Bedeutung und Auswirkungen für die Immobilienwirtschaft
Ende Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen ein deutsches Wohnungsunternehmen ein Bußgeld in Höhe von rund 14,5 Mio. Euro wegen verschiedener Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) verhängt.
Der Bußgeldbescheid ist bislang nicht rechtskräftig. Berichten zufolge wurde zwischenzeitlich Einspruch gegen den Bescheid eingelegt. Unabhängig vom Ausgang des Verfahrens zeigt das Vorgehen der Berliner Datenschutzbeauftragten jedoch, dass die Einhaltung datenschutzrechtlicher Vorgaben von Unternehmen aus der Immobilienwirtschaft sehr ernst genommen werden muss.
Relevanz nicht nur für Wohnungsunternehmen
Da sich die Höhe des Bußgeldes nach dem Jahresumsatz des jeweiligen Unternehmens berechnet, ist die Einhaltung der datenschutzrechtlichen Vorgaben vor allem für Wohnungsunternehmen mit großen Beständen von erheblicher Bedeutung. Denn wie sich im aktuellen Fall gezeigt hat, können die Bußgelder hier schnell in die Millionen gehen. Darüber hinaus müssen sich aber auch Unternehmen aus anderen Bereichen der Immobilienwirtschaft an die Vorgaben der DSGVO halten – seien es Vermieter von Büroimmobilien, die Kontaktdaten der Mitarbeiter ihrer Mieter verwenden, Betreiber von Einkaufszentren, deren Sicherheitskonzept den Betrieb von Videoüberwachungsanlagen vorsieht, oder sonstige Immobilienwirtschaftsunternehmen, die Informationen über Einzelpersonen auf andere Art und Weise verarbeiten.
Die Entscheidung der Berliner Datenschutzbeauftragten
Nach Darstellung der Berliner Datenschutzbeauftragen wurde das Bußgeld gegen das deutsche Wohnungsunternehmen verhängt, weil das Unternehmen für seine Mieterdaten ein Daten-Archivsystem verwendet hat, das keine Möglichkeit vorsah, nicht mehr benötigte Alt-Daten zu entfernen. Aus Sicht der Behörde stellt dies einen Verstoß gegen die allgemeinen Verarbeitungsgrundsätze unter der DSGVO sowie gegen die Pflicht zur datenschutzfreundlichen Technikgestaltung (sogenannte "privacy by design") dar.
Paradigmenwechsel bei der Bußgeldberechnung
Das Bußgeld in Höhe von rund 14,5 Millionen Euro ist das mit Abstand höchste Bußgeld, das eine deutsche Datenschutzaufsichtsbehörde jemals wegen eines DSGVO-Verstoßes verhängt hat. Es übertrifft die im September 2019 gegen einen Berliner Lieferdienst verhängte bisherige Bußgeldhöchstsumme von 195.000 Euro um ein Vielfaches und zeigt einen Paradigmenwechsel bei der Bußgeldberechnung durch deutsche Datenschutzaufsichtsbehörden.
Diese hatten erst kurz zuvor im Oktober 2019 ein Berechnungsmodell für die Bemessung von Bußgeldern bei DSGVO-Verstößen veröffentlicht, das sich im Wesentlichen an dem Vorjahresumsatz des jeweiligen Unternehmens orientiert und hieraus einen Tagessatz berechnet, der je nach Schwere des DSGVO-Verstoßes mit einem Faktor von 1 bis 12 multipliziert wird.
Bemerkenswert ist in diesem Zusammenhang, dass die Berliner Datenschutzbeauftragte auf Basis dieses Berechnungsmodells nach eigener Aussage in dem aktuellen Fall „nur“ ein Bußgeld „im mittleren Bereich des vorgegebenen Bußgeldrahmens“ verhängt hat. Datenschutzverstöße können somit ohne Weiteres auch zu noch höheren Bußgeldern führen.
Nicht abwarten, sondern handeln
Um die Gefahr substanzieller Bußgelder zu vermeiden, sollten alle Unternehmen aus der Immobilienwirtschaft ihre Datenverarbeitungsprozesse – soweit noch nicht geschehen – umgehend auf ihre Vereinbarkeit mit der DSGVO prüfen und, falls erforderlich, an die datenschutzrechtlichen Vorgaben anpassen. Anderenfalls steht zu befürchten, dass auch sie in naher Zukunft Adressat eines Bußgeldbescheids ihrer zuständigen Datenschutzaufsichtsbehörde werden.