Verstoß gegen Löschpflichten: Dienstleister aus der Forderungsmanagement-Branche zahlt 900.000 € Bußgeld
Aufgefallen war der Verstoß, weil der HmbBfDI im Rahmen einer Schwerpunktprüfung marktstarke Unternehmen aus dem Forderungsmanagement geprüft hatte. Hamburg ist in diesem Sektor ein europaweit führender Standort. Die verarbeiteten Daten über säumige Schuldner:innen sind tendenziell besonders sensibel und werden regelmäßig mit weiteren Stellen wie Auskunfteien und Adressermittlungsdiensten geteilt. Daher müssen die betroffenen Personen auf einen verantwortungsvollen Umgang mit ihren Daten vertrauen können.
Unabhängig von individuellen Beschwerdefällen wurde überprüft, wie die Daten der Schuldner:innen bei den jeweiligen Dienstleistern aufbewahrt und verarbeitet werden. Zu diesem Zweck erhielten die Unternehmen ausführliche Fragebögen zugesandt, deren Antworten umfassende Einblicke in die Datenhaltung gaben. Darüber hinaus wurden die Unternehmen aufgefordert, Dokumente wie das Verzeichnis der Verarbeitungstätigkeiten, Auflistungen der Sicherheitsmaßnahmen sowie verwendete Musterschreiben vorzulegen. Zusätzlich suchte der HmbBfDI im Anschluss an die schriftliche Vorprüfung einige Unternehmen in den jeweiligen Geschäftsräumen auf.
Überwiegend konnte der HmbBfDI ein hohes Maß an Professionalität und Sensibilität feststellen. Im Dialog wurden Verbesserungen bei der Transparenz gegenüber Betroffenen erreicht. Insbesondere die Formulierung einer aussagekräftigen Datenauskunft nach Art. 15 DSGVO und die Prozesse für eine fristgerechte Auskunftserteilung standen dabei im Vordergrund.
Im Falle eines Unternehmens stellte das Team des HmbBfDI bei der Vor-Ort-Prüfung fest, dass trotz abgelaufener Löschfristen Datensätze weiterhin aufbewahrt worden waren. Bis Mitte November 2023 speicherte das Unternehmen eine sechsstellige Zahl von Datensätzen mit personenbezogenen Daten ohne Rechtsgrundlage und verstieß damit gegen Artikel 5 Absatz 1 lit. a, 6 Absatz 1 DSGVO. Auch wenn die ursprünglich verarbeiteten Datensätze in diesem Zeitraum nicht an Dritte weitergegeben wurden, waren sie teilweise noch fünf Jahre nach Ablauf der gesetzlichen Aufbewahrungsfrist nicht aus der Datenbank des Unternehmens gelöscht worden.
Diese Ordnungswidrigkeit hat der HmbBfDI jetzt mit einem Bußgeld in Höhe von 900.000 € geahndet. Der Bußgeldbescheid ist rechtskräftig. Das Unternehmen hat den Verstoß eingeräumt und das Bußgeld akzeptiert. Es hat bei der Aufarbeitung professionell mit der Aufsichtsbehörde zusammengearbeitet, was bei der Bußgeldbemessung berücksichtigt wurde.
Bei einem weiteren der geprüften Unternehmen wurden ebenfalls erhebliche, inhaltlich vergleichbare Mängel im Zusammenhang mit Löschpflichten festgestellt - das entsprechende Verfahren dauert noch an.
Mehr zum Thema:
Aufsatz:
Ein Dauerbrenner: E-Mail-Archivierung im Grenzbereich zwischen Steuerrecht und Datenschutz
Axel-Michael Wagner, RET 2024, 46
Beratermodul Datenschutzrecht:
Das weitgreifende Komplettangebot zum deutschen und europäischen Datenschutzrecht deckt die DSGVO, das TTDSG und das BDSG ab. Mit Top-Inhalten aus den Verlagen Dr. Otto Schmidt und C.F. Müller. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!
HmbBfDI PM online
Unabhängig von individuellen Beschwerdefällen wurde überprüft, wie die Daten der Schuldner:innen bei den jeweiligen Dienstleistern aufbewahrt und verarbeitet werden. Zu diesem Zweck erhielten die Unternehmen ausführliche Fragebögen zugesandt, deren Antworten umfassende Einblicke in die Datenhaltung gaben. Darüber hinaus wurden die Unternehmen aufgefordert, Dokumente wie das Verzeichnis der Verarbeitungstätigkeiten, Auflistungen der Sicherheitsmaßnahmen sowie verwendete Musterschreiben vorzulegen. Zusätzlich suchte der HmbBfDI im Anschluss an die schriftliche Vorprüfung einige Unternehmen in den jeweiligen Geschäftsräumen auf.
Überwiegend konnte der HmbBfDI ein hohes Maß an Professionalität und Sensibilität feststellen. Im Dialog wurden Verbesserungen bei der Transparenz gegenüber Betroffenen erreicht. Insbesondere die Formulierung einer aussagekräftigen Datenauskunft nach Art. 15 DSGVO und die Prozesse für eine fristgerechte Auskunftserteilung standen dabei im Vordergrund.
Im Falle eines Unternehmens stellte das Team des HmbBfDI bei der Vor-Ort-Prüfung fest, dass trotz abgelaufener Löschfristen Datensätze weiterhin aufbewahrt worden waren. Bis Mitte November 2023 speicherte das Unternehmen eine sechsstellige Zahl von Datensätzen mit personenbezogenen Daten ohne Rechtsgrundlage und verstieß damit gegen Artikel 5 Absatz 1 lit. a, 6 Absatz 1 DSGVO. Auch wenn die ursprünglich verarbeiteten Datensätze in diesem Zeitraum nicht an Dritte weitergegeben wurden, waren sie teilweise noch fünf Jahre nach Ablauf der gesetzlichen Aufbewahrungsfrist nicht aus der Datenbank des Unternehmens gelöscht worden.
Diese Ordnungswidrigkeit hat der HmbBfDI jetzt mit einem Bußgeld in Höhe von 900.000 € geahndet. Der Bußgeldbescheid ist rechtskräftig. Das Unternehmen hat den Verstoß eingeräumt und das Bußgeld akzeptiert. Es hat bei der Aufarbeitung professionell mit der Aufsichtsbehörde zusammengearbeitet, was bei der Bußgeldbemessung berücksichtigt wurde.
Bei einem weiteren der geprüften Unternehmen wurden ebenfalls erhebliche, inhaltlich vergleichbare Mängel im Zusammenhang mit Löschpflichten festgestellt - das entsprechende Verfahren dauert noch an.
Aufsatz:
Ein Dauerbrenner: E-Mail-Archivierung im Grenzbereich zwischen Steuerrecht und Datenschutz
Axel-Michael Wagner, RET 2024, 46
Beratermodul Datenschutzrecht:
Das weitgreifende Komplettangebot zum deutschen und europäischen Datenschutzrecht deckt die DSGVO, das TTDSG und das BDSG ab. Mit Top-Inhalten aus den Verlagen Dr. Otto Schmidt und C.F. Müller. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!