Die Berliner Datenschutzbeauftragte hat wegen Verstößen gegen die DSGVO eine hohe Strafzahlung gegen die Deutsche Wohnen SE verhängt. Mit dem neuen Bußgeldkonzept der DSK – der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – wird ein solches massives Durchgreifen der zuständigen Datenschutzstellen wahrscheinlicher, erläutert Eva-Maria Scheiter, Managing Consultant GRC bei der Security Division von NTT Ltd., einem weltweit führenden Technologie-Dienstleister.
Weil die Deutsche Wohnen SE personenbezogene Daten von Mietern in einem nicht löschbaren Archivsystem angelegt hat, hat die Berliner Datenschutzbeauftragte ein Bußgeld in Höhe von 14,5 Millionen Euro gegen die Immobilienfirma erlassen. Der Vorwurf, so die derzeitige Berichterstattung: Die gespeicherten Gehaltsabrechnungen, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge wurden über Jahre vorgehalten, ohne zu prüfen, ob dies rechtmäßig und erforderlich ist, heißt es in der offiziellen Mitteilung.Das Archivsystem verstoße damit sowohl gegen die Grundsätze der Datenschutzgrundverordnung (Artikel 5 DSGVO) als auch gegen das Gebot des Datenschutzes durch Technikgestaltung (Artikel 25 DSGVO).
Während die Datenschutzbehörden in Frankreich und Großbritannien bereits Bußgelder in Millionenhöhe verhängt haben, hielten sich deutsche Stellen bislang zurück. Zwar sieht die DSGVO seit ihrer Einführung im Mai letzten Jahres Geldstrafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des Vorjahresumsatzes vor. Aber die Deutsche Wohnen SE ist jetzt das erste Unternehmen, das hierzulande mit einer Millionen-Strafe wegen Datenschutzverstößen zur Kasse gebeten wird – auch wenn die Landesdatenschutzbeauftragte unter dem maximal möglichen Strafrahmen, den die Datenschutzgrundverordnung vorsieht, geblieben ist. Die Bußgeldentscheidung gegen die Deutsche Wohnen SEist noch nicht rechtskräftig – die Immobilienfirma hat bereits angekündigt, Widerspruch einzulegen.
„Ob eine Strafe in dieser Höhe ein bundesweiter Standard wird, muss man abwarten“, erklärt Eva-Maria Scheiter, Managing Consultant GRC bei der Security Division von NTT Ltd. „Unternehmen sollten sich aber darauf einstellen, dass die Behörden strenger durchgreifen und Verstöße gegen die Datenschutzgrundverordnung künftig erheblich teurer werden. Der Grund dafür ist das neue Bußgeld-Berechnungsmodell der deutschen Aufsichtsbehörden, das auf der DSK – der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – veröffentlicht worden ist.“ Der Katalog beinhaltet ein standardisiertes Verfahren, wie ein Bußgeld zu bemessen ist. Demnach bilden die Behörden einen sogenannten „Tagessatz“, indem sie den Umsatz des Vorjahres durch 360 teilen. Dieser Tagessatz wird dann je nach Schwere des Verstoßes mit einem Faktor multipliziert, der für besonders schwere Verstöße rechnerisch genau den in der DSGVO genannten vier Prozent des Vorjahresumsatzes entspricht. Für einen „durchschnittlichen“ Verstoß fällt bereits ein Bußgeld in Höhe von knapp zwei Prozent des Umsatzes an. Der so ermittelte Wert wird dann anhand der Art und Weise der Tatbegehung, ihrer Folgen und weiterer relevanter Umstände weiter erhöht oder vermindert.
„Unternehmen sollten ihre Risikosituationgenau kennen“, so Eva-Maria Scheiter weiter. „Ich rate Unternehmen eindrücklich, ihre bestehenden Risiken zu überprüfen beziehungsweise – wenn nicht oder nicht vollständig bekannt – zu identifizieren und die daraus notwendigen Maßnahmen abzuleiten und ihre Datenschutzorganisation entsprechend aufzustellen.“