Daten zu persönlichen und finanziellen Verhältnissen

Personenbezogene Daten von Mietern seien gespeichert worden, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen hätten daher teilweise Jahre alte private Angaben betroffener Mieter eingesehen werden können, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handele sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieter, wie beispielsweise Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Missstände mehr als eineinhalb Jahre später nicht beseitigt

Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen habe, das Archivsystem umzustellen, konnte das Unternehmen nach Mitteilung der Behörde auch im März 2019, mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Anwendungsbeginn der Datenschutz-Grundverordnung weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Zwar habe das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen. Diese Maßnahmen hätten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt. Die Verhängung eines Bußgeldes wegen eines Verstoßes gegen Artikel 25 Abs. 1 DS-GVO sowie Artikel 5 DS-GVO für den Zeitraum zwischen Mai 2018 und März 2019 sei daher zwingend gewesen.

Rahmen zur Bußgeldbemessung bei 28 Millionen Euro

Die Datenschutz-Grundverordnung verpflichte die Aufsichtsbehörden sicherzustellen, dass Bußgelder in jedem Einzelfall nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sind. Anknüpfungspunkt für die Bemessung von Geldbußen sei daher unter anderem der weltweit erzielte Vorjahresumsatz betroffener Unternehmen. Aufgrund des im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro habe der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den festgestellten Datenschutzverstoß bei rund 28 Millionen Euro gelegen.

Beanstandete Archivstruktur bewusst angelegt

Für die konkrete Bestimmung der Bußgeldhöhe habe die Berliner Datenschutzbeauftragte unter Berücksichtigung aller be- und entlastenden Aspekte die gesetzlichen Kriterien herangezogen. Belastend habe sich hierbei vor allem ausgewirkt, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd sei hingegen berücksichtigt worden, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet habe. Auch mit Blick darauf, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, war nach Auffassung der Behörde im Ergebnis ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen.

Weitere Bußgelder wegen unzulässiger Speicherung in konkreten Einzelfällen

Neben der Sanktionierung dieses strukturellen Verstoßes verhängte die Berliner Datenschutzbeauftragte gegen das Unternehmen noch weitere Bußgelder zwischen 6.000 bis 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mietern in 15 konkreten Einzelfällen. Die Bußgeldentscheidung ist bisher nicht rechtskräftig. Die Deutsche Wohnen SE kann noch Einspruch einlegen.