Erste DSGVO Strafe in Dänemark
Die dänische Datenschutzbehörde kontrollierte das Taxiunternehmen Taxa 4×35 und legte dabei einen Fokus auf die Löschung von personenbezogenen Daten.
Auf Nachfrage bei dem Unternehmen erklärte dieses, dass alle Informationen zu den Fahrtrouten nach zwei Jahren anonymisiert werden, d.h. die personenbezogenen Daten aus den Datensätzen gelöscht werden.
Die Behörde kontrollierte die Angaben der Firma und stellte fest, dass zwar die Namen der Betroffenen gelöscht werden, jedoch nicht die Telefonnummer sowie Abhol- und Zieladresse. Da Personen über die Telefonnummer leicht identifiziert werden können ist die erforderliche Anonymisierung nicht mehr gegeben. Insgesamt waren zum Zeitpunkt der Kontrolle 8.873.333 Datensätze betroffen.
Als Begründung führte die Taxizentrale an, dass die Telefonnummer das Schlüssel-Element in der Datenbank ist, daher können Datensätze nicht ohne Telefonnummer abgespeichert werden.
Die Behörde stellte klar, dass diese Begründung inakzeptabel ist. Personenbezogene Daten sind nach Ablauf der Nutzungsdauer unverzüglich zu löschen, auch wenn das verwendete System nicht darauf ausgelegt ist.
Fazit
Die Löschung von personenbezogenen Daten ist einer der Knackpunkte der Datenschutz-Grundverordnung. Kommt ein Unternehmen seinen Pflichten nicht nach, so setzt es empfindliche Geldstrafen, wie in diesem Fall unschwer zu erkennen ist. Die Erstellung eines Verfahrensverzeichnis ist zudem unerlässlich. Kann ein Unternehmen auf Anforderung kein Verarbeitungsverzeichnis vorweisen, so ist das ein schwerwiegender Verstoß gegen die DSGVO. Dabei ist die Dokumentation aller Datenverarbeitungsprozesse komplex und umfassend. Nur mit einer entsprechenden Software können Sie alle Prozesse effizient erfassen. easyGDPR hilft Ihnen dabei – das Online-Werkzeug bietet Vorlagen für alle üblichen Datenverarbeitungsprozesse und erstellt so Ihr Verarbeitungsverzeichnis in kurzer Zeit.
Entscheidungsdatum:
25.03.2019
Land:
Dänemark
Art des Verstoßes:
Illegale Datenverarbeitung
Betroffene Datensätze:
8873333
Waren sensible Daten betroffen?:
Nein
verhängte Geldstrafe:
€ 161,000,-
Verstoß gegen DSGVO Paragraph:
5. Grundsätze für die Verarbeitung personenbezogener Daten
Quelle:
Mitteilung der dänischen Datenschutzbehörde (dänisch)