DSGVO vs. Archivierungspflichten
In den letzten Wochen hat sich eine neue Diskussion, rund um eine der zahlreichen Rechtsfragen in der DSGVO entbrannt. Als ob die DSGVO noch nicht genug Unsicherheiten gebracht hat und damit, wie man meint, den grundsätzlich richtigen Gedanken des verbesserten Datenschutzes, wegen der Frustration bei Unternehmen, Dienstleistern, Selbstständigen, und Freelancern, eventuell auf’s Spiel setzt.
Was ist passiert?
Auslöser ist die aktuelle Entscheidung des Berliner Beauftragten für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE. Dieser hat einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die DSGVO erlassen.
Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hatte die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist.
In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie
Kontoauszüge.
Wo liegt das Problem?
Datenschutzexperten sind durchaus der Meinung, dass die Behörde durch den juristischen Rückgriff auf “Privacy by Design” schlampig umgegangen ist bzw. dem Datenschutz einen Bärendienst erwiesen hat. Denn nun liegt ein Bußgeld vor, Deutsche Wohnen wird dagegen vorgehen, aber andere Unternehmen und Datenschutzverpflichtete wissen weiterhin nicht, welche Mieterdaten zu welchem Zeitpunkt hätten gelöscht werden müssen; und können diese Erkenntnisse somit auch nicht auf ihre eigenen Datenbestände anwenden und es vielleicht besser gestalten.
Ja und?
Im vorliegenden Fall geht es um die Archivierung von Vorgängen. Während dies im vorliegenden Fall Bewerbungen von Mietern betrifft, sind die Probleme, aber auch auf Buchhaltungsvorgänge, Jobbewerbungen, Supportanfragen, Steuern, Reisekostenabrechnungen, Urlaubsanträge und tausende weitere Aspekte anwendbar. Bei vielen dieser Umstände existieren wiederum gesetzliche Pflichten zur Archivierung und bei vielen weiteren Aspekten ist es Pflicht oder zumindest relevant, dass die Archivierung revisionssicher, damit Änderungen nachvollzogen werden können von kontrollierenden Behörden wie z.B. den Finanzämtern. Es ist daher Sinn und Zweck von vielen Archivierungsvorgängen zu verhindern, dass bestimmte Vorgänge, und somit auch damit verbundenen Belege oder Daten, nicht gelöscht oder geändert werden können. Ist dies in jedem dieser Fälle durch Art. 6 Abs. 1 Satz 1c DSGVO gedeckt, der die Datenverarbeitung zur Erfüllung gesetzlicher Pflichten erlaubt?
Das mag in vielen Fällen möglich sein, aber was ist mit den Situationen, in denen die Revisionssicherheit vielleicht nur sinnvoll, aber nicht explizit juristisch geregelt ist?
Die Datenschutzbehörde in Berlin
Die Datenschutzbehörde in Berlin hat in ihrer Pressemeldung dazu eine ganze eigene Meinung geäußert, bei der es sehr spannend sein dürfte, ob diese vor Gericht hält.
Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen. Es ist erfreulich, dass der Gesetzgeber mit der Datenschutz-Grundverordnung die Möglichkeit eingeführt hat, solche strukturellen Mängel zu sanktionieren, bevor es zum Daten-GAU kommt. Ich empfehle allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen.
Auch, wenn Cyberangriffe in der Tat relevant sind und gegen Datendiebstahl jeder technische als auch organisatorische Vorkehrungen treffen sollte, so ist der Umstand von Datenfriedhöfen zu reden schon recht hart. Viele Unternehmen würden sich wahrscheinlich sogar wünschen, weniger Daten, für weniger Jahre, speichern zu müssen und bestimmte Tendenzen hin zu überbordender Bürokratie abzubauen. Gerade im Bereich Steuerrecht, Sozialversicherungsrecht oder Arbeitsrecht können einem schnell graue Haare wachsen, wenn man überlegt, welche Pflichten alles existieren, die aber wiederum oft nur indirekt normiert oder durch Gerichtsurteile ausgeformt sind.
Und nun?
Die Angst ist durchaus berechtigt, dass in den nächsten Jahren der Streit zwischen Datenschutz und Bürokratie, zwischen Cybersicherheit und berechtigten Interesse von Steuer-, Zoll- und Sozialversicherungsbehörden, auf dem Rücken von Selbstständigen oder dem Mittelstand ausgetragen wird. Ob dies sowohl der Wirtschaft als auch dem Datenschutz dienlich ist, darf bezweifelt werden. Im schlimmsten Fall kommen noch mehr Pflichten und noch mehr Kosten für verbesserte Softwarelösungen, auf die Wirtschaft zu. Man darf daher gespannt sein, wie dieses Verfahren weiter geht!