Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Berliner Datenschutzbehörde (BlnBDI) erlässt Bußgeld nach DSGVO in Höhe von 14,5 Millionen EUR | Eine Einordnung – auch in Sachen Revisionssicherheit versus DSGVO

Gestern gab die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczy, per Pressemitteilung bekannt, dass am 30. Oktober gegen die Deutsche Wohnen SE ein Bußgeldbescheid in Höhe von 14,5 Millionen Euro aufgrund von Verstößen gegen die DSGVO erlassen worden sei. Dabei handelt es sich um das fünfthöchste Bußgeld, dass bislang EU-weit und um das höchste Bußgeld, dass bislang in Deutschland erlassen wurde.

Naturgemäß eilt nun diese Meldung durch die Presselandschaft und wird auf Twitter kommentiert. Dazu hat der geschätzte Kollege Niko Haerting bereits die erste juristische Kritik geäußert, seiner Auffassung nach steht der Bußgeldbescheid auf dünnem Eis.

Doch worum geht es eigentlich? Wie ist der Bußgeldbescheid rechtlich einzuordnen? Und ist das Eis tatsächlich so dünn wie vom Kollegen Haerting beschrieben?

Der Sachverhalt

Den Sachverhalt können wir letztlich nur der Pressemitteilung der BlnBDI sowie in Teilen dem Interview von Maja Smoltczy gegenüber dem Tagesspiegel entnehmen.

Demnach ereignete sich das Folgende:

Bereits im Jahr 2017 ergaben Vor-Ort-Prüfungen der Berliner Datenschutzbehörde bei der Deutsche Wohnen SE:

  • dass Daten von MieterInnen ohne Prüfung, ob diese erforderlich sind, gespeichert wurden,
  • dass ein Archiv-System verwendet wurde, das nicht über die Möglichkeit zur Löschung von nicht mehr erforderlichen Daten verfügte.

Schon nach dem BDSG-alt lagen hier offensichtliche Datenschutzverstöße vor. Zum einen wohl Datenerhebungen und -speicherungen, die ohne Rechtsgrundlage erfolgten. Zum anderen ein Verstoß gegen den Grundsatz der Datensparsamkeit.

In den von der Behörde begutachteten Einzelfällen wurden jahrelang personenbezogene Daten von MieterInnen verarbeitet, ohne dass noch ein Zweck zur Verarbeitung vorgelegen hätte. In der Pressemitteilung heißt es, es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial-und Krankenversicherungsdaten sowie Kontoauszüge.

Die BlnBDI sprach bereits im Jahr 2017 die dringende Empfehlung aus, das Archivsystem umzustellen. Dies bedeutet, die Deutsche Wohnen SE hätte entweder die Software ändern und mit einem Löschkonzept versehen oder aber eine neue Software anschaffen müssen, die die Möglichkeit der Klassifizierung von Daten sowie deren differenzierte Löschung enthielt.

Im März 2019 prüfte die BlnBDI die Deutsche Wohnen SE erneut. Dabei stellte die Behörde fest, dass das Unternehmen 1,5 Jahre nach dem ersten Prüftermin und 9 Monate nach Geltung der DSGVO die angemahnten Zustände nicht beseitigt, sondern nur Vorbereitungen dazu getroffen hatte. Dies führte jedoch nicht zu einer Herstellung eines rechtmäßigen Zustandes der Verarbeitung der personenbezogenen Daten.

Vor diesem Hintergrund sah sich die Behörde verpflichtet, ein Bußgeld wegen des Verstoßes gegen Art. 25 DSGVO (privacy by design & default) sowie wegen eines Verstoßes gegen Art. 5 DSGVO zu erlassen.

Nach Art. 83 Abs. 1 DSGVO müssen Aufsichtsbehörden sicherstellen, dass Geldbußen für Verstöße in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind.

Die Deutsche Wohnen SE machte 2018 einen Jahresumsatz von mehr als 1,1 Milliarde Euro jährlich. Ein Verstoß gegen Art. 25 DSGVO kann nach Art. 83 Abs. 4 a) DSGVO mit einer Geldbuße von bis zu 2% des weltweiten Jahresumsatzes geahndet werden. Ein Verstoß gegen Art. 5 DSGVO kann nach Art. 83 Abs. 5 a) DSGVO mit einer Geldbuße von bis zu 4% des weltweiten Jahresumsatzes geahndet werden.

Demgemäß legte die BlnDI die Grundsumme zur Berechnung des Bußgeldes bei der Deutsche Wohnen SE auf 28 Millionen EUR und damit auf rund 2,5% des Jahresumsatzes fest. Bußgeldmildernd wurde berücksichtigt, dass das Unternehmen bereits erste Maßnahmen zur Beseitigung der rechtswidrigen Zustände ergriffen hatte und formal gut mit der Aufsichtsbehörde zusammenarbeitete. Weiter konnten auch keine missbräuchlichen Zugriffe von Dritten festgestellt werden, so dass nach Auffassung der BlnBDI ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen war.

Und so wurde wegen dieses strukturellen Verstoßes aufgrund des Einsatzes von unzureichender Software ein Bußgeld in Höhe von 14,5 Millionen EUR gegen die Deutsche Wohnen SE verhängt.

Der Bußgeldbescheid ist nicht rechtskräftig. Die Deutsche Wohnen SE möchte wohl dagegen vorgehen

Die Rechtslage – Revisionssicherheit versus DSGVO (?)

Nachfolgend sollen die vorgeworfenen Verstöße gegen Art. 5 und Art. 25 DSGVO betrachtet werden. Spannend ist dabei der zwischen dem Wunsch nach Revisionssicherheit und den Anforderungen der DSGVO (scheinbar) auftretende Konflikt.

Verstoß gegen Artikel 5 DSGVO

Die BlnBDI beanstandete zum einen, dass Daten ohne Prüfung der Erforderlichkeit verarbeitet wurden. Wenn dies nicht im Ergebnis zu Verstößen gegen Artikel 6 DSGVO führt, wonach jede Verarbeitung einer Rechtsgrundlage bedarf, so doch jedenfalls zu einem Verstoß gegen Artikel 5 DSGVO. Art. 5 DSGVO regelt die Grundsätze der Datenverarbeitung, wonach diese unter anderem

  • nur rechtmäßig,
  • nur für festgelegte, legitime Zwecke,
  • nur dem Zweck angemessen sowie auf das notwendige Maß beschränkt („Datenminimierung“)

erfolgen darf.

Wenn eine Datenverarbeitung erfolgt, ohne dass diese Grundsätze eingehalten werden, ist sie rechtswidrig. Diese Grundsätze können nicht eingehalten werden, wenn eben hinsichtlich verarbeiteter Daten nicht zuvor geprüft wird, ob die Verarbeitung diesen Grundsätzen entspricht. Die BlnBDI drückt wohl dies sehr verkürzt mit „Prüfung der Erforderlichkeit“ in ihrer Pressemitteilung aus.

Soweit so wenig wurde dies bislang kritisiert.

Verstoß gegen Artikel 25 DSGVO und Art. 5 DSGVO

Das BlnBDI beanstandete jedoch zum anderen, dass ein weiterer struktureller Verstoß vorlag (bzw. nicht abgestellt wurde). Nämlich der, dass eine Software zur Archivierung eingesetzt wurde, die keine Löschmöglichkeiten vorsah. Eine solche Software verstößt gegen den Grundsatz von Art. 25 DSGVO, der eben verlangt, dass Datenschutz auch durch Technikgestaltung und datenschutzfreundliche Voreinstellungen zu erfolgen hat (privacy by design & default). Weiter verstößt eine solche Software gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 c) DSGVO.

Nun wird an dieser Stelle, auch von Haerting in seinem Artikel „Dünnes Eis: Berliner Datenschützer verhängen Millionenbußgeld“ argumentiert, dass es hier doch vorliegend um die Verfahrensweisen zur Archivierung alter Vorgänge ginge, mithin um die „Revisionssicherheit.“ Diese Revisionssicherheit diene dazu, den gesetzlichen Aufbewahrungspflichten, wie sie dem Handels- und Steuerrecht entspringen, nachzukommen. Damit müsse diese Verarbeitung im Sinne von Art. 6 I c) DSGVO, der die Datenverarbeitung zur Erfüllung gesetzlicher Pflichten regelt, erlaubt sein.

Haerting zeigt sich gar ganz verwundert über den „Trick“ der Behörde, Art. 6 I c) DSGVO ausgewichen zu sein und sich, trotz bestehender Aufbewahrungspflichten, auf den, nach Haerting gewagten, Standpunkt zu stellen, dass revisionssichere Software-Systeme nicht DSGVO-konform seien.

Mein Kommentar dazu lautet: Veto! Diese Argumentation ist mindestens so alt wie revisionssichere Systeme angeboten werden. Aber sie ist genauso lange genauso inkonsistent, da sie die verschiedenen Anforderungen aus gesetzlichen Aufbewahrungspflichten, Anforderungen an revisionssichere Speicherungen, Beweissicherungszwecken sowie den datenschutzrechtlichen Pflichten nicht hinreichend differenziert betrachtet.

Revisionssicherheit und DSGVO – geht das wirklich nicht zusammen?

Zunächst einmal muss geklärt werden, was Aufbewahrungspflichten und was Revisionssicherheit eigentlich konkret ist und wie das jeweils rechtlich zu bewerten ist.

Das Thema Aufbewahrungspflicht ist an sich recht einfach. Der Gesetzgeber macht beispielsweise in § 257 HGB oder 147 AO konkrete Vorschriften wie lange bestimmte Dokumente und sonstige Unterlagen aufzubewahren sind. In der Regel lauten die Fristen sechs Jahre, wie etwa Handels- und Geschäftsbrief, bzw. 10 Jahre, wie etwa Buchungsbelege oder Jahresabschlüsse. Demnach besteht eine gesetzliche Pflicht, diese Unterlagen über die genannten Zeiträume aufzubewahren. Ergo, eine Aufbewahrungspflicht. Ergo, eine gesetzliche Grundlage zur Verarbeitung von Daten im Sinne von Art. 6 I c) DSGVO.

[Jaha, im Detail ist das alles komplexer, aber ich hab jetzt keine Zeit für eine Doktorarbeit zu den verschiedenen Aufbewahrungspflichten.]

Die Revisionssicherheit. Tja. Bösartig gesagt, ist das ein gesetzlich verankertes Konzept, mit dem die Hersteller von digitalen Archivierungssystemen durch das Umsetzen der Anforderungen an revisionssicheres Archivieren bei zeitgleichem Negieren von schon lange bestehenden datenschutzrechtlichen Anforderungen sehr viel Geld verdient haben. Warum verdient man mit dem Negieren von datenschutzrechtlichen Anforderungen viel Geld? Nun es ist natürlich wesentlich einfacher, Systeme zu programmieren, die eine Klassifizierung von Daten sowie das entsprechende Anlegen von Löschkonzepten nicht vorsehen. Dazu macht es die Anwendung leichter, wenn der Kunde einfach „alles“ aus „Gründen der Revisionssicherheit“ (vermeintlich) speichern muss.

[Aber das Negieren von datenschutzrechtlichen Anforderungen hat natürlich gar nichts mit dem Wettbewerbsrecht zu tun. Nichts. *Hust. Okay. Anderes Thema.].

Nun lassen wir aber einmal die Polemik weg und betrachten die Themen Aufbewahrungspflicht, Revisionssicherheit und Pflicht zur Datenminimierung mit der soeben selbst eingeforderten Differenzierung.

Weder der Begriff „Revisionssicherheit“ noch „revisionssichere Archivierung“ taucht an irgendeiner Stelle im Gesetz auf. Jedoch regeln insbesondere §§ 146a, 146b der Abgabenordnung (AO) sowie die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD, vormals: GoBS) recht genau auf welche Art und Weise elektronische Buchführungsdaten aufzubewahren sind. Unter Revisionssicherheit oder aber eben der „revisionssicheren Archivierung“ wird damit im Ergebnis verstanden, dass digitale Daten so aufbewahrt werden (müssen), dass dies den rechtlichen Anforderungen in Bezug auf Ordnungsmäßigkeit, Vollständigkeit, Sicherheit, Verfügbarkeit, Nachvollziehbarkeit, Unveränderlichkeit und Zugriffsschutz genügt.

Dabei geht es vor allem darum, dass die Buchführungsdaten nicht nachträglich veränderbar sein dürfen. Das ist natürlich sinnvoll, um Manipulationen zu verhindern. Daneben bieten derart „revisionssichere“ Systeme den Vorteil, dass der Kunde bei Verwendung eines solchen geprüften Systems unmittelbar die soweit ordnungsgemäße Aufbewahrung seiner Buchhaltungsunterlagen nachweisen kann (Beweissicherungszweck).

Aber so sehr man auch sucht, eines erfordern alle diese Vorschriften nicht, die Pflicht zur ewigen Aufbewahrung. Im Gegenteil.

In den §§ 146a, 146b AO finden sich gar keine Regelungen zu Aufbewahrungsfristen. Das ist auch unnötig, schließlich sind diese insbesondere in § 147 AO bereits geregelt. In der GoBD finden sich gleich mehrere Regelungen dazu, hier heißt es:

GoBD Ziffer 3 Rz. 27

Diese Grundsätze müssen während der Dauer der Aufbewahrungsfrist nachweisbar erfüllt werden und erhalten bleiben.

GoBD Ziffer 3 Rz. 33

Die progressive und retrograde Prüfung muss für die gesamte Dauer der Aufbewahrungsfrist und in jedem Verfahrensschritt möglich sein.

GoBD Ziffer 3 Rz. 34

Die Nachprüfbarkeit der Bücher und sonst erforderlichen Aufzeichnungen erfordert eine aussagekräftige und vollständige Verfahrensdokumentation (siehe unter 10.1), die sowohl die aktuellen als auch die historischen Verfahrensinhalte für die Dauer der Aufbewahrungsfrist nachweist und den in der Praxis eingesetzten Versionen des DV-Systems entspricht.

GoB Ziffer 3 Rz. 35

Die Nachvollziehbarkeit und Nachprüfbarkeit muss für die Dauer der Aufbewahrungsfrist gegeben sein.

GoBD Ziffer 9 Rz. 119

Sind aufzeichnungs- und aufbewahrungspflichtige Daten, Datensätze, elektronische Dokumente und elektronische Unterlagen im Unternehmen entstanden oder dort ein-gegangen, sind sie auch in dieser Form aufzubewahren und dürfen vor Ablauf der Aufbewahrungsfrist nicht gelöscht werden.

GoBD Ziffer 9.2 Rz. 130

Werden Handels- oder Geschäftsbriefe und Buchungsbelege in Papierform empfangen und danach elektronisch erfasst (scannen), ist das Scanergebnis so aufzubewahren, dass die Wiedergabe mit dem Original bildlich übereinstimmt, wenn es lesbar gemacht wird. Werden gescannte Dokumente per Optical-Character-Recognition-Verfahren (OCR-Verfahren) um Volltextinformationen angereichert (zum Beispiel volltextrecherchierbare PDFs), so ist dieser Volltext nach Verifikation und Korrektur über die Dauer der Aufbewahrungsfrist aufzubewahren und auch für Prüfzwecke verfügbar zu machen.

Anmerkung zu Ziffer 9.2 : Ich hatte mich über diese Formulierung zunächst stark gewundert und zunächst geschrieben, warum hier eine Ausnahme statuiert wurde, bei der denn eine Speicherung über die Aufbewahrungsfrist hinaus erfolgen können sollte. Dank @FranzOnBrands wurde dieses Missverständnis meinerseits ganz schnell aufgeklärt. Denn zu lesen ist hier in der GoBD „über die Dauer der Aufbewahrungsfrist“ im Sinne von „für die Dauer der Aufbewahrungsfrist“ und nicht im Sinne von „darüber hinaus“. So macht das auch gleich viel mehr Sinn. Aber vielleicht sind Sie darüber auch gestolpert…

GoBD Ziffer 10.1 Rz. 154

Für den Zeitraum der Aufbewahrungsfrist muss gewährleistet und nachgewiesen sein, dass das in der Dokumentation beschriebene Verfahren dem in der Praxis eingesetzten Verfahren voll entspricht. […] Die Aufbewahrungsfrist für die Verfahrensdokumentation läuft nicht ab, soweit und solange die Aufbewahrungsfrist für die Unterlagen noch nicht abgelaufen ist, zu deren Verständnis sie erforderlich ist.

In der GoBS, die noch weiterhin für alle Daten gilt, die vor 2015 angelegt wurden, gibt es entsprechende Passus und einen ganz eindeutigen zu Aufbewahrungsfristen, welche auf die Regelungen des HGB und der AO verweist:

Aufbewahrungsfristen

Daten mit Belegfunktion sind grundsätzlich sechs Jahre, Daten und sonst erforderliche Aufzeichnungen mit Grundbuch- oder Kontenfunktion sind grundsätzlich zehn Jahre aufzubewahren. Die Verfahrensdokumentation zur DV-Buchführung gehört zu den Arbeitsanweisungen und sonstigen Organisationsunterlagen im Sinne des § 257 Abs. 1 HGB bzw. § 147 Abs. 1 AO und ist grundsätzlich zehn Jahre aufzubewahren. Teile der Verfahrensdokumentation, denen ausschließlich Belegfunktion zukommt (z. B. die Dokumentation zur DV-Verkaufsabrechnung, aus der sich die Buchungen zu den Forderungen ergeben), sind grundsätzlich sechs Jahre aufzubewahren. […].

Die Anforderungen der Revisionssicherheit schließt den Grundsatz der Datenminimierung nicht aus

Aus der Zusammenschau der vorstehenden Regelungen ergibt sich grundsätzlich das nachfolgende Ergebnis:

Revisionssicherheit im Sinne der §§ 146a, 146b AO und der GoBD verlangt nicht, dass Daten ewig aufzubewahren sind. Im Gegenteil. Es wird durch die GoBD klargestellt, dass die Anforderungen zur Revisionssicherheit nur im Rahmen der gesetzlichen Aufbewahrungsfristen zu erfüllen sind. Die Anforderungen an die Revisionssicherheit erweitern also nicht die gesetzlichen Aufbewahrungsfristen, sie stellen damit keine gesetzliche Aufbewahrungspflicht im Sinne des Art. 6 I c) DSGVO dar. Und folglich stehen damit nicht dem Grundsatz der Datenminimierung nach Art. 5 I b) DSGVO und damit auch nicht den Anforderungen von Art. 25 DSGVO entgegen.

Es bedarf hier keines grundsätzlichen „Vorrangs“ des Datenschutzrechts wie Haerting proklamiert. Das Datenschutzrecht ist – soweit personenbezogene Daten verarbeitet werden – den Anforderungen an die Revisionssicherheit inhärent. Dies ergibt sich schon aus den steten Verweise auf die Aufbewahrungsfristen.

In Folge dessen wird auch deutlich, dass es einer Prüfung des Art. 6 I c) DSGVO durch die Behörden nicht bedurfte, jedenfalls bedurfte es keines Hinweises darauf in der Pressemitteilung, die wir alle bis zum jetzigen Zeitpunkt ausschließlich kennen.

Und in diesem Zusammenhang ist auch die – wahrscheinlich verkürzt wiedergegebene – nachfolgende Äußerung Smoltczyks im Tagesspiegel zu verstehen:

Die Deutsche Wohnen wollte bei der Speicherung der Mieter-Daten auf Nummer sicher gehen, sie wollten gesetzlichen Vorgaben entsprechen – Wohnungsunternehmen haben bestimmte Vorhaltepflichten. Diese Vorhaltepflichten gelten aber nicht für die beanstandeten Kategorien von personenbezogenen Daten; hier existieren je nach Kategorie unterschiedliche Löschfristen.

Dieser Satz Smoltzkys wurde zuweilen so ausgelegt, als würfe sie dem Unternehmen vor, sich an gesetzliche Regelungen gehalten zu haben. Die vorstehenden Sätze sind wohl vielmehr dahingehend zu verstehen, dass die Behörde das Unternehmen dafür mit einem Bußgeld belegt, dass es ein System verwendet, dass keine Differenzierung von Daten und kein Löschkonzept vorsieht, um den gesetzlich geltenden Aufbewahrungs- und den damit inhärenten anschließenden Löschpflichten nachzukommen.

Wenn das so ist, warum sind dann bei den wenigsten „revisionssicheren“ Systemen Datenklassifizierungen und Löschkonzepte vorgesehen!?

Tja. Ehrliche Antwort: Ich weiß es auch nicht. Es bleibt hier nur bei meiner Vermutung, die ich oben bereits äußerste. Nämlich, dass eine Programmierung ohne Möglichkeit der Klassifizierung und der Anlage von Löschkonzepten weit weniger komplex und damit kostengünstiger ist sowie die Anwendung für den Kunden einfacher ist.

Das ändern bloß nichts daran, dass ein solches System weder den Anforderungen an § 146a, 146b AO und der GoBD noch an die DSGVO entspricht. Es ist eben nur ein Teil der gesetzlichen Anforderungen mitgedacht.

Anforderung „Datenklassifizierung“ und „Löschkonzepte“ ist nicht neu.

Dabei ist die Anforderung, Möglichkeiten für Datenklassifizierung und Löschkonzepte vorzusehen, alles andere als neu. Die Löschfristen aus dem HGB und der AO sind wahrlich nichts Neues. Und auch das BDSG-alt kannte den Grundsatz der Datensparsamkeit.

In Folge dessen ist auch die Diskussion dem Grunde nach keine neue. In zahlreichen Mandaten tauchte diese Frage immer wieder auf. Immer wieder betonte ich dabei gegenüber meinen Mandanten, dass die Anforderungen an die Revisionssicherheit keinen Rechtsgrund darstellen, um personenbezogene Daten nicht zu löschen. Die Mandanten sahen sich jedoch stets in einem Dilemma gegenüber ihren System-Anbietern, die schlicht keine Löschungsmöglichkeiten unter Verweis auf die Revisionssicherheit vorsahen und Anmerkungen im Hinblick auf das BDSG-alt bzw. nun mehr die DSGVO eher jovial beiseite wischten und im Zweifel auf ihre „zertifizierte“ Revisionssicherheit verwiesen.

Nahezu niedlich (‚Tschuldigung) muten dabei Hinweise von System-Anbietern an, die als wichtigen Punkt „Einhaltung der Aufbewahrungspflichten“ bei „Merkmalen der Revisionssicherheit nach der GoBD“ anmerken, aber dabei scheinbar vergessen, dass nach der Einhaltung jedenfalls in Verbindung mit den datenschutzrechtlichen Vorschriften die Löschung von Datensätzen kommt.

Wieder etwas polemisch könnte man sagen: Tja. Es hat schon seinen Grund, weswegen Datenschützer seit Jahren immer wieder anmerken, dass es vielleicht ganz sinnvoll sei, sie bei IT-Projekten von Beginn an mit einzubinden.

Zurück zum Fall: BlnBDI ./. Deutsche Wohnen SE

Die Berliner Datenschutzbehörde hat mit dem Bußgeldbescheid gegen die Deutsche Wohnen SE nun den Finger in die eben hier aufgerissene Wunde gelegt. Mit ihrem Bußgeldbescheid hat die Behörde mittelbar die Rechtsauffassung (die auch die meine ist) bestätigt, dass sich aus den § 146a, 146b AO und der GoBD ergebenden Anforderungen an revisionssichere Systeme keine Pflicht zur (ewigen) Aufbewahrung und damit auch keine Rechtfertigung der Datenverarbeitung im Sinne von Art. 6 I c) DSGVO ergibt.

Folgerichtig ist damit, dass eine Archivierungssoftware, die keine Klassifizierung von Daten und damit keine Aufstellung von Löschkonzepten vorsieht, gegen die Grundsätze des Art. 25 DSGVO und Art. 5 Abs. 1 DSGVO verstößt.

Heißt das, der Bußgeldbescheid ist in Stein gemeißelt?

Fest steht nur, dass es sich um den Bescheid einer Behörde handelt. Dieser ist natürlich gerichtlich überprüfbar. Insoweit ist zunächst einmal gar nichts „in Stein gemeißelt“. Aufgrund der hier gemachten Ausführungen bin ich jedoch der Auffassung, dass ein einfacher Verweis auf die „zwingende Revisionssicherheit“ und damit auf eine gesetzliche Erlaubnis nach Art. 6 I c) DSGVO den Bescheid nicht dem Grunde nach zu Fall bringen wird.

Ob der Bescheid im Übrigen sinnvollerweise anzugreifen ist, kann ich überhaupt nicht beurteilen. Mir liegt nur die Pressemitteilung vor. Ich kenne weder den Bescheid selbst noch den exakten Sachverhalt. Insoweit möchte ich mir mögliche konkrete Angriffsvektoren nicht anmaßen.

Fazit: Es bleiben viele spannende Fragen

Gerade wenn der Bescheid gerichtlich überprüft und die Frage der Revisionssicherheit versus Grundsatz der Datenminimierung im Ergebnis wie hier beantwortet würde, verbleiben spannende Fragen. So etwa, ob Unternehmen die „rechtssichere“ Software für die „revisionssichere“ Archivierung erworben haben und nun feststellen müssen, dass sie in einem DSGVO-Compliance Problem stecken, Schadensersatzansprüche gegen den Hersteller haben könnten. Dieser hätte schließlich die gesetzliche Lage kennen müssen.

Daneben stellt Malte Engeler – mal wieder – eine ganz wesentliche Frage:

 

In diesem Sinne,

mit diesem Gedanken entlasse ich Sie in den weiteren Tag. Auf bald!

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Rechtsanwältin Nina Diercks

Rechtsanwältin Nina Diercks (M.Litt, University of Aberdeen) führt die Anwaltskanzlei Diercks in Hamburg und war bis Mai 2018 beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannte Sachverständige für IT-Produkte (rechtlich). Ihre Tätigkeitsschwerpunkte liegen im IT-Recht | Medienrecht | Datenschutzrecht und Arbeitsrecht. Daneben steht die Anwältin gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

Anmeldung zum Seminar-Newsletter

Twitter

Wenn Sie ausschließlich an juristischen Informationen zum IT-| Medien-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie dem Kanzlei-Account @kanzleidiercks.

Sehr gerne können Sie auch meinem persönlichen Account unter @RAinDiercks folgen. Hier finden Sie neben dem Recht persönliche Meinung zu den Themen Politik, HR und Vereinbarkeit. Und dann oder wann den einen oder anderen Nonsense.