Rekord-Bußgeld für Datenschutzverstöße

Erstmals wurde in Deutschland ein Bußgeld in Millionenhöhe auf Basis der 2018 in Kraft getretenen DSGVO verhängt - von der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI). Die BlnBDI ist die oberste Landesbehörde für Datenschutz im Bundesland Berlin. An ihrer Spitze steht seit Januar 2016 die Juristin Maja Smoltczyk.

Das betroffene Unternehmen »Deutsche Wohnen SE« ist börsennotiert und gehört zu den größten Immobilienunternehmen in Deutschland. Allein in Berlin verfügt die SE über einen Bestand von mehr als 100.000 Wohnungen. Laut ihrem Geschäftsbericht hat die SE in 2018 einen Jahresumsatz von über einer Milliarde Euro erzielt.

Geldbuße für »Datenfriedhof«

Wie die Berliner Datenschutzbehörde mitteilt, waren dem Bußgeld zwei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 vorausgegangen.

Dabei hat die Aufsichtsbehörde festgestellt, dass das Unternehmen

• für das Speichern personenbezogener Daten ihrer Mieterinnen und Mietern ein Archivsystem verwendete,das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu löschen. Die personenbezogene Daten der Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist.
• in den begutachteten Einzelfällen konnten teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten.
• es handelte sich um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, z. B. Gehaltsbescheinigungen,Selbstauskunftsformulare, Auszüge aus Arbeits-und Ausbildungsverträgen, Steuer-, Sozial-und Krankenversicherungsdaten sowie Kontoauszüge.

Empfehlungen nach knapp 2 Jahren nicht erfüllt

Nachdem die BlnBDI dem Unternehmen im ersten Prüftermin im Juni 2017 dringend empfohlen hatte, das Archivsystem umzustellen und um nicht mehr gebrauchte Daten zu bereinigen, war dies nach ihrer Pressemitteilung auch im März 2019 noch nicht geschehen, mehr als neun Monate nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO).

Das Verhängen eines Bußgeldes wegen Verstoßes gegen Art. 25 Abs. 1 DSGVO und Art. 5 DSGVO für den Zeitraum zwischen Mai 2018 und März 2019 sei daher zwingend gewesen. Wie die BlnBDI mitteilt, hätte das Bußgeld nach der DSGVO gemessen am Jahresumsatz der SE bis zu 28 Millionen Euro betragen können.  

 Der Bußgeldbescheid ist bislang noch nicht rechtskräftig. Das Unternehmen hat bereits angekündigt, den Bescheid gerichtlich prüfen lassen.

Quelle:

Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Pressemitteilung vom 5.11.2019.

Hinweis für Betriebsräte

Bußgelder gegen Unternehmen sind auch bei fehlerhaftem Umgang mit den personenbezogenen Daten von Beschäftigten, ehemaligen Beschäftigten und Stellenbewerbern möglich. Betriebliche Datenschutzbeauftragte und Betriebsräte sollten hier wachsam sein.

Unsere Lesetipps:

• Überwachung: »Der Datenschatten der Arbeitnehmer« von Jochen Brandt in »Computer und Arbeit« 9/2019, S. 24.
• Erste Bußgelder nach der DSGVO: »Ein Gespür für den Datenschutz« - Interview mit Sebastian Wurzberger in »Computer und Arbeit« 2/2019, S. 36.

© bund-verlag.de (ck)