14,5 Millionen Euro DSGVO-Strafe

Rekordbußgeld für Deutsche Wohnen

12.11.2019
Von    und  IDG ExpertenNetzwerk
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.


Daniel Lehmann ist Rechtsanwalt bei Luther Rechtsanwalts­gesellschaft mbH. Er studierte Rechtswissenschaften an der Universität Münster und absolvierte im Studium unter anderem eine Ausbildungsstation in einer Kanzlei in Los Angeles. Nach dem ersten Staatsexamen arbeitete er in der Rechtsabteilung eines mittelständischen IT-Beratungsunternehmens. Während des Referendariats arbeitete Herr Lehmann unter anderem in der IT-Abteilung der BaFin sowie im IT/IP-Team einer internationalen Wirtschaftskanzlei. 2017 legte er erfolgreich das zweite Staatsexamen ab. 
In Berlin wurde gegen die Deutsche Wohnen das bisher höchste DSGVO-Bußgeld in Deutschland verhängt. Erfahren Sie die Hintergründe und wie Sie Ihr Unternehmen gegen solche Strafen schützen können.

Die Berliner Datenschutzbehörde hat gegen die Wohnungsgesellschaft Deutsche Wohnen mit 14,5 Millionen Euro das bislang höchste Bußgeld in der deutschen Datenschutzgeschichte verhängt. Bereits in den vergangenen Monaten zeichnete sich bei den deutschen Behörden eine größere Bereitschaft ab, den Bußgeldrahmen der EU-Datenschutzgrundverordnung (DSGVO) bei Datenschutzverstößen intensiver und in Gestalt höherer Bußgelder zu nutzen.

Die Strafe für die Deutsche Wohnen ist die bisher höchste im Zusammenhang mit der DSGVO in Deutschland.
Die Strafe für die Deutsche Wohnen ist die bisher höchste im Zusammenhang mit der DSGVO in Deutschland.
Foto: mixmagic - shutterstock.com

Das bisher höchste und erst kürzlich verhängte Bußgeld von 195.000 Euro gegen den Lieferdienst "Delivery Hero" fiel im europäischen Vergleich dennoch verhältnismäßig milde aus. So forderte die britische Datenschutzbehörde von British Airways bereits ein Bußgeld in Höhe von 200 Millionen Euro, während die französische Aufsichtsbehörde von Google Zahlungen in Höhe von 50 Millionen Euro verlangte.

Eine Übersicht über bisher ergangene Bußgeldbescheide finden Sie in dem interaktiven Bußgeld-Atlas.

Kein ausreichendes Löschkonzept

Anlass für den Bußgelderlass gegen die Deutsche Wohnen war die Verwendung eines Archivsystems zur Erfassung personenbezogener Daten, das keine Möglichkeit zur Löschung von nicht mehr erforderlicher Daten vorsah. Das Unternehmen speicherte dabei sensible Daten von Mietern oder Interessenten auch Jahre nach Beendigung des Mietverhältnisses. Dazu zählten beispielsweise Gehaltsnachweise, Selbstauskunftsformulare, Arbeitsverträge, sowie Steuer-, Sozial- und Krankenversicherungsdaten.

Die Aufsichtsbehörde sah darin einen Verstoß gegen Artikel 5 (Grundsatz der Datenminimierung und Speicherbegrenzung) und Artikel 25 (Datenschutz durch Technikgestaltung) der DSGVO. Nach diesen Vorschriften dürfen Unternehmen personenbezogene Daten nur so lange speichern und verarbeiten, wie dies für den Zweck, zu dem sie erhoben wurden, erforderlich ist.

Bei einem ersten Prüfungstermin im Jahr 2017, also noch vor Inkrafttreten der DSGVO, rügte die Datenschutzbeauftragte bereits das Vorgehen des Unternehmens. Bei einer weiteren Kontrolle im März 2019 hatte die Deutsche Wohnen trotz nachdrücklicher Aufforderung weder ihren Datenbestand entsprechend der gesetzlichen Anforderungen bereinigt, noch konnte sie rechtliche Gründe für die fortdauernde Speicherung der Daten anführen.

Bußgeld-Modell der Aufsichtsbehörden

Mit Einführung der DSGVO hat sich der mögliche Bußgeldrahmen von vormals 300.000 Euro auf bis zu vier Prozent des weltweiten Jahresumsatzes des Mutterkonzerns beziehungsweise bis zu 20 Millionen Euro deutlich erhöht. Im Gegensatz zu anderen EU-Staaten zögerten die deutschen Aufsichtsbehörden aber bisher bei der Ausschöpfung dieses Bußgeldrahmens.

Mit der Einführung und Anwendung des neuen Bußgeldmodells dürften die Strafen in Zukunft jedoch deutlich höher ausfallen. Dadurch sollen Unternehmen weiter für Datenschutzbelange sensibilisiert, gleichzeitig aber auch ein Abschreckungseffekt erzielt werden. Das Bußgeld wird dabei zunächst schematisch anhand des Jahresumsatzes des Unternehmens ermittelt, bevor die Umstände des Einzelfalles zu einer Milderung oder Verschärfung führen können.

Im Fall der Deutsche Wohnen hatte die Behörde bei der konkreten Bemessung diverse be- und entlastende Umstände zu berücksichtigen. Nachteilig wirkte sich dabei für das Immobilienunternehmen aus, dass das Archivsystem bewusst in seiner konkreten Form angelegt wurde. Entlastend wirkte sich dagegen die Bereitschaft zur Zusammenarbeit mit den Behörden und die Einleitung erster Schritte zur Behebung der Missstände aus, auch wenn diese den gesetzlichen Erfordernissen nicht genügten.

Praxishinweis

Mit dem nun ergangenen Rekordbußgeld setzt sich der unter Brancheninsidern seit langem erahnte und erwartete Trend zu mehr Sanktionswillen der Datenschutzexekutive weiter fort. Eigentlich sollte der Datenschutz nach Willen des Verordnungs- und Gesetzgebers für Unternehmen ein Aushängeschild à la "Data Protection made in Europe" sein und entsprechende Chancen bieten.

Seit Einführung der DSGVO zeigt sich jedoch kontinuierlich, dass es vor allem die Abschreckungswirkung stetig steigender Bußgeldhöhen sind, die Unternehmen auf einen datenschutzkonformen Kurs bringen. Da diese Entwicklung den Aufsichtsbehörden nicht verschlossen bleibt, steht zu erwarten, dass sich der besagte Trend zu mehr und höheren Bußgeldern mit dem neuen Berechnungsmodell auch in Deutschland weiter fortsetzt.

Diesem Trend werden Unternehmen nur mit einem sorgfältigen und rechtskonformen Datenschutzkonzept in der eigenen Organisation begegnen können, wozu insbesondere auch ein Lösch- und Archivierungskonzept gehört. Die Einführung oder Optimierung eines solchen Konzepts kann dabei nicht nur vor Bußgeldern schützen, sondern auch Synergien und sogar Wachstumspotential durch Effizienzsteigerung bei verkrusteten Prozessen freisetzen.

So führen Sie ein Lösch- und Archivierungssystem ein

Die Erstellung eines Löschkonzepts erfolgt in der Regel in diesen vier Schritten:

1. Umfangsanalyse

Zunächst sollte geklärt werden, in welchem Umfang und in welcher Tiefe die Löschung erfolgen soll. Dabei sollten die Kosten vollständiger Compliance und eventuelle Risiken durch Bußgelder oder einen Imageverlust abgewogen werden. Eine Auflistung der Unterlagen und ihrer Bezüge, die Bestandteil des Konzepts sind, sollte in einer Dokumentationsstruktur organisiert werden. Im Einklang mit anerkannten Best Practices, etwa der Richtlinie zur Erstellung eines Löschkonzepts DIN 66398, sollte weiter dargestellt werden, wie das Löschkonzept entwickelt und gepflegt werden soll.

2. Festlegung von Datenkategorien und Löschfristen

Im Anschluss gilt es, einzelne Datenkategorien zu bilden und explizite Löschfristen für diese festzulegen. Bei der Festlegung der Löschfristen ist zunächst zu prüfen, ob gesetzliche Fristen existieren. Beispielhaft sind hier die Verpflichtung zur Aufbewahrung von Geschäftsunterlagen nach § 257 Handelsgesetzbuch oder § 147 der Abgabenordnung zu nennen. Hier empfiehlt es sich, konkrete Kriterien zu erarbeiten und diese zu dokumentieren. Die gesetzlichen Fristen können dafür als Grundlage dienen.

Zu beachten ist aber, dass mit Ablauf der Aufbewahrungsfrist nicht automatisch eine Löschpflicht entsteht, da weiterhin ein legitimes Interesse an der Speicherung bestehen kann, um zum Beispiel bei Rechtsstreitigkeiten etwaigen Auskunftspflichten nachkommen zu können. Für solche Sonderfälle müssen spezielle Prozesse entwickelt werden.

3. Bestimmung eines Löschverantwortlichen

Neben der Festlegung einer verantwortlichen Person kann die Löschung auch automatisiert erfolgen, was unter Effizienzgesichtspunkten sinnvoll ist. Dabei gilt es, die Vorgaben für die Umsetzung der Löschmaßnahmen und die entsprechenden Löschregeln zu konkretisieren und regelmäßig zu überprüfen, ob sie eingehalten werden. Typische Fragestellungen betreffen hier beispielsweise den Löschmechanismus, ob die Regellöschfrist zu beachten ist oder ob die Daten schon früher gelöscht werden können.

4. Einbettung in verwandte Themen

Ein erfolgreiches Löschkonzept sollte stets in andere Systeme eingebettet sein. Regelmäßig sind Daten miteinander verknüpft, sodass die Löschung an einer Stelle zu Problemen an anderen Stellen führen kann oder eine Löschung überhaupt nicht möglich ist. Weiterhin relevant sind der Umgang mit individuellen Löschanträgen durch betroffene Personen, sowie eine Dokumentation der Zwecke, zu denen Daten erhoben, gespeichert oder anderweitig verarbeitet werden. Dies ist zur Bewertung einer angemessenen Speicherfrist erforderlich. (jd)