14,5 Millionen Euro Strafe für Berliner Immobilienkonzern: Warum Sie Datenschutz ernster nehmen sollten

​Die oberste Datenschutzbeauftragte des Landes Berlins hat durchgegriffen: 14,5 Millionen Euro Strafe für den Immobilienkonzern Deutsche Wohnen. Das börsennotierte Unternehmen erreichte der Bescheid der Aufsichtsbehörde bereits am 05. November 2019. Grund für die Bußgeldhöhe soll eine rechtswidrige Archivierung von sensiblen Mieterdaten sein.

Die europäische Datenschutz-Grundverordnung (kurz DSGVO) ist seit dem 25. Mai 2018 – also seit knapp eineinhalb Jahren – auch in Deutschland anzuwenden. Es hat sich gezeigt, dass manche Anforderungen nicht ohne Weiteres pragmatisch und zugleich rechtssicher gelöst werden können. Obwohl die meisten der zuständigen Datenschutzaufsichtsbehörden eine Übergangsfrist zur Umsetzung der Regularien gewährten, sind viele Unternehmen noch weit entfernt von einem konformen Reifegrad. Zu erklären ist diese Tatsache wohl einerseits damit, dass die DSGVO-Regelungen zunächst sehr abstrakt wirken und andererseits häufig unqualifiziertes Personal – also ohne das notwendige Background-Wissen – als „Umsetzungs-Beauftragte” abgestellt oder kurzerhand sogar als Datenschutzbeauftragte/r ernannt wurden. 
 

Datenschutzbehörden machen ernst

Schon seit einiger Zeit nehmen die Aufseher der Bundesländer die eingegangenen Bürgerbeschwerden ernst und gehen diesen nach. Zwar – so die Meinung vieler – noch immer nicht mit einer spürbaren Außenwirkung, doch die „Schonfrist” scheint ganz klar vorbei zu sein. Bis Mai 2019 wurden in 81 Fällen ein Bußgeld durch die Datenschutzbeauftragten der Länder verhängt. Spitzenreiter bis dato: Baden-Württemberg mit einer 80.000 Euro-Strafe, weil Gesundheitsdaten im Internet landeten. Im September 2019 wurden dann bereits 195.000 Euro für ein Berliner Lieferdienstunternehmen fällig, da Auskunfts-, Lösch- und Widerspruchsrechte von Kunden missachtet wurden.

Deutsche Wohnen wird mit bisher höchstem Bussgeld wegen Datenschutzvergehen belegt

Die Deutsche Wohnen soll nach Ermittlungen der Berliner Aufsichtsbehörde Daten von ihren (ehemaligen) Mietern gespeichert haben, ohne dass die verpflichtende Möglichkeit bestand, die einst rechtmäßig erhobenen, aber nicht mehr benötigten Daten zu einem späteren Zeitpunkt wieder zu löschen. Die rechtswidrige Archivierung durch das Unternehmen umfasst dabei wohl auch Bonitäts-Nachweise, Schufa-Auskünfte und Arbeitsverträge. Berlins Datenschutzbeauftragte Maja Smoltczyk spricht im Interview mit dem Tagesspiegel davon, dass

„Die Deutsche Wohnen wolle bei der Speicherung der Mieter-Daten auf Nummer sicher gehen, sie wollte gesetzliche Vorgaben entsprechen – Wohnungsunternehmen haben bestimmte Vorhaltepflichten. Diese Vorhaltepflichten gelten aber nicht für die beanstandeten Kategorien von personenbezogenen Daten; hier existieren je nach Kategorie unterschiedliche Löschfristen.” 

Demnach hat die Deutsche Wohnen die Archivstruktur bewusst angelegt und die betroffenen Daten über einen langen Zeitraum unzulässig verarbeitet. Eine Weiterreichung an Dritte erfolgte wohl nicht.

Es wird also ernst: auch für Vermieter gilt es, Datenschutzvorgaben nun kurzfristig zwingend umzusetzen

Die relevanten Inhalte der DSGVO lauten unter anderem:

• Erlaubnistatbestände bzw. Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten: 
  Gemäß Art. 6 DSGVO ist eine Verarbeitung nur rechtmäßig, wenn die Verarbeitung z.B. auf Grundlage einer Einwilligung für einen oder mehrere Zwecke erfolgte (Art. 6 Abs. 1 a DSGVO), die Verarbeitung zur Erfüllung eines Vertrages erforderlich ist (Art. 6 Abs. 1 b DSGVO) oder z.B. die Wahrung der berechtigen Interessen des Verantwortlichen (Vermieters) überwiegt, sofern nicht die Interessen oder Grundrechte der betroffenen Personen (Mieter) überwiegen […] (Art. 6 Abs. 1 f DSGVO).
• Recht auf Löschung:
  Art. 17 DSGVO beschreibt unter anderem, dass personenbezogene Daten zu löschen sind, sofern sie für die Zwecke, für die sie rechtmäßig erhoben wurden, nicht mehr notwendig sind (Art. 17 Abs. 1 a DSGVO). Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen (= Löschkonzept, Erwägungsgrund 39 DSGVO). 
• Grundsatz der Datenminimierung:
  Die zwei vorgenannten Vorschriften beruhen auf dem Grundsatz der Datenminimierung, wonach personenbezogene Daten sparsam, unter Berücksichtigung der technischen Standards und der technisch organisatorischen Maßnahmen (Art. 32 DSGVO) erhoben werden müssen. Grundsätzlich dürfen personenbezogene Daten nur verarbeitet werden, wenn sie für den Zweck der Verarbeitung angemessen sowie erheblich und relevant sind.

Rechtsunsicherheit im Umgang mit den Löschfristen kann dann entstehen, wenn weitere gesetzliche Vorgaben – wie z.B. die Abgabenordnung, das HGB oder branchenspezifische Bestimmungen – mit denen der DSGVO in Konflikt stehen. In diesem Fall müssen Einzelfallprüfungen vorgenommen werden. In jedem Fall aber müssen Vermieter(Gesellschaften) dafür sorgen, dass die Datenschutzvorschriften eingehalten werden. Sonst drohen empfindliche Strafen!

Sollten Sie bei der Planung, der Umsetzung oder der Auditierung Ihres Datenschutzmanagements fachliche und juristische Begleitung oder Beratung benötigen, bietet Rödl & Partner aufgrund der interdisziplinären Aufstellung aller Kompetenzen einen „Kümmerer” an Ihrer Seite.