P r e s s e m i t t e i l u n g vom 5. Novem­ber 2019

Am 30.Oktober 2019 hat die Ber­li­ner Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit gegen die Deut­sche Woh­nen SEei­nen Buß­geld­be­scheid in Höhe von rund 14,5 Mil­lio­nen Euro wegen Ver­stö­ßen gegen die Daten­schutz-Grund­ver­ord­nung (DS-GVO) erlas­sen.

Bei Vor-Ort-Prü­fun­gen im Juni 2017 und im März 2019 hat die Auf­sichts­be­hör­de fest­ge­stellt, dass das Unter­neh­men für die Spei­che­rung per­so­nen­be­zo­ge­ner Daten von Mie­te­rin­nen und Mie­tern ein Archiv­sy­stem ver­wen­de­te, das kei­ne Mög­lich­keit vor­sah, nicht mehr erfor­der­li­che Daten zu ent­fer­nen. Per­so­nen­be­zo­ge­ne Daten von Mie­te­rin­nen und Mie­tern wur­den gespei­chert, ohne zu über­prü­fen, ob eine Spei­che­rung zuläs­sig oder über­haupt erfor­der­lich ist. In begut­ach­te­ten Ein­zel­fäl­len konn­ten daher teil­wei­se Jah­re alte pri­va­te Anga­ben betrof­fe­ner Mie­te­rin­nen und Mie­ter ein­ge­se­hen wer­den, ohne dass die­se noch dem Zweck ihrer ursprüng­li­chen Erhe­bung dien­ten. Es han­del­te sich dabei um Daten zu den per­sön­li­chen und finan­zi­el­len Ver­hält­nis­sen der Mie­te­rin­nen und Mie­ter, wie z. B. Gehalts­be­schei­ni­gun­gen, Selbst­aus­kunfts­for­mu­la­re, Aus­zü­ge aus Arbeits- und Aus­bil­dungs­ver­trä­gen, Steuer‑, Sozi­al- und Kran­ken­ver­si­che­rungs­da­ten sowie Kon­to­aus­zü­ge.

Nach­dem die Ber­li­ner Daten­schutz­be­auf­trag­te im ersten Prüf­ter­min 2017 die drin­gen­de Emp­feh­lung aus­ge­spro­chen hat­te, das Archiv­sy­stem umzu­stel­len, konn­te das Unter­neh­men auch im März 2019, mehr als ein­ein­halb Jah­re nach dem ersten Prüf­ter­min und neun Mona­te nach Anwen­dungs­be­ginn der Daten­schutz-Grund­ver­ord­nung weder eine Berei­ni­gung ihres Daten­be­stan­des noch recht­li­che Grün­de für die fort­dau­ern­de Spei­che­rung vor­wei­sen. Zwar hat­te das Unter­neh­men Vor­be­rei­tun­gen zur Besei­ti­gung der auf­ge­fun­de­nen Miss­stän­de getrof­fen. Die­se Maß­nah­men hat­ten jedoch nicht zur Her­stel­lung eines recht­mä­ßi­gen Zustands bei der Spei­che­rung per­so­nen­be­zo­ge­ner Daten geführt. Die Ver­hän­gung eines Buß­gel­des wegen eines Ver­sto­ßes gegen Arti­kel 25 Abs. 1 DS-GVO sowie Arti­kel 5 DS-GVO für den Zeit­raum zwi­schen Mai 2018 und März 2019 war daher zwin­gend.

Die Daten­schutz-Grund­ver­ord­nung ver­pflich­tet die Auf­sichts­be­hör­den sicher­zu­stel­len, dass Buß­gel­der in jedem Ein­zel­fall nicht nur wirk­sam und ver­hält­nis­mä­ßig, son­dern auch abschreckend sind. Anknüp­fungs­punkt für die Bemes­sung von Geld­bu­ßen ist daher u. a. der welt­weit erziel­te Vor­jah­res­um­satz betrof­fe­ner Unter­neh­men. Auf­grund des im Geschäfts­be­richt der Deut­sche Woh­nen SE für 2018 aus­ge­wie­se­nen Jah­res­um­sat­zes von über einer Mil­li­ar­de Euro lag der gesetz­lich vor­ge­ge­be­ne Rah­men zur Buß­geld­be­mes­sung für den fest­ge­stell­ten Daten­schutz­ver­stoß bei ca. 28 Mil­lio­nen Euro.

Für die kon­kre­te Bestim­mung der Buß­geld­hö­he hat die Ber­li­ner Daten­schutz­be­auf­trag­te unter Berück­sich­ti­gung aller be- und ent­la­sten­den Aspek­te die gesetz­li­chen Kri­te­ri­en her­an­ge­zo­gen. Bela­stend wirk­te sich hier­bei vor allem aus, dass die Deut­sche Woh­nen SE die bean­stan­de­te Archiv­struk­tur bewusst ange­legt hat­te und die betrof­fe­nen Daten über einen lan­gen Zeit­raum in unzu­läs­si­ger Wei­se ver­ar­bei­tet wur­den. Buß­geld­mil­dernd wur­de hin­ge­gen berück­sich­tigt, dass das Unter­neh­men durch­aus erste Maß­nah­men mit dem Ziel der Berei­ni­gung des rechts­wid­ri­gen Zustan­des ergrif­fen und for­mal gut mit der Auf­sichts­be­hör­de zusam­men­ge­ar­bei­tet hat. Auch mit Blick dar­auf, dass dem Unter­neh­men kei­ne miss­bräuch­li­chen Zugrif­fe auf die unzu­läs­sig gespei­cher­ten Daten nach­ge­wie­sen wer­den konn­ten, war im Ergeb­nis ein Buß­geld im mitt­le­ren Bereich des vor­ge­ge­be­nen Buß­geld­rah­mens ange­mes­sen.

https://​www​.daten​schutz​-ber​lin​.de/​f​i​l​e​a​d​m​i​n​/​u​s​e​r​_​u​p​l​o​a​d​/​p​d​f​/​p​r​e​s​s​e​m​i​t​t​e​i​l​u​n​g​e​n​/​2​0​1​9​/​2​0​1​9​1​1​0​5​-​P​M​-​B​u​s​s​g​e​l​d​_​D​W​.​pdf