Die Berliner Beauftragte für Datenschutz und Informationssicherheit hat gegen ein deutsches Immobilienunternehmen ein Bußgeld in Höhe von 14,5 Mio Euro wegen der unzulässigen Speicherung von Daten erhoben. Geahndet wurde mit diesem Bußgeld eine generelle d.h. strukturell unzulässigeDatenspeicherung. Gegen das Unternehmen wurden außerdem weitere Bußgelder in Höhe von 6.000 bis 17.000 Euro wegen der unzulässigen Speicherung von personenbezogenen Daten von Mieter*innen in 15 konkreten Einzelfällen verhängt.
Nähere Informationen finden Sie in der Pressemitteilung der Berliner Aufsichtsbehörde:
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf
Folgende Schlussfolgerungen können aus dem Vorgehen der Berliner Aufsichtsbehörde gezogen werden:
1. DIe Behörde hat das Bußgeld nicht unmittelbar bzw. überraschend verhängt, sondern zunächst auf den Missstand aufmerksam gemacht. Sie hat dem Unternehmen mehrere Monate Zeit gegeben, um den Missstand zu beseitigen. Erst anschließend wurde, da keine Bereinigung stattgefunden hatte, das Bußgeld verhängt.
2. Bei der Höhe des Bußgeldes wurde zugunsten des Unternehmens berücksichtigt, dass dieses nun VOrkehrungen dafür getroffen hatte, dass künftig entsprechende Datenschutzverstöße unterbleiben.
3. Datenfriedhöfe sind nicht erlaubt, das willkürliche Speichern von personenbezogenen Daten stellt einen erheblichen Verstoß gegen die DSGVO dar. Unternehmen müssen darauf achten, dass die von Ihnen eingesetzte Software ein Speichern von Daten zulässt bzw. dieses möglichst automatisiert nach vorgegebenen Algorithem vornimmt.
4. Die Berliner Behörde ist derzeit wohl die aktivste der deutschen Aufsichtsbehörden, es ist aber damit zu rechnen, dass die anderen Behörden nachziehen und es mittelfristig zu Überprüfungen auch in anderen Bundesländern kommt. Bedenken Sie bitte auch, dass unabhängig davon stets das Risiko besteht, dass aufgrund der Beschwerde einer/s Kunden/in oder einer/s Mitarbeiter*in IhrUNternehmen ins das Visier der Aufsichtsbehörde gerät.
Tragen Sie also in Ihrem Unternehmen dafür Sorge, dass nur die Daten Ihrer Kunden, Mitarbeiter sowie anderer mit Ihnen in Kontakt stehender Personen erfasst und gespeichert werden, die objektiv unbedingt notwendig sind. Dieses sollte bereits bei den verwendeten Datenmasken/Eingabefeldern berücksichtigt werden. Was nicht erfasst wird, muss auch nicht gelöscht werden. Für alle erfassten Daten gilt, dass sie regelmäßig entsprechend der für sie jeweils gültigen Löschfristen zu löschen sind.
Für weitere Informationen stehe ich Ihnen gern zur Verfügung.