08.11.2019

EuroCloud: 14,5 Mio. Euro Datenschutz-Bußgeld sind Warnschuss für Cloud-Unternehmen

  • Revisionssicherheit kein pauschales Argument für eine undifferenzierte Speicherung von Daten
  • EuroCloud sieht Tendenz zu höheren Bußgeldern

Die Berliner Datenschutzaufsichtsbehörde hat am 05.11.2019 die Verhängung eines Bußgelds in Höhe von 14,5 Mio. Euro veröffentlicht*. Natürlich ist die Bußgeldhöhe für Deutschland spektakulär. Entscheidend ist aber, dass der Grund des Bußgelds den „Finger in die Wunde“ eines Praxisproblems legt: fehlende und zu undifferenzierte Löschung von Daten und Verstoß gegen Privacy by Design.

„Dieses Bußgeld muss nun wachrütteln. Die bisher weit verbreiteten Pauschalargumente der Revisionssicherheit tragen nicht. Jetzt hat das eine Aufsichtsbehörde hart deutlich gemacht“, sagt Dr. Jens Eckhardt, Vorstand Recht und Compliance des EuroCloud Deutschland_eco e.V. „Das bedeutet aber weniger, dass eine revisionssichere Aufbewahrung nicht erfolgen muss. Das ändert sich nicht. Aber die Lösung zwischen den beiden widerstreitenden Pflichten muss durch konkrete und differenzierte Festlegung der zu speichernden Daten anhand des jeweiligen gesetzlichen Aufbewahrungszwecks- und zeitraums gefunden werden“, so Eckhardt weiter.

Die Pressemitteilung der Aufsichtsbehörde legt folgende Gründe für das Bußgeld nahe:

  • Das Unternehmen hat personenbezogene Daten länger gespeichert als erforderlich. Ein Auslöser hierfür war die undifferenzierte Speicherung von Daten. Die Aufsichtsbehörde macht deutlich, dass Revisionssicherheit kein pauschales Argument für eine undifferenzierte Speicherung ist. Konkret sieht die Aufsichtsbehörde einen Verstoß gegen den Grundsatz der Datenminimierung, der erfordert, dass geprüft werde, welches Datum für welchen Zweck wie lange gespeichert wird (Art. 5 DS-GVO). Wenngleich das Argument der Revisionssicherheit ein wesentliches Argument ist und hierhinter gesetzliche Pflichten aus dem Handels- und Steuerrecht stehen, macht das Bußgeld – wenig überraschend – deutlich: Das Argument gilt pauschal. Es bedarf eines differenzieren Aufbewahrungs- und Löschkonzepts.
  • Die Aufsichtsbehörde verhängt ein Bußgeld auch, weil das sanktionierte Unternehmen keine Software nutzte, welche eine differenzierte Speicherung ermöglicht. Die Aufsichtsbehörde sieht hier einen Verstoß gegen den Grundsatz der datenschutzfreundlichen Technikgestaltung (Art. 25 DS-GVO). Mit anderen Worten: Die Aufsichtsbehörde lässt auch das Argument nicht gelten, dass die genutzte Software nicht differenziert löschen könne.

Mit Blick auf die Auswirkungen tritt die Bußgeldhöhe hinter vorgenannte Aspekte – jedenfalls fast schon – zurück. Denn die Höhe des Bußgelds ergibt sich im Wesentlichen aus dem Umsatz des sanktionierten Unternehmens. Eine Rolle wird auch gespielt haben, dass die Aufsichtsbehörde einige Zeit zuvor die Praxis der Speicherung moniert hatte. Das legt jedenfalls die Pressemitteilung nahe. Daher ist das Bußgeld nicht ohne Weiteres übertragbar.

Dennoch: Das neue Modell zur Bußgeldberechnung der deutschen Datenschutzaufsichtsbehörden spielt für die Höhe des Bußgelds sicherlich eine Rolle. Die deutschen Aufsichtsbehörden haben am 16.10.2019 ein Modell zur Berechnung von Bußgeldern vorgestellt**. Dieses Modell ermittelt einen Grundwert für die Bemessung von Bußgeldern ausgehend von dem Umsatz des Unternehmens. Erst ausgehend von diesem Grundwert werden individuelle Aspekte und die Kriterien des Art. 83 Abs. 3 DS-GVO zur Bemessung von Bußgeldern gewichtet. Diese Modell führt aufgrund der Herangehensweise der Begründung tendenziell zu höheren Bußgeldern. Das vorliegende Bußgeld könnte hierfür ein Beleg sein.

EuroCloud und eco bieten Mitgliedern zum Download zahlreiche Unterlagen zum Thema Datenschutz

EuroCloud: Datenschutz aus der Wolke ist Trumpf