Verstoß gegen Löschpflichten! Datenschutzaufsichtsbehörde verhängt Bußgeld in Höhe von 900.000 Euro!

von Nadja-Maria

Die Datenschutzgrundverordnung (DSGVO) setzt klare Maßstäbe für den Umgang mit personenbezogenen Daten.

Dazu gehört insbesondere die Verpflichtung, Daten nach Zweckerreichung beziehungsweise nach Wegfall der Rechtsgrundlage der Datenspeicherung datenschutzkonform zu löschen. Ein aktueller Fall zeigt, wie schwerwiegend Verstöße gegen diese Vorgaben sein können: Ein Hamburger Forderungsmanagement-Dienstleister musste wegen Nichteinhaltung der Löschpflichten ein Bußgeld von 900.000 Euro zahlen.

Der Fall: Bußgeld für Verstöße gegen Löschpflichten

Im Rahmen einer Schwerpunktprüfung untersuchte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Thomas Fuchs (HmbBfDI) marktstarke Unternehmen im Forderungsmanagement. Diese Branche verarbeite nach Ansicht des Beauftragens besonders sensible Daten, etwa über säumige SchuldnerInnen, die häufig mit Auskunfteien oder Adressermittlungsdiensten geteilt werden. Schwerpunktprüfungen werden durch die Datenschutzaufsichtsbehörden regelmäßig durchgeführt um einzelne Branchen oder auch Datenverarbeitungsvorgänge, auch ohne konkreten Anlass, einer vertieften Prüfung zu unterziehen. Hierzu werden ausgewählte Unternehmen mit standardisierten Fragebögen angeschrieben und zur Übermittlung relevanter Informationen aufgefordert und in Teilen auch vor Ort geprüft.

Nach Ansicht der Aufsichtsbehörde konnte bei der Mehrzahl der geprüften Unternehmen ein hohes Maß an Professionalität und Sensibilität festgestellt werden. Ein Unternehmen verstieß jedoch nach Einschätzung der Aufsichtsbehörde schwerwiegend gegen gesetzliche Vorgaben zur Datenverarbeitung. Ohne einschlägige Rechtsgrundlage habe es bis Mitte November 2023 eine sechsstellige Zahl von Datensätzen ohne rechtliche Grundlage – teilweise bis zu fünf Jahre über den Ablauf der gesetzlichen Aufbewahrungsfristen hinaus- gespeichert und damit insbesondere gegen Artikel 5 Abs. 1 lit. a und Artikel 6 Abs. 1 verstoßen.

Obwohl das Unternehmen den Verstoß einräumte und professionell mit der Aufsichtsbehörde kooperierte, verhängte die Aufsichtsbehörde ein Bußgeld in Höhe von 900.000 Euro wegen des Verstoßes gegen die Verpflichtung zur Datenlöschung.

Zu gesetzlichen Verpflichtung in diesem Bereich führt Thomas Fuchs aus: „Wenn die Kundenbeziehung endet, sind die erhobenen Daten sofort beziehungsweise nach festgelegten Fristen zu löschen. Deshalb sollten Unternehmen bereits bevor sie Daten erheben eine Bestandsaufnahme machen, welche Daten gesammelt und wie lange sie vorgehalten werden dürfen. Es ist nicht akzeptabel, wenn Unternehmen, die in datengetriebenen digitalen Branchen arbeiten, kein kohärentes Löschkonzept entwickelt haben.“( https://datenschutz-hamburg.de/news/branchenweite-schwerpunktpruefung-im-forderungsmanagement)

Fazit für die Praxis

Der Hamburger Fall zeigt dabei für die Praxis zweierlei. Zum einen werden Verstöße gegen die Verpflichtung zur Löschung personenbezogener Daten beziehunsgweise zur Datenverarbeitung nur auf Grund einer Rechtsgrundlage durch die Datenschutzaufsichtsbehörden als schwerwiegende Ordnungswidrigkeiten eingestuft. Daher können, insbesondere sofern wie im vorliegenden Fall sensible Daten betroffen sind, empfindliche Bußgelder verhängt werden.

Zum anderen lässt sich aus dem Fall ableiten, dass es in einigen Fällen gar kein besonderes Ereignis wie einen Datenpannenmeldung oder eine Betroffenenbeschwerde bedarf, um auf dem Radar der Datenschutzaufsichtsbehörden zu erscheinen. Manchmal reicht es aus, von den Aufsichtsbehörden für eine Schwerpunktprüfung ausgewählt zu werden.

Daher ist es Unternehmen, ob sie wie das Hamburger Unternehmen in einer datenintensiven Branche tätig sind oder nicht, dringend an Herz zu legen, ein wirksames und umfassendes Löschkonzept zu implementieren um die Risiken für Bußgelder und sonstige Sanktionen zu minimieren.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

/assets/images/t/Nadja-22bmdatj0e84j29.png
Nadja-Maria

Nadja-Maria leitet unser Inhouse-Juristen-Team. Sie studierte an der Universität Passau Rechtswissenschaften mit anschließendem Referendariat sowie erstem und zweitem Staatsexamen. Ihr Spezialgebiet ist Datenschutzrecht. Ihr fundiertes Wissen hält sie jederzeit aktuell. Für unsere Kunden und unser Team hat sie so immer einen Rat für eine passgenaue Lösung parat.