Die Berliner Datenschutzbehörde hat nach eigenem Bekunden ein Bußgeld von ca. 14,5 Millionen gegen das Immobilienunternehmen „Deutsche Wohnen“ verhängt. Grund für das Bußgeld war das Fehlen eines tauglichen Löschkonzepts. Die Aufsichtsbehörde hatte bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 festgestellt, dass das Wohnungsunternehmen für die Speicherung von Mieterdaten ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu löschen. Eine Überprüfung der fortdauernden Erforderlichkeit der Datenspeicherung fand damit, so der Behördenvorwurf, nicht statt. Offenbar ging es darum nicht um das Datenbanksystem als solches, sondern ein – in der Pressemitteilung nicht näher bezeichnetes – Archiv.
Privacy by Design als sanktionsfähige Vorgabe der DSGVO
Darin sieht die Berliner Datenschutzaufsicht einen Verstoß gegen den Grundsatz des Privacy by Design. Nach Art. 25 DSGVO müssen Unternehmen geeignete technische und organisatorische Maßnahmen vorsehen, die für eine Datenminimierung sorgen und entsprechende Maßnahmen in der Praxis auch umsetzen. Im konkreten Fall waren offenbar zum Teil Jahre alte private Angaben von Mietern in dem Archiv verfügbar, ohne dass es dafür einen nachvollziehbaren Grund bzw. eine hinreichende Rechtfertigungsgrundlage gab. Zu diesen Daten gehörten u.a. Angaben über die persönlichen und finanziellen Verhältnissen von Mieterinnen und Mietern, z. B. Gehaltsbescheinigungen, Kontoauszüge, Selbstauskunftsformulare und Steuer-, Sozial-und Krankenversicherungsdaten.
Berechnung des Bußgelds nach neuem Behördenkonzept
Nach Ansicht der Behörde musste aufgrund dieses Verstoßes ein Bußgeld verhängt werden („Die Verhängung eines Bußgeldes … war daher zwingend.“). Bei der Bestimmung der Höhe der Strafe hat die Behörde offensichtlich das jüngst beschlossene Konzept zur Berechnung von DSGVO-Bußgeldern in der Praxis angewendet und ist dabei zu einem außerordentlichen hohen Bußgeld gekommen. Maßgeblicher Grundansatz war dabei der Jahresumsatz des Konzerns im Jahre 2018. Als strafschärfend hat die Aufsichtsbehörde herangezogen, dass die Deutsche Wohnen die beanstandete Archivstruktur bewusst angelegt habe und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet worden seien. Auch dass das Unternehmen trotz eindeutiger Empfehlungen der Behörde im Jahre 2017 nicht umgehend für Behebung der gerügten Mängel sorgte, dürfte der Behörde aufgestoßen sein. Zwar habe die Deutsche Wohnen erste Maßnahmen mit dem Ziel der Änderung der Archivstruktur ergriffen, habe die aus Sicht der Datenschutzaufsicht rechtswidrigen Umstände aber gerade nicht behoben. Immerhin seien keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen worden.
Gute Chancen für das Unternehmen vor Gericht?
Die Deutsche Wohnen hat in einer ersten Stellungnahme angekündigt, gegen den Bußgeldbescheid gerichtlich vorzugehen. Es seien keinerlei Daten an unternehmensfremde Dritte gelangt. Schon angesichts der Bußgeldhöhe und dessen, dass es keine Präzedenzfälle gibt, erscheint fast zwingend, dass das Immobilienunternehmen, das Bußgeld nicht widerspruchslos hinnimmt.
Für die Praxis ist eine gerichtliche Prüfung in jedem Falle gut, weil die neue Bußgeldpraxis der Behörden schnell überprüft werden und Unternehmen wie Behörden wüssten, woran sie sind. Dass ein gerichtliches Vorgehen gegen den Bescheid nach allem was man weiß, ganz gute Chancen hat, hat Niko Härting hier begründet. Zum einen ist offen, ob der Einsatz der inzwischen abgelösten Archivlösung nicht doch gerechtfertigt werden kann. Zum anderen stellt sich die Frage der Bestimmtheit der zugrunde liegenden Normen der DSGVO. Schließlich bleibt die Frage nach der Höhe des Bußgelds.
Fazit: Die Schonfrist ist vorbei
Unabhängig davon, wie ein etwaiger Rechtsstreit um das Bußgeld ausgeht, zeigt das aktuelle Verfahren, dass die Schonfrist nun endgültig vorbei ist. 17 Monate nach Wirksamwerden der DSGVO müssen jedenfalls in großen Unternehmen die Vorgaben der DSGVO nicht nur nach außen umgesetzt sein, sondern auch interne Hausaufgaben erledigt sein. Dazu zählt sicher das Vorhandensein eines geeigneten Löschkonzepts – auch für Archive.