Datenschutzverstoß: Rekord-Bußgeld gegen Immobiliengesellschaft

Etwa 14,5 Millionen Euro beträgt das Bußgeld, dass die Beauftragte für Datenschutz und Informationsfreiheit in Berlin wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) am 30.10. gegen die Deutsche Wohnen SE verhängt hat.

Die enorme Höhe des Bußgelds wird zum einen mit Ausmaß und Dauer der Verletzung des Datenschutzes begründet: Bereits bei einer Prüfung im Sommer 2017 war festgestellt worden, dass im Archivsystem des Unternehmens personenbezogene Daten von Mietern über den zulässigen Zeitraum hinaus gespeichert werden. Diese “Datenfriedhöfe” waren offenbar auch bei einer weiteren Prüfung im Frühjahr 2019 noch vorhanden.

Abgesehen davon hebt die Behörde ausdrücklich hervor, die DSGVO verpflichte die Aufsichtsbehörde dazu, Bußgelder in jedem Einzelfall so zu bemessen, dass sie nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sind. Anknüpfungspunkt für die Bemessung von Geldbußen ist daher u.a. der weltweit erzielte Vorjahresumsatz des betroffenen Unternehmens. Bei der Deutsche Wohnen SE belaufe sich dieser für das Jahr 2018 auf mehr als eine Milliarde Euro. Der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den festgestellten Datenschutzverstoß habe daher sogar bei ca. 28 Millionen Euro gelegen. Die Kriterien, nach denen die Datenschutz-Aufsichtsbehörden ihre Bußgelder bemessen, lassen sich aus dem neuen Bußgeld-Konzept der DSK ablesen.

Der Bußgeldbescheid ist bisher nicht rechtskräftig. Deutsche Wohnen SE kann dagegen noch Rechtsmittel einlegen. Weiter Einzelheiten zum Fall können in der Pressemitteilung der Berliner Datenschutzbeauftragten nachgelesen werden.

Auch dieser Fall zeigt erneut, dass die Datenschutz-Aufsichtsbehörden großen Wert auf die Einhaltung des Grundsatzes der Speicherbegrenzung, Art. 5 Abs. 1 lit.e) DSGVO, legen. Personenbezogene Daten dürfen demnach nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Jedem Unternehmen ist deshalb anzuraten, interne Regeln für die Dauer der Speicherung personenbezogener Daten (sog. Löschkonzept) festzulegen und nicht mehr benötigte Daten zu löschen. Sollten Sie hierbei Beratung oder Hilfestellung benötigen, sprechen Sie uns gern an

Weitere Beiträge

Kommentar verfassen