Hamburger Datenschützer mit Schwerpunktprüfung auf Datensünder-Jagd

Ein Unternehmen, das seinen Kunden Forderungsmanagement anbietet, hat personenbezogene Daten über einen Zeitraum von fünf Jahren gespeichert, obwohl dafür jegliche Rechtsgrundlage fehlte. Diesen Verstoß hat der oberste Hamburger Datenschützer (HmbBfDI) nun mit einem Bußgeld in der Höhe von 900.000 Euro belegt.

Aufgefallen war der Verstoß, weil der HmbBfDI im Rahmen einer Schwerpunktprüfung marktstarke Unternehmen aus dem Forderungsmanagement geprüft hatte. Hamburg hat sich dabei als herausragend aktiv etabliert und setzt mit den Prüfungen europaweit Maßstäbe. Die verarbeiteten Daten über Kunden, die als säumige Zahler aufgefallen waren, werden oftmals mehrfach geteilt. Das setzt voraus, dass die Betroffenen den Datenschutz genießen, der ihnen laut DSGVO zusteht.

Es wurden von den Hamburger Datenschützern sowohl einzelne Beschwerden überprüft wie auch die generelle Daten-Praxis. Die Überprüfung basierte auf Fragebögen, die die Behörde den Unternehmen zugesandt hatte. Darüber hinaus wurden die Unternehmen aufgefordert, Dokumente, wie das Verzeichnis der Verarbeitungstätigkeiten, Auflistungen der Sicherheitsmaßnahmen sowie verwendete Musterschreiben, vorzulegen. Neben der schriftlichen Erhebung stattete die Datenschutzbehörde einigen Unternehmen auch Kontrollbesuche ab.

Insgesamt waren die Prüfer mit den meisten Ergebnissen zufrieden und attestierten den untersuchten Unternehmen einen ordnungsgemäßen Umgang mit den anvertrauten und gespeicherten Daten.

Bei einer Vor-Ort-Prüfung hat das Team des HmbBfDI bei einem Unternehmen festgestellt, dass Datensätze trotz abgelaufener Löschfristen weiterhin gespeichert wurden. Bis Mitte November 2023 bewahrte das Unternehmen ohne rechtliche Grundlage eine sechsstellige Anzahl personenbezogener Datensätze auf – ein klarer Verstoß gegen Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 DSGVO. Die Verpflichtung zur Löschung ergibt sich grundsätzlich aus Art. 5 Abs. 1 lit. a DSGVO sowie auch eine Verpflichtung zur Speicherbegrenzung nach Art. 5 Abs. 1 lit. b DSGVO und aus dem Erfordernis einer Rechtsgrundlage i. S. v. Art. 6 Abs. 1 DSGVO. Die konkrete Löschpflicht nach Wegfall der Erforderlichkeit der Daten für den Verarbeitungszweck findet sich in Art. 17 Abs. 1 lit. a DSGVO.

Zwar wurden die betroffenen Daten in dieser Zeit nicht an Dritte weitergegeben, jedoch waren einige davon selbst fünf Jahre nach Ablauf der gesetzlichen Aufbewahrungsfrist noch in der Datenbank vorhanden.

Für diesen Verstoß hat der HmbBfDI nun ein Bußgeld von 900.000 Euro verhängt. Der Bußgeldbescheid ist rechtskräftig, das Unternehmen hat den Fehler eingeräumt und die Strafe akzeptiert. Positiv wurde angemerkt, dass das Unternehmen bei der Aufarbeitung professionell mit der Aufsichtsbehörde zusammengearbeitet hat – ein Faktor, der bei der Höhe des Bußgeldes berücksichtigt wurde.

Auch bei einem weiteren geprüften Unternehmen wurden ähnliche und gravierende Verstöße gegen die Löschpflichten festgestellt. Dieses Verfahren ist allerdings noch nicht abgeschlossen.

Thomas Fuchs kommentiert dazu: „Sobald die Kundenbeziehung endet, müssen die erhobenen Daten entweder sofort oder nach klar definierten Fristen gelöscht werden. Unternehmen sollten daher schon vor der Erhebung genau festlegen, welche Daten sie sammeln und wie lange diese gespeichert werden dürfen. Es ist nicht hinnehmbar, dass gerade Unternehmen in datengetriebenen Branchen immer noch ohne ein schlüssiges Löschkonzept agieren.“