In den Rechtsstreit um ein DSGVO-Bußgeld gegen den Immobilienkonzern Deutsche Wohnen in Höhe von 14,5 Millionen Euro kommt Bewegung: Der Europäische Gerichtshof (EuGH) stärkt die Berliner Datenschutzbehörde. So geht es nach dem Urteil weiter.
Der Immobilienkonzern Deutsche Wohnen – der seit 2021 zu Vonovia gehört – streitet vor Gericht gegen einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO), den die unabhängige oberste Landesbehörde Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) im Oktober 2020 gegen das Unternehmen erlassen hatte. Es ging um das Speichern von Mieterdaten.
Seitdem wird durch die Instanzen gestritten. Der Europäische Gerichtshof (EuGH) hat nun entschieden, dass nur ein schuldhafter Verstoß – vorsätzlich oder fahrlässig – gegen die DSGVO zur Verhängung einer Geldbuße führen kann. Die verhängte Geldbuße kann sich am Umsatz des Unternehmens oder der Muttergesellschaft orientieren.
Vorausgegangen war unter anderem eine Vorlage (Art. 267 AEUV) des Berliner Kammergerichts mit der Frage, ob sich DSGVO-Bußgeldverfahren unmittelbar gegen Unternehmen richten können – in dieser Sache ging es um die Deutsche Wohnen SE.
(EuGH Urteil vom 05.12.2023 - C-807/21)
Streit um DSGVO-Bußgeld: Die Instanzen
Das Berliner Landgericht stellte das Verfahren gegen die Deutsche Wohnen zunächst ein. Der Bescheid sei unwirksam, weil er keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens enthalte, entschied im Februar 2021 das Landgericht Berlin (LG Berlin, Beschluss der 26. Großen Strafkammer v. 18.2.2021, Az. 526 AR).
Dagegen legte die Staatsanwaltschaft Beschwerde ein, die als nächst höhere Instanz das Kammergericht Berlin prüfen muss. Das hier anhängige Verfahren (Az. 3 Ws 250/21) wurde ausgesetzt, da dem EuGH mit Beschluss vom 6.12.2021 rechtliche Fragen zur Klärung (Vorabentscheidungsersuchen) vorgelegt wurden, wie ein Gerichtssprecher im Januar 2022 mitteilte.
In dem Verfahren am EuGH ging es um die Grundsatzfrage: Kann eine juristische Person in Deutschland, die ein Unternehmen betreibt, nach den Grundsätzen des EU-Rechts unmittelbar für DSGVO-Verstöße sanktioniert werden, ohne dass eine Ordnungswidrigkeit einer natürlichen und identifizierten Leitungsperson festgestellt werden muss. Verstöße durch Vertreter reichen. Damit bestätigt das Gericht die Rechtsauslegung der Datenschutzbehörde.
Das Berliner Kammergericht wird nun auf Grundlage des EuGH-Urteils abschließend im Fall "Deutsche Wohnen" entscheiden müssen.
EuGH folgt Schlussanträgen von Generalanwalt
Generalanwalt Manuel Campos Sánchez-Bordon hatte am 27.4.2023 seine Schlussanträge (Rechtssache C‑807/21, Deutsche Wohnen SE gegen Staatsanwaltschaft Berlin) vorgelegt. Er kam bereits zu dem Ergebnis, dass die Behörden bei Verstößen von Mitarbeitern direkt DSGVO-Bußgelder gegen ein Unternehmen verhängen können, wenn jenen ein vorsätzliches oder fahrlässiges Handeln nachgewiesen werden kann. Der EuGH ist damit der Rechtsauffassung von Sánchez-Bordon gefolgt.
Vorwurf: Unrechtmäßig gespeicherte Mieterdaten
Die Berliner Datenschutzbehörde warf der Deutsche Wohnen konkret vor, es zwischen Mai 2018 und März 2019 unterlassen zu haben, Maßnahmen zur Ermöglichung einer regelmäßigen Löschung nicht (mehr) benötigter Mieterdaten in ausreichendem Umfang umgesetzt zu haben.
Zu diesem Zeitpunkt soll es möglich gewesen sein, im Archiv des Konzerns persönliche Daten der Mieter einzusehen und zu verarbeiten – darunter Informationen zur Sozial- und Krankenversicherung, Arbeitsverträge und Informationen über finanzielle Verhältnisse.
Erste Rüge gegen Deutsche Wohnen schon 2017
Erstmals war die Deutsche Wohnen der Behörde im Juni 2017 aufgefallen. Damals stellte die Behörde bereits fest, dass personenbezogene Daten von Mietern in einem Archivsystem gespeichert worden sind, in dem nicht mehr erforderliche Daten gar nicht gelöscht werden konnten. Weil an dem Zustand bis März 2019 nichts geändert worden sei, habe man zu drastischen Mitteln gegriffen, erklärte die Behörde. Die verschärfte Regelung der DSGVO trat erst am 25.5.2018 in Kraft.
Neben der Sanktionierung des strukturellen Verstoßes verhängte die Behörde weitere Bußgelder gegen die Deutsche Wohnen. Zwischen 6.000 und 17.000 Euro soll alleine die unzulässige Speicherung von personenbezogenen Daten von Mietern in 15 konkreten Fällen kosten.
Die EU-Verordnung sieht bei DSGVO-Verstößen Zwangsgelder von bis zu 20 Millionen Euro beziehungsweise bis zu vier Prozent des Gesamtumsatzes vor. Der zugrundegelegte Umsatz der Deutsche Wohnen von 2018 hätte ein Bußgeld von insgesamt bis zu 28 Millionen Euro erlaubt.
Datenschutz: Handlungsbedarf bei Wohnungsunternehmen
Beim Wohnungskonzern LEG war im Juli 2019 vorübergehend ein Mieter-Portal abgeschaltet worden, nachdem ein Informatikstudent Sicherheitslücken öffentlich gemacht hatte. Es seien keine besonderen Computerkenntnisse notwendig gewesen, um sämtliche Daten anderer Mieter abzurufen, hieß es in einem Bericht des Westdeutschen Rundfunks (WDR).
In einem Interview mit dem "Tagesspiegel" erklärte die damalige Berliner Datenschützerin Maja Smoltczyk im November 2019, dass die massive Speicherung von Daten häufiger vorkomme und sich Unternehmen oft wenig Gedanken machten, ob die Daten überhaupt gespeichert werden müssten. Wohnungsunternehmen hätten zwar Vorhaltepflichten, müssten aber bei den personenbezogenen Mieterdaten Löschfristen beachten.
Um Unternehmen bei der Umsetzung der Datenschutz-Grundverordnung zu unterstützen, hat die Gesellschaft für Datenschutz und Datensicherheit (GDD) Praxishilfen zur DSGVO veröffentlicht. Unterstützung findet speziell die Immobilienbranche auch bei den Branchenverbänden.
Das könnte Sie auch interessieren:
Skandal um Mieterdaten: Brebau soll Millionen-Bußgeld zahlen
Whistleblower: Meldestellen-Frist endet – wo Bußgelder drohen
DSGVO in der Immobilienwirtschaft: 1x1 der Bußgeldberechnung (€)