Takea­ways (AI):
  • Die däni­sche Daten­schutz­be­hör­de Data­til­syn­et hat gegen die Dans­ke Bank Straf­an­trag gestellt und eine Bus­se von CHF 1.37 Mio. gefordert.
  • Die Bank konn­te in über 400 Syste­men nicht nach­wei­sen, dass Regeln für die Löschung exi­stier­ten oder manu­el­le Löschun­gen vor­ge­nom­men wurden.
  • Die Lösch­pflicht ist ein grund­le­gen­der Prin­zip der DSGVO und betrifft meh­re­re Mil­lio­nen Personen.
  • Die Dans­ke Bank hat­te 2020 Pro­ble­me bei der Daten­lö­schung offen­ge­legt, jedoch kei­nen Fort­schritt seit­dem erzielt.
  • Unzu­rei­chen­de Löschung führt zu Per­sön­lich­keits­ver­let­zun­gen und kann bei regu­lier­ten Insti­tu­ten zu auf­sichts­recht­li­chen Fra­gen führen.

Die däni­sche Daten­schutz­be­hör­de, die Data­til­syn­et, hat gegen die Dans­ke Bank Straf­an­trag gestellt. Zugleich bean­trag­te sie, dass eine Bus­se von umge­rech­net CHF 1.37 Mio. ver­hängt wer­de. Grund war, dass die Bank bei mehr als 400 Syste­men nicht doku­men­tiert hat­te, dass Regeln für die Löschung und Spei­che­rung von Per­so­nen­da­ten exi­stier­ten oder die Löschung manu­ell vor­ge­nom­men wur­de. Die Höhe der Bus­se beruh­te auf der Erwä­gung, dass die Lösch­pflicht ein wesent­li­cher Grund­satz der DSGVO ist und meh­re­re Mil­lio­nen Per­so­nen betrof­fen waren (Medi­en­mit­tei­lung der Beör­de auf dänisch).

Dem Ver­fah­ren war eine Unter­su­chung der Daten­schutz­be­hör­de vor­aus­ge­gan­gen, in deren Zuge die Dans­ke Bank fest­ge­stellt hat­te, dass ihre Pro­ble­me bei der Daten­lö­schung umfang­rei­cher waren als ursprüng­lich ange­nom­men. Sie hat­te die­sen Umstand 2020 als Ant­wort auf ent­spre­chen­de Nach­fra­gen der Behör­de selbst offen­ge­legt (die­se Ant­wort ist hier ver­füg­bar). Eine Bus­se war damals nicht ver­hängt wor­den, aber offen­bar hat­te die Bank ihr Daten­lösch­pro­jekt seit­her nicht wesent­lich vor­an­ge­bracht. In einer Reak­ti­on auf den Straf­an­trag der Daten­schutz­be­hör­de kom­men­tier­te die Bank wie folgt:

We have con­ti­nuous­ly focu­sed on adju­sting and imple­men­ting time limits for dele­ting data in our systems, and we have made good pro­gress with our efforts. Throug­hout the pro­cess, we have had a pro­duc­ti­ve dia­lo­gue with the DPA. Howe­ver, we have also had to reco­g­nise that the task is very com­plex and that the imple­men­ta­ti­on of time limits for dele­ting data in cer­tain systems has pro­ven time-con­sum­ing. We now take note of the DPA’s recom­men­da­ti­on and con­ti­n­ue the task of dele­ting the data that we no lon­ger have any rea­son to store while we await the out­co­me of the matter.

Lear­nings: Man darf einer Behör­de gegen­über Non-Com­pli­ance durch­aus offen­le­gen, muss sich dann aber ernst­haft um die Lösung des Pro­blems küm­mern. Und die Daten­lö­schung ist bei einer kom­ple­xen System­land­schaft sehr anspruchs­voll und auf­wen­dig, aber dies hin­dert Behör­den nicht (mehr) dar­an, Sank­tio­nen zu verhängen.

Nach dem revi­dier­ten DSG ist eine unzu­rei­chen­de Löschung immer­hin nicht straf­bar, aber sie stellt eine Per­sön­lich­keits­ver­let­zung dar und kann bei Aus­kunfts­be­geh­ren zu unan­ge­neh­men Situa­tio­nen füh­ren (und bei regu­lier­ten Insti­tu­ten kann sie auf­sichts­recht­li­che Fra­gen aufwerfen).

AI-generierte Takeaways können falsch sein.