Die Schonzeit scheint vorbei zu sein: Wie der Tagesspiegel heute berichtet, hat der Berliner Beauftragte für den Datenschutz ein Rekord-Bußgeld in Höhe von 14,5 Millionen € Gegen die Wohnungsgesellschaft Deutsche Wohnen SE erlassen.
Was war passiert?
Aus der Pressemitteilung des Berliner Beauftragten für den Datenschutz vom 05.11.2019 geht hervor, dass die Datenschutzbehörde bereits im Jahre 2017 bei einer Vor-Ort-Prüfung Datenschutzverstöße festgestellt hatte. Die Deutsche Wohnen verwendete ein Archivsystem, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits-und Ausbildungsverträgen, Steuer-, Sozial-und Krankenversicherungsdaten sowie Kontoauszüge. Die von der Deutsche Wohnen nach der Prüfung getroffenen Maßnahmen waren nach Ansicht der Datenschutzbehörden unzureichend. In der Pressemitteilung spricht die Datenschutzaufsichtsbehörde gar von einem „Datenfriedhof“.
Was hat die Datenschutzaufsichtsbehörde unternommen?
Der Berliner Beauftragte für den Datenschutz verhängte daher ein Bußgeld gegen die Deutsche Wohnen. Bei der Bestimmung der Höhe des Bußgeldes orientierte sich die Datenschutzbehörde Am Jahresumsatz in Höhe von 1 Mrd. €. Bei der Bemessung des Bußgeldes Berücksichtigte die Datenschutzbehörde bußgelderhöhend die lange Zeit der datenschutzwidrigen Verarbeitung. Bußgeldmindernd wirkte sich dagegen die „formal gute Zusammenarbeit“ mit der Datenschutzbehörde aus.
Die Bußgeldentscheidung ist nicht rechtskräftig. Die Deutsche Wohnen SE kann gegen den Bußgeldbescheid Einspruch einlegen. Laut ihrer Pressemitteilung kündigt sie bereits an, den Bußgeldbescheid gerichtlich überprüfen zu lassen.
Was bedeutet das für Unternehmen?
Das Urteil ist als Warnsignal der Datenschutzbehörden zu deuten. Zukünftig werden Datenschutzverstöße empfindlich geahndet werden.
Unternehmen ist dringend zu empfehlen, ein Löschkonzept für personenbezogene Daten zu entwickeln und die Aufbewahrungsdauer der Daten rechtlich und technisch prüfen zu lassen. Ohne Rechtsgrundlage müssen personenbezogene Daten nämlich gelöscht werden.
Im Fokus sollten daher insbesondere Back-up-und Archivsysteme des Unternehmens stehen. Sofern diese nicht in der Lage sind, personenbezogene Daten zu löschen sollte schnellstmöglich eine gangbare Alternativlösung gefunden werden, bevor eine Datenschutzbehörde eine Prüfung veranlasst.
—
Sie haben Fragen zum Datenschutz? Kontaktieren Sie uns.