Zurück zur Übersicht
15.11.2024Fachbeitrag

Update Datenschutz Nr. 192

Datenschutzaufsicht: Unterlassene Löschung personenbezogener Daten führt zu Bußgeld von EUR 900.000

Ein aktueller Fall verdeutlicht die Konsequenzen mangelnder Compliance im Bereich der Datenschutz-Grundverordnung (DSGVO): Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) verhängte kürzlich ein Bußgeld von 900.000 Euro gegen ein Inkasso-Unternehmen. Der Grund: Das Unternehmen hatte personenbezogene Daten von Schuldnern auch nach Ablauf der gesetzlich festgelegten Löschfristen aufbewahrt – teilweise bis zu fünf Jahre ohne rechtliche Grundlage. Unternehmen sollten prüfen, ob die intern eingerichteten Prozesse zur regelmäßigen Löschung personenbezogener Daten ausreichend sind.

Rechtliche Grundlagen der Löschpflicht

Die DSGVO gibt klare Regeln zur Datenverarbeitung und -speicherung vor, die sich im Kern an den Grundsätzen der Datenminimierung und Speicherbegrenzung orientieren. Gemäß Artikel 5 Absatz 1 lit. e DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie dies für die Zwecke der Verarbeitung erforderlich ist. Der sogenannte "Speicherbegrenzungsgrundsatz" verpflichtet Unternehmen also, Daten zu löschen, sobald sie für die ursprünglich festgelegten Verarbeitungszwecke nicht mehr benötigt werden. Diese Verpflichtung zur Datenlöschung gilt unabhängig davon, ob die Daten intern genutzt oder an Dritte weitergegeben wurden.

In Verbindung dazu steht Artikel 17 DSGVO. Dieser Artikel räumt betroffenen Personen das Recht ein, die unverzügliche Löschung ihrer personenbezogenen Daten zu verlangen, sobald bestimmte Voraussetzungen erfüllt sind. Zu diesen Voraussetzungen gehören:

  • der Zweck der Verarbeitung ist entfallen,
  • die betroffene Person widerruft ihre Einwilligung, und es fehlt eine anderweitige Rechtsgrundlage,
  • die betroffene Person widerspricht der Verarbeitung, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor,
  • die Daten wurden unrechtmäßig verarbeitet.

Artikel 17 verlangt also nicht nur die Löschung auf Anfrage, sondern auch das aktive Löschen von Daten, wenn sie nicht mehr benötigt werden. Das unterstreicht die Verpflichtung für Unternehmen, ein Löschkonzept zu entwickeln und laufend anzuwenden.

Löschpflichten greifen auch bei B2B-Unternehmen

Einige Unternehmen sind noch immer der Ansicht, die datenschutzrechtlichen Pflichten würden nur für B2C-Unternehmen gelten. Tatsächlich gibt es kein Unternehmen im B2B-Bereich, welches nicht personenbezogene Daten von Ansprechpartnern der Kunden, Lieferanten, Dienstleister oder natürlich eigene Mitarbeiterdaten verarbeitet. Die DSGVO unterscheidet daher nicht zwischen Unternehmen, die nur private Kunden haben und solchen, die ausschließlich im unternehmerischen Geschäftsverkehr tätig sind.

Herausforderungen in der Praxis: Typische Löschfristen und Branchenbesonderheiten

Je nach Branche können unterschiedliche Löschfristen gelten. Während Unternehmen aus dem Gesundheitssektor beispielsweise mit strengen Dokumentationspflichten konfrontiert sind, gelten im Handel teilweise nur die steuerrechtlichen Aufbewahrungspflichten (siehe  unten). Für steuerliche Dokumente wie Rechnungen gilt beispielsweise eine Aufbewahrungsfrist von zehn Jahren, während für andere Geschäftsunterlagen in der Regel sechs Jahre vorgesehen sind.

Eine häufige Herausforderung ist die Verwaltung unterschiedlicher Fristen und Kategorien personenbezogener Daten. Unternehmen sollten daher von Beginn an klar definieren, welche Daten in welcher Form und für welchen Zeitraum gespeichert werden müssen. Diese Vorgaben sollten dokumentiert und in einem Löschkonzept festgelegt sein, um zu verhindern, dass Daten unnötig lange aufbewahrt werden und es dadurch zu Verstößen kommt.

Der Fall: Mangelndes Löschkonzept führt zu Bußgeld

Der Fall des Hamburger Unternehmens zeigt, wie schwerwiegend die Konsequenzen eines fehlenden oder unzureichenden Löschkonzepts sein können. Der HmbBfDI führte bei marktstarken Unternehmen aus dem Forderungsmanagement umfassende Prüfungen durch. Dabei fiel auf, dass das betroffene Unternehmen sensible Schuldnerdaten über Jahre hinweg gespeichert hatte, obwohl die gesetzlichen Löschfristen abgelaufen waren. Diese Daten wurden nicht an Dritte weitergegeben, was jedoch Sanktionen nicht verhindern konnte, da allein die dauerhafte Speicherung der Daten als DSGVO-Verstoß eingestuft wurde. Das Unternehmen akzeptierte das Bußgeld und kooperierte bei der Aufarbeitung des Vorfalls mit der Datenschutzbehörde.

Bußgelder als Signalwirkung: Risiken und Folgen mangelnder Löschkonzepte

Die Höhe des Bußgeldes von 900.000 Euro in diesem Fall ist ein deutliches Signal an alle Unternehmen: Die Aufsichtsbehörden sind bereit, hohe Strafen zu verhängen, wenn Unternehmen den Datenschutz nicht ernst nehmen. Für Unternehmen ist der Imageschaden im Falle einer solchen Sanktion oft schwerer als der finanzielle Verlust. Das Vertrauen der Kunden und Geschäftspartner in die Datenschutzstandards eines Unternehmens kann nachhaltig beeinträchtigt werden, wenn bekannt wird, dass das Unternehmen nicht in der Lage ist, personenbezogene Daten rechtskonform zu löschen.

In finanzieller Hinsicht sind neben Bußgeldern auch mögliche Schadensersatzforderungen von Betroffenen relevant. Wenn ein Unternehmen personenbezogene Daten unrechtmäßig speichert und dadurch die Rechte der betroffenen Personen verletzt, können diese gegebenenfalls Schadensersatzansprüche geltend machen. Auch hier können schnell hohe Beträge zusammenkommen, vor allem, wenn es um sensible Daten wie Bonitätsinformationen oder Gesundheitsdaten geht.

Empfehlungen zur Vermeidung von Verstößen gegen die Löschpflichten

Für eine rechtssichere Umsetzung der Löschpflichten nach DSGVO sollten Unternehmen mehrere Schritte beachten:

  1. Implementierung eines Löschkonzepts: Ein Löschkonzept ist das Herzstück einer DSGVO-konformen Datenverwaltung. Es definiert die Datenkategorien, deren Speicherfristen und den Zeitpunkt der Löschung. Wichtig ist dabei, dass das Konzept regelmäßig aktualisiert wird und den jeweils geltenden rechtlichen Vorgaben entspricht.
  2. Schulung der Mitarbeiter: Alle Mitarbeiter, die mit personenbezogenen Daten arbeiten, sollten regelmäßig zu den Themen Löschpflichten und Datenschutz geschult werden. Insbesondere in datengetriebenen Abteilungen wie Vertrieb, Kundenservice oder Forderungsmanagement ist das Bewusstsein für die Löschpflichten entscheidend.
  3. Technische Umsetzung und Automatisierung: Es ist ratsam, technische Lösungen einzusetzen, die das automatische Löschen von Daten nach Ablauf der Fristen ermöglichen. Moderne Datenmanagement-Systeme bieten oft Funktionen zur Verwaltung von Löschfristen. Mit diesen Tools können Unternehmen die Einhaltung der Löschpflichten automatisieren und das Risiko von Fehlern reduzieren.
  4. Regelmäßige Audits und Kontrollen: Die Einhaltung der Löschpflichten sollte regelmäßig durch interne oder externe Audits überprüft werden. Dabei kann festgestellt werden, ob die festgelegten Fristen eingehalten und Daten tatsächlich gelöscht wurden.
  5. Dokumentation und Nachweisfähigkeit: Da Unternehmen im Ernstfall nachweisen müssen, dass die Löschpflichten eingehalten wurden, ist eine vollständige Dokumentation aller Datenlöschungen wichtig. Dies kann etwa durch Log-Dateien, Berichte aus dem Datenmanagement-System oder entsprechende Audits erfolgen.

Fazit: Ein Löschkonzept ist unverzichtbar

Dieser Fall zeigt, dass Unternehmen ein gut durchdachtes Löschkonzept brauchen, um den gesetzlichen Anforderungen gerecht zu werden und das Vertrauen von Kunden in den Datenschutz zu stärken. Die Einhaltung der Löschpflichten schützt nicht nur vor Sanktionen, sondern auch vor Imageschäden und finanziellen Einbußen, die im Zuge eines Datenschutzvorfalls entstehen können.

Das Beispiel des Hamburger Unternehmens ist eine Warnung an alle, die sich bislang nicht ausreichend mit dem Thema Löschkonzept beschäftigt haben. Ein strukturiertes Löschkonzept hilft dabei, die DSGVO einzuhalten und Risiken zu minimieren. Für Unternehmen, die in datenintensiven Branchen tätig sind, ist der sorgfältige Umgang mit personenbezogenen Daten zudem nicht nur eine rechtliche Pflicht, sondern auch eine Frage des nachhaltigen Geschäftserfolgs.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg

Weitere Artikel

04.11.2024
BGH urteilt zur Panoramafreiheit bei Drohnenaufnahmen
04.11.2024
Referentenentwurf des Beschäftigtendatengesetzes (BeschDG): Neue Regelungen für den Einsatz von Künstlicher Intelligenz im Arbeitsverhältnis
31.10.2024
Cyber Resilience Act verabschiedet und NIS2-Umsetzung in Deutschland auf der Zielgeraden
29.10.2024
Der Referentenentwurf für das Beschäftigtendatengesetz (BeschDG) – Fundament für den rechtssicheren Umgang mit Beschäftigtendaten in der digitalen Arbeitswelt?
17.10.2024
Europäische Kommission veröffentlicht FAQ zum Data Act
15.10.2024
Urteil des OLG München: DSGVO-Verstoß führt zur fristlosen Kündigung eines Vorstandsmitglieds
30.09.2024
Künstliche Intelligenz: Diese gesetzlichen Pflichten greifen bereits ab Februar 2025
20.09.2024
Bundesregierung erlässt Einwilligungsverwaltungsverordnung – (K)ein Ende der Cookie-Banner?
11.09.2024
Verhältnis zwischen Abmahnerfordernis und plattforminternen Abhilfe- und Meldesystemen – Entscheidung des LG Köln
05.09.2024
OLG München zur Rückzahlung bei Online-Coaching-Verträgen
02.09.2024
Künstliche Intelligenz ist kein Erfinder im Sinne des Patentrechts
09.08.2024
Sportwettverluste – wie der EuGH damit umgeht

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.