Die dänische Datenschutzbehörde, die Datatilsynet, hat gegen die Danske Bank Strafantrag gestellt. Zugleich beantragte sie, dass eine Busse von umgerechnet CHF 1.37 Mio. verhängt werde. Grund war, dass die Bank bei mehr als 400 Systemen nicht dokumentiert hatte, dass Regeln für die Löschung und Speicherung von Personendaten existierten oder die Löschung manuell vorgenommen wurde. Die Höhe der Busse beruhte auf der Erwägung, dass die Löschpflicht ein wesentlicher Grundsatz der DSGVO ist und mehrere Millionen Personen betroffen waren (Medienmitteilung der Beörde auf dänisch).
Dem Verfahren war eine Untersuchung der Datenschutzbehörde vorausgegangen, in deren Zuge die Danske Bank festgestellt hatte, dass ihre Probleme bei der Datenlöschung umfangreicher waren als ursprünglich angenommen. Sie hatte diesen Umstand 2020 als Antwort auf entsprechende Nachfragen der Behörde selbst offengelegt (diese Antwort ist hier verfügbar). Eine Busse war damals nicht verhängt worden, aber offenbar hatte die Bank ihr Datenlöschprojekt seither nicht wesentlich vorangebracht. In einer Reaktion auf den Strafantrag der Datenschutzbehörde kommentierte die Bank wie folgt:
We have continuously focused on adjusting and implementing time limits for deleting data in our systems, and we have made good progress with our efforts. Throughout the process, we have had a productive dialogue with the DPA. However, we have also had to recognise that the task is very complex and that the implementation of time limits for deleting data in certain systems has proven time-consuming. We now take note of the DPA’s recommendation and continue the task of deleting the data that we no longer have any reason to store while we await the outcome of the matter.
Learnings: Man darf einer Behörde gegenüber Non-Compliance durchaus offenlegen, muss sich dann aber ernsthaft um die Lösung des Problems kümmern. Und die Datenlöschung ist bei einer komplexen Systemlandschaft sehr anspruchsvoll und aufwendig, aber dies hindert Behörden nicht (mehr) daran, Sanktionen zu verhängen.
Nach dem revidierten DSG ist eine unzureichende Löschung immerhin nicht strafbar, aber sie stellt eine Persönlichkeitsverletzung dar und kann bei Auskunftsbegehren zu unangenehmen Situationen führen (und bei regulierten Instituten kann sie aufsichtsrechtliche Fragen aufwerfen).