Vor wenigen Tagen hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Frau Maja Smoltczyk mittels einer Pressemitteilung bekannt gegeben, dass gegen die Deutsche Wohnen SE ein Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) erlassen worden ist. Dieses Vorgehen der Datenschutz-Aufsichtsbehörde, welches das mit Abstand höchste Bußgeld auf Grundlage der DSGVO in Deutschland hervorbrachte, soll im Folgenden näher betrachtet werden. Welche Schlussfolgerungen lassen sich hieraus ziehen?

Wie die Aufsichtsbehörde aus Berlin mitteilt, wurde schon vor längerem ein umfassendes „Archivsystem“ bei der Deutschen Wohnen SE im Rahmen einer Vor-Ort-Prüfung im Juni 2017 identifiziert, „das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen“. In dieser Software waren umfassende Daten der Mieter gesammelt und abgelegt worden.

Weiter heißt es in der Pressemitteilung:

„Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.“

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit sprach daraufhin im Jahre 2017 eine dringende Empfehlung aus, dieses Archivsystem umzustellen. Offenbar wurde bereits damals auch die Rechtmäßigkeit dieser Datenverarbeitung infrage gestellt.

Das betroffene Unternehmen habe daraufhin zwar gewisse Vorbereitungen im Hinblick auf die Anpassung und Umstellung des Systems ergriffen, konnte jedoch bei einer erneuten Überprüfung im März 2019 durch die BfDI Berlins weder eine Bereinigung der Datenbestände noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Näheres zu der Software ist nicht bekannt.

Es wurde daraufhin ein Bußgeld in Höhe von 14,5 Millionen Euro wegen des Verstoßes gegen Art. 25 Abs. 1 DSGVO sowie Art. 5 DSGVO zwischen Mai 2018 und März 2019 gegen die Deutsche Wohnen SE verhängt. Das seit über 20 Jahren existierende und längst börsennotierte Unternehmen machte im vergangenen Jahr rund 1,1 Milliarden Euro Umsatz und hat Eigentum an über 150.000 Wohnung in Berlin.

Angesichts des durch die DSGVO bei derartigen Verstößen vorgesehenen Bußgeldrahmens von bis zu 4 Prozent des weltweit erzielten Jahresumsatzes befindet sich diese Summe ohne Kenntnis der konkreten Daten grundsätzlich bei ca. einem Viertel des Möglichen. Zusätzlich wurden noch in 15 konkreten Einzelfällen weitere Bußgelder zwischen 6.000 und 17.000 Euro gegen das Unternehmen verhängt.

Das Unternehmen hat mittlerweile reagiert und eine Stellungnahme in dieser Angelegenheit veröffentlicht. Es wird gerichtlich gegen den Bescheid angehen.

Was bedeutet das Vorgehen konkret für andere Unternehmen?

Zunächst ergeben sich unmittelbar aus diesem Fall folgende Erkenntnisse und Lösungsansätze:

  1.  Die erste Erkenntnis lautet: Die DSGVO wirkt!
    Offenkundig ist, zumindest in Berlin, die Aufsichtsbehörde soweit, entsprechend des Bußgeldrahmens vergleichsweise hohe Bußgelder zu verhängen, die im europäischen „Wettbewerb“ mithalten können. Längst sind die jahrelangen Androhungen, es werden empfindliche „Strafen“ verhängt, mehr oder weniger wahr geworden. Ob und inwiefern sich die LfDI in Berlin bereits bei der Bemessung des Bußgeldes gegen die Deutsche Wohnen SE an dem jüngst von der DSK veröffentlichten Berechnungsmodell bedient hat, kann nur spekuliert werden, es erscheint jedoch nicht abwegig, da sich mit dieser Logik vergleichsweise hohe Geldbeträge ergeben.
  1. Ein zweiter interessanter Fakt bei dieser Maßnahme der Aufsichtsbehörde ist: Neben der Bedeutung der allgemeinen Vorgaben aus der DSGVO (Art. 5 DSGVO), zu denen auch die Rechtmäßigkeit der Datenverarbeitung wie auch unter anderem der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 2 lit. e DSGVO) zu zählen sind, wurde im vorliegenden Fall auch ein Verstoß gegen den „Privacy by Design“ – Grundsatz aus Art. 25 Abs. 1 DSGVO angenommen. Dabei haben viele Juristen vermutet, dass diese recht unbestimmte Vorschrift in der Praxis häufig ins Leere laufen würde. Denn danach soll der Verantwortliche „zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ treffen, „die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“ Allerdings lässt sich dieser Forderung häufig mit dem Argument entgegentreten, der Verantwortliche könne diese technisch-organisatorischen Maßnahmen nicht umsetzen, wenn er nicht Entwickler des Verarbeitungsprozesses sei oder dieses kaum möglich erscheine. Letzteres ist bei alter Software nicht unüblich. Häufig heißt es auch: So sei das System viele Jahre vor dem 25. Mai 2018 fertiggestellt worden und auf diese Vorgaben aus der DSGVO nicht ausgelegt.Derartige in der Praxis häufig gehörte Verteidigungsstrategien waren in dieser Sache anscheinend bislang ohne Erfolg. Ob und inwiefern es tatsächlich faktisch möglich war, ein älteres System derartig umzugestalten, ist nicht ersichtlich.
  1. Zudem zeigt die Meldung, von welch großer Bedeutung auch die Gestaltung von „Daten-Archivsystemen“ oder allgemein von Datenverarbeitungssystemen einnimmt. Es sind moderne Funktionen wie Löschroutinen und Rollenkonzepte gefordert, ganz zu schweigen von einer ohnehin vorzunehmenden Überprüfung der internen Prozesse, die auch die Rechtmäßigkeit der Datenverarbeitung bis hin zur ordnungsgemäßen Aufbewahrung und Vernichtung/Löschung vorsehen. Daraus lässt sich auch die Maßgabe ableiten, die Datensätze müssen jederzeit einer rechtlichen Prüfung und ggfs. der Korrektur/Löschung (auch wegen der Betroffenenrechte) unterzogen werden können. Bestehen derartige Funktionen aber gerade nicht, dürften das System und damit der gesamte Prozess wohl zukünftig naheliegenderweise für unzulässig erachtet werden mit der bekannten Konsequenz. Dieses gilt sowohl Archivsystemen als auch „Live-Systemen“.

Bereits in vorangegangenen Bußgeldbescheiden wurde die Notwendigkeit eines funktionierenden Löschkonzepts im Hinblick auf Kundendatenbanken und Systemen deutlich.

Allerdings sei an dieser Stelle zu erwähnen, dass offenbar Missverständnisse bzgl. des Begriffs „Archiv“ auftreten können. Hier sollte allgemein zwischen einem CRM bzw. „Bestandskunden“-System in Einsatz und einem „revisionssicheren Archiv“, welches den gesetzlichen Aufbewahrungspflichten und auch den Wirtschaftsprüfern genügen soll, unterschieden werden.

  1. Des Weiteren ist zu konstatieren, dass die Aufsichtsbehörde hier die geringe Mitwirkung der Adressatin offensichtlich negativ beurteilte und daher in die Höhe der Bemessung des Bußgeldes einfließen hat lassen. So hatte das Unternehmen rund 1,5 Jahre Zeit bekommen, die dringenden Empfehlungen halbwegs angemessen umzusetzen oder sich zumindest rechtliche Gründe für den vorliegenden Zustand zu überlegen.
  2. Auch führt uns der Fall vor Augen, warum Unternehmen eine angemessene Differenzierung und Überprüfung der einzelnen datenschutzrechtlich relevanten Prozesse vornehmen sollten. Die Berliner Aufsichtsbehörde erwähnte beispielsweise in der Pressemitteilung, dass in diesem beanstandeten „Daten-Archivsystem“ auch Gehaltsbescheinigungen und Selbstauskünfte der Mieter enthalten waren. Dabei handelt es sich um solch personenbezogene Dokumente und Informationen, die streng genommen nach der Entscheidung über die Vermietung vor dem Hintergrund der Datenschutzgrundsätze nach einem gewissen zeitlichen Ablauf zu löschen sind.
  3. Fast kaum noch zu erwähnen ist der weitere Umstand, dass Betroffenenanfragen seitens des Verantwortlichen als solche zu identifizieren und zu prüfen sowie innerhalb der zulässigen Frist aus der DSGVO umzusetzen sind. Vielfach führen mangelhaft umgesetzte Lösch- oder Auskunftsbegehren zur Beschwerde bei der Aufsichtsbehörde, die daraufhin tätig werden könnte und womöglich ein Unternehmen überprüft. Augenscheinlich führte auch in diesem Fall eine solche Beschwerde zur Überprüfung durch die Aufsichtsbehörde.

Fazit

Auch ohne den genauen Bußgeldbescheid zu kennen, sollten die daraus zu ziehenden Konsequenzen ernst genommen werden und interne Vorgänge wie auch Dateisysteme geprüft werden. Die Deutsche Wohnen SE hat angekündigt den Bußgeldbescheid gerichtlich überprüfen zu lassen. Es ist davon auszugehen, dass bis zu einem Richterspruch Jahre vergehen könnten. Gerichtsurteile im Datenschutzrecht, insbesondere im Hinblick auf die noch recht neuen Vorgaben aus Art. 25 DSGVO sind zu begrüßen, um weitere Rechtssicherheit zu erreichen.