900.000 Euro Bußgeld wegen Ver­sto­ßes gegen Löschpflichten *

Ein Ham­bur­ger Dienst­leis­ter aus der For­­de­rungs­­­ma­­na­ge­­ment-Branche hat per­so­nen­be­zo­ge­ne Daten bis zu fünf Jahre nach Ablauf der Lösch­fris­ten un­recht­mä­ßig auf­be­wahrt. Der Ham­bur­gi­sche Be­auf­trag­te für Daten­schutz und In­for­ma­ti­ons­frei­heit (HmbBfDI) ver­häng­te dafür ein Bußgeld von 900.000 Euro. Im Rahmen einer Schwer­punkt­prü­fung wurden Un­ter­neh­men des For­de­rungs­ma­nage­ments in Hamburg un­ter­sucht. Die sen­si­blen Daten, die oft auch mit Aus­kunftei­en und Adress­ermitt­lungs­diens­ten geteilt werden, er­for­dern einen ver­ant­wor­tungs­vol­len Umgang.

Die Über­prü­fung der Da­ten­auf­be­wah­rung er­folg­te über Fra­ge­bö­gen, Do­ku­men­ta­tio­nen und teils Vor-Ort-Besuche. Der HmbBfDI stellte über­wie­gend Pro­fes­sio­na­li­tät fest, betonte jedoch Ver­bes­se­rungs­be­darf in der Trans­pa­renz für Be­trof­fe­ne. In einem Fall blieb eine große Anzahl an Da­ten­sät­zen trotz ab­ge­lau­fe­ner Lösch­fris­ten ge­spei­chert, was gegen die DSGVO ver­stieß. Das be­trof­fe­ne Un­ter­neh­men ak­zep­tier­te das Bußgeld und ko­ope­rier­te bei der Auf­ar­bei­tung. Ein wei­te­res Ver­fah­ren gegen ein anderes Un­ter­neh­men läuft derzeit noch.

Hier sind einige kon­kre­te Emp­feh­lun­gen, die wir aus dem ak­tu­el­len Buß­geld­fall des HmbBfDI ab­lei­ten können, um Buß­gel­der zu ver­mei­den und die Da­ten­­­schutz-Com­­pli­­an­ce nach­hal­tig zu stärken:

  1. Lösch­fris­ten re­gel­mä­ßig über­prü­fen und einhalten
    Bitte achten Sie darauf, dass alle per­so­nen­be­zo­ge­nen Daten nur so lange auf­be­wahrt werden, wie es ge­setz­lich er­for­der­lich ist. Nach Ablauf der Fristen müssen Daten systema­tisch ge­löscht werden, es sei denn, es besteht eine aus­drück­li­che recht­li­che Grund­la­ge für eine längere Speicherung.
  2. Au­to­ma­ti­sier­te Lösch­pro­zes­se einführen
    Um das Risiko ma­nu­el­ler Fehler zu re­du­zie­ren, sollten Lösch­fris­ten durch au­to­ma­ti­sier­te Systeme über­wacht und Da­ten­sät­ze nach Ablauf dieser Fristen au­to­ma­tisch ge­löscht werden. So bleibt der Prozess DSGVO-konform und ent­las­tet gleich­zei­tig das Team.
  3. Re­gel­mä­ßi­ge Audits und Mit­ar­bei­ter­schu­lun­gen durchführen
    Eine rou­ti­ne­mä­ßi­ge Über­prü­fung der Ein­hal­tung der Da­ten­schutz­richt­li­ni­en hilft, Schwach­stel­len früh­zei­tig zu er­ken­nen. Re­gel­mä­ßi­ge Schu­lun­gen sen­si­bi­li­sie­ren zudem alle Mit­ar­bei­ten­den für die Be­deu­tung eines DSGVO-kon­­­for­­men Umgangs mit Daten.
  4. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten aktuell halten
    Es ist wichtig, dass das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten voll­stän­dig und aktuell bleibt. Alle Ver­ar­bei­tungs­vor­gän­ge, die ent­spre­chen­den Lösch­fris­ten sowie Si­cher­heits­maß­nah­men sollten klar do­ku­men­tiert und re­gel­mä­ßig ak­tua­li­siert werden.
  5. Offene Zu­sam­men­ar­beit mit Auf­sichts­be­hör­den fördern
    Sollte es zu einem Verstoß kommen, kann eine ko­ope­ra­ti­ve Haltung ge­gen­über den Da­ten­schutz­be­hör­den einen po­si­ti­ven Ein­fluss auf die Buß­geld­hö­he haben. Eine kon­struk­ti­ve Zu­sam­men­ar­beit un­ter­stützt au­ßer­dem die Com­­pli­­an­ce-Kultur im Unternehmen.

Durch diese Maß­nah­men können Sie die Risiken für das Un­ter­neh­men er­heb­lich re­du­zie­ren und die Da­ten­schutz­an­for­de­run­gen ef­fek­tiv erfüllen.

Es ist wichtig den Da­ten­schutz­be­auf­trag­ten in all diese Schrit­te ein­zu­bin­den ist, um si­cher­zu­stel­len, dass die Re­chen­schafts­pflicht gemäß Art. 5 Abs. 2 DSGVO je­der­zeit ein­ge­hal­ten und nach­weis­bar erfüllt wird.

Haben Sie Fragen zu diesem und anderen Themen? Wir stehen Ihnen selbst­ver­ständ­lich gerne zur Ver­fü­gung – per E-Mail consulting@adorgasolutions.de.

*Quelle: https://datenschutz-hamburg.de/news/branchenweite-schwerpunktpruefung-im-forderungsmanagement (zuletzt auf­ge­ru­fen am 12.11.2024)

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!