Datenschutzverstöße werden „jetzt“ geahndet! Greift die Datenschutzbehörde nun hart durch?

Datenschutzverstöße werden „jetzt“ geahndet! Greift die Datenschutzbehörde nun hart durch?

Beispiel: Telekomunikationsunternehmen 1&1 Telecom GmbH

oder

 Beispiel: Deutsche Wohnunen in Berlin

Die bisher höchste Geldbuße auf DSGVO-Basis 14,5 Millionen Euro hat die Berliner Datenschutzbeauftragte Maja Smoltczyk jüngst gegen die deutsche Immobiliengesellschaft Deutsche Wohnen verhängt. Diese will den Bescheid aber nicht anerkennen.

Das Unternehmen „Deutsche Wohnen“ soll sensible Mieterdaten rechtswidrig gespeichert haben. Berliner Politiker bezeichnen die Höhe des Bußgelds als „Paukenschlag“.

Die Behörde hatte bei Prüfungen festgestellt, dass die Deutsche Wohnen personenbezogene Daten von Mietern in einem System.

Die Deutsche Wohnen und der Verstoß gegen Datenschutz – der Überblick:

  • Die Deutsche Wohnen muss 14,5 Millionen Euro Strafe zahlen
  • Das Unternehmen hat gegen die Datenschutzgrundverordnung (DSGVO) verstoßen
  • Das System speicherte Daten von Bewerbern – und kann diese nicht löschen
  • Unter anderem besitzt die Deutsche Wohnen somit sensible Angaben über finanzielle Verhältnisse, Gehaltsbescheinigungen, und Versicherungsdaten der Bewerber
  • Die Strafe ist das zweithöchste Bußgeld, was jemals in Europa wegen Verstößen gegen den Datenschutz verhängt wurde – und die höchste in Deutschland

Es handele sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieter, wie Gehaltsbescheinigungen, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Die Daten hätten gelöscht werden müssen.

Die Datenschutzbeauftragte hatte der Deutsche Wohnen nach einem ersten Termin 2017 sogar Zeit eingeräumt, die Verstöße zu beseitigen und das Archiv-System umzustellen. Bei einer weiteren Prüfung mehr als eineinhalb Jahre später sei aber festgestellt worden, dass kaum etwas passiert sei.

Inzwischen ist die Deutsche Wohnen ein eigenständiges börsennotiertes Unternehmen (ehemalige Tochter der Deutschen Bank) mit einem Umsatz von mehr als 1,4 Milliarden Euro in 2018 [PDF] – und Gegenstand anhaltender Kritik.

Wegen der unzulässigen Datenspeicherung von Mieter:innen muss die Deutsche Wohnen in 15 konkreten Fällen aber auch Einzelbußgelder in Höhe mehrerer Tausend Euro zahlen. Es ist davon auszugehen, dass es die Beschwerden dieser Menschen waren, die das Verfahren bei der Behörde ins Rollen brachten.

Siehe:

Quelle: https://www.tagesspiegel.de/berlin/rekordbussgeld-wegen-datenschutzverstoessen-deutsche-wohnen-muss-14-5-millionen-euro-strafe-bezahlen/25191038.html

URL: https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-1-1-muss-knapp-10-Millionen-Euro-Strafe-zahlen-4608676.html

Zitat:

Im September hatte der Bundesdatenschutzbeauftragte Ulrich Kelber angekündigt, dass auch deutsche Aufsichtsbehörden nach ersten Warnschüssen bald Sanktionen auf Basis der Datenschutz-Grundverordnung (DSGVO) in Millionenhöhe verhängen würden. Jetzt hat der Kontrolleur selbst durchgegriffen und die 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Der Telekommunikationsdienstleister, zu dessen Konzernverbund etwa auch die von dem Fall nicht betroffenen Mail-Anbieter Web.de und GMX gehören, hatte Kelber zufolge „keine hinreichenden technisch-organisatorischen Maßnahmen“ zum Schutz von Kundendaten ergriffen.

Unverhältnismäßig hohe Strafe wegen iner zu geringen  Authentifizierung/Überprüfung der Richtigkeit der Daten. Die telefonische Abfrage nach dem Geburtsdatum alleine ist nicht ausreichend.

Unser Rat: Nehmen Sie sich umgehend einen guten Anwalt der auf IT-Datenschutz Recht spezialisiert ist.

Für weitere Details wenden Sie sich an ihren Datenschutzbeauftragten.

DSGVO-Bußgelder – das ist neu

Das neue Modell zur Bußgeldbemessung orientiert sich im Wesentlichen an den Vorgaben des Art. 83 DSGVO und unterteilt sich in fünf Schritte:

  1. Zunächst wird das verantwortliche Unternehmen in eine Größenklasse kategorisiert, die sich nach dem weltweit erzielten Jahresumsatz des vorangegangen Geschäftsjahres richtet.
  2. Anschließend wird der mittlere Jahresumsatz der jeweiligen Untergruppe (Kleinstunternehmen, kleine und mittlere Unternehmen oder Großunternehmen)bestimmt, in die das Unternehmen eingeordnet wurde.
  3. Auf dieser Grundlage wird der wirtschaftlichen Grundwert des Unternehmens ermittelt: Die Behörden errechnen einen sogenannten Tagessatz indem sie den weltweiten Vorjahresumsatz des Unternehmens durch 360 teilen.
  4. Danach wird der Verstoß mithilfe tatbezogener Einzelfallumstände einem bestimmten Schweregrad zugeordnet und mit einem entsprechenden Faktor multipliziert.
  5. Zuletzt erfolgt eine Anpassung des Grundwertes anhand aller sonstigen, bisher nicht berücksichtigten Umstände des Einzelfalls. Dabei müssen alle für und gegen das verantwortliche Unternehmen sprechenden, täterbezogenen sowie sonstigen Umstände, berücksichtigt werden.

So führen Sie ein Lösch- und Archivierungssystem ein

Die Erstellung eines Löschkonzepts erfolgt in der Regel in diesen vier Schritten:

1. Umfangsanalyse

Zunächst sollte geklärt werden, in welchem Umfang und in welcher Tiefe die Löschung erfolgen soll. Dabei sollten die Kosten vollständiger Compliance und eventuelle Risiken durch Bußgelder oder einen Imageverlust abgewogen werden. Eine Auflistung der Unterlagen und ihrer Bezüge, die Bestandteil des Konzepts sind, sollte in einer Dokumentationsstruktur organisiert werden. Im Einklang mit anerkannten Best Practices, etwa der Richtlinie zur Erstellung eines Löschkonzepts DIN 66398, sollte weiter dargestellt werden, wie das Löschkonzept entwickelt und gepflegt werden soll.

2. Festlegung von Datenkategorien und Löschfristen

Im Anschluss gilt es, einzelne Datenkategorien zu bilden und explizite Löschfristen für diese festzulegen. Bei der Festlegung der Löschfristen ist zunächst zu prüfen, ob gesetzliche Fristen existieren. Beispielhaft sind hier die Verpflichtung zur Aufbewahrung von Geschäftsunterlagen nach § 257 Handelsgesetzbuch oder § 147 der Abgabenordnung zu nennen. Hier empfiehlt es sich, konkrete Kriterien zu erarbeiten und diese zu dokumentieren. Die gesetzlichen Fristen können dafür als Grundlage dienen.

Zu beachten ist aber, dass mit Ablauf der Aufbewahrungsfrist nicht automatisch eine Löschpflicht entsteht, da weiterhin ein legitimes Interesse an der Speicherung bestehen kann, um zum Beispiel bei Rechtsstreitigkeiten etwaigen Auskunftspflichten nachkommen zu können. Für solche Sonderfälle müssen spezielle Prozesse entwickelt werden.

3. Bestimmung eines Löschverantwortlichen

Neben der Festlegung einer verantwortlichen Person kann die Löschung auch automatisiert erfolgen, was unter Effizienzgesichtspunkten sinnvoll ist. Dabei gilt es, die Vorgaben für die Umsetzung der Löschmaßnahmen und die entsprechenden Löschregeln zu konkretisieren und regelmäßig zu überprüfen, ob sie eingehalten werden. Typische Fragestellungen betreffen hier beispielsweise den Löschmechanismus, ob die Regellöschfrist zu beachten ist oder ob die Daten schon früher gelöscht werden können.

4. Einbettung in verwandte Themen

Ein erfolgreiches Löschkonzept sollte stets in andere Systeme eingebettet sein. Regelmäßig sind Daten miteinander verknüpft, sodass die Löschung an einer Stelle zu Problemen an anderen Stellen führen kann oder eine Löschung überhaupt nicht möglich ist. Weiterhin relevant sind der Umgang mit individuellen Löschanträgen durch betroffene Personen, sowie eine Dokumentation der Zwecke, zu denen Daten erhoben, gespeichert oder anderweitig verarbeitet werden. Dies ist zur Bewertung einer angemessenen Speicherfrist erforderlich. (jd)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.