Das aktuell höchste Bußgeld gegen die Deutsche Wohnen SE“ in Berlin ist in vielerlei Hinsicht richtungsweisend für den Datenschutz in Deutschland. 

Das beeindruckende und wichtigste aus meiner Sicht ist nicht die Höhe des Bußgeldes von 14,5 Mio Euro. Es handelt sich zwar um das höchste, bisher in Deutschland verhängte Bußgeld. Es orientiert sich jedoch am Umsatz des Unternehmens und hat sogar diverse positive Aspekte strafmildernd berücksichtigt. Das Bußgeld an sich ist also nicht das interessante. 

Das wesentlich interessantere ist die Ursache für das Bußgeldes. Die Deutsche Wohnen SE“ hat nach Angaben Berliner Beauftragte für Datenschutz sowohl Daten ohne ausreichende, rechtliche Grundlage gespeichert (fehlende Umsetzung des Minimierungsgebots) und diese Daten wurden dann auch noch „revisionssicher“ archiviert, ohne ein entsprechendes Löschkonzept implementiert zu haben. 

Eine sehr gute und ausführliche Würdigung der rechtlichen Hintergründe von „Revisionssicherheit versus Datenschutz“ findet sich bei der bekannten Rechtsanwältin Nina Diercks unter https://diercks-digital-recht.de/2019/11/berliner-datenschutzbehoerde-blnbdi-erlaesst-bussgeld-nach-dsgvo-in-hoehe-von-145-millionen-eur-eine-einordnung-auch-in-sachen-revisionssicherheit-versus-dsgvo/ (wieder einmal Danke dafür den guten Artikel ) 

Diese Bußgeld zeigt auch klar auf, dass die Zeit der Beratung durch die Landesaufsichtsbehörden nun endgültig vorbei ist und (jedoch erst nach Aufforderung zur Abstellung des Sachverhalts) auch Bußgelder in nicht unerheblichem Umfang verhängt werden.  

Mit diesem Bußgeld rückt jetzt jedoch ein Thema in den Mittelpunkt der Betrachtung, welches bei sehr vielen Unternehmen bisher unzureichend oder gar nicht betrachtet wird. Das Thema Löschkonzepte“ wurde bisher kaum betrachtet und schon gar nicht implementiert. Das nun ein Unternehmen mit einen nicht unwesentlichen Bußgeld belegt wurde, weil Löschkonzepte nicht ausreichend implementiert wurden, ist die eigentlich richtungsweisende Erkenntnis aus diesem Fall. 

“Die Entwicklung und Implementierung von wirkungsvollen Löschkonzepten erfordert zukünftig deutlich mehr Aufmerksamkein in Organisationen!

Dies bedeutet für weitgehend allen Unternehmen und Organisationen, dass die Schonfrist für die Ignorierung von Löschkonzepten vorbei ist und nun entsprechende Löschkonzepte für personenbezogene Daten entwickelt und wirkungsvoll implementiert werden müssen.

Löschkonzept sind Bestandteil eine Informations-Managementsystems

Vor der Umsetzung eines Löschkonzeptes müssen zunächst jedoch die verschiedenen Informationen in den Unternehmen erst einmal identifiziert werden (Stichwort: Informationsinventur) und sauber nach verschiedenen Aspekten kategorisiert werden.  Die Informationsinventur als erster Schritt in einem Informations-Managementsystem umfasst auch die Art des Vorkommens der Information ( Papierform, als elektronisches Dokument, als Datenbankeintrag,…).  In der Informationsinventur müssen auch die verwendeten Systeme und Speicherorte der Informationen erfasst werden, um später ein umfassendes Löschkonzept entwickeln zu können. 

Für die verschiedenen Informationskategorien müssen dann die entsprechenden Aufbewahrungsfristen festgelegt werden. Diese ergeben sich aus dem jeweiligen Rechtskataster der Organisation und damit aus verschiedenen rechtlichen Verpflichtungen.  

Sowohl das Rechtskataster, wie auch die Aufbewahrungsfristen sind leider ebenfalls in vielen Organisationen nicht ausreichend bekannt oder umgesetzt, was die Umsetzung von Löschkonzepten weiter erschwert.

Erst im Zusammenspiel der Informationsinventur mit den rechtlichen Grundlagen und den Aufbewahrungsfristen kann ein funktionsfähiges Löschkonzept entwickelt werden. 

Geheimnisschutz als weiterer Aspekt des Informations-Managementsytems

In diesen ganzen Themenbereich fällt auch das neue und kaum beachtete „Gesetz zum Schutz von Geschäftsgeheimnissen“ (GeschGesG). Ein wirkungsvoller Schutz von Geschäftsgeheimnissen kann nur erfolgen, wenn die Formen und Vorkommen der Geschäftsgeheimnisse bekannt sind (siehe Informationsinventur). Die Umsetzung des Gesetzes erfordert daher eine sehr ähnliche Vorgehensweise, wie bei der Einführung von Löschkonzepten Bei Löschkonzepten geht es um die Löschung von personenbezogenen Informationen, beim Geheimnisschutz geht es um den Zugriffschutz von vertraulichen Informationen.

Als Konsequenz aus dem oben beschriebenen Bußgeld und den Anforderungen aus dem Gesetz zum Schutz von Geschäftsgeheimnissen empfehlen wir deshalb, dass sich Unternehmen und Organisationen jetzt systematisch mit dem Informationsmanagement und mit Löschkonzepten auseinandersetzen sollten. 

 

Vorgehensweise zur Umsetzung eines Informations-Managementsystems

Nachfolgend finden Sie einige Anregungen zur Umsetzung eines systematischen Informationsmanagement: 

  • Inventur der Informations- und Wissensbestände 
  • Multifaktorielle Kategorisierung der Informations- und Wissensbestände (Informationsart, Aufbewahrungsart, Haltbarkeit, Ort und Verfahren der Verwendung.  Informationskategorie, Geheimhaltungskategorie,… 
  • Erfassung der Compliance-relevanten Aspekte (Aufbewahrungsfristen nach verschiedenen Rechtsquellen, Geheimhaltungsstufe aufgrund gesetzlicher und interner Vorgaben,..) 
  • Festlegung der Zugriffs und Nutzungsrechte 
  • Zuordnung der Informations- und Wissensbestände zu Intellectual Capital Gruppen (Humankapital, Strukturkapital, Beziehungskapital,…) 
  • Erarbeitung einen umfassenden Informationsmanagement-Konzeptes.  
  • Erarbeitung und implementierung eines wirkungsvollenLöschkonzept 
  • Optional: Erstellung einer Informations- und Wissensbilanz 

Der Aufbau eines derartigen Informationsmanagementsystem ist keine Frage von einem halben Tag Aufwand, sondern erfordert deutlich mehr internen Analyse- und Organisationsaufwand. Der Nutzen einer systematischen Herangehensweise übersteigt den Aufwand für ein derartiges Konzept aber bei Weitem, da die Bedeutung von Informationen in einer Informations- und Wissensgesellschaft auch in den kommenden Jahren zunehmen wird.

Ohne ein systematisches Informationsmanagement (inkl. Löschkonzept) werden Organisationen rechtliche Anforderungen deutlich schwerer erfüllen können und die vorhandenen Informationen unzureichend schützen und nutzen können. 

 

Für weitergehende Fragen zur Umsetzung eines systematischen Informations- und Wisssensmanagementsystems sprechen Sie uns gerne direkt an. 

Bildnachweis: Bild von 3D Animation Production Company auf Pixabay