Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

Heuking Kühn Lüer Wojtek

Update Datenschutz
IP, Media & Technology

Nr. 68 | 12.11.2019


Millionenbußgeld für Wohnungsgesellschaft
Der Fall Deutsche Wohnen
Dr. Thomas Jansen, Dr. Philip Kempermann, LL.M. und Britta Hinzpeter, LL.M.


Kürzlich wurde bekannt, dass die Berliner Beauftragte für Datenschutz und Informationsfreiheit am 30. Oktober 2019 ein Bußgeld in Höhe von rund EUR 14,5 Mio. wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) gegen die Immobiliengesellschaft Deutsche Wohnen SE erlassen hat. Dieses Bußgeld übertrifft den bisherigen deutschen Höchstwert von rund EUR 200.000 an Delivery Hero Germany bei weitem und gehört zu den höchsten bisher in Europa wegen Datenschutzverstößen verhängten Bußgeldern. Das Bußgeld zeigt außerdem, dass die Datenschutzbeauftragten der Länder mittlerweile auch von den hohen Bußgeldmöglichkeiten der DSGVO Gebrauch machen.

Hintergrund

Bereits im Juni 2017 sei von der Berliner Datenschutzbeauftragten festgestellt worden, dass das Unternehmen personenbezogene Daten von Mietern in einem Archivsystem gespeichert habe, bei dem nicht mehr erforderliche Daten nicht gelöscht werden konnten. Trotz Aufforderung habe sich an dem Zustand bis zu einer Untersuchung vor Ort im März 2019 kaum etwas geändert. Laut Art. 5 DSGVO dürfen Unternehmen personenbezogene Daten nur so lange speichern und verarbeiten, wie sie für den Zweck, für den sie erhoben wurden, erforderlich sind. Zudem müssen Unternehmen, die personenbezogene Daten verarbeiten, laut Art. 25 DSGVO durch Technikgestaltung und datenschutzfreundliche Voreinstellungen dafür sorgen, dass Datenschutzgrundsätze wirksam umgesetzt werden. Dies war und ist bei den Systemen der Deutsche Wohnen SE nicht gewährleistet.

Bußgeld hätte noch höher ausfallen können

Die Aufsichtsbehörde hat dem Bußgeld offenbar das vor kurzem veröffentlichte neue Modell der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern (DSK) zur Berechnung zu Grunde gelegt (Informationen zur neuen Berechnungsmethode für Bußgelder können Sie unserem Newsletter Update Datenschutz Nr. 67 entnehmen). Danach hätte das Bußgeld sogar noch deutlich höher ausfallen können. Bei der Deutschen Wohnen handelt es sich um ein Unternehmen, das im Jahr 2018 über EUR 1 Mrd. Umsatz (genau: EUR 1.438.000,00) erzielt hat. Die von der Behörde angewandte obere Grenze des Bußgeldes lag bei rund EUR 28 Millionen. Offenbar hat die Behörde die 2 %-Umsatz-Grenze für Verstöße gegen Art. 25 DSGVO und nicht die 4 %-Umsatz-Grenze für Verstöße gegen Art. 5 DSGVO angewandt. (Theoretisch wäre ein Bußgeld von bis zu EUR 40 Mio. möglich gewesen.) Für die konkrete Bemessung des Bußgeldes zog die Behörde aber, wie gesetzlich vorgesehen, alle be- und entlastenden Aspekte heran. Belastend wirkte sich hierbei aus, dass die Deutsche Wohnen SE die Archivstruktur bewusst angelegt hat und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hat. Auch die Tatsache, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, wirkte sich bußgeldmildernd aus. Zusätzlich zu dem Bußgeld in Höhe von EUR 14,5 Mio. muss die Deutsche Wohnen in 15 Einzelfällen Bußgelder in Höhe mehrerer Tausend Euro zahlen.    

Die Deutsche Wohnen SE hat angekündigt, Einspruch gegen den Bescheid einzulegen.

Fazit und Handlungsempfehlung

Die befürchteten Millionenbußgelder sind nun auch in Deutschland angekommen. Nach der Verhängung des Rekordbußgeldes gegen die Deutsche Wohnen SE drängt sich die Frage auf, ob noch weitere Unternehmen in ähnlicher Weise von den Datenschutzbehörden ins Visier genommen werden. Dies steht zu befürchten, da laut der Berliner Aufsichtsbehörde „Datenfriedhöfe“, wie sie bei der Deutsche Wohnen SE vorgefunden wurden, in der Praxis häufig anzutreffen sind.

Die Entscheidung der Berliner Datenschutzbeauftragten zeigt auch, dass es nicht erst zu Datenpannen oder Datenmissbrauch kommen muss, um ein Millionenbußgeld zu verhängen. Unternehmen sollten das Bußgeldverfahren gegen die Deutsche Wohnen SE zum Anlass nehmen, den eigenen Umgang mit Daten erneut zu hinterfragen und zu überprüfen. Hierbei ist es nicht ausreichend, nur einen Prozess zu implementieren, der die Löschung von nicht mehr erforderlichen Daten vorsieht, sondern die Löschung muss auch tatsächlich durchgeführt werden. Probleme bereitet hier die Tatsache, dass es für manche Daten gesetzliche Aufbewahrungspflichten gibt und Daten, die derartigen gesetzlichen Aufbewahrungspflichten unterliegen, nicht gelöscht werden dürfen. Solche Vorschriften ergeben sich zum Beispiel aus dem Handelsgesetzbuch und der Abgabenordnung. Die Implementierung eines datenschutzkonformen Systems erfordert daher einen nicht unerheblichen finanziellen, technischen und rechtlichen Aufwand. Es ist jedoch die einzige Möglichkeit, um das erhebliche Bußgeldrisiko zu minimieren.

Autoren


Dr. Thomas Jansen ist Rechtsanwalt bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.



Dr. Philip Kempermann, LL.M., ist Rechtsanwalt bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.



Britta Hinzpeter, LL.M., ist Rechtsanwältin bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.

Kontakt
T +49 211 600 55-168
F +49 211 600 55-160
E datenschutz@heuking.de

Besuchen Sie auch unsere Themenseite zum Datenschutzrecht:
Microsite Datenschutz
Task-Force-Datenschutz
Heuking Kühn Lüer Wojtek
Dr. Christian Appelbaum
Heuking Kühn Lüer Wojtek
Dr. Ubbo Aßmus
Heuking Kühn Lüer Wojtek
Dr. Felix Drefs
Heuking Kühn Lüer Wojtek
Alexa Finke, LL.M.
Heuking Kühn Lüer Wojtek
Regina Glaser, LL.M.
Heuking Kühn Lüer Wojtek
Torsten Groß, LL.M.
Heuking Kühn Lüer Wojtek
Maike Katharina Hinz
Heuking Kühn Lüer Wojtek
Britta Hinzpeter, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Thomas Jansen
Heuking Kühn Lüer Wojtek
Dr. Philip Kempermann, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Lutz Martin Keppeler
Heuking Kühn Lüer Wojtek
Dr. Markus Klinger
Heuking Kühn Lüer Wojtek
Michael Kuska, LL.M., LL.M.
Heuking Kühn Lüer Wojtek
Astrid Luedtke
Heuking Kühn Lüer Wojtek
Marcel Maybaum
Heuking Kühn Lüer Wojtek
Antje Münch, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Søren Pietzcker, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Wolfgang G. Renner, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Dirk Stolz
Heuking Kühn Lüer Wojtek
Dr. Frederik Wiemer
Heuking Kühn Lüer Wojtek
Dr. Florian Winzer
Heuking Kühn Lüer Wojtek
Dr. Hans Markus Wulf







Ich möchte den Newsletter
> abbestellen

> bestellen









Heuking Kühn Lüer Wojtek
© 2019 Heuking Kühn Lüer Wojtek

PartGmbB von Rechtsanwälten und Steuerberatern*
Georg-Glock-Str. 4, 40474 Düsseldorf

* Datenschutzinformationen / Registerangaben / Liste der Partner: www.heuking.de

Informationen darüber, wie Heuking Kühn Lüer Wojtek mit Ihren personenbezogenen Daten umgeht,
zu welchen Zwecken Ihre Daten verarbeitet werden, die Rechtsgrundlagen der Verarbeitung und
welche Rechte Sie haben, können Sie unter www.heuking.de nachlesen.

datenschutz@heuking.de