Der Berliner Immobilienkonzern Deutsche Wohnen soll 14,5 Millionen Euro Strafe wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) zahlen. Das teilte die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk mit. Bei dem verhängten Bußgeld handelt es sich um die bislang höchste Geldbuße auf Grundlage der DSGVO in Deutschland. Auslöser für das Bußgeld war offenbar, dass das betroffene Unternehmen trotz bereits 2017 erfolgter Aufforderung bisher kaum Anstrengungen unternahm, datenschutzrechtliche Mängel zu beseitigen.
Update, März 2021: Verfahren gegen Bußgeld von 14,5 Mio. Euro gegen Deutsche Wohnen eingestellt
Die Deutsche Wohnen SE hatte gegen den Bußgeldbescheid von 2019 beim zuständigen Gericht Einspruch eingelegt. Die 26. Große Strafkammer des LG Berlin stellte das Verfahren aufgrund eines Verfahrenshindernisses ein. Beim Bußgeldbescheid lägen „gravierende Mängel“ vor, so eine Sprecherin des Gerichts. Es wurden keine bußgeldbewehrten Handlungen einer natürlichen Person konkretisiert, die der Deutschen Wohnen vorzuwerfen seien.
Ähnlich entschied das Bundesverwaltungsgericht Österreich in einem Verfahren über ein Bußgeld von 18 Mio. Euro gegen die Post AG im Mai 2020. Auch dieser Bußgeldbescheid wurde aufgrund von Formfehlern aufgehoben.
Die Staatsanwaltschaft legte gegen den Beschluss des LG Berlin nun Beschwerde ein. Es müsse das OWiG im Lichte der DSGVO angewendet werden, so die Berliner Beauftragte für Datenschutz und Informationsfreiheit. Es könne nicht sein, dass ein Bußgeld nur verhängt werden kann, wenn die vorwerfbare Handlung einer natürlichen Person nachgewiesen sei. Das würde dazu führen, dass bei komplexen Strukturen eines Unternehmens ein Beweisproblem bestehe. Dadurch seien kleine und mittlere Unternehmen benachteiligt. Im Übrigen müsse eine einheitliche Anwendung der DSGVO in der Europäischen Union gewährleistet werden. Aus der Sicht anderer deutscher Gerichte und der deutschen Aufsichtsbehörden insgesamt kann ein Bußgeld gegen eine juristische Person unabhängig einer konkreten Handlung einer natürlichen Person verhängt werden.
Die Diskussion verdeutlicht, dass Unsicherheiten in Bezug auf die Bußgeldverhängung gegenüber juristischen Personen bestehen. Gem. Art. 4 Nr. 7 DSGVO kann Verantwortlicher eine juristische Person sein. Gem. Art. 83 DSGVO wird ein Bußgeld gegen den Verantwortlichen verhängt. Die DSGVO regelt nicht ausdrücklich, dass ein Bußgeld nur in Verbindung mit der vorwerfbaren Handlung einer natürlichen Person ausgesprochen werden darf. Anders hingegen das deutsche Ordnungswidrigkeitengesetz (§ 30 I Nr. 1 OWiG i.V.m. § 41 I BDSG). Es stellt sich somit die Fragen, wie Art. 83 DSGVO auszulegen ist. Um diese Frage zu klären, bedarf es einer Vorlage beim EuGH. Es ist zu hoffen, dass dies in naher Zukunft geschieht, damit Rechtssicherheit geschaffen wird und Bußgelder gerichtsfest verhängt werden können.
Der DSGVO-Verstoß und das Bußgeld
Anlass für das gegen die Deutsche Wohnen verhängte Bußgeld ist, das personenbezogene Daten in einem Archivsystem gespeichert wurden, das keine Möglichkeit zur Löschung nicht mehr erforderlicher Daten bietet. Personenbezogene Daten von Mietern und Wohnungsbewerbern wurden ohne Überprüfung, ob eine Speicherung überhaupt zulässig oder erforderlich ist gespeichert. Zu den gespeicherten Informationen gehörten sensible Unterlagen wie Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.
Laut Aufsichtsbehörde handelt es sich um einen Verstoß gegen Art. 5 DSGVO (Datenschutzprinzipien, hier insbesondere Speicherbegrenzung) und Art. 25 DSGVO (Datenschutz durch Technikgestaltung). Gemäß diesen Bestimmungen sind personenbezogene nicht länger zu speichern, als diese für die Zwecke ihrer Verarbeitung notwendig sind, und es sind geeignete technische und organisatorische Maßnahmen zu treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa die Speicherbegrenzung wirksam umzusetzen.
Frühere Datenschutz-Prüfungen wurden nicht ernst genommen
Bereits bei einer Vor-Ort Prüfung im Juni 2017 wurden die Missstände von der Aufsichtsbehörde bemängelt. Bei der erneuten Prüfung im März 2019 konnte das Unternehmen Deutsche Wohnen jedoch weder eine Bereinigung der Datenbank noch Rechtsgrundlagen für die fortdauernde Speicherung vorweisen.
Die Höhe des Bußgeldes rechtfertigt die Berliner Datenschutz-Aufsichtsbehörde damit, ihrer Verpflichtung nachgegangen zu sein, ein nicht nur wirksames und verhältnismäßiges, sondern auch abschreckendes Bußgeld zu verhängen. Ausgangspunkt bei der Bemessung der Geldbuße war der Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatz von über einer Milliarde Euro. Demnach hätte das maximal mögliche Bußgeld für den festgestellten Verstoß gemäß DSGVO (4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro, je nachdem welcher Betrag höher ist) bei ca. 28 Millionen Euro liegen können.
Bei der konkreten Bemessung wirkten sich die Bereitschaft zur Zusammenarbeit und die Einleitung erster Schritte zur Behebung der Missstände und die Tatsache, dass keine missbräuchlichen Zugriffe auf die unrechtmäßig gespeicherten Daten festgestellt werden konnten, entlastend aus. Belastend hingegen wirkte die bewusste Wahl eines Archivsystems, mit welchem personenbezogene Daten über einen langen Zeitraum unrechtmäßig gespeichert wurden.
Das erste große Gerichtsverfahren zu DSGVO-Bußgeldern steht wohl an
Der Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit ist bisher nicht rechtskräftig. Die Deutsche Wohnen teilte bereits in einer Pressemitteilung mit, den Bußgeldbescheid gerichtlich überprüfen lassen.
Fazit: DSGVO-Compliance ist Pflichtsache
Der Trend der zu einem höheren Sanktionswillen der Aufsichtsbehörden nimmt wohl zu. Die Schonfrist zur DSGVO-Umsetzung scheint endgültig vorbei zu sein. Diesem Trend sollten Unternehmen mit einem Datenschutzmanagementsystem in der eigenen Organisation begegnen. Insbesondere sollte die Speicherbegrenzung optimiert werden, wozu insbesondere ein Lösch- und Archivierungskonzept gehört.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!