DSGVO-Bußgeld: Zypern ahndet fehlende Löschung & „Papier-TOMs“ (10.000 €) 

Ein weiteres Bußgeld zeigt, dass Aufsichtsbehörden den Schwerpunkt zunehmend auf gelebte Datenschutzpraxis statt reiner Dokumentation legen.
Die zypriotische Datenschutzbehörde verhängte am 10.03.2025 ein Bußgeld von 10.000 € gegen eine Wohnungsbauförderungsagentur, weil interne Datenschutzmaßnahmen nur auf dem Papier existierten.
Der Fall verdeutlicht, wie wichtig funktionierende Löschprozesse und nachweisbare Rechenschaft nach der DSGVO geworden sind.

Auslöser war eine Beschwerde eines Bürgers, dessen Kreditantrag abgelehnt wurde. Er stellte fest, dass ein älterer, ebenfalls abgelehnter Antrag noch mehr als sechs Monate gespeichert war und bei der neuen Entscheidung unzulässig berücksichtigt wurde. Die Behörde fand heraus: Es gab zwar formale Datenschutzrichtlinien, doch kein tatsächlich wirksames Löschkonzept.

Andre Müller
Andre Müller
Referent für Datenschutz und Künstliche Intelligenz
Bitkom Consult

Was Unternehmen daraus lernen

  • Löschkonzept als gelebter Prozess, nicht nur Papierdokument:
    Ein wirksames Löschkonzept braucht funktionierende Abläufe: klare Trigger, automatisierte Fristen, definierte Workflows und nachvollziehbare Nachweise.

  • Entscheidungsgrundlagen aktuell halten:
    In Entscheidungen dürfen nur aktuelle und tatsächlich erforderliche Daten einfließen. Vergangene oder veraltete Informationen haben dort keinen Platz.

  • Datenhygiene statt Datensammeln:
    Alte oder nicht mehr benötigte Daten müssen aktiv entfernt werden. „Aufbewahrung auf Vorrat“ widerspricht dem Grundsatz der Datenminimierung und erhöht das Risiko von Verstößen.

Handlungsempfehlungen

  • Lösch- und Aufbewahrungsfristen festlegen und automatisieren:
    Für abgelehnte Anträge klare Fristen definieren (z. B. X Monate) und systemseitig durchsetzen.

  • Entscheidungsleitfäden und Sperrlisten:
    Regeln, welche Daten bei Neuentscheidungen nicht mehr herangezogen werden dürfen (z. B. abgelaufene oder gelöschte Anträge).

  • Betroffenenrechte flüssig abwickeln:
    Prozesse für Auskunft, Löschung und Widerspruch.

Ausblick

Der Fall zeigt deutlich: Datenschutz-Compliance endet nicht mit der Policy.
Die Aufsichtsbehörde ahndete nicht das Fehlen von Dokumenten, sondern die fehlende Umsetzung. Viele Organisationen verfügen zwar über formelle Richtlinien, doch ohne gelebte Prozesse verlieren diese ihren Wert.

Kontakt

Sie möchten Ihre Datenschutzprozesse auf den Prüfstand stellen oder externe Dienstleister rechtssicher einbinden?
Wir unterstützen Sie bei der rechtlichen Bewertung, Umsetzung und Kontrolle – praxisnah und DSGVO-konform.
Melden Sie sich gern unter datenschutz@bitkom-consult.de

Share