Weil personenbezogene Daten trotz abgelaufener Löschfristen bis zu fünf Jahre unrechtmäßig gespeichert wurden, verhängte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) von einem Verantwortlichen ein Bußgeld in Höhe von 900.000 Euro.

 

Hintergrund: Datenschutzprüfung im Forderungsmanagement

 

Der Verstoß kam ans Licht, als der HmbBfDI eine Schwerpunktprüfung bei marktführenden Unternehmen der Branche durchführte. Hamburg gilt als bedeutender Standort im Bereich  des Forderungsmanangents, weshalb der Umgang mit sensiblen Schuldnerdaten besonders kritisch betrachtet wird. Die erhobenen Daten, darunter oft Informationen zu Zahlungsausfällen, werden häufig an Dritte wie Auskunfteien oder Adressermittlungsdienste weitergegeben. Deshalb ist es essenziell, dass Unternehmen solche Daten mit größter Sorgfalt behandeln.

 

Im Rahmen der Prüfung wurden die Prozesse zur Datenspeicherung und -verarbeitung systematisch untersucht. Die betroffenen Unternehmen mussten umfassende Fragebögen ausfüllen und Dokumente wie Sicherheitskonzepte, Verzeichnisse von Verarbeitungstätigkeiten und Standarddokumente vorlegen. Ergänzend dazu führte der HmbBfDI Vor-Ort-Kontrollen durch.

 

Ergebnisse: Professionell, aber mit Schwachstellen

 

Die meisten geprüften Unternehmen zeigten ein hohes Maß an Professionalität und waren offen für Verbesserungen. Besonders die Transparenz gegenüber Betroffenen wurde gestärkt, etwa durch präzisere Auskunftsprozesse nach Artikel 15 der Datenschutz-Grundverordnung (DSGVO).

 

Ein Unternehmen fiel jedoch negativ auf: Bei einer Vor-Ort-Prüfung stellte sich heraus, dass personenbezogene Daten in erheblichem Umfang gespeichert blieben, obwohl die Löschfristen längst abgelaufen waren. Eine sechsstellige Zahl an Datensätzen wurde bis November 2023 ohne rechtliche Grundlage aufbewahrt. Der Verstoß gegen die DSGVO war damit eindeutig. Zwar wurden die Daten nicht an Dritte weitergegeben, doch das Unternehmen hielt sie teilweise bis zu fünf Jahre länger als erlaubt in seiner Datenbank vor.

 

Konsequenzen: Rechtskräftiges Bußgeld und Aufarbeitung

 

Für diesen Verstoß verhängte der HmbBfDI ein Bußgeld von 900.000 Euro. Das betroffene Unternehmen erkannte den Fehler an, akzeptierte die Strafe und kooperierte umfassend mit der Behörde. Diese kooperative Haltung wurde bei der Höhe des Bußgeldes berücksichtigt.

 

Ein ähnlicher Fall bei einem weiteren Unternehmen wurde ebenfalls festgestellt. Das entsprechende Verfahren ist jedoch noch nicht abgeschlossen.

 

Klare Worte vom Datenschutzbeauftragten

 

Thomas Fuchs, der Hamburgische Datenschutzbeauftragte, betonte:

„Daten, die nicht mehr benötigt werden, müssen unverzüglich oder spätestens nach festgelegten Fristen gelöscht werden. Unternehmen müssen schon bei der Erhebung klar definieren, welche Daten wie lange gespeichert werden dürfen. Ein fehlendes oder inkohärentes Löschkonzept ist in der heutigen datengetriebenen Wirtschaft nicht hinnehmbar.“

 

Fazit: Ein Weckruf für Unternehmen

 

Der Fall zeigt, wie wichtig es ist, Löschpflichten ernst zu nehmen und systematisch umzusetzen. Ein Löschkonzept ist dabei unerlässlich, um personenbezogene Daten rechtskonform zu verwalten und die Anforderungen der DSGVO zu erfüllen. Es stellt sicher, dass Daten nach Ablauf festgelegter Fristen sicher gelöscht werden und minimiert so das Risiko von Datenschutzverstößen. Unternehmen ohne klares Löschkonzept laufen Gefahr, Bußgelder zu riskieren und das Vertrauen ihrer Kunden zu verlieren.

 

Rechtsanwalt Robert Harzewski