Die Ber­li­ner Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit hat gegen die Immo­bi­li­en­ge­sell­schaft Deut­sche Woh­nen SE wegen meh­re­ren Ver­stö­ßen gegen die Datenschutz-Grundverordnung (DSGVO) einen Buß­geld­be­scheid in Höhe von ca. 14,5 Mil­lio­nen Euro erlassen.

Daten­fried­hö­fe, wie wir sie bei der Deut­sche Woh­nen SE vor­ge­fun­den haben, begeg­nen uns in der Auf­sichts­pra­xis lei­der häufig…”

Bereits im Sep­tem­ber 2019 hat­te die Ber­li­ner Daten­schutz­be­hör­de das bis­lang in Deutsch­land höchs­te Buß­geld in Höhe von 195.407 Euro gegen den Lie­fer­dienst Deli­very Hero ver­hängt. Den News­bei­trag hier­zu fin­den Sie hier. Schon damals kün­dig­te die Auf­sichts­be­hör­de an, dass in abseh­ba­rer Zeit wei­te­re Geld­bu­ßen in Mil­lio­nen­hö­he fol­gen wer­den. Dass es sich hier­bei um eine zwei­stel­li­ge Mil­lio­nen­sum­me han­deln wür­de, hät­te so schnell wohl nie­mand gedacht.

Was war geschehen?

Die Deut­sche Woh­nen SE hat sich gleich meh­re­re Ver­stö­ße gegen die Daten­schutz­grund­ver­ord­nung zu Schul­den kom­men las­sen. So wur­de bereits bei Vor-Ort-Kontrollen im Juni 2017 und im März 2019 durch die Auf­sichts­be­hör­de fest­ge­stellt, dass das Unter­neh­men bei der Spei­che­rung der per­so­nen­be­zo­ge­nen Daten der Mie­te­rin­nen und Mie­ter ein Spei­cher­sys­tem nutzt, wel­ches nicht in der Lage ist, nicht mehr erfor­der­li­che Daten zu ent­fer­nen. Das Unter­neh­men ver­ar­bei­te­te die per­so­nen­be­zo­ge­nen Daten zudem, ohne zu prü­fen, ob die Spei­che­rung über­haupt erfor­der­lich oder zuläs­sig war. So ergab die Prü­fung in ein­zel­nen Fäl­len, dass pri­va­te Daten von ehe­ma­li­gen Mie­te­rin­nen und Mie­tern ein­ge­se­hen wer­den konn­ten, obwohl der Zweck der ursprüng­li­chen Erhe­bung weg­ge­fal­len war. Hier­bei han­del­te es sich um Daten zu den per­sön­li­chen und finan­zi­el­len Ver­hält­nis­sen der Mie­te­rin­nen und Mie­ter, wie z.B. Gehalt­be­schei­ni­gun­gen, Selbst­aus­kunfts­for­mu­la­re, Aus­zü­ge aus Arbeits- und Aus­bil­dungs­ver­trä­gen, Steuer‑, Sozial- und Kran­ken­ver­si­che­rungs­da­ten sowie Kontoauszüge.

Keine ausreichende Abhilfe

Nach der Vor-Ort-Prüfung im Juni 2017 hat­te die Auf­sichts­be­hör­de gegen­über der Deut­schen Woh­nen SE die drin­gen­de Emp­feh­lung aus­ge­spro­chen das Speicher- und Archiv­sys­tem so umzu­stel­len, dass es mit den Bestim­mun­gen der DSGVO kon­form ist. Die­ser Auf­for­de­rung ist jedoch das Unter­neh­men nicht oder zumin­dest nicht aus­rei­chend nach­ge­kom­men. So konn­te das Unter­neh­men im März 2019, mehr als ein­ein­halb Jah­re nach der ers­ten Prü­fung und neun Mona­te nach Anwen­dungs­be­ginn der DSGVO weder ein aus­rei­chen­des Lösch­kon­zept für älte­re Daten­be­stän­de noch recht­li­che Grün­de für die fort­dau­ern­de Spei­che­rung der per­so­nen­be­zo­ge­nen Daten vor­wei­sen. Zwar hat­te das Unter­neh­men ver­sucht Abhil­fe zu schaf­fen, indem es die ers­ten Vor­be­rei­tun­gen zur Besei­ti­gung der Miss­stän­de getrof­fen hat­te. Dies war der Auf­sichts­be­hör­de jedoch zu wenig, da die Maß­nah­men nicht zu einem Zustand führ­ten, der die recht­mä­ßi­ge Daten­ver­ar­bei­tung vorsah.

Bußgeld in Höhe von 14,5 Millionen Euro

Die Auf­sichts­be­hör­de sah in dem man­gel­haf­ten Zustand des Speicher- und Archiv­sys­tems einen ekla­tan­ten Ver­stoß gegen Arti­kel 25 Abs. 1 DSGVO und Arti­kel 5 DSGVO. Eine Geld­bu­ße in die­ser Höhe war des­halb aus Sicht der Behör­de zwin­gend erfor­der­lich. Buß­gel­der sol­len nicht nur wirk­sam und ver­hält­nis­mä­ßig, son­dern auch abschre­ckend sein. Als Anknüp­fungs­punkt zur Bemes­sung der Geld­bu­ße wird unter ande­rem der Vor­jah­res­um­satz des betrof­fe­nen Unter­neh­mens her­an­ge­zo­gen. Die­ser lag laut Geschäfts­be­richt bei ca. einer Mil­li­ar­de Euro. Dem­nach hät­te die Auf­sichts­be­hör­de nach den gesetz­lich vor­ge­ge­be­nen Bemes­sungs­grund­la­gen sogar eine Geld­bu­ße bis zu ca. 28 Mil­lio­nen Euro erlas­sen kön­nen. Ers­te Maß­nah­men mit dem Ziel der Berei­ni­gung des rechts­wid­ri­gen Zustan­des und die gute Koope­ra­ti­on mit der Auf­sichts­be­hör­de wirk­ten sich buß­geld­min­dernd aus. Ein Buß­geld im mitt­le­ren Bereich des vor­ge­ge­be­nen Buß­geld­rah­mens war des­halb angemessen.

Die Buß­geld­ent­schei­dung ist bis­her nicht rechts­kräf­tig. Die Deut­sche Woh­nen SE hat in Ihrer Pres­se­mit­tei­lung ange­kün­digt gegen den Buß­geld­be­scheid vorzugehen.

Mahnende Worte der Datenschutzbeauftragten

Ori­gi­nal­zi­tat der Ber­li­ner Daten­schutz­be­auf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit an alle Unter­neh­men, die per­so­nen­be­zo­ge­ne Daten verarbeiten:

Daten­fried­hö­fe, wie wir sie bei der Deut­sche Woh­nen SE vor­ge­fun­den haben, begeg­nen uns in der Auf­sichts­pra­xis lei­der häu­fig. Die Bri­sanz sol­cher Miss­stän­de wird uns lei­der immer erst dann deut­lich vor Augen geführt, wenn es etwa durch Cyber­an­grif­fe, zu miss­bräuch­li­chen Zugrif­fen auf die mas­sen­haft gehor­te­ten Daten gekom­men ist. Aber auch ohne solch schwer­wie­gen­de Fol­gen haben wir es hier­bei mit einem ekla­tan­ten Ver­stoß gegen die Grund­sät­ze des Daten­schut­zes zu tun, die die Betrof­fe­nen genau vor sol­chen Risi­ken schüt­zen sol­len. Es ist erfreu­lich, dass der Gesetz­ge­ber mit der Datenschutz-Grundverordnung die Mög­lich­keit ein­ge­führt hat, sol­che struk­tu­rel­len Män­gel zu sank­tio­nie­ren, bevor es zum Daten-GAU kommt. Ich emp­feh­le allen daten­ver­ar­bei­ten­den Stel­len, ihre Daten­ar­chi­vie­rung auf Ver­ein­bar­keit mit der DS-GVO zu überprüfen.“

Datenschutzmanagementsystem

Ein gut funk­tio­nie­ren­des Daten­schutz­ma­nage­ment­sys­tem in einem Unter­neh­men ent­hält auch ein Lösch­kon­zept mit Lösch­fris­ten. Neben der Ein­hal­tung aller Bestim­mun­gen zum Daten­schutz, soll­ten Aufbewahrungs- und Lösch­kon­zep­te des­halb fes­ter Bestand­teil eines jeden Unter­neh­mens sein. Für alle Unter­neh­men, die in der Immo­bi­li­en­bran­che tätig sind, aber auch für Ver­mie­ter und Haus­ver­wal­ter dürf­te dar­über hin­aus die­ser Arti­kel zur Infor­ma­ti­ons­pflicht nach Art. 13 DSGVO von Inter­es­se sein.

Fazit

Übten die deut­schen Auf­sichts­be­hör­den bei der Bemes­sung der Höhe der Geld­bu­ßen bis­her Zurück­hal­tung, zeigt der Fall Deut­sche Woh­nen SE, dass es den Auf­sichts­be­hör­den mit der Ein­hal­tung des Daten­schut­zes ernst ist. Eine Geld­bu­ße in Mil­lio­nen­hö­he war des­halb längst überfällig.

Artikel zum selben Thema:

Autor des Artikels:

Datenschutz am Bodensee

Mehr zum Autorenteam