Die Daten­schutz­be­hör­den machen ernst: Bis­lang höchs­tes Buß­geld in Deutsch­land verhängt!

Ein spek­ta­ku­lä­res Buß­geld hat nun die Ber­li­ner Daten­schutz­be­hör­de ver­hängt: Die Deut­sche Woh­nen soll wegen Ver­sto­ßes gegen die DSGVO ein Buß­geld in Höhe von 14,5 Mil­lio­nen bezah­len. Das Unter­neh­men hat gegen den Buß­geld­be­scheid Ein­spruch ein­ge­legt. Das ist in Deutsch­land das bis­lang höchs­te ver­häng­te Buß­geld. Was war passiert?

Die Deut­sche Woh­nen soll mas­sen­haft Daten ihrer Mie­te­rin­nen und Mie­ter gespei­chert, die­se aber nicht mehr gelöscht haben. Angeb­lich soll es auch kei­ne Mög­lich­keit gege­ben haben, die­se Daten zu löschen.

Die­ser in der Fol­ge ent­stan­de­ne „Daten­fried­hof“ soll sen­si­ble Daten, wie z.B. Gehalts­be­schei­ni­gun­gen, Selbst­aus­künf­te sowie (Aus­zü­ge) aus Arbeits- und Aus­bil­dungs­ver­hält­nis­sen ent­hal­ten haben. Damit hat sie u.a. gegen Art. 5 der DSGVO ver­sto­ßen, wonach per­so­nen­be­zo­ge­ne Daten nur so lan­ge gespei­chert und ver­ar­bei­tet wer­den dür­fen, wie sie für den Zweck, für den sie erho­ben wur­den, erfor­der­lich sind.

Dabei hät­te die „Deut­sche Woh­nen“ das Buß­geld – zumin­dest in der Höhe – durch­aus ver­mei­den kön­nen. Bereits im Jah­re 2017 hat die Ber­li­ner Daten­schutz­be­hör­de der „Deut­sche Woh­nen“ drin­gend emp­foh­len, ein Lösch­kon­zept zu imple­men­tie­ren und den „Daten­fried­hof“ zu bereinigen.

Da sich bis zum Jahr 2019 aller­dings nichts Grund­le­gen­des geän­dert hat­te, erließ die Behör­de nun das hohe Bußgeld.

Wie berech­net sich die Buß­gel­der bei Datenschutzverstößen?

Nach Art. 83, 84 der DSGVO sol­len Sank­tio­nen wirk­sam, ver­hält­nis­mä­ßig und abschre­ckend wir­ken und kön­nen bis zu 20 Mio. € oder bei Unter­neh­men bis zu vier Pro­zent des welt­weit erziel­ten Jah­res­um­sat­zes betragen.
Da es kei­nen Buß­geld­ka­ta­log wie im Stra­ßen­ver­kehr gibt, ist eine Pro­gno­se über die Höhe von Buß­gel­dern bei Daten­schutz­ver­stö­ßen nahe­zu unmöglich.

Im Okto­ber 2019 hat nun die Daten­schutz­kon­fe­renz (DSK) einen Vor­stoß gewagt und ein Kon­zept zur Buß­geld­zu­mes­sung in Ver­fah­ren gegen Unter­neh­men erarbeitet.

Die Buß­geld­zu­mes­sung soll danach in fünf Schrit­ten erfolgen :

1. Das betrof­fe­ne Unter­neh­men wird einer Grö­ßen­klas­se und einer Unter­grup­pe zugeordnet.
2. Danach wird der mitt­le­re Jah­res­um­satz der jewei­li­gen Unter­grup­pe der Grö­ßen­klas­se bestimmt.
3. Im nächs­ten Schritt wird ein wirt­schaft­li­cher Grund­wert ermittelt.
4. Die­ser Grund­wert wird sodann mit­tels eines von der Schwe­re der Tat­um­stän­de abhän­gi­gen Fak­tors mul­ti­pli­ziert und
5. abschlie­ßend wird der unter 4. ermit­tel­te Wert anhand täter­be­zo­ge­ner und sons­ti­ger noch nicht berück­sich­tig­ter Umstän­de angepasst.

Ob die­se Vor­ge­hens­wei­se tat­säch­lich eine nach­voll­zieh­ba­re, trans­pa­ren­te und ein­zel­fall­ge­rech­te Form der Buß­geld­zu­mes­sung garan­tiert, bleibt abzuwarten.

Sei­ne abschre­cken­de Wir­kung ver­fehlt das ver­häng­te Buß­geld sicher­lich nicht. Für vie­le wird dies den not­wen­di­gen Weck­ruf dar­stel­len, den Daten­schutz ernst zu neh­men und die Umset­zung der Vor­ga­ben der DSGVO end­lich vor­an­zu­trei­ben und zu finalisieren.

image_pdf

Pres­se­mit­tei­lun­gen

Ver­an­stal­tun­gen

News­let­ter

Bücher

Stu­di­en & Leitfäden

Vide­os

image_pdf