Home
Intern
veröffentlicht am 30. Oktober 2019; Autor: Gabor Hadnagy
Im August 2019 verhängte die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk ein Rekordbußgeld in Höhe von 195.407 Euro gegen die Delivery Hero Germany GmbH. Das Bußgeld setzt sich aus verschiedenen Einzelverstößen zusammen, von denen die Mehrzahl die Missachtung der Betroffenenrechte betrifft.
Gegen das mittlerweile an Takeaway.com verkaufte Unternehmen Delivery Hero Germany GmbH wurde im August 2019 aufgrund diverser Datenschutzverstöße insgesamt ein Bußgeld von 195.407 Euro erlassen. Die Strafe an die Lieferdienst-Plattform stellt somit das bisher höchste Bußgeld dar, welches seit Inkrafttreten der DSGVO in Deutschland verhängt wurde.
Ausschlaggebend für die Verhängung des Bußgeldes war unter anderem die Nichtberücksichtigung der Löschverpflichtung in mehreren Fällen. Darüber hinaus missachtete die Delivery Hero Germany GmbH das Recht auf Auskunft der Betroffenen und versendete unerwünschte Werbemails.
Wie von der Berliner Datenschutzbeauftragten festgestellt, wurden in zehn Fällen die Konten ehemaliger Kundinnen und Kunden nicht gelöscht.
In Anlehnung an Art. 17 Abs. 1 lit. a) DSGVO sind personenbezogene Daten unverzüglich zu löschen wenn Sie für den Zweck, für den diese erhoben wurden, nicht mehr notwendig sind. Dies wird als Zweckbindungsgrundsatz bezeichnet. Welche Speicherdauer für inaktive Kundenkonten als angemessen anzusehen ist geht aus der Pressemitteilung der Berliner Datenschutzbeauftragten nicht hervor.
Hinsichtlich Leistungen im Gesundheitswesen ist zunächst davon auszugehen, dass die Aufbewahrung der Patientenakte 30 Jahre aufgrund der Verjährungsfrist von Behandlungsfehlern als angemessen anzusehen ist. Zum einen betrifft die Aufbewahrung Unterlagen, die sich auf einen Behandlungsvertrag nach § 630a BGB beziehen. Zum anderen sind solche Unterlagen aufzubewahren, welche im Falle eines Arzthaftungsprozess und der damit verbundenen Beweisführung für die Abwehr der Klage notwendig sind.
Sofern es sich jedoch um Leistungen handelt, die nicht dem Behandlungsvertrag zuzurechnen sind, ist unter Berücksichtigung anderweitiger Aufbewahrungsfristen eine Prüfung des Zweckbindungsgrundsatzes vorzunehmen. Solange ein Erlaubnistatbestand sowie eine zweckentsprechende Verarbeitung gegeben ist, kann sich innerhalb dessen keine Löschverpflichtung ergeben. Demnach ist spiegelbildlich zu prüfen, ob der Zweck sowie dessen Erlaubnistatbestand weiter vorliegt. Als Erlaubnistatbestände kommen unter anderem Art. 6 Abs. 1 DSGVO und Art. 9 Abs. 2 DSGVO in Betracht.
In der bisherigen Praxis spielte das Löschen von Daten größtenteils eher eine untergeordnete Rolle. Insbesondere die Hürde, IT-Systeme mit den datenschutzrechtlichen Vorgaben in Einklang zu bringen stellt Unternehmen vor große Herausforderungen. Hervorzuheben ist, dass dies jedoch größtenteils technisch noch nicht umsetzbar ist.
Sollten keine Vorgaben über die Aufbewahrung von Unterlagen bestehen, kann manchmal ein Blick in die Tätigkeitsberichte der Landesdatenschutzbeauftragten weiterhelfen.
Beispielsweise sind vertrauliche Daten einer Facharztpraxis zur Berechnung eines Versicherungsvorschlags, bei Nichtzustandekommen eines Versicherungsverhältnisses, unverzüglich nach Bekanntwerden des Ergebnisses über das Nichtzustandekommen zu löschen (LfDI Bremen, 38. Tätigkeitsbericht 2015, S. 66).
In fünf Fällen kam die Delivery Hero Germany GmbH Ihrer Auskunftspflicht nach Art. 15 Abs. 1 DSGVO nicht bzw. erst nach Einschreiten der Berliner Datenschutzbeauftragten nach.
Art. 15 wie auch die Art. 13 und 14 der DSGVO bilden ganz wesentliche Bestandteile der Betroffenenrechte, da der Betroffene oftmals erst durch die Auskunft in die Lage versetzt wird Informationen über die Ihn betreffenden Daten zu erhalten. Bei Missachtung der Betroffenenrechte, etwa durch Unterlassen der Auskunftserteilung – wie im Falle der Delivery Hero Germany GmbH – oder unvollständiger Auskunftserteilung kann die Aufsichtsbehörde eine Geldbuße nach Maßgabe des Art. 83 Abs. 5 lit. b) DSGVO aussprechen.
Ein weiterer Fauxpas bestand darin, dass mehrere ehemalige Delivery-Hero-Kunden unerwünschte Werbe-E-Mails erhielten. In einem Fall geschah dies ungeachtet dessen, dass der Betroffene der Nutzung seiner Daten zu Werbezwecken ausdrücklich widersprochen hat. Ein Verstoß gegen dieses Recht des Betroffenen ist, wie auch die Betroffenenrechte der Art. 12 bis Art. 23 DSGVO, bußgeldbewehrt.
Die von der Delivery Hero Germany GmbH missachteten Datenschutznormen stellen im Wesentlichen grundlegende Anforderungen an verantwortliche Stellen dar. Solche, aber auch komplexe, datenschutzrechtliche Aufgabenstellungen lassen sich oftmals nur anhand eines funktionierenden Datenschutzmanagementsystems abbilden, welches zudem die Einhaltung der rechtlichen Gegebenheiten gewährleistet.
Ein solches geordnetes System setzt standardisierte Datenschutzprozesse voraus. Diese dienen der Organisation als Wegweiser und beschleunigen die Reaktionszeit. Ein weiteres Kernelement stellen Konzepte dar. Die Einhaltung unter anderem der Löschverpflichtung von personenbezogenen Daten ist ab einer gewissen Organisationsgröße kaum zu gewährleisten wenn keine klaren Regelungen getroffen wurden. In diesem Kontext ist unter anderem festzulegen, welche Daten welchen Aufbewahrungsfristen unterliegen und anhand welcher Regeln diese zu löschen oder zu vernichten sind. Hierbei kann sich an der DIN Norm 66398 orientiert werden.
Bereits Anfang August teilte die Berliner Beauftragte für Datenschutz und Informationsfreiheit mit, Bußgelder in zweistelliger Millionenhöhe verhängen zu wollen. Bis zum Erlass des Bußgeldes gegenüber der Delivery Hero Germany GmbH hielt sich die Bußgeldhöhe in Deutschland unter der DSGVO im Rahmen und blieb unter der 100.000 Euro Marke. Im Gegensatz hierzu wurden in anderen EU-Ländern bereits empfindlichere Strafen verhängt. Allen voran erlies die französische Datenschutzbehörde Commission Nationale de l´Informatique et des Libertés (CNIL) ein Bußgeld in Höhe von 50 Millionen Euro gegen Google aufgrund des Verstoßes gegen die Informationspflicht.
Auch das Gesundheitswesen ist von Bußgeldern jenseits des gegenüber der Delivery Hero Germany GmbH verhängten Höhe nicht verschont geblieben. So verhängte die portugiesische Datenschutzbehörde CNPD bereits in 2018 ein Bußgeld von insgesamt 400.000 Euro gegenüber dem Krankenhaus Barreiro Montijo. Entscheidend für dieses Bußgeld waren die weitreichenden Dateneinsichten für Nicht-Ärzte sowie die zu hohe Zahl an Benutzern mit dem Profil „Arzt” (vgl. Kompass Gesundheit & Soziales Nr. 12/2018).
Kompass Gesundheit und Soziales
Denise Klante
Master of Laws, Compliance Officer (TÜV), Datenschutzbeauftragte DSB-TÜV
Anfrage senden
Newsletter
Fokus Gesundheits- und Sozialwirtschaft
