Sanktion eines Taxiunternehmens wegen unzulässiger Speicherung

150

Empfehlung zur Sanktion eines Taxiunternehmens wegen unzulässiger Speicherung

Eine Empfehlung einer erheblichen Strafe für die unzulässige Speicherung von personenbezogenen Datenschutzaufsichtsbehörde hat eine Taxigesellschaft erhalten. Eine Strafe von 1200000 DKK (ca. 1600000€) für das Sammeln und zu lange Speichern von personenbezogenen Daten steht nun im Raum.

Die Untersuchung fokussierte sich darauf, ob das Unternehmen eindeutige Verfahren zur Aufbewahrung und Löschung der Daten festgelegt hatte. Nach Artikel 5 (1) (c), (e) GDPR (nationales dänisches Recht), welcher auch in dem Artikel 5 Abs. 1 lit b DSGVO verankert ist, müssen personenbezogene Daten dann gelöscht werden, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.
Der Zweck einer Datenverarbeitung ist hierbei Dreh und Angelpunkt für die Zulässigkeit der Speicherdauer der verarbeiteten Daten. Personenbezogene Daten dürfen nur für vorher festgelegte, eindeutige und legitime Zwecke erhoben und gespeichert werden.
Ist der Zweck erfüllt müssen die Daten umgehend gelöscht werden.

Das beschuldigte Unternehmen konnte ausschließlich sehr oberflächliche Verfahren vorweisen, welche nicht mal die Grenzen der maximalen Speicherung einhielten.
Dabei hatte man versucht die personenbezogenen Daten zu anonymisieren, indem sie innerhalb der Datensätze die Namen in Betroffenen nach 2 Jahren und die Telefonnummer nach 5 Jahren gelöscht haben.

Bei der Prüfung dieser Verfahren wurde noch festgestellt, dass über 8 Millionen Taxifahrten, welche älter als 2 Jahre waren, mit kompletten Datensätzen gespeichert waren.
Die Aufsichtsbehörde verlangte eine Demonstration eines automatischen Mittels im Zusammenhang mit dem hinterlegten Löschkonzepts, das eine umfangreichen Löschung der Daten innerhalb des Systems und der Back-up Files darstellt.
Unternehmen sind dazu verpflichte eine effektive Löschung der Daten innerhalb ihres Systems und ihre Back-up Files zu unterhalten.

In Dänemark ist die Datenschutzaufsichtsbehörde verpflichtet einen Bericht an die Polizei weiterzuleiten, welcher dann von dieser Erneut untersucht wird und nochmals festgestellt wird ob die Anschuldigungen ausreichend sind, um das Unternehmen vor Gericht anzuklagen. Die Empfehlung der Strafe beläuft sich auf etwa 160.000€. Umgerechnet sind das 2 Cent Strafe pro Datensatz, etwaige Schadensersatzforderungen für Betroffene – falls diesen ein Schaden entstanden ist – sind hier nicht aufgeführt.

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here