Die Berliner Datenschutzbehörde hat gegen die Wohnungsgesellschaft Deutsche Wohnen mit 14,5 Millionen Euro das bislang höchste Bußgeld in der deutschen Datenschutzgeschichte verhängt. Bereits in den vergangenen Monaten zeichnete sich bei den deutschen Behörden eine größere Bereitschaft ab, den Bußgeldrahmen der EU-Datenschutzgrundverordnung (DSGVO) bei Datenschutzverstößen intensiver und in Gestalt höherer Bußgelder zu nutzen.
Das bisher höchste und erst kürzlich verhängte Bußgeld von 195.000 Euro gegen den Lieferdienst "Delivery Hero" fiel im europäischen Vergleich dennoch verhältnismäßig milde aus. So forderte die britische Datenschutzbehörde von British Airways bereits ein Bußgeld in Höhe von 200 Millionen Euro, während die französische Aufsichtsbehörde von Google Zahlungen in Höhe von 50 Millionen Euro verlangte.
Eine Übersicht über bisher ergangene Bußgeldbescheide finden Sie in dem interaktiven Bußgeld-Atlas.
Kein ausreichendes Löschkonzept
Anlass für den Bußgelderlass gegen die Deutsche Wohnen war die Verwendung eines Archivsystems zur Erfassung personenbezogener Daten, das keine Möglichkeit zur Löschung von nicht mehr erforderlicher Daten vorsah. Das Unternehmen speicherte dabei sensible Daten von Mietern oder Interessenten auch Jahre nach Beendigung des Mietverhältnisses. Dazu zählten beispielsweise Gehaltsnachweise, Selbstauskunftsformulare, Arbeitsverträge, sowie Steuer-, Sozial- und Krankenversicherungsdaten.
Die Aufsichtsbehörde sah darin einen Verstoß gegen Artikel 5 (Grundsatz der Datenminimierung und Speicherbegrenzung) und Artikel 25 (Datenschutz durch Technikgestaltung) der DSGVO. Nach diesen Vorschriften dürfen Unternehmen personenbezogene Daten nur so lange speichern und verarbeiten, wie dies für den Zweck, zu dem sie erhoben wurden, erforderlich ist.
Bei einem ersten Prüfungstermin im Jahr 2017, also noch vor Inkrafttreten der DSGVO, rügte die Datenschutzbeauftragte bereits das Vorgehen des Unternehmens. Bei einer weiteren Kontrolle im März 2019 hatte die Deutsche Wohnen trotz nachdrücklicher Aufforderung weder ihren Datenbestand entsprechend der gesetzlichen Anforderungen bereinigt, noch konnte sie rechtliche Gründe für die fortdauernde Speicherung der Daten anführen.
Bußgeld-Modell der Aufsichtsbehörden
Mit Einführung der DSGVO hat sich der mögliche Bußgeldrahmen von vormals 300.000 Euro auf bis zu vier Prozent des weltweiten Jahresumsatzes des Mutterkonzerns beziehungsweise bis zu 20 Millionen Euro deutlich erhöht. Im Gegensatz zu anderen EU-Staaten zögerten die deutschen Aufsichtsbehörden aber bisher bei der Ausschöpfung dieses Bußgeldrahmens.
Mit der Einführung und Anwendung des neuen Bußgeldmodells dürften die Strafen in Zukunft jedoch deutlich höher ausfallen. Dadurch sollen Unternehmen weiter für Datenschutzbelange sensibilisiert, gleichzeitig aber auch ein Abschreckungseffekt erzielt werden. Das Bußgeld wird dabei zunächst schematisch anhand des Jahresumsatzes des Unternehmens ermittelt, bevor die Umstände des Einzelfalles zu einer Milderung oder Verschärfung führen können.
Im Fall der Deutsche Wohnen hatte die Behörde bei der konkreten Bemessung diverse be- und entlastende Umstände zu berücksichtigen. Nachteilig wirkte sich dabei für das Immobilienunternehmen aus, dass das Archivsystem bewusst in seiner konkreten Form angelegt wurde. Entlastend wirkte sich dagegen die Bereitschaft zur Zusammenarbeit mit den Behörden und die Einleitung erster Schritte zur Behebung der Missstände aus, auch wenn diese den gesetzlichen Erfordernissen nicht genügten.
Praxishinweis
Mit dem nun ergangenen Rekordbußgeld setzt sich der unter Brancheninsidern seit langem erahnte und erwartete Trend zu mehr Sanktionswillen der Datenschutzexekutive weiter fort. Eigentlich sollte der Datenschutz nach Willen des Verordnungs- und Gesetzgebers für Unternehmen ein Aushängeschild à la "Data Protection made in Europe" sein und entsprechende Chancen bieten.
Seit Einführung der DSGVO zeigt sich jedoch kontinuierlich, dass es vor allem die Abschreckungswirkung stetig steigender Bußgeldhöhen sind, die Unternehmen auf einen datenschutzkonformen Kurs bringen. Da diese Entwicklung den Aufsichtsbehörden nicht verschlossen bleibt, steht zu erwarten, dass sich der besagte Trend zu mehr und höheren Bußgeldern mit dem neuen Berechnungsmodell auch in Deutschland weiter fortsetzt.
Diesem Trend werden Unternehmen nur mit einem sorgfältigen und rechtskonformen Datenschutzkonzept in der eigenen Organisation begegnen können, wozu insbesondere auch ein Lösch- und Archivierungskonzept gehört. Die Einführung oder Optimierung eines solchen Konzepts kann dabei nicht nur vor Bußgeldern schützen, sondern auch Synergien und sogar Wachstumspotential durch Effizienzsteigerung bei verkrusteten Prozessen freisetzen.
So führen Sie ein Lösch- und Archivierungssystem ein
Die Erstellung eines Löschkonzepts erfolgt in der Regel in diesen vier Schritten:
1. Umfangsanalyse
Zunächst sollte geklärt werden, in welchem Umfang und in welcher Tiefe die Löschung erfolgen soll. Dabei sollten die Kosten vollständiger Compliance und eventuelle Risiken durch Bußgelder oder einen Imageverlust abgewogen werden. Eine Auflistung der Unterlagen und ihrer Bezüge, die Bestandteil des Konzepts sind, sollte in einer Dokumentationsstruktur organisiert werden. Im Einklang mit anerkannten Best Practices, etwa der Richtlinie zur Erstellung eines Löschkonzepts DIN 66398, sollte weiter dargestellt werden, wie das Löschkonzept entwickelt und gepflegt werden soll.
2. Festlegung von Datenkategorien und Löschfristen
Im Anschluss gilt es, einzelne Datenkategorien zu bilden und explizite Löschfristen für diese festzulegen. Bei der Festlegung der Löschfristen ist zunächst zu prüfen, ob gesetzliche Fristen existieren. Beispielhaft sind hier die Verpflichtung zur Aufbewahrung von Geschäftsunterlagen nach § 257 Handelsgesetzbuch oder § 147 der Abgabenordnung zu nennen. Hier empfiehlt es sich, konkrete Kriterien zu erarbeiten und diese zu dokumentieren. Die gesetzlichen Fristen können dafür als Grundlage dienen.
Zu beachten ist aber, dass mit Ablauf der Aufbewahrungsfrist nicht automatisch eine Löschpflicht entsteht, da weiterhin ein legitimes Interesse an der Speicherung bestehen kann, um zum Beispiel bei Rechtsstreitigkeiten etwaigen Auskunftspflichten nachkommen zu können. Für solche Sonderfälle müssen spezielle Prozesse entwickelt werden.
3. Bestimmung eines Löschverantwortlichen
Neben der Festlegung einer verantwortlichen Person kann die Löschung auch automatisiert erfolgen, was unter Effizienzgesichtspunkten sinnvoll ist. Dabei gilt es, die Vorgaben für die Umsetzung der Löschmaßnahmen und die entsprechenden Löschregeln zu konkretisieren und regelmäßig zu überprüfen, ob sie eingehalten werden. Typische Fragestellungen betreffen hier beispielsweise den Löschmechanismus, ob die Regellöschfrist zu beachten ist oder ob die Daten schon früher gelöscht werden können.
4. Einbettung in verwandte Themen
Ein erfolgreiches Löschkonzept sollte stets in andere Systeme eingebettet sein. Regelmäßig sind Daten miteinander verknüpft, sodass die Löschung an einer Stelle zu Problemen an anderen Stellen führen kann oder eine Löschung überhaupt nicht möglich ist. Weiterhin relevant sind der Umgang mit individuellen Löschanträgen durch betroffene Personen, sowie eine Dokumentation der Zwecke, zu denen Daten erhoben, gespeichert oder anderweitig verarbeitet werden. Dies ist zur Bewertung einer angemessenen Speicherfrist erforderlich. (jd)