Muss die Deutsche Wohnen eine Millionenbuße wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) zahlen? Fragen dazu soll der Europäische Gerichtshof (EuGH) klären. Der Generalanwalt setzt in seinen Schlussanträgen vorsätzliches oder fahrlässiges Handeln voraus.
Der Immobilienkonzern Deutsche Wohnen – der mittlerweile zu Vonovia gehört – wehrt sich gegen einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO), den die unabhängige oberste Landesbehörde Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) im Oktober 2020 gegen das Unternehmen erlassen hatte. Der Fall beschäftigt den Europäischen Gerichtshof (EuGH).
Generalanwalt Manuel Campos Sánchez-Bordon hat am 27.4.2023 seine Schlussanträge (Rechtssache C‑807/21, Deutsche Wohnen SE gegen Staatsanwaltschaft Berlin) vorgelegt.
Er kommt zu dem Ergebnis, dass die Behörden zwar bei Verstößen von Mitarbeitern direkt DSGVO-Bußgelder gegen ein Unternehmen verhängen können, aber nur, wenn denen ein vorsätzliches oder fahrlässiges Handeln nachgewiesen werden kann. Genau diese Fragen soll der EuGH klären. Das Gericht ist nicht an die Anträge des Generalanwalts gebunden, folgt der Rechtsauffassung aber in der Regel. Wann eine Entscheidung fallen wird, ist noch offen.
Ergebnis im Wortlaut:
"86. Nach alledem schlage ich dem Gerichtshof vor, dem Kammergericht Berlin (Deutschland) wie folgt zu antworten:
Art. 58 Abs. 2 Buchst. i der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 4 Nr. 7 und Art. 83 dieser Verordnung
ist dahin auszulegen, dass
die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Person(en), die im Dienst dieser juristischen Person stehen, abhängt.
Die Verwaltungsgeldbußen, die gemäß der Verordnung 2016/679 verhängt werden können, setzen voraus, dass festgestellt wird, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war."
Streit um DSGVO-Bußgeld: Die Instanzen
Der Bescheid sei unwirksam, weil er keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens enthalte, entschied im Februar 2021 das Landgericht Berlin und stellte das Verfahren ein (LG Berlin, Beschluss der 26. Großen Strafkammer v. 18.2.2021, Az.: 526 AR).
Dagegen legte die Staatsanwaltschaft Beschwerde ein, die als nächst höhere Instanz das Kammergericht Berlin prüfen muss. Das hier anhängige Verfahren (Az. 3 Ws 250/21) ist derzeit ausgesetzt, da dem EuGH rechtliche Fragen zur Klärung (Vorabentscheidungsersuchen) vorgelegt wurden, wie ein Gerichtssprecher im Januar 2022 mitteilte.
Vorwurf der Datenschützer: Unrechtmäßig gespeicherte Mieterdaten
Die Berliner Datenschutzbehörde warf der Deutsche Wohnen konkret vor, es zwischen Mai 2018 und März 2019 unterlassen zu haben, Maßnahmen zur Ermöglichung einer regelmäßigen Löschung nicht (mehr) benötigter Mieterdaten in ausreichendem Umfang umgesetzt zu haben.
Zu diesem Zeitpunkt soll es möglich gewesen sein, im Archiv des Konzerns persönliche Daten der Mieter einzusehen und zu verarbeiten – darunter Informationen zur Sozial- und Krankenversicherung, Arbeitsverträge und Informationen über finanzielle Verhältnisse.
Erste Rüge gegen Deutsche Wohnen schon 2017
Erstmals war die Deutsche Wohnen der Behörde im Juni 2017 aufgefallen. Damals stellte die Behörde bereits fest, dass personenbezogene Daten von Mietern in einem Archivsystem gespeichert worden sind, in dem nicht mehr erforderliche Daten gar nicht gelöscht werden konnten. Weil an dem Zustand bis März 2019 nichts geändert worden sei, habe man zu drastischen Mitteln gegriffen, erklärte die Behörde. Die verschärfte Regelung der DSGVO trat erst am 25.5.2018 in Kraft.
Neben der Sanktionierung des strukturellen Verstoßes verhängte die Behörde weitere Bußgelder gegen die Deutsche Wohnen. Zwischen 6.000 und 17.000 Euro soll alleine die unzulässige Speicherung von personenbezogenen Daten von Mietern in 15 konkreten Fällen kosten.
Die EU-Verordnung sieht bei DSGVO-Verstößen Zwangsgelder von bis zu 20 Millionen Euro beziehungsweise bis zu vier Prozent des Gesamtumsatzes vor. Der zugrundegelegte Umsatz der Deutsche Wohnen von 2018 hätte ein Bußgeld von insgesamt bis zu 28 Millionen Euro erlaubt.
Datenschutz: Handlungsbedarf bei Wohnungsunternehmen
Beim Wohnungskonzern LEG war im Juli 2019 vorübergehend ein Mieter-Portal abgeschaltet worden, nachdem ein Informatikstudent Sicherheitslücken öffentlich gemacht hatte. Es seien keine besonderen Computerkenntnisse notwendig gewesen, um sämtliche Daten anderer Mieter abzurufen, hieß es in einem Bericht des Westdeutschen Rundfunks (WDR).
In einem Interview mit dem "Tagesspiegel" erklärte die damalige Berliner Datenschützerin Maja Smoltczyk im November 2019, dass die massive Speicherung von Daten häufiger vorkomme und sich Unternehmen oft wenig Gedanken machten, ob die Daten überhaupt gespeichert werden müssten. Wohnungsunternehmen hätten zwar Vorhaltepflichten, müssten aber bei den personenbezogenen Mieterdaten Löschfristen beachten.
Um Unternehmen bei der Umsetzung der Datenschutz-Grundverordnung zu unterstützen, hat die Gesellschaft für Datenschutz und Datensicherheit (GDD) Praxishilfen zur DSGVO veröffentlicht. Unterstützung findet speziell die Immobilienbranche auch bei den Branchenverbänden.
Das könnte Sie auch interessieren:
Whistleblower-Schutz: Die Immobilienbranche muss handeln
Skandal um Mieterdaten: Brebau soll Millionen-Bußgeld zahlen
DSGVO in der Immobilienwirtschaft: 1x1 der Bußgeldberechnung
DSGVO: Behörden sollen strapazierten Unternehmen unter die Arme greifen