Ein Hamburger Dienstleister aus der Forderungsmanagement-Branche hat Datensätze mit personenbezogenen Daten ohne Rechtsgrundlage bis zu fünf Jahre lang aufbewahrt. Diese Ordnungswidrigkeit hat der Hamburgische Beauftrage für Datenschutz und Informationsfreiheit (HmbBfDI) jetzt mit einem Bußgeld in Höhe von 900.000 Euro geahndet. Aufgefallen war der Verstoß, weil der HmbBfDI im Rahmen einer Schwerpunktprüfung marktstarke Unternehmen aus dem Forderungsmanagement geprüft hatte. Hamburg ist in diesem Sektor ein europaweit führender Standort. „Wenn es jetzt eine branchenweite Prüfung bei den Dienstleistern im Credit Management gibt, ist der Weg zu den Unternehmen, die diese Dienstleistungen nutzen, nicht mehr weit“, mutmaßt Stephanie Iraschko-Luscher, Vorsitzende des Arbeitskreises Datenschutz im BvCM.
Unabhängig von individuellen Beschwerdefällen wurde überprüft, wie die Daten der Schuldner:innen bei den jeweiligen Dienstleistern aufbewahrt und verarbeitet werden. Überwiegend konnte der HmbBfDI ein hohes Maß an Professionalität und Sensibilität feststellen. Im Dialog wurden Verbesserungen bei der Transparenz gegenüber Betroffenen erreicht. Insbesondere die Formulierung einer aussagekräftigen Datenauskunft nach Art. 15 DSGVO und die Prozesse für eine fristgerechte Auskunftserteilung standen dabei im Vordergrund.
Im Falle eines Unternehmens stellte das Team des HmbBfDI bei der Vor-Ort-Prüfung fest, dass trotz abgelaufener Löschfristen Datensätze weiterhin aufbewahrt worden waren. Bis Mitte November 2023 speicherte das Unternehmen eine sechsstellige Zahl von Datensätzen mit personenbezogenen Daten ohne Rechtsgrundlage und verstieß damit gegen Artikel 5 Absatz 1 lit. a, 6 Absatz 1 DSGVO. Auch wenn die ursprünglich verarbeiteten Datensätze in diesem Zeitraum nicht an Dritte weitergegeben wurden, waren sie teilweise noch fünf Jahre nach Ablauf der gesetzlichen Aufbewahrungsfrist nicht aus der Datenbank des Unternehmens gelöscht worden.
Diese Ordnungswidrigkeit hat der HmbBfDI jetzt mit einem Bußgeld in Höhe von 900.000 Euro geahndet. Der Bußgeldbescheid ist rechtskräftig. Das Unternehmen hat den Verstoß eingeräumt und das Bußgeld akzeptiert. Es hat bei der Aufarbeitung professionell mit der Aufsichtsbehörde zusammengearbeitet, was bei der Bußgeldbemessung berücksichtigt wurde.
Bei einem weiteren der geprüften Unternehmen wurden ebenfalls erhebliche, inhaltlich vergleichbare Mängel im Zusammenhang mit Löschpflichten festgestellt – das entsprechende Verfahren dauert noch an.
