Ein unzulässiges Archivierungssystem wird Immobiliengesellschaft zum Verhängnis
Mit einem Paukenschlag endete der Oktober für eine deutsche Immobiliengesellschaft.
Nachdem sie bereits im Juni 2017 und im März 2019 bei einer Vor-Ort-Prüfung festgestellt hatte, dass das Unternehmen ein unzulässiges Archivierungssystem für die Speicherung personenbezogener Daten nutzt, hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit am 30. Oktober 2019 ein Bußgeld von rund 14,5 Millionen Euro verhängt. Dies teilte die entsprechende Stelle jetzt in einer Pressemitteilung mit.
Was war geschehen?
Das Unternehmen speicherte persönliche Daten Ihrer Mieter in einem Archivsystem, ohne zu prüfen, ob dies rechtlich erlaubt war.
Nachdem diese Daten nicht mehr gebraucht werden, müssen Sie nach dem Grundsatz der Datensparsamkeit laut Datenschutzgrundverordnung (DSGVO) gelöscht werden. Das System, welches die Immobilienfirma nutze, sah aber eine solche Löschung nicht vor. Nach den Vorgaben der DSGVO war dieses Archivierungssystem daher unzulässig.
Dies hatte die Berliner Datenschutzbeauftragte bereits bei den zwei Terminen vorab bemängelt. Das Unternehmen schaffte es aber nicht, diesen Mangel ordnungsgemäß zu beheben. In der Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit heißt es:
„Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen. Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt.“
Woraus resultiert die Höhe des Bußgeldes?
In Deutschland ist es das erste Mal, dass im Zuge der 2018 in Kraft getretenen DSGVO ein Bußgeld in dieser Höhe verhängt wurde. Das Bußgeld bemisst sich am Jahresumsatz des Unternehmens, was im vorliegenden Fall im gesetzlich vorgegeben Rahmen ca. 28 Millionen Euro gewesen wären (für 2018 ausgewiesener Jahresumsatz von über einer Milliarde Euro). Da das Unternehmen „durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hat“, wurde das Bußgeld entsprechend niedriger angesetzt.
Weitere Sanktionen
Es blieb allerdings nicht bei der Festsetzung einer Strafe. Da die Berliner Datenschutzbeauftragte in 15 konkreten Fällen Verstöße bei der Speicherung von personenbezogenen Daten feststellen konnte, folgten auch hier noch weitere Sanktionen. Im Vergleich zu den rund 14,5 Millionen Euro, fallen diese mit 6.000 – 17.000 Euro aber verhältnismäßig niedrig aus.
Sie betonte, dass es erfreulich sei, dass der Gesetzgeber mit der DSGVO die Möglichkeit eingeführt habe, solche strukturellen Mängel zu sanktionieren.
(Quelle: Pressemitteilung v. 5.November 2019 – Berliner Beauftragte für Datenschutz und Informationsfreiheit)
Prüfung der Speicherung ist unerlässlich
Auch wenn die Bußgeldentscheidung bisher nicht rechtskräftig ist (das Unternehmen kann hier noch Einspruch einlegen), so zeigt dieses Beispiel doch eindrücklich, wie wichtig es ist, die Speicherung personenbezogener Daten auf ihre Zulässigkeit zu prüfen. Auch wenn die zuständigen Beauftragten für Datenschutz erst einmal eine Empfehlung aussprechen, um die Mängel zu beheben, muss jedem Unternehmer klar sein, dass ein Bußgeld immer eine abschreckende Wirkung haben soll – also entsprechend hoch ausfällt.
Sie sind sich unsicher, ob Sie die personenbezogenen Daten in Ihrem Unternehmen DSGVO-konform aufbewahren oder welche Daten Sie besser löschen sollten?
Dann nehmen Sie gerne Kontakt zu uns auf – wir von Datenschutzberater.NRW helfen Ihnen gerne weiter.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.