Berlin - Es war eine externe Beschwerde, die  Berlins Datenschutzbehörde auf ihren bisher größten Coup gebracht hat. Das Ergebnis ist bekannt: Berlins größtes Immobilienunternehmen, die Deutsche Wohnen, muss wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) ein  Bußgeld von 14,5 Millionen Euro bezahlen. Das ist Rekord.  Doch Wirtschaftsprüfer gehen davon aus, dass künftig weitere Bußgelder in ähnlicher Höhe fällig werden könnten.  

„Anlass der ersten Vor-Ort-Prüfung war eine Bürgerbeschwerde, die sich jedoch auf einen anderen Bereich bezog“, bestätigte ein Sprecher der  Datenschutzbehörde am Mittwoch der Berliner Zeitung. Das Unternehmen selbst habe Informationen „lediglich im Rahmen der für die Untersuchung erforderlichen Zusammenarbeit übermittelt“, hieß es.  Im Zuge der Untersuchung bei der Deutsche Wohnen sei dann der Missstand aufgefallen.  

Persönliche und finanzielle Daten wurden archiviert

Wie berichtet, moniert die Berliner Datenschutzbehörde, dass der Immobilienkonzern, der in Berlin mehr als 110.000 Wohnungen besitzt, teils jahrelang „persönliche und finanzielle Daten wie Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-,  Sozial- und Krankenversicherungsdaten sowie Kontoauszüge“ archiviert habe. „Der Missstand war auch bei unserer Nachkontrolle im März 2019 noch nicht abgestellt war“, teilt die Behörde weiter mit. Das Bußgeld wurde verhängt.

Grundlage des Bescheids ist eine Änderung des Bußgeldkonzepts, auf die sich die 16 Landesdatenschutzbehörden auf einer gemeinsamen Konferenz im Oktober geeinigt haben. Demnach wäre es sogar möglich gewesen, gegen die Deutsche Wohnen, die einen Jahresumsatz von 1,4 Milliarden Euro ausweist, ein Bußgeld von rund 28 Millionen Euro zu verhängen – das wären zwei  Prozent des Jahresumsatzes. Da dem Unternehmen jedoch „keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten  nachgewiesen werden konnten,  war (…) ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen“, teilte die Behörde mit. Die Rede ist von sogenannten Datenfriedhöfen, nicht mehr genutzten Sammlungen also.

Ab sofort standardmäßig höhere Bußgelder

Paul Voigt, Rechtsanwalt bei der auch in Berlin ansässigen Wirtschaftskanzlei Taylor Wessing, hält solch hohe Bußgeldsummen auch in Zukunft für möglich. „Ich glaube, dass das der Startschuss nach der Veröffentlichung des neuen Bußgeldkonzepts war“, sagt Voigt im Gespräch mit der Berliner Zeitung. „Es wird ab sofort standardmäßig höhere Bußgelder geben.“ Das müsse aber durchaus nicht nur Immobilienkonzerne betreffen, so Voigt. Der Wirtschaftsprüfer, der Unternehmen über Risiken im  Umgang mit der DSGVO und mögliche Konflikte mit dieser berät, geht im Gegenteil von branchenübergreifenden Problemen aus.

So liegt nahe, dass  Online-Händler oder Lieferdienste mit ihren gewaltigen Kundendateien ins Visier der Datenschützer kommen könnten. Unternehmen wie Facebook oder Google bestreiten 70 Prozent ihres Umsatzes mit Datenhandel. Denkbar ist aber prinzipiell auch, dass beispielsweise erneut die Deutsche Bahn in den Fokus gerät – allein schon, weil es als Transportunternehmen  über Millionen Nutzerdaten verfügt. Vor zehn flog bei der Deutschen Bahn jedoch ein Überwachungsmodell gegen mehr als 150.000 Mitarbeiter  auf.   Das Unternehmen akzeptierte damals ein Bußgeld von 1,1 Millionen Euro.

Regelmäßige Überprüfungen 

Die Behörde von Berlins Datenschutzbeauftragter Maja Smoltczyk verweist darauf, dass sich keine Eingrenzung nach Branchen vornehmen lasse. „Öffentliche und nicht-öffentliche Stellen, die mit einer großen Zahl personenbezogener Daten oder besonders sensiblen Datenkategorien hantieren, geraten jedoch sicher schneller in den Fokus unserer Ermittlungen oder sind eher Gegenstand von Beschwerden, die in der Folge eine Überprüfung auslösen können“, heißt es in einer Mitteilung.  Überprüfungen fänden  regelmäßig „in sämtlichen Geschäftsfeldern des nicht-öffentlichen Bereichs“, aber auch bei Berliner Behörden statt. Zu laufenden Verfahren mache man  jedoch keine Angaben.

Seit Anwendungsbeginn der DSGVO im Mai 2018 erreichen die Datenschutzbeauftragte Smoltczyk  nach eigenen Angaben wöchentlich rund 100 Beschwerden. Davon münde nicht jede in ein umfangreiches Untersuchungsverfahren, heißt es. Viele Fälle beträfen zudem  kleinere Verstöße oder können durch Hinweise erledigt werden. Dennoch übersteige  die Zahl der momentan geführten Ermittlungen „den mittleren vierstelligen Bereich“.