Auf dieser Seite
    • Auf dieser Seite

    7. November 2019

    Erstes DSGVO-Bußgeld in Millionenhöhe trifft Immobilienbranche

    Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat als erste der deutschen Datenschutzaufsichtsbehörden ein Bußgeld in Millionenhöhe wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) verhängt. Der Bußgeldbescheid in Höhe von 14,5 Millionen Euro wurde gegen das Immobilienunternehmen Deutsche Wohnen SE für die jahrelange rechtsgrundlose Aufbewahrung von Mieter-Alt-Daten verhängt.

    Hintergrund des Bußgeldbescheids

    Die Datenschutzaufsichtsbehörde hatte bereits im Juni 2017 eine Vor-Ort-Prüfung bei der Deutsche Wohnen SE durchgeführt und Verstöße gegen die DSGVO (Art. 25 Abs. 1 und Art. 5) festgestellt. Unter anderem wurde bei der Deutsche Wohnen SE ein Archivsystem genutzt, das keine Möglichkeit für das Löschen von Alt-Daten vorsah. Zum Teil wurden sensible Informationen über aktuelle und ehemalige Mieterinnen und Mieter gespeichert, ohne dass die Speicherung rechtlich zulässig oder erforderlich war.

    Aufgrund der gefundenen Datenschutzverstöße hatte die Berliner Datenschutzbeauftragte eine dringende Handlungsempfehlung ausgesprochen und der Deutsche Wohnen SE Zeit gelassen, das Archivsystem umzustellen und so anwendbare Löschfristen einzuhalten.

    Da dieselben Datenschutzverstöße auch im März 2019 bei einer erneuten Vor-Ort-Prüfung durch die Berliner Datenschutzbeauftragte noch vorlagen, sah diese die Verhängung eines Bußgeldes für den Zeitraum zwischen Mai 2018 (Beginn der unmittelbaren Geltung der DSGVO) und Oktober 2019 als zwingend an. Die Deutsche Wohnen SE hatte in der Zwischenzeit weder eine Bereinigung ihres Datenbestands vorgenommen, noch konnte sie rechtliche Gründe für die Speicherung vorweisen. Die von dem Unternehmen gleichwohl getroffenen Maßnahmen konnten die Datenschutzverstöße nicht beseitigen.

    In einem Interview gab die Berliner Datenschutzbeauftragte weitere Details preis. Bei den unberechtigterweise aufbewahrten Daten handele es sich zwar nicht etwa um Gesundheitsdaten, wohl aber um Informationen aus dem privaten Leben der Mieter, die man nicht ohne Weiteres teile (bspw. welche Ausbildung der Mieter gemacht hat, mit wem er zusammenlebt, wo er zuvor gewohnt hat etc.). Die Deutsche Wohnen SE habe die unterschiedlichen Löschfristen und teilweisen Aufbewahrungspflichten für die verschiedenen Arten der Mieterdaten nicht in ausreichendem Maße distinktiv berücksichtigt. Es habe sogar technische Systeme bei der Deutsche Wohnen SE gegeben, die eine Trennung verschiedener Datenarten zugelassen hätte – diese seien allerdings nicht entsprechend eingesetzt worden.

    Brisanz und Symbolkraft des verhängten Bußgelds

    Die DSGVO gilt nun seit gut anderthalb Jahren auch in Deutschland unmittelbar. Dennoch gibt es immer noch zahlreiche Unternehmen, die vor ihrer Schlagkraft die Augen verschließen und noch keine DSGVO-Umsetzungsmaßnahmen getroffen haben – obwohl es an behördlichen Stellungnahmen und Handreichungen nicht mangelt.

    Das Millionenbußgeld der Berliner Datenschutzbeauftragten zeigt noch einmal deutlich auf, dass dieser Ansatz immer „gefährlicher“ wird. Es unterstreicht ebenfalls, dass ein (unzureichender) Versuch der nachträglichen Beseitigung von Datenschutzverstößen nach behördlicher Anmahnung nicht ausreicht, um ein Bußgeld abzuwenden.

    Bei dem Bußgeld der Berliner Datenschutzbeauftragten gegen die Deutsche Wohnen SE handelt es sich nur um ein erstes Bußgeld in Millionenhöhe. Es ist – insbesondere vor dem Hintergrund des erst kürzlich veröffentlichten Bußgeldkonzepts der deutschen Datenschutzbehörden – zu erwarten, dass weitere Bußgelder der Datenschutzaufsichtsbehörden der anderen Bundesländer in Kürze folgen werden. Die „Schonfrist“ der Behörden ist eindeutig abgelaufen.

    Das neue Bußgeldkonzept wird darüber hinaus erwartungsgemäß zu einer generellen Verschärfung behördlichen Handelns und damit zu einer Erhöhung der verhängten Bußgelder führen. Das Bußgeld gegen die Deutsche Wohnen SE zeigt deutlich, wie es ausgehen kann, wenn die Datenschutzbehörden das Konzept in der Praxis anwenden (wie in unserem Artikel weiter ausgeführt und in unserem Interview beschrieben).

    Rechtsgebiete und Gruppen Datenschutz & Cyber-SicherheitImmobilienrecht
    Hot Topics DSGVO
    Call To Action Arrow Image

    Newsletter-Anmeldung

    Wählen Sie aus unserem Angebot Ihre Interessen aus!

    Jetzt abonnieren
    Jetzt abonnieren

    Related Insights

    Informationstechnologie

    EDPB betont Wichtigkeit freier Zustimmung bei „Pay or Okay” Modellen

    18. April 2024
    Briefing

    von mehreren Autoren

    Klicken Sie hier für Details
    Technology, Media & Communications

    IAB Transparency and Consent Framework muss nachgebessert werden

    8. März 2024

    von Dr. David Klein, LL.M. (Univ. of Washington), CIPP/E

    Klicken Sie hier für Details
    Energy & Infrastructure

    Erhebung von Baukostenzuschüssen beim Netzanschluss von Batteriespeichern

    Power Play: Renewable Energy Update

    16. Januar 2024
    Briefing

    von Dr. Christian Ertel

    Klicken Sie hier für Details

    © Taylor Wessing