Wie die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BfDI) in einer Pressemitteilung erklärt, hat sie gegen die Deutsche Wohnen SE ein Bußgeld wegen Datenschutz-Verletzungen von rund 14,5 Mio. EUR verhängt.
Hintergrund der Entscheidung ist, dass das Amt bei einer Vor-Ort-Prüfung im Jahr 2017 beanstandete hatte, dass noch zahlreiche personenbezogenen Daten im Archiv des Unternehmens liegen würden, bei denen nicht überprüft worden sei, ob eine Speicherung noch zulässig sei. Es handelte sich dabei um Informationen zu den persönlichen und finanziellen Verhältnissen der Mieter (z.B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge).
Bei einer erneuten Prüfung im März 2019 hatte die Deutsche Wohnen SE die Daten jedoch weder gelöscht noch konnte sie eine Bereinigung der Datenbank vorweisen. Daher verhängt die BfDI nun das DSGVO-Bußgeld.
Hinsichtlich der Höhe des Bußgeldes heißt es in der Pressemitteilung:
"Für die konkrete Bestimmung der Bußgeldhöhe hat die Berliner Datenschutzbeauftragte unter Berücksichtigung aller be- und entlastenden Aspekte die gesetzlichen Kriterien herangezogen.
Belastend wirkte sich hierbei vor allem aus, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hat.
Auch mit Blick darauf, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, war im Ergebnis ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen. Neben der Sanktionierung dieses strukturellen Verstoßes verhängte die Berliner Datenschutzbeauftragte gegen das Unternehmen noch weitere Bußgelder zwischen 6.000 – 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mieterinnen und Mietern in 15 konkreten Einzelfällen."
Die Entscheidung ist nicht rechtskräftig.