900.000 € Bußgeld wegen mangelhafter Löschung – Datenschutz News KW 46/2024

Transkript zur Folge:

Machst mich aber auch unsicher, es ist doch... Das ist doch der Fuchs.
Das ist doch der Fuchs.
Das ist doch der Fuchs.
Mit Schuhe ist der Fuchs.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Mein Name ist Heiko Gossen.
Und mein Name ist Gregor Wortberg.
Mit euch gemeinsam starten wir wieder ins Wochenende. Heute ist Freitag, der 15. November 2024.
Unser Redaktionsschluss wie immer um 10 Uhr. Und wir gucken jetzt zurück,
was so passiert ist in der Woche.
Und vielleicht auch, was heute noch ansteht. Mal gucken. Wir haben ja großes Vorhäute.
Von fragendes Gesicht.
Nee, eigentlich, ja. Ich weiß Bescheid. Ich habe davon gehört.
Gucken wir uns das doch mal an für diese Woche.
Also wer uns in Social Media verfolgt hat, der hat es vielleicht mitbekommen.
Wir sind für den zweiten Mühleheimer Wirtschaftspreis nominiert.
Wir sind für den letzten fünf und heute Abend ist die Preisverleihung.
Das heißt vielleicht nächste Woche, wenn wir dann mit rauen Stimmen hier sprechen,
dann war es ein toller Abend.
Wir sollten auch vielleicht absichtlich mal montags aufnehmen,
wobei sich die neuen News über das Wochenende wahrscheinlich in Grenzen halten werden.
Ja, das stimmt.
Aber wir zelebrieren dann nochmal am Donnerstagabend extra nach. Hoffentlich.
Hoffentlich.
Wäre schön.
Wäre schön. Gut, was hast du mitgebracht, Gregor?
Ich habe ein Bußgeld aus Hamburg mitgebracht für einen Verstoß gegen die Löschpflichten
und eine Veröffentlichung. Kurze Folge meinerseits.
Okay, ja auch bei mir hält es sich heute in Grenzen auch einer Veröffentlichung.
Dann gucken wir auf ein Forschungsprojekt zu einer Datenschutz-Sandbox und ein
Urteil aus Wiesbaden vom Landgericht Wiesbaden zur Schufa und damit würde ich auch direkt starten.
Das Landgericht Wiesbaden hat entschieden, dass typische wirtschaftliche Nachteile
wie bei der Wohnungssuche oder Kreditaufnahme keine besondere Situation im Sinne
von Artikel 21 DSGVO darstellen.
In einem aktuellen Urteil entschied jetzt das Landgericht, dass die Speicherung
von Bonitätsdaten, hier in dem Fall von dem Betroffenen, der geklagt hat,
durch eine Wirtschaftsauskunft rechtmäßig sei.
Der Kläger hatte auf Löschung des Negativeintrags geklagt, da er sich durch
diesen bei der Wohnungssuche und Kreditaufnahme doch sehr beeinträchtigt fühlte.
Das kann man dem Urteil auch sehr ausführlich entnehmen.
Dahingehend finde ich es tatsächlich ganz lesenswert.
Das Gericht stellte jedoch klar, dass solche wirtschaftlichen Nachteile keine
besondere Situation im Sinne des Artikel 21 DSGVO darstellen.
Eine besondere Situation setzt nämlich voraus, so das Gericht,
dass der Betroffene individuell von anderen Schuldnern abweicht,
was aber jetzt hier in dem Fall nicht der Fall war.
Hier in dem Fall beruhte der Negativ-Eintrag auf einer titulierten Forderung,
die der Kläger auch erst Jahre später vollständig beglich und so sah das Gericht
die Datenverarbeitung durch die Beklagte, hier die Auskunft TIE,
also als erforderlich an,
um in die Interessen der Vertragspartner zu schützen.
Diese benötigen, und das kennen wir natürlich alle ja auch, von Auskunft TIE
natürlich die Bonitätsdaten, um finanzielle Risiken einschätzen zu können.
Also die Interessen der Auskunft Tai und ihrer Partner überwogen,
sodass Gericht die Rechte des Klägers, da dessen Zahlungsverhalten ein legitimes Risiko darstelle.
Die Schwierigkeiten, das jetzt nochmal sozusagen im Kern, bei der Wohnungssuche
und Kreditaufnahme sind laut Gericht typische Folgen eines Negativ-Eintrags
und deswegen halt auch hier keine Besonderheiten, weil sie halt viele Schuldner betreffen.
Der Herr blieb der Widerspruch des Klägers, also nach Artikel 21,
auch erfolglos, da er ja keine atypischen Umstände darlegen konnte.
Ich finde es halt dahingehend ganz interessant, das Urteil, weil wir ja sehr
viel im auch beruflichen Alltag, wenn mit 6.1.f.
Mit der Interessenabwägung argumentieren oder zumindest ist es nicht selten,
dass man durchaus Verarbeitungstätigkeiten auf berechtigte Interessen stützt.
Und immer da, wo es ja nicht Direktwerbung ist, besteht ja auch ein Widerspruchsrecht,
aber es muss halt begründet werden.
Und hier finde ich halt das Urteil ganz gut, wenn man das halt einmal angucken
kann, worauf es dann halt auch bei dieser Begründung, die der Betroffene ja vortragen muss,
ankommt und dass man halt auch bei der Überprüfung dann halt auf wirklich atypische
Dinge achten sollte und dann halt auch natürlich neu bewerten muss für den Einzelfall.
Das ist wirklich ein schönes Exempel,
woran man es nochmal sehr gut nachvollziehen kann, finde ich auch.
Im weitesten Sinne bleibe ich bei den Auskunftteilen, nämlich ein bisschen auf
der anderen Seite im Forderungsmanagement, wenn man so möchte.
Die hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat zuletzt
eine Schwerpunktprüfung in der Branche des Forderungsmanagements durchgeführt
und in diesem Rahmen ein Bußgeld in Höhe von 900.000 Euro ausgesprochen.
Insbesondere wurde neben den vorliegenden Beschwerden von Betroffenen die Art
der Aufbewahrung und der Verarbeitung von Daten bei den jeweiligen Unternehmen geprüft.
Die Schwerpunktprüfung erfolgte initial erstmal durch den Versand von Fragebögen,
in denen dann auch wesentliche Dokumentationen wie das Verzeichnis von Verarbeitungstätigkeiten,
sowie die Dokumentation der technischen und organisatorischen Maßnahmen und
Dokumentenvorlagen unter anderem zur Beantwortung von Auskunftsanfragen zur
Verfügung gestellt werden.
Im Rahmen einer Vor-Ort-Prüfung, also wahrscheinlich ist da nicht besonders
ausreichend geantwortet worden, ist dann bei einem Unternehmen festgestellt
worden, dass personenbezogene Daten auch nach abgelaufener Löschfrist weiterhin gespeichert wurden.
Betroffen war eine sechsstellige Zahl von Datensätzen und die Löschfrist wurde
teilweise um fünf Jahre überschritten.
Vielleicht auch im Kontext zu deinem Urteil auch nochmal, Heiko.
Also ja, sie dürfen speichern, die Forderungsmanagement-Auskontakt,
aber halt auch nicht unbefristet.
Und da hat dieses eine Unternehmen dann halt gegen verstoßen.
Und da dann halt natürlich auch gegen Artikel 5 Absatz 1 Leta verstoßen, der DSGVO,
also Verarbeitung nach Rechtmäßigkeit, Verarbeitung nach treuem Glauben und
Transparenz, sowie dann halt auch gegen Artikel 6 Absatz 1, also keine gültige
Rechtsgrundlage mehr für die Verarbeitung gehabt.
In dem Falle bzw. in der Pressemeldung hob die Aufsichtsbehörde halt auch nochmal
die tendenziell besondere Sensibilität der Daten hervor, die in dem Kontext
natürlich dann auch verarbeitet werden, also im Forderungsmanagement und deswegen
dann halt auch nochmal die Strafe in Höhe von 900.000 Euro.
Ein weiteres Unternehmen ist auch betroffen. Das entsprechende Verfahren läuft
noch. Da werden wir vielleicht auch nochmal was hören in Zukunft.
Und ansonsten, wenn man auch dann auch nochmal so sieht, was nimmt man daraus
mit, was dann alles angefragt wird, neben dem VVT,
also Verzeichnis von Verarbeitungstätigkeiten, was ja jedes Unternehmen dann
ja auch führen muss und an Dokumentation der technischen und autorischen Maßnahmen,
dass halt auch Dokumentenvorlagen abgefragt werden, kann man da nur empfehlen,
selber nochmal zu schauen im Unternehmen und zu gucken, okay,
habe ich alle Prozesse so gestaltet, dass ich personenbezogene Daten halt auch
rechtzeitig und gemäß den gesetzlichen Aufbewahrungsfristen lösche und wie sehen
meine weiteren Dokumentationen und Prozesse aus,
um jetzt nicht nur dem Löschanspruch, sondern natürlich auch dann vielleicht
auch Betroffenenanfragen nachkommen zu können, weil vielleicht wird ja auch
mal bei mir geklopft in Form eines Fragebogens.
Ich finde, ja beide Meldungen zeigen nochmal schön, finde ich,
dass halt Datenschutz genau so funktionieren sollte.
Ja, also einerseits es gibt berechtigte Interessen, es gibt Rechtsgrundlagen,
um Daten zu verarbeiten, um sie auch zu haben, auch rechtmäßig,
auch vor Gericht standhaltend sozusagen, gerichtlich überprüft.
Auf der anderen Seite aber dann aber auch zu sagen, in aller Konsequenz,
wenn dann der Zweck wegfällt, müssen sie auch gelöscht werden und wer es halt
nicht tut, der muss halt dann im Zweifelsfall halt auch ein Bußgeld zahlen.
Ein Forschungsprojekt der Uni Bayreuth schafft eine Datenschutz-Sandbox für
sichere Technologieentwicklung.
Mit einer Datenschutz-Sandbox schaffen nun Forschende der Universität Bayreuth
gemeinsam mit der Datenschutzaufsicht Rheinland-Pfalz einen innovativen digitalen Raum für Unternehmen.
Erstmals können so jetzt Anwendungen dort unter realen Bedingungen getestet
werden, um frühzeitig mögliche Datenschutzprobleme zu erkennen und natürlich auch zu beheben.
Die Experimentierumgebung bietet Unternehmen also die Chance,
neue Technologien und Lösungen rechtssicher zu entwickeln, ohne den Datenschutz
zu gefährden, so der Landesbeauftragte für Datenschutz und die Informationsfreiheit
in Rheinland-Pfalz, Prof.
Dr. Kugelmann in seiner Pressemitteilung. Das Projekt fördert vom Bundesministerium
für Bildung und Forschung, soll also hiermit den Unternehmen die Sicherheit
geben, auch kreativ und mutig sein zu dürfen,
ohne direkt Angst vor Rechtsverstößen zu haben.
Wir kennen dieses Konstrukt ja jetzt aus der KI-Verordnung, da wurde das ja
auch definiert, diese Sandboxen.
Ich persönlich finde das sehr gut, dass es erstmal dieses Konstrukt jetzt überhaupt
gibt und dass halt auch Aufsichtsbehörden jetzt hier mit nach vorne gehen und
das halt auch unterstützen und man somit halt die Innovation,
glaube ich, wirklich fördern kann, beziehungsweise einfach Unternehmen eine
Chance gibt, dann auch ihre Produkte zu entwickeln und dann zusammen mit den
Aufsichtsbehörden und auch anderen Beteiligten hier sicher zu entwickeln.
Können. Von daher finde ich es eine schöne Nachricht.
Ich habe es angekündigt, ich habe nur eine Nachricht mitgebracht,
deswegen gehe ich direkt in die Veröffentlichung rein. Und zwar bleibe ich auch in Hamburg.
Der hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat letzten
Freitag, wahrscheinlich nach unserem Redaktionsschluss, eine Übersicht aktueller
Entscheidungen zum Recht auf Vergessenwerden veröffentlicht.
Dies kann zum Beispiel relevant sein, wenn man Informationen aus dem Internet
zum Beispiel aus Suchmaschinen entfernt wissen möchte, also wenn man das nicht
mal bei Google zum Beispiel finden möchte.
Neben aktuellen Entscheidungen des BGH und des EuGH wird auch darüber informiert,
wann ein Löschanspruch bei einer Suchmaschine besteht, welche Voraussetzungen
erfüllt sein müssen und wie bzw.
Wo dieser durchgeführt werden kann. Der Link dazu wie immer in den Shownotes.
Ja, ich hätte auch eine Veröffentlichung und zwar, das BSI hat den Lagebericht
zur IT-Sicherheit in Deutschland veröffentlicht.
Die Lage der IT-Sicherheit bleibt laut diesem Bericht weiter angespannt,
da Cyberangriffe zunehmend professioneller und gezielter vorgehen,
insbesondere durch Ransomware, Zero-Day-Schwachstellen und DDoS-Angriffe.
Gleichzeitig sieht man aber Fortschritte in der Resilienz, internationale Strafverfolgungsmaßnahmen
und auch die Entwicklung neuer Sicherheitsstandards wie NIS2 oder auch der Cyber
Resilience Act, was halt effektive Gegenmaßnahmen darstellt.
Und da ist wohl der BSI nach wie vor natürlich der Meinung, dass es halt an
den Unternehmen liegt und auch den Behörden natürlich die IT-Sicherheitsstrategien
konsequent weiterzuentwickeln und auch umzusetzen.
Ich bin ehrlich, ich habe ihn noch nicht komplett durchgearbeitet.
Im kursorischen Durchsicht sieht es aber halt schon so aus, als ob wir damit
mal wieder ein ganz gutes Abbild bekommen, wo jetzt gerade die größte Musik
spielt und worauf Unternehmen sich halt auch in den nächsten Jahren verstärkt
wieder vorbereiten sollten,
weil ich halt gerade, wenn man das Thema IT-Sicherheit, Cybersicherheit ernst nimmt,
ist mir wichtig, auch solche Dokumente sie anzusehen, um halt dann sein Risikomanagement
und seine Maßnahmen auch entsprechend vorzubereiten und anzugehen.
Damit man nicht hinterherhinkt und nachher das Opfer von Cyberangriffen ist.
Damit sind wir durch für heute. Vielen Dank, Gregor.
Sehr gerne, Eiko. Hat wieder viel Spaß gemacht.
Ebenso. Und ja, wir werden nächste Woche berichten, ob wir Preisträger geworden
sind oder nicht. Ich hoffe, ihr drückt uns alle die Daumen.
Heute Abend ist es dann soweit. Und ja, wir werden berichten.
Von daher euch allen ein schönes Wochenende. Bleibt uns gewogen und auf bald.