Kategorie: Aufsichtsbehördliche Maßnahmen

Ulrich Kelber stellt Jahresbericht des BfDI vor

9. Mai 2019

Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat gestern den Jahresbericht seiner Behörde für das Jahr 2017/2018 vorgestellt. Insgesamt konnte daraus ein positives Fazit gezogen werden. Er spricht von einer „Zeitenwende im Datenschutz“. Seit dem 25. Mai 2018 wurden 6507 allgemeine Anfragen gestellt und 3108 Beschwerden. Im Jahr 2017 war es noch die Hälfte.

Bei den Informations- und Dokumentationspflichten, die viele Unternehmen belasten, gebe es noch Nachbesserungsbedarf. Aus Angst den Bestimmungen nicht gerecht zu werden, wurden beispielsweise Foren oder Webseiten sicherheitshalber eingestellt. Diese Angst soll durch Hilfestellungen genommen werden.

Kelber warnte jedoch vor Grundrechtseingriffen durch die Sicherheitsbehörden: „Bevor weitergehende Möglichkeiten für Grundrechtseingriffe geschaffen werden, sollten die Sicherheitsbehörden besser erst einmal bereits bestehende Kompetenzen komplett ausschöpfen.“

Verschärfte Kontrollen der Aufsichtsbehörden

24. April 2019

Der Landesbeauftragte für Datenschutz in Baden-Württemberg hat für dieses Jahr 250 Kontrollen angekündigt. Vor allem Arztpraxen, Polizei, Apotheken, Versicherungen und Autohersteller stehen im Fokus der Prüfungen. Bereits im ersten Quartal 2019 haben die Summen der Bußgelder die von 2018 erreicht.

Die Kontrollen sollen stichprobenartig und unangekündigt erfolgen. Jedoch werden Strafen nur bei gravierenden Verstößen gegen die DSGVO ausgesprochen. Von den Kontrollen sind ehrenamtlich tätige Vereine und kleine Firmen ohne umfassende Datenverarbeitungen ausgeschlossen.

Die Beratungsleistung muss runtergeschraubt werden, da die „Grenzen der Belastbarkeit erreicht wurden“, so Brink. Die 60 Mitarbeiter können eine so umfangreiche Beratung nicht mehr leisten.

Letztes Jahr wurden lediglich 13 Kontrollen durchgeführt. Diese werden jetzt drastisch verschärft.

Kursänderung der Aufsichtsbehörden

29. März 2019

Viele Unternehmen gingen kurz nach dem Inkrafttreten der DSGVO von einem strikten Verhalten der Datenschutzaufsichtsbehörden aus. Inzwischen wundern sich nun immer mehr über deren Zurückhaltung.

Obwohl München zu einem der beliebtesten IT-Standorten Europas gehört und viele Unternehmen der IT-Branche Zweigniederlassungen dort unterhalten, gestaltet sich das Hauptgeschäft des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) primär durch Beratungen. Sanktionen hingegen bildeten bis jetzt ehr die Ausnahme. Dieses Verhältnis soll sich durch die Landespolitik nun ändern.

Während 2017 noch ca. 3.700 Beratungsanfragen beim BayLDA zu verzeichnen waren, sind die Anfragen im Jahr 2018 inzwischen auf ca. 9.200 angestiegen. Das bedeutet ca. 384 Anfragen pro Personalstelle. Dies warf die Frage auf, ob eine Beratung überhaupt zu den Pflichtaufgaben der Behörden gehören.

Der Leiter des BayLDA Thomas Kranig sieht den Ansturm der Anfragen grundsätzlich positiv, da die Datenschutzaufsichtsbehörde somit Einblicke in die Umsetzung der DSGVO durch die Unternehmen erlangt. Aufgrund der Masse müssen Anfragen jedoch immer wieder aus Kapazitätsgründen abgelehnt werden. Der Grund für die Kapazitätsproblematik geht daraus hervor, dass die Personalstellen gegenwärtig nicht aufgestockt werden. Der BayLDA muss somit die Beratungstätigkeit „weitgehend einstellen“.

Anderen Datenschutzaufsichtsbehörden ergeht es ähnlich. Die niedersächsische Landesdatenschutzbeauftragte stellte die Beratung bereits im November weitgehend ein. Ausschließlich Vereine und Verbände werden mittels einer eigenen Hotline noch weiter beraten.

Neuer Datenskandal bei Facebook und Instagram – Passwörter im Klartext gespeichert

26. März 2019

Der Journalist und IT-Sicherheitsexperte Brian Krebs berichtete auf seinem Blog über den neusten Datenskandal bei Facebook.

Das soziale Netzwerk soll Passwörter jahrelang nur im Klartext abgespeichert haben. Die Daten der Nutzer seien für mehr als 20.000 Facebook-Mitarbeiter sichtbar gewesen. Betroffen seien geschätzt 200 bis 600 Millionen Nutzer von Facebook, Instagram und Facebook Lite.

Facebook hat in einer Stellungnahme vom 21. März den Vorfall nicht geleugnet, sieht aber kein Missbrauchsrisiko. Laut Facebook gibt es keine Hinweise darauf, dass jemand intern missbräuchlich auf die Passwörter zugegriffen habe. Die Betroffenen werden dennoch vorsichtshalber benachrichtigt.

Die DSGVO schreibt in einem solchen Fall eigentlich eine förmliche Meldung der Datenpanne an die Aufsichtsbehörde nach Art. 33 DSGVO und eine Benachrichtigung aller Betroffenen nach Art. 34 DSGVO vor. Hierzu nimmt Facebook nicht Stellung.

In einer aktuellen Pressemeldung äußert sich der Bundesdatenschutzbeauftragte Ulrich Kelber zu dem Skandal:

„Es ist zwar traurig, aber ein Datenschutzvorfall bei Facebook ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen. Damit setzt Facebook seine Kunden einem unnötigen Risiko aus. Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert.“

Empfohlen wird jedem Nutzer von Facebook und Instagram, sein Passwort zu ändern. Wie man ein sicheres Passwort generiert, können Sie hier in unserem Blog nachlesen.

Eine Anleitung zur kompletten Löschung des Facebook Accounts finden Sie hier.

Es bleibt abzuwarten, wie die für Facebook zuständige Irische Datenschutzbehörde auf den Vorfall reagieren wird. Die Einleitung eines Bußgeldverfahrens erscheint möglich.

Der BfDI ist sich allerdings sicher, dass eine Prüfung durch die Datenschutzaufsichtsbehörden erfolgen wird. In der Pressemitteilung heißt es:

„Zum einen muss geklärt werden, ob Facebook vorliegend gegen Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat. Das Problem scheint ja bereits seit Januar bekannt gewesen zu sein. Unabhängig davon wird die in Europa zuständige Irische Datenschutzbeauftragte sicherlich die Einleitung eines Bußgeldverfahrens prüfen. Und schließlich werden wir auch im Europäischen Datenschutzausschuss über den Fall diskutieren.“

Hessischer Datenschutzbeauftragter veröffentlicht FAQ zur DSGVO

11. März 2019

Der Hessische Datenschutzbeauftragte hat Antworten zu den am häufigsten gestellten Fragen zur Datenschutz-Grundverordnung (DSGVO) auf seiner Webseite veröffentlicht und sich darin zu einigen kontrovers diskutierten Themen positioniert. Auch wenn dort sicherlich nicht jede offene Frage beantwortet werden kann, ist das FAQ insbesondere für Unternehmen mit Hauptsitz in Hessen lesenswert.

Interessant ist etwa die Aussage zur Frage, wann eine Auftragsverarbeitung vorliegt. Hier scheint sich die hessische Behörde der bereits vom Bayerische Landesamt für Datenschutzaufsicht veröffentlichten Ansicht anzunähern. Der Anwendungsbereich der Auftragsverarbeitung ist demnach recht eng auszulegen, nämlich nur auf Fälle, in denen ein Dritter tatsächlich mit der Verarbeitung von Daten beauftragt wird:

„Wenn Sie hingegen andere Dienstleistungen Dritter in Anspruch nehmen, bei denen die Weitergabe von Daten zwar erforderlich aber nicht Inhalt der Dienstleistung selbst ist, liegt in der Regel kein Auftragsverarbeitungsverhältnis vor (z.B. handwerkliche Tätigkeiten).“

Interessant ist auch die Aussage der Behörde zu der Frage, ob eine Einwilligung nach Art. 6 Abs. 1 S.1 lit. a) DSGVO vorsorglich eingeholt werden darf, wenn sich der Verantwortliche hinsichtlich des Vorliegens eines anderen Erlaubnistatbestandes unsicher ist:

„Häufig kann es aber schwierig sein, die gesetzliche Grundlage für die Datenverarbeitung zweifelsfrei zu bestimmen oder deren Grenzen klar zu erfassen. In diesen Fällen ist es vor allem auf Grund der Sicherheit und Transparenz sowohl für verantwortliche Stellen als auch für betroffene Personen nicht schädlich, wenn vorsorglich eine Einwilligung eingeholt wird.“

LfDI Baden-Württemberg verhängt Bußgeld in Höhe von 2.500,- Euro gegen früheren Juso-Landeschef

1. März 2019

Einer Pressemeldung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg vom 28. Februar 2019 zufolge hat dessen Bußgeldstelle mit Bescheid vom 25.02.2019 gegen den früheren Landesvorsitzenden der Jusos Baden-Württemberg eine Geldbuße in Höhe von 2.500,- Euro wegen eines Verstoßes gegen die Zweckbindung bei der Verarbeitung von personenbezogenen Daten verhängt. Der Datenschutz sei auch bei Parteiarbeit zu beachten.

Hintergrund für den Bußgeldbescheid war, dass der frühere Juso-Landesvorsitzende anlässlich des sog. „Kleinen Landesparteitages“ der SPD Baden-Württemberg im Vorfeld eine Liste aller 168 Delegierten des Parteitages an einen Kreis von etwa zehn Vertrauten gesendet hatte. Diese gehörten zum Teil dem Landesvorstand an, zum Teil bekleideten die Empfänger aber auch ein politisches Amt. Die Liste hatte er vom damaligen Juso-Landesgeschäftsführer erhalten, die dieser mithilfe der SPD-Mitgliederverwaltungssoftware erstellt hatte. Die Liste enthielt Vor- und Nachnamen der Delegierten, Alter, Wohnort sowie den jeweiligen Orts- und Kreisverband, dem die Delegierten angehörten. Die Empfänger sollten mithilfe der Liste mit den jeweiligen Delegierten in ihrem Kreis oder Ortsverband bzw. in ihrem Bekanntenkreis sprechen und dem Landesvorsitzenden sodann ein Stimmungsbild zu einem für den Landesparteitag eingebrachten Antrag zum Thema Wohnungsbau vermitteln.

Der damalige Juso-Landesvorsitzende habe dabei verkannt, dass die Delegiertenliste nur für die organisatorische Abwicklung des Parteitages bestimmt sei. Die Verwendung der Liste zur innerparteilichen Meinungsbildung sei deshalb zweckwidrig und unzulässig. Der frühere Juso-Landesvorsitzende habe mit dem Versenden der Liste gegen das BDSG a. F. verstoßen und in fahrlässiger Weise unbefugt personenbezogene Daten verarbeitet. Das BDSG a. F. und nicht die DSGVO sei anwendbar, weil die Versendung der Liste am 27.04.2018 und damit vor Wirksamwerden der DSGVO erfolgt sei.

Im Rahmen der Festlegung der Höhe des Bußgeldes wurde zu Gunsten des früheren Juso-Landesvorsitzenden seine aktive Mitwirkung an der Aufklärung des Sachverhalts berücksichtigt. Der früher Juso-Landesvorsitzende hatte sich selbst frühzeitig an die Aufsichtsbehörde gewandt und die Abläufe umfassend erläutert. Auch der Umstand, dass der Verstoß im Zusammenhang mit einer ehrenamtlich ausgeübten Tätigkeit und lediglich fahrlässig begangen worden sei, wurde zu seinen Gunsten berücksichtigt. Zu seinem Nachteil wurde berücksichtigt, „dass er sich und seinen Vertrauten einen politischen Vorteil gegenüber den sonstigen Beteiligten am Landesparteitag verschaffte (…)“. Weitere dem früheren Juso-Landesvorsitzenden angelastete Verstöße haben keinen Anlass für weitere Sanktionierungen geboten.

Der LfDI Baden-Württemberg Herr Dr. Stefan Brink äußerte sich zu dem Fall abschließend: „Bei der Organisation von innerparteilichen Abläufen haben die politischen Parteien Gestaltungsräume. Die interne Parteiarbeit kann jedoch kein „blinder Fleck“ für den Datenschutz sein. Auch zwischen Parteimitgliedern wirkt das Datenschutzrecht, auch parteiintern sind die Rechte und Pflichten des Datenschutzes zu beachten“. Weitere Klärungs- und Schulungsmaßnahmen hinsichtlich des Umgangs von Parteien mit Mitgliederdaten wurden vom LfDI Baden-Württemberg Dr. Brink angekündigt. Parteien sollten daher ihre bisherige Datenschutzpraxis auf etwaige Schwachstellen überprüfen, insbesondere da aktuell sowohl hinsichtlich älterer Sachverhalte nach BDSG a. F. als auch für Verstöße nach DSGVO nicht unerhebliche Bußgelder drohen, welche auch gegen Einzelpersonen verhängt werden können.

Adresshandel: kein berechtigtes Interesse

Der Landesdatenschutzbeauftragte Baden-Württemberg (LfDI BW) hat sich in seinem aktuellen Tätigkeitsbericht kritisch zum Adresshandel geäußert.

Beim Adresshandel werden Daten potenzieller Kunden durch ein Unternehmen aus allgemein zugänglichen Quellen, wie bspw. Telefonbücher, Branchenverzeichnisse, Zeitungen und Messekataloge, Teilnehmerverzeichnisse, öffentliche Register (Handelsregister, Vereinsregister) zu Werbezwecken entnommen und ggf. weiterverkauft. Das die Daten erwerbende Unternehmen nutzt diese dann bspw. für Werbeansprachen per Post. Nach der alten Rechtslage bestand ein sogenanntes “Listenprivileg” (§ 28 BDSG-alt). Hiernach durften Listendaten – z.B. Name und Anschrift – grundsätzlich auch ohne Einwilligung der Betroffenen zu Werbezwecken genutzt werden.

Dieses ausdrücklich geregelte Listenprivileg wurde im Zuge der Einführung von DSGVO und BDSG-neu nicht übernommen. Die Frage der Zulässigkeit des Adresshandels richtet sich somit nach den allgemeinen Vorschriften. Sofern keine Einwilligung im Sinne von Art. 7 DSGVO vorliegt kann der Adresshandel also nur über Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden. Hierfür müsste ein berechtigtes Interesse des Verantwortlichen oder eines Dritten gegeben sein, das im konkreten Fall im Zuge einer Abwägung nicht hinter den Interessen der betroffenen Person zurückstehen muss, weil die Interessen der betroffenen Person schutzwürdiger sind.

In seinem 34. Tätigkeitsbericht 2018 hat der LfDI BW nun konkret Stellung zu dieser Frage bezogen und das berechtigte Interesse im Rahmen des Adresshandels grundsätzlich verneint. Als problematisch erachtet der LfDI BW vor allem die entgegenstehenden Interessen der betroffenen Person und führt hierzu auf S. 118 f. des Berichts aus:

 „Die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person dürfen nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen (ErwG 47).“

Der LfDI BW nimmt beim Adresshandel an, dass

„Der Betroffene […] gerade nicht davon aus[geht], dass ein Unternehmen, mit dem er geschäftlichen Kontakt hat, ungefragt seine Kundendaten an andere, ihm völlig fremde Unternehmen verkauft oder vermietet und er von dort plötzlich unerwünschte Werbung bekommt. Zudem hat der Betroffene – […] ein sehr starkes Interesse daran, dass seine Kundendaten nicht zu einer grenzenlos gehandelten Ware verkommen, auf die er keinerlei Einfluss mehr hat. Der Betroffene hat auch aus dem Gesichtspunkt der Transparenz (Art. 5 Abs. 1 Buchstabe a DS-GVO) heraus ein überwiegendes Interesse daran, Herr (oder Frau) seiner Daten zu bleiben. Dies gilt umso mehr bei angereicherten Adressdaten, die regelmäßig ein ziemlich konkretes Persönlichkeitsprofil des Betroffenen abbilden.“

Laut LfDI BW sieht die Rechtslage auch dann nicht anders aus, wenn der Betroffene selbst seine Adressdaten veröffentlicht (bspw. im Telefonbuch), denn auch hier sei nicht davon auszugehen, dass ein Handel mit diesen Daten gewünscht sei.

Zwar ist noch offen, ob sich auch andere Aufsichtsbehörden dieser Meinung des LfDI BW anschließen werden. Um sich abzusichern, sollten Verantwortliche jedoch vorsichtshalber vor der Durchführung des Handels und Verkaufs von Adressdaten Einwilligungen der Betroffenen nach Art. 6 I lit. a), 7 DSGVO einholen.

Datenschutz beim Newsletter-Versand

20. Februar 2019

Fast 95 Prozent der Unternehmen betreiben E-Mail- und Newsletter-Marketing. Die aktuelle Benchmark-Studie der Unternehmensberatung absolit hat über 5000 Top-Unternehmen im deutschsprachigen Raum untersucht und kommt zu dem Ergebnis, dass jedem 5. Unternehmen ein Bußgeld droht, weil das E-Mail- und Newsletter-Marketing nicht rechtskonform ausgestaltet ist. Besonders nachholbedürftig in Sachen Datenschutz sei der Newsletter-Versand im B2B-Bereich. Als größte Schwachstelle stellt sich dabei ein nicht DSGVO-konformer Eintragungsprozess in den Newsletter-Verteiler heraus.

Folgende Fakten lassen sich der Studie entnehmen:

  • 38 Prozent der Unternehmen fragen zu viele Daten ab und ignorieren den Grundsatz der Datensparsamkeit
  • mehr als 75 Prozent informieren unzureichend oder gar nicht über die Datenverarbeitung
  • 20 Prozent der Unternehmen verzichten auf die Bestätigung einer Formulareintragung mittels Double-Opt-In
  • knapp die Hälfte der B2B-Unternehmen (57 Prozent) haben eine rechtskonforme Anmeldung zum Newsletter

Wegen einer nicht rechtskonformen Umsetzung können gegen die Unternehmen hohe Bußgelder verhängt werden (Art. 83 DSGVO). Im schlimmsten Fall von bis zu 20 Millionen oder von bis zu vier Prozent seines gesamten weltweiten erzielten Jahresumsatzes verhängt werden.

Aus diesem Grund sollten Unternehmen folgende Punkte beim Thema Newsletter-Versand beachten:

  • ausdrückliche und nachweisliche Einwilligung des Empfängers erforderlich
  • idealerweise Nutzung eines Double-Opt-In-Verfahrens
  • vorherige Aufklärung des Empfängers über alle Datenverarbeitungsvorgänge – Implementierung einer Checkbox mit Einwilligungserklärung im direkten Umfeld des Anmeldeformulars
  • Grundsatz der Datensparsamkeit beachten – nur so viele Daten wie notwendig erheben
  • umfangreiche Datenschutzhinweise mit Hinweis zum Widerrufsrecht – müssen durch einen jederzeit abrufbaren und von allen Seiten zugänglicher Link erreichbar sein
  • Impressum aktuell halten
  • Verzeichnis für Verarbeitungstätigkeiten anlegen
  • Abschluss eines Auftragsverarbeitungsvertrages, wenn ein externer Dienstleister eingesetzt wird

In einer Handelsblatt-Umfrage, in der sich die Datenschutzbeauftragten der Länder zu diesem Thema äußerten, heißt es, dass bereits zahlreiche Bußgeldverfahren eingeleitet worden sind und zudem etliche Verwarnungen ausgesprochen wurden. Aus diesem Grund gilt nach wie vor, dass die Vorgaben der DSGVO schnellsmöglichst umgesetzt werden müssen, um Bußgelder zu vermeiden.

Offener E-Mailverteiler: Bußgelder auch für Privatpersonen

15. Februar 2019

Ein Mann aus Merseburg hat wiederholt hunderte von Mails mit personenbezogenen E-Mailadressen im offenen Verteiler geschickt. Aus diesem Grund hat der Landesdatenschutzbeauftragte von Sachsen-Anhalt, Harald von Bose, hohe Bußgelder gegen diesen Mann verhängt. Die Mails beinhalten Verunglimpfungen, Stellungnahmen, Beschwerden aber auch Strafanzeigen gegen Vertreter aus Wirtschaft, Presse, Kommunal- und Landespolitik.

Die verschiedenen Bußgelder summieren sich auf 2.628,50 Euro.  Jedoch könnte es weitere Verfahren geben, da der Mann nach den Bußgelbescheiden weitere Datenschutzverstöße begangen haben könnte.

Die DSGVO findet gemäß Artikel 2 Abs. 2 lit. c nicht auf die Verarbeitung von Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Das heißt im privaten Bereich ist ein offener Emailverteiler durchaus erlaubt. In diesem Fall kann man jedoch nicht mehr von einem privaten Bereich sprechen, da Mails an zum Teil bis zu 1600 Personen verschickt wurden. Aus diesem Grund gilt der Artikel 2 Abs. 2 lit. c unter diesen Umständen nicht.

Österreichische Datenschutzbehörde: Löschung nicht gleich Vernichtung

13. Februar 2019

Die Datenschutz-Grundverordnung (DSGVO) räumt den Betroffenen in Art. 17 Abs. 1 ein Recht auf die Löschung ihrer Daten ein. Das bedeutet aber nicht, dass die Daten tatsächlich vernichtet werden müssen. Laut einer aktuellen Entscheidung kann es hinreichen, den Personenbezug durch Anonymisierung zu entfernen.

Die österreichische Datenschutzbehörde entschied im Dezember 2018, dass das sogenannte Recht auf Löschung personenbezogener Daten den Verantwortlichen nicht zu einer sofortigen Vernichtung der Daten in ihren Systemen verpflichte. Auf Grundlage der DSGVO reiche eine Anonymisierung der Daten aus, nach der eine Rekonstruktion des Personenbezugs „ohne unverhältnismäßigen Aufwand“ nicht mehr möglich ist. Allerdings verlangt die Behörde nicht, dass die Anonymisierung niemals rückgängig gemacht werden kann. Eine Löschung liege dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten nicht mehr möglich ist. Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweise, mache die „Löschung durch Unkenntlichmachung“ nicht unzureichend. Eine völlige Irreversibilität sei daher nicht notwendig.

Hintergrund des Streits war eine Anfrage eines österreichischen Betroffenen bei einer Versicherung. Unter Verweis auf Art. 17 DSGVO hatte dieser die unverzügliche Löschung seiner personenbezogenen Daten verlangt, da sie für den Zweck, für den sie erhoben worden waren, nicht mehr benötigt würden. Die Versicherung löschte E-Mail-Adresse, Telefonnummer sowie Angaben über ein einst erbetenes Versicherungsangebot und stoppte alle Werbezusendungen. Name und Adresse wurden allerdings durch „Max Mustermann“ mit einer Musteradresse ersetzt und Informationen über zwei frühere Versicherungsverträge blieben offenbar erhalten.

Die Versicherung setzte den Betroffenen in Kenntnis, dass sie die Daten „DSGVO-konform anonymisiert“ habe. Eine Rückführbarkeit auf seine Person sei unwiderruflich ausgeschlossen. Die anonymisierten Daten würden beim nächsten automatischen Löschlauf im März 2019 endgültig aus den Systemen gelöscht. Auch aus den Logdaten könne die ursprüngliche Anfrage nicht mehr mit dem Betroffenen verknüpft werden.

Das reichte dem Betroffenen jedoch nicht aus, sodass er sich bei der Datenschutzbehörde beschwerte. Diese hielt jedoch das Anonymisierungsverfahren der Versicherung für ausreichend. Denn nach Ansicht der Behörde macht die DSGVO keine konkreten Angaben darüber, wie eine Löschung von personenbezogenen Daten umgesetzt werden muss. In Art. 4 Nr. 2 DSGVO würden zudem Löschung und Vernichtung von Daten „als alternative Formen der Verarbeitung aufgeführt“, die nicht zwingend deckungsgleich seien. „Daraus erhellt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt“, schreibt die Behörde in ihrer Entscheidung.

Vielmehr stehe dem Verantwortlichen hinsichtlich der vorgenommenen Art und Weise der Löschung ein Auswahlermessen zu. Hinsichtlich des konkreten Mittels der Löschung bestehe somit „kein Wahlanspruch der betroffenen Person“.

1 2 3 4 19