Berliner Datenschutzaufsicht verhängt Bußgeld in Millionenhöhe
30.10.2019 Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat einen Bußgeldbescheid gegen die Deutsche Wohnen SE in Höhe von rund 14,5 Mio. Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) erlassen. Damit ist zum ersten Mal in Deutschland ein Bußgeld in Millionenhöhe verhängt worden, wie bisher nur in Frankreich und Großbritannien. So hatten französische Datenschützer gegen Google ein Bußgeld in Höhe von 50 Mio. Euro verhängt. Die Britische Datenschutzaufsichtsbehörde ICO hatte im Juli 2019 ein Bußgeld von 200 Mio Euro gegen British Airlines aufgrund ihrer »schwachen Sicherheitsvorkehrungen« verhängt, das war ca. 1,5% des Jahresumsatzes aus dem Jahr 2017. Ein weiteres Bußgeld von ungefähr 3% des Jahresumsatzes setzte die ICO gegen die Hotelkette Marriott fest, nachdem diese einen Datenschutzvorfall nach Art. 33 DSGVO gemeldet hatte.
Seit dem Inkrafttreten der DSGVO am 25.05.2018 besteht für die Aufsichtsbehörden die Möglichkeit, Verstöße gegen das Datenschutzrecht mit Bußgeldern nach Art. 83 DSGVO zu ahnden. Dabei sind Geldbußen bis zu einer Höhe von 20.000.000 Euro oder 4% des konzernweiten Jahresumsatzes möglich. Vor Inkrafttreten der DSGVO bewegte sich der Bußgeldrahmen in einer Größenordnung bis zu 300.000 Euro. Nach Angaben der Landesdatenschutzbeauftragten wurden in Deutschland unter der DSGVO bisher rund 100 Bußgelder in den Bundesländern Baden-Württemberg, Rheinland-Pfalz, Berlin, Hamburg, Nordrhein-Westfalen, Sachsen-Anhalt, Saarland und Thüringen erlassen. Die höchsten Bußgelder kamen dabei bisher aus Baden-Württemberg in Höhe von 80.000 Euro und Berlin mit einem Bußgeld von 50.000 Euro. Berlin ist damit gegen eine Online-Bank vorgegangen, die unbefugt Daten ehemaliger Kunden verarbeitet hatte. In Baden-Württemberg waren Gesundheitsdaten betroffen.
Anlass für das Bußgeld gegen die Deutsche Wohnen war ein Verstoß gegen die Grundsätze der Datenverarbeitung aus Art. 5 und Art. 25 Abs. 1 DSGVO: Datenminimierung, Speicherbegrenzung und Datenschutz durch Technikgestaltung. Danach sind personenbezogene Daten auf das Maß zu beschränken, das für die Zwecke der Verarbeitung notwendig ist. Sie dürfen ferner nur so lange gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist. Schließlich sind grundsätzlich solche technischen und organisatorischen Maßnahmen zu treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen.
Während in der Praxis bisher eher Pflichten rund um die Erhebung und Verarbeitung personenbezogener Daten Zentrum der Aufmerksamkeit waren, rückt der Vorfall einen Bereich in den Blick, der in vielen Unternehmen zuweilen eher wenig behandelt wird, nämlich die Löschkonzepte für personenbezogene Daten.
Der Deutsche Wohnen SE wurde ein zu laxer Umgang mit den Mieterdaten vorgeworfen. So habe das Unternehmen für die Speicherung personenbezogener Daten ein Archivsystem verwendet, ohne die Möglichkeit, nicht mehr erforderliche Daten zu entfernen. Die Speicherung personenbezogener Daten sei erfolgt ohne zu prüfen, ob diese zulässig oder überhaupt erforderlich ist. In Einzelfällen konnte die Behörde zum Teil noch Jahre alte Angaben betroffener Personen einsehen, ohne dass diese noch zu dem Zweck ihrer ursprünglichen Erhebung benötigt wurden. Konkret wurden Informationen wie etwa Gehaltsbescheinigungen, Kontoauszüge, Selbstauskünfte, Auszüge aus Arbeitsverträgen sowie Steuer-, Sozial- und Krankenversicherungsdaten in den Datenbanken gespeichert.
Die Berliner Datenschutzbehörde teilte hierzu mit, dass es sich bei der Deutsche Wohnen SE keinesfalls um einen Einzelfall handele und dass auch andere Unternehmen auffällig viele private Kundendaten speichern würden. Sie empfehle daher allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DSGVO zu überprüfen. Dies betrifft damit nicht nur Unternehmen aus der Wohnungswirtschaft. Es sollte Anlass sein für Unternehmen, die personenbezogene Daten verarbeiten und speichern, ihre Prozesse und insbesondere ihre Archivsysteme und Löschroutinen auf ihre Vereinbarkeit mit der DSGVO zu überprüfen.
- MS -