HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement

900.000 Euro Bußgeld vom HmbBfDI wegen Verstoßes gegen Löschpflichten erhoben

[datensicherheit.de, 15.11.2024] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat in einer aktuellen Stellungnahme Ergebnisse einer branchenweiten Schwerpunktprüfung im Forderungsmanagement gemeldet: „Obwohl Löschfristen abgelaufen waren, hat ein Hamburger Dienstleister aus der Forderungsmanagement-Branche Datensätze mit personenbezogenen Daten ohne Rechtsgrundlage bis zu fünf Jahre lang aufbewahrt.“ Diese Ordnungswidrigkeit hat der HmbBfDI demnach mit einem Bußgeld in Höhe von 900.000 Euro geahndet.

Der HmbBfDI hat marktstarke Unternehmen aus dem Forderungsmanagement geprüft

Aufgefallen sei dieser Verstoß, „weil der HmbBfDI im Rahmen einer Schwerpunktprüfung marktstarke Unternehmen aus dem Forderungsmanagement geprüft hatte“. Hamburg sei in diesem Sektor ein europaweit führender Standort. Die verarbeiteten Daten über säumige Schuldner seien tendenziell besonders sensibel und würden regelmäßig mit weiteren Stellen wie Auskunfteien und Adressermittlungsdiensten geteilt. Daher müssten die betroffenen Personen auf einen verantwortungsvollen Umgang mit ihren Daten vertrauen können.

Unabhängig von individuellen Beschwerdefällen sei überprüft worden, wie die Daten der Schuldner bei den jeweiligen Dienstleistern aufbewahrt und verarbeitet werden. „Zu diesem Zweck erhielten die Unternehmen ausführliche Fragebögen zugesandt, deren Antworten umfassende Einblicke in die Datenhaltung gaben.“ Darüber hinaus seien die Unternehmen aufgefordert worden, Dokumente wie das Verzeichnis der Verarbeitungstätigkeiten, Auflistungen der Sicherheitsmaßnahmen sowie verwendete Musterschreiben vorzulegen. Zusätzlich habe der HmbBfDI im Anschluss an die schriftliche Vorprüfung einige Unternehmen in den jeweiligen Geschäftsräumen aufgesucht.

Überwiegend konnte der HmbBfDI hohes Maß an Professionalität und Sensibilität konstatieren

„Überwiegend konnte der HmbBfDI ein hohes Maß an Professionalität und Sensibilität feststellen. Im Dialog wurden Verbesserungen bei der Transparenz gegenüber Betroffenen erreicht.“ Insbesondere die Formulierung einer aussagekräftigen Datenauskunft nach Art. 15 DSGVO und die Prozesse für eine fristgerechte Auskunftserteilung hätten dabei im Vordergrund gestanden.

Im Falle eines Unternehmens indes habe das Team des HmbBfDI bei der Vor-Ort-Prüfung festgestellt, „dass trotz abgelaufener Löschfristen Datensätze weiterhin aufbewahrt worden waren“. Bis Mitte November 2023 habe das Unternehmen eine sechsstellige Zahl von Datensätzen mit personenbezogenen Daten ohne Rechtsgrundlage gespeicher – und damit gegen Artikel 5 Absatz 1 lit. a, 6 Absatz 1 DSGVO verstoßen. „Auch wenn die ursprünglich verarbeiteten Datensätze in diesem Zeitraum nicht an Dritte weitergegeben wurden, waren sie teilweise noch fünf Jahre nach Ablauf der gesetzlichen Aufbewahrungsfrist nicht aus der Datenbank des Unternehmens gelöscht worden.“

Betroffenes Unternehmen hat Buße akzeptiert und professionell mit dem HmbBfDI kooperiert

Diese Ordnungswidrigkeit habe der HmbBfDI jetzt mit einem Bußgeld in Höhe von 900.000 Euro geahndet. „Der Bußgeldbescheid ist rechtskräftig. Das Unternehmen hat den Verstoß eingeräumt und das Bußgeld akzeptiert.“ Es habe bei der Aufarbeitung professionell mit der Aufsichtsbehörde zusammengearbeitet, was bei der Bußgeldbemessung berücksichtigt worden sei. Bei einem weiteren der geprüften Unternehmen seien ebenfalls erhebliche, inhaltlich vergleichbare Mängel im Zusammenhang mit Löschpflichten festgestellt worden – das entsprechende Verfahren dauere noch an.

„Wenn die Kundenbeziehung endet, sind die erhobenen Daten sofort beziehungsweise nach festgelegten Fristen zu löschen“, so der HmbBfDI, Thomas Fuchs. Er unterstreicht abschließend: „Deshalb sollten Unternehmen – bereits bevor sie Daten erheben – eine Bestandsaufnahme machen, welche Daten gesammelt und wie lange sie vorgehalten werden dürfen. Es ist nicht akzeptabel, wenn Unternehmen, die in datengetriebenen digitalen Branchen arbeiten, kein kohärentes Löschkonzept entwickelt haben!“

Weitere Informationen zum Thema:

datensicherheit.de, 26.08.2024
HmbBfDI-Zwischenbilanz 2024: Bisher Bußgelder in Höhe von 130.000 Euro verhängt / HmbBfDI ahndete vielfältige Verstöße gegen die Datenschutzgrundverordnung (DSGVO)

datensicherheit.de, 16.04.2024
Thomas Fuchs hat Hamburger Tätigkeitsbericht Datenschutz 2023 vorgestellt / Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit übergab den Report an die Bürgerschaftspräsidentin