Zum Inhalt springen Zur Navigation springen
Benutzte Software nicht DSGVO-konform = 14,5 Mio. Euro Bußgeld

Benutzte Software nicht DSGVO-konform = 14,5 Mio. Euro Bußgeld

Die Berliner Beauftragte für Datenschutz hat ihr höchstes Bußgeld seit Inkrafttreten der DSGVO verhängt. Das Bußgeld in Höhe von 14,5 Millionen Euro wurde gegen die Deutsche Wohnen SE verhängt, die mit mehr als 110.000 Wohnungen der größte private Immobilienbesitzer in Berlin ist. Viele denken sich wahrscheinlich, da trifft es mal genau die Richtigen, doch vergleichbare Missstände gibt es bei vielen Unternehmen.

Löschfristen: Wer nicht löscht, ist dran

Hintergrund des Bußgeldes ist, dass Mieterdaten in einem Archivsystem gespeichert wurden, in dem keine Möglichkeit zur Löschung vorgesehen war. Das Unternehmen speicherte daher Unterlagen von Wohnungsbewerbern und Mietern oft auch jahrelang nach Beendigung von Mietverhältnissen, ohne sie jemals zu löschen. Dazu gehörten sensible Daten wie Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Die Berliner Aufsichtsbehörde sah darin einen Verstoß gegen Artikel 5 und 25 der DSGVO. Also gegen die Pflicht zum Datenschutz durch Technikgestaltung und gegen den Grundsatz der Speicherbegrenzung, wonach personenbezogene Daten nur solange in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Es reiht sich damit in eine Reihe europäischer Bußgelder etwa gegen zwei Unternehmen in Dänemark, einem Bürgermeister in Polen und einem Unternehmen in Tschechien ein, die ergingen, weil gespeicherte Daten nicht rechtzeitig gelöscht wurden. Es ist das bisher dritthöchste Bußgeld in der EU seit Inkrafttreten der DSGVO.

Keine Behebung der Misstände trotz Aufforderung 2017

Die Aufsichtsbehörde hatte die Missstände schon bei einer ersten Vor-Ort-Kontrolle 2017 bemängelt. Der Missstand wurde trotz dringender Empfehlung zur Abhilfe auch bis zu einer zweiten Vor-Ort-Kontrolle anderthalb Jahre später im März 2019 nicht behoben.

Grund für die beträchtliche Höhe des Bußgeldes ist nach eigener Aussage der Aufsichtsbehörde ihre Verpflichtung durch die Datenschutz-Grundverordnung ein nicht nur wirksames und verhältnismäßiges, sondern auch abschreckend Bußgeld zu verhängen. Anknüpfungspunkt für die Bemessung von Geldbußen war der im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatz von über einer Milliarde Euro. Mit Inkrafttreten der DSGVO hat sich der Bußgeldrahmen von ehemals höchstens 300.000 Euro auf bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro drastisch erhöht. Nach Angaben der Berliner Datenschutzbeauftragten lag das hier maximal mögliche Bußgeld bei 28 Millionen Euro. Es ist bisher unklar, ob zur Bestimmung des Bußgeldes bereits das neue Berechnungsmodell von Bußgeldern nach der DSGVO herangezogen wurde.

Belastend wirkte sich laut Pressemitteilung der Berliner Datenschutzbeauftragten insbesondere aus, dass die Deutsche Wohnen die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden.

Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen erste Maßnahmen zur Behebung des rechtswidrigen Zustandes ergriffen hatte, gut mit der Aufsichtsbehörde kooperierte und keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten.

Daher sei im Ergebnis ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen gewesen. Zudem verhängte die Berliner Datenschutzbeauftragte gegen das Unternehmen noch weitere Bußgelder zwischen 6.000 –17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mietern in 15 Einzelfällen.

Kommt das erste große Gerichtsverfahren zum Datenschutz?

Das Bußgeld wird wieder mehr Aufmerksamkeit auf die datenschutzrechtlichen Pflichten der DSGVO lenken, nachdem sich die erste Hysterie nach Inkrafttreten der DSGVO gelegt hatte. Der Bußgeldbescheid ist bisher nicht rechtskräftig. Die Deutsche Wohnen SE hat in ihrer Pressemitteilung schon angekündigt gegen den Bußgeldbescheid vorzugehen.

Bisher hielten sich ihre deutschen Aufsichtsbehörden bei der Verhängung von Bußgeldern zurück. Das bisher höchste Bußgeld seit Inkrafttreten der DSGVO belief sich auf vergleichsweise niedrige 195.000 Euro gegen das Lieferunternehmen Delivery Hero. Ebenfalls von der Berliner Datenschutzbeauftragten verhängt.

Ein Ende der Datenfriedhöfe

Die Berliner Datenschutzbeauftragte hat ihre Beweggründe so formuliert:

„Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist.“

Aber auch ohne solch einen „Daten-Gau“ handele es sich um einen „eklatanten Verstoß gegen die Grundsätze des Datenschutzes“. Das Bußgeld sollte also als Weckruf dienen für alle Unternehmen, die ebenfalls die Pflicht zur Löschung von Daten nach Zweckwegfall auf die leichte Schulter nehmen und entweder noch Systeme benutzen, die keine Löschung von Daten vorsehen oder einfach gerne Daten horten, weil man ja nicht weiß, wofür die nochmal gut sein können. Hier wird es höchste Zeit für ein Löschkonzept. Alle anderen Unternehmen sollten vor allem eines mitnehmen: Augen auf beim Softwarekauf.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Herzlichen Dank für den, mal wieder interessanten Beitrag. Eine Anmerkung dazu. Die Höhe des Bußgeldes ist m. E. nicht das zweithöchste Bußgeld in der EU. Spitzenreiter sind laut dem „GDPR Enforcement Tracker“ die Unternehmen British Airways (mit 204 Mio), Marriott International (mit 110 Mio) und Austrian Post (mit 18 Mio).

    • Vielen Dank für den Hinweis. Sie haben natürlich Recht, wir haben die Einleitung daher entsprechend geändert. Das Bußgeld aus Österreich hatten wir noch nicht mit berücksichtigt. Das gegen die Deutsche Wohnen SE verhängte Bußgeld ist dann das EU-weit bisher dritthöchste Bußgeld.

      Nach den Angaben der britischen Aufsichtsbehörde (Information Commissioner’s Office – ICO) handelt es sich bei den Bußgeldern gegen Marriott und British Airways bisher nur um Ankündigungen, dass es beabsichtigt ist, ein Bußgeld zu verhängen. Auf der Webseite des ICO’s werden die Bußgelder (noch) nicht aufgeführt.

  • Und was ist mit dem Bußgeld in Frankreich von CNIL gegen Google in Höhe von 50 Mio. EUR? Das müßte doch das dritthöchste sein.

  • Weiß man denn, welche Software die DW hier benutzt hat? Habe leider bisher nirgendwo dazu etwas gefunden….

  • Interessant dieses Urteil zum Sammeln personenbezogener Daten. Was wird nun? Die Deutsche Wohnen und einige weitere Unternehmen (Genossenschaften) wurden in diesem Jahr nach langem Kampf von der VONOVIA aufgekauft. Diese ist im Umgang mit Mieterdaten noch weniger zimperlich. Wir wurden in unserer Siedlung aufgefordert, unsere Dachböden wegen vermeintlicher Brandlastberichte (der Nachweis deren Existenz wurde verweigert) zu räumen. Bei Kontrollen wurden jeweils Fotos angefertigt mittels Tablet, auf denen das Eigentum der Mieter deutlich erkennbar ist, mit Namen und genauer Ortsangabe per E-Mail nach Bochum gesandt. So die Information des Objektbetreuers vor Ort. Es ist quasi in falschen Händen sogar eine Anleitung für Diebe, wo was zu holen ist. Bisher ist hiergegen noch nichts unternommen worden. Nach DSGVO ist das Sammeln dieser Fotos und Daten gesetzeswidrig!

  • Ich habe dann Pech, dass ich in NRW wohne, denn die Aufsichtsbehörde für Datenschutz in Düsseldorf tun beim Beschwerden das absolute Nichts, sie scheinen die Gesetze der EU-DSGVO nicht zu kennen, oder Korruption spielt in NRW wieder mal eine große Rolle.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.