Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat am 30. Oktober 2019 einen Bußgeldbescheid gegen die Deutsche Wohnen SE in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die EU Datenschutz-Grundverordnung (DSGVO) erlassen. In der entsprechenden Pressemitteilung stellt die BlnBDI auch Hintergründe zur Bemessung der Bußgeldhöhe dar, die für alle Unternehmen sehr wichtig sind. Der Bußgeldbescheid ist noch nicht rechtskräftig und kann von der Deutsche Wohnen SE angefochten werden.
Zum Datenschutzverstoß
Nach Angaben der BlnBDI verarbeitete die Deutsche Wohnen SE über Jahre Mieterdaten in einem System, das keine Möglichkeit der Löschung vorsah. Daher wurden personenbezogene Daten von ehemaligen Mietern noch verarbeitet, nachdem der Zweck hierfür längst entfallen war.
Die BlnBDI sah hierin einen Verstoß gegen Art. 25 Abs. 1 DSGVO (Datenschutz durch Technikgestaltung) und Art. 5 DSGVO (Grundsätze der Verarbeitung personenbezogener Daten). Nach dem geschilderten Sachverhalt dürften wohl auch Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung) und Art. 17 DSGVO (Löschpflicht) verletzt worden sein.
Die BlnBDI hatte die fehlerhafte Verarbeitung bereits im Jahr 2017 gegenüber der Deutsche Wohnen SE bemängelt. Bei erneuter Prüfung im März 2019 stellte sie fest, dass der betroffene Datenbestand weder gelöscht, noch die Verarbeitung zur Vermeidung künftiger Datenschutzverstöße umgestellt worden war.
Zum Bußgeldrahmen
Bei der Bemessung der Höhe des Bußgeldes ging die BlnBDI von einem Jahresumsatz von etwas über einer Milliarde Euro aus. Daraus errechnete sie einen gesetzlich vorgegebenen Rahmen zur Bußgeldbemessung von ca. 28 Millionen Euro. Dabei orientierte sich die BlnBDI offenbar nicht an dem in Art. 83 Abs. 5 DSGVO vorgegebenen Höchstbußgeldrahmen von 4 % des Jahresumsatzes (in diesem Fall also 40 Millionen Euro).
Sie entnahm den Bußgeldrahmen vielmehr wohl dem kürzlich von der Datenschutzkonferenz vorgestellten Bußgeldbemessungsmodell. Danach läge der Tagessatz der Deutsche Wohnen SE bei ca. 2.777.777 Euro. Bei einem als „schwer“ eingestuften Verstoß (Faktor 10) ergeben sich somit die angesetzten ca. 28 Millionen Euro. Allerdings hat die BlnBDI diesen Betrag als Höchstrahmen angenommen. In dem Bußgeldbemessungsmodell der Datenschutzkonferenz wäre dieser Wert als Ausgangswert zu verstehen.
Zur Bemessung des konkreten Bußgeldes
Bei der konkreten Bußgeldbemessung stellte die BlnBDI zum Nachteil der Deutsche Wohnen SE darauf ab, dass diese die beanstandete Datenverarbeitung vorsätzlich angelegt hatte. Ferner berücksichtigte sie den langen Zeitraum des Verstoßes. Bußgeldmildernd wirkte sich hingegen aus, dass das Unternehmen bereits erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen hatte. Außerdem arbeitete die Deutsche Wohnen SE gut mit der BlnBDI zusammen.
Fazit
Mit diesem ersten Bußgeld in zweistelliger Millionenhöhe bewahrheitet sich die Ankündigung der deutschen Datenschutzaufsichtsbehörden, künftig härter durchzugreifen. Dennoch kann das Bußgeld angesichts der geschilderten Umstände als maßvoll bewertet werden. Angesichts der fehlerhaften Datenverarbeitung über einen Zeitraum von 1,5 Jahren nach der ersten Beanstandung, wäre auch ein höheres Bußgeld gut begründbar gewesen. Es bleibt abzuwarten, ob auch die Verwaltungsgerichte das Bußgeld als angemessen bewerten werden.
Unternehmen sollten diesen Bescheid zum Anlass nehmen, ihre interne Risikobewertung von rechtlich fehlerhaften Datenverarbeitungsvorgängen zu prüfen und gegebenenfalls anzupassen. Von deutschen Datenschutzaufsichtsbehörden ist künftig mit weiteren schmerzhaften Bußgeldern in Millionenhöhe zu rechnen. In jedem Fall zeigt sich für Unternehmen, dass sie spätestens nach einer Bemängelung einer Datenverarbeitung durch eine Aufsichtsbehörde schnell umfassende Maßnahmen treffen müssen, um den Datenschutzverstoß zeitnah abzustellen.