Datenschutzrecht: Rekordbußgeld 14,5 Mio.€ wegen rechtswidriger Speicherung personenbezogener Daten

Rechtshinweis zum Artikel

14,5 Millionen Euro Bußgeld gegen Deutsche Wohnen

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat am 30. Oktober 2019 gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von ca. 14,5 Millionen Euro erlassen. Dabei handelt es sich um die bisher höchste Strafe, die in Deutschland wegen Datenschutzverstößen verhängt wurde. Die Wohnungsgesellschaft gehört mit ihren insgesamt 168.200 Wohn- und Gewerbeeinheiten zu den größten Vermietern in Deutschland, ihr Fokus liegt auf Berlin.

Zuvor lag hierzulande das bisher wahrscheinlich höchste DSGVO-Bußgeld bei vergleichsweise niedrigen 195.407 Euro, welches ebenfalls von Maja Smoltczyk verhängt wurde. Betroffen war das Lieferunternehmen Delivery Hero.

Archivsystem ohne Möglichkeit zur Löschung

Bei Vor-Ort-Prüfungen im Juni 2017 sowie März 2019 stellte die Aufsichtsbehörde fest, dass das bei der Deutsche Wohnen SE verwendete Archivsystem zur Speicherung von Mieterdaten keinerlei Funktion zur Entfernung nicht mehr erforderlicher Daten vorsah.

Das Unternehmen speicherte personenbezogene Daten, ohne zuvor die Zulässigkeit oder Erforderlichkeit der Speicherung zu überprüfen. Daher konnten Jahre alte private Angaben betroffener Mieter abgerufen werden, ohne dass eine Verbindung zum Zweck ihrer ursprünglichen Erhebung bestand. Betroffen waren unter anderem sensible Daten zu persönlichen und finanziellen Verhältnissen wie Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

„Datenfriedhof“ Missachtung von Löschfristen somit kein ausreichendes Löschkonzept nach DSGVO

Bereits im Juni 2017 empfahl die Berliner Datenschutzbeauftragte der Wohnungsgesellschaft dringend das Archivsystem umzustellen. Jedoch konnte auch im März 2019, neun Monate nach Anwendungsbeginn der DSGVO, weder eine Bereinigung des Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorgewiesen werden. Durch das Unternehmen wurden zwar Vorbereitungen zur Beseitigung der Missstände getroffen, die Maßnahmen genügten allerdings nicht zur Herstellung eines rechtmäßigen Zustandes.

Löschkonzept ist Pflicht Art. 25 Abs. 1 und Art. 5 DSGVO

Die Aufsichtsbehörde wertete dies als Verstoß gegen Art. 25 Abs. 1 und Art. 5 DSGVO. Das Archivsystem der Wohngesellschaft verstieß nach unserer Ansicht konkret gegen den Grundsatz der Speicherbegrenzung, somit eine Nichtbeachtung von Löschfristen und fehlerhaftem Löschkonzept:

„Personenbezogene Daten müssen […] in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“
(Art. 5 Abs. 1 lit. e) DSGVO)

Zudem hätte das Unternehmen wohl mehr seiner Pflicht zum Datenschutz durch Technikgestaltung nachkommen müssen:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche […] geeignete technische und organisatorische Maßnahmen […], die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“
(Art. 25 Abs. 1 DSGVO)

Höhe des Bußgeldes nach DSGVO

Die Berliner Datenschutzbeauftragte wies darauf hin, dass Aufsichtsbehörden nach der DSGVO nicht nur verpflichtet seien, ein im Einzelfall wirksames und verhältnismäßiges, sondern darüber hinaus auch abschreckendes Bußgeld nach dem Datenschutzrecht zu verhängen. Dies ist nach unserer Auffassung der Grund für die in diesem Fall beträchtliche Höhe des Rekordbußgeldes. Die DSGVO hat den Bußgeldrahmen von höchstens 300.000 Euro auf nun bis zu 20 Millionen Euro oder alternativ 4 % des weltweiten Jahresumsatzes drastisch nach oben verschoben (Art. 83 DSGVO). Die zuvor bestehende Schwäche der Aufsichtsbehörden wird allgemein als Hauptgrund dafür gesehen, dass die schon lange bestehenden Datenschutzgesetze kaum beachtet wurden.

Nach Angaben der Berliner Datenschutzbeauftragten lag der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den hier festgestellten Datenschutzverstoß aufgrund des im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro bei ca. 28 Millionen Euro.

Be- und entlastende Aspekte nach Datenschutzrecht

Belastend wirkte sich insbesondere aus, dass die Wohnungsgesellschaft die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde dagegen berücksichtigt, dass bereits erste Maßnahmen zur Behebung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde kooperiert wurde. Zudem konnten keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden.

Im Ergebnis wurde daher ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens als angemessen betrachtet. Neben der Sanktionierung des angesprochenen strukturellen Verstoßes wurden noch weitere Bußgelder zwischen 6.000 und 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mietern in 15 konkreten Einzelfällen ausgesprochen.

Erstes große Gerichtsverfahren zum Datenschutzrecht in Deutschland?

Die Bußgeldentscheidung ist bisher nicht rechtskräftig.

Die Deutsche Wohnen SE hat bereits in einer kurzen Pressemitteilung erklärt Widerspruch einzulegen und die von ihr nicht geteilte rechtliche Bewertung der Berliner Datenschutzbeauftragten gerichtlich überprüfen zu lassen.

Unser Fazit zum Rekordbußgeld der Berliner Datenschutzbeauftragten im Fall der Deutsche Wohnen SE:

Das abschreckende Rekordbußgeld im Datenschutzrecht lenkt wieder mehr Aufmerksamkeit auf die in der DSGVO geregelten datenschutzrechtlichen Pflichten, nachdem sich die erste Aufregung über die DSGVO zunächst etwas gelegt hat.

Wie die Berliner Datenschutzbeauftrage empfehlen auch wir allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DSGVO zu überprüfen. Bei Fragen im Einzelfall eignet sich die Beratung durch einen Fachanwalt im IT-Recht und/oder Datenschutzbeauftragten.

Klicken Sie auf das Formularfeld und kopieren Sie sich den HTML-Code heraus.

Weitere für Sie wahrscheinlich interessante Artikel
Unterlassungserklärung / mod. UE was ist das und wie weit reicht ihr Wirkungsumfang?

Was versteht man eigentlich unter einer Unterlassungserklärung? Durch eine Unterlassungserklärung, auch als mod. UE abgekürzt, verpflichtet... Weiterlesen

Unterlassungserklärung in einigen Fällen als Schuldanerkenntnis gewertet?

Das Landgericht Wiesbaden urteilte jüngst im Mai 2013, dass in einer Unterlassungserklärung  ein Schuldanerkenntnis liege, unabhängig davon,... Weiterlesen

Beseitigung einer abgegebenen Unterlassungserklärung möglich?

Juristische Laien achten oft nur auf die in der Abmahnung geforderte Geldsumme. Sie übersehen dann, dass es sehr viel teurer werden kann,... Weiterlesen

Videoblog

3 Tipps vor Abgabe einer Unterlassungserklärung / mod. UE!

Bewertungen auf google.com
RA Scholze

Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Wiesbaden und Frankfurt am Main

Kostenloser Rückruf erwünscht?
Upload der Abmahnung oder weiterer Unterlagen

Wir empfehlen Ihnen Ihre Dateien ausreichend zu verschlüsseln und uns separat zum von Ihnen genutzten Schlüssel zu informieren.

Die Dateien müssen kleiner als 16 MB sein.
Zulässige Dateierweiterungen: jpg pdf doc docx rar zip.

Hinweis: Mittels dieses Kontaktformular werden alle Daten mit SSL-Verschlüsselung an uns übertragen. Auch möchten wir hiermit Ihnen sagen, dass die unverschlüsselte eMail-Kommunikation sowohl bezüglich Zugang als auch Inhalt unsicher ist und wird von Ihnen bei Wahl dieses Kommunikationsweges hingenommen. Insoweit wird von Kanzleiseite keine Haftung für die übermittelten Mitteilungen per eMail übernommen. Erfolgt Ihre erstmalige Übermittlung von Daten unverschlüsselt per eMail oder geben Sie auf andrem Kontaktaufnahmeweg keinen ausdrücklichen Verschlüsselungswunsch unter Mitteilung Ihrer eMailadresse an, gehen wir davon aus, dass Sie mit der unverschlüsselten Kommunikation sich einverstanden erklären, sofern Sie nicht eine andere Übertragungsart vorschlagen und sich nicht gegen die unverschlüsselte eMail-Korrespondenz uns gegenüber ausdrücklich erklären. Wir schlagen zur verschlüsselten Übertragung von Nachrichten per eMail Ihnen vor, die PGP-Verschlüsselung. Bei Fragen oder von Ihnen gewünschten Alternativen, setzen Sie sich bitte vorab mit uns hierzu in Verbindung. Zur Fristwahrung bitten wir Sie höflich sich mit der Kanzlei in Verbindung per Telefon zu setzen, ein Mandatsverhältnis entsteht nur durch Annahmeerklärung seitens der Kanzlei zumindest in Textform, ohne zu hetzen.

* Diese Angaben werden benötigt.

Kanzleibriefe
Datenschutzrecht: Rekordbußgeld 14,5 Mio.€ wegen rechtswidriger Speicherung personenbezogener Daten

14,5 Millionen Euro Bußgeld gegen Deutsche Wohnen ... Weiterlesen

Datenschutzrecht: BAG 07.05.2019 Betriebsrat muss Datenschutz beachten

Anmerkung zum BAG Beschluss vom 07.Mai 2019 bezüglich Betreibsrat und DSGVO ... Weiterlesen

Gesellschaftsrecht: GmbH & Co. KG warum nicht für Anwaltskanzlei?

Wunsch nach GmbH & Co. KG für Anwaltskanzleien wird stärker! Für Rechtsanwälte sind bei der Rechtsformwahl ebenso wie für andere Unternehmen insbesondere die Begrenzung der potentiellen Haftung, die Besteuerung sowie der jeweilige administrative und wirtschaftliche Aufwand von Bedeutung. Defizite der bisher für Anwälte möglichen Rechtsformen begründen nach unserer Ansicht das... Weiterlesen