14,5 Millionen Euro Strafe für nicht gelöschte Daten – wie kann man das verhindern? Ist ein Löschkonzept wirklich erforderlich?

Was macht man mit nicht mehr benötigten personenbezogenen Daten? Oftmals hält man diese nicht mehr weiterhin vor und macht sich in der Alltagshektik und der Akquise des nächsten Geschäftsabschlusses keine weiteren Gedanken. Oder die IT-Systeme sind über Jahre mit der Größe des Unternehmens chaotisch gewachsen und dabei wurde verpasst, ihnen eine beherrschbare Struktur zu geben. So erging es nun der Deutschen Wohnen AG, gegen die von der Berliner Landesdatenschutzbeauftragten ein Bußgeld von 14,5 Millionen Euro verhängt wurde.
Dort wurden wohl bereits jahrelang veraltete Mieterdaten einschließlich deren Sozialversicherungsdaten gespeichert und waren in Archiven als nicht löschbar und weiterhin einsehbar abgelegt.

Generell ist die fehlende Löschpraxis ein Verstoß gegen geltendes Datenschutzrecht und kann auch beim bloßen Fehlen bereits mit einem Bußgeld geahndet werden. Die DS-GVO hat mit dem Recht auf Löschung („Recht auf Vergessenwerden“) gem. Art. 17 DS-GVO die Pflicht zum Löschen personenbezogener Daten ohne Anforderung des Betroffenen zur Pflicht erhoben. Das Löschen auf Anforderung des Betroffenen allein erfüllt also nicht die geltenden rechtlichen Anforderungen. Dafür müssen funktionierende systemische Prozesse entwickelt werden. Diese regeln, wann in jeder Abteilung des Unternehmens personenbezogene Daten zu löschen sind und folgen den Grundsätzen der Datenminimierung und Datensparsamkeit. Um behördlichen Prüfungen der Datenschutzorganisation standzuhalten, müssen diese Prozesse umfassend eingehalten, dokumentiert und die Einhaltung kontrolliert werden.

Dazu muss ein konzeptionelles Löschkonzept, das sämtliche Verarbeitungstätigkeiten beinhaltet und für die einzelnen Tätigkeiten die Speicherorte und –fristen definiert, entwickelt werden. Zwischen den einzelnen Abteilungen des Unternehmens ist ein intensiver Abstimmungsprozess erforderlich, weil oftmals keine ausreichend konkreten Informationen beim Datenschutzbeauftragten oder einem zentralen Datenschutzkoordinator zusammenlaufen. Dadurch wird die Entwicklung eines

Löschkonzepts zeitaufwändiger, weil erst zahlreiche Gespräche mit den Fachabteilungen geführt werden müssen.

An diesem Punkt erschöpfen sich unserer Erfahrung nach die Inhouse-Ressourcen vieler Unternehmen. Hinzugezogene Berater können ein individuell abgestimmtes Löschkonzept entwickeln und vor Ort implementieren. Hilfreich ist dafür eine umfassende Erfahrung im Finanz-, Handels- und Industriesektor, um den unterschiedlichen Unternehmenskulturen gerecht zu werden. Neben der Koordination von verschiedenen Vorstellungen der Fachbereiche sind dabei die fachlichen Voraussetzungen eines umfassenden juristischen und IT-bezogenen Verständnisses der Berater für den Projekterfolg entscheidend.

Die personenbezogenen Daten müssen unter Beachtung etwaiger vorhandener Rechtsansprüche oder nach den gesetzlichen Aufbewahrungspflichten, wenn diese nicht vorhanden sind, nach der Erforderlichkeit zur Zweckerreichung kategorisiert werden. Die Annahme korrekter Aufbewahrungsfristen ist sehr wichtig, weil ein Verstoß, also eine verfrühte, verspätete oder gar keine Vernichtung, Sanktionen wie Geldbußen oder eine Strafe nach sich ziehen kann.

Beispielsweise sind Handelsrechtliche Aufbewahrungsfristen i.S.d. §§ 257 HGB, 147 AO regelmäßig bei buchungs- und besteuerungsrelevanten Unterlagen zu beachten. Der Fristbeginn muss zur Fristberechnung richtig festgelegt werden, um zu wissen, wann die Frist zu laufen beginnt. Fristbeginn ist in diesen Fällen entsprechend der Rechtslage im Bürgerlichen Gesetzbuch regelmäßig der Schluss des jeweiligen Kalenderjahres.

Die Entwicklung und Implementierung eines Löschkonzepts sollte also mit einem konkreten Fahrplan angegangen und in allen Bereichen des Unternehmens umgesetzt werden. Das Schreiben und Ablegen bloßer Arbeitsanweisungen für Mitarbeiter genügt den Anforderungen des geltenden Datenschutzrechts nicht, auch wenn hohe Bußgelder wie gegen die Deutsche Wohnen AG bisher noch selten sind. Die Aufmerksamkeit der Datenschutzbehörden zur korrekten Entfernung nicht mehr benötigter personenbezogener Daten ist aber stark gewachsen, wie die Verhängung des Bußgeldes belegt. Riskieren Sie also nicht mit Ihrer Untätigkeit ein Tätigwerden der Behörden. Mit der Entwicklung und Implementierung eines auf Ihr Unternehmen individuell abgestimmten Löschkonzeptes stellen Sie datenschutzrechtliche Compliance her und treten Bußgeldrisiken effektiv entgegen. Die Consultants der Creditreform Compliance Services GmbH beraten Sie effektiv.

Autor:
Alexander Schmidt, Senior Consultant Data Protection Services, Creditreform Compliance Services GmbH

Für die Verstärkung des Teams im Bereich Compliance & AML suchen wir zum nächstmöglichen Termin eine(n)

Experte Compliance & AML (m/w/d)

in Vollzeit.

Ihre Herausforderungen:

  • Eigenverantwortliche fachliche Unterstützung von Mandanten und Ansprechpartner für Compliance- und geldwäscherelevante Fragestellungen
  • Übernahme der Funktion des Compliance-Beauftragten (MaRisk – und Wertpapier-Compliance) sowie des Geldwäschebeauftragten /„Zentrale Stelle“ gemäß § 25h KWG bei Mandanten im Rahmen eines Outsourcings
  • Umfassende Beratung bei der Implementierung von Compliance Management Systemen (CMS)
  • Durchführung von Risikoanalysen
  • Durchführung von Kontroll- und Überwachungshandlungen
  • Pflege und Weiterentwicklung von relevanten Dokumenten (z. B. schriftlich fixierte Ordnung, Arbeitsanweisungen)
  • Organisation von Schulungsmaßnahmen und deren Durchführung bei Mandanten
  • Unterstützung in Projekten 

Was zeichnet Sie aus:

  • Erfolgreich abgeschlossenes Studium der Rechts- oder Wirtschaftswissenschaften, Bankausbildung mit fachbezogener Weiterbildung oder vergleichbare Ausbildung  
  • Einschlägige praktische Erfahrung in den Bereichen MaRisk-Compliance, Wertpapier-Compliance und Geldwäscheprävention 
  • Unternehmerisches Denken und Handeln
  • Interesse an europäischen aufsichtsrechtlichen Entwicklungen in Bezug auf Compliance und Geldwäscheprävention
  • Kenntnisse des Banken- und Finanzdienstleistungsgeschäfts sind von Vorteil
  • Gute Englischkenntnisse (vertragssicher)
  • Sie sind Teamplayer mit starker Serviceorientierung und hohem Verantwortungsbewusstsein
  • Fähigkeit zur perfekten Kommunikation auf Geschäftsführungsebene, sicheres Auftreten sowie eigenverantwortliches Arbeiten
  • Bundesweite Reisebereitschaft (teilweise Projekteinsatz bei unseren Mandanten vor Ort) 

Wir bieten:

  • Arbeit in einem wachsenden, kompetenten Team
  • Einen zukunftsorientierten Arbeitsplatz
  • Ein anspruchsvolles und abwechslungsreiches Aufgabengebiet
  • Ein attraktives Vergütungspaket
  • Work-Life-Balance 

Wenn Sie diese verantwortungsvolle Aufgabe in einem spannenden und dynamischen Markt reizt, freuen wir uns auf Ihre aussagefähige Bewerbung unter Angabe Ihres frühestmöglichen Eintrittstermins und Ihrer Gehaltsvorstellung, vorzugsweise als PDF per E-Mail.

Creditreform Compliance Services GmbH
Silvia Rohe
Hammfelddamm 13
41460 Neuss
bewerbung@creditreform-compliance.de

Unvollständige Bewerbungsunterlagen können leider nicht berücksichtigt werden.