14,5 Millionen € Bußgeld wegen DS-GVO-Verstoß
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk verhängte am 30. Oktober 2019 wegen Verstößen gegen die Datenschutz-Grundverordnung ein Bußgeld in Höhe von rund 14,5 Millionen Euro gegen die Deutsche Wohnen SE.
Bei zwei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 stellt die Aufsichtsbehörde fest, dass das Unternehmen ein elektronisches Archivsystem einsetzte, welches über keine Möglichkeit verfügt, nicht mehr erforderliche Daten zu löschen.
Auf dem System wurden personenbezogene Daten von Mieterinnen und Mietern wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge gespeichert. Das Unternehmen hatte laut Pressemitteilung der Datenschutzbehörde nicht überprüft, ob eine Speicherung zulässig oder überhaupt erforderlich ist.
Nachdem die Behörde bereits im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, das Archivsystem umzustellen, konnte die Deutsche Wohnen SE auch im März 2019 – also mehr als eineinhalb Jahre nach dem ersten Prüftermin – weder eine Bereinigung ihres Datenbestandes vorweisen, noch der Aufsichtsbehörde rechtliche Gründe für die fortdauernde Speicherung nennen.
Maja Smoltczyk wörtlich: „Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen. Es ist erfreulich, dass der Gesetzgeber mit der Datenschutz-Grundverordnung die Möglichkeit eingeführt hat, solche strukturellen Mängel zu sanktionieren, bevor es zum Daten-GAU kommt. Ich empfehle allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen.“.