Fehlendes Löschkonzept – 1,3 Millionen € Bußgeld verhängt
Die Danske Bank bekommt von der dänischen Datenschutzaufsichtsbehörde ein ordentliches Bußgeld auferlegt. Im Kern geht es dabei um ein fehlendes Löschkonzept.
Bereits im November 2020 wurde gegen die Danske Bank ein entsprechendes Verfahren eingeleitet. Hintergrund war, dass die Bank Probleme mit der Löschung von personenbezogenen Daten hatte. Im Verlauf des Verfahrens stellte sich heraus, dass in mehr als 400 Systemen der Bank ein versagen vorliegt. Damit erfüllte die Bank die Dokumentationspflichten hinsichtlich Speicherung und Löschung der personenbezogenen Daten nicht.
Insgesamt wurde ein Bußgeld in Höhe von 10 Millionen DKK (etwas mehr als 1,3 Millionen Euro) verhängt.
Grundprinzip der DSGVO
Die Grundsätze der DSGVO sind ganz klar. Personenbezogene Daten dürfen nur basierend auf einer geeigneten Rechtsgrundlage, und zur Erfüllung eines bestimmten (vorher festgelegten) Zwecks verarbeitet werden. Entfällt der Zweck für die Verarbeitung, und damit auch die Rechtsgrundlage, müssen die Daten gelöscht werden.
Fatal ist, dass eine große Bank wie die Danske Bank über zahlreiche und komplexe Systeme verfügt. Hierbei ist es besonders wichtig, dass alles ordnungsgemäß dokumentiert, und im Anschluss wieder gelöscht wird.
Kenni Elm Olsen, ist Fachberater der dänischen Datenschutzbehörde. Er meint dazu:
„Die Dokumentation und Löschung aller personenbezogenen Daten ist extrem wichtig.“
Die Speicherdauer der personenbezogenen Daten wird vorab festgelegt, daraus ergibt sich auch der Löschzeitpunkt. In Summe entsteht dann ein Löschkonzept. Diese Festlegungen und Bestimmungen fanden jedoch bei der erwähnten Bank nicht statt. Es war unklar, wann die Daten gelöscht hätten werden müssen.
Art und Schwere des Falls entscheidend
Entscheidend für die Höhe des Bußgeldes ist die schwere des Falles (Artikel 83 Abs. 1 DSGVO).
In welcher Höhe Sanktionen verhängt werden, richtet sich nach dem Einzelfall. Die dänische Datenschutzbehörde teilte mit, dass die Anzahl der betroffenen Personen sehr hoch ist. Dies hatte auch Auswirkungen auf die Höhe des verhängten Bußgeldes. Nach Meinung der dänischen Datenschutzbehörde und der Polizei, ist das Bußgeld für den vorliegenden Fall mehr als angemessen.
Mittlerweile arbeitet die Danske Bank daran, alles ordnungsgemäß zu dokumentieren. So dass der Schaden für die betroffenen Personen gering gehalten wird, und sie ihren Verpflichtungen nachkommt.
Fazit / Einschätzung
Durch den Erlass des Bußgeldes wird klar, dass die Datenschutzaufsichtsbehörden ein Auge auf die Löschung von personenbezogenen Daten haben. Schließlich gilt: „Wo nichts ist, kann auch nichts kaputt gehen.“
Wer personenbezogene Daten verarbeitet, muss sich auch mit der Löschung beschäftigen. Löschfristen legen Sie am besten für jede Verarbeitungstätigkeit fest. So entsteht ein Löschkonzept von ganz allein. Nach diesem können Sie sich im Unternehmen oder der Behörde richten.
Bitte denken Sie daran in Ihrem Löschkonzept nicht nur die Löschfristen, sondern auch die Zuständigkeiten, Zeitpunkte und Verfahren (wer wann wie löscht) festzulegen.
Offene Fragen
Sollten Sie Fragen zur Erstellung und Umsetzung eines Löschkonzeptes oder auch etwas nicht verstanden haben, melden Sie sich bei uns.
