Kontakt

Datenfriedhof und fehlendes Löschkonzept: Bußgeld in Millionenhöhe gegen Deutsche Wohnen SE

Am 30.10.2019 hat die Berliner Datenschutzbeauftrage für Datenschutz und Informationsfreiheit (LfDI) einen Bußgeldbescheid wegen eines Verstoßes gegen die Datenschutz-Grundverordnung in Höhe von EUR 14,5 Mio. gegen die Deutsche Wohnen SE (Deutsche Wohnen) erlassen. Damit wurde nun auch in Deutschland erstmals ein Bußgeld in Millionenhöhe wegen eines Datenschutzverstoßes verhängt.

Hintergrund sind die unzulässige Verarbeitung von Mieterdaten und ein fehlendes Löschkonzept. Unternehmen sollten ihre Datenbestände daher gründlich überprüfen und ggf. ein Löschkonzept für personenbezogene Daten entwickeln.

1.Fehlendes Löschkonzept als Datenschutzverstoß

Dem Bußgeldbescheid gingen Vor-Ort-Prüfungen im Juni 2017 und im März 2019 voraus. Dabei fand die LfDI einige Datensätze auf, deren Speicherung entweder von vornherein unzulässig war oder die nicht mehr benötigt wurden und daher gelöscht werden mussten. Teilweise wurden Informationen über Wohnungsinteressenten, deren Bewerbung bereits Jahre zurücklag, und Mieter, deren Mietvertrag längst beendet war, weiter vorgehalten. Hierunter waren auch sensible Informationen zu den persönlichen und finanziellen Verhältnissen der Mieter wie insbesondere Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Obwohl die LfDI die Deutsche Wohnen bereits nach der ersten Vor-Ort-Prüfung im Juni 2017 aufforderte, den Datenbestandes zu bereinigen, wurden bei einer weiteren Kontrolle erneut ähnliche Missstände bei der Datenhaltung festgestellt. Die LfDI sieht hierin einen Verstoß gegen die Grundsätze der Datensparsamkeit und der Pflicht zum Datenschutz durch Technikgestaltung und erließ den Bußgeldbescheid gegen die Deutsche Wohnen.

Zwar wurde das Bußgeld gegen ein Unternehmen der Immobilienwirtschaft verhängt. Gleichwohl finden sich auch in anderen Unternehmen häufig „Datenfriedhöfe“ mit personenbezogenen Daten, die nicht oder nicht mehr gespeichert werden dürfen. Die Pflichten zur Speicherbegrenzung und zur datenschutzfreundlichen Technikgestaltung gelten jedoch auch für andere Branchen in gleichem Maße. Unternehmen sollten den Fall daher zum Anlass nehmen, ihren Datenbestand gründlich zu überprüfen, ob:

  • Eine Rechtsgrundlage für die Speicherung der in den einzelnen Datensätzen enthaltenen personenbezogenen besteht (z.B. weil diese für die Durchführung eines Vertrages benötigt werden) und
  • Die Daten weiterhin für die Zwecke, für die Sie erhoben wurden, benötigt werden oder diese aufgrund gesetzlicher (insbesondere handels- und steuerrechtlicher) Pflichten aufbewahrt werden müssen.

Sollten Sie eine der beiden Fragen für einzelne Datensätze mit Nein beantworten, müssen dies betreffenden Datensätze gelöscht werden. Sofern ein solches nicht schon vorhanden ist, sollte außerdem ein Löschkonzept erstellt werden, aus dem hervorgeht, wie lange die einzelnen Datensätze aufbewahrt werden und wann diese gelöscht bzw. vernichtet werden.

2. Bußgeldrahmen

Datenschutzverstöße können mit Bußgeldern in Höhe von bis zu EUR 20 Mio. oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden. Mit dem Bescheid vom 30.10.2019 verhängte die LfDI mit EUR 14,5 Mio. europaweit das bislang zweithöchste Bußgeld wegen DSGVO-Verstößen. Der Berechnung des Bußgeldes liegt das von den deutschen Datenschutzbehörden Mitte Oktober veröffentlichte Konzept zur Zumessung von Geldbußen (Bußgeldmodell) zugrunde.

Bis zur Veröffentlichung des Bußgeldmodells war unklar, nach welchen Grundsätzen die Höhe eines Bußgeldes festgelegt wird. Das Bußgeldmodell sieht hierfür nunmehr folgende Schritte vor:

  • Das Unternehmen, wird einer festgelegten Unternehmenskategorie zugeordnet. Die Zuordnung richtet sich nach dem weltweit erzielten Vorjahresumsatz des Unternehmens.
  • Für die einzelnen Unternehmenskategorien haben die Datenschutzbehörden Tagessätze zwischen EUR 972 für Kleinstunternehmen und EUR 1,25 Mio für Großunternehmen mit einem Jahresumsatz von EUR 450 Mio. festgelegt. Für Unternehmen mit einem mit einem höheren Jahresumsatz wird zur Ermittlung des Tagessatzes der Jahresumsatz durch 360 geteilt.
  • Je nach Schwere des Verstoßes wird der Tagessatz mit einem Faktor zwischen 1 und 12 multipliziert. Für besonders schwere Verstöße kann ein auch ein höherer Faktor angesetzt werden.
  • In einem letzten Schritt wird der ermittelte Betrag anhand aller für und gegen das Unternehmen sprechenden Umständen angepasst und das Bußgeld festgelegt.

Zweifelsohne schafft das Bußgeldmodell Transparenz bei der Berechnung der Höhe eines zu verhängenden Bußgelds. Allerdings zeigt das Bußgeldmodell, dass Unternehmen künftig auch in Deutschland mit empfindlichen Bußgeldern für Datenschutzverstöße rechnen müssen.

Die Deutsche Wohnen hat in einer Pressemitteilung bereits angekündigt, gegen den Bußgeldbescheid vorgehen und gerichtlich überprüfen lassen zu wollen. Es bleibt daher abzuwarten, ob das Bußgeldmodell dieser Feuerprobe standhält.

Genauso schwer wie das Bußgeld selbst wiegen jedoch häufig die drohenden Imageschäden, wenn Informationen über eine Datenschutzverstöße an die Öffentlichkeit gelangen. Unternehmen sollten daher den Schutz personenbezogener Daten auch unabhängig von einem möglichen Bußgeldrisiko ernst nehmen und prüfen, ob Handlungsbedarf im Bereich des Datenschutzes besteht.

Bei Fragen stehen wir Ihnen jederzeit gerne zur Verfügung.

ZL Aktuell

Datenfriedhof und fehlendes Löschkonzept: Bußgeld in Millionenhöhe gegen Deutsche Wohnen SE

Am 30.10.2019 hat die Berliner Datenschutzbeauftrage für Datenschutz und Informationsfreiheit (LfDI) einen Bußgeldbescheid wegen eines Verstoßes gegen die Datenschutz-Grundverordnung in Höhe von EUR 14,5 Mio. gegen die Deutsche Wohnen SE (Deutsche Wohnen) erlassen. Damit wurde nun auch in Deutschland erstmals ein Bußgeld in Millionenhöhe wegen eines Datenschutzverstoßes verhängt.

Hintergrund sind die unzulässige Verarbeitung von Mieterdaten und ein fehlendes Löschkonzept. Unternehmen sollten ihre Datenbestände daher gründlich überprüfen und ggf. ein Löschkonzept für personenbezogene Daten entwickeln.

1.Fehlendes Löschkonzept als Datenschutzverstoß

Dem Bußgeldbescheid gingen Vor-Ort-Prüfungen im Juni 2017 und im März 2019 voraus. Dabei fand die LfDI einige Datensätze auf, deren Speicherung entweder von vornherein unzulässig war oder die nicht mehr benötigt wurden und daher gelöscht werden mussten. Teilweise wurden Informationen über Wohnungsinteressenten, deren Bewerbung bereits Jahre zurücklag, und Mieter, deren Mietvertrag längst beendet war, weiter vorgehalten. Hierunter waren auch sensible Informationen zu den persönlichen und finanziellen Verhältnissen der Mieter wie insbesondere Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Obwohl die LfDI die Deutsche Wohnen bereits nach der ersten Vor-Ort-Prüfung im Juni 2017 aufforderte, den Datenbestandes zu bereinigen, wurden bei einer weiteren Kontrolle erneut ähnliche Missstände bei der Datenhaltung festgestellt. Die LfDI sieht hierin einen Verstoß gegen die Grundsätze der Datensparsamkeit und der Pflicht zum Datenschutz durch Technikgestaltung und erließ den Bußgeldbescheid gegen die Deutsche Wohnen.

Zwar wurde das Bußgeld gegen ein Unternehmen der Immobilienwirtschaft verhängt. Gleichwohl finden sich auch in anderen Unternehmen häufig „Datenfriedhöfe“ mit personenbezogenen Daten, die nicht oder nicht mehr gespeichert werden dürfen. Die Pflichten zur Speicherbegrenzung und zur datenschutzfreundlichen Technikgestaltung gelten jedoch auch für andere Branchen in gleichem Maße. Unternehmen sollten den Fall daher zum Anlass nehmen, ihren Datenbestand gründlich zu überprüfen, ob:

  • Eine Rechtsgrundlage für die Speicherung der in den einzelnen Datensätzen enthaltenen personenbezogenen besteht (z.B. weil diese für die Durchführung eines Vertrages benötigt werden) und
  • Die Daten weiterhin für die Zwecke, für die Sie erhoben wurden, benötigt werden oder diese aufgrund gesetzlicher (insbesondere handels- und steuerrechtlicher) Pflichten aufbewahrt werden müssen.

Sollten Sie eine der beiden Fragen für einzelne Datensätze mit Nein beantworten, müssen dies betreffenden Datensätze gelöscht werden. Sofern ein solches nicht schon vorhanden ist, sollte außerdem ein Löschkonzept erstellt werden, aus dem hervorgeht, wie lange die einzelnen Datensätze aufbewahrt werden und wann diese gelöscht bzw. vernichtet werden.

2. Bußgeldrahmen

Datenschutzverstöße können mit Bußgeldern in Höhe von bis zu EUR 20 Mio. oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden. Mit dem Bescheid vom 30.10.2019 verhängte die LfDI mit EUR 14,5 Mio. europaweit das bislang zweithöchste Bußgeld wegen DSGVO-Verstößen. Der Berechnung des Bußgeldes liegt das von den deutschen Datenschutzbehörden Mitte Oktober veröffentlichte Konzept zur Zumessung von Geldbußen (Bußgeldmodell) zugrunde.

Bis zur Veröffentlichung des Bußgeldmodells war unklar, nach welchen Grundsätzen die Höhe eines Bußgeldes festgelegt wird. Das Bußgeldmodell sieht hierfür nunmehr folgende Schritte vor:

  • Das Unternehmen, wird einer festgelegten Unternehmenskategorie zugeordnet. Die Zuordnung richtet sich nach dem weltweit erzielten Vorjahresumsatz des Unternehmens.
  • Für die einzelnen Unternehmenskategorien haben die Datenschutzbehörden Tagessätze zwischen EUR 972 für Kleinstunternehmen und EUR 1,25 Mio für Großunternehmen mit einem Jahresumsatz von EUR 450 Mio. festgelegt. Für Unternehmen mit einem mit einem höheren Jahresumsatz wird zur Ermittlung des Tagessatzes der Jahresumsatz durch 360 geteilt.
  • Je nach Schwere des Verstoßes wird der Tagessatz mit einem Faktor zwischen 1 und 12 multipliziert. Für besonders schwere Verstöße kann ein auch ein höherer Faktor angesetzt werden.
  • In einem letzten Schritt wird der ermittelte Betrag anhand aller für und gegen das Unternehmen sprechenden Umständen angepasst und das Bußgeld festgelegt.

Zweifelsohne schafft das Bußgeldmodell Transparenz bei der Berechnung der Höhe eines zu verhängenden Bußgelds. Allerdings zeigt das Bußgeldmodell, dass Unternehmen künftig auch in Deutschland mit empfindlichen Bußgeldern für Datenschutzverstöße rechnen müssen.

Die Deutsche Wohnen hat in einer Pressemitteilung bereits angekündigt, gegen den Bußgeldbescheid vorgehen und gerichtlich überprüfen lassen zu wollen. Es bleibt daher abzuwarten, ob das Bußgeldmodell dieser Feuerprobe standhält.

Genauso schwer wie das Bußgeld selbst wiegen jedoch häufig die drohenden Imageschäden, wenn Informationen über eine Datenschutzverstöße an die Öffentlichkeit gelangen. Unternehmen sollten daher den Schutz personenbezogener Daten auch unabhängig von einem möglichen Bußgeldrisiko ernst nehmen und prüfen, ob Handlungsbedarf im Bereich des Datenschutzes besteht.

Bei Fragen stehen wir Ihnen jederzeit gerne zur Verfügung.