3 Lehren aus dem Millionen-Bußgeld gegen Deutsche Wohnen

Am 5. November 2019 teilte die Berliner Beauftragte für Datenschutz und Informationsfreiheit per Pressemitteilung mit, dass sie gegen Deutsche Wohnen SE ein Bußgeld in Höhe von 14,5 Millionen Euro verhängt hat. Mit dieser Sanktion durchbricht die Behörde alle bisherigen Rekorde in Deutschland, was Bußgelder wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) angeht. Zum Vergleich: das bisher höchste Bußgeld in Deutschland lag bei „nur“ knapp 190.000 Euro.

Welche Lehren können Unternehmen und Organisationen nun aus dem Verfahren ziehen, um ähnlich drastische Strafen zu vermeiden? Schließlich sieht die DSGVO Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes vor, je nachdem welche Grenze höher (!) ist.

1. Auflagen der Aufsichtsbehörden sind ernst zu nehmen

Einer der Hauptgründe dafür, dass das Bußgeld überhaupt so hoch ausfiel, war, dass die Behörde bereits im Juni 2017 bei einem Vor-Ort-Termin erhebliche Mängel festgestellt und Vorgaben zru Behebung gemacht hatte. Bis zur nächsten Prüfung im März 2019 ist dann aber nicht viel geschehen. Die eineinhalb Jahre Umsetzungszeitraum wurden nach Aussage der Behörde zwar für „Vorbereitungen zur Beseitigung der aufgefundenen Missstände“ genutzt. Gleichwohl führten die getroffenen Maßnahmen nicht zur „Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten“.

Im Artikel 83 der DSGVO werden allgemeine Grundregeln für die Verhängung von Bußgeldern festgelegt. Dabei soll eine ganz entscheidende Rolle spielen, inwiefern Unternehmen Maßnahmen zur Verringerung und Vermeidung von Schäden für betroffene Personen ergriffen habel, in welchem Umfang sie bei der Behebung des Datenschutzverstoßes mit der Aufsichtsbehörde zusammengearbeitet haben und ob ausdrückliche Vorgaben der Aufsichtsbehörde eingehalten wurden. Diese Punkte müssen alle angemessen strafmindernd berücksichtigt werden, oder halt strafverschärfend, wenn sie ausbleiben. Die DSGVO gibt also schon einen Weg vor, wie das Bußgeldrisiko noch verringert werden kann, selbst wenn Mängel bereits identifiziert wurden.

Lehre: Wenn Aufsichtsbehörden in Prüfungen Mängel beim Datenschutz feststellen, sind Unternehmen gut beraten diese umgehend zu beheben. Für den Fall, dass ein Unternehmen die Feststellungen der Behörde als fehlerhaft betrachtet, sollten Einsprüche eingelegt und ggf. eine rechtlich bindende Einschätzung vor Gericht erstritten werden. Eine Taktik, die im Ergebnis auf eine Hinauszögern von Maßnahmen abzielt, erhöht das Bußgeldrisiko hingegen immens.

2. Gesetzliche Aufbewahrungsfristen sind kein Freifahrschein für unbeschränktes Speichern von Daten

Kern der Auseinandersetzung im vorliegenden Fall ist der Einsatz eines Archivsystems für Dokumente, das eine tatsächliche Löschung technisch schlicht nicht vorsieht. Als Begründung hierfür werden die Revisionssicherheit (d.h. die Nachvollziehbarkeit aller Änderungen und Unmöglichkeit von Datenverlusten) und die Erfüllung gesetzlicher Aufbewahrungsfristen genannt. So sieht beispielsweise § 257 HGB vor, dass u.a. Handelsbücher, Jahresabschlüsse, aber auch Belege für Buchungen 10 Jahre, empfangene und versandte Geschäftsbriefe 6 Jahre aufzubewahren sind. Einfach alle Dokumente ohne zeitliche Beschränkung aufzuheben erscheint unter diesem Gesichtspunkt auf dem ersten Blick unproblematisch, zumal Art. 6 Abs. 1 lit c DSGVO die Erfüllung rechtlicher Verpflichtungen, zu denen gesetzliche Aufbewahrungspflichten gehören, explizit als erlaubte Rechtsgrundlage aufführt.

Jedoch, so einfach ist das nicht. Die in der DSGVO genannten Rechtsgrundlagen für die Verarbeitung personenbezogener Daten stellen Ausnahme in einem Regel-Ausnahme-Konstrukt dar und sind daher immer eng auszulegen. Die Regel ist, dass personenbezogene Daten grundsätzlich nicht verarbeitet werden dürfen. Die Ausnahme ist, dass es unter ganz bestimmten eng umfassten Umständen (z.B. zur Erfüllung gesetzlicher Aufbewahrungsfristen) eben doch erlaubt ist. Aber auch unter diesen Umständen muss sich die Verarbeitung auf diesen Zweck beschränken und es müssen technisch-organisatorische Maßnahmen ergriffen werden, die verhindern, dass eine Verarbeitung auch zu anderen Zwecken erfolgen kann. Die Grundsätze der DSGVO aus Artikel 5 wie Zweckbindung, Datenminimierung und Speicherbegrenzung müssen beachtet werden, selbst wenn das Speichern der Daten gesetzlich vorgeschrieben ist.

Lehre: Wenn ein Unternehmen ein Archivsystem für Dokumente einsetzen möchte, muss darauf geachtet werden, dass es DSGVO-konform genutzt werden kann und auch so genutzt wird. Dazu gehört, dass die Grundprinzipien aus Art. 5 DSGVO von der Software vollumfänglich unterstützt werden müssen.

3. Personenbezogene Daten, die nicht mehr benötigt werden, müssen gelöscht werden

Ein Archivsystem, dass keine wirkliche Löschung von Daten vorsieht, ist per se ungeeignet, personenbezogene Daten zu verwalten. Die DSGVO sieht nun einmal vor, dass Daten nur so lange verarbeitet werden dürfen, wie sie für den jeweiligen Zweck benötigt werden. Das heißt auch: Daten müssen unverzüglich gelöscht werden, wenn sie für den jeweiligen Zweck nicht mehr gebraucht werden. Der Gesetzgeber hat sich bewusst dagegen entschieden, Unternehmen den Aufbau großer Datensilos quasi „auf Vorrat“ zu erlauben, für den Fall der Fälle, dass sie einmal nützlich sein könnten. Neben der wegfallenden Notwendigkeit gibt es aber auch noch eine Reihe weiterer in Artikel 17 beschriebener Umstände, bei deren Eintreffen Daten gelöscht werden müssen, so beispielsweise bei Widerruf einer erteilten Einwilligung oder bei einem berechtigten Widerspruch.

Lehre: Unternehmen müssen ein Löschkonzept entwickeln und weitere technisch-organisatorische Maßnahmen treffen, die eine (endgültige!) Löschung nach Wegfall der Rechtsgrundlage für die Speicherung sicherstellen.