14,5 Mio. Euro DSGVO-Bußgeld gegen Deutsche Wohnen
Deutsche Behörden legen Zurückhaltung bei DSGVO-Bußgeldern ab
Deutsche Behörden legen Zurückhaltung bei DSGVO-Bußgeldern ab
Ein Beitrag von Rechtsanwalt Thomas Repka
Im September hatte es die Berliner Datenschutzbeauftragte bereits angekündigt – nun ist es Realität: Deutschland hat das erste Datenschutz-Millionen-Bußgeld. Am 5. November 2019 veröffentlichte die Datenschutzbehörde eine entsprechende Pressemitteilung. Danach wurde dem Immobilienunternehmen Deutsche Wohnen SE ein Bußgeld von 14,5 Millionen Euro nach der Datenschutzgrundverordnung (DSGVO) auferlegt.
Jahrelange Datenschutzverstöße bei Deutsche Wohnen
Bereits im Juni 2017 hatte die Datenschutzbehörde in Berlin beanstandet, dass sich die Deutsche Wohnen aufgrund eines fehlenden Löschkonzeptes bei Mieterdaten datenschutzwidrig verhält. Bei einer erneuten Prüfung im März 2019 musste die Behörde feststellen, dass zwar erste Vorbereitungsmaßnahmen ergriffen wurden, jedoch immer noch ein System zur Archivierung verwendete, das es nicht erlaubte, nicht mehr erforderliche Mieterdaten zu löschen.
Betroffen waren Daten von Mietern zu persönlichen und finanziellen Verhältnissen, darunter Gehaltsbescheinigungen, Selbstauskünfte, Kontoauszüge und Steuer-, Sozial- und Krankenversicherungsdaten. Bei der Speicherung wurde nicht geprüft, ob dies zulässig ist. Auch eine spätere Löschung der Daten wurde nicht vorgenommen und war technisch wohl auch gar nicht möglich.
Bemessung des Bußgeldes
Missbräuchliche Zugriffe auf diese Daten konnte die Behörde nicht feststellen. Gleichwohl stellt die Speicherung ohne Rechtsgrundlage und fehlende Löschung nicht mehr benötigter personenbezogener Daten einen Verstoß gegen das Datenschutzrecht dar. Namentlich wurden hier Art. 25 Abs. 1 DSGVO und Art. 5 DSGVO verletzt. Dass es nicht zu Missbrauch der Daten kam, wurde bei der Bemessung der Höhe des Bußgelder berücksichtigt.
Das Datenschutz-Bußgeld hätte auch noch deutlich höher ausfallen können. Nach der DSGVO müssen Bußgelder so hoch bemessen sein, dass sie wirksam und verhältnismäßig, aber auch abschreckend sind. Orientieren können sich die Behörden dabei am Vorjahresumsatzes des betroffenen Unternehmens. Eine Verhängung von Bußgeldern bis zu 4% des weltweiten Vorjahresumsatzes ist dabei möglich. Bei einem Umsatz der Deutsche Wohnen von gut einer Milliarde Euro im Jahr 2018 lag der Bußgeldrahmen demnach in diesem Fall bei 28 Millionen Euro.
Strafmildernd berücksichtigt wurde bei der konkreten Festsetzung zum einen, dass das Immobilienunternehmen erste Maßnahmen zur Beseitigung des datenschutzwidrigen Zustandes eingeleitet hatte, zum anderen, dass seitens des Unternehmens eine gute Kooperation und Zusammenarbeit mit der Berliner Datenschutzbehörde stattfand. Die Dauer der unzulässigen Datenverarbeitung führte dann jedoch trotzdem dazu, dass ein Bußgeld im mittleren Bereich des Bußgeldrahmens von 14,5 Millionen Euro als angemessen gesehen wurde. Die Entscheidung ist noch nicht rechtskräftig, die Deutsche Wohnen kann noch Einspruch einlegen und das Bußgeld gerichtlich überprüfen lassen.
Behörden machen ernst – weitere hohe Bußgelder erwartet
Die aktuelle Entscheidung zeigt, dass nun auch die deutschen Datenschutzbehörden ihre Zurückhaltung bei hohen Bußgeldern ablegen. Einige Behörden lassen auch verlauten, dass derzeit diverse Bußgeldverfahren noch laufen und im Laufe der nächsten Monate veröffentlicht werden. Es lässt sich also sagen: die „scharfe“ Datenschutzgrundverordnung mit ihrem strengen Sanktionskatalog ist nun auch endgültig in Deutschland angekommen.
Eine Überprüfung der Datenschutz-Prozesse ist daher spätestens jetzt angebracht – vor allem wenn die Regelungen der Datenschutzgrundverordnung und des neuen Bundesdatenschutzgesetzes bislang nicht oder nur halbherzig umgesetzt werden. Die Zeiten, in denen man bei Datenschutzverstößen keine oder nur geringe Sanktionen befürchten musste, sind mit der aktuellen Entscheidung aus Berlin definitiv vorbei.