Erstmals, seit Inkrafttreten der DS-GVO, wurde in Deutschland eine Bußgeldstrafe in zweistelliger Millionenhöhe verhängt. Eine große Berliner Wohnungsgesellschaft muss 14,5 Millionen Euro Bußgeld wegen Datenschutzverstößen zahlen. Dies teilte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) in einer Pressemitteilung mit. Dem Bußgeld waren zwei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 vorausgegangen. Dabei wurden insbesondere schwere Verstöße gegen die datenschutzrechtlichen Löschpflichten festgestellt. Das Unternehmen hatte persönliche Daten mit hohem Vertraulichkeitsgrad von früheren Mietern, wie z.B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits-und Ausbildungsverträgen, Steuer-, Sozial-und Krankenversicherungsdaten etc. über Jahre hinweg nicht gelöscht.
Insbesondere war in dem Archivsystem, in dem die Daten aufbewahrt wurden, nicht einmal eine technische Möglichkeit für eine Löschung implementiert worden. Das Unternehmen speicherte daher Unterlagen von Wohnungsbewerbern und Mietern oft auch jahrelang nach Beendigung von Mietverhältnissen, ohne dass für die Fortdauer der Speicherung ein Rechtsgrund vorlag. Erschwerend wirkte sich aus, dass nach Auffassung des BlnBDI die beanstandete Architektur der Software vom Unternehmen bewusst angelegt worden war und so Daten über einen sehr langen Zeitraum in unzulässiger Weise verarbeitet wurden. Die Berliner Aufsichtsbehörde sah darin einen Verstoß gegen die Pflicht zum Datenschutz durch Technikgestaltung und gegen den Grundsatz der Speicherbegrenzung, wonach personenbezogene Daten nur so lange aufbewahrt werden dürfen, bis der Erhebungszweck erreicht ist. Die beanstandeten Defizite waren auch zwei Jahre nach der Erstprüfung nicht behoben worden. Es wurde jedoch zugunsten des Unternehmens gewertet, dass bereits erste Gegenmaßnahmen ergriffen worden waren und die Kooperation mit der Aufsichtsbehörde gut verlief. Zudem konnten keine missbräuchlichen Zugriffe auf den unzulässigen Datenbestand nachgewiesen werden. Daher wurde das Bußgeld im mittleren Bereich des möglichen Bußgeldrahmens festgelegt.
Es zeigt sich einmal mehr, wie wichtig ein gutes Löschkonzept ist, um insbesondere die Daten zu löschen, bei denen Erhebungszweck in der Zwischenzeit weggefallen ist. Ein automatisiertes Löschverfahren auf Basis von Datenanalysen, mit festen Löschzyklen und klar definierten Löschregeln ist daher allen Unternehmen dringend anzuraten.