Verstoß gegen Löschpflichten: 900.000 Euro Bußgeld

21.01.2025
Wirtschaft, Gesellschaft und Handel 1/2025
1 Minute

Obwohl Löschfristen bereits abgelaufen waren, hat ein Hamburger Dienstleister aus der Forderungsmanagement-Branche Datensätze mit personenbezogenen Daten ohne Rechtsgrundlage bis zu fünf Jahre lang aufbewahrt. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat diese Ordnungswidrigkeit mit einem Bußgeld in Höhe von 900.000 Euro geahndet. Der Verstoß war aufgefallen, weil der HmbBfDI im Rahmen einer Schwerpunktprüfung marktstarke Unternehmen aus dem Forderungsmanagement geprüft hatte. Hamburg ist in diesem Bereich ein europaweit führender Standort. Die verarbeiteten Daten über säumige Schuldner sind besonders sensibel. Daher müssen die betroffenen Personen auf einen verantwortungsvollen Umgang mit ihren Daten vertrauen können.

Unabhängig von individuellen Beschwerden wurde überprüft, wie die Daten der Schuldner bei den jeweiligen Dienstleistern aufbewahrt und verarbeitet werden. Zu diesem Zweck erhielten die Unternehmen ausführliche Fragebögen zugesandt, deren Antworten umfassende Einblicke in die Datenhaltung gaben. Zudem wurden die Unternehmen aufgefordert, verschiedene Dokumente sowie verwendete Musterschreiben vorzulegen. Zusätzlich suchte der HmbBfDI im Anschluss an die schriftliche Vorprüfung einige Unternehmen in den jeweiligen Geschäftsräumen auf. Überwiegend konnte der HmbBfDI ein hohes Maß an Sensibilität feststellen. Verbesserungen bei der Transparenz gegenüber Betroffenen wurden durch aussagekräftige Datenauskünfte nach Art. 15 DSGVO und fristgerechte Auskunftserteilungen geschaffen.

Bei einem Unternehmen stellte der HmbBfDI bei der Vor-Ort-Prüfung jedoch fest, dass trotz abgelaufener Löschfristen Datensätze weiterhin aufbewahrt worden waren. Bis Mitte November 2023 speicherte der Betrieb eine sechsstellige Zahl von Datensätzen mit personenbezogenen Daten ohne Rechtsgrundlage und verstieß damit gegen Art. 5 Abs. 1 lit. a, 6 Abs. 1 DSGVO. Auch wenn die ursprünglich verarbeiteten Datensätze in diesem Zeitraum nicht an Dritte weitergegeben wurden, waren sie teilweise noch fünf Jahre nach Ablauf der gesetzlichen Aufbewahrungsfrist nicht aus der Datenbank des Unternehmens gelöscht worden.

Bildnachweis:Atomic62 Studio/Shutterstock/2408799271

Autor:in

Christopher SemtnerRechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht, Partner

Immer bestens informiert mit den Newslettern von SCHOMERUS

Schomerus GruppeImpressumDatenschutz
Steuerberatung und Rechtsberatung
Schomerus & Partner mbB
Steuerberater Rechtsanwälte
Wirtschaftsprüfer
Wirtschaftsprüfung
Hamburger Treuhand Gesellschaft
Schomerus & Partner mbB
Wirtschaftsprüfungsgesellschaft
Hamburg
Deichstraße 1
20459 Hamburg
Pixel