Berliner Datenschutzaufsicht verhängt Rekordbußgeld

Download PDF

(c) BBH

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat am 30.10.2019 einen Bußgeldbescheid gegen die Deutsche Wohnen SE in Höhe von rund 14,5 Mio. Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen. Diese Entscheidung ist in zweierlei Hinsicht bemerkenswert:

Zum einen hat die Behörde im Wesentlichen beanstandet, dass die Deutsche Wohnen gegen die Grundsätze der Datenverarbeitung aus Art. 5 und Art. 25 Abs. 1 DS-GVO verstoßen hat: Datenminimierung, Speicherbegrenzung und Datenschutz durch Technikgestaltung. Danach sind personenbezogene Daten auf das Maß zu beschränken, das für die Zwecke der Verarbeitung notwendig ist. Sie dürfen ferner nur so lange gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist. Schließlich sind grundsätzlich solche technischen und organisatorischen Maßnahmen zu treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen. Bei Überprüfungen vor Ort sei im Falle der Deutsche Wohnen SE festgestellt worden, dass das Unternehmen für die Speicherung personenbezogener Daten ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Die personenbezogenen Daten seien gespeichert worden, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen sei es möglich gewesen, teilweise Jahre alte private Angaben betroffener Personen einzusehen, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienen würden. Es handele sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z.B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Während in der Praxis bisher eher Pflichten rund um die Erhebung und Verarbeitung personenbezogener Daten Zentrum der Aufmerksamkeit waren, rückt der Vorfall einen Bereich in den Fokus, der in vielen Unternehmen zuweilen eher stiefmütterlich behandelt wird, nämlich die Löschkonzepte für personenbezogene Daten.

Zum anderen ist die schiere Höhe des verhängten Bußgeldes von 14,5 Mio. Euro bemerkenswert. Zum Vergleich: Insgesamt wurden seit Geltung der DS-GVO ab dem 25.5.2018 in Deutschland rund 485.000 Euro an Bußgeldern verhängt (Stand Mai 2019). Damit lagen die deutschen Datenschutzaufsichtsbehörden deutlich hinter ihren europäischen Kollegen zurück, beispielswiese den französischen Datenschützern, die in einem Fall ein Bußgeld in Höhe von 50 Mio. Euro gegen Google verhängt haben, oder der britischen Datenschutzaufsichtsbehörde, die British Airways sogar mit 200 Mio. Euro zu Kasse gebeten hat. Diese Lücke scheinen die deutschen Behörden jetzt zumindest ein Stück weit schließen zu wollen. Es scheint sich in der aufsichtsbehördlichen Praxis eine Verschärfung der datenschutzrechtlichen Gangart anzudeuten. So hat die Berliner Datenschutzbeauftragte Maja Smoltczyk nach Verhängung des Bußgeldes mitgeteilt, dass es sich bei der Deutsche Wohnen SE keinesfalls um einen Einzelfall handele und dass auch andere Unternehmen auffällig viele private Kundendaten speichern würden. Sie empfehle daher allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen. Dies betrifft damit nicht nur Unternehmen aus der Wohnungswirtschaft.

Unternehmen, die personenbezogene Daten verarbeiten und speichern, sollten daher dringend prüfen, ob ihre Prozesse und insbesondere ihre Archivsysteme und Löschroutinen mit der DS-GVO vereinbar sind.

Ansprechpartner: Nils Langeloh/Alexander Bartsch/Thomas Schmeding/Xaver-Moritz Müller-Hübers