Dänemark: 160.000 Euro Bußgeld gegen Taxiunternehmen wegen fehlender Datenlöschung

Dänemark: 160.000 Euro Bußgeld gegen Taxiunternehmen wegen fehlender Datenlöschung

Die dänische Datenschutzaufsichtsbehörde hat gegen ein Taxiunternehmen ein Bußgeld von 1,2 Mio Dänischer Kronen ausgesprochen, weil das Unternehmen die Kundendaten nicht gelöscht hat. Das Taxiunternehmen speichert Telefonnummer, Standortdaten, gefahrene Strecke sowie Zeit für Beginn/Ende der Fahrt, außerdem die Adresse des Kunden.weiterlesen

Der Verarbeitungsbeschreibung zufolge sollten die Daten nach 2 Jahren gelöscht werden, es wurden aber lediglich die Namen gelöscht, Adressen und Telefonnummern blieben gespeichert. Das Unternehmen hatte diesen Vorgang als Anonymisierung bezeichnet. Nach weiteren 3 Jahren sollten die Telefonnummern gelöscht werden, die man für interne Geschäftszwecke noch verwenden wollte.

Aus aufsichtsbehördlicher Sicht liegt ein Verstoß gegen die Datenschutzgrundsätze nach Art. 5 Abs. 1 (c) und (e) DSGVO vor. Das Prinzip der befristeten Speicherung wird nicht eingehalten, aber auch der Grundsatz der Datenminimierung nicht erfüllt. Da über die Telefonnummern und auch über die Adressen der Personenbezug leicht herstellbar ist, wird mit der Löschung des Namens das Kriterium „unkenntlich machen“ nicht erfüllt und es werden weiterhin personenbezogene Daten gespeichert. Die Aufsichtsbehörde bezog hier mit ein, dass eine große Menge von Daten – 8,8 Mio – betroffen waren und dass das Unternehmen keine Dokumentationen zur Löschung nachweisen konnte, z.B. ein Löschkonzept.
Interessant ist dabei die inhaltliche Kritik der Behörde:
Nach Auffassung der Behörde muss der Verantwortliche nachweisen, wie und wann personenbezogene Daten in Systemen und Backup-Wiederherstellungsdateien gelöscht werden. Es sollte nachgewiesen werden, dass Datenlöschungen auf der Grundlage interner Vorgaben/Verfahren erfolgen und dass die Umsetzung nachweisbar ist.

Quelle: Dänische Datenschutzaufsichtsbehörde

Related Posts