Ein Archivsystem ohne Möglichkeit personenbezogene Daten zu löschen – 14,5 Millionen Euro Bußgeld für Immobiliengesellschaft
Die Datenschutzaufsichtsbehörde Berlin („Berliner Beauftragte für Datenschutz und Informationsfreiheit“) hat gegen eine Immobiliengesellschaft ein Bußgeld in Höhe von rund 14,5 Millionen Euro verhängt.
Hintergrund der Strafe ist das Archivsystem der Gesellschaft, dass keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu löschen. Dieser Umstand soll laut Behördenaussage dazu geführt haben, dass in teilweise Jahre alte private Angaben von Mietern zu ihren persönlichen und finanziellen Verhältnissen eingesehen werden konnte, ohne dass dies noch von dem ursprünglichen Erhebungszweck gedeckt war.
Die Aufsichtsbehörde hatte gegenüber der Gesellschaft bereits 2017 die dringende Empfehlung ausgesprochen das Archivsystem umzustellen. Nachdem bei einer weiteren Prüfung im März 2019 weiterhin beträchtliche Mängel bei dem Archivsystem festgestellt wurden, sah sich die Behörde veranlasst ein Bußgeld zu verhängen.
Grundlage des Bußgeldes ist der Umsatz des Unternehmens im Vorjahr, der sich bei der Gesellschaft auf über eine Milliarde bezifferte.
Bei der konkreten Abwägung zur Höhe des Bußgeldes wurde als belastender Aspekt berücksichtig, dass die Behörde davon ausgeht, dass das Archivsystem bewusst in der besagten Form angelegt wurde und die Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Entlastend wirkte hingegen unter anderem die Tatsache, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnte.
Die Behörde sah sich befähigt ein Bußgeld bis zu einer Maximalhöhe von 28 Millionen Euro zu verhängen. Das Bußgeld in Höhe von 14,5 Millionen sei daher als „Bußgeld im mittleren Bereich“ anzusehen.
Es ist zu damit zu rechnen, dass das Bußgeld gegen die Gesellschaft kein Einzelfall bleiben wird. „Datenfriedhöfe“ würden von den Behörden häufig bei Kontrollen aufgedeckt und stellen laut Aussage der Aufsichtsbehörde ein hohes Risiko für den Betroffenen da. Im Fall eines Cyberangriffs kann es unter solchen Umständen zu einem massenhaften missbräuchlichen Zugriff auf Daten kommen. Strafen wie im vorliegenden Fall sollen präventiv wirken und einen „Daten-Gau“ im Voraus verhindern.
Unser DS-GVO Team berät Sie bei der DS-GVO konformen Aufstellung Ihres Unternehmens gerne.
Sprechen Sie uns an.