Datenschutzverstoß – 14,5 Millionen EUR Bußgeld

Datenschutzverstoß – 14,5 Millionen EUR Bußgeld

Bildquelle: Adobe Stock/Michael Traitov

Über diese Summe ist Ende Oktober 2019 der Wohnungsgesellschaft Deutsche Wohnen SE ein Bußgeldbescheid des Berliner Landesdatenschutzbeauftragten zugegangen. Die Strafzahlung wäre die bislang höchste in der Bundesrepublik und damit der zweithöchste Bußgeldbescheid in der EU.

Bereits Anfang 2019 war gegen Google in Frankreich ein Rekordbußgeld in Höhe von 50 Millionen EUR verhängt worden. Hintergrund des Bußgeldbescheids ist ein Verstoß gegen die Datenschutz Grundverordnung (DSGVO), den der Berliner Landesdatenschutzbeauftragte festgestellt hat. Die Deutsche Wohnen SE speichert umfangreiche Daten von Bewerbern und Mietern in einem System, woraus die Daten auch nach Ablehnung der Bewerbung oder Auszug des Mieters nicht mehr gelöscht werden können.

Zu den Bewerber- und Mieterdaten gehören auch umfassende Angaben über persönliche und finanzielle Verhältnisse, u. a. Gehaltsbescheinigungen, Versicherungsdaten oder Auszüge aus Arbeits- und
Ausbildungsverträgen und damit äußerst sensible Daten, die nach Art. 17 der Datenschutz-Grundverordnung (DSGVO) zu löschen sind, sobald sie für den Zweck, zu dem sie erhoben
worden sind, nicht mehr notwendig sind. Dies ist regelmäßig der Fall, sobald eine Bewerbung abgelehnt wurde oder der Mieter ausgezogen ist sowie etwaige gesetzlichen Aufbewahrungsfristen abgelaufen sind.
In der mangelnden Löschmöglichkeit liegt nach Ansicht des Berliner Datenschutzbeauftragten darüber hinaus ein Datenschutzverstoß gegen Art. 25 DSGVO, der die Pflicht zur datenschutzfreundlichen Gestaltung von Software vorsieht.

Dementsprechend muss die Software auch eine Möglichkeit zur Löschung von Daten vorsehen.
Bemerkenswert ist die Datenschutzverletzung auch deshalb, weil sie der Berliner Datenschutzbeauftragte bereits 2017 festgestellt und der Deutschen Wohnen SE sogar die Möglichkeit zur Abhilfe eingeräumt hatte. Bis zu einem Folgetermin eineinhalb Jahre später seien die Mängel jedoch nicht im
genügenden Maße abgestellt worden. Der Strafrahmen der DSGVO sieht Bußgelder in Höhe von bis
zu 20 Millionen EUR oder, sofern höher, bis zu 4 % des weltweiten Jahresumsatzes und nähert sich damit den empfindlichen Bußgeldern des Kartellrechts an. Für kirchliche Einrichtungen liegt der Strafrahmen bei lediglich 500.000 EUR. Letzteres ist vor allem deshalb bemerkenswert, weil vor der Datenschutzreform für kirchliche Einrichtungen keinerlei Sanktionen im Falle von Datenschutzverletzungen drohten. 

Datenschutzverstoß – 14,5 Millionen EUR Bußgeld: Fazit

Zur Gewährleistung eines wirksamen Datenschutzmanagement-Systems im Unternehmen sollten zu Anfang der Umsetzung der Vorgaben des Datenschutzes im Unternehmen und sodann in regelmäßigen Abständen Audits zur Feststellung des Datenschutzniveaus und des jeweiligen Handlungsbedarfs durchgeführt werden. Gerne unterstützen wir Sie dabei.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Freiburg
RA
Justus Kampp
+49 (0)761 79186 45
 
Rechtsanwalt

Solidaris Rechtsanwaltsgesellschaft mbH

Kampp

Justus Kampp

  •     Studium der Rechtswissenschaften in Freiburg und Heidelberg
  •     Referent Deutscher Bundestag
  •     Handwerkskammer Freiburg
  •     Rechtsanwalt seit 2010
  •     2010 Rechtsanwalt bei Hiddemann Kleine-Cosack Rechtsanwälte
  •     seit 2016 bei der Solidaris Rechtsanwaltsgesellschaft
  •     seit 2018 abgeschlossener Fachanwaltslehrgang für Vergaberecht
  •     seit 2019 ehrenamtlicher Richter am Verwaltungsgericht der Evangelischen Kirche in Baden 


Schwerpunkte:

  •     Vergaberecht
  •     privates Bau- und Architektenrecht
  •     Immobilienrecht
  •     Mietrecht
  •     IT- und Datenschutzrecht
  •     Erbrecht


Aktivitäten

  •     Mitglied der Arbeitsgemeinschaft Bau- und Immobilienrecht im Deutschen Anwaltverein
  •     Mitglied der Deutschen Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.
  •     Mitglied im Deutschen Vergabenetzwerk

 Veröffentlichungen in der Fachpresse
2019

  • Haftung für Heimträger: Health&Care Management, 12/2019, S. 60.
  • Der EuGH und die HOAI: Was nun?: Health&Care Management, 10/2019, S. 54.

Veröffentlichungen in der Fachpresse
2018

  • Alarm ist nicht gleich Alarm!: Health&Care Management, 9/2018, S. 53
  • Die Schaffung von Einzelzimmern: Health&Care Management, 6/2018, S. 53.

Veröffentlichungen in der Fachpresse
2017

  • Beachten Kliniken das Vergaberecht unzureichend?: Health&Care Management, 6/2017, S. 56.
  • Datenschutz und Compliance: Zwei Bausteine für kirchliche Einrichtungen: Neue Caritas, 3/2017.
  • Falsch gelandet: Health&Care Management, 3/2017.
  • Der "Quasi"-Öffentliche Auftraggeber, Auftraggeber dank Aufgabendelegation oder -Übernahme?: ZfBR, 8/2017, S. 772-776.

Veröffentlichungen in der Fachpresse
2016

  • Keine angemessene Räumungsfrist nach § 721 ZPO für Pflegeheime: Health&Care Management, 10/2016, S. 60.