Was der Datenschutz im Forderungsmanagement verlangt

Datenschutz: Worauf beim Forderungsmanagement zu achten ist

Ein aktuelles Beispiel zeigt, welche Folgen eine Datenschutzverletzung im Forderungsmanagement haben kann. So meldet der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ein 900.000 Euro Bußgeld wegen Verstoßes gegen Löschpflichten.

Das war passiert:  Obwohl Löschfristen abgelaufen waren, hat ein Hamburger Dienstleister aus der Forderungsmanagement-Branche Datensätze mit personenbezogenen Daten ohne Rechtsgrundlage bis zu fünf Jahre lang aufbewahrt. Diese Ordnungswidrigkeit hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit nun mit einem Bußgeld in Höhe von 900.000 Euro geahndet.

Aufgefallen war der Verstoß, weil der HmbBfDI im Rahmen einer Schwerpunktprüfung marktstarke Unternehmen aus dem Forderungsmanagement geprüft hatte. Bei einer Vor-Ort-Prüfung stellte die Datenschutzaufsicht fest, dass trotz abgelaufener Löschfristen Datensätze weiterhin aufbewahrt worden waren. Bis Mitte November 2023 speicherte das Unternehmen eine sechsstellige Zahl von Datensätzen mit personenbezogenen Daten ohne Rechtsgrundlage und verstieß damit gegen die DSGVO. Auch wenn die ursprünglich verarbeiteten Datensätze in diesem Zeitraum nicht an Dritte weitergegeben wurden, waren sie teilweise noch fünf Jahre nach Ablauf der gesetzlichen Aufbewahrungsfrist nicht aus der Datenbank des Unternehmens gelöscht worden.

Das Unternehmen hat den Verstoß eingeräumt und das Bußgeld akzeptiert. Es hat bei der Aufarbeitung professionell mit der Aufsichtsbehörde zusammengearbeitet, was bei der Bußgeldbemessung berücksichtigt wurde.

Die verarbeiteten Daten über säumige Schuldnerinnen und Schuldner sind tendenziell besonders sensibel und werden regelmäßig mit weiteren Stellen wie Auskunfteien und Adressermittlungsdiensten geteilt, berichtet die Hamburger Datenschutzaufsicht. Daher müssten die betroffenen Personen auf einen verantwortungsvollen Umgang mit ihren Daten vertrauen können.

Thomas Fuchs, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, kommentierte dies so: „Wenn die Kundenbeziehung endet, sind die erhobenen Daten sofort beziehungsweise nach festgelegten Fristen zu löschen. Deshalb sollten Unternehmen bereits bevor sie Daten erheben eine Bestandsaufnahme machen, welche Daten gesammelt und wie lange sie vorgehalten werden dürfen. Es ist nicht akzeptabel, wenn Unternehmen, die in datengetriebenen digitalen Branchen arbeiten, kein kohärentes Löschkonzept entwickelt haben.“

So prüfte die Aufsichtsbehörde das Forderungsmanagement

Bei der Schwerpunktprüfung zum Forderungsmanagement wurde hinterfragt, wie die Daten der Schuldnerinnen und Schuldner bei den jeweiligen Dienstleistern aufbewahrt und verarbeitet werden. Zu diesem Zweck erhielten die Unternehmen ausführliche Fragebögen zugesandt, deren Antworten umfassende Einblicke in die Datenhaltung gaben. Darüber hinaus wurden die Unternehmen aufgefordert, Dokumente wie das Verzeichnis der Verarbeitungstätigkeiten, Auflistungen der Sicherheitsmaßnahmen sowie verwendete Musterschreiben vorzulegen. Zusätzlich suchte die Hamburger Datenschutzaufsicht im Anschluss an die schriftliche Vorprüfung einige Unternehmen in den jeweiligen Geschäftsräumen auf.

Überwiegend konnte die Aufsichtsbehörde ein hohes Maß an Professionalität und Sensibilität feststellen. Im Dialog wurden Verbesserungen bei der Transparenz gegenüber Betroffenen erreicht. Insbesondere die Formulierung einer aussagekräftigen Datenauskunft nach Artikel 15 DSGVO und die Prozesse für eine fristgerechte Auskunftserteilung standen dabei im Vordergrund, wie die Aufsichtsbehörde berichtete.

Es zeigt sich: Ein Forderungsmanagement wird nicht durch den Datenschutz erschwert, es muss sich aber an die Vorgaben der DSGVO halten, insbesondere an die Betroffenenrechte wie zum Beispiel die Löschpflichten nach Ablauf der Aufbewahrungsfrist.