Die Berliner Beauftragte für den Datenschutz und Informationsfreiheit hat (nicht rechtskräftig) am 30.10.2019 gegen Deutsches Wohnen SE eine DSGVO-Strafe von EUR 14.500.000,-- Mio verhängt. Sie spricht von einem „Datenfriedhof“
Der Sachverhalt
Deutsches Wohnen SE (als Verantwortlicher) betreibt nach Ansicht der Berliner Beauftragten für den Datenschutz eine Verarbeitung von Daten von Kunden, dh Mietern und Mieterinnen, ohne diejenigen Daten, die nicht mehr für den Verarbeitungszweck notwendig sind, zu löschen. Sie spricht von einem Datenfriedhof, der dem Gebot der Löschung der Daten bei Wegfall des Zweckes für den diese erhoben wurden, widerspricht.
Ein „Datenfriedhof“, der es nicht ermöglicht, Daten zu löschen, ist unzulässig. Archivsysteme müssen über Funktionen verfügen, die eine Löschung von Daten ermöglichen.
Dieses Fehlverhalten wurde bereits in einer Prüfung im Jahr 2017 festgestellt, und bei einer weiteren Überprüfung im Jahr 2019 konnte keine Verbesserung erkannt werden.
„Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen.
Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.“ (Auszug aus der Pressemitteilung)
Trotz der Empfehlung im Jahr 2017 das Archivsystem umzustellen, war es nach Ansicht der Aufsichtsbehörde nicht zulässig, die Daten in der konkreten Form zu verarbeiten. Der Verantwortliche konnte weder eine Bereinigung des Datenbestandes noch eine Rechtsgrundlage für die weitere Aufbewahrung (Speicherung) darlegen.
Es seien zwar Maßnahmen gesetzt worden, diese hätten jedoch nicht zur Compliance geführt.
Die Strafhöhe.
Deutsches Wohnen SE in Berlin verwaltet mehr als 160.000 Wohnungen, und hat im Jahr 2018 einen Umsatz von ca. 1,1 Mrd. EUR erwirtschaftet.
„Für die konkrete Bestimmung der Bußgeldhöhe hat die Berliner Datenschutzbeauftragte unter Berücksichtigung aller be- und entlastenden Aspekte die gesetzlichen Kriterien herangezogen. Belastend wirkte sich hierbei vor allem aus, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hat. Auch mit Blick darauf, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, war im Ergebnis ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen.“ (Auszug aus der Pressemitteilung)
Der Datenfriedhof als Risiko.
Die Datenschutzbeauftragte führte in der Pressemitteilung an, dass es sich um einen „Datenfriedhof“ handle, und es immer wieder vorkomme, dass bei Cyberangriffen auch derartige Daten abgefangen würden. Sie empfiehlt allen Verantwortlichen „ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen.“
Der Standpunkt des Verantwortlichen.
Deutsches Wohnen SE wird gegen den Bußgeldbescheid vorgehen.
In der Pressemitteilung des Verantwortlichen vom 5.11.2019 wird erwähnt, dass sich die Vorwürfe der Aufsichtsbehörde auf eine bereits abgelöste Archivlösung beziehen.
„Die Deutsche Wohnen betont ausdrücklich, dass keinerlei Daten von Mietern datenschutzwidrig an unternehmensfremde Dritte gelangt sind. Vielmehr hat die Deutsche Wohnen bereits im Jahr 2017 umfangreiche personelle und prozessuale Veränderungen eingeleitet, um den aktuellen Datenschutzanforderungen vollumfänglich gerecht zu werden.“ (Auszug aus der Pressemitteilung)
Löschpflicht nach DSGVO
Bei einer Hausverwaltung fallen Daten an, die für die Tatsache des Abschlusses des Mietvertrages mit Mietern wesentlich sind, zB Unterlagen über die Bonitätsprüfung. Zweck dieser Datenerhebung (und –verarbeitung) ist es, zu beurteilen, ob die Mieter in der Lage sind, die Miete auch zu bezahlen. Wenn die Entscheidung gefällt wurde, mit diesem Mieter ein Vertragsverhältnis zu begründen, ist der primäre Zweck dieser Verarbeitung weggefallen, und die Daten sind zu löschen, wenn es keinen anderen (Rechts-)Grund gibt, die Daten weiterhin aufzubewahren.
Die DSGVO schreibt ausdrücklich vor, dass Daten zu löschen sind, wenn diese „für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig“ (Art 17 Abs 1 lit a DSGVO).
Nur in Ausnahmefällen (siehe Art 17 Abs 3 lit a bis e DSGVO) darf von diesem Grundsatz abgewichen werden. Ein Grund könnte sein, dass das Unternehmen selbst nachweisen muss, dass beim Vertragsabschluss alle notwendigen Schritte zur Prüfung des Mieters eingehalten wurden (=Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen; Art 17 Abs 3 lit c DSGVO als Ausnahme von der Löschpflicht), wobei sich auch daraus eine zeitliche Limitierung der Aufbewahrung dieser Daten ergeben wird.
Fazit.
Die Löschung von Daten, nach Wegfall des Zweckes der Verarbeitung, ist einer der wesentlichen Eckpfeiler der DSGVO, und die Tatsache, dass Daten „ewig“ aufbewahrt werden, gibt den Aufsichtsbehörden die Möglichkeit gegen den jeweiligen Verantwortlichen vorzugehen. Dies kann auch zu empfindlichen Geldstrafen führen.
Archivsysteme müssen die Möglichkeit einer Datenlöschung vorsehen.
6.11.2019, Autor:
Michael Schweiger
Kommentar schreiben