Der Datenfriedhof – Bußgelder können zum „Tod“ des Unternehmens führen!

Die Berliner Datenschutzaufsichtsbehörde hat jüngst gegen das Unternehmen „Deutsche Wohnen“ das bisher höchste Bußgeld auf Basis der DSGVO (14,5 Mio. Euro) in Deutschland verhängt. Bei dem Immobilienkonzern „Deutsche Wohnen“ war bereits 2017 festgestellt worden, dass das Unternehmen personenbezogene Daten von Mietern in einem Archivsystem gespeichert hatte, bei dem es nicht möglich war, nicht mehr erforderliche Daten zu löschen. Das Unternehmen habe trotz Aufforderung an diesem Archivsystem kaum etwas geändert.

Die „Deutsche Wohnen“ hatte in dem Archivsystem personenbezogene Daten gespeichert, ohne zu überprüfen, ob diese Speicherung überhaupt zulässig und notwendig war. Die Aufsichtsbehörde stellte insoweit zahlreiche Einzelfälle fest, bei denen teilweise jahrealte private Angaben einsehbar waren, ohne dass diese Daten noch ihrem ursprünglichen Zweck dienen konnten. Hierzu gehörten etwa Angaben zu den finanziellen Verhältnissen (z. B. Gehaltsbescheinigung oder Krankenversicherungsdaten). Bei der Bemessung der Bußgeldhöhe orientierte sich die Datenschutzbehörde am Jahresumsatz des Unternehmens, welcher im Jahr 2018 bei über einer Milliarde Euro lag.

„Datenfriedhöfe“, wie diese von der „Deutsche Wohnen“ unterhalten wurden, sind in der datenschutzrechtlichen Praxis kein Einzelfall. Sie stellen insbesondere eine Gefahr im Hinblick auf Cyberangriffe dar, bei denen in erheblichem Maße Daten abgegriffen werden können.

Es ist daher dringend erforderlich, die Datenarchivierung in einem Unternehmen auf die Vereinbarung mit der DSGVO zu überprüfen. Insbesondere müssen Regelungen zu Speicherfristen und zur Löschung von nicht mehr benötigten Daten definiert (und im Verarbeitungsverzeichnis festgehalten) werden. Gibt es derartige Regelungen nicht, so kann die jeweilige Aufsichtsbehörde von einem „eklatanten Verstoß gegen die Grundsätze des Datenschutzes ausgehen und – wie der aktuelle Fall zeigt – existenzbedrohende Bußgelder verhängen.