Winterthur, 13. März 2020
Kategorie: Datenschutz
Millionenstrafe für Immobilienfirma “Deutsche Wohnen”
Die Berliner Datenschutzbehörde verhängten November 2019 ein Bussgeld in der Höhe von 14,5 Millionen Euro gegen die Firma Deutsche Wohnen (PDF). Laut der Berliner Datenschutzbeauftragten Maja Smoltczyk speichere der Immobilienkonzern persönliche Daten seiner Mieter, ohne zu prüfen, ob dies rechtmässig und erforderlich sei.
«Das hohe Bussgeld gegen die Deutsche Wohnen zeigt, dass die deutschen Datenschutzaufsichtsbehörden ihr Bussgeldkonzept auch in der Praxis zur Anwendung bringen. Dieses Bussgeldkonzept führt zu einer Erhöhung der verhängten Geldbussen. Wir werden daher in Zukunft eine deutliche Verschärfung im behördlichen Handeln erleben. Das Bussgeld gegen die Deutsche Wohnen war erst der Anfang», sagt Paul Voigt, Partner bei der international tätigen Wirtschaftskanzlei Taylor Wessing und DSGVO-Experte. Eineinhalb Jahre nach Einführung der Verordnung ist die Zurückhaltung aus seiner Sicht abgelaufen: «Wer noch keine DSGVO-Umsetzungsmassnahmen ergriffen hat, wird auf wenig Verständnis bei den Aufsichtsbehörden stossen.»
Privacy by Design sieht anders aus
Mit dieser Millionenstrafe nimmt die Behörde einen strukturellen Mangel bei der Deutsche Wohnen ins Visier. Das Archivsystem verstosse sowohl gegen die Grundsätze der Datenschutzgrundverordnung (Artikel 5 DSGVO) als auch gegen das Gebot des Datenschutzes durch Technikgestaltung (Artikel 25 DSGVO). Der Fall ist auch deshalb von besonderer Bedeutung, weil dieses «Privacy by Design» genannte Gebot mit der DSGVO neu eingeführt wurde und bisher kaum mit Leben gefüllt ist.
Wegen der unzulässigen Datenspeicherung von Mietern muss die Deutsche Wohnen in 15 konkreten Fällen aber auch Einzelbussgelder in Höhe mehrerer Tausend Euro zahlen. Es ist davon auszugehen, dass es die Beschwerden dieser Menschen waren, die das Verfahren bei der Behörde ins Rollen brachten.
Rechnet man die Zahlen auf den Wohnungsbestand der Deutsche Wohnen hoch, dürften die tatsächlichen Betroffenenzahlen aber in die Hunderttausende gehen. Klassischerweise werden Informationen wie Kontoauszüge und Selbstauskünfte im Zuge des Bewerbungsprozesses eingesammelt und müssten dann gelöscht werden. Ob und welchem Umfang ihre Erhebung überhaupt rechtmässig ist, ist derzeit Gegenstand diverser Gerichtsverfahren.
Millionenbussgeld in Frankreich und England
Die Mitteilung der Datenschutzbehörde war mit Spannung erwartet worden, nachdem Maja Smoltczyk im August angekündigt hatte, bald das erste Bussgeld in Millionenhöhe zu verhängen. Während die Datenschutzbehörden in Frankreich und Grossbritannien bereits Bussgelder in dutzendfacher Millionenhöhe verhängten, hielten sich ihre deutschen Pendants bisher bewusst zurück. Mit der Einführung der Datenschutzgrundverordnung hat sich der Bussgeldrahmen, über den die Aufsichtsbehörden in der EU verfügen können, deutlich erhöht. Die DSGVO gibt der Datenschutzaufsicht seit Mai 2018 die Möglichkeit, Strafen von bis zu 4 Prozent des weltweiten Umsatzes eines Unternehmens zu verhängen, je nach Schwere des Verstosses. Bei Verstössen gegen Vorgaben zu organisatorish-technischen Massnahmen, wie in diesem Fall, liegt die Obergrenze bei 2 Prozent des Umsatzes.
Zusammenfassung aus der Publikation von Netzpolitik:
Ausführlicher Bericht: https://netzpolitik.org/2019/datenschutzgrundverordnung-deutsche-wohnen-erste-millionenstrafe/