Millionen-Geldbuße wegen DSGVO-Verstoß. Revisionssicherheit vs. DSGVO?
Die für die Überwachung des Datenschutzes in Berlin zuständige Behörde (BlnBDI) macht Ernst: Sie brummt der Wohnungsgesellschaft Deutsche Wohnen SE ein Bußgeld von 14,5 Millionen Euro wegen Verstößen gegen die EU-Datenschutzgrundverordnung (EU-DSGVO) auf. Dies ist in dem Kontext das höchste Bußgeld, das bis dato in Deutschland erlassen wurde. „Dieses Bußgeld gegen die Deutsche Wohnen SE ist bereits schwindelerregend hoch, sagt Julian Jansen, Legal Counsel bei Mailstore. „Jedoch ist hier der Höhe nach bei Weitem noch keine Grenze erreicht: Bußgelder können nach der DSGVO bis zu 20 Millionen Euro – oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen, je nachdem, welcher Wert höher ist.“
Die Deutsche Wohnen hatte Mieterdaten, die unter die Kategorie „personenbezogene Daten“ fallen, wie zum Beispiel Einkommensnachweise, zumindest teilweise ohne Rechtsgrundlage und darüber hinaus ohne Löschfristen gespeichert und trotz eines bereits im Jahre 2017 erfolgten Hinweises durch die Datenschützer nicht gelöscht. In einem Interview mit dem Tagesspiegel erklärt die Berliner Datenschutzbeauftragte Maja Smoltczyk, den Grund für das Bußgeld: „Die Deutsche Wohnen wollte bei der Speicherung der Mieter-Daten auf Nummer sicher gehen, sie wollten gesetzlichen Vorgaben entsprechen – Wohnungsunternehmen haben bestimmte Vorhaltepflichten. Diese Vorhaltepflichten gelten aber nicht für die beanstandeten Kategorien von personenbezogenen Daten; hier existieren je nach Kategorie unterschiedliche Löschfristen.“
Revisionssicherheit und Datenschutz – ein Konflikt?
In Gänze können wir den Sachverhalt an dieser Stelle nicht darstellen – das gelingt der auf Digital-Themen spezialisierten Juristin Nina Diercks in Ihrem Blogbeitrag hervorragend. Nach einer ausführlichen Darstellung des juristischen Sachverhaltes geht sie auf den (vermeintlich) zugrundeliegenden Konflikt zwischen dem Wunsch nach Revisionssicherheit und den Anforderungen der DSGVO heraus. Die Digital-Expertin schreibt unter anderem: „Weder der Begriff ‚Revisionssicherheit‘ noch ‚revisionssichere Archivierung‘ taucht an irgendeiner Stelle im Gesetz auf. Jedoch regeln insbesondere §§ 146a, 146b der Abgabenordnung (AO) sowie die ‚Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff‘ (GoBD, vormals: GoBS) recht genau auf welche Art und Weise elektronische Buchführungsdaten aufzubewahren sind. Unter Revisionssicherheit […] wird damit im Ergebnis verstanden, dass digitale Daten so aufbewahrt werden (müssen), dass dies den rechtlichen Anforderungen in Bezug auf Ordnungsmäßigkeit, Vollständigkeit, Sicherheit, Verfügbarkeit, Nachvollziehbarkeit, Unveränderlichkeit und Zugriffsschutz genügt.“
Und Nina Diercks verdeutlicht, dass die Anforderungen der Revisionssicherheit den Grundsatz der Datenminimierung nicht ausschließen. Denn „Revisionssicherheit im Sinne der §§ 146a, 146b AO und der GoBD verlangt nicht, dass Daten ewig aufzubewahren sind. […] Es wird durch die GoBD klargestellt, dass die Anforderungen zur Revisionssicherheit nur im Rahmen der gesetzlichen Aufbewahrungsfristen zu erfüllen sind. Die Anforderungen an die Revisionssicherheit erweitern also nicht die gesetzlichen Aufbewahrungsfristen, sie stellen damit keine gesetzliche Aufbewahrungspflicht im Sinne des Art. 6 I c) DSGVO dar. Und folglich stehen damit nicht dem Grundsatz der Datenminimierung nach Art. 5 I b) DSGVO und damit auch nicht den Anforderungen von Art. 25 DSGVO entgegen.“. Darüber hinaus besagt die DSGVO, dass eine Verarbeitung personenbezogener Daten rechtmäßig ist, wenn und soweit sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, Art. 6 Abs. 1 S. 1 lit c) DSGVO. Eine solche Rechtspflicht kann etwa eine gesetzliche Aufbewahrungspflicht sein.
Wie dem Dilemma entkommen?
Soweit zum Dilemma und der Frage nach Revisionssicherheit vs. Datenschutz. Doch was hilft Unternehmen dabei, personenbezogene Daten nicht widerrechtlich zu lange zu speichern und dennoch Aufbewahrungsfristen einzuhalten? Neben dem Einsatz von Softwarelösungen, die die Einhaltung der rechtlichen Anforderungen ermöglichen, empfehlen wir von MailStore stets, einen Datenschutzexperten oder einen auf diesem Gebiet spezialisierten Juristen ins Boot zu holen. Diese Experten können Auskunft darüber geben, welche Daten gespeichert werden dürfen und auch wie lange sie gespeichert werden müssen. Über die DSGVO und die GoBD hinaus, können auch weitere, beispielsweise branchenspezifische Regularien vorherrschen, die sich unter Umständen ebenfalls auf die Anforderungen zur Verarbeitung und Speicherung von speziell personenbezogenen Daten auswirken können.
E-Mail-Archivierung als wichtiger Baustein der Data Governance
Sowohl im Interview mit Maja Smoltczyk, als auch im Blogbeitrag von Nina Diercks fällt ein wichtiges Stichwort: Archiv! Archivierungslösungen, die eine revisions- und rechtssichere Archivierung ermöglichen, sollten die manipulationssichere Aufbewahrung, sowie das den Löschfristen entsprechende Löschen von (personenbezogenen) Daten ermöglichen. Im Hinblick auf die E-Mail-Archivierung sollte eine professionelle Software zum einen die Einhaltung der GoBD ermöglichen, zum anderen aber auch bei der Erfüllung jener Anforderungen helfen, die sich aus den datenschutzrechtlichen Vorgaben der EU-DSGVO ergeben. Damit kann der Einsatz einer professionellen E-Mail-Archivierung einen wichtigen Grundstein für die Data Governance in Unternehmen darstellen.
Wenn Sie mehr zu MailStore Server – unserer Software zur rechtssicheren E-Mail-Archivierung für kleine und mittelständische Unternehmen – wissen möchten, finden Sie hier weiterführende Informationen im Kontext der Rechtssicherheit inklusive Download-Möglichkeit einer kostenfreien Testversion.
Weitere Informationen zum Themenbereich E-Mail-Archivierung und Rechtssicherheit finden Sie hier:
- E-Mail-Archivierung und die DSGVO
- Leitfaden zur rechtssicheren E-Mail-Archivierung in Deutschland Österreich und der Schweiz
- Sind die GoBD ein Gesetz?
- E-Mail-Management: Compliance und E-Mails – Was ist zu beachten?
- E-Discovery-Prozesse und geschäftliche E-Mails: Was Sie dazu wissen sollten
Related posts
