14,5 Mio. Euro: Höchste GDPR-Geldbuße in Deutschland

Ein deutsches Immobilienunternehmen wurde von der Berliner Datenschutzbehörde wegen Verstoßes gegen die EU-Datenschutzgrundverordnung (DSGVO) zu einem Bußgeld in Höhe von 14,5 Millionen Euro verurteilt, wie die Behörde am 5. November 2019 in einer Pressemitteilung mitteilte. Es handelt sich um die höchste Geldstrafe, die in Deutschland seit dem Inkrafttreten der GDPR im Mai 2018 verhängt wurde.

Die Strafe folgt auf Ermittlungen der Behörde im Juni 2017 und März 2019. Nachdem bei der ersten Prüfung zunächst Verstöße gegen das damals geltende deutsche Datenschutzrecht festgestellt worden waren, empfahl die Behörde dringend, die Mängel zu beheben. Obwohl die Behörde bei der zweiten Prüfung feststellte, dass das Unternehmen Maßnahmen zur Vorbereitung der erforderlichen Anpassungen ergriffen hatte, waren die beanstandeten Sachverhalte weiterhin ungelöst und stellten einen fortgesetzten Verstoß gegen die DSGVO dar.

Worum ging es bei dem beanstandeten Verstoß gegen die Datenschutz-Grundverordnung?

Das Unternehmen nutzte ein Ablagesystem für Archivierungszwecke, in dem es Mietverträge mit seinen Privatkunden und damit verbundene Dokumente dokumentierte. Dieses Archiv enthält Informationen über die persönlichen und finanziellen Verhältnisse der Mieter, wie Gehaltsabrechnungen, Selbstauskunftsformulare, Auszüge aus Arbeitsverträgen, Kontoauszüge und Informationen über Steuern sowie Sozial- und Krankenversicherungen.

Die IT-Infrastruktur war so aufgebaut, dass die Löschung personenbezogener Daten nicht möglich war, um die Revisionssicherheit zu gewährleisten. Die Behörde erachtete dieses Datenbankdesign als problematisch, da die Aufbewahrung personenbezogener Daten auf den Zeitraum beschränkt ist, der für einen rechtlich anerkannten Zweck gemäß der Datenschutz-Grundverordnung erforderlich ist. Sie argumentiert, dass der angebliche Verstoß gegen die DSGVO dreifach war:

• Der Grundsatz der Speicherbegrenzung nach Art. 5(1)(e) GDPR besagt, dass personenbezogene Daten "so lange, wie es für die Erreichung der Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Person ermöglicht".
• Die Verpflichtung zum Datenschutz durch Technik und Voreinstellungen gemäß Art. 25(1) GDPR verpflichtet die für die Verarbeitung Verantwortlichen, "geeignete technische und organisatorische Maßnahmen [...] zu treffen, die geeignet sind, die Datenschutzgrundsätze [...] wirksam umzusetzen".
• Jede Verarbeitung personenbezogener Daten, einschließlich der bloßen Vorratsdatenspeicherung, muss im Einzelfall nach Art. 6 DSGVO rechtlich gerechtfertigt sein (z. B. dass die betroffene Person ihre Einwilligung gegeben hat oder dass die Speicherung für die Erfüllung eines Vertrags mit dem Verbraucher oder zur Erfüllung rechtlicher Verpflichtungen erforderlich ist). Die Behörde hat 15 Einzelfälle von Mietern angefochten, in denen es keine Rechtsgrundlage für die weitere Archivierung der Informationen gab.

Die Entscheidung ist noch nicht rechtskräftig. Das betroffene Immobilienunternehmen kann Einspruch erheben und sowohl die faktischen Feststellungen der Behörde als auch ihre rechtliche Auslegung der DSGVO anfechten.

Was müssen wir tun, um die Verpflichtungen zur Datenspeicherung zu erfüllen?

Unternehmen können gute Gründe haben, manipulationssichere Archivierungssysteme einzusetzen, die eine Änderung der betreffenden Daten verhindern, z. B. zur Beweissicherung bei möglichen Steuerprüfungen. Diese Systeme müssen jedoch so konzipiert sein, dass sie die tatsächlichen, gesetzlich vorgeschriebenen Aufbewahrungsfristen widerspiegeln und nicht verhindern, dass Daten nach Ablauf dieser Fristen gelöscht werden.

Die für die Datenverarbeitung Verantwortlichen dürfen diese Verpflichtung nicht einfach an ihre Softwareanbieter weitergeben, da die Verpflichtung zur Einhaltung der Grundsätze der Speicherbegrenzung und des Datenschutzes durch Technik für den Dateneigentümer selbst gilt. Den Unternehmen wird daher empfohlen, zwei Fragen zu prüfen:

• Gibt es eine angemessene und konforme Richtlinie zur Datenaufbewahrung, einschließlich interner Standards, wie auf Kunden zu reagieren ist, die ihr "Recht auf Vergessenwerden" ausüben, und die alle Kategorien personenbezogener Daten abdeckt, die in den Anwendungsbereich der Datenschutz-Grundverordnung fallen? Die Ausarbeitung einer solchen Richtlinie ermöglicht es, die geltenden Aufbewahrungsfristen, die rechtlichen Anforderungen zur Löschung bestimmter Informationen und den Stand der Datenverwaltung des Unternehmens zu überprüfen.
• Entsprechen die eingesetzten IT-Lösungen, z. B. für die Archivierung, das CRM oder die Buchhaltung, den Anforderungen des Grundsatzes des eingebauten Datenschutzes? Die Unternehmen sollten prüfen, ob die technische Umgebung es ihnen tatsächlich ermöglicht, ihre geplante Datenspeicherungspolitik in die Praxis umzusetzen.

Was bedeutet die Höhe der Geldbuße für unsere GDPR-Risikoanalyse?

Bei der Verhängung von Sanktionen werden zwei Kategorien für die Begrenzung des Höchstbetrags der Geldbuße eingeführt:

• Die Nichteinhaltung von "geringfügigen" Verpflichtungen der DSGVO, wie z. B. die Verpflichtung, Aufzeichnungen über Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO) oder einen Datenschutzbeauftragten zu benennen (Art. 37 DSGVO), kann zu Geldbußen von bis zu 10 Mio. EUR führen. EUR oder bis zu 2 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist.
• Die Nichteinhaltung "wichtiger" Verpflichtungen der DSGVO, wie die rechtmäßige Verarbeitung personenbezogener Daten gemäß Art. 6 und 9 DSGVO oder die korrekte Beantwortung von Anfragen von Verbrauchern, die ihre Rechte nach der DSGVO geltend machen (Art. 12-22 DSGVO), kann zu Geldbußen von bis zu 20 Mio. EUR oder bis zu 2 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist.

Diese Zahlen erscheinen bedrohlich, doch sind Strafen in Millionenhöhe eher die Ausnahme. Gemäß Art. 83 der Datenschutz-Grundverordnung müssen die Sanktionen "in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein". Dabei sind mehrere Faktoren zu berücksichtigen, z. B. die Art, Schwere und Dauer des Verstoßes, der vorsätzliche oder fahrlässige Charakter des Verstoßes oder die Maßnahmen, die der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter ergriffen hat, um den Schaden für die betroffenen Personen zu mindern.

Im vorliegenden Fall erkannte die Behörde an, dass das Unternehmen, das einen Jahresumsatz von mehr als 1 Milliarde Euro erwirtschaftet, erste Schritte unternommen hatte, um den Zustand der Nichteinhaltung zu beenden. Andererseits hat die Behörde sowohl den vorsätzlichen als auch den langfristigen Charakter des Verstoßes gegen das Unternehmen abgewogen.

Da die Durchsetzung der DSGVO weiterhin Aufgabe der nationalen Datenschutzaufsichtsbehörden in den EU-Mitgliedstaaten ist, kann die Praxis der Abwägung dieser Faktoren in der EU unterschiedlich sein. Unternehmen, die keine Niederlassung in der EU haben, müssen sich möglicherweise mit verschiedenen Behörden auseinandersetzen, die gleichzeitig für die Prüfung des Nicht-EU-Unternehmens zuständig sind, je nachdem, wo sich die betroffene Person befindet.