7. November 2019
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat als erste der deutschen Datenschutzaufsichtsbehörden ein Bußgeld in Millionenhöhe wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) verhängt. Der Bußgeldbescheid in Höhe von 14,5 Millionen Euro wurde gegen das Immobilienunternehmen Deutsche Wohnen SE für die jahrelange rechtsgrundlose Aufbewahrung von Mieter-Alt-Daten verhängt.
Die Datenschutzaufsichtsbehörde hatte bereits im Juni 2017 eine Vor-Ort-Prüfung bei der Deutsche Wohnen SE durchgeführt und Verstöße gegen die DSGVO (Art. 25 Abs. 1 und Art. 5) festgestellt. Unter anderem wurde bei der Deutsche Wohnen SE ein Archivsystem genutzt, das keine Möglichkeit für das Löschen von Alt-Daten vorsah. Zum Teil wurden sensible Informationen über aktuelle und ehemalige Mieterinnen und Mieter gespeichert, ohne dass die Speicherung rechtlich zulässig oder erforderlich war.
Aufgrund der gefundenen Datenschutzverstöße hatte die Berliner Datenschutzbeauftragte eine dringende Handlungsempfehlung ausgesprochen und der Deutsche Wohnen SE Zeit gelassen, das Archivsystem umzustellen und so anwendbare Löschfristen einzuhalten.
Da dieselben Datenschutzverstöße auch im März 2019 bei einer erneuten Vor-Ort-Prüfung durch die Berliner Datenschutzbeauftragte noch vorlagen, sah diese die Verhängung eines Bußgeldes für den Zeitraum zwischen Mai 2018 (Beginn der unmittelbaren Geltung der DSGVO) und Oktober 2019 als zwingend an. Die Deutsche Wohnen SE hatte in der Zwischenzeit weder eine Bereinigung ihres Datenbestands vorgenommen, noch konnte sie rechtliche Gründe für die Speicherung vorweisen. Die von dem Unternehmen gleichwohl getroffenen Maßnahmen konnten die Datenschutzverstöße nicht beseitigen.
In einem Interview gab die Berliner Datenschutzbeauftragte weitere Details preis. Bei den unberechtigterweise aufbewahrten Daten handele es sich zwar nicht etwa um Gesundheitsdaten, wohl aber um Informationen aus dem privaten Leben der Mieter, die man nicht ohne Weiteres teile (bspw. welche Ausbildung der Mieter gemacht hat, mit wem er zusammenlebt, wo er zuvor gewohnt hat etc.). Die Deutsche Wohnen SE habe die unterschiedlichen Löschfristen und teilweisen Aufbewahrungspflichten für die verschiedenen Arten der Mieterdaten nicht in ausreichendem Maße distinktiv berücksichtigt. Es habe sogar technische Systeme bei der Deutsche Wohnen SE gegeben, die eine Trennung verschiedener Datenarten zugelassen hätte – diese seien allerdings nicht entsprechend eingesetzt worden.
Die DSGVO gilt nun seit gut anderthalb Jahren auch in Deutschland unmittelbar. Dennoch gibt es immer noch zahlreiche Unternehmen, die vor ihrer Schlagkraft die Augen verschließen und noch keine DSGVO-Umsetzungsmaßnahmen getroffen haben – obwohl es an behördlichen Stellungnahmen und Handreichungen nicht mangelt.
Das Millionenbußgeld der Berliner Datenschutzbeauftragten zeigt noch einmal deutlich auf, dass dieser Ansatz immer „gefährlicher“ wird. Es unterstreicht ebenfalls, dass ein (unzureichender) Versuch der nachträglichen Beseitigung von Datenschutzverstößen nach behördlicher Anmahnung nicht ausreicht, um ein Bußgeld abzuwenden.
Bei dem Bußgeld der Berliner Datenschutzbeauftragten gegen die Deutsche Wohnen SE handelt es sich nur um ein erstes Bußgeld in Millionenhöhe. Es ist – insbesondere vor dem Hintergrund des erst kürzlich veröffentlichten Bußgeldkonzepts der deutschen Datenschutzbehörden – zu erwarten, dass weitere Bußgelder der Datenschutzaufsichtsbehörden der anderen Bundesländer in Kürze folgen werden. Die „Schonfrist“ der Behörden ist eindeutig abgelaufen.
Das neue Bußgeldkonzept wird darüber hinaus erwartungsgemäß zu einer generellen Verschärfung behördlichen Handelns und damit zu einer Erhöhung der verhängten Bußgelder führen. Das Bußgeld gegen die Deutsche Wohnen SE zeigt deutlich, wie es ausgehen kann, wenn die Datenschutzbehörden das Konzept in der Praxis anwenden (wie in unserem Artikel weiter ausgeführt und in unserem Interview beschrieben).
von mehreren Autoren
Power Play: Renewable Energy Update