13.11.2019

Höchstes deutsches Datenschutzbußgeld gegen Deutsche Wohnen

Auf den Punkt: Mit dem kürzlich ergangenen medienwirksamen Rekordbußgeld gegen die Deutsche Wohnen in Höhe von EUR 14,5 Millionen setzt sich der Trend der deutschen Datenschutzbehörden fort, mehr und höhere Bußgelder zu verhängen. Außerdem stellt der Fall anschaulich dar, welche Auswirkungen gelungene und misslungene Kooperationen mit den Datenschutzbehörden auf die Sanktionierung haben können. Alles Wichtige zum Fall des höchsten Bußgelds der deutschen Datenschutzgeschichte sowie die Darstellung des gegenwärtigen Sanktionsregimes der Datenschutzbehörden finden Sie hier.

Background

Daniel Lehmann, Anna Christina Kling

Hintergrund

Der ursprüngliche Vorwurf der Behörden gegen Deutsche Wohnen: Das Unternehmen nutze ein Archivsystems zur Erfassung personenbezogener Daten, das keine Möglichkeit zur Löschung nicht mehr erforderlicher Daten vorsah. Darin liege ein Verstoß gegen datenschutzrechtliche Verarbeitungsgrundsätze, nämlich den Grundsatz der Speicherbegrenzung und den Grundsatz des Datenschutzes durch Technikgestaltung, wie ihn die EU-Datenschutzgrundverordnung (DSGVO) vorschreibt.

Der Bußgeldentscheid, der auf diese Verstöße folgte, fällt in einen fortlaufenden Trend der Sanktionierungsbereitschaft der deutschen Behörden. Bereits in den vergangenen Monaten zeichnete sich bei den deutschen Behörden insoweit eine größere Bereitschaft ab, den Bußgeldrahmen der DSGVO bei Datenschutzverstößen intensiver und in Gestalt höherer Bußgelder zu nutzen.

Der letzte „Rekord“ lag hier bei EUR 195.000 gegen den Lieferdienst „Delivery Hero“ und selbst dieser Betrag schien im Unionsvergleich noch eher zurückhaltend. Dort arbeiteten die Behörden schon länger im Millionenbereich (UK: EUR 200 Mio. gegen British Airways; Frankreich: EUR 50 Mio. gegen Google).

Eine Gesamteinordnung der vorgenannten Bußgelder im deutschen und europäischen Vergleich finden Sie in unserem interaktiven Bußgeldatlas (hier).


Der Datenschutzverstoß: unzureichendes Löschkonzept

Die Deutsche Wohnen hätte wohl schon aufgrund der sensiblen Natur der von ihr verarbeiteten personenbezogenen Daten äußerste Sorgfalt beim Datenschutz walten lassen sollen. So verarbeitete das Unternehmen Mieter- und Interessentendaten wie beispielsweise Gehaltsnachweise, Selbstauskunftsformulare, Arbeitsverträge, sowie Steuer-, Sozial- und Krankenversicherungsdaten – teilweise speicherte sie diese Daten auch über die Beendigung der Miet- und Vertragsverhältnisse hinaus.

Hierin sah die Datenschutzbehörde einen Verstoß gegen die Verarbeitungsgrundsätze der DSGVO. Demnach dürfen Unternehmen personenbezogene Daten nur so lange speichern und verarbeiten, wie dies für den Zweck, zu dem sie erhoben wurden, erforderlich ist.   

Noch vor Inkrafttreten der DSGVO im Jahr 2017 rügte die Datenschutzbeauftragte im Rahmen eines ersten Prüfungstermins bereits das Vorgehen des Unternehmens. Bei einer weiteren Kontrolle im März 2019 hatte die Deutsche Wohnen trotz nachdrücklicher Aufforderung weder ihren Datenbestand entsprechend der gesetzlichen Anforderungen bereinigt, noch konnte sie rechtliche Gründe für die fortdauernde Speicherung der Daten anführen. 

Vorliegend hatte die Behörde bei der konkreten Bemessung diverse be- und entlastende Umstände zu berücksichtigen. Nachteilig wirkte sich dabei für das Immobilienunternehmen aus, dass das Archivsystem bewusst in seiner konkreten Form angelegt wurde. Entlastend wirkte sich dagegen die Bereitschaft zur Zusammenarbeit mit den Behörden und die Einleitung erster Schritte zur Behebung der Missstände aus, auch wenn diese den gesetzlichen Erfordernissen nicht genügten.

Trotz dieser fallgerechten Abwägung der Einzelumstände kam die Behörde letztlich zu der Entscheidung, dass hier ein gravierender Datenschutzverstoß vorliegt. Ein Verstoß, der bei einem sorgfältigem Ansatz zu einem Löschkonzept, nicht hätte passieren müssen. Denn Lösch- und Archivierungskonzepte sind im ersten Anlauf zwar unter Umständen aufwändig. Sie sind jedoch bei einem systematischen Herangehen bei weitem keine unlösbare Herausforderung. In der Regel bedarf es nur der folgenden konzeptionellen Schritte, die ein guter Datenschutzberater – gleich ob hausintern oder extern – auch ohne Weiteres mit Leben zu füllen weiß:

1. Umfangsanalyse und Bestandsaufnahme;
2. Festlegung von Löschfristen und Datenkategorien;
3. Löschverantwortlichkeit bestimmen;
4. Synergieidentifizierung und Schnittstellensuche zu anderen Compliance-Bereichen.


Praxishinweis

Mit Einführung der DSGVO hat sich der mögliche Bußgeldrahmen von vormals EUR 300.000 auf bis zu 4% des weltweiten Jahresumsatzes des Mutterkonzerns beziehungsweise bis zu EUR 20 Millionen deutlich erhöht. Im Gegensatz zu anderen EU-Staaten zögerten die deutschen Aufsichtsbehörden aber bisher bei der Ausschöpfung dieses Bußgeldrahmens. Mit der Einführung und Anwendung des neuen Bußgeldmodells dürften die Strafen in Zukunft jedoch deutlich höher ausfallen. Dadurch sollen Unternehmen weiter für Datenschutzbelange sensibilisiert, gleichzeitig aber auch ein Abschreckungseffekt erzielt werden. Das Bußgeld wird dabei zunächst schematisch anhand des Jahresumsatzes des Unternehmens ermittelt, bevor die Umstände des Einzelfalles zu einer Milderung oder Verschärfung führen können. 
 

Daniel Lehmann
Associate
Köln

Christina Kling
Wiss. Mitarbeiterin
Köln