Fahndung nach Datenschutzverstößen: Mit Schwerpunktprüfungen erfolgreich

Eine ungesetzmäßige Datenspeicherung hat dazu geführt, dass eine Firma, die Forderungsmanagement durchführt, ins Visier von Hamburger Datenschützern geraten ist. Die Konsequenz: ein Verfahren, das zu einem Bußgeld in der Höhe von 900.000 Euro geführt hat.

Der Verstoß wurde entdeckt, nachdem der HmbBfDI im Zuge einer gezielten Überprüfung führende Unternehmen im Bereich Forderungsmanagement untersucht hatte. Hamburg hat sich dabei als herausragend aktiv etabliert und setzt mit den Prüfungen europaweit Maßstäbe. Die verarbeiteten Daten über Kunden, die als säumige Zahler aufgefallen waren, werden oftmals mehrfach geteilt. Das darf aber nur geschehen, wenn dabei alle für solche Fälle definierten Schutzmaßnahmen gemäß DSGVO getroffen werden.

Die hanseatischen Ermittler gingen auf der einen Seite konkreten Hinweisen nach, auf der anderen Seite warfen sie einen Blick auf die generelle Datenschutz-Praxis des Unternehmens. Die Überprüfung basierte auf Fragebögen, die die Behörde den Unternehmen zugesandt hatte. Darüber hinaus wurden die Unternehmen aufgefordert, Dokumente, wie das Verzeichnis der Verarbeitungstätigkeiten, Auflistungen der Sicherheitsmaßnahmen sowie verwendete Musterschreiben, vorzulegen. Aber es wurden nicht nur schriftliche Eingaben überprüft, sondern auch Kontrollbesuche verabredet.

Generell ergaben die Prüfungen ein positives Bild. Der Großteil der überprüften Unternehmen nimmt Datenschutz ernst und hält Vorschriften ein. Bei einer Vor-Ort-Prüfung allerdings hat das Team des HmbBfDI bei einem Unternehmen festgestellt, dass Datensätze trotz abgelaufener Löschfristen weiterhin gespeichert wurden. Bis Mitte November 2023 bewahrte das Unternehmen ohne rechtliche Grundlage eine sechsstellige Anzahl personenbezogener Datensätze auf – ein klarer Verstoß gegen Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 DSGVO. Die Verpflichtung zur Löschung ergibt sich grundsätzlich aus Art. 5 Abs. 1 lit. a DSGVO sowie auch eine Verpflichtung zur Speicherbegrenzung nach Art. 5 Abs. 1 lit. b DSGVO und aus dem Erfordernis einer Rechtsgrundlage i. S. v. Art. 6 Abs. 1 DSGVO. Entsprechende Pflichten zur Löschung definiert der Art. 17 Abs. 1 lit. a DSGVO.

Obwohl die betreffenden Daten während dieses Zeitraums nicht an Dritte gelangten, verblieben einige von ihnen selbst fünf Jahre nach Ablauf der gesetzlichen Aufbewahrungsfrist weiterhin in der Datenbank. Für diesen Verstoß hat der HmbBfDI nun ein Bußgeld von 900.000 Euro verhängt. Der Bußgeldbescheid ist rechtskräftig, das Unternehmen hat den Fehler eingeräumt und die Strafe akzeptiert. Das Bußgeld hätte noch höher ausfallen können, wenn die Zuständigen im Unternehmen nicht so bereitwillig bei der Aufklärung unterstützt hätten.

Thomas Fuchs kommentiert dazu: „Sobald die Kundenbeziehung endet, müssen die erhobenen Daten entweder sofort oder nach klar definierten Fristen gelöscht werden. Unternehmen sollten daher schon vor der Erhebung genau festlegen, welche Daten sie sammeln und wie lange diese gespeichert werden dürfen. Es ist nicht hinnehmbar, dass gerade Unternehmen in datengetriebenen Branchen immer noch ohne ein schlüssiges Löschkonzept agieren.“

Fazit: Das Hamburger Beispiel könnte Schule machen und auch die Behörden in anderen Bundesländern dazu animieren, „Schwerpunktprüfungen“ durchzuführen.