Teurer Datenfriedhof - 14,5 Mill. Bußgeld nach DSGVO für ein überfülltes Datenarchiv

Lange haben sich die Geldbußen in Sachen DSGVO-Verstößen zumindest in Deutschland in Grenzen gehalten. Das hat sich mit einem Paukenschlag geändert.

Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängt Bußgeld gegen "Deutsche Wohnen"

Aufgrund von Verstößen gegen die DSGVO hat jetzt die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen das Unternehmen "Deutsche Wohnen SE" ein Bußgeld in Höhe von 14,5 Millionen Euro verhängt.

Fällig wurde das rekordverdächtige Bußgeld, nachdem bei Datenschutz-Überprüfungen im Juni 2017 und März 2019 erhebliche Verstöße festgestellt wurde.

Archiv für Mieterdaten ohne Datenlöschansatz und Erheblichkeitsprüfung

Ausschlaggebend war, dass das Unternehmen ein Archivsystem zur Speicherung personenbezogener Daten der Mieter und Mieterinnen verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen.

In diesem Archivsystem wurden personenbezogene Daten gespeichert, ohne zu überprüfen, ob diese Speicherung überhaupt zulässig und notwendig war. So wurden zahlreiche Einzelfälle festgestellt, bei denen teilweise Jahre alte private Angaben einsehbar waren, ohne dass diese Daten noch ihrem ursprünglichen Zweck dienen konnten. Hierzu gehörten etwa Angaben zu den finanziellen Verhältnissen wie etwa Gehaltsbescheinigungen, Steuer- oder auch Krankenversicherungsdaten.

Teure Beratungsresistenz: Keine Reaktion des Unternehmens auf Empfehlung Datenschutzbehörde

Erschwerend kam in diesem Fall hinzu, dass die Datenschutzbehörde dem Unternehmen bereits nach einer ersten Überprüfung 2017 dringend empfohlen hatte, das Dateisystem entsprechend umzugestalten.  Dieser Aufforderung war jedoch auch gut anderthalb Jahre später und neun Monate nach dem Inkrafttreten der DSGVO immer noch nicht nachgekommen worden. Lediglich einige Vorbereitungen zur Beseitigung der Missstände waren getroffen worden, die Mängel selbst waren jedoch noch nicht beseitigt.

Hintergründe zur Bemessung der Geldbuße

Bei der Bemessung der Bußgeldhöhe orientierte sich die Datenschutzbehörde am Jahresumsatz des Unternehmens, der im Jahr 2018 bei über einer Milliarde Euro lag, wodurch sich ein Rahmen von bis zu 28 Millionen Euro ergab.

Nach Berücksichtigung aller be- und entlastenden Aspekte kam die Behörde auf den nun geforderten Betrag: Neben der Ahnung dieses strukturellen Verstoßes wurden zugleich noch weitere Bußgelder wegen unzulässiger Datenspeicherung in 15 konkreten Einzelfällen zwischen 6.000 und 17.000 Euro verhängt.

Der Bußgeldbescheid ist noch nicht rechtskräftig, und das betroffene Unternehmen hat mittlerweile angekündigt, Einspruch einzulegen.

Datenfriedhof war kein Einzelfall

Die Berliner Datenschutzbeauftragte Maja Smoltczyk geht davon aus, dass solche Datenfriedhöfe wie bei dem Immobilienunternehmen bei weitem kein Einzelfall sind und auch in der Aufsichtspraxis immer wieder auffallen.

Die Brisanz solcher Datensammlungen zeige sich vor allem bei Cyberangriffen, wenn es zu missbräuchlichen Zugriffen auf diese Informationen komme (→ Cyber-Kriminalität wird in den Unternehmen immer noch unterschätzt).

Datenarchivierung auf Vereinbarkeit mit der DSGVO zu überprüfen

Aber auch schon ohne derartig gravierenden Folgen handele es sich bei solchen Datensammlungen um einen „eklatanten Verstoß gegen die Grundsätze des Datenschutzes“. Sie empfiehlt daher dringend allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DSGVO zu überprüfen.

Zu wenig Personal bei den Datenschutzbehörden

Den mit der DSGVO deutlich erhöhten Bußgeldrahmen begrüßte die Datenschützerin noch einmal ausdrücklich. Viele der Vorgaben hätte auch schon vor der DSGVO gegolten, aber erst durch die jetzt deutlich höheren Bußgelder, sei ein größerer Respekt für den Datenschutz entstanden. Allerdings fehle es ihrer Behörde an Personal, um allen Hinweisen nachgehen zu können, wie es eigentlich vorgesehen und auch wünschenswert sei.

Hintergrund: Befragung zur DSGVO-Umsetzung in 500 Firmen 

Für eine Studie des Branchenverbands Bitkom wurden die Datenschutzverantwortlichen in rund 500 Firmen mit mindestens 20 Mitarbeitern befragt. Demnach hat

• erst ein Viertel der Unternehmen die neuen Vorgaben umgesetzt,
• ein knappes weiteres Viertel (24 Prozent) hat immerhin wesentliche Teile umgesetzt.
• Bei insgesamt 67 Prozent der Unternehmen sollen die neuen Vorgaben „in großen Teilen“ umgesetzt worden sein.
• 6 Prozent der Unternehmen sehen sich dagegen erst ganz am Anfang dieses Prozesses,
• weitere 24 Prozent sind noch nicht besonders weit gekommen.

Umsetzung unmöglich? Vielfältige Schwierigkeiten 

Eine vollständige Umsetzung wird in vielen Unternehmen allerdings als unmöglich angesehen. Die größten Herausforderungen sehen die Verantwortlichen in der immer noch herrschenden Rechtsunsicherheit und dem schwer abzuschätzenden Aufwand für die Umsetzung der Maßnahmen. Als weitere Hindernisse verweisen die Befragten auf

• fehlende Umsetzungshilfen
• und fehlendes Fachpersonal.

Hoher Aufwand durch Informations- und Dokumentationspflichten

Den größten Aufwand bei der Umsetzung sehen nahezu alle befragten Unternehmen (97 Prozent) in den neuen Informations- und Dokumentationspflichten, aber auch die Katalogisierung der Prozesse (93 Prozent) oder das Vertragsmanagement (86 Prozent) werden als besonders aufwändig genannt. Auch die notwendige Anpassung der Websites führt in vielen Betrieben (82 Prozent) zu einem hohen Aufwand.