Update Datenschutz Nr. 68
Millionenbußgeld für Wohnungsgesellschaft - Der Fall Deutsche Wohnen
Kürzlich wurde bekannt, dass die Berliner Beauftragte für Datenschutz und Informationsfreiheit am 30. Oktober 2019 ein Bußgeld in Höhe von rund EUR 14,5 Mio. wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) gegen die Immobiliengesellschaft Deutsche Wohnen SE erlassen hat. Dieses Bußgeld übertrifft den bisherigen deutschen Höchstwert von rund EUR 200.000 an Delivery Hero Germany bei weitem und gehört zu den höchsten bisher in Europa wegen Datenschutzverstößen verhängten Bußgeldern. Das Bußgeld zeigt außerdem, dass die Datenschutzbeauftragten der Länder mittlerweile auch von den hohen Bußgeldmöglichkeiten der DSGVO Gebrauch machen.
Hintergrund
Bereits im Juni 2017 sei von der Berliner Datenschutzbeauftragten festgestellt worden, dass das Unternehmen personenbezogene Daten von Mietern in einem Archivsystem gespeichert habe, bei dem nicht mehr erforderliche Daten nicht gelöscht werden konnten. Trotz Aufforderung habe sich an dem Zustand bis zu einer Untersuchung vor Ort im März 2019 kaum etwas geändert. Laut Art. 5 DSGVO dürfen Unternehmen personenbezogene Daten nur so lange speichern und verarbeiten, wie sie für den Zweck, für den sie erhoben wurden, erforderlich sind. Zudem müssen Unternehmen, die personenbezogene Daten verarbeiten, laut Art. 25 DSGVO durch Technikgestaltung und datenschutzfreundliche Voreinstellungen dafür sorgen, dass Datenschutzgrundsätze wirksam umgesetzt werden. Dies war und ist bei den Systemen der Deutsche Wohnen SE nicht gewährleistet.
Bußgeld hätte noch höher ausfallen können
Die Aufsichtsbehörde hat dem Bußgeld offenbar das vor kurzem veröffentlichte neue Modell der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern (DSK) zur Berechnung zu Grunde gelegt (Informationen zur neuen Berechnungsmethode für Bußgelder können Sie unserem Newsletter Update Datenschutz Nr. 67 entnehmen). Danach hätte das Bußgeld sogar noch deutlich höher ausfallen können. Bei der Deutschen Wohnen handelt es sich um ein Unternehmen, das im Jahr 2018 über EUR 1 Mrd. Umsatz (genau: EUR 1.438.000,00) erzielt hat. Die von der Behörde angewandte obere Grenze des Bußgeldes lag bei rund EUR 28 Millionen. Offenbar hat die Behörde die 2 %-Umsatz-Grenze für Verstöße gegen Art. 25 DSGVO und nicht die 4 %-Umsatz-Grenze für Verstöße gegen Art. 5 DSGVO angewandt. (Theoretisch wäre ein Bußgeld von bis zu EUR 40 Mio. möglich gewesen.) Für die konkrete Bemessung des Bußgeldes zog die Behörde aber, wie gesetzlich vorgesehen, alle be- und entlastenden Aspekte heran. Belastend wirkte sich hierbei aus, dass die Deutsche Wohnen SE die Archivstruktur bewusst angelegt hat und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hat. Auch die Tatsache, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, wirkte sich bußgeldmildernd aus. Zusätzlich zu dem Bußgeld in Höhe von EUR 14,5 Mio. muss die Deutsche Wohnen in 15 Einzelfällen Bußgelder in Höhe mehrerer Tausend Euro zahlen.
Die Deutsche Wohnen SE hat angekündigt, Einspruch gegen den Bescheid einzulegen.
Fazit und Handlungsempfehlung
Die befürchteten Millionenbußgelder sind nun auch in Deutschland angekommen. Nach der Verhängung des Rekordbußgeldes gegen die Deutsche Wohnen SE drängt sich die Frage auf, ob noch weitere Unternehmen in ähnlicher Weise von den Datenschutzbehörden ins Visier genommen werden. Dies steht zu befürchten, da laut der Berliner Aufsichtsbehörde „Datenfriedhöfe“, wie sie bei der Deutsche Wohnen SE vorgefunden wurden, in der Praxis häufig anzutreffen sind.
Die Entscheidung der Berliner Datenschutzbeauftragten zeigt auch, dass es nicht erst zu Datenpannen oder Datenmissbrauch kommen muss, um ein Millionenbußgeld zu verhängen. Unternehmen sollten das Bußgeldverfahren gegen die Deutsche Wohnen SE zum Anlass nehmen, den eigenen Umgang mit Daten erneut zu hinterfragen und zu überprüfen. Hierbei ist es nicht ausreichend, nur einen Prozess zu implementieren, der die Löschung von nicht mehr erforderlichen Daten vorsieht, sondern die Löschung muss auch tatsächlich durchgeführt werden. Probleme bereitet hier die Tatsache, dass es für manche Daten gesetzliche Aufbewahrungspflichten gibt und Daten, die derartigen gesetzlichen Aufbewahrungspflichten unterliegen, nicht gelöscht werden dürfen. Solche Vorschriften ergeben sich zum Beispiel aus dem Handelsgesetzbuch und der Abgabenordnung. Die Implementierung eines datenschutzkonformen Systems erfordert daher einen nicht unerheblichen finanziellen, technischen und rechtlichen Aufwand. Es ist jedoch die einzige Möglichkeit, um das erhebliche Bußgeldrisiko zu minimieren.