Am 30. Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit, die bisher höchste Strafe wegen Verstößen gegen die EU-Datenschutzgrundverordnung verhängt. Der Bußgeldbescheid in Höhe von 14,5 Millionen Euro richtet sich gegen den Immobilienkonzern Deutsche Wohnen SE.
Hintergrund des Bußgeldes
Das Unternehmen Deutsche Wohnen SE hatte personenbezogene Daten ihrer Mieter/innen in einem Archivsystem gespeichert. Das Problem dabei: es wurde nicht geprüft, ob die Speicherung der Daten zulässig oder überhaupt erforderlich ist. Außerdem bestand keine Möglichkeit, die Daten aus dem Archivsystem zu löschen.
Bei Vor-Ort-Kontrollen der Aufsichtsbehörde wurden diese Mängel bereits beanstandet mit der dringenden Empfehlung, diese zu beheben. Trotzdem wurde im März 2019, eineinhalb Jahre nach dem ersten Prüfungstermin, keine Verbesserung festgestellt. Teilweise konnten Jahre alte sensible Daten der Mieter/innen eingesehen werden, wie beispielsweise Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.
Deshalb hat die Aufsichtsbehörde einen Bußgeldbescheid wegen Verstoß gegen Artikel 25 Abs.1 sowie Artikel 5 DSGVO verhängt. Allerdings hat die Deutsche Wohnen SE bereits angekündigt, diesen gerichtlich überprüfen zu lassen.
Wie lösen Sie diese Herausforderungen in Ihren SAP-Systemen?
Auch in SAP Systemen sind Unmengen von Daten gespeichert. Dies können Daten von Familienangehörigen ehemaliger Arbeitnehmer, die Bankkontonummern früherer Kunden oder andere personenbezogene Daten sein. Sind Ihre Systeme bereits DSGVO konform? Oder wären Sie an den gleichen Herausforderungen gescheitert wie die Deutsche Wohnen SE?
Nach Ablauf der Frist zur Datenspeicherung, müssen diese Daten proaktiv gelöscht werden. Der Initial Clean-Up Service der EPI-USE Labs erlaubt es Ihnen, historische Daten in Ihren SAP Systemen, für deren Speicherung Sie keine rechtliche Grundlage mehr haben, zu verfremden – ohne komplexe Archivierungsprojekte. Durch die Verfremdung müssen nicht ganze Datensätze gelöscht werden, und Sie können wie gewohnt Ihre Reports erstellen, ohne die referentielle Integrität Ihrer Daten zu beeinträchtigen.
Mit einem speziellen Regelwerk, werden die sensiblen Informationen mit einem Festwert überschrieben. Dadurch ist es nicht mehr möglich, im Produktivsystem Rückschlüsse auf den Datensatz zu ziehen – der Datensatz ist also vollständig pseudonymisiert und DSGVO konform. Nach dem Ihr System erst einmal bereinigt ist, sollte es Ihr Ziel sein, auch weiterhin den Richtlinien zu entsprechen und Ihre Daten regelmäßig zu prüfen. Die für den Service angelegten Regelwerke können Sie mit der Lösung Data Redact anschließend selbstständig weiterverwenden, um langfristig DSGVO compliant zu bleiben.
Mit diesem Ansatz können Sie die Konsistenz Ihrer Daten gewährleisten und trotzdem den Anforderungen der DSGVO entsprechen und somit Strafen umgehen.
Einen Kommentar schreiben