In den Rechtsstreit um ein DSGVO-Bußgeld gegen den Immobilienkonzern Deutsche Wohnen in Höhe von 14,5 Mio. EUR kommt Bewegung: Der EuGH stärkt die Berliner Datenschutzbehörde. So geht es nach dem Urteil weiter.
Der Immobilienkonzern Deutsche Wohnen – der seit 2021 zu Vonovia gehört – streitet vor Gericht gegen einen Bußgeldbescheid in Höhe von 14,5 Mio. EUR wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO), den die unabhängige oberste Landesbehörde, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), im Oktober 2020 gegen das Unternehmen erlassen hatte. Es ging um das Speichern von Mieterdaten.
Seitdem wird durch die Instanzen gestritten. Der EuGH hat nun entschieden, dass nur ein schuldhafter Verstoß – vorsätzlich oder fahrlässig – gegen die DSGVO zur Verhängung einer Geldbuße führen kann. Die verhängte Geldbuße kann sich am Umsatz des Unternehmens oder der Muttergesellschaft orientieren.
(EuGH, Urteil v. 5.12.2023, Az. C-807/21)
Streit um DSGVO-Bußgeld: Die Instanzen
Das Berliner Landgericht stellte das Verfahren gegen die Deutsche Wohnen zunächst ein. Der Bescheid sei unwirksam, weil er keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens enthalte, entschied im Februar 2021 das LG Berlin (Beschluss v. 18.2.2021, 526 AR).
Dagegen legte die Staatsanwaltschaft Beschwerde ein, die als nächsthöhere Instanz das KG Berlin prüfen muss. Das hier anhängige Verfahren (3 Ws 250/21) wurde ausgesetzt, da dem EuGH mit Beschluss vom 6.12.2021 rechtliche Fragen zur Klärung (Vorabentscheidungsersuchen) vorgelegt wurden.
In dem Verfahren am EuGH ging es um die Grundsatzfrage: Kann eine juristische Person in Deutschland, die ein Unternehmen betreibt, nach den Grundsätzen des EU-Rechts unmittelbar für DSGVO-Verstöße sanktioniert werden, ohne dass eine Ordnungswidrigkeit einer natürlichen und identifizierten Leitungsperson festgestellt werden muss? Der EuGH meint ja, Verstöße durch Vertreter reichen. Damit bestätigt das Gericht die Rechtsauslegung der Datenschutzbehörde.
Das KG Berlin wird nun auf Grundlage des EuGH-Urteils abschließend im Fall "Deutsche Wohnen" entscheiden müssen.
EuGH folgt Schlussanträgen von Generalanwalt
Der Generalanwalt hatte am 27.4.2023 seine Schlussanträge (Rechtssache C 807/21) vorgelegt. Er kam bereits zu dem Ergebnis, dass die Behörden bei Verstößen von Mitarbeitern direkt DSGVO-Bußgelder gegen ein Unternehmen verhängen können, wenn jenen ein vorsätzliches oder fahrlässiges Handeln nachgewiesen werden kann. Der EuGH folgt damit der Rechtsauffassung des Generalanwalts.
Unrechtmäßig gespeicherte Mieterdaten
Die Berliner Datenschutzbehörde warf der Deutsche Wohnen konkret vor, es zwischen Mai 2018 und März 2019 unterlassen zu haben, Maßnahmen zur Ermöglichung einer regelmäßigen Löschung nicht (mehr) benötigter Mieterdaten in ausreichendem Umfang umgesetzt zu haben.
Zu diesem Zeitpunkt soll es möglich gewesen sein, im Archiv des Konzerns persönliche Daten der Mieter einzusehen und zu verarbeiten – darunter Informationen zur Sozial- und Krankenversicherung, Arbeitsverträge und Informationen über finanzielle Verhältnisse.
Erste Rüge schon 2017
Erstmals war die Deutsche Wohnen der Behörde im Juni 2017 aufgefallen. Damals stellte die Behörde bereits fest, dass personenbezogene Daten von Mietern in einem Archivsystem gespeichert worden sind, in dem nicht mehr erforderliche Daten gar nicht gelöscht werden konnten. Weil an dem Zustand bis März 2019 nichts geändert worden sei, habe man zu drastischen Mitteln gegriffen, erklärte die Behörde. Die verschärfte Regelung der DSGVO trat erst am 25.5.2018 in Kraft.
Neben der Sanktionierung des strukturellen Verstoßes verhängte die Behörde weitere Bußgelder gegen die Deutsche Wohnen. Zwischen 6.000 und 17.000 EUR soll alleine die unzulässige Speicherung von personenbezogenen Daten von Mietern in 15 konkreten Fällen kosten.
Die EU-Verordnung sieht bei DSGVO-Verstößen Zwangsgelder von bis zu 20 Mio. EUR bzw. bis zu 4 % des Gesamtumsatzes vor. Der zugrunde gelegte Umsatz der Deutsche Wohnen von 2018 hätte ein Bußgeld von insgesamt bis zu 28 Mio. EUR erlaubt.
Handlungsbedarf bei Wohnungsunternehmen
Beim Wohnungskonzern LEG war im Juli 2019 vorübergehend ein Mieter-Portal abgeschaltet worden, nachdem ein Informatikstudent Sicherheitslücken öffentlich gemacht hatte. Es seien keine besonderen Computerkenntnisse notwendig gewesen, um sämtliche Daten anderer Mieter abzurufen, hieß es in einem Bericht des WDR.
In einem Interview mit dem "Tagesspiegel" erklärte die damalige Berliner Datenschützerin Maja Smoltczyk im November 2019, dass die massive Speicherung von Daten häufiger vorkomme und sich Unternehmen oft wenig Gedanken machten, ob die Daten überhaupt gespeichert werden müssten. Wohnungsunternehmen hätten zwar Vorhaltepflichten, müssten aber bei den personenbezogenen Mieterdaten Löschfristen beachten.
Um Unternehmen bei der Umsetzung der Datenschutz-Grundverordnung zu unterstützen, hat die Gesellschaft für Datenschutz und Datensicherheit...