16. Juli 2024
Im Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg) wird ein ungewöhnlicher Vorfall aus dem Jahr 2023 geschildert. Der Ordnungsdienst einer größeren Stadt entdeckte zwei große Müllsäcke voller Kassenbelege eines Pizzalieferservices neben einem Altglascontainer. Die Belege enthielten sensible Kundendaten wie Namen, Adressen, Handynummern, Bezahlarten und Bestelldetails, die hauptsächlich aus der Zeit der Corona-Pandemie stammten. Um die Anzahl der Belege abschätzen zu können, zählten städtische Mitarbeiter 1.000 Belege ab und wogen diese. Daraus wurde hochgerechnet, dass es sich um etwa 7.745 Belege handeln müsste. Der Betreiber der Pizzeria warf einem nicht zuverlässigen Mitarbeiter die unsachgemäße Entsorgung vor.
Die Aufsichtsbehörde vermutete aufgrund der Gesamtumstände, dass möglicherweise noch weitere Belege unsachgemäß entsorgt wurden. Ein richterlicher Durchsuchungsbeschluss für die Räumlichkeiten des Lieferservices bestätigte diesen Verdacht. In der Folge fand man zahlreiche Müllsäcke mit weiteren Belegen.
Die Behörde stellte einen Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f der DSGVO fest. Personenbezogene Daten müssen sicher verarbeitet werden, um unbefugten Zugriff, Verlust oder Schädigung zu vermeiden. Die Lagerung der Belege in Müllsäcken innerhalb der Geschäftsräume und die unsachgemäße Entsorgung entsprachen nicht diesen Anforderungen. Der Betreiber des Lieferservices erhielt daher eine Geldbuße im mittleren vierstelligen Bereich.
Die unsachgemäße Entsorgung personenbezogener Daten stellt einen klaren Verstoß gegen die DSGVO dar. Der Grundsatz der Integrität und Vertraulichkeit verlangt, dass Daten so verarbeitet werden, dass ihre Sicherheit gewährleistet ist. Die Belege hätten durch geeignete technische und organisatorische Maßnahmen vor unbefugtem Zugriff geschützt werden müssen.
Interessanterweise konzentrierte sich die behördliche Beurteilung nur auf den Verstoß gegen Art. 5 Abs. 1 lit. f der DSGVO. Es wurden keine Ausführungen gemacht zu möglichen Verstößen gegen Art. 5 Abs. 1 lit. e (Speicherbegrenzung) oder Art. 17 (Recht auf Löschung). Ebenso fehlte eine Bewertung einer potenziellen Datenschutzverletzung gemäß Art. 4 Nr. 12, die unter Umständen eine Meldepflicht gegenüber der Aufsichtsbehörde und den betroffenen Personen gemäß Art. 33 und 34 der DSGVO nach sich ziehen könnte.
Die Verhängung eines Bußgeldes in mittlerer vierstelliger Höhe erscheint angemessen, um den Betreiber an seine Pflichten im Umgang mit personenbezogenen Daten zu erinnern und zukünftige Verstöße zu verhindern. Es bleibt jedoch fraglich, ob alle relevanten Aspekte und potenziellen Verstöße ausreichend berücksichtigt wurden.
Eine ordnungsgemäße Verarbeitung und Speicherung personenbezogener Daten ist essenziell. Stellen Sie sicher, dass Daten sicher gelagert und nur von autorisierten Personen eingesehen werden können. Vermeiden Sie Zwischenlagerungen in unsicheren Behältnissen wie Müllsäcken.
Regelmäßige Schulungen und Sensibilisierungsmaßnahmen helfen Ihren Mitarbeitern, die Bedeutung des Datenschutzes zu verstehen und sicherzustellen, dass alle Prozesse den gesetzlichen Vorgaben entsprechen.
Die Implementierung geeigneter technischer und organisatorischer Maßnahmen ist unerlässlich, um die Sicherheit und Vertraulichkeit personenbezogener Daten zu gewährleisten. Dazu zählen unter anderem verschlüsselte Speicherung und sichere Vernichtung von Daten.
Benötigen Sie Unterstützung im Bereich Datenschutz und Datensicherheit? Unser Team von AZ-Datenschutz steht Ihnen mit Rat und Tat zur Seite. Kontaktieren Sie uns, um Ihre individuelle Lösung zu finden!
Input your search keywords and press Enter.
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr Informationen