Erste DSGVO Strafe in Dänemark

Die dänische Datenschutzbehörde kontrollierte das Taxiunternehmen Taxa 4×35 und legte dabei einen Fokus auf die Löschung von personenbezogenen Daten.

Auf Nachfrage bei dem Unternehmen erklärte dieses, dass alle Informationen zu den Fahrtrouten nach zwei Jahren anonymisiert werden, d.h. die personenbezogenen Daten aus den Datensätzen gelöscht werden.

Die Behörde kontrollierte die Angaben der Firma und stellte fest, dass zwar die Namen der Betroffenen gelöscht werden, jedoch nicht die Telefonnummer sowie Abhol- und Zieladresse. Da Personen über die Telefonnummer leicht identifiziert werden können ist die erforderliche Anonymisierung nicht mehr gegeben. Insgesamt waren zum Zeitpunkt der Kontrolle 8.873.333 Datensätze betroffen.

Als Begründung führte die Taxizentrale an, dass die Telefonnummer das Schlüssel-Element in der Datenbank ist, daher können Datensätze nicht ohne Telefonnummer abgespeichert werden.

Die Behörde stellte klar, dass diese Begründung inakzeptabel ist. Personenbezogene Daten sind nach Ablauf der Nutzungsdauer unverzüglich zu löschen, auch wenn das verwendete System nicht darauf ausgelegt ist.

Fazit

Die Löschung von personenbezogenen Daten ist einer der Knackpunkte der Datenschutz-Grundverordnung. Kommt ein Unternehmen seinen Pflichten nicht nach, so setzt es empfindliche Geldstrafen, wie in diesem Fall unschwer zu erkennen ist. Die Erstellung eines Verfahrensverzeichnis ist zudem unerlässlich. Kann ein Unternehmen auf Anforderung kein Verarbeitungsverzeichnis vorweisen, so ist das ein schwerwiegender Verstoß gegen die DSGVO. Dabei ist die Dokumentation aller Datenverarbeitungsprozesse komplex und umfassend. Nur mit einer entsprechenden Software können Sie alle Prozesse effizient erfassen. easyGDPR hilft Ihnen dabei – das Online-Werkzeug bietet Vorlagen für alle üblichen Datenverarbeitungsprozesse und erstellt so Ihr Verarbeitungsverzeichnis in kurzer Zeit.

Datum der Entscheidung:
25.03.2019

Land:
Dänemark

Art des Datenschutzvorfalls:
Illegale Datenverarbeitung

Anzahl der betroffenen Datensätze:
8873333

Sensible Daten betroffen:
Nein

Höhe der Geldstrafe:
€ 161,000,-

Verstoß gegen DSGVO Paragraph:

5. Grundsätze für die Verarbeitung personenbezogener Daten

Quelle:
Mitteilung der dänischen Datenschutzbehörde (dänisch)

Workshop "DSGVO und Cyberkriminalität – Sonderthema HomeOffice"

Workshop "DSGVO und Cyberkriminalität – Gefahren rechtzeitig erkennen"