Datenschutz: 14,5 Millionen € Bußgeld wegen Verstoß gegen Löschpflichten Analysetools
Die Berliner Datenschutzbeauftragte hatte gegen einen Berliner Immobilienkonzern ein Bußgeld von 14,5 Mill. € festgesetzt, da das Unternehmen gegen Vorschriften der Datenschutz-Grundverordnung (DSGVO) verstoßen haben soll.
Das Unternehmen habe personenbezogene Daten von Mietern zu Sozialversicherungsverhältnissen, Arbeitsverträgen und finanziellen Verhältnissen gespeichert, obwohl die Daten nicht (mehr) benötigt wurden. Besonders problematisch ist, dass die Daten offenbar so gespeichert sind, dass sie immer noch verarbeitet und nicht gelöscht werden können. Die Aufsichtsbehörde erblickte darin einen Verstoß gegen den Grundsatz der Datenminimierung (Art. 5 DSGVO) und gegen die Pflicht, geeignete technische und organisatorische Maßnahmen zur wirksamen Umsetzung der Datenschutzgrundsätze zu treffen (Art. 25 DSGVO – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen). Bereits im Jahr 2017 habe die Datenschutzbehörde das Vorgehen des Konzerns gerügt. Bei einer weiteren Kontrolle im März 2019 sei festgestellt worden, dass keine Abhilfemaßnahmen ergriffen worden sind.
Dieser (erneute) Fall zeigt, dass die Aufsichtsbehörden offenbar zunehmend bereit sind, bei Datenschutzverstößen nicht nur Hinweise zu erteilen, sondern auch Sanktionen zu erlassen. Das Thema Datenschutz ist daher immer noch aktuell. Jeder Verantwortliche muss daher regelmäßig prüfen, ob die ihm obliegenden Vorschriften zum Datenschutz beachtet werden.
Am 14.11.2019 hat die Berliner Datenschutzbeauftragte außerdem darauf hingewiesen, dass Analysetools wie Google Analytics und ähnliche Dienste, die Daten über das Nutzungsverhalten an Dritte weitergeben, jedenfalls in den Fällen, in denen diese Dritten die Daten auch zu eigenen Zwecken verwenden, nur mit Einwilligung der Besucher von Webseiten genutzt werden dürfen. Die Verwendung derartiger Programme setzt eine Einwilligung der Besucher voraus, die den Anforderungen der Datenschutz-Grundverordnung entspricht. Wir empfehlen, Ihre Internet-Auftritte daraufhin zu überprüfen, ob entsprechende Programme eingesetzt werden. Diese sind entweder zu entfernen oder es sind Einwilligungen der Besucher einzuholen. Eine solche Einwilligung ist allerdings nur dann wirksam, wenn die Besucher der konkreten Datenverarbeitung freiwillig, eindeutig und informiert zustimmen. Die häufig verwendeten sog. Cookie-Banner genügen dem in der Regel nicht.