Daten sind schnell gesammelt, doch wer diese zu lange aufbewahrt oder sogar über gar kein Löschkonzept verfügt, der darf sich nicht wundern, wenn sich die Behörde meldet.
Mit der langsam anlaufenden Weihnachtszeit fangen nicht nur die Glocken an zu klingeln, sondern auch die Kassen des hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI). Ein Dienstleister aus der Forderungsmanagement-Branche hatte Datensätze mit personenbezogenen Daten ohne Rechtsgrundlage aufbewahrt, teilweise bis zu 5 Jahre. Diese Ordnungswidrigkeit wurde von dem HmbBfDI mit einem Bußgeld von 900.000 Euro geahndet.
Behörde prüft Geschäftsräume
Die Hansestadt Hamburg ist für Unternehmen aus dem Forderungsmanagement ein beliebter Standort und in diesem Sektor europaweit führend. Bei einer Schwerpunktprüfung marktstarker Unternehmen war dem HmbBfDI ein Verstoß im Bereich Datenschutz aufgefallen. Die verarbeiteten Daten über säumige Schuldnerinnen und Schuldner werden regelmäßig mit weiteren Stellen wie Auskunfteien und Adressermittlungsdiensten geteilt und gelten als besonders sensibel. Im Rahmen der Überprüfung mussten die betroffenen Unternehmen Fragebögen zur Datenhaltung beantworten, das Verarbeitungsverzeichnis und die technischen und organisatorischen Maßnahmen offenlegen sowie verwendete Musterschreiben vorlegen. Im Anschluss an die schriftliche Vorprüfung erfolgte ein Besuch der Geschäftsräume einiger Unternehmen.
Löschfristen teilweise um über 5 Jahre überschritten
Im Falle eines Unternehmens stellte das Team des HmbBfDI bei der Vor-Ort-Prüfung fest, dass trotz abgelaufener Löschfristen Datensätze weiterhin aufbewahrt worden waren. Dabei handelte es sich um eine sechsstellige Anzahl an Datensätzen, welche bis November 2023 ohne Rechtsgrundlage gespeichert wurden und somit gegen Artikel 5 Absatz 1 lit. a, 6 Absatz 1 DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More verstießen. Eine Weitergabe der Daten an Dritte konnte nicht festgestellt werden, allerdings überschritten die Datensätze die Löschfristen teilweise um über 5 Jahre.
Bußgeld ist rechtskräftig.
Als Konsequenz wurde das Unternehmen mit einem Bußgeld von 900.000 Euro belegt. Das Unternehmen hat das Bußgeld akzeptiert und der Bußgeldbescheid ist rechtskräftig. Bei der Bußgeldbemessung wurde berücksichtigt, dass das Unternehmen bei der Aufarbeitung mit der Behörde zusammengearbeitet hat.
Auch bei einem weiteren Unternehmen wurden vergleichbare Mängel in Bezug auf die Löschpflichten festgestellt, wobei das Verfahren noch andauert.
