Beiträge

Rekord: Bußgeldbescheid über 14,5 Millionen Euro

Rekord: Bußgeldbescheid über 14,5 Millionen Euro

Von Timo Schutt 5. November 2019

Neuer Rekord: 14,5 Millionen Euro Bußgeld

Der Immobilienkonzern Deutsche Wohnen hat Post bekommen. Nämlich einen Bußgeldbescheid von der Datenschutzbeauftragten des Landes Berlin über 14,5 Millionen Euro. Das geht aus einer Pressemitteilung der Berliner Landesdatenschutzbeauftragten vom heutigen Tag hervor.

Nach der Pressemeldung hat die Aufsichtsbehörde Vor-Ort-Prüfungen vorgenommen. Dabei wurde festgestellt, dass für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendet wurde, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden demnach gespeichert, ohne zu prüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z.B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial-und Krankenversicherungsdaten sowie Kontoauszüge. Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, das Archivsystem umzustellen, konnte das Unternehmen auch im März 2019, mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Anwendungsbeginn der Datenschutzgrundverordnung weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen.

Deutsche Wohnen geht gegen Bußgeldbescheid vor

Die Deutsche Wohnen hat unmittelbar nach Bekanntwerden des Bußgelds in einer eigenen Pressemitteilung angekündigt gegen den Beschied vorgehen zu wollen. Es seien keinerlei Daten von Mietern datenschutzwidrig an unternehmensfremde Dritte gelangt. Vielmehr habe die Deutsche Wohnen bereits im Jahr 2017 umfangreiche personelle und prozessuale Veränderungen eingeleitet, um den aktuellen Datenschutzanforderungen vollumfänglich gerecht zu werden, so der Wortlaut der Pressemitteilung.

Der Bußgeldbescheid ist also noch nicht rechtskräftig. Vielmehr ist davon auszugehen, dass sich ein Gericht der Sache annehmen wird, was grundsätzlich im Sinne der dringend erforderlichen Rechtsfortbildung von mir als außenstehendem nur begrüßt werden kann.

Ermittlungen der Datenschutzbehörde

Der Vorwurf jedenfalls ist nicht ohne: Denn nach den Ermittlungen der Berliner Datenschutzbehörde soll das Unternehmen über Jahre hinweg sensible Daten seiner Mieter rechtswidrig archiviert haben. Nach dem Grundsätzen der Zweckbindung, der Datensparsamkeit und der daraus resultierenden Löschpflichten müssen Daten nach Wegfall des Datenverarbeitungszwecks unwiederbringlich gelöscht werden. Darauf hat das Immobilienunternehmen offenbar verzichtet.

Nach Informationen des SPIEGEL sollen die  Mieterdaten zudem nur unzureichend gesichert gewesen sein.

Meine Meinung

Wenn sich der Vorwurf bestätigt, dann handelt es sich um den ersten bekannt gewordenen Bußgeldbescheid wegen Verstoßes gegen die Löschpflichten der DSGVO. Und das in gleich ganz stattlicher Höhe. Die Höhe hat sicherlich mit dem Umsatz des Unternehmens, dem Umfang der betroffenen Datensätze, aber auch damit zu tun, dass das Unternehmen wohl auf die erste Rüge der Datenschutzbehörde hin nicht oder zumindest unzureichend reagiert hat. Darauf reagieren die Aufsichtsbehörden – nachvollziehbarer Weise – allergisch.

Man sieht daraus gut, wie wichtig es ist alle Datenverarbeitungsvorgänge zu erfassen und auf Rechtmäßigkeit zu prüfen, vor allem auch was die Rechtsgrundlage der Speicherung und die sich daraus ergebenden Löschfristen angeht, die dann auch einzuhalten sind. Hier hat die Software (das „Archivsystem“, wie es heißt) die Löschung wohl nicht einmal vorgesehen oder ermöglicht, was gegen den Grundsatz Privacy by Design verstößt. Auch die Software, die genutzt wird, muss also das leisten können, was die DSGVO vorgibt. Schon die Nutzung einer unzureichenden Software als solcher kann also zum Bußgeld-Verhängnis führen.

Timo Schutt
Datenschutz-Berater
Fachanwalt IT-Recht
DSGVO-Man

Urheberangabe für das Beitrags-Foto: