WISSENSWERTES | 06.11.2019

DSGVO: Rekordbußgeld gegen Deutsche Wohnen – Löschbedarf bei unstrukturierten Datenbeständen

Sorry, this entry is only available in German. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

 

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat in einer gestern veröffentlichten Pressemitteilung (Az.: 711.412.1) den Erlass eines „Millionen-Bußgeldes“ gegen eine Immobiliengesellschaft bekannt gemacht. Die Deutsche Wohnen SE soll demnach ca. EUR 14,5 Millionen bezahlen, weil sich bei Vor-Ort-Prüfungen herausgestellt hatte, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, die nicht mehr erforderlichen Daten zu löschen. Den Angaben der Aufsichtsbehörde zufolge wurden die Daten nahezu ohne System – also unstrukturiert – einfach gespeichert und zwar unabhängig davon, ob eine Speicherung rechtlich zulässig und überhaupt erforderlich war. Damit tritt ein praktisches Problem in den Fokus, dessen Lösung juristisch umstritten ist.

 

Bestandsdaten: „Revisionssicherheit“ vs. Datenschutzgrundverordnung (DSGVO)

 

Digitale Unternehmensdaten sollten „revisionssicher“ gespeichert werden. Was sich im Unternehmensumfeld als „best practice“ etabliert hat und letztlich u.a. dazu dient, gesetzlichen Aufbewahrungspflichten zu genügen, wirft vor dem Hintergrund der nun veröffentlichten Entscheidung der Berliner Datenschutz-Aufsichtsbehörde erneut Fragen auf.

 

Die oftmals aus dem Steuerrecht abgeleiteten jahrelangen Aufbewahrungsfristen für verschiedene Geschäftsdaten scheinen in einem kaum auflösbaren Konflikt zu den Regelungen der DSGVO zu stehen. Es stellt sich insbesondere die Frage, ob in dem Fall der Deutsche Wohnen SE, der hinsichtlich des Umgangs mit „Bestandsdaten“ in Deutschland sicher millionenfach vorkommt, noch Art. 6 Abs. 1 c DSGVO („Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich“) als Rechtsgrundlage herhalten kann. Betroffene Unternehmen fragen in diesem Kontext zu Recht, welches Regelungsregime – Steuerrecht bzw. sonstige Aufbewahrungspflichten oder das Datenschutzrecht – denn nun Vorrang hat. Die Auflösung dieses Konflikts ist alles andere als trivial und wird wohl nur über eine Interessenabwägung zu lösen sein.

 

Die Pressemitteilung der Berliner Aufsichtsbehörde deutet auf die strenge Rechtsauffassung hin, dass revisionssichere Daten-Archivierungssysteme nicht DSGVO-konform zum Einsatz gebracht werden könnten. Das darf durchaus als mutig bezeichnet werden. Der pauschale Verweis der Behörde auf Art. 25 Abs. 1 DSGVO (“privacy by design“) und Art. 5 DSGVO („Grundsätze für die Verarbeitung personenbezogener Daten“) mag den äußeren Beschränkungen einer Pressemitteilung als solcher geschuldet sein, könnte aber auch ein Einfallstor zur Verteidigung gegen das Bußgeld darstellen. Denn unter Datenschutz-Juristen wird heftig diskutiert, ob die vorgenannten Regelungen vor dem Hintergrund einer gebotenen Bestimmtheit überhaupt als Grundlage für Bußgeldbescheide herangezogen werden können.

 

Folgen für die Praxis

 

Mit der vorliegenden Entscheidung der Berliner Beauftragten für Datenschutz und Informationsfreiheit rückt ein praktisch sehr bedeutsames datenschutzrechtliches Problem – die Ermittlung des Löschbedarfs bei unstrukturierten Datenbeständen – in den Fokus, das Unternehmen seit Inkrafttreten der DSGVO vor erhebliche Herausforderungen stellt. Es bleibt zu hoffen, dass von den jetzt zu dieser Entscheidung generierten Beiträgen mehr bleibt als das eigentliche Bußgeld, das weder der Höhe noch dem Grunde nach Bestand haben muss und gegen das die Deutsche Wohnen SE schon Rechtsmittel angekündigt hat. Für Unternehmen wünschenswert wären besonders aufsichtsbehördliche Handlungsempfehlungen, die mit der Praxis vereinbar sind.


Current articles of Dr. Knut Karnapp

NEWS | 24.03.2020

Corona-Pandemie: Herausforderung im Beschäftigten-Datenschutz

Vermehrt erreichen uns jetzt Anfragen besorgter Arbeitgeber, Unternehmensvertreter und Dienstherren dahingehend, wie in Zeiten der Corona-Pandemie Datenschutz und Gesundheitsfürsorge noch in Einklang zu bringen sind. Die Frage danach, welche Gesundheitsinformationen ausgetauscht werden dürfen, ist berechtigt und die A...

NEWS | 30.01.2020

Vermeidung und Minimierung von DSGVO-Bußgeldern – Teil 1

Nicht zuletzt, weil auch in Deutschland inzwischen teils erhebliche Bußgelder wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) verhängt wurden, zuletzt etwa wie berichtet gegen die „Deutsche Wohnen SE“, ist die DSGVO inzwischen im Alltag der Unternehmen angekommen. Mit einer dreiteiligen Blogbeitragsreihe ...