Seite drucken
Im Rechtsstreit um ein DSGVO-Bußgeld in Höhe von 14,5 Millionen Euro gegen den Immobilienkonzern Deutsche Wohnen, der seit 2021 zu Vonovia gehört, gibt es Entwicklungen. Der Europäische Gerichtshof (EuGH) hat die Position der Berliner Datenschutzbehörde gestärkt. Nach dem Urteil des EuGH geht es wie folgt weiter.
Der Immobilienkonzern Deutsche Wohnen, der gegen einen Bußgeldbescheid von 14,5 Millionen Euro aufgrund eines Datenschutzverstoßes gemäß der Datenschutz-Grundverordnung (DSGVO) kämpft, den die unabhängige oberste Landesbehörde Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) im Oktober 2020 erlassen hatte, befindet sich im Rechtsstreit. Der Verstoß bezog sich auf das Speichern von Mieterdaten.
Der EuGH hat nun festgestellt, dass nur ein schuldhafter Verstoß – sei es vorsätzlich oder fahrlässig – gegen die DSGVO zu einer Geldbuße führen kann. Die Höhe der Geldbuße kann sich am Umsatz des Unternehmens oder der Muttergesellschaft orientieren.
Dieses Urteil folgte unter anderem einer Vorlage (Art. 267 AEUV) des Berliner Kammergerichts, das die Frage aufwarf, ob DSGVO-Bußgeldverfahren direkt gegen Unternehmen gerichtet werden können. In diesem Fall betraf es die Deutsche Wohnen SE. (EuGH, Urteil v. 5.12.2023, Az. C-807/21)
Das Berliner Landgericht hat vorerst das Verfahren gegen die Deutsche Wohnen eingestellt, da der Bußgeldbescheid im Februar 2021 als unwirksam erklärt wurde. Diese Entscheidung beruhte darauf, dass der Bescheid keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens enthielt (LG Berlin, Beschluss der 26. Großen Strafkammer v. 18.2.2021, Az. 526 AR).
Die Staatsanwaltschaft legte dagegen Beschwerde ein, und das Kammergericht Berlin muss nun als nächsthöhere Instanz diese Entscheidung überprüfen. Das dortige Verfahren (Az. 3 Ws 250/21) wurde ausgesetzt, da rechtliche Fragen zur Klärung dem EuGH mit Beschluss vom 6.12.2021 vorgelegt wurden, wie ein Gerichtssprecher im Januar 2022 mitteilte.
Im EuGH-Verfahren ging es um die grundlegende Frage, ob eine juristische Person in Deutschland, die ein Unternehmen betreibt, nach den Grundsätzen des EU-Rechts direkt für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) sanktioniert werden kann, ohne dass eine Ordnungswidrigkeit einer natürlichen und identifizierten Leitungsperson festgestellt werden muss. Der EuGH entschied, dass Verstöße durch Vertreter ausreichen, und bestätigte somit die Rechtsauffassung der Datenschutzbehörde. Das Berliner Kammergericht wird nun auf Basis dieses EuGH-Urteils abschließend im Fall „Deutsche Wohnen“ entscheiden müssen.
Am 27. April 2023 legte Generalanwalt Manuel Campos Sánchez-Bordon seine Schlussanträge in der Rechtssache C‑807/21 (Deutsche Wohnen SE gegen Staatsanwaltschaft Berlin) vor. Er kam zu dem Schluss, dass die Behörden bei Verstößen von Mitarbeitern direkt Bußgelder nach der Datenschutz-Grundverordnung (DSGVO) gegen ein Unternehmen verhängen können, wenn diesen ein vorsätzliches oder fahrlässiges Handeln nachgewiesen werden kann. Der Europäische Gerichtshof (EuGH) hat sich somit der Rechtsauffassung von Sánchez-Bordon angeschlossen.
Die Berliner Datenschutzbehörde erhob konkrete Vorwürfe gegen die Deutsche Wohnen, indem sie behauptete, dass das Unternehmen es zwischen Mai 2018 und März 2019 versäumt habe, ausreichende Maßnahmen zur regelmäßigen Löschung nicht mehr benötigter Mieterdaten zu implementieren. Zu diesem Zeitpunkt soll es möglich gewesen sein, im Archiv des Konzerns auf persönliche Daten der Mieter zuzugreifen und diese zu verarbeiten. Hierzu gehörten Informationen über Sozial- und Krankenversicherung, Arbeitsverträge sowie Details zu finanziellen Verhältnissen.
Erstmals wurde die Deutsche Wohnen der Behörde im Juni 2017 auffällig. Zu diesem Zeitpunkt stellte die Behörde fest, dass personenbezogene Daten von Mietern in einem Archivsystem gespeichert wurden, in dem nicht mehr erforderliche Daten nicht gelöscht werden konnten. Da dieser Zustand bis März 2019 unverändert blieb, griff die Behörde zu drastischen Maßnahmen. Es ist zu beachten, dass die verschärfte Regelung der Datenschutz-Grundverordnung (DSGVO) erst am 25. Mai 2018 in Kraft trat.
Neben der Sanktionierung des strukturellen Verstoßes verhängte die Behörde weitere Bußgelder gegen die Deutsche Wohnen. Die unzulässige Speicherung von personenbezogenen Daten von Mietern in 15 konkreten Fällen soll allein zwischen 6.000 und 17.000 Euro kosten.
Gemäß der EU-Verordnung können bei DSGVO-Verstößen Zwangsgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des Gesamtumsatzes verhängt werden. Der zugrunde gelegte Umsatz der Deutsche Wohnen im Jahr 2018 hätte ein Bußgeld von insgesamt bis zu 28 Millionen Euro erlaubt.
Es gibt Handlungsbedarf bei Wohnungsunternehmen in Sachen Datenschutz.
Im Juli 2019 beispielsweise wurde beim Wohnungsunternehmen LEG vorübergehend ein Mieterportal deaktiviert, nachdem ein Informatikstudent Sicherheitslücken öffentlich gemacht hatte. Ein Bericht des Westdeutschen Rundfunks (WDR) betonte, dass keinerlei besondere Computerkenntnisse erforderlich waren, um auf sämtliche Daten anderer Mieter zuzugreifen. Die damalige Berliner Datenschützerin Maja Smoltczyk erklärte in einem Interview mit dem „Tagesspiegel“ im November 2019, dass die umfangreiche Datenspeicherung häufig vorkomme und Unternehmen oft wenig darüber nachdächten, ob die Daten tatsächlich gespeichert werden müssten.
Obwohl Wohnungsunternehmen Vorhaltepflichten hätten, seien sie verpflichtet, Löschfristen für personenbezogene Mieterdaten zu beachten. Zur Unterstützung bei der Umsetzung der Datenschutz-Grundverordnung hat die Gesellschaft für Datenschutz und Datensicherheit (GDD) Praxishilfen veröffentlicht, die auch von Branchenverbänden, insbesondere in der Immobilienbranche, genutzt werden können.
Weitere Informationen finden Sie hier: