Der Berliner Immobilienkonzern Deutsche Wohnen muss 14,5 Millionen Euro Strafe wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) zahlen. Das teilte die Berliner Beauftragte für Datenschutz, Maja Smoltczyk, am Dienstag mit.
Die obenstehende Pressemitteilung macht im Moment in allen Medien die Runde. Was nach einem neuen Rekordbußgeld in Deutschland klingt, macht vielen Unternehmen im Moment Angst. Grund für uns, dieses Bußgeld genauer zu betrachten.
Ja, die Höhe des Bußgeldes ist beachtlich. Auch wenn bei einem Umsatz von 1,1 Milliarden Euro der Höchstrahmen von 2-4% noch nicht erreicht ist, dieses Bußgeld setzt neue Maßstäbe.
Ist es das Ergebnis der konsequenten Anwendung der neuen Bußgeldberechnung (siehe unsere Information vom 23.10.2019)? Auch wenn uns noch keine Informationen dazu vorliegen, wie dieser Wert ermittelt wurde, es sieht fast so aus.
Was war passiert?
Bereits 2017 wurde die Deutsche Wohnen darauf hingewiesen, dass die massenhafte Speicherung von Bewerberdaten im Archivsystem nicht zulässig sei. Teilweise soll es um Daten wie Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, aber auch Steuer-, Sozial- und Krankenversicherungsdaten und Kontoauszüge gegangen sein. Eine Löschung im Archiv war nicht möglich.
Bei einer erneuten Überprüfung im März dieses Jahrs soll sich an dem Zustand nichts geändert haben. Weshalb nun das Bußgeld verhängt wurde.
Was passiert jetzt?
Bevor nun tatsächlich die 14,5 Millionen Euro den Besitzer wechseln, wird sich wohl mindestens ein Gericht mit dem Fall beschäftigen müssen. Die Deutsche Wohnen SE will den Bescheid gerichtlich prüfen lassen. Dies liegt auch an der unterschiedlichen Ansicht der Parteien. Während der Deutschen Wohnen vorgeworfen wird, es habe sich nicht geändert, behauptet das Unternehmen, dass das Archiv gar nicht mehr aktiv genutzt wird und sehr wohl eine Änderung in den Prozessen stattgefunden habe.
Was lernen wir daraus?
Die Berliner Datenschutzbeauftragte Maja Smoltczyk erklärte zu dem Rekordbußgeld am Dienstag: „Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist.“ Aber auch ohne solch einen „Daten-Gau“ handele es sich um einen „eklatanten Verstoß gegen die Grundsätze des Datenschutzes“.
Dem stimmen wir im Grunde zu. Wir erinnern in diesem Zusammenhang nochmals an die Zweckbindung der Datenerhebung. Wenn der Zweck der Datenverarbeitung entfällt, sind nicht mehr benötigte Daten zu löschen. Tatsächlich tun sich viele Mitarbeiter in den Unternehmen und eben auch teilweise die Unternehmer noch schwer, wenn es um die Löschung alter Daten geht. Was Daten betrifft, gibt es heute noch viele digitale Jäger und Sammler.
Zusammen mit der Erfassung Ihrer Verarbeitungen im Verzeichnis der Verarbeitungstätigkeiten wurde die regelmäßige Aufbewahrungsfrist für die jeweiligen Daten bestimmt. Prüfen Sie nochmals Ihre Prozesse und Anwendungen, ob eine Löschung nach den vorgesehenen Zeitrahmen möglich ist. Sensibilisieren Sie Ihre Mitarbeiter: Archivieren Sie nur die Unterlagen, die benötigt werden, also jene zu welchen ein Zweck zur Archivierung vorhanden ist. Wir erinnern hier beispielhaft nochmal an die Bewerbungsunterlagen im Rahmen von Stellenausschreibungen, die ebenfalls nach Abschluss des Bewerbungsverfahrens zu löschen sind.
