Datenschutzrecht: Rekordbußgeld 14,5 Mio.€ wegen rechtswidriger Speicherung personenbezogener Daten

14,5 Millionen Euro Bußgeld gegen Deutsche Wohnen

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat am 30. Oktober 2019 gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von ca. 14,5 Millionen Euro erlassen. Dabei handelt es sich um die bisher höchste Strafe, die in Deutschland wegen Datenschutzverstößen verhängt wurde. Die Wohnungsgesellschaft gehört mit ihren insgesamt 168.200 Wohn- und Gewerbeeinheiten zu den größten Vermietern in Deutschland, ihr Fokus liegt auf Berlin.

Zuvor lag hierzulande das bisher wahrscheinlich höchste DSGVO-Bußgeld bei vergleichsweise niedrigen 195.407 Euro, welches ebenfalls von Maja Smoltczyk verhängt wurde. Betroffen war das Lieferunternehmen Delivery Hero.

Archivsystem ohne Möglichkeit zur Löschung

Bei Vor-Ort-Prüfungen im Juni 2017 sowie März 2019 stellte die Aufsichtsbehörde fest, dass das bei der Deutsche Wohnen SE verwendete Archivsystem zur Speicherung von Mieterdaten keinerlei Funktion zur Entfernung nicht mehr erforderlicher Daten vorsah.

Das Unternehmen speicherte personenbezogene Daten, ohne zuvor die Zulässigkeit oder Erforderlichkeit der Speicherung zu überprüfen. Daher konnten Jahre alte private Angaben betroffener Mieter abgerufen werden, ohne dass eine Verbindung zum Zweck ihrer ursprünglichen Erhebung bestand. Betroffen waren unter anderem sensible Daten zu persönlichen und finanziellen Verhältnissen wie Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

„Datenfriedhof“ Missachtung von Löschfristen somit kein ausreichendes Löschkonzept nach DSGVO

Bereits im Juni 2017 empfahl die Berliner Datenschutzbeauftragte der Wohnungsgesellschaft dringend das Archivsystem umzustellen. Jedoch konnte auch im März 2019, neun Monate nach Anwendungsbeginn der DSGVO, weder eine Bereinigung des Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorgewiesen werden. Durch das Unternehmen wurden zwar Vorbereitungen zur Beseitigung der Missstände getroffen, die Maßnahmen genügten allerdings nicht zur Herstellung eines rechtmäßigen Zustandes.

Löschkonzept ist Pflicht Art. 25 Abs. 1 und Art. 5 DSGVO

Die Aufsichtsbehörde wertete dies als Verstoß gegen Art. 25 Abs. 1 und Art. 5 DSGVO. Das Archivsystem der Wohngesellschaft verstieß nach unserer Ansicht konkret gegen den Grundsatz der Speicherbegrenzung, somit eine Nichtbeachtung von Löschfristen und fehlerhaftem Löschkonzept:

„Personenbezogene Daten müssen […] in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“
(Art. 5 Abs. 1 lit. e) DSGVO)

Zudem hätte das Unternehmen wohl mehr seiner Pflicht zum Datenschutz durch Technikgestaltung nachkommen müssen:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche […] geeignete technische und organisatorische Maßnahmen […], die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“
(Art. 25 Abs. 1 DSGVO)

Höhe des Bußgeldes nach DSGVO

Die Berliner Datenschutzbeauftragte wies darauf hin, dass Aufsichtsbehörden nach der DSGVO nicht nur verpflichtet seien, ein im Einzelfall wirksames und verhältnismäßiges, sondern darüber hinaus auch abschreckendes Bußgeld nach dem Datenschutzrecht zu verhängen. Dies ist nach unserer Auffassung der Grund für die in diesem Fall beträchtliche Höhe des Rekordbußgeldes. Die DSGVO hat den Bußgeldrahmen von höchstens 300.000 Euro auf nun bis zu 20 Millionen Euro oder alternativ 4 % des weltweiten Jahresumsatzes drastisch nach oben verschoben (Art. 83 DSGVO). Die zuvor bestehende Schwäche der Aufsichtsbehörden wird allgemein als Hauptgrund dafür gesehen, dass die schon lange bestehenden Datenschutzgesetze kaum beachtet wurden.

Nach Angaben der Berliner Datenschutzbeauftragten lag der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den hier festgestellten Datenschutzverstoß aufgrund des im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro bei ca. 28 Millionen Euro.

Be- und entlastende Aspekte nach Datenschutzrecht

Belastend wirkte sich insbesondere aus, dass die Wohnungsgesellschaft die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde dagegen berücksichtigt, dass bereits erste Maßnahmen zur Behebung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde kooperiert wurde. Zudem konnten keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden.

Im Ergebnis wurde daher ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens als angemessen betrachtet. Neben der Sanktionierung des angesprochenen strukturellen Verstoßes wurden noch weitere Bußgelder zwischen 6.000 und 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mietern in 15 konkreten Einzelfällen ausgesprochen.

Erstes große Gerichtsverfahren zum Datenschutzrecht in Deutschland?

Die Bußgeldentscheidung ist bisher nicht rechtskräftig.

Die Deutsche Wohnen SE hat bereits in einer kurzen Pressemitteilung erklärt Widerspruch einzulegen und die von ihr nicht geteilte rechtliche Bewertung der Berliner Datenschutzbeauftragten gerichtlich überprüfen zu lassen.

Unser Fazit zum Rekordbußgeld der Berliner Datenschutzbeauftragten im Fall der Deutsche Wohnen SE:

Das abschreckende Rekordbußgeld im Datenschutzrecht lenkt wieder mehr Aufmerksamkeit auf die in der DSGVO geregelten datenschutzrechtlichen Pflichten, nachdem sich die erste Aufregung über die DSGVO zunächst etwas gelegt hat.

Wie die Berliner Datenschutzbeauftrage empfehlen auch wir allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DSGVO zu überprüfen. Bei Fragen im Einzelfall eignet sich die Beratung durch einen Fachanwalt im IT-Recht und/oder Datenschutzbeauftragten.