DSGVO-Verstöße nehmen zu
2020 haben die Behörden in Deutschland insgesamt 283 Bußgeldbescheide im Zusammenhang mit Verstößen gegen die Datenschutzgrundverordnung verschickt, meldete das DSGVO-Portal. Das bedeutet einen Anstieg um mehr als 50 Prozent im Vergleich zum vorangegangenen Jahr (187). Das Volumen der Strafzahlungen belief sich auf rund 48,1 Millionen Euro. Insgesamt wurden über 26.000 DSGVO-relevante Datenpannen gemeldet – so viele wie noch nie. In den eineinhalb Jahren zuvor, seit Inkrafttreten am 25. Mai 2018 bis Ende 2019, zählten die Behörden rund 21.000 Verstöße.
Das Bußgeld-Ranking für 2020 führt die Bekleidungskette H&M an. Hamburger Datenschützer haben gegen die deutsche Niederlassung des schwedischen Unternehmens ein Bußgeld in Höhe von 35,3 Millionen Euro verhängt – das ist zugleich auch das bislang höchste in Deutschland verhängte Bußgeld für Datenschutzverstöße. Der Grund: H&M hatte in seinem Nürnberger Service-Center hunderte Mitarbeiter bespitzelt. Auf Platz zwei im Ranking folgt der OnlineHändler notebooksbillger.de, der ebenfalls wegen Bespitzelung von Mitarbeitern 10,4 Millionen Euro Strafe zahlen musste. Auf Rang drei: Die AOK Baden-Württemberg mit 1,24 Millionen Euro Strafe. Die Krankenkasse hatte Daten von mehreren hundert Gewinnspielteilnehmern für Werbemaßnahmen zweckentfremdet.
zu übermitteln. Das ändert sich nun, denn nach einer Entscheidung des EuGH wurde das Abkommen für ungültig befunden. Grund: Das Gesetz bietet keine Garantien, die den strengen Ansprüchen der DSGVO genügen würden. Im Zusammenhang mit der Tatsache, dass besonders Software- und Cloud-Angebote häufig von internationalen Anbietern bezogen werden, müssen Einkäufer ab jetzt noch wachsamer vorgehen.
Recht auf Vergessen und Pflicht zur Archivierung
Die DSGVO-Grundregel lautet nun, dass personenbezogene Daten vollständig gelöscht werden müssen, wenn der Zweck der Speicherung entfällt. Bei Unternehmen ist das oft eine Geschäftsbeziehung, etwa auf der Basis eines Vertrages oder einer Einverständniserklärung zur Datenspeicherung. So werden personenbezogene Daten auch von Nicht-Kunden gespeichert, wenn sie eine Einwilligungserklärung für die Zusendung von E-Mails gegeben haben. Diese Daten müssen genau dann gelöscht werden, wenn die Einwilligungserklärung zurückgezogen wird.
Im Normalfall kann ein Unternehmen personenbezogene Daten so lange verarbeiten und speichern, wie eine Vertragsbeziehung besteht. Andernfalls muss es alle Daten des Kunden löschen. Doch wann endet eine Vertragsbeziehung tatsächlich? Wenn der Kunde gekündigt hat? Es gibt gute Gründe, anderes anzunehmen. Lutz Martin Keppeler, Fachanwalt für Informationstechnologierecht bei Heuking Kühn Lüer Wojtek in Köln, nennt die Gewährleistung als Beispiel: „Auch nach dem Ende einer Vertragsbeziehung gibt es oft noch gesetzliche Gewährleistungspflichten des Unternehmens. Dafür ist die Speicherung bestimmter Daten auch weiterhin nötig.“
Ein ähnlicher Fall sind die gesetzlichen Aufbewahrungspflichten. Sie sind für unterschiedliche Kategorien von Daten in Spezialgesetzen geregelt. Dazu gehören beispielsweise Handelsund Steuerrecht, Energiewirtschaftsgesetz, Bundes-Imissionsschutzgesetz, das Kreditwesengesetz, das Arbeitsrecht und einiges mehr. Die bekannteste Frist entstammt dem Steuerrecht: Es schreibt eine Aufbewahrungspflicht für zehn Jahre nach dem letzten Buchungsvorgang vor.
Diese Pflicht betrifft alle Unterlagen und Daten, die zu den Geschäftsvorfällen gehören – etwa Rechnungen, Angebote, Auftragsbestätigungen, Zahlungsbelege, Verträge und vieles mehr. Grundsätzlich gehören dazu auch sämtliche internen und externen E-Mails, in denen in irgendeiner Form über die Geschäftsbeziehung korrespondiert wurde.
Es gibt also einen Widerspruch zwischen Lösch- und Aufbewahrungspflicht, der sich aber zugunsten der spezialgesetzlichen Archivierungsfristen auflösen lässt. So dürfen laut DSGVO personenbezogene Daten archiviert werden, wenn dies zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen dient. Aufbewahrungsfristen durch Gesetze werden somit zur Rechtsgrundlage für die weitere Speicherung der personenbezogenen Daten.
Es ist also nicht so einfach mit dem Datenschutz, wie die Knappheit der EU-Regeln nahelegt. Das hat einen Grund: „Die Formulierungen der DSGVO in Artikel 17 sind ausgesprochen abstrakt und damit interpretationsbedürftig“, sagt Fachanwalt Keppeler. „Das betrifft auch das Löschen der Daten. Genaue Details nennt die DSGVO nicht, damit die gesetzliche Regel möglichst technikneutral ist. Denn eine Norm sollte nicht nur in bestimmten Situationen gelten.“
Hohe Bußgelder ohne Hintertür
Unternehmen sind deshalb gezwungen, für jeden Einzelfall Überlegungen zum Datenschutz zu treffen, um alle gesetzlichen Anforderungen
Was erlaubt die DSGVO, und was nicht? Lesen Sie mehr darüber online auf unserer Website: Mitarbeiterüberwachung: Welche Kontrollen die DSGVO erlaubt www.cowo.de/3549541 Corona-App, DSGVO und Co. – Datenschutz in der Covid-19-Krise www.cowo.de/3548738 Datenschutz nach dem Brexit: Großbritannien und die EU-DSGVO www.cowo.de/3548280
zu erfüllen. Andernfalls gehen sie ein erhebliches Risiko ein, denn die Strafandrohung der DSGVO ist sehr hoch. Der Rahmen für Verstöße beträgt bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Herangezogen wird dabei der höhere Betrag.
Da die EU-Regelung keine Kriterien nennt, haben sich die deutschen Datenschutzbehörden Ende des letzten Jahres auf ein Modell zur Bußgeldberechnung verständigt. Seitdem steigt die Höhe der Bußgelder in der Praxis rasant an. Gegen einen Internetprovider wurde etwa aufgrund eines Verstoßes gegen organisatorische Sicherheitsmaßnahmen im Dezember 2019 ein Bußgeld in Höhe von 9,5 Millionen Euro verhängt. Eine große Immobiliengesellschaft wurde im November 2019 mit einem Bußgeld von 14,5 Millionen Euro bestraft, da sie Altdaten vieler Mieter nicht systematisch gelöscht hatte.
Der letzte Fall ist besonders interessant. Denn das Unternehmen hatte einen Grund für den Verzicht auf das Löschen: Zu hoher Aufwand. Das wird vor Gericht nicht mehr akzeptiert, denn es gibt in der DSGVO keine Hintertür wie noch im alten Bundesdatenschutzgesetz (BDSG) vor 2018. Danach mussten Daten nur dann gelöscht werden, wenn es keinen unverhältnismäßigen Aufwand bedeutet. Diese Möglichkeit existiert nicht in der DSGVO, und auch der deutsche Gesetzgeber hat sie nicht in das angepasste BDSG übernommen. Genauer gesagt: Eine solche Regel existiert, aber nur für Papierakten, nicht für Datenträger und Cloudspeicher.
Das hat einige Konsequenzen für Unternehmen. So müssen beispielsweise auch E-Mail-Archive und Backups bei der Löschung von personenbezogenen Daten berücksichtigt werden. Hier entstehen dann erhebliche technische Aufwände. Zwar kennen alle IT- Anwendungen eine Löschfunktion für ihre Daten, und es gibt inzwischen auch Data Mining Tools, die E-Mails und Dokumente nach personenbezogenen Daten durchforsten.
Doch die Entwickler von Backup-Systemen haben sich bisher keine Gedanken über Funktionen zur Löschung von personenbezogenen Daten gemacht. Denn das Recht auf Löschung war bis 2018 faktisch nicht auf komplexe Datenbanken, Backups und Clouds anwendbar. Eine Löschmöglichkeit nachträglich in „gewachsene“Systeme einzubauen, ist aus technischer Sicht ein erheblicher Aufwand, den die Anbieter wohl nicht auf die Schnelle leisten können.
Bei Software-as-a-Service-Angeboten muss der Provider von Beginn an sicherstellen, dass Unternehmen ihre Anwendung gegebenenfalls an die DSGVO als auch eigene ComplianceVorgaben anpassen können.
Den Lebenszyklus der Daten im Griff
„Diese Situation ist sehr unübersichtlich“, fasst Keppeler zusammen. „Deshalb sollten sich Unternehmen gut auf Prüfungen durch Behörden vorbereiten. Dafür benötigen sie zunächst einmal ein Datenverarbeitungsverzeichnis, dass alle Vorgänge erfasst. Zusätzlich müssen sie ein Löschkonzept erarbeiten, aus dem hervorgeht, wann welche Daten auf welche Weise gelöscht werden.“
„Die Formulierungen der DSGVO in Artikel 17 sind ausgesprochen abstrakt und damit interpretationsbedürftig. Das betrifft auch das Löschen der Daten. Genaue Details nennt die DSGVO nicht.“
Lutz Martin Keppeler, Fachanwalt für Informationstechnologierecht bei Heuking Kühn Lüer Wojtek in Köln
Das bedeutet im Einzelfall einen erheblichen Aufwand für die Verantwortlichen. Das Verzeichnis muss möglichst detailliert sein und sollte laufend aktualisiert werden – es dient bei Prüfungen durch die Datenschutzbehörden als Referenz. Hier ist auch der Ort, an dem die Aufbewahrungspflichten noch einmal genau angegeben werden.
Das Datenverarbeitungsverzeichnis informiert darüber, welche Daten im Unternehmen überhaupt vorhanden sind und welche davon personenbezogen sind. Zusätzlich sollte es die Daten in verschiedene Kategorien aufteilen und die jeweils geltenden Aufbewahrungsfristen angeben. Ein Löschkonzept nennt dann die genauen Kriterien und die Art des Löschens. So sollte es angeben, welche Daten durch Überschreiben gelöscht werden und wie Datenträger vernichtet werden.
Sinnvoll ist ein Data Lifecycle Management (DLM). Hinter diesem Stichwort verbirgt sich ein richtlinienbasierter Ansatz, um Daten während ihres ganzen Lebenszyklus zu verwalten – beginnend bei der Erzeugung über die Speicherung bis zum Zeitpunkt, an dem sie veraltet sind und gelöscht werden. Hierfür gibt es entsprechende IT-Anwendungen, die alle beteiligten Prozesse automatisieren. Der Vorteil solcher
Systeme: Die Unternehmen müssen sich nicht mehr im Detail mit Löschpflichten und Aufbewahrungsfristen auseinandersetzen, die Daten werden bei Eintreffen bestimmter Kriterien automatisch gelöscht.
Darüber hinaus kann mit DLM auch auf Besonderheiten bei Daten eingegangen werden. So benötigt ein Unternehmen normalerweise keine vollständigen Personalakten von Mitarbeitern, die seit 20 Jahren nicht mehr dort beschäftigt sind. Doch es gibt eine Ausnahme, also ein berechtigtes Interesse aller Beteiligten zur Speicherung der Daten: Eine Betriebsrente. Für ihre korrekte Berechnung und Auszahlung müssen Unternehmen bestimmte Daten von Rentnern und ehemaligen Mitarbeitern dauerhaft speichern.
Personenbezogene und technische Daten trennen
Eine gute Ergänzung zu DLM ist die Pseudonymisierung der Daten. Hier haben sich Systeme für die Kundenverwaltung bewährt. Vereinfacht gesagt trennen sie Kundendaten von technischen Informationen. So lässt sich jedem Kunden, aber auch jeder Infrastruktur-Ressource eine eindeutige Identifikationsnummer zuweisen. Diese ID wird in allen Anwendungen