Hohes Bußgeld gegen deutsches Immobilienunternehmen nach Verstoß gegen EU-DSGVO

Am 30. Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen ein deutsches Immobilien-Unternehmen einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) erlassen.

Wie die Berliner Aufsichtsbehörde am 05. November 2019 mitteilte, wurden bei mehreren Vor-Ort-Prüfungen zwischen Juni 2017 und März 2019 festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Nachdem die Aufsichtsbehörde eine „dringende Empfehlung“ zur Änderung des Status-Quo ausgesprochen hatte, konnte das betroffene Unternehmen mehr als anderthalb Jahre nach dem ersten Prüftermin und mehr als neun Monate nach Inkrafttreten der EU-DSGVO weder eine Bereinigung des Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Aus Sicht der Behörde war die Verhängung eines Bußgeldes wegen eines Verstoßes gegen Artikel 25 Abs. 1 DSGVO sowie Artikel 5 DSGVO für den Zeitraum zwischen Mai 2018 und März 2019 war daher zwingend.

Die Bußgeldentscheidung ist bisher noch nicht rechtskräftig. Das betroffene Unternehmen kann gegen den Bußgeldbescheid Einspruch einlegen.

Dieser Fall zeigt eindeutig die hohe Relevanz der EU-DSGVO für alle Unternehmen, die personenbezogene Daten verarbeiten. Während die Datenschutzbehörden außerhalb Deutschlands bereits Bußgelder in Millionenhöhe verhängt haben, haben sich deutsche Stellen bislang bei DSGVO-Verstößen zurückgehalten. Es bleibt abzuwarten, ob das hier verhängte Strafmaß in Zukunft als Standard herangezogen wird.

Zweifelsohne sollten sich alle Unternehmen, die personenbezogene Daten verarbeiten noch einmal genauer mit den Vorgaben beschäftigen und diese zeitnah umsetzen. Es ist davon auszugehen, dass auch in Deutschland die Prüfungen von den Aufsichtsbehörden stärker forciert werden.

Wir beraten Sie gerne bei der Umsetzung eines Löschkonzepts für die Bereinigung von personenbezogenen Daten in SAP HCM. In den letzten Jahren haben wir bereits einige unserer Kunden erfolgreich bei der Umsetzung begleitet. Durch unser Vorgehensmodell erstellen wir mit Ihnen gemeinsam das Löschkonzept und setzen es effizient und budgetschonend in SAP HCM um und erfüllen so die Vorgaben der EU-DSGVO. Sprechen Sie uns an!

Quelle: Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit