(DEU) bisher höchstes Bußgeld 14,5 Mio € - Deutsche Wohnen
Arnold Redhammer | 22.November 2019Artikelinhalt
Wer Grundlos (also ohne Zweck und dazu argumentierbare Löschfrist) Gehaltsabrechnungen, Selbstauskünfte, Arbeitsverträge,... über mehrere Jahre hinweg speichert, der fängt sich - Entsprechenden Umsatz natürlich vorausgesetzt eine Strafe über 14,5 Mio € von der Berliner Datenschutzbeauftragten ein. So Geschehen der Deutschen Wohnen und ein Zeichen dafür dass die Zeit der Mahnungen vorbei ist und der verabschiedete Bußgeldkatalog auch angewendet wird wenn grundsätzliche strukturelle Mängel klar ersichtlich sind.
Aufgepasst auch wenn Sie noch den ein oder anderen Datenfriedhof bei sich wissen, den so die Datenschutzbeauftragte Smoltczyk zum "Tagesspiegel": „Aus unserer Aufsichtspraxis ergibt sich, dass es massive Speicherung von Daten häufiger gibt. Unternehmen machen sich oft wenig Gedanken darum, ob es einen Grund gibt, diese Daten zu speichern.“
Man ist also alamiert.
Konkreter Anlass in diesem Fall, war die Archivierung personenbezogener Daten, ohne die Möglichkeit zur Löschung. Inhalt waren dabei sensible Daten von Mietern oder Interessenten und das auch noch Jahre nach Beendigung des Mietverhältnisses wie zum Beispiel:
- Gehaltsnachweise
- Selbstauskunftsformulare
- Arbeitsverträge
- Steuerdaten
- Sozialversicherungsdaten
- Krankenversicherungsdaten.
Ein klassischer Verstoß gegen Artikel 5 (Grundsatz der Datenminimierung und Speicherbegrenzung) und Artikel 25 (Datenschutz durch Technikgestaltung). Die klar regeln, dass personenbezogene Daten nur so lange verarbeitet (also auch gespeichert) werden dürfen, wie dies für den Zweck, zu dem sie erhoben wurden, erforderlich ist.
In 15 konkreten Fällen muss die Deutsche Wohnen darüber hinaus auf Grund unzulässiger Datenspeicherung Einzelbußgelder in Höhe mehrerer Tausend Euro zahlen - Man geht davon aus, dass es die Beschwerden dieser Menschen waren, die das Verfahren bei der Behörde erst ins Rollen brachten.
Das pikante Detail in diesem Fall
Bereits im Jahr 2017, also lange vor Inkrafttreten der DSGVO, rügte die Datenschutzbeauftragte bereits das Vorgehen des Unternehmens. Im März 2019 keine Änderung der Datenbestand wurde werden den gestzlichen Anforderungen entsprechend bereinigt, noch eine rechtliche Grundlage für die Verarbeitung der Daten geschaffen - man hat schlicht, nichts gemacht.
Der Widerspruch ist mittlerweile wenig überraschend eingegangen, wie eine Sprecherin der Datenschutzbehörde bestätigt. Sollte sich die Datenschutzbehörde dem Widerspruch inhaltlich nicht anschließt, wird Sie diesen über die Staatsanwaltschaft am Gericht einbringen. Wann dann eine Entscheidung zu erwarten ist - steht in den Sternen.