900.000 EUR Bußgeld, weil Daten nicht gelöscht wurden

Schwerpunktprüfung bei Inkassounternehmen

Hamburg ist europaweit der führende Standort für international tätige Inkassounternehmen. Im Rahmen einer Schwerpunktprüfung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) mehrere in Hamburg ansässige marktstarke Unternehmen aus dem Forderungsmanagement geprüft. Da die verarbeiteten Daten über säumige Schuldner besonders sensibel sind und mit weiteren Stellen wie Auskunfteien oder Adressermittlungsdiensten geteilt werden, sollte sichergestellt werden, dass der Umgang mit diesen Daten regelkonform erfolgt.

Vorprüfung per Fragebogen

Bei ihrem Audit ging es der Hamburger Datenschutzbehörde nicht um individuelle Beschwerdefälle, sondern vor allem um die Verarbeitung und Aufbewahrung der sensiblen Daten. Bei der schriftlichen Vorprüfung mussten die Unternehmen umfangreiche Fragebögen ausfüllen und umfassende Einblicke in ihre Datenhaltung geben. Außerdem wurde sie aufgefordert, Dokumente wie das Verzeichnis der Verarbeitungstätigkeiten, Auflistungen der Sicherheitsmaßnahmen sowie verwendete Musterschreiben vorzulegen. Im Anschluss wurde einige Unternehmen dann vor Ort geprüft.

Überwiegend hohes Maß an Professionalität

Bei den Vor-Ort-Prüfungen konnte die Datenschutzbehörde bei den meisten Unternehmen „ein hohes Maß an Professionalität und Sensibilität“ feststellen. Im Dialog wurden aber auch zusätzliche Verbesserungen bei der Transparenz gegenüber Betroffenen erreicht. Insbesondere die Formulierung einer aussagekräftigen Datenauskunft nach Art. 15 DSGVO und die Prozesse für eine fristgerechte Auskunftserteilung standen dabei im Vordergrund.

Eklatante Verstöße gegen die Löschpflichten

Bei einem Unternehmen stellte die Datenschutzbehörde bei der Vor-Ort-Prüfung fest, dass Datensätze trotz lange abgelaufener Löschfristen weiterhin aufbewahrt wurden. Bis November 2023 hat das Unternehmen eine sechsstellige Zahl von Datensätzen mit personenbezogenen Daten ohne Rechtsgrundlage gespeichert und damit gegen Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 DSGVO verstoßen. Auch wenn die ursprünglich verarbeiteten Datensätze in diesem Zeitraum nicht an Dritte weitergegeben wurden, waren sie teilweise noch fünf Jahre nach Ablauf der gesetzlichen Aufbewahrungsfrist nicht aus der Datenbank des Unternehmens gelöscht worden.

Diese Ordnungswidrigkeit hat der HmbBfDI jetzt mit einem Bußgeld in Höhe von 900.000 EUR geahndet. Der Bußgeldbescheid ist rechtskräftig. Das Unternehmen hat den Verstoß eingeräumt und das Bußgeld akzeptiert. Es hat bei der Aufarbeitung professionell mit der Aufsichtsbehörde zusammengearbeitet, was bei der Bußgeldbemessung berücksichtigt wurde. Nach Art. 83 Abs. 5 lit. a DSGVO erstreckt sich der Bußgeldrahmen auf bis zu 20 Millionen EUR oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vergangenen Geschäftsjahres (je nachdem, welcher Betrag höher ist).

Bei einem weiteren der geprüften Unternehmen wurden ebenfalls erhebliche, inhaltlich vergleichbare Mängel im Zusammenhang mit Löschpflichten festgestellt – das entsprechende Verfahren dauert noch an.