Die Aufsichtsbehörden in Deutschland als auch in anderen Teilen Europas beschäftigen sich vermehrt mit dem Thema Löschung von Daten und den unternehmensinternen Löschkonzept.

Die Verpflichtung zum Löschen von Daten, wenn der Zweck der Verarbeitung entfallen ist, besteht nicht erst seit dem Inkrafttreten der DSGVO. Die seit 2018 geltenden Datenschutzvorschriften sehen unter anderem explizit in Art. 17 DSGVO die unverzügliche Verpflichtung zur Löschung von personenbezogenen Daten vor, sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe eingetreten ist.

Bei Kontrollen und Überprüfungen von Unternehmen wird verstärkt auf ein solches Löschkonzept, die in dem Löschkonzept definierten Löschungsfristen und die Umsetzung der entsprechenden Vorgaben geachtet. Eine entsprechende Prüfung und Beratung ist ggf. unerlässlich. Wir empfehlen hier mit Ihrem Datenschutzbeauftragten gemeinsam ein entsprechendes Löschkonzept zu entwerfen und dies in ihre Prozesse zu implementieren.

Die Nichtbeachtung dieser Verpflichtung führte in der Vergangenheit bereits zu mehreren Bußgeldern; auch in Millionenhöhe. Die Aufsichtsbehörde in Dänemark hat im Jahr 2019 zwei Bußgelder i.H.v. 160.000 € gegen ein Betreiber einer Taxi-Plattform und 200.000 € gegen ein dänisches Möbelhaus empfohlen. Diese Empfehlung wurden unter anderem aufgrund von Verstößen gegen die datenschutzrechtlichen Grundsätze nach Art. 5 DSGVO, hier Speicherbegrenzung und Rechtschaffenheit, ausgesprochen in Verbindung mit der Verpflichtung zur Löschung von personenbezogenen Daten gem. Art. 17 DSGVO. Nunmehr hat die dänische Behörde für eine kleine Hotelkette aus Kopenhagen ein Bußgeld i.H.v. ca. 148.000 € empfohlen, aufgrund eines Verstoßes gegen die Grundsätze der Speicherbegrenzung und somit wegen dem Verstoß von entsprechenden Löschverpflichtungen. In diesem Fall war für das vorhandene Buchungssystem ein Löschkonzept nicht vorhanden bzw. dieses nicht richtig umgesetzt worden.

Auch die norwegische Aufsichtsbehörde verhängte 2020 ein Bußgeld i.H.v. 394.000 € gegen eine öffentliche Straßenverwaltung, da diese kein Löschkonzept vorgehalten hatte und folglich auch keine Löschroutinen beachtete. Die personenbezogenen Daten die im Rahmen von Mautstellen erfasst wurden, wurden bis dato in dem 20 Jahre alten System nie gelöscht.

Und auch die deutschen Behörden waren in dem Bereich bisher nicht untätig und werden voraussichtlich auch in Zukunft verstärkt auf entsprechende Löschkonzept achten. Exemplarisch sei hier an die Bußgelder gegen die Deutsche Wohnen SE i.H.v. 14.500.000 € (noch nicht rechtskräftig) und gegen Deliveroo i.H.v. 195.000 € durch die Berliner Datenschutzbehörde erinnert.

So erreichen Sie uns

Adresse
Aachener Straße 75
50931 Köln
©LR Datenschutz GmbH