Rechtsanwältin Denise Himburg

Die Berliner Datenschutzbeauftragte hat gegen Berlins größtes Immobilienunternehmen, die Deutsche Wohnen SE, ein Rekordbußgeld in Höhe von 14,5 Mio. EUR wegen diverser Datenschutz-Verstöße verhängt.

1. Kontrolle 2017: Unzulässige Speicherung von Mieterdaten im Archiv


Bereits 2017 hat die Datenschutzbehörde bei einer Vor-Ort-Prüfung bei der Deutsche Wohnen festgestellt, dass zahlreiche personenbezogenen Daten im Archiv des Unternehmens gespeichert waren, bei denen jedoch nicht überprüft worden ist, ob eine weitere Speicherung dieser Daten überhaupt noch zulässig sei. Bei den Daten handelte es sich um Informationen zu persönlichen und finanziellen Verhältnissen der Mieter. So befanden sich im Archiv u.a. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

2. Kontrolle 2019: Weiterhin unzulässiges Archiv mit Mieterdaten

Bei einer erneuten Vor-Ort-Prüfung im März 2019 stellte die Datenschutzbehörde fest, dass die Deutsche Wohnen die 2017 beanstandete Archivstruktur noch nicht bereinigt hatte und nach wie vor personenbezogene Daten von Mietern unzulässig speichert. Daher verhängte die Berliner Datenschutzbeauftragte nunmehr ein Bußgeld im „mittleren Rahmen“ gegen die Deutsche Wohnen SE.

Zur Bußgeldhöhe heißt es in der Pressemitteilung der Berliner Datenschutzbeauftragten:

"Für die konkrete Bestimmung der Bußgeldhöhe hat die Berliner Datenschutzbeauftragte unter Berücksichtigung aller be- und entlastenden Aspekte die gesetzlichen Kriterien herangezogen.

Belastend wirkte sich hierbei vor allem aus, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hat.

Auch mit Blick darauf, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, war im Ergebnis ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen. Neben der Sanktionierung dieses strukturellen Verstoßes verhängte die Berliner Datenschutzbeauftragte gegen das Unternehmen noch weitere Bußgelder zwischen 6.000 – 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mieterinnen und Mietern in 15 konkreten Einzelfällen."

Grundlage des Bußgeldbescheids ist eine Änderung des Bußgeldkonzepts, auf die sich die 16 Landesdatenschutzbehörden auf einer gemeinsamen Konferenz am 14. Oktober 2019 geeinigt haben. Danach wäre es sogar möglich gewesen, gegen die Deutsche Wohnen (Jahresumsatz: 1,4 Milliarden EUR) ein Bußgeld in Höhe von 28 Mio. EUR zu verhängen (= 2 % des Jahresumsatzes). Hiervon sah die Berliner Datenschutzbehörde jedoch ab, da der Deutsche Wohnen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, sondern nur die Nichtbereinigung von sog. Datenfriedhöfen (= nicht mehr genutzte Datensammlungen).

Praxishinweis:

Das von der Berliner Datenschutzbeauftragten nach der Veröffentlichung des neuen Bußgeldkonzeptes gegen die Deutsche Wohnen verhängte Rekordbußgeld könnte durchaus ein Startschuss, jedenfalls sollte es ein Warnschuss gewesen sein. Es ist damit zu rechnen, dass zukünftig standardmäßig höhere Bußgelder verhängt werden. Dabei geraten sicher Unternehmen, die mit einer großen Zahl personenbezogener Daten oder besonders sensiblen Datenkategorien hantieren, schneller in den Fokus der Datenschutzbehörden als kleine Onlinehändler. Jedoch können Auslöser von Datenschtzüberprüfungen auch Kundenbeschwerden sein.

Spätestens jetzt sollten Onlinehändler daher die Vorgaben der DS-GVO ernst nehmen. Mit einer rechtskonformen Datenschutzerklärung im Onlineshop allein ist es dabei jedoch nicht getan. Wie der Fall Deutsche Wohnen zeigt, überprüfen die Datenschutzbehörden insbesondere auch das Bestehen und die Einhaltung eines datenschutzrechtlichen Löschkonzepts.