+++ Please find the English version below. +++
900.000 Euro Bußgeld wegen Verstoßes gegen Löschpflichten
Obwohl Löschfristen abgelaufen waren, hat ein Hamburger Dienstleister aus der Forderungsmanagement-Branche Datensätze mit personenbezogenen Daten ohne Rechtsgrundlage bis zu fünf Jahre lang aufbewahrt. Diese Ordnungswidrigkeit hat der Hamburgische Beauftrage für Datenschutz und Informationsfreiheit (HmbBfDI) jetzt mit einem Bußgeld in Höhe von 900.000 Euro geahndet.
Aufgefallen war der Verstoß, weil der HmbBfDI im Rahmen einer Schwerpunktprüfung marktstarke Unternehmen aus dem Forderungsmanagement geprüft hatte. Hamburg ist in diesem Sektor ein europaweit führender Standort. Die verarbeiteten Daten über säumige Schuldner:innen sind tendenziell besonders sensibel und werden regelmäßig mit weiteren Stellen wie Auskunfteien und Adressermittlungsdiensten geteilt. Daher müssen die betroffenen Personen auf einen verantwortungsvollen Umgang mit ihren Daten vertrauen können.
Unabhängig von individuellen Beschwerdefällen wurde überprüft, wie die Daten der Schuldner:innen bei den jeweiligen Dienstleistern aufbewahrt und verarbeitet werden. Zu diesem Zweck erhielten die Unternehmen ausführliche Fragebögen zugesandt, deren Antworten umfassende Einblicke in die Datenhaltung gaben. Darüber hinaus wurden die Unternehmen aufgefordert, Dokumente wie das Verzeichnis der Verarbeitungstätigkeiten, Auflistungen der Sicherheitsmaßnahmen sowie verwendete Musterschreiben vorzulegen. Zusätzlich suchte der HmbBfDI im Anschluss an die schriftliche Vorprüfung einige Unternehmen in den jeweiligen Geschäftsräumen auf.
Überwiegend konnte der HmbBfDI ein hohes Maß an Professionalität und Sensibilität feststellen. Im Dialog wurden Verbesserungen bei der Transparenz gegenüber Betroffenen erreicht. Insbesondere die Formulierung einer aussagekräftigen Datenauskunft nach Art. 15 DSGVO und die Prozesse für eine fristgerechte Auskunftserteilung standen dabei im Vordergrund.
Im Falle eines Unternehmens stellte das Team des HmbBfDI bei der Vor-Ort-Prüfung fest, dass trotz abgelaufener Löschfristen Datensätze weiterhin aufbewahrt worden waren. Bis Mitte November 2023 speicherte das Unternehmen eine sechsstellige Zahl von Datensätzen mit personenbezogenen Daten ohne Rechtsgrundlage und verstieß damit gegen Artikel 5 Absatz 1 lit. a, 6 Absatz 1 DSGVO. Auch wenn die ursprünglich verarbeiteten Datensätze in diesem Zeitraum nicht an Dritte weitergegeben wurden, waren sie teilweise noch fünf Jahre nach Ablauf der gesetzlichen Aufbewahrungsfrist nicht aus der Datenbank des Unternehmens gelöscht worden.
Diese Ordnungswidrigkeit hat der HmbBfDI jetzt mit einem Bußgeld in Höhe von 900.000 Euro geahndet. Der Bußgeldbescheid ist rechtskräftig. Das Unternehmen hat den Verstoß eingeräumt und das Bußgeld akzeptiert. Es hat bei der Aufarbeitung professionell mit der Aufsichtsbehörde zusammengearbeitet, was bei der Bußgeldbemessung berücksichtigt wurde.
Bei einem weiteren der geprüften Unternehmen wurden ebenfalls erhebliche, inhaltlich vergleichbare Mängel im Zusammenhang mit Löschpflichten festgestellt – das entsprechende Verfahren dauert noch an.
Dazu Thomas Fuchs: „Wenn die Kundenbeziehung endet, sind die erhobenen Daten sofort beziehungsweise nach festgelegten Fristen zu löschen. Deshalb sollten Unternehmen bereits bevor sie Daten erheben eine Bestandsaufnahme machen, welche Daten gesammelt und wie lange sie vorgehalten werden dürfen. Es ist nicht akzeptabel, wenn Unternehmen, die in datengetriebenen digitalen Branchen arbeiten, kein kohärentes Löschkonzept entwickelt haben.“
+++
Sector-Wide Investigation on Credit Collection Services
900,000 Euro Fine for Violating Deletion Obligations
Although the deletion deadlines had long since expired, a Hamburg-based service provider in the credit collection sector stored records containing personal data for almost five years without a legal basis. The Hamburg Commissioner for Data Protection and Freedom of Information (Hamburg DPA) has now punished this administrative offense with a fine of 900,000 euros.
The violation came to light because the Hamburg DPA had audited companies with a strong market presence in the field of credit collection services as part of a targeted audit. Hamburg is a leading location in Europe in this sector. The data processed about defaulting debtors tends to be particularly sensitive and is regularly shared with other parties such as credit reference agencies and address investigation services. Therefore, the data subjects must be able to trust that their data will be handled responsibly.
Regardless of individual complaints, the way in which debtors' data is stored and processed by the respective service providers was examined. For this purpose, the companies were sent detailed questionnaires, the answers to which provided comprehensive insights into data storage. In addition, the companies were asked to provide meaningful documents such as the directory of processing activities, lists of security measures, and sample letters used. In addition, the Hamburg DPA visited some companies at their respective business premises following the written preliminary examination.
For the most part, the Hamburg DPA was able to determine a high degree of professionalism and sensitivity. During the dialogues, improvements in data storage and transparency towards data subjects were achieved. In particular, the meaningful wording of data access in accordance with Art. 15 GDPR and the processes for providing access in a timely manner were the focus of attention.
However, in the case of one company, the team from the Hamburg DPA found during the on-site inspection that data records had continued to be stored without a legal basis, even though the deletion deadlines had long since expired. Until mid-November 2023, the company stored a six-digit number of data records with personal data without a legal basis, thus violating Articles 5 (1) (a) and 6 (1) of the GDPR. Even though the originally processed data records were not passed on to third parties during this period, some of them had still not been deleted from the company's database five years after the legal retention period had expired.
The Hamburg DPA has now penalized the violation with a fine of 900,000 euros. The decision is legally binding. The company admitted the violation and accepted the fine. It cooperated professionally with the supervisory authority in the follow-up, which is why the fine is comparatively low.
Another of the companies audited was also found to have significant, similar deficiencies in connection with deletion obligations – the corresponding procedure is still ongoing.
Thomas Fuchs: “When the customer relationship ends, the data collected must be deleted immediately or after a specified period. That is why companies should take stock of what data they collect and how long they are allowed to keep it before they collect any data. It is unacceptable for companies working in data-driven digital industries not to have developed a coherent deletion policy.”
