management and Compliance“ und Datenschutzbeauftragter und renommierter Autor diverser Fachpublikationen zum IT- und IP-Recht.
Herr Dr. Bücking fungiert zudem als Geschäftsführer der e|s|b data gmbh. Die e|s|b data gmbh bietet eine umfassende Beratung und Unterstützung bei der Umsetzung der Datenschutzgrundverordnung (DSGVO) sowie anderer Datenschutzbestimmungen.
Kontakt: info@esb-data.de
Web: https://esb-data.de/