Zweistelliges Millionenbußgeld unter der DS-GVO in Deutschland gegen Immobilienunternehmen verhängt

Laut einer Pressemitteilung vom 05. November hat die Berliner Datenschutzbeauftragte gegen eines der führenden Immobilienunternehmen in Europa mit Sitz in Berlin, die Deutsche Wohnen SE, einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen technisch-organisatorischer Verstöße gegen die Europäische Datenschutz-Grundverordnung (DS-GVO) erlassen. Während die bislang in Deutschland seit Geltung der DS-GVO verhängten Bußgelder im niederen sechsstelligen Bereich lagen und damit vergleichsweise gering ausfielen, hat die Berliner Datenschutzaufsicht mit dem jüngst bekannt gegebenen Bescheid gegen die Deutsche Wohnen SE ein deutschlandweites Rekordbußgeld verhängt. Es handelt sich hierbei um das höchste Bußgeld, das jemals in Deutschland wegen datenschutzrechtlicher Verstöße verhängt wurde. Die Berliner Datenschutzbehörde hat damit deutlich gemacht, dass nicht nur die Tech-Giganten mit Bußgeldern in Millionenhöhe rechnen müssen.

1 Zum Hintergrund

Ausweislich der Pressemitteilung der Berliner Datenschutzbeauftragten wurde das Bußgeld wegen Verwendung einer – aus Sicht der Datenschutzaufsicht – datenschutzrechtlich unzulässigen digitalen Archivstruktur verhängt. Die Aufsichtsbehörde hatte bei Vor-Ort-Prüfungen bereits im Juli 2017 festgestellt, dass das Immobilienunternehmen personenbezogene Daten von Mietern in einem Archivsystem speicherte, das nicht die Möglichkeit der Implementierung von Löschfristen für unterschiedliche Datenkategorien vorsah. Dadurch wurden bei der Deutsche Wohnen SE teils sensible Daten wie z.B. Gehaltsbescheinigungen, Kontoauszüge, Selbstauskünfte, Arbeitsvertragsunterlagen, Steuer-, Sozial- und Krankenversicherungsdaten über Jahre hinweg gespeichert, ohne zu überprüfen, ob eine derart lange Speicherung der jeweiligen Daten und Unterlagen überhaupt erforderlich und damit zulässig ist.

Wie sich aus einem Interview des Tagesspiegel mit der Berliner Datenschutzbeauftragten ergibt, setzte das Immobilienunternehmen dieses Archivierungssystem bewusst ein, um gesetzlichen Aufbewahrungspflichten nachzukommen. Hierbei verfolgte es offensichtlich das Motto „besser zu viel als zu wenig“ und missachtete, dass je nach Datenkategorie unterschiedliche Aufbewahrungs- und Löschfristen bestehen können und für jede einzelne Datenkategorie gesondert zu prüfen ist, wann eine Löschung erfolgen muss. Die Datenschutzaufsicht sah darin einen strukturellen Verstoß gegen den Grundsatz „Datenschutz durch Technikgestaltung“ gemäß Artikel 25 Absatz 1 DS-GVO („Privacy by Design“). Danach ist durch technische und organisatorische Maßnahmen sicherzustellen, dass die datenschutzrechtlichen Anforderungen erfüllt und Datenschutzverstöße vermieden werden. Schon bei der Entwicklung und Einführung von IT-Systemen ist deshalb darauf zu achten, dass die eingesetzte Technik so konzipiert ist, dass sie den datenschutzrechtlichen Anforderungen genügen kann. Dahinter verbirgt sich der Gedanke, dass sich Datenschutzverstöße eher vermeiden lassen, wenn sich die datenschutzrechtlichen Anforderungen produktseitig überhaupt abbilden lassen. Dieses Prinzip ist nicht gewahrt, wenn ein System erst gar nicht die Möglichkeit vorsieht, für unterschiedliche Datenkategorien gesonderte Löschfristen vorzusehen bzw. von dieser Möglichkeit jedenfalls nicht Gebrauch gemacht wird. Denn nach dem Grundsatz der Speicherbegrenzung (Artikel 5 Absatz 1 lit. e DS-GVO) dürfen personenbezogene Daten grundsätzlich nur so lange in einer Form, die die Identifizierung der betroffenen Person ermöglicht, aufbewahrt werden, wie es ihr Verarbeitungszweck erfordert. Das Immobilienunternehmen hätte also für jede Datenkategorie und jedes Dokument gesondert prüfen müssen, für welchen Zweck und wie lange diese Daten tatsächlich benötigt werden. Eine ewige Datenspeicherung ist ebenso wenig erlaubt wie die – in der Praxis häufig anzutreffende – völlig undifferenzierte Festlegung von zehn- oder gar dreißigjährigen Löschfristen für alle Datenkategorien. Das gilt nicht nur für Mieterdaten, sondern für sämtliche personenbezogenen Daten, die durch ein Unternehmen verarbeitet werden (z. B. Kundendaten, Beschäftigtendaten).

Die Berliner Datenschutzaufsichtsbehörde hat mit Verhängung des Rekordbußgeldes nunmehr deutlich gemacht, dass „Datenfriedhöfe“, wie sie in der Unternehmenspraxis noch häufig anzutreffen sind, nicht akzeptiert und stark sanktioniert werden.

2 Bußgeldrahmen nicht voll ausgeschöpft

Trotz der beträchtlichen Höhe des Bußgeldes bewegt sich dieses nach Angaben der Berliner Datenschutzbeauftragten lediglich im mittleren Bereich des vorgegeben Bußgeldrahmens. Anknüpfungspunkt für die Bemessung der Bußgeldhöhe war der im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesene Jahreskonzernumsatz in Höhe von 1.438,5 Millionen Euro. Die Datenschutzbehörde ordnete das Vorgehen der Deutsche Wohnen SE als reinen technisch-organisatorischen Verstoß an, für den nach der DS-GVO ein Bußgeld bis zu 10 Millionen Euro oder 2 % des weltweiten (Gruppen-) Jahresumsatzes verhängt werden kann, je nachdem, welcher Betrag höher ist. Bei einem Jahresumsatz von rund 1,4 Milliarden Euro hätte also ein Bußgeld in Höhe von bis zu 28 Millionen Euro verhängt werden können. Bußgeldmindernd berücksichtigte die Behörde dabei, dass das Unternehmen durchaus erste Maßnahmen seit der ersten Prüfung im Jahr 2017 mit dem Ziel der Bereinigung der Missstände ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hatte. Auch konnten dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig lange gespeicherten Daten nachgewiesen werden. Zu Lasten der Deutsche Wohnen SE wurde allerdings berücksichtigt, dass sie die beanstandete Archivstruktur bewusst angelegt und die betroffenen Daten auch noch bei einer zweiten Prüfung im März 2019 in unzulässiger Weise gespeichert hatte. Bemerkenswert ist dabei, dass die Aussichtsbehörde den Verstoß als „bloße“ Verletzung technisch-organisatorischer Pflichten ansah und nicht auf einen Verstoß gegen den Grundsatz der Speicherbegrenzung gemäß Artikel 5 Absatz 1 Buchstabe e DS-GVO und gegen die Löschpflichten aus Artikel 17 Absatz 1 DS-GVO stützte. Im letzteren Fall wäre sogar die Verhängung eines Bußgeldes von bis zu 20 Millionen oder 4 % des weltweiten (Gruppen-) Jahresumsatzes möglich gewesen.

3 Höhere Bußgelder künftig zu erwarten

Dass ein Bußgeld im zweistelligen Bereich kein Einzelfall bleiben wird, zeigt das jüngst seitens der deutschen Aufsichtsbehörden veröffentlichte Konzept zur Bußgeldbemessung, das „eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung“ sicherstellen und künftig bei der Berechnung der Bußgeldhöhe herangezogen werden soll. Danach bemisst sich die Höhe des Bußgeldes entscheidend nach dem weltweit erzielten (Konzern-) Vorjahresumsatz sowie dem Schweregrad des Verstoßes. Gerade Unternehmen mit hohen Umsätzen drohen daher – auch bei eher geringfügigen Datenschutzverstößen – hohe Bußgelder, die schnell im Millionenbereich liegen können.  

4 Löschkonzept: Unlösbares Dilemma?

Die Entscheidung der Berliner Aufsichtsbehörde ist in der Unternehmenspraxis nicht nur wegen der drastischen Höhe des Bußgeldes, sondern auch inhaltlich scharf kritisiert worden und sorgt für große Unsicherheit. Was in der Theorie einfach klingt, ist in der Praxis teilweise nur schwer umzusetzen. Denn nach steuerrechtlichen und handelsrechtlichen Vorgaben müssen bestimmte digitale Dokumente und Aufzeichnungen für eine bestimmte Dauer „revisionssicher“, also in unveränderbarer Form, archiviert werden. Die digitale Archivierung muss so erfolgen, dass die Informationen jederzeit auffindbar sind, Zugriffe und Änderungen nachvollzogen werden können und alle Dokumente, die einer Archivierungspflicht unterliegen, unveränderbar und sicher gegen Verfälschungen aufbewahrt werden. Das bedeutet zugleich, dass einzelne Daten aus revisionssicher archivierten Unterlagen und Vorgängen nicht gelöscht werden können. Bislang ungeklärt ist dabei die Frage, wie der Konflikt zwischen datenschutzrechtlicher Löschpflicht einerseits und gesetzlichen Archivierungspflichten andererseits aufgelöst werden kann. Es stellt sich die Frage, inwieweit handels- und steuerrechtlich erforderliche Archivierungsvorgänge datenschutzrechtlich auf Artikel 6 Absatz 1 lit. c DS-GVO bzw. Artikel 17 Absatz 3 lit. b DS-GVO gestützt werden können und wie sie ausgestaltet werden müssen. Dies ist im Einzelnen sehr umstritten. Darüber hinaus fehlt es in vielen Bereichen auch schlicht an technischen Lösungen, um die datenschutzrechtlichen Anforderungen hinreichend umzusetzen.

Inwieweit sich die Berliner Datenschutzaufsicht mit diesen Fragen im Fall der Deutsche Wohnen SE überhaupt befasst hat, ist nicht bekannt. Die Deutsche Wohnen SE hat allerdings angekündigt, den Bußgeldbescheid gerichtlich überprüfen zu lassen. Es bleibt daher abzuwarten, wie das Gericht mit diesem Konflikt zwischen Datenschutz und gesetzlicher Archivierungspflicht umgehen wird.

5 Ausblick

Wenngleich das letzte Wort im Fall der Deutsche Wohnen SE also noch nicht gesprochen ist, sollten Unternehmen die Entscheidung der Berliner Datenschutzaufsicht gleichwohl zum Anlass zu nehmen, die eigenen Löschkonzepte und Archivierungssysteme einer umfassenden Überprüfung zu unterziehen. Unternehmen sind nach der DS-GVO verpflichtet, ein Löschkonzept vorzuhalten, das genau festlegt, welche personenbezogenen Daten und Unterlagen aus welchen Gründen wie lange aufbewahrt werden, und dieses dann auch konsequent umzusetzen. Ein ewiges Horten von Daten kann hohe Sanktionen nach sich ziehen.

Sollten Sie hierzu weitergehende Fragen haben, sprechen Sie die unsere Experten für Datenschutzrecht gerne an.