De Duitse toezichthouder legde Vodafone Duitsland een boete van €45 miljoen op — een van de grootste AVG-straffen in de handhavingsgeschiedenis van Duitsland. De zaak combineert schendingen van bewaarplichten, onvoldoende technische maatregelen en een falende afhandeling van verzoeken van betrokkenen.

Wat er misging

• Klantgegevens bewaard ver buiten de toegestane bewaartermijnen
• Onvoldoende technische maatregelen om verwijderingsverplichtingen af te dwingen
• Systemische fouten bij de afhandeling van verwijderingsverzoeken onder AVG art. 17
• Geen functionerende interne monitoring en auditprocessen

Drie lessen die direct toepasbaar zijn

1. Bewaarbeleid moet technisch worden afgedwongen. Een retentieschema in een beleidsdocument is onvoldoende. De systemen moeten data daadwerkelijk verwijderen op het juiste moment.

2. Rechten van betrokkenen vereisen operationele processen. Verwijderingsverzoeken moeten door een getest en gemonitord proces lopen.

3. Schaal is geen verweer — het is een verzwarende factor. Toezichthouders beboeten proportioneel zwaarder bij systemische fouten op schaal.