Wenn die Kundendatei im Müllsack landet: Pizzalieferanten als Großdatenverarbeiter
In einem aktuellen Fall wurde dem Betreiber eines Pizzalieferservice vorgeworfen, dass dieser seit mehreren Jahren die ausgedruckten Kassenbelege nach Auftragserledigung und Auslieferung der Speisen innerhalb seiner Verkaufs- und Lagerräume vor der finalen Entsorgung offen in Abfall-Behältnissen oder Müllsäcken ansammelt und zwischenlagert.
Dem verantwortlichen Gastronomiebetrieb dürfte jedoch die Bedeutung und Werthaltigkeit seiner über Jahre angesammelten Kundendatenbank, die er in Müllsäcken „lagerte“, gar nicht bewusst gewesen sein. Entdeckt wurde der Verstoß durch den Ordnungsdienst einer Großstadt. Diese entdeckten zwei große Müllsäcke neben einem Altglascontainer. In diesen befanden sich Kassenbelege eines lokalen Pizzalieferdienstes mit den vollständigen Kundendaten, wie Vor- und Nachname, Adresse, Handynummer, Bezahlart, bestellte Speisen und Beträge.
Aus hygienischen Gründen wurde auf eine händische Einzelzählung weitgehend verzichtet. Die Kassenbelege stammten überwiegend noch aus der pandemischen Zeit. Um eine nahezu genaue Anzahl zu bestimmen, wurde bei der Stadt unter besonderen Sicherheitsvorkehrungen 1.000 einzelne Belege abgezählt und das genaue Gewicht des Stapels mit einer Briefwaage ermittelt. Infolge des somit ermittelten Gewichts erfolgte eine Hochrechnung, so dass man auf 7.745 Belege kam. Zugunsten des Gewerbetreibenden wurde hier mit hohen Abzügen gearbeitet. Dieser machte seinen unzuverlässigen Mitarbeiter für die unsachgemäße Müllentsorgung verantwortlich, übersah aber hierbei, dass er gemäß Art. 4 Nr. 7 DSGVO verantwortlich ist. Aufgrund der Gesamtumstände hatte die Datenschutzbehörde den begründeten Verdacht, dass es sich bei den gefundenen Kassenbelegen nur um „die Spitze des Eisberges“ handelte.
Daher wurde beim Amtsgericht einen Durchsuchungsbeschluss für die Betriebsräume erwirkt. Die Polizei durchsuchte die Geschäftsräume und konnte auch ausreichend Beweismittel auffinden. Der Verdacht einer systematischen rechtswidrigen Datenverarbeitung bestätigte sich aufgrund der Vielzahl an gelagerten Müllsäcken mit Kassenbelegen.
Gemäß Art. 5 Abs.1 lit. f DSGVO müssen verantwortliche Stellen personenbezogene Daten so verarbeiten, dass die angemessene Sicherheit der Daten gewährleistet ist. Dies umfasst den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung so- wie vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen. Dies schließt ein, dass Unbefugte keinen Zugang zu den Daten haben dürfen.
Die jahrelange unsachgemäße Ansammlung und Lagerung der Kassenbelege in den Gewerberäumen und die rechtswidrige Entsorgung führte dazu, dass die personenbezogenen Kundendaten für jeden zugänglich waren, insbesondere für andere Bedienstete oder auch Kunden.
Dies galt erst recht für die finale Entsorgung des Datenmülls. Die praktizierte Verfahrensweise entsprach keinesfalls einer technisch ordnungsgemäßen Datenentsorgung. Hier wurden weder geeignete Gerätschaften zur datenschutzkonformen Datenlagerung und -vernichtung eingesetzt, noch ein zertifizierter Entsorgungsbetrieb für eine fachgerechte Zwischenlagerung und Entsorgung des Datenmülls beauftragt.
Das festgesetzte Bußgeld im mittleren vierstelligen Bereich soll dazu führen, die betriebsinternen Prozesse anzupassen.
Quelle: LfDI BW
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks