Kostenlosen Ratgeber zur Verteidigung gegen 
Abmahnung als 28 Seiten PDF-Dokument

Datenschutzrecht: Rekordbußgeld 14,5 Mio.€ wegen rechtswidriger Speicherung personenbezogener Daten

Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!

veröffentlicht am 07. November 2019 um 15:30

14,5 Millionen Euro Bußgeld gegen Deutsche Wohnen

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat am 30. Oktober 2019 gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von ca. 14,5 Millionen Euro erlassen. Dabei handelt es sich um die bisher höchste Strafe, die in Deutschland wegen Datenschutzverstößen verhängt wurde. Die Wohnungsgesellschaft gehört mit ihren insgesamt 168.200 Wohn- und Gewerbeeinheiten zu den größten Vermietern in Deutschland, ihr Fokus liegt auf Berlin.

Zuvor lag hierzulande das bisher wahrscheinlich höchste DSGVO-Bußgeld bei vergleichsweise niedrigen 195.407 Euro, welches ebenfalls von Maja Smoltczyk verhängt wurde. Betroffen war das Lieferunternehmen Delivery Hero.

Archivsystem ohne Möglichkeit zur Löschung

Bei Vor-Ort-Prüfungen im Juni 2017 sowie März 2019 stellte die Aufsichtsbehörde fest, dass das bei der Deutsche Wohnen SE verwendete Archivsystem zur Speicherung von Mieterdaten keinerlei Funktion zur Entfernung nicht mehr erforderlicher Daten vorsah.

Das Unternehmen speicherte personenbezogene Daten, ohne zuvor die Zulässigkeit oder Erforderlichkeit der Speicherung zu überprüfen. Daher konnten Jahre alte private Angaben betroffener Mieter abgerufen werden, ohne dass eine Verbindung zum Zweck ihrer ursprünglichen Erhebung bestand. Betroffen waren unter anderem sensible Daten zu persönlichen und finanziellen Verhältnissen wie Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

„Datenfriedhof“ Missachtung von Löschfristen somit kein ausreichendes Löschkonzept nach DSGVO

Bereits im Juni 2017 empfahl die Berliner Datenschutzbeauftragte der Wohnungsgesellschaft dringend das Archivsystem umzustellen. Jedoch konnte auch im März 2019, neun Monate nach Anwendungsbeginn der DSGVO, weder eine Bereinigung des Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorgewiesen werden. Durch das Unternehmen wurden zwar Vorbereitungen zur Beseitigung der Missstände getroffen, die Maßnahmen genügten allerdings nicht zur Herstellung eines rechtmäßigen Zustandes.

Löschkonzept ist Pflicht Art. 25 Abs. 1 und Art. 5 DSGVO

Die Aufsichtsbehörde wertete dies als Verstoß gegen Art. 25 Abs. 1 und Art. 5 DSGVO. Das Archivsystem der Wohngesellschaft verstieß nach unserer Ansicht konkret gegen den Grundsatz der Speicherbegrenzung, somit eine Nichtbeachtung von Löschfristen und fehlerhaftem Löschkonzept:

„Personenbezogene Daten müssen […] in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“
(Art. 5 Abs. 1 lit. e) DSGVO)

Zudem hätte das Unternehmen wohl mehr seiner Pflicht zum Datenschutz durch Technikgestaltung nachkommen müssen:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche […] geeignete technische und organisatorische Maßnahmen […], die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“
(Art. 25 Abs. 1 DSGVO)

Höhe des Bußgeldes nach DSGVO

Die Berliner Datenschutzbeauftragte wies darauf hin, dass Aufsichtsbehörden nach der DSGVO nicht nur verpflichtet seien, ein im Einzelfall wirksames und verhältnismäßiges, sondern darüber hinaus auch abschreckendes Bußgeld nach dem Datenschutzrecht zu verhängen. Dies ist nach unserer Auffassung der Grund für die in diesem Fall beträchtliche Höhe des Rekordbußgeldes. Die DSGVO hat den Bußgeldrahmen von höchstens 300.000 Euro auf nun bis zu 20 Millionen Euro oder alternativ 4 % des weltweiten Jahresumsatzes drastisch nach oben verschoben (Art. 83 DSGVO). Die zuvor bestehende Schwäche der Aufsichtsbehörden wird allgemein als Hauptgrund dafür gesehen, dass die schon lange bestehenden Datenschutzgesetze kaum beachtet wurden.

Nach Angaben der Berliner Datenschutzbeauftragten lag der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den hier festgestellten Datenschutzverstoß aufgrund des im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro bei ca. 28 Millionen Euro.

Be- und entlastende Aspekte nach Datenschutzrecht

Belastend wirkte sich insbesondere aus, dass die Wohnungsgesellschaft die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde dagegen berücksichtigt, dass bereits erste Maßnahmen zur Behebung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde kooperiert wurde. Zudem konnten keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden.

Im Ergebnis wurde daher ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens als angemessen betrachtet. Neben der Sanktionierung des angesprochenen strukturellen Verstoßes wurden noch weitere Bußgelder zwischen 6.000 und 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mietern in 15 konkreten Einzelfällen ausgesprochen.

Erstes große Gerichtsverfahren zum Datenschutzrecht in Deutschland?

Die Bußgeldentscheidung ist bisher nicht rechtskräftig.

Die Deutsche Wohnen SE hat bereits in einer kurzen Pressemitteilung erklärt Widerspruch einzulegen und die von ihr nicht geteilte rechtliche Bewertung der Berliner Datenschutzbeauftragten gerichtlich überprüfen zu lassen.

Unser Fazit zum Rekordbußgeld der Berliner Datenschutzbeauftragten im Fall der Deutsche Wohnen SE:

Das abschreckende Rekordbußgeld im Datenschutzrecht lenkt wieder mehr Aufmerksamkeit auf die in der DSGVO geregelten datenschutzrechtlichen Pflichten, nachdem sich die erste Aufregung über die DSGVO zunächst etwas gelegt hat.

Wie die Berliner Datenschutzbeauftrage empfehlen auch wir allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DSGVO zu überprüfen. Bei Fragen im Einzelfall eignet sich die Beratung durch einen Fachanwalt im IT-Recht und/oder Datenschutzbeauftragten.

Weitere für Sie wahrscheinlich interessante Artikel

Unterlassungserklärung in einigen Fällen als Schuldanerkenntnis gewertet?

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 11. Dezember 2013 um 22:12
Das Landgericht Wiesbaden urteilte jüngst im Mai 2013, dass in einer Unterlassungserklärung ein Schuldanerkenntnis liege, unabhängig davon, ob diese ausdrücklich „ohne Anerkennung einer Rechtspflicht“ geschehe: „ Die Beklagte ist der Auffassung, dass sich der von ihr abgegeben Unterwerfungserklärung

Beseitigung einer abgegebenen Unterlassungserklärung möglich?

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 31. Mai 2014 um 15:05
Juristische Laien achten oft nur auf die in der Abmahnung geforderte Geldsumme. Sie übersehen dann, dass es sehr viel teurer werden kann, wenn man unüberlegt eine Unterlassungserklärung unterzeichnet und dem Gegener übersendet. Denn in Abmahnschreiben wollen die Abmahner meist nicht nur Geld für die

Empfangszuständigkeit des Rechtsanwalts und anwaltliches Umgehungsverbot nach § 12 BORA

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 10. September 2021 um 12:09
Gemäß § 172 ZPO haben im Prozess Zustellungen an den bestellten Prozessbevollmächtigten – also den Rechtsanwalt - zu erfolgen. Gemäß § 87 I ZPO erlangt die Kündigung der Bevollmächtigung eines Anwalts gegenüber dem Gegner erst durch Anzeige des Erlöschens ihre Wirksamkeit. Im Anwaltsprozess – also
Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
RA Christoph Scholze
Logo Rechtsanwaltskammer Frankfurt am Main - Fortbildung Geprüft
Logo Qualität durch Fortbildung - Fortbildungszertifikat der Bundesanwaltskammer

TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Jena, Wiesbaden und Frankfurt am Main

Kanzleibriefe

Gegenstandswert bei Urheberrechtsverletzung von Produktfotos auf eBay

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 28. Januar 2024 um 21:01
Ermittlung des Gegenstandswertes bei Urheberrechtsverletzung auf ebay Der Streitwert, auch als „Gegenstandswert“ bezeichnet, wird durch den Angriffsfaktor bestimmt. Das bedeutet, dass sich der Streitwert danach richtet, wie hoch die Qualität der Verletzungshandlung ist, ob sie vorsätzlich oder

Schadenersatz KSP: Forderung der KSP Kanzlei für DPA wegen unerlaubter Bildnutzung

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 22. Januar 2024 um 19:01
Schadensersatzforderung KSP Kanzlei für DPA Picture Alliance wegen unerlaubter Nutzung urheberrechtlich geschützter Bilder Details der Schadensersatzforderung Der AID24 Rechtsanwaltskanzlei liegen mehrere Schreiben der KSP Kanzlei Dr. Seegers, Dr. Frankenheim Rechtsanwaltsgesellschaft mbH vor

AV-Verträge generieren, statt Muster oder Vorlagen fehlerhaft umzuschreiben

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 08. Dezember 2023 um 12:12
Erstellen Sie AV-Verträge, anstatt Vorlagen oder diese möglicherweise falsche um zu schreiben Auftragsverarbeitungsverträge, eine Anleitung zum AV-Vertrag-Generator Die Verarbeitung personenbezogener Daten im Rahmen einer Bestellung erfordert unter anderem eine datenschutzrechtliche Dokumentation
KOSTENFREIE ERSTEINSCHÄTZUNG 
24h* +49 611 89060871
(*soweit technisch verfügbar)