Berliner Datenschutzbeauftragte verhängt Bußgelder

Betroffenenrechte nicht eingehalten

Ein Bußgeld von über 195.000 Euro verhängt der Berliner Beauftragte für Datenschutz und Informationsfreiheit gegenüber dem Lieferdienstunternehmen Delivery Hero. Als Grund für dieses Bußgeld gab die Berliner Datenschutzbehörde in ihrer Pressemitteilung [PDF LINK] an, dass datenschutzrechtliche Verstöße gegenüber der Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der Daten, das Recht auf Löschung sowie das Recht auf Widerspruch vorliegen.

Hintergrund des Bußgeldes: Nach Angaben des Berliner Datenschützers wurden Konten von ehemaligen Kunden nicht gelöscht, obwohl der Nutzeraccount nicht mehr aktiv war. Weiter hat das Unternehmen unerwünschte Werbe-E-Mails – ohne Zustimmung vom Betroffenen – versendet und sogar Werbe-E-Mails versendet, obwohl der Betroffene dem widersprochen hatte. Auch blieben von Seiten des Unternehmens Anfragen von Betroffenen unbeantwortet, welche über die Möglichkeit der datenschutzrechtliche Selbstauskunft eine Information über deren beim Unternehmen gespeicherten personenbezogenen Daten erhalten wollten.

Betroffenenrechte gestärkt

Mit der DSGVO wurden die Betroffenenrechte gestärkt. Darunter wird der Verantwortliche verpflichtet, dass gemäß den Artikeln 15 bis 22 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats, nach Eingang der Anfrage vom Betroffenen diesem zur Verfügung gestellt werden. Auch wenn die Frist um weitere zwei Monate verlängert werden könnte, muss der Verantwortliche technische und organisatorische Maßnahmen in seinem Datenschutzmanagement etabliert haben, welche die Betroffenenrechte gewährleisten und eine fristgerechte Bearbeitung und Antwort an die auskunftsersuchende Person wahrt. Zu den Betroffenenrechten gehört aber auch, dass personenbezogenen Daten gelöscht werden, wenn diese nicht mehr benötigt werden. So sieht der Berliner Datenschützer eine Löschpflicht vor, wenn Nutzeraccounts über einen längeren Zeitpunkt nicht mehr genutzt werden. Schwierig ist hier aber eine Aussage zu treffen, wann ein Nutzeraccount inaktiv ist bzw. nicht mehr genutzt wird. Eine Antwort von Seiten des Berliner Datenschutzbeauftragten steht leider aus.

Dass aber personenbezogenen Daten gelöscht werden müssen, wenn diese für die Zwecke, für die die Daten erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, steht außer Frage. Damit die verantwortliche Stelle diese rechtlichen Löschpflichten bewältigen kann, muss das Datenschutzmanagement ein Löschkonzept mit technischen und organisatorischen Maßnahmen beinhalten, welches präzise und umfassend dokumentiert, wann personenbezogenen Daten gelöscht werden.

Online Bank betroffen

Ebenfalls wurde ein Bußgeld in Höhe von 50.000 Euro vom Berliner Beauftragten für Datenschutz und Informationsfreiheit gegenüber dem Unternehmen N26 Bank GmbH verhängt. In der Pressemitteilung hieß es vom Berliner Datenschutzbeauftragten, dass das Unternehmen Namen ehemaliger Kunden zum Zweck der Prävention gegen Geldwäsche auf eine schwarze Liste gesetzt hat. Dieses hat das Unternehmen allerdings unabhängig davon gemacht, ob tatsächlich ein Verdacht der Geldwäsche bestand. Hier verständigte sich das Unternehmen mit dem Berliner Datenschutzbeauftragten, dass die organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten optimiert werden und vor allem Maßnahmen zur Sensibilisierung der Mitarbeiter zum Datenschutz verbessert werden – ein Bußgeld wurde dennoch verhängt.

Mitarbeiter auf den Datenschutz sensibilisieren

Sensibilisierung und Datenschutzschulungen für Mitarbeiter haben mit den größten Beitrag zur Einhaltung von datenschutzrechtlichen Bestimmungen und IT-Sicherheit. Zum einen ist das Verhalten von Menschen ein wichtiger Faktor für die Wirksamkeit oder Unwirksamkeit von Datenschutz- und Sicherheitsmaßnahmen, zum anderen kann der Mitarbeiter aber auch einen wesentlichen Beitrag zur Aufdeckung und Verbesserung beitragen.

Quelle:
Datenschutzbeauftragter Berlin

Kommentare sind geschlossen.