Thema

Die Immobilienfirma „Deutsche Wohnen“ muss ein Bußgeld von 14,5 Millionen Euro zahlen, da sie Daten von Mietern in einem nicht löschbaren Archivsystem angelegt hat. Es ist das erste Bußgeld in Millionenhöhe, das von einer deutschen Datenschutzbehörde ausgesprochen wurde. Das erste Bußgeld in Deutschland wurde in Baden-Württemberg verhängt; das Bußgeld der Berliner Behörde gegen die Deutsche Wohnen ist jedoch das erste in Millionenhöhe. Viele andere Bundesländer werden in Kürze nachziehen.

Paul Voigt, Partner bei Taylor Wessing, ordnet das Vorgehen der Berliner Datenschutzbeauftragten ein.

Handelt es sich bei dem Millionen-Bußgeld gegen den Immobilienkonzern Deutsche Wohnen um einen Einzelfall oder den Auftakt einer Sanktionswelle seitens der Datenschutzbehörden?

Das hohe Bußgeld gegen die Deutsche Wohnen zeigt, dass die deutschen Datenschutzaufsichtsbehörden ihr erst vor wenigen Wochen veröffentlichtes Bußgeldkonzept auch in der Praxis zur Anwendung bringen. Dieses Bußgeldkonzept führt zu einer Erhöhung der verhängten Geldbußen. Wir werden daher in Zukunft eine deutliche Verschärfung im behördlichen Handeln erleben. Das Bußgeld gegen die Deutsche Wohnen war erst der Anfang.

Wie kulant und mit welcher Verhältnismäßigkeit begegnen die Datenschützer solchen Unternehmen und Einrichtungen, die derzeit noch nicht die Vorgaben der DSGVO erfüllen?

Die DSGVO ist seit eineinhalb Jahren in Kraft; die „Schonfrist“ ist abgelaufen. Wer noch keine DSGVO-Umsetzungsmaßnahmen ergriffen hat, wird auf wenig Verständnis bei den Aufsichtsbehörden stoßen.

Der Bußgeld-Bescheid kam für die Deutsche Wohnen nicht aus heiterem Himmel. Zuvor erfolgten Prüfungen und entsprechende Hinweise seitens der Datenschutzbehörde. Hat sich der Konzern nach dieser Vorgeschichte als grob fahrlässig verhalten?

Die Deutsche Wohnen hat die Beanstandungen der Berliner Datenschutzaufsicht dem ersten Anschein nach nicht hinreichend ernst genommen. Die Umsetzung der DSGVO-Vorgaben beansprucht jedoch Zeit, gerade wenn – wie wohl im Fall der Deutschen Wohnen – bestehende Software angepasst werden muss, um der DSGVO gerecht zu werden. Dies zeigt, dass Problempunkte zeitnah angegangen werden sollten.

Werden Unternehmen von der Datenschutzbehörde geprüft und auf eventuelle Missstände hingewiesen, bevor Bußgelder erhoben werden oder können diese auch situativ verhängt werden?

Datenschutzbußgelder werden für Fehlverhalten in der Vergangenheit verhängt. Auch ein wohlfeiles Verhalten gegenüber der Behörde wird das Bußgeld häufig nicht vermeiden können; eine Kooperation mit der Behörde kann jedoch – wie auch im Fall der Deutschen Wohnen – bußgeldmindernd wirken.

Können Unternehmen auch die Prüfung ihrer personenbezogenen Datenverarbeitung durch die Behörden beantragen, um einer Geldstrafe zuvorzukommen?

Nein.

Das erste Bußgeld nach Inkrafttreten der DSGVO wurde in Berlin verhängt. Müssen insbesondere datenverarbeitende Unternehmen in Berlin früher mit Sanktionen rechnen, weil die die Behörden dort in den Prüfungen weiter sind als in anderen Bundesländern?

Das erste Bußgeld in Deutschland wurde in Baden-Württemberg verhängt; das Bußgeld der Berliner Behörde gegen die Deutsche Wohnen ist jedoch das erste in Millionenhöhe. Viele andere Bundesländer werden in Kürze nachziehen.

Welche Schritte sollten Unternehmen umgehend einleiten, die derzeit wissentlich die DSGVO-Vorgaben nicht erfüllen?

Die Erfüllung der Grundprinzipien der DSGVO schützt doppelt: Sie vermeidet ein Fehlverhalten des Unternehmens – und somit Bußgelder. Auch wenn trotz der DSGVO-Umsetzungsbemühungen keine volle Rechtskonformität erreicht wird, wirkt eine robuste „DSGVO-Grundausstattung“ regelmäßig immerhin bußgeldmindernd.