Das Archivsystem eines Immobilienunternehmens sieht keine Möglichkeit vor, Daten zu löschen. Die Berliner Datenschutzbehörde wertet dies als Datenschutzverletzung und verhängt ein Bußgeld in zweistelliger Millionenhöhe. Was bedeutet dies für Archivsysteme mit WORM-Speichern, müssen diese nun abgeschalten werden?
Leserfrage: Ein Bußgeld von 14,5 Millionen Euro wurde Anfang November von der Berliner Datenschutzbehörde gegen die Deutsche Wohnen verhängt. Das Archivsystem des Immobilienunternehmens sieht keine Möglichkeit vor, Daten zu löschen. IT-Experten halten da erstmal gespannt den Atem an, denn was ist nun mit Archivsysteme mit WORM-Speichern, müssen diese nun abgeschalten werden?
Antwort Doc Storage:
Ich weiß, ich nerve, aber auch hier gibt es wieder das berühmte »es kommt drauf an«. Denn hier gibt es dummerweise mehrere Perspektiven, die es unter einen Hut zu bekommen gilt. Die pragmatisch-juristische, die sich lediglich um den Gesetzestext und dessen buchstäblicher Ausführung kümmert – auf dieser Seite stehen dummerweise auch die Anwender bzw. »Besitzer« der Daten, die es auf Wunsch aus den Archiven zu tilgen gilt, und natürlich die Datenschützer, die ständig mit der Keule der Bestrafung bei Nichteinhaltung in der Gegend herumfuchteln. Die technische, die ganz eiskalt die Machbarkeit dieser Tilgungen betrachtet. Und dann diejenige aus dem Betrieb eines Rechenzentrums, also derjenigen, die erstens die Produktion sicherzustellen und zweitens den Kopf hinzuhalten haben, wenn etwas einmal nicht klappt.
Betrachten wir diese Perspektiven erst einmal getrennt voneinander.
Die DSGVO macht es sich sehr einfach. Hier steht in Artikel 17 folgendes (tut mir leid, nicht mein Deutsch, aber so stehts da nun mal…):
1. Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
2. Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
3. Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist.
a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;
d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit dass in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
e) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Juristen sehen Bußgeld als ungerechtfertigt
Ich habe mich mit mehreren Juristen unterhalten, und eigentlich kommen alle mehr oder weniger zu demselben Schluss: erstens muss der »Besitzer« der Daten zunächst einmal nachweisen, dass Absatz 1 a-f erfüllt wurden. Das dürfte für den einzelnen schon beliebig schwierig werden. Zum zweiten muss der »Besitzer« nach Absatz 2 dem Verarbeiter/Speicherer nachweisen, dass es – und jetzt geht die Kuh langsam rückwärts aufs Eis – mit den »verfügbaren Technologien« und den »Kosten angemessenen Maßnahmen« überhaupt möglich ist, einen oder mehrere seiner Datensätze zu löschen.
Hier möchte ich das erste Mal Bezug auf die Diskussion rund um WORM und die Datenlöschung nehmen. Ist es dem Betreiber tatsächlich zuzumuten, einzelne Datensätze aus dem Archiv herauszukratzen? Also wie in anderen Beiträgen zum Thema beschrieben zum Beispiel auf WORMs zu löschen und dann die gesamten anderen Sätze auf ein neues Medium zu kopieren, um dann das Original zu vernichten?
In einem anderen Beispiel wurde die Centera angeführt. Ja, tatsächlich stehen nicht jedem Betreiber mindestens zwei dieser Systeme zur Verfügung, um nach dem Löschen eines Eintrages in einer tagelangen Aktion den dann gültigen Inhalt des einen auf das andere zu replizieren. Wenn wir also die hierbei anfallenden Kosten für Medien, Systeme, Netzwerk, betreuendes Personal, Energie und Klima gegen das Recht des einzelnen auf einen einzigen Datensatz setzen, ist dies das Thema einer juristischen Grundsatz-Auseinandersetzung, ob wir das dann tatsächlich tun MÜSSEN.
Und dass die Berliner Datenschutzbeauftragte Maja Smoltczyk ein Bußgeld von 14,5 Millionen Euro erlassen hat, weil zum Teil jahrealte persönliche Daten von Mietern und Mieterinnen wie Sozial- und Krankenversicherungsdaten, Arbeitsverträge oder Informationen über ihre finanziellen Verhältnissen unlöschbar im Archiv des Unternehmens aufbewahrt worden waren und noch immer eingesehen und verarbeitet werden können, zeugt nur von drei Dingen: erstens der Gier des Fiskus nach neuen Einnahmequellen, zweitens der Unkenntnis der eigenen Gesetze (nach Absatz 1 hat man offenbar sicherheitshalber nicht weitergelesen) und drittens einem tiefen technischen Unverständnis den Archivsystemen gegenüber.
Ich hab vorhin einem Kollegen gegenüber schon geschmunzelt, was nun teurer sei, dass Bußgeld zu bezahlen oder die dafür notwendige Technologie mit entsprechenden Prozessen einzuführen. Also wird hier erstmal gar nichts gezahlt werden, und wenn die Deutsche Wohnen einen halbwegs geschickten Anwalt hat, überhaupt nie.
Die technische Perspektive haben bereits mehrere Kollegen bedient, wie zum Beispiel Dr. Ulrich Kampffmeyer, dem deutschen Experten für Informationsmanagement und Geschäftsführer von Project Consult. Den sehr ausführlichen Beiträgen ist eigentlich nichts mehr hinzuzufügen.
Problem: Die Verantwortlichen haben die Anforderungen ignoriert
Und nunmehr die Perspektive des Betriebes. Und diese Perspektive beginnt eigentlich schon vor fast zwei Jahren, also vor dem Ende des Ablaufes der Frist zur Einführung der DSGVO-Regeln. Damals hatten wir alle zwei (eigentlich ja vier) Jahre Zeit, diese Gesetzestexte zu lesen, sie von unseren Juristen verstehen und interpretieren zu lassen. Wir hatten mehr als genug Zeit, all unsere Systeme von allen Seiten zu betrachten, auch die Archive, und die Behandlung der dort gespeicherten Daten von unseren Juristen vorbereiten zu lassen (jaja, ich scheiße wieder klug, aber wie ich schon vor längerem geschrieben habe: DSGVO ist kein Job der IT, wir sind hier nur ausführendes Organ).
Den Herrschaften bei der Deutschen Wohnen kann man vorhalten, dass sie bereits vor zwei Jahren mit auf den Weg bekommen haben, den Umstand um die nun bemängelten Speicher zu beheben. Man hätte sich also hinsetzen müssen und entweder mit entsprechenden Herstellern ein System einführen, welches die gesetzlichen Anforderungen erfüllt, oder aber man hätte in 24 Monaten ein Schriftstück aufsetzen müssen, wieso es »unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen« nicht möglich sein soll, die Daten im Archiv auf Wunsch zu löschen. Dann hätte man wenigstens einen Prozess aufsetzen müssen, mit welchem die eventuell mit aus dem Archiv ausgelesenen Datensätzen befassten Kollegen in der Produktion in Kenntnis gesetzt werden, dass der »Besitzer« eines bestimmten Datensatzes dessen Löschung verlangt hat. Und damit verhindert, dass die Daten wieder in eine aktive Umgebung gelangen.
Man sieht, es ist also kaum ein technisches Problem, dass wir hier diskutieren. Entweder ist es eines rund um juristische Begrifflichkeiten von angemessener und monetär leistbarer Technik, oder aber eines rund um entsprechend eng gefasster Prozesse. In beiden Fällen geht es gar nicht darum, ob Daten im Archiv gelöscht werden (können) oder nicht. Sondern lediglich darum, ob man die Technik dazu einsetzen kann oder nicht, und ob es entsprechende Arbeits- und Handlungsanweisungen gibt. Nach meinen Erfahrungen aus dem Betrieb kann man die selbsternannten Datenschutzritter mit einer möglichst detaillierten Prozesssammlung beruhigen. Dauerhaft.
Gruß
Doc Storage
- Doc Storage: Endlich: Hersteller wehren sich gegen Analysten
- Doc Storage: »Jobsuche in der IT über 40 – vergesst es…«
- Doc Storage: DSGVO für KMUs: Machen, nicht diskutieren
- Doc Storage: Stress – die Perspektive aus dem Doppelboden