Datenschutzverstoß – 14,5 Millionen EUR Bußgeld
Über diese Summe ist Ende Oktober 2019 der Wohnungsgesellschaft Deutsche Wohnen SE ein Bußgeldbescheid des Berliner Landesdatenschutzbeauftragten zugegangen. Die Strafzahlung wäre die bislang höchste in der Bundesrepublik und damit der zweithöchste Bußgeldbescheid in der EU.
Bereits Anfang 2019 war gegen Google in Frankreich ein Rekordbußgeld in Höhe von 50 Millionen EUR verhängt worden. Hintergrund des Bußgeldbescheids ist ein Verstoß gegen die Datenschutz Grundverordnung (DSGVO), den der Berliner Landesdatenschutzbeauftragte festgestellt hat. Die Deutsche Wohnen SE speichert umfangreiche Daten von Bewerbern und Mietern in einem System, woraus die Daten auch nach Ablehnung der Bewerbung oder Auszug des Mieters nicht mehr gelöscht werden können.
Zu den Bewerber- und Mieterdaten gehören auch umfassende Angaben über persönliche und finanzielle Verhältnisse, u. a. Gehaltsbescheinigungen, Versicherungsdaten oder Auszüge aus Arbeits- und
Ausbildungsverträgen und damit äußerst sensible Daten, die nach Art. 17 der Datenschutz-Grundverordnung (DSGVO) zu löschen sind, sobald sie für den Zweck, zu dem sie erhoben
worden sind, nicht mehr notwendig sind. Dies ist regelmäßig der Fall, sobald eine Bewerbung abgelehnt wurde oder der Mieter ausgezogen ist sowie etwaige gesetzlichen Aufbewahrungsfristen abgelaufen sind.
In der mangelnden Löschmöglichkeit liegt nach Ansicht des Berliner Datenschutzbeauftragten darüber hinaus ein Datenschutzverstoß gegen Art. 25 DSGVO, der die Pflicht zur datenschutzfreundlichen Gestaltung von Software vorsieht.
Dementsprechend muss die Software auch eine Möglichkeit zur Löschung von Daten vorsehen.
Bemerkenswert ist die Datenschutzverletzung auch deshalb, weil sie der Berliner Datenschutzbeauftragte bereits 2017 festgestellt und der Deutschen Wohnen SE sogar die Möglichkeit zur Abhilfe eingeräumt hatte. Bis zu einem Folgetermin eineinhalb Jahre später seien die Mängel jedoch nicht im
genügenden Maße abgestellt worden. Der Strafrahmen der DSGVO sieht Bußgelder in Höhe von bis
zu 20 Millionen EUR oder, sofern höher, bis zu 4 % des weltweiten Jahresumsatzes und nähert sich damit den empfindlichen Bußgeldern des Kartellrechts an. Für kirchliche Einrichtungen liegt der Strafrahmen bei lediglich 500.000 EUR. Letzteres ist vor allem deshalb bemerkenswert, weil vor der Datenschutzreform für kirchliche Einrichtungen keinerlei Sanktionen im Falle von Datenschutzverletzungen drohten.
Datenschutzverstoß – 14,5 Millionen EUR Bußgeld: Fazit
Zur Gewährleistung eines wirksamen Datenschutzmanagement-Systems im Unternehmen sollten zu Anfang der Umsetzung der Vorgaben des Datenschutzes im Unternehmen und sodann in regelmäßigen Abständen Audits zur Feststellung des Datenschutzniveaus und des jeweiligen Handlungsbedarfs durchgeführt werden. Gerne unterstützen wir Sie dabei.
