Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat gegen die Immobiliengesellschaft Deutsche Wohnen SE wegen mehreren Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) einen Bußgeldbescheid in Höhe von ca. 14,5 Millionen Euro erlassen.
“Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig…”
Bereits im September 2019 hatte die Berliner Datenschutzbehörde das bislang in Deutschland höchste Bußgeld in Höhe von 195.407 Euro gegen den Lieferdienst Delivery Hero verhängt. Den Newsbeitrag hierzu finden Sie hier. Schon damals kündigte die Aufsichtsbehörde an, dass in absehbarer Zeit weitere Geldbußen in Millionenhöhe folgen werden. Dass es sich hierbei um eine zweistellige Millionensumme handeln würde, hätte so schnell wohl niemand gedacht.
Was war geschehen?
Die Deutsche Wohnen SE hat sich gleich mehrere Verstöße gegen die Datenschutzgrundverordnung zu Schulden kommen lassen. So wurde bereits bei Vor-Ort-Kontrollen im Juni 2017 und im März 2019 durch die Aufsichtsbehörde festgestellt, dass das Unternehmen bei der Speicherung der personenbezogenen Daten der Mieterinnen und Mieter ein Speichersystem nutzt, welches nicht in der Lage ist, nicht mehr erforderliche Daten zu entfernen. Das Unternehmen verarbeitete die personenbezogenen Daten zudem, ohne zu prüfen, ob die Speicherung überhaupt erforderlich oder zulässig war. So ergab die Prüfung in einzelnen Fällen, dass private Daten von ehemaligen Mieterinnen und Mietern eingesehen werden konnten, obwohl der Zweck der ursprünglichen Erhebung weggefallen war. Hierbei handelte es sich um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z.B. Gehaltbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer‑, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.
Keine ausreichende Abhilfe
Nach der Vor-Ort-Prüfung im Juni 2017 hatte die Aufsichtsbehörde gegenüber der Deutschen Wohnen SE die dringende Empfehlung ausgesprochen das Speicher- und Archivsystem so umzustellen, dass es mit den Bestimmungen der DSGVO konform ist. Dieser Aufforderung ist jedoch das Unternehmen nicht oder zumindest nicht ausreichend nachgekommen. So konnte das Unternehmen im März 2019, mehr als eineinhalb Jahre nach der ersten Prüfung und neun Monate nach Anwendungsbeginn der DSGVO weder ein ausreichendes Löschkonzept für ältere Datenbestände noch rechtliche Gründe für die fortdauernde Speicherung der personenbezogenen Daten vorweisen. Zwar hatte das Unternehmen versucht Abhilfe zu schaffen, indem es die ersten Vorbereitungen zur Beseitigung der Missstände getroffen hatte. Dies war der Aufsichtsbehörde jedoch zu wenig, da die Maßnahmen nicht zu einem Zustand führten, der die rechtmäßige Datenverarbeitung vorsah.
Bußgeld in Höhe von 14,5 Millionen Euro
Die Aufsichtsbehörde sah in dem mangelhaften Zustand des Speicher- und Archivsystems einen eklatanten Verstoß gegen Artikel 25 Abs. 1 DSGVO und Artikel 5 DSGVO. Eine Geldbuße in dieser Höhe war deshalb aus Sicht der Behörde zwingend erforderlich. Bußgelder sollen nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sein. Als Anknüpfungspunkt zur Bemessung der Geldbuße wird unter anderem der Vorjahresumsatz des betroffenen Unternehmens herangezogen. Dieser lag laut Geschäftsbericht bei ca. einer Milliarde Euro. Demnach hätte die Aufsichtsbehörde nach den gesetzlich vorgegebenen Bemessungsgrundlagen sogar eine Geldbuße bis zu ca. 28 Millionen Euro erlassen können. Erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes und die gute Kooperation mit der Aufsichtsbehörde wirkten sich bußgeldmindernd aus. Ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens war deshalb angemessen.
Die Bußgeldentscheidung ist bisher nicht rechtskräftig. Die Deutsche Wohnen SE hat in Ihrer Pressemitteilung angekündigt gegen den Bußgeldbescheid vorzugehen.
Mahnende Worte der Datenschutzbeauftragten
Originalzitat der Berliner Datenschutzbeauftragten für Datenschutz und Informationsfreiheit an alle Unternehmen, die personenbezogene Daten verarbeiten:
„Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen. Es ist erfreulich, dass der Gesetzgeber mit der Datenschutz-Grundverordnung die Möglichkeit eingeführt hat, solche strukturellen Mängel zu sanktionieren, bevor es zum Daten-GAU kommt. Ich empfehle allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen.“
Datenschutzmanagementsystem
Ein gut funktionierendes Datenschutzmanagementsystem in einem Unternehmen enthält auch ein Löschkonzept mit Löschfristen. Neben der Einhaltung aller Bestimmungen zum Datenschutz, sollten Aufbewahrungs- und Löschkonzepte deshalb fester Bestandteil eines jeden Unternehmens sein. Für alle Unternehmen, die in der Immobilienbranche tätig sind, aber auch für Vermieter und Hausverwalter dürfte darüber hinaus dieser Artikel zur Informationspflicht nach Art. 13 DSGVO von Interesse sein.
Fazit
Übten die deutschen Aufsichtsbehörden bei der Bemessung der Höhe der Geldbußen bisher Zurückhaltung, zeigt der Fall Deutsche Wohnen SE, dass es den Aufsichtsbehörden mit der Einhaltung des Datenschutzes ernst ist. Eine Geldbuße in Millionenhöhe war deshalb längst überfällig.
Artikel zum selben Thema:
eAU: Neuerungen für Arbeitgeber
eAU: Neuerungen für Arbeitgeber Seit dem 01.01.2023 gilt für Arbeitgeber die Pflicht, die Arbeitsunfähigkeitsbescheinigung (AU) ihrer Beschäftigten digital abzurufen. […]
Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung
Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen […]
Interne Mitteilungen über Beschäftigte
Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss […]