Millionen-Bußgeld gegen Deutsche Wohnen

14,5 Mio wegen Datenschutzverstößen – Rekordbußgeld in Berlin

Werden datenschutzrechtliche Standards nicht eingehalten, sind die Datenschutzbehörden nach Art. 58 Abs. 2 lit i) DSGVO dazu befähigt Bußgelder zu verhängen. Bisher blieben diese zumeist deutlich unter den maximal möglichen Beträgen zurück, doch nachdem die Berliner Aufsichtsbehörde bereits Mitte August eine Abkehr von dieser Praxis ankündigte, lässt sie nun Taten sprechen.

Ausgangslage und verhängte Strafe

Unternehmen im Immobilien- und Wohnungsmarkt geraten bei der Suche nach neuen Mietern und der Verwaltung ihrer Objekte schnell in Kontakt mit personenbezogenen Daten. Nicht anders ist es im Falle der Deutsche Wohnen SE, doch der Umgang mit eben solchen hat die Datenschutzbehörde auf den Plan gerufen: Erstmals wurde schon 2017 festgestellt, dass die Archivierung von Mietbewerbungen ohne vorgesehenen Löschmechanismus nicht in Einklang mit der DSGVO zu bringen ist. Nachdem nun keine Besserung festgestellt wurde, erging zum 30.10.2019 ein Bußgeld von 14,5 Mio EUR. Der konkrete Verstoß liegt in der Speicherung personenbezogener Daten wie etwa Gehaltsnachweisen, Arbeitsverträgen oder Sozialdaten, die im Rahmen der Mieterprüfung erhoben wurden. Nach Art. 5 Abs. 1 lit a) DSGVO muss gemäß dem Grundsatz der Speicherbegrenzung aber unbedingt die Löschung der Daten erfolgen, wenn der Zweck, für den diese verarbeitet wurden, erfüllt wurde. Außerdem gab es vonseiten der ‘Deutsche Wohnen’ keine geeigneten technischen und organisatorischen Maßnahmen (etwa Pseudonymisierung, Beschränkung der Zugriffsrechte, technisch integrierte Widerspruchsmöglichkeiten) gemäß Art. 25 Abs. Abs. 1 DSGVO, um dem Grundsatz der Data Privacy by Design zu genügen.

Ein Paradigmenwechsel in der Bußgeldpraxis?

Die Höhe der verhängten Strafe lässt aufhorchen, da ein solcher Wert in Deutschland bis dato nicht annähernd erreicht wurde. Auch im europäischen Rahmen stechen die 14,5 Mio. EUR heraus, übertroffen nur von einem gegen Google in Frankreich verhängten Bußgeld (welches gemessen am Umsatz aber noch recht milde ausfiel). Dabei schöpft die Berliner Datenschutzbehörde die Möglichkeiten des Art 83 Abs. 5 DSGVO bei der Bußgeldverhängung gegen die Deutsche Wohnen SE noch nicht einmal zur Gänze aus: Gemäß der Formel “20.000.000 EUR oder 4% des Vorjahresumsatzes – je nachdem welcher Wert höher ist” – wären 28 Mio EUR das höchstmögliche Bußgeld. Da unter Anwendung des neuen Berechnungsmodells der Datenschutzkonferenz auch entlastende Faktoren beim Ermitteln der fälligen Strafzahlung berücksichtigt werden, wurde dieser Maximalwert aber nicht erreicht. Dennoch zeigt der Fall, dass nun zweieinhalb Jahre nach Einführung der DSGVO keine Schonfrist mehr gewährt wird und die Bereitschaft spürbare Sanktionen zu verhängen deutlich gestiegen ist.

Sie sind im Immobilienbereich tätig und archivieren Sie personenbezogenen Daten von Bewerbern und Mietern? Eine turnusmäßige Löschung aller Daten nach Erfüllung des Erhebungszweckes sowie die Einhaltung des Grundsatzes des Data Privacy by Design ist unverzichtbar. Wenn Sie dazu Fragen haben oder Hilfe bezüglich der Archivierungspraxis in Ihrem Unternehmen benötigen, können Sie gerne in Kontakt mit uns treten..