Millionen-Bußgeld wegen DSGVO-Verstoß bei der Speicherung personenbezogener Daten

Lange Zeit – fast eineinhalb Jahre seit Inkrafttreten der Datenschutzgrundsverordnung (DSGVO) – waren die deutschen Datenschutz-Aufsichtsbehörden maßgeblich beratend aktiv und setzten bei der Verhängung von Bußgeldern eher niedrige Maßstäbe an. Jetzt verhängte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) jedoch ein Bußgeld von ca. 14,5 Millionen Euro gegen eine Immobiliengesellschaft  und folgt damit den Bestimmungen von Art. 83 DSGVO, nach denen Bußgelder insbesondere abschreckend gestaltet werden sollen.

Nicht DSGVO-konforme Daten-Archivierung

Der Datenschutz-Verstoß bestand darin, dass personenbezogene Daten von Mieterinnen und Mietern im Sinne einer Langzeit-Archivierung gespeichert wurden, ohne dass die Entfernung nicht mehr benötigter Daten möglich war. Eine solche Archivierung personenbezogener Daten steht dabei insbesondere nicht in Einklang mit dem Grundsatz der Speicherbegrenzung gem. Art. 5 Abs. 1 lit. e DSGVO: Eine Speicherung darf demnach grundsätzlich nur so lange stattfinden wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Eine Ausnahme der Langzeitspeicherung zu z.B. statistischen Auswertungszwecken käme allenfalls dann in Betracht, wenn gem. Art. 89 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen (TOM) zum Schutz der Rechte und Freiheiten der betroffenen Person durchgeführt würden. Außerdem bleibt den Betroffenen durch eine derartige Ausgestaltung des Archivsystems die Geltendmachung ihres Rechts auf Löschung gem. Art. 17 DSGVO verwehrt. Es konnte also weder ein geeignetes automatisches Löschkonzept für die verarbeiteten Datensätze noch eine Löschung aufgrund manueller Überprüfung vorgewiesen werden, wie sie Erwägungsgrund 39 ermöglichen würde. Dabei fordert gerade Art. 25 Abs. 1 DSGVO explizit den Einsatz von Systemen und Maßnahmen, die aufgrund ihrer Technikgestaltung insbesondere den Grundsatz der Datenminimierung wirksam umsetzen.

Prüfung betroffener Datenkategorien

Stichproben im oben genannten Fall ergaben, dass die zum Teil Jahre alten Datensätze nicht nur nicht mehr dem Zweck ihrer ursprünglichen Erhebung dienten, sondern dass es sich zugleich um nicht unkritische Angaben zu Betroffenen handelte: Enthalten waren insbesondere Informationen zu den persönlichen und finanziellen Verhältnissen der Mieter, wie z.B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten oder auch Kontoauszüge. Entsprechend dieser Datenkategorien sind die Anforderungen an geeignete TOM zum Schutz der Daten oder auch an die DSGVO-konforme Verarbeitung der Daten wie der Löschung zu stellen.

Maßnahmen zur DSGVO-konformen Datenverarbeitung

Eine erste Prüfung des Unternehmens hatte bereits in 2017 stattgefunden – also noch weit vor Inkrafttreten der strengen Regelungen der DSGVO, in der die Aufsichtsbehörde die Umstellung des Archivierungssystems bzw. die Ergreifung geeigneter Maßnahmen empfohlen hatte. Eine erneute Prüfung im März 2019 ergab, dass inzwischen Vorbereitungen zur Behebung der problematischen Situation getroffen wurden. Eine vollständig rechtmäßige Verarbeitung (vor allem hinsichtlich der durchzuführenden Löschung alter Datensätze und der Einrichtung einer generellen Löschfunktion des Systems) fand aber noch immer nicht statt.

Wirksame, verhältnismäßige und abschreckende Bußgelder

Ausgehend von den Verstößen gegen die Art. 5 DSGVO („Speicherbegrenzung“) und Art. 25 Abs. 1 DSGVO (Treffen geeigneter technischer und organisatorischer Maßnahmen zur Durchsetzung der Datenschutz-Grundsätze) war die Verhängung eines Bußgelds zwingend: Art. 83 Abs. 4 lit. a DSGVO sieht für die Verletzung von datenschutzrechtlichen Pflichten Geldbußen von bis zu 10 Millionen Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs vor –  je nachdem, welcher der Beträge höher ist. Aufgrund des Jahresumsatzes von ca. 1,4 Milliarden Euro ergab sich nach der 2 % – Regelung ein zunächst anzusetzendes Bußgeld von ca. 28 Millionen Euro.

Ausgehend von dieser Bußgeldhöhe sind schließlich die Einzelfall-Aspekte gem. Art. 83 Abs. 2 DSGVO zu berücksichtigen: Negativ zu sehen war die bewusste Anlage und Nutzung des Archivierungssystems und die damit verbundene unzulässige Verarbeitung personenbezogener Daten. Demgegenüber konnte entgegengehalten werden, dass zumindest erste Maßnahmen ergriffen wurden und eine offene Zusammenarbeit mit der Aufsichtsbehörde stattgefunden hat. Auch konnten keine missbräuchlichen Daten-Zugriffe festgestellt werden. Ebenso hätten Datenpannen (z.B. „Datenverlust“) oder externe Angriffe (z.B. „Datenklau/-spionage“) das Bußgeld deutlich in die Höhe getrieben. Vorliegend wurde eine Bußgeldhöhe von „nur“ 14,5 Millionen Euro für geeignet festgelegt.

Allerdings wurden zusätzlich zu diesem Bußgeld weitere Bußgelder, jeweils im Rahmen von 6.000 Euro und 17.000 Euro, verhängt: Grundlage hierfür waren 15 konkrete Einzelfälle, in denen die unzulässige Speicherung personenbezogener Daten von Mietern stattgefunden hatte.

„Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen. […]“

Maja Smoltczyk, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)

Das sollten Sie beachten

Daten-Archivierung und Daten-Löschung nach der DSGVO

  1. Richtige Anwendungs-Software auswählen

    Achten Sie schon bei der Auswahl der Software, mit der Sie z.B. Aufträge verarbeiten bzw. Kundendaten verarbeiten, auf die technischen Möglichkeiten und Funktionen:
    Sie sollten personenbezogene Daten insbesondere komplett oder selektiv bearbeiten und löschen können sowie deren Verarbeitung einschränken können.

  2. Vollständiges Verzeichnis der Verarbeitungstätigkeiten (VVT) führen

    Im Verfahrensverzeichnis Ihrer Datenschutz-Dokumentation führen Sie alle Geschäftsprozesse auf, in denen personenbezogene Daten verarbeitet werden. In diesem Zuge sollten Sie die Daten klassifizieren, d.h. in geeignete Daten-Kategorien einordnen. So können Sie die Daten übersichtlich anhand ihrer Sensibilität von einander unterscheiden und z.B. geeignete technische und organisatorische Maßnahmen zu deren Schutz entwickeln.

  3. Ordnungsgemäßes Löschkonzept entwickeln

    Ein Teil der technischen und organisatorischen Maßnahmen ist das so genannte Löschkonzept: Hier werden ausgehend von den Datenarten zunächst geeignete Löschfristen (mit jeweiligem Startzeitpunkt) festgelegt. Die Datenarten werden nach Löschfrist und Startzeitpunkt gruppiert und so in Löschklassen zusammengefasst, für die geeignete Lösch- bzw. Umsetzungsregeln entwickelt werden. Für die Löschung selbst sowie für die Erstellung und Pflege des Löschkonzepts sind zusätzlich die jeweiligen Verantwortlichen zu benennen.

Ansprechpartner: Maximilian Günnewig

Maximilian Günnewig hat Wirtschaftswissenschaften studiert (M. Sc. RWTH), ist
geprüfter IT-Sicherheitsmanager (SGD) und zertifizierter Datenschutzbeauftragter (IHK). Er ist Geschäftsführer der Primezert GmbH und berät Unternehmen bei der praktischen Umsetzung datenschutzrechtlicher Vorgaben.