Ob Sie lieber eine E-Mail senden, zum Telefon greifen oder das gute alte Fax nutzen. Wir freuen uns, von Ihnen zu hören.
Millionenbußgeld wegen „Datenfriedhof“ – Neues zu Löschpflichten nach der DSGVO
Die Berliner Datenschutzbeauftragte hat gegen das Immobilienunternehmen Deutsche Wohnen SE kürzlich ein Rekordbußgeld in Höhe von 14,5 Millionen Euro aufgrund schwerwiegender Verstöße gegen das Datenschutzrecht verhängt. Dabei handelt es sich um das bisher höchste von deutschen Datenschutzbehörden verhängte Bußgeld. Die „Schonzeit“ zur Einhaltung der Vorgaben der Datenschutzgrundverordnung (DSGVO) ist aus Sicht der Datenschutzbehörden nun vorbei.
Ausweislich der Pressemitteilung der Berliner Datenschutzbehörde wurde bei einer Überprüfung festgestellt, dass Mieterdaten durch die Deutsche Wohnen SE in einem Archivsystem ohne Löschmöglichkeit gespeichert wurden. Bei den gespeicherten Daten handelte es sich um sensible Angaben über die persönlichen und finanziellen Verhältnisse der Mieter der Deutsche Wohnen SE. Diese personenbezogenen Daten wurden über Jahre hinweg gespeichert, ohne zu überprüfen, ob eine Speicherung dieser Daten überhaupt zulässig oder (noch) erforderlich ist. Ein solches Archivsystem verstößt nach Auffassung der Behörde sowohl gegen die Grundsätze des Art. 5 DSGVO als auch gegen das Gebot des Datenschutzes durch Technikgestaltung (Art. 25 DSGVO).
Aus rechtlicher Sicht richtet sich die Zulässigkeit der Speicherung solch personenbezogener Daten seit 25.05.2018 nach der DSGVO. Grundsätzlich müssen diese gelöscht werden, sobald sie für den Zweck für den sie erhoben wurden nicht mehr erforderlich sind oder von vorneherein keine Legitimationsgrundlage für deren Speicherung bestand. Immobilienunternehmen haben dabei sowohl bei Mietinteressenten als auch bei laufenden Mietverhältnissen sowie ehemaligen Mietern unterschiedliche Speicherfristen zu beachten. Welche Informationen überhaupt gespeichert werden dürfen und für wie lange ist stark von dem Zweck und dem Zeitpunkt der Datenerhebung abhängig.
Für Mietbewerber gilt grundsätzlich, dass eine Löschung der Daten nicht berücksichtigter Interessenten erfolgen muss, sobald der Mietvertrag mit dem ausgewählten Mieter abgeschlossen wird. Klassischerweise werden neben den Kontaktinformationen auch Informationen wie Kontoauszüge und Selbstauskünfte im Zuge des Bewerbungsprozesses gesammelt und müssten dann gelöscht werden. Wenn Interessenten dies wünschen, dürfen ihre Daten allerdings auch weiterhin gespeichert werden, um ihnen beispielsweise eine andere Wohnung aus dem Portfolio anbieten zu können. Hierzu muss jedoch eine wirksame Einwilligung eingeholt werden, was aus Dokumentations- und Nachweisgründen am besten schriftlich erfolgt. Ob und in welchem Umfang die Erhebung von Selbstauskünften überhaupt nach der DSGVO rechtmäßig ist, ist derzeit auch Gegenstand diverser Gerichtsverfahren.
Aber auch die Daten ehemaliger Mieter oder sonstiger Vertragspartner dürfen nicht unbefristet gespeichert werden. Zunächst zulässig gespeicherte Daten sind dann zu löschen, wenn sie für die Erfüllung des Vertragsverhältnisses nicht mehr erforderlich sind und etwaige gesetzliche Aufbewahrungspflichten nicht (mehr) bestehen. Anstelle der Löschung kann die Sperrung treten wenn gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen bestehen. Solche Aufbewahrungsfristen ergeben sich z.B. aus dem Steuerrecht oder wenn die Daten eventuell noch zur Verteidigung oder Geltendmachung von Rechtsansprüchen gegen den ehemaligen Mieter benötigt werden.
Die DSGVO ermöglicht den zuständigen Aufsichtsbehörden bei Verstößen Bußgelder zu verhängen, die im Einzelfall nicht nur wirksam und verhältnismäßig sein müssen, sondern auch abschreckend sind. Grundlage für die Bemessung von Geldbußen ist daher der weltweit erzielte Vorjahresumsatz des verstoßenden Unternehmens bzw. bei Konzernunternehmen der Konzernumsatz. Je nach Schwere des Verstoßes drohen Geldbußen von bis zu 4 Prozent des Vorjahresumsatzes. Dies kann bei umsatzstarken Unternehmen wie der Deutsche Wohnen SE zu Bußgeldern in Höhe von Millionen- oder Milliardenbeträgen führen.
HANDLUNGSEMPFEHLUNG FÜR DIE PRAXIS
Das Vorgehen der Berliner Datenschutzbehörde wird sicherlich kein Einzelfall bleiben. Für „Datenfriedhöfe“ innerhalb von Unternehmen ist nun vermehrt mit Ahndung und Verhängung von Bußgeldern in beträchtlicher Höhe zu rechnen.
Unternehmen der Immobilienwirtschaft sollten eine Bestandsaufnahme ihrer innerbetrieblichen datenschutzrechtlichen Compliance vornehmen, um den Umsetzungsstand der DSGVO im Unternehmen zu erfassen und dringenden Handlungsbedarf zu identifizieren. Insbesondere ist dabei auf eine datenschutzkonforme Speicherung und Archivierung von Mieterdaten zu achten und es sind praxistaugliche Löschkonzepte für die vorhandenen Datenbestände zu entwickeln. Daneben sollte eine Strategie hinsichtlich der Abläufe und Entscheidungskompetenzen für den Fall der Aufdeckung von Verstößen entwickelt werden. Die Erfahrung zeigt, dass insbesondere große Wohnungsbaugesellschaften und Projektentwicklungsunternehmen hier noch Nachholbedarf haben.