Höchstes deutsches Bußgeld verhängt: Fallanalyse der DSGVO-Rekordstrafe

Ende Oktober verhängte die Berliner Aufsichtsbehörde das höchste Bußgeld in der deutschen Datenschutzgeschichte. Die Deutsche Wohnen SE soll 14,5 Millionen Euro Strafe zahlen. Die Grundlage des Bußgeldbescheides ist Art. 5 und Art. 25 DSGVO.

Nachdem die Aufsichtsbehörden Anfang des Jahres stärkere Kontrollen angekündigt hatten und bereits verhängte Bußgelder deutlich angehoben wurden, war es nur eine Frage der Zeit bis das erste deutsche Bußgeld in Millionenhöhe verhängt wird. Anlass für den Bußgeldbescheid ist die Verwendung einer Software, die keine Möglichkeiten zur Löschung personenbezogener Daten vorsah. Zu den gespeicherten Daten zählten unter anderem Auszüge aus Arbeits- und Ausbildungsverträgen, Gehaltsbescheinigungen, Selbstauskunftsformulare, Steuer-, Sozial- und Krankenversicherungsdaten.

Die nicht-datenschutzkonforme Software wurde bereits 2017 bei einer ersten Vor-Ort-Kontrolle durch die Aufsichtsbehörde bemängelt. Diese Umstände wurden trotz dringender Empfehlung zur Beseitigung auch bis zur zweiten Vor-Ort-Kontrolle im März 2019 nicht behoben.

Gegen welche Pflichten hat das Unternehmen nun grundsätzlich verstoßen?

Der Bußgeldbescheid beruht auf einem Verstoß gegen Art. 5 und Art. 25 DSGVO. Was diese Artikel im Einzelnen bedeuten, möchten wir mit Ihnen im Nachfolgenden einmal genauer unter die Lupe nehmen.

Art. 5 DSGVO definiert die fundamentalen Grundsätze für die Verarbeitung personenbezogener Daten. Abs. 1 stellt sechs Verarbeitungs-Prinzipien auf, deren Einhaltung nach Abs. 2 durch den Verantwortlichen nachgewiesen werden muss.

Zu den Grundsätzen der Verarbeitung personenbezogener Daten zählen:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  Personenbezogene Daten sind rechtmäßig, transparent und unter Beachtung von Treu und Glauben zu verarbeiten.
• Zweckbindung
  Die Verarbeitung personenbezogener Daten darf nur aufgrund von festgelegtem, eindeutigem und legitimem Zweck erfolgen.
• Datenminimierung
  Die Verarbeitung personenbezogener Daten muss ihrem Zweck nach angemessen und erheblich sowie auf das notwendige Maß beschränkt sein.
• Richtigkeit
  Die verarbeiteten, personenbezogenen Daten müssen sachlich richtig und auf dem neusten Stand sein.
• Speicherbegrenzung
  Die personenbezogenen Daten dürfen nur solange gespeichert werden, wie sie für die Zweckerfüllung erforderlich sind.
• Integrität und Vertraulichkeit
  Die personenbezogenen Daten müssen durch geeignete technische und organisatorische Maßnahmen angemessen geschützt sein.

Zurück zum Ausgangsfall: Die Deutsche Wohnen SE speicherte die personenbezogenen Daten von Mietern und Mietinteressenten in einem Archivsystem, das eine Löschung der gespeicherten Daten unmöglich machte. Wird ein Mietverhältnis beendet, wird der Speicherung der personenbezogenen Daten der Zweck entzogen (die Aufbewahrungsfristen nach Steuer-, Handelsrecht oder der Abgabenordnung lassen wir außer Betracht – diese Fristen wurden auch weit überschritten). Die Daten wurden somit in dem Archivsystem gespeichert, obwohl sie für die Zweckerfüllung – das Mietverhältnis – nicht mehr benötigt wurden. Die Deutsche Wohnen SE verletzte vorliegend somit den Grundsatz der Speicherbegrenzung. Eine Verletzung des Art. 5 DSGVO liegt vor.

Wie konnte die Deutsche Wohnen SE den Grundsatz der Speicherbegrenzung verletzen?

Dazu sollten Sie zunächst einmal Art. 25 DSGVO aufschlagen. Art. 25 DSGVO beschreibt Datenschutz durch Technikgestaltung, d.h. Ihre Software und/oder Hardware muss so gestaltet sein, dass Sie die Anforderungen der DSGVO, vor allem aus Art. 5 DSGVO, bereits von Beginn an berücksichtigen und einhalten können. Wie bereits mehrfach angesprochen, hatte die Deutsche Wohnen SE ein Archivsystem, das keinerlei Möglichkeiten zur Löschung personenbezogener Daten bei Wegfall des Zwecks vorsah. So speicherte das Unternehmen Daten von Mietern und Interessenten auch Jahre nach Beendigung des Mietverhältnisses. Es handelte sich also um eine Software, die nicht datenschutzkonform gestaltet war, genau das verlangt aber Art. 25 DSGVO. Der Verantwortliche konnte nicht sicherstellen, dass die Datenschutzgrundsätze aus Art. 5 DSGVO wirksam umgesetzt werden.

Wie hätte die Einhaltung der Speicherbegrenzung sichergestellt werden können?

Um eine Löschung personenbezogener Daten gewährleisten zu können, hätte sich das Unternehmen zunächst einmal einen Überblick über alle Verarbeitungsvorgänge und Speicherfristen verschaffen sollen. Anhand eines ausführlich ausgearbeiteten Löschkonzepts und der Benennung einer für Löschprozesse verantwortlichen Person können Speicherfristen definiert und deren Einhaltung kontrolliert werden.

Die VELIT Consulting GmbH & Co. KG unterstützt Sie gerne bei der Erstellung und Implementierung geeigneter Löschprozesse. Als zuverlässiger Partner im Bereich Datenschutz & Datensicherheit werden wir mit Ihnen gemeinsam Schwachstellen aufdecken und Ihnen Lösungswege aufzeigen. Mit uns können Sie sicher sein, dass Sie gegen keinen Grundsatz der DSGVO verstoßen. Erfahren Sie mehr über unsere Leistungen und kontaktieren Sie uns.

Die Verhängung von Bußgeldern sowie der Trend zu höheren, sieben- bis achtstelligen Bußgeldern wird in den nächsten Monaten und Jahren weiter zunehmen. Auf der einen Seite ist es eine Prognose, die für Unternehmen und Vereine, die keine datenschutzfreundlichen Voreinstellungen unternehmen, erschreckend wirkt. Auf der anderen Seite können wir diesen Trend nur positiv sehen, denn Unternehmen werden aufgrund der Sachlage Ihre Vorgänge datenschutzkonform umgestalten und somit Ihre Daten schützen.