WISSENSWERTES | 06.11.2019

DSGVO: Rekordbußgeld gegen Deutsche Wohnen – Löschbedarf bei unstrukturierten Datenbeständen

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat in einer gestern veröffentlichten Pressemitteilung (Az.: 711.412.1) den Erlass eines „Millionen-Bußgeldes“ gegen eine Immobiliengesellschaft bekannt gemacht. Die Deutsche Wohnen SE soll demnach ca. EUR 14,5 Millionen bezahlen, weil sich bei Vor-Ort-Prüfungen herausgestellt hatte, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, die nicht mehr erforderlichen Daten zu löschen. Den Angaben der Aufsichtsbehörde zufolge wurden die Daten nahezu ohne System – also unstrukturiert – einfach gespeichert und zwar unabhängig davon, ob eine Speicherung rechtlich zulässig und überhaupt erforderlich war. Damit tritt ein praktisches Problem in den Fokus, dessen Lösung juristisch umstritten ist.

Bestandsdaten: „Revisionssicherheit“ vs. Datenschutzgrundverordnung (DSGVO)

Digitale Unternehmensdaten sollten „revisionssicher“ gespeichert werden. Was sich im Unternehmensumfeld als „best practice“ etabliert hat und letztlich u.a. dazu dient, gesetzlichen Aufbewahrungspflichten zu genügen, wirft vor dem Hintergrund der nun veröffentlichten Entscheidung der Berliner Datenschutz-Aufsichtsbehörde erneut Fragen auf.

Die oftmals aus dem Steuerrecht abgeleiteten jahrelangen Aufbewahrungsfristen für verschiedene Geschäftsdaten scheinen in einem kaum auflösbaren Konflikt zu den Regelungen der DSGVO zu stehen. Es stellt sich insbesondere die Frage, ob in dem Fall der Deutsche Wohnen SE, der hinsichtlich des Umgangs mit „Bestandsdaten“ in Deutschland sicher millionenfach vorkommt, noch Art. 6 Abs. 1 c DSGVO („Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich“) als Rechtsgrundlage herhalten kann. Betroffene Unternehmen fragen in diesem Kontext zu Recht, welches Regelungsregime – Steuerrecht bzw. sonstige Aufbewahrungspflichten oder das Datenschutzrecht – denn nun Vorrang hat. Die Auflösung dieses Konflikts ist alles andere als trivial und wird wohl nur über eine Interessenabwägung zu lösen sein.

Die Pressemitteilung der Berliner Aufsichtsbehörde deutet auf die strenge Rechtsauffassung hin, dass revisionssichere Daten-Archivierungssysteme nicht DSGVO-konform zum Einsatz gebracht werden könnten. Das darf durchaus als mutig bezeichnet werden. Der pauschale Verweis der Behörde auf Art. 25 Abs. 1 DSGVO (“privacy by design“) und Art. 5 DSGVO („Grundsätze für die Verarbeitung personenbezogener Daten“) mag den äußeren Beschränkungen einer Pressemitteilung als solcher geschuldet sein, könnte aber auch ein Einfallstor zur Verteidigung gegen das Bußgeld darstellen. Denn unter Datenschutz-Juristen wird heftig diskutiert, ob die vorgenannten Regelungen vor dem Hintergrund einer gebotenen Bestimmtheit überhaupt als Grundlage für Bußgeldbescheide herangezogen werden können.

Folgen für die Praxis

Mit der vorliegenden Entscheidung der Berliner Beauftragten für Datenschutz und Informationsfreiheit rückt ein praktisch sehr bedeutsames datenschutzrechtliches Problem – die Ermittlung des Löschbedarfs bei unstrukturierten Datenbeständen – in den Fokus, das Unternehmen seit Inkrafttreten der DSGVO vor erhebliche Herausforderungen stellt. Es bleibt zu hoffen, dass von den jetzt zu dieser Entscheidung generierten Beiträgen mehr bleibt als das eigentliche Bußgeld, das weder der Höhe noch dem Grunde nach Bestand haben muss und gegen das die Deutsche Wohnen SE schon Rechtsmittel angekündigt hat. Für Unternehmen wünschenswert wären besonders aufsichtsbehördliche Handlungsempfehlungen, die mit der Praxis vereinbar sind.