Bußgelder wegen Verletzung der Löschpflichten

Zu den wichtigsten Punkten der DS-GVO gehört auch, dass die unbegrenzte Speicherung von personenbezogenen Daten nicht erlaubt ist. Personenbezogene Daten müssen gelöscht werden, wenn

  • die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind,
  • die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt,
  • die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen,
  • die personenbezogenen Daten unrechtmäßig verarbeitet wurden,
  • die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist oder,
  • die personenbezogenen Daten eines Kindes in Bezug auf angebotene Dienste der Informationsgesellschaft, d.h. Internetangebote wie Medien, Webshops oder Online-Spiele erhoben wurden.

Ein Unternehmen muss somit nach der DS-GVO dafür Sorge tragen, dass konkrete Löschkonzepte entwickelt werden und zudem bei jedem Verfahren die vorgesehene Löschfrist angegeben wird. Speichern Unternehmen personenbezogene Daten trotz Wegfalls des Zwecks oder ist es Unternehmen technisch überhaupt nicht möglich Daten zu löschen, werden Aufsichtsbehörden hellhörig.

Die Übersicht der Bußgelder ist noch in Arbeit und wird in Kürze ergänzt.

Deutschland

Das Bußgeld wurde gegen eine Immobiliengesellschaft wegen Verletzung der Löschpflichten verhängt. Das eingesetzte Archivsystem war technisch nicht in der Lage, nicht mehr erforderliche Daten zu löschen. Außerdem wurden personenbezogene Daten gespeichert, ohne dass die Zulässigkeit dieser Verarbeitung geprüft wurde. Betroffen waren persönliche und finanzielle Informationen von Mietern, beispielsweise Gehaltsbescheinigungen, Kontoauszüge sowie Steuer-, Sozial- und Krankenversicherungsdaten.

Das Bußgeld ist nicht rechtskräftig. Aufgrund eines Formfehlers erklärte das LG Berlin den Bußgeldbescheid für ungültig. Die Behörde hatte in dem Bescheid keine konkrete natürliche Person benannt, die für den Verstoß verantwortlich ist.

Belgien

Der Betroffene verlangte von der belgischen Tochtergesellschaft von Google die Löschung von Suchergebnissen. Er wollte auf Grundlage von Art. 17 Abs. 1 lit. a) DS-GVO einen Eintrag zu einem ihn betreffenden Gerichtsverfahren löschen lassen, da die dort verhandelte Beschwerde bereits 2010 für ungültig erklärt wurde. Die Aufsichtsbehörde betrachtete das Löschersuchen als gerechtfertigt, da die personenbezogenen Daten nicht mehr aktuell waren und der Zweck – Ausübung des Rechts auf Informationsfreiheit – damit entfiel. Es lag ein Verstoß gegen Löschpflichten und gegen den Grundsatz der Rechtmäßigkeit vor, der mit einem Bußgeld von 500.000 Euro geahndet wurde. Da das Unternehmen das Löschersuchen ablehnte, ohne die Ablehnung für den Betroffenen transparent und verständlich zu begründen, kamen weitere 100.000 Euro hinzu.

Frankreich

Ein Handelsunternehmen hatte unter anderem Daten von rund 28 Millionen Kunden, die im Rahmen eines Bonusprogramms gespeichert wurden, zu lange aufbewahrt. Die Betroffenen haben teilweise seit 5 bis 10 Jahren nicht mehr bei dem Unternehmen bestellt. Eine Aufbewahrungszeit von 4 Jahren erachtete die Behörde als zu lange. Zudem waren einige Datenschutzinformationen nicht leicht auffindbar, schwer verständlich und lückenhaft und auf der Website wurde keine Einwilligung für das Setzen von Cookies eingeholt. 2,25 Millionen Euro des Bußgelds entfielen auf die Konzernmutter, der Rest auf ein Tochterunternehmen.

Griechenland

Nachdem ein Unternehmen die Telefonnummer trotz Widerspruch nicht aus der Kontaktliste für Werbenachrichten gelöscht hatte, beschwerte der Betroffene bei der griechischen Aufsichtsbehörde. Diese sah in dem technischen Fehler, der Grund für das Ausbleiben der Löschung war, einen Verstoß gegen die Prinzipien „Privacy by Design“ und „Privacy by Default“.

Italien

Ein italienisches Unternehmen hatte den E-Mail-Account eines ehemaligen Mitarbeiters nach Ende des Beschäftigungsverhältnisses nicht wie mitgeteilt nach 60 Tagen gelöscht. Vielmehr wurde das Postfach weiter aktiv gehalten und der Arbeitgeber konnte auf die gesamte Kommunikation des Betroffenen zugreifen.

Lettland

Der Betroffene forderte einen Online-Händler mehrmals zur Löschung seiner personenbezogenen Daten auf. Trotzdem erhielt der Betroffene weiterhin Werbung in Form von Textnachrichten auf sein Mobiltelefon. Daraufhin wandte sich der Betroffene an die lettische Aufsichtsbehörde und legte Beschwerde gegen den Online-Händler ein. Der Online-Händler arbeitete jedoch weder mit der Aufsichtsbehörde zusammen, noch folgte er dem begründeten Löschersuchen des Betroffenen. Daraufhin verhängte die Aufsichtsbehörde ein Bußgeld.

Schweden

Das Unternehmen Google LLC hatte frühere Anordnungen der schwedischen Aufsichtsbehörde nicht vollständig umgesetzt. Die Anordnungen betrafen das Löschen mehrerer festgesetzter Einträge aus den Google Suchergebnissen. Die in den Suchergebnissen angezeigten personenbezogenen Daten u. a. über strafrechtliche Verurteilungen und Straftaten stellten eine unrechtmäßige Verarbeitung von personenbezogenen Daten dar, weshalb diese gelöscht werden sollten. Zum einen löschte Google weder die gesamten Seiten auf denen die personenbezogenen Daten enthalten waren und zum anderen setzte Google die Löschung nicht innerhalb der gesetzten Frist um.

Zudem informiert Google die Betreiber der Webseiten über die Löschung der URL aus dem Google Listing. Dies gibt den Inhabern der betroffenen Websites aber die Möglichkeit, die Seiten unter einer neuen URL wieder online zu stellen und diese auch wieder in das Google Suchmaschinen Listing einzubinden. Neben der Information über die Löschung der URL erhalten die Websitebetreiber auch Angaben darüber, wer die Löschung veranlasst hat. Da dies Rückschlüsse auf die Identität der betroffenen Person zulässt, handelt es sich hier auch um eine unrechtmäßige Verarbeitung von personenbezogenen Daten, da für diesen Zweck kein Rechtsgrund, insbesondere keine Einwilligung, vorliegt.

Das Bußgeld wurde im Nov. 2020 vom VG Stockholm von 6.992.842 Euro auf 5.090.802 Euro reduziert. Die Verstöße wurden aber alle bestätigt.

Spanien

Ein Energieversorgungsunternehmen unterließ es trotz Umzugsankündigung, die Postanschrift eines Betroffenen anzupassen und versendete Zahlungsaufforderungen an die alte Adresse. Diese konnten nicht zugestellt werden, weshalb eine Zahlung ausblieb. Infolgedessen meldete das Unternehmen die fehlende Zahlungsfähigkeit an ein Finanzinstitut. Trotz anschließender, erneuter Information durch den Betroffenen über seine neue Adresse, verwendete das Unternehmen für die Kommunikation weiterhin die alte Anschrift. Zudem verweigerte es die Löschung des Negativeintrags in Bezug auf die Zahlungsfähigkeit. Die spanische Behörde sah diese Verstöße als besonders schwerwiegend an.

Der Betroffene forderte Vodafone Spanien am Ende des Vertragsverhältnisses auf, sämtliche personenbezogenen Daten von ihm zu löschen. Vodafone bestätigte zwar schriftlich, dies zu tun, löschte die Daten offensichtlich aber nicht. Der Betroffene erhielt drei Jahre später ca. 200 SMS von dem Unternehmen. Vodafone hatte die SMS nicht aktiv an den Kunden versendet, sondern die betreffende Telefonnummer des wurde versehentlich als Testnummer hinterlegt. Die geringe Bußgeldhöhe begründete die Datenschutzbehörde mit dem mangelnden Vorsatz des Unternehmens, es habe sich lediglich um mangelnde Sorgfalt in einem Einzelfall gehandelt.