Ein Präzedenzfall aus Hamburg zeigt, wie teuer unzureichendes Datenmanagement werden kann. Ein Dienstleister aus der Forderungsmanagement-Branche wurde mit einem Bußgeld von 900.000 Euro belegt, weil personenbezogene Daten jahrelang ohne Rechtsgrundlage gespeichert wurden. Der Fall ist ein Lehrstück für Unternehmen, die mit sensiblen Daten arbeiten – und eine Mahnung, die Löschpflichten der DSGVO ernst zu nehmen.
Hintergrund: Löschpflichten und DSGVO
Gemäß der Datenschutz-Grundverordnung (DSGVO) sind Unternehmen verpflichtet, personenbezogene Daten nur so lange zu speichern, wie dies rechtlich notwendig ist. Sind die Löschfristen abgelaufen, müssen die Daten unverzüglich gelöscht werden. Dieser Grundsatz der „Datenminimierung“ (Art. 5 Abs. 1 lit. c DSGVO) soll sicherstellen, dass Informationen nicht unnötig lange vorgehalten werden, wodurch das Risiko für Betroffene minimiert wird.
Im aktuellen Fall hatte der betroffene Hamburger Dienstleister jedoch zahlreiche Datensätze noch bis zu fünf Jahre nach Ablauf der gesetzlichen Fristen aufbewahrt – ohne jegliche Rechtsgrundlage. Dies stellte einen klaren Verstoß gegen die DSGVO dar, insbesondere gegen Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1.
Wie kam der Fall ans Licht?
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) führte im Rahmen einer Schwerpunktprüfung eine umfassende Kontrolle marktstarker Forderungsmanagement-Unternehmen durch. Ziel war es, die Einhaltung der Datenschutzvorgaben und die Sicherheit der sensiblen Schuldnerdaten zu überprüfen. Diese Daten sind besonders schützenswert, da sie oft auch an Auskunfteien oder Adressermittlungsdienste weitergegeben werden.
Die Prüfungen umfassten:
- Fragebögen zur Datenverarbeitung und -speicherung,
- Vor-Ort-Prüfungen in den Geschäftsräumen,
- die Überprüfung von Dokumenten wie Verzeichnissen der Verarbeitungstätigkeiten und Sicherheitsmaßnahmen.
Dabei konnte der HmbBfDI bei den meisten Unternehmen ein hohes Maß an Professionalität feststellen. Verbesserungen im Umgang mit Betroffenenanfragen nach Art. 15 DSGVO sowie bei der Transparenz wurden erreicht. Doch nicht alle Betriebe erfüllten die Anforderungen.
Die Folgen des Verstoßes
Während der Vor-Ort-Prüfung bei einem Unternehmen deckte der HmbBfDI gravierende Verstöße auf: Eine sechsstellige Zahl personenbezogener Datensätze wurde trotz abgelaufener Fristen weiterhin gespeichert. Obwohl die Daten nicht an Dritte weitergegeben wurden, war die jahrelange rechtswidrige Speicherung ein schwerwiegender Verstoß gegen die DSGVO.
Die Konsequenz: Ein Bußgeld in Höhe von 900.000 Euro, das das Unternehmen akzeptierte. Laut HmbBfDI wurde bei der Bußgeldbemessung berücksichtigt, dass der Dienstleister die Verstöße eingeräumt und bei der Aufarbeitung kooperiert hat.
Was Unternehmen daraus lernen sollten
Der Fall verdeutlicht die Relevanz eines durchdachten Löschkonzepts. Thomas Fuchs, der Leiter des HmbBfDI, betonte:
„Wenn die Kundenbeziehung endet, sind die erhobenen Daten sofort beziehungsweise nach festgelegten Fristen zu löschen. Unternehmen sollten bereits vor der Datenerhebung prüfen, welche Daten sie tatsächlich benötigen und wie lange diese aufbewahrt werden dürfen.“
Unternehmen, die in datenintensiven Branchen arbeiten, sollten diese Mahnung ernst nehmen. Ein klar definiertes Löschkonzept gehört genauso zur Datenschutzstrategie wie technische Sicherheitsmaßnahmen. Fehlen solche Vorgaben, drohen nicht nur hohe Geldstrafen, sondern auch ein Vertrauensverlust bei Kund:innen.
Fazit
Der Hamburger Fall zeigt, wie ernst die Datenschutzbehörden Verstöße gegen Löschpflichten nehmen. Unternehmen sollten nicht darauf hoffen, dass unzureichende Löschpraktiken unbemerkt bleiben. Stattdessen gilt es, die gesetzlichen Vorgaben proaktiv umzusetzen. Nur so lassen sich Risiken vermeiden – sowohl rechtliche als auch reputationsbezogene.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530