Kann teuer werden – Millionenbußgeld gegen Immobiliengesellschaft nach DSGVO-Verstoß

Bislang sind Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) in Deutschland noch verhältnismäßig günstig geahndet worden. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat nun jedoch ein Bußgeld in Höhe von rund € 14,5 Mio. gegen die Immobilienfirma „Deutsche Wohnen" wegen Verstößen gegen die DSGVO verhängt.

Die Aufsichtsbehörde hatte bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu löschen.

Personenbezogene Daten von Mietern seien gespeichert worden, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen hätten daher teilweise Jahre alte private Angaben betroffener Mieter eingesehen werden können, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handele sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieter, wie beispielsweise Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Nachdem im Jahre 2017 im ersten Prüftermin die dringende Empfehlung durch die Datenschutzbehörde ausgesprochen wurde, das Archivsystem umzustellen, konnte das Unternehmen auch im März 2019 weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Zwar habe das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen. Diese Maßnahmen hätten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt. Die Verhängung eines Bußgeldes wegen eines Verstoßes gegen Artikel 25 Abs. 1 DSGVO sowie Artikel 5 DSGVO für den Zeitraum zwischen Mai 2018 und März 2019 sei daher nach Aussage der Behörde zwingend gewesen.

Nach der DSGVO sind die Aufsichtsbehörden verpflichtet sicherzustellen, dass verhängte Bußgelder in jedem Einzelfall nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sind. Anknüpfungspunkt für die Bemessung von Geldbußen sei daher unter anderem der weltweit erzielte Vorjahresumsatz betroffener Unternehmen. Aufgrund des im Geschäftsbericht der Immobiliengesellschaft für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro habe der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den festgestellten Datenschutzverstoß bei rund € 28 Mio. gelegen.

Belastend habe sich hierbei vor allem ausgewirkt, dass die betroffene Gesellschaft die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet habe. Insoweit erachtete die Behörde das verhängte Bußgeld der Höhe nach für angemessen. Ob das Bußgeld rechtskräftig geworden ist oder ob die Gesellschaft Einspruch eingelegt hat, ist diesseits jedoch nicht bekannt.

Diesen Artikel und weitere Steuernews lesen Sie im Mandantenbrief Dezember 2019.

Als PDF ansehen.

1