Rekordbußgeld in Deutschland für Verstoß gegen DSGVO

Der Berliner Immobilienkonzern Deutsche Wohnen soll 14,5 Millionen Euro Strafe wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) zahlen. Das teilte die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk mit. Bei dem verhängten Bußgeld handelt es sich um die bislang höchste Geldbuße auf Grundlage der DSGVO in Deutschland. Auslöser für das Bußgeld war offenbar, dass das betroffene Unternehmen trotz bereits 2017 erfolgter Aufforderung bisher kaum Anstrengungen unternahm, datenschutzrechtliche Mängel zu beseitigen.

Der DSGVO-Verstoß und das Bußgeld

Anlass für das gegen die Deutsche Wohnen verhängte Bußgeld ist, das personenbezogene Daten in einem Archivsystem gespeichert wurden, das keine Möglichkeit zur Löschung nicht mehr erforderlicher Daten bietet. Personenbezogene Daten von Mietern und Wohnungsbewerbern wurden ohne Überprüfung, ob eine Speicherung überhaupt zulässig oder erforderlich ist gespeichert. Zu den gespeicherten Informationen gehörten sensible Unterlagen wie Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Laut Aufsichtsbehörde handelt es sich um einen Verstoß gegen Art. 5 DSGVO (Datenschutzprinzipien, hier insbesondere Speicherbegrenzung) und Art. 25 DSGVO (Datenschutz durch Technikgestaltung). Gemäß diesen Bestimmungen sind personenbezogene nicht länger zu speichern, als diese für die Zwecke ihrer Verarbeitung notwendig sind, und es sind geeignete technische und organisatorische Maßnahmen zu treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa die Speicherbegrenzung wirksam umzusetzen.

Frühere Datenschutz-Prüfungen wurden nicht ernst genommen

Bereits bei einer Vor-Ort Prüfung im Juni 2017 wurden die Missstände von der Aufsichtsbehörde bemängelt. Bei der erneuten Prüfung im März 2019 konnte das Unternehmen Deutsche Wohnen jedoch weder eine Bereinigung der Datenbank noch Rechtsgrundlagen für die fortdauernde Speicherung vorweisen.

Die Höhe des Bußgeldes rechtfertigt die Berliner Datenschutz-Aufsichtsbehörde damit, ihrer Verpflichtung nachgegangen zu sein, ein nicht nur wirksames und verhältnismäßiges, sondern auch abschreckendes Bußgeld zu verhängen. Ausgangspunkt bei der Bemessung der Geldbuße war der Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatz von über einer Milliarde Euro. Demnach hätte das maximal mögliche Bußgeld für den festgestellten Verstoß gemäß DSGVO (4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro, je nachdem welcher Betrag höher ist) bei ca. 28 Millionen Euro liegen können.

Bei der konkreten Bemessung wirkten sich die Bereitschaft zur Zusammenarbeit und die Einleitung erster Schritte zur Behebung der Missstände und die Tatsache, dass keine missbräuchlichen Zugriffe auf die unrechtmäßig gespeicherten Daten festgestellt werden konnten, entlastend aus. Belastend hingegen wirkte die bewusste Wahl eines Archivsystems, mit welchem personenbezogene Daten über einen langen Zeitraum unrechtmäßig gespeichert wurden.

Das erste große Gerichtsverfahren zu DSGVO-Bußgeldern steht wohl an

Der Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit ist bisher nicht rechtskräftig. Die Deutsche Wohnen teilte bereits in einer Pressemitteilung mit, den Bußgeldbescheid gerichtlich überprüfen lassen.

Fazit: DSGVO-Compliance ist Pflichtsache

Der Trend der zu einem höheren Sanktionswillen der Aufsichtsbehörden nimmt wohl zu. Die Schonfrist zur DSGVO-Umsetzung scheint endgültig vorbei zu sein. Diesem Trend sollten Unternehmen mit einem Datenschutzmanagementsystem in der eigenen Organisation begegnen. Insbesondere sollte die Speicherbegrenzung optimiert werden, wozu insbesondere ein Lösch- und Archivierungskonzept gehört.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.