Unternehmen sind dazu angehalten, Löschkonzepte für jegliche personenbezogenen Daten zu entwickeln, die von ihnen gespeichert werden, anderenfalls drohen empfindliche Bußgelder. Sobald die Unternehmen nicht mehr aufgrund von Aufbewahrungspflichten dazu verpflichtet sind, die Daten zu speichern und auch kein anderer Grund für die Verarbeitung besteht, fehlt es an einer Grundlage für die Speicherung, weshalb die Daten zu löschen sind. Sofern diese Daten trotz der fehlenden Grundlage für die Verarbeitung gespeichert werden, kann hierin ein (bußgeldbewehrter) Datenschutzverstoß zu sehen sein.

Sachverhalt

Ein Dienstleister aus der Forderungsmanagement-Branche wurde mit einem Bußgeld von EUR 900.000,00 belegt, weil er personenbezogene Daten von Schuldner/innen bis zu fünf Jahre lang speicherte, obwohl die gesetzlichen Löschfristen abgelaufen waren. Der Verstoß wurde im Rahmen einer Prüfung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) entdeckt. Auch wenn die Daten nicht an Dritte weitergegeben wurden, war die Speicherung ohne Rechtsgrundlage ein Verstoß gegen die DS-GVO. Der HmbBfDI betonte, dass Unternehmen klare Löschkonzepte entwickeln sollten.

Begründung des Bußgeldes

Der HmbBfDl begründete das Bußgeld damit, dass durch die fortdauernde Speicherung nach Ende der Aufbewahrungspflichten ein Verstoß gegen Art. 5 Abs. 1 lit. a), Art. 6 Abs. 1 DS-GVO vorliege. Insoweit sei irrelevant, dass die Daten in dem Zeitraum nicht an Dritte weitergegeben worden seien, da bereits die Speicherung als Verarbeitung rechtsgrundlos erfolgt sei. Nach Art. 5 Abs. 1 lit. a) DS-GVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Nach Art. 6 Abs. 1 DS-GVO ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig, wenn einer der Erlaubnistatbestände von Art. 6 Abs. 1 lit. a)-f) DS-GVO erfüllt ist. Nach Ablauf der Aufbewahrungspflichten, welche den Erlaubnistatbestand aus Art. 6 Abs. 1 lit. c) DS-GVO erfüllen können, werden diese Voraussetzungen nicht mehr erfüllt – es besteht damit eine Löschungspflicht.

Bewertung und Ausblick

Die Beachtung der allgemeinen datenschutzrechtlichen Grundprinzipien ist in Anbetracht der Bußgeldhöhen für Unternehmen bedeutsam. Soweit keine Grundlage für eine Verarbeitung bzw. Speicherung von Daten besteht, sind diese Daten zu löschen. Deshalb sind für die verschiedenen Arten von Daten (insbesondere: Mitarbeiter-, Bewerber-, Kunden-, Patientendaten oder Daten von Geschäftspartnern) Löschkonzepte vorzusehen, um die Einhaltung der Löschungspflichten zu gewährleisten. Es dürfen jedoch auch keine Daten gelöscht werden, die noch aufbewahrt/gespeichert werden müssen. Patientendaten unterliegen als Gesundheitsdaten im Sinne von Art. 9 DS-GVO besonderem Schutz, deshalb wäre ein Verstoß insoweit als noch gravierender anzusehen.