Aufsichtsbehörden, Bußgelder, Datenerhebung und Datennutzung

Berliner Aufsichtsbehörde verhängt 14,5 Mio. EUR-Bußgeld

by  •  • Kommentare deaktiviert für Berliner Aufsichtsbehörde verhängt 14,5 Mio. EUR-Bußgeld

Erst Mitte Oktober hatten die deutschen Aufsichtsbehörden ihr Bußgeldberechnungskonzept veröffentlicht. Nun kam der Paukenschlag aus Berlin in Form eines außerordentlich hohen Bußgeldbescheids gegen die Deutsche Wohnen SE https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf.

Folgender Sachverhalt führte zum Erlass des aktuellen – noch nicht rechtskräftigen – Bußgeldbescheids:

  • Vor-Ort-Prüfung der Aufsichtsbehörde in 2017 ergab, dass ein Archivsystem im Einsatz ist, dass keine Möglichkeit vorsah, nicht mehr erforderliche personenbezogene Mieter-Daten zu entfernen.
  • Die Datenspeicherung wurde vom Unternehmen nicht auf Zulässigkeit und Erfordernis geprüft.
  • Daten, wie Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge wurden über den Erhebungszweck hinaus gespeichert.
  • Die Aufsichtsbehörde empfahl 2017 das System dringend umzustellen.
  • im März 2019 stellte die Berliner Aufsichtsbehörde fest, dass keine Bereinigung des Datenbestands bis dahin erfolgt sei und eine rechtliche Grundlage für die Datenspeicherung weiterhin fehlte.

Das ermittelte Bußgeld im aktuellen Fall entspricht dem mittleren Bereich des möglichen ausschöpfbaren Bußgeldrahmens. Folgende positiven (+) und negativen (-) Aspekte spielten seitens der Aufsichtsbehörde bei der letztendlichen Festlegung des Bußgelds eine Rolle:

– Die Archiv-Struktur wurde bewusst seitens des Unternehmens angelegt.

– Die Daten wurden über einen langen Zeitraum unzulässig gespeichert.

+ Gute formale Zusammenarbeit mit der Behörde.

+ Es konnten dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden.

+ Vorbereitungen für die Beseitigungen der Missstände waren erkennbar.

Die Berliner Aufsichtsbehörde legt dem Unternehmen zur Last, gegen Art. 25 (1) DSGVO und Art. 5 DSGVO verstoßen zu haben.

Art. 25 (1) DSGVO schreibt vor:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“

Art. 5 DSGVO beschreibt die Grundsätze für die Verarbeitung personenbezogener Daten zusammenfassend, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn dies in einer für die betroffene Person erforderlichen nachvollziehbaren Weise sowie durch das Unternehmen (den Verantwortlichen) zweckbestimmt, rechtmäßig und sicher erfolgt. Das heißt für Verantwortliche konkret:

  • Nur mit gültiger Rechtsgrundlage Daten erheben.
  • Zweck(e) der Verarbeitung vor Datenerhebung definieren.
  • Nur so wenig Daten wie möglich und nur so lange wie nötig nutzen.
  • Zugänglich und transparent über die Datenverarbeitung aufklären.
  • Daten schützen vor:
    • unbefugter oder unrechtmäßiger Verarbeitung,
    • unbeabsichtigtem Verlust,
    • unbeabsichtigter Zerstörung oder
    • unbeabsichtigter Schädigung

In 15 weiteren Fällen wurden gegen dasselbe Unternehmen wegen der unzulässigen Speicherung personenbezogener Daten von Mieterinnen und Mietern weitere Bußgelder zwischen 6.000 –17.000 Euro verhängt.

Die Deutsche Wohnen hat zwischenzeitlich ein Statement veröffentlicht, dass sie anderer Auffassung ist und den Bescheid gerichtlich prüfen lassen wird: https://www.deutsche-wohnen.com/ueber-uns/presse/pressemitteilungen/deutsche-wohnen-geht-gegen-bussgeldbescheid-der-berliner-beauftragten-fuer-datenschutz-und-informationsfreiheit-vor/

Können Sie sich eigentlich gegen DSGVO-Bußgelder versichern?  In einem nächsten Blog-Artikel werden wir dem Sinn und Zweck einer Cyberversicherung  für Sie auf den Grund gehen.