Millionen-Bußgeld für DS-GVO-Verstoß
Die Berliner Datenschutzbeauftragte hat am 30. Oktober 2019 ein deutliches Signal gesetzt – das bisher wohl höchste Bußgeld in Deutschland auf Grundlage der Datenschutzgrundverordnung (DS-GVO) wurde verhängt. Der Immobilienkonzern Deutsche Wohnen SE erhielt einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro. Zusätzlich dazu muss die Deutsche Wohnen in 15 Einzelfällen Bußgelder in Höhe mehrerer Tausend Euro zahlen. Die Einlegung eines Einspruchs gegen den Bescheid wurde angekündigt.
Sensible Kundendaten ohne Löschungsmöglichkeit gespeichert
Auch nach offizieller Rüge im Juni 2017 waren sensible Mieterdaten im Archivsystem gespeichert, die auch nach deren Erübrigung nicht gelöscht wurden. So konnten sie immer noch eingesehen und verarbeitet werden. Dazu gehörten etwa Informationen zur Sozial- und Krankenversicherung, Arbeitsverträge und Daten zu finanziellen Verhältnissen. Die Datenschutzbehörde spricht von einem „Datenfriedhof“. Laut Art. 5 DS-GVO dürfen Unternehmen personenbezogene Daten nur so lange speichern und verarbeiten, wie sie für den Zweck, für den sie erhoben wurden, erforderlich sind. Zudem müssen Unternehmen, die personenbezogene Daten verarbeiten, laut Art. 25 DSGVO durch Technikgestaltung und datenschutzfreundliche Voreinstellungen dafür sorgen, dass Datenschutzgrundsätze wirksam umgesetzt werden. Dies war und ist bei den Systemen der Deutsche Wohnen nicht gewährleistet.
Bußgeld hätte auch noch höher ausfallen können
Die Aufsichtsbehörde hat dem Bußgeld offenbar das vor kurzem veröffentlichte (https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf ) neue Modell der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern (DSK) zur Berechnung zu Grunde gelegt. Dieses Modell orientiert sich explizit an den Bußgeldleitlinien des Bundeskartellamtes.
Fazit und Handlungsempfehlung
Die Entscheidung der Berliner Datenschutzbeauftragten zeigt, dass die befürchteten Millionenbußgelder (Art. 83 DS-GVO sieht Geldbußen von bis zu 20 Millionen Euro oder bis zu vier Prozent des Vorjahresumsatzes eines Unternehmens vor – je nachdem, welcher Betrag höher ist) nun auch in Deutschland angekommen sind und es nicht erst zu Datenpannen oder Datenmissbrauch kommen muss, um ein hohes Bußgeld zu verhängen. Unternehmen sollten das Bußgeldverfahren gegen die Deutsche Wohnen zum Anlass nehmen, den eigenen Umgang mit Daten (erneut) zu hinterfragen und zu überprüfen. Gerade für Unternehmen mit hohen Umsätzen steigt das Bußgeldrisiko gewaltig.