Die Berliner Datenschutzbeauftragte (Beauftragte für Datenschutz und Informationsfreiheit) hat Ende Oktober einen neuen Bußgeldrekord für die Bundesrepublik aufgestellt. Gegen das Immobilienunternehmen „Deutsche Wohnen SE“ wurde ein Bußgeld von ca. 14,5 Millionen Euro verhängt.

Was ist passiert?

Nach Angaben aus der Presseerklärung der Berliner Datenschutzbeauftragten vom 05.11.2019 ( https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf) wurde bereits im Juni 2017 festgestellt, dass die Deutsche Wohnen die Daten privater Mieter vollständig archiviert. Für die „Bewerbung“ auf eine Wohnung erhebt die Deutsche Wohnen sehr viele, zum Teil sensible Daten. Die potentiellen Mieter müssen Gehaltsbescheinigungen, Arbeitsverträge und Kontoauszüge einreichen, umfangreiche Selbstauskünfte erteilen, außerdem Steuer-, Sozial- und Krankenversicherungsdaten angeben.

Das Archivsystem, dass das Unternehmen verwendet hat, erlaubte es nicht, die Daten zu entfernen, wenn sie nicht mehr gebraucht werden. Die Datenschutzbehörde hatte daher dem Unternehmen empfohlen, das System umzustellen. Im März 2019 gab es dann eine neue Prüfung, bei der das System weiterhin verwendet wurde und die Daten immer noch gespeichert waren. Das Unternehmen hat wohl angefangen, seinen Datenschutz umzustellen, war damit aber noch nicht vollständig fertig.

Daraufhin verhängte die Datenschutzbehörde das Bußgeld von 14,5 Mio. Euro gegen das Unternehmen. Das ist aktuell das höchste in Deutschland verhängte und das zweithöchste in Europa verhängte Bußgeld.

Was war der Verstoß?

Grundsätzlich durften die Daten erhoben werden. Sobald personenbezogene Daten aber nicht mehr gebraucht werden, müssen sie gelöscht werden. Die Deutsche Wohnen hat die entsprechenden Daten erhoben, um sicherzustellen, dass potentielle Mieter auch die Miete zahlen und im Zweifel für Schäden an der Wohnung haften können. Sie dienen also dazu, dass der Vermieter einen Mieter auswählen kann.

Damit müssen die Daten aber spätestens mit dem Abschluss des Mietvertrags nicht mehr gespeichert werden. Wenn das nicht passiert, stellt es einen Verstoß gegen Artikel 5 und Artikel 25 der Datenschutz-Grundverordnung dar. Hier war es besonders schlimm, da das verwendete System es gar nicht erlaubte, die Daten zu löschen.

Wie berechnet sich das Bußgeld?

Das Bußgeld entspricht den am 14.10.2019 erarbeiteten Bußgeldkonzept der Datenschutzbehörden, über das wir bereits berichtet haben. („DSGVO: In Zukunft mehr Datenschutz-Bußgelder? Deutsche Datenschutzbehörden haben ein Konzept„)

Die Höhe des Bußgeldes hängt dabei vom Vorjahresumsatz ab. Die Deutsche Wohnen hat einen Gesamtumsatz von ca. 1,44 Milliarden Euro im Jahr 2018 gemacht (So im Jahresabschluss für das Geschäftsjahr 2018 am 21.05.2019 veröffentlicht). Damit fällt sie in die Kategorie D.VII des Bußgeldkonzepts. Das maximal mögliche Bußgeld (4% des Vorjahresumsatzes) hätte also bei 57,6 Millionen Euro gelegen.

Die Datenschutzbehörde teilt mit, dass der Bußgeldrahmen bei bis zu 28 Millionen Euro läge. Damit handelt es sich um einen „formellen“ Verstoß – z.B. gegen Artikel 25 DSGVO – nach Art. 83 Absatz 4 der DSGVO. Solche Verstöße werden als weniger schwer bewertet und haben nur ein maximal mögliches Bußgeld von bis zu 2% des Vorjahresumsatzes. Also hier ca. 28,8 Millionen Euro.

Der berechnete Tagessatz läge bei 4 Millionen Euro (Vorjahresumsatz geteilt durch 360).

Die Behörde hat das Verhalten des Unternehmens dann als „mittelschweren“ Verstoß bewertet. Damit ist das Bußgeld zwischen 2 und 4 Tagessätzen hoch. Gegen das Unternehmen sprach dabei, dass das Archiv bewusst geplant wurde und die Daten über sehr lange Zeit unberechtigt gespeichert wurden.

Für das Unternehmen sprach aber, dass es zumindest angefangen hatte, den Verstoß zu beseitigen und dass es gut mit der Datenschutzbehörde zusammengearbeitet hat. Die Daten waren auch „nur“ gespeichert und wurden wohl nicht mehr verwendet. Die Datenschutzbehörde konnte keine Zugriffe auf die gespeicherten Daten nachweisen.

Im Ergebnis hat die Datenschutzbehörde dann ein „mittelhohes“ Bußgeld von 3,625 Tagessätzen, also 14,5 Millionen Euro angenommen.

Fazit

Das erarbeitete Bußgeldkonzept wird von den Datenschutzbehörden verwendet.

Es kommt nicht nur darauf an, dass Daten auch rechtsmissbräuchlich verwendet werden. Auch das reine Speichern ist ein Datenschutzverstoß.

Die verwendete Software muss auch datenschutzkonform arbeiten, sonst kann es hohe Bußgelder geben.

Haben Sie noch weitere Fragen rund um das Thema Datenschutz und IT-Recht? Wir beraten Sie gern!

 

Rechtsanwalt Sebastian Steinmann
Kanzlei Gunkel, Kunzenbacher & Partner
Detmolder Straße 120a
33604 Bielefeld
Telefon: 0521 / 13 69 987
www.gunkel-partner.eu
info@gunkel-partner.eu