900.000 EUR Bußgeld, weil Daten nicht gelöscht wurden
Schwerpunktprüfung bei Inkassounternehmen
Hamburg ist europaweit der führende Standort für international tätige Inkassounternehmen. Im Rahmen einer Schwerpunktprüfung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) mehrere in Hamburg ansässige marktstarke Unternehmen aus dem Forderungsmanagement geprüft. Da die verarbeiteten Daten über säumige Schuldner besonders sensibel sind und mit weiteren Stellen wie Auskunfteien oder Adressermittlungsdiensten geteilt werden, sollte sichergestellt werden, dass der Umgang mit diesen Daten regelkonform erfolgt.
Vorprüfung per Fragebogen
Bei ihrem Audit ging es der Hamburger Datenschutzbehörde nicht um individuelle Beschwerdefälle, sondern vor allem um die Verarbeitung und Aufbewahrung der sensiblen Daten. Bei der schriftlichen Vorprüfung mussten die Unternehmen umfangreiche Fragebögen ausfüllen und umfassende Einblicke in ihre Datenhaltung geben. Außerdem wurde sie aufgefordert, Dokumente wie das Verzeichnis der Verarbeitungstätigkeiten, Auflistungen der Sicherheitsmaßnahmen sowie verwendete Musterschreiben vorzulegen. Im Anschluss wurde einige Unternehmen dann vor Ort geprüft.
Überwiegend hohes Maß an Professionalität
Bei den Vor-Ort-Prüfungen konnte die Datenschutzbehörde bei den meisten Unternehmen „ein hohes Maß an Professionalität und Sensibilität“ feststellen. Im Dialog wurden aber auch zusätzliche Verbesserungen bei der Transparenz gegenüber Betroffenen erreicht. Insbesondere die Formulierung einer aussagekräftigen Datenauskunft nach Art. 15 DSGVO und die Prozesse für eine fristgerechte Auskunftserteilung standen dabei im Vordergrund.
Eklatante Verstöße gegen die Löschpflichten
Bei einem Unternehmen stellte die Datenschutzbehörde bei der Vor-Ort-Prüfung fest, dass Datensätze trotz lange abgelaufener Löschfristen weiterhin aufbewahrt wurden. Bis November 2023 hat das Unternehmen eine sechsstellige Zahl von Datensätzen mit personenbezogenen Daten ohne Rechtsgrundlage gespeichert und damit gegen Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 DSGVO verstoßen. Auch wenn die ursprünglich verarbeiteten Datensätze in diesem Zeitraum nicht an Dritte weitergegeben wurden, waren sie teilweise noch fünf Jahre nach Ablauf der gesetzlichen Aufbewahrungsfrist nicht aus der Datenbank des Unternehmens gelöscht worden.
Diese Ordnungswidrigkeit hat der HmbBfDI jetzt mit einem Bußgeld in Höhe von 900.000 EUR geahndet. Der Bußgeldbescheid ist rechtskräftig. Das Unternehmen hat den Verstoß eingeräumt und das Bußgeld akzeptiert. Es hat bei der Aufarbeitung professionell mit der Aufsichtsbehörde zusammengearbeitet, was bei der Bußgeldbemessung berücksichtigt wurde. Nach Art. 83 Abs. 5 lit. a DSGVO erstreckt sich der Bußgeldrahmen auf bis zu 20 Millionen EUR oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vergangenen Geschäftsjahres (je nachdem, welcher Betrag höher ist).
Bei einem weiteren der geprüften Unternehmen wurden ebenfalls erhebliche, inhaltlich vergleichbare Mängel im Zusammenhang mit Löschpflichten festgestellt – das entsprechende Verfahren dauert noch an.
-
Einbau von Klimaanlage bei Eigentumswohnung: Anspruch auf Zustimmung?
1.403
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
8202
-
Wohnungseigentümerin kann Einbau einer Klimaanlage nicht verhindern
456
-
Eigenbedarfskündigung bei Senioren – Ausschluss wegen unzumutbarer Härte?
335
-
Gebäudemodernisierungsgesetz verabschiedet
330
-
Vollstreckung rückständiger Rundfunkgebühren häufig angreifbar
328
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
255
-
Wann ist ein digitaler Türspion erlaubt?
2521
-
Klagerücknahme oder Erledigungserklärung?
242
-
Wann ist ein Anspruch verwirkt? Worauf beruht die Verwirkung?
233
-
Bundesnetzagentur wird nationale Marktüberwachungsbehörde bei der KI-Aufsicht
16.07.2026
-
Übertragung von unverbrieften Aktien in der Familien-AG
15.07.2026
-
Produktkrise und Rückruf: Ein kompakter Leitfaden für Hersteller
14.07.2026
-
Anfechtung von D&O-Policen: Urteil beanstandet marktübliche Severability-Klauseln
09.07.2026
-
BGH zur Auslegung von Mehrheitsklauseln in Gesellschaftsverträgen
08.07.2026
-
China verschärft Korruptionsstrafrecht: Neue Risiken bei Handelsvertreter- und Agenturmodellen
17.06.2026
-
Beendigung einer GbR durch Vereinigung aller Gesellschaftsanteile in der Hand
17.06.2026
-
Der Teufel ist Schleichwerbung – oder: was Meryl Streep mit dem Medienrecht zu tun hat
16.06.2026
-
Das EU-Mercosur-Abkommen ab dem 1. Mai 2026: Zollvorteile und neue Anforderungen für Unternehmen
15.06.2026
-
Organhaftung: Überwachungspflicht des Aufsichtsrats bei Geschäftsstillstand
20.05.2026