Datenschutz nach der Datenschutz-Grundverordnung (DSGVO)

Die von der EU verabschiedete Datenschutz-Grundverordnung (DS-GVO) gilt nach Artikel 99 Absatz 2 DSGVO seit dem 25. Mai 2018. Ab diesem Zeitpunkt ist jede Form von Datenverarbeitung im Mietverhältnis nach den neuen Vorschriften durchzuführen. Sie besteht aus elf Kapiteln mit 99 Artikeln und soll einen einheitlichen europäischen Rechtsrahmen in einer zunehmend digitalisierten Welt schaffen.

Anders als EU-Richtlinien gilt die DS-GVO unmittelbar in den Mitgliedsstaaten der EU und hat als unmittelbar geltendes europäisches Recht Vorrang vor unserem nationalen Recht. Sie muss nicht erst in nationales Recht umgesetzt werden und schafft somit einen einheitlichen Rechtsrahmen für den Datenschutz in ganz Europa. Wichtig ist dies vor allem für grenzüberschreitend tätige Unternehmen, die sich in der deutschen Wohnungswirtschaft allerdings nur selten finden. Aber auch für Firmen und EU-Bürger als Mieter bringt dies eine Erleichterung mit sich.

Den Mitgliedsstaaten ist es nicht möglich, den von der Verordnung vorgegebenen Datenschutz abzuändern. Neben der DSGVO sind aber auch in Zukunft nationale Datenschutzvorschriften – wie das Bundesdatenschutzgesetz (BDSG) – zu beachten, welche modifiziert weiterhin fortbestehen. Die DSGVO als Recht der Europäischen Union überlässt es nämlich den Mitgliedsstaaten an diversen Stellen durch Öffnungsklauseln, Einzelheiten in bestimmten datenschutzrechtlichen Angelegenheiten weiterhin eigenständig zu regeln. Das bedeutet, dass bei der Einhaltung der datenschutzrechtlichen Vorgaben in Zukunft mehrere Rechtsmaterien zu beachten sind.

Vom BDSG sind nur die Teile 1 und 2 (§§ 1 bis 44) für Wohnungsunternehmen beachtlich, da sich Teil 3 (§§ 45 bis 85) nur mit dem Datenschutz bei Polizei und Justiz befasst.

Die DSGVO behält im Prinzip die wichtigsten inhaltlichen datenschutzrechtliche Grundsätze des bisherigen BDSG wie den der Datensparsamkeit, das Verbot mit Erlaubnisvorbehalt oder die Zweckbindung der erhobenen Daten bei. Sie erweitert aber die Rechte der von der Datenverarbeitung betroffenen Personen und die Pflichten der datenverarbeitenden Unternehmen.

Im Detail gibt es aber auch entscheidende Änderungen und Neuregelungen, die ein Handeln der Vermieter erforderlich machen. So ist der Geltungsbereich der DSGVO weiter, die Transparenz- und Dokumentationsanforderungen sind höher und es gibt weitere ausdrückliche Rechte der von der Datenverarbeitung betroffenen Mieter wie etwa das „Recht auf Vergessenwerden” und umfangreiche Informationsrechte.

Vor dem Hintergrund der erweiterten Haftung und der erheblichen Geldbußen (siehe unten) ist es wichtiger als bisher, Datenschutz als strategische Aufgabe zu betrachten, die Datenschutzmaßnahmen umfassend zu dokumentieren, Informations-, Archivierungs- und Löschkonzepte zu beschließen und Strukturen und Prozesse zu schaffen, um die umfassenden Anforderungen der DSGVO zu erfüllen. Es ist ein Datenschutz-Managementsystem als Teil des Risiko-Managementsystems erforderlich. Dazu gehören auch ein regelmäßiger Kontakt zur Datenschutzbehörde sowie regelmäßige Informationen über den Datenschutz, da die meisten Regelungen der DSGVO noch neu und sehr allgemein gehalten sind und noch der Konkretisierung in der Rechtspraxis bedürfen.

Wir befassen uns im folgenden nur mit den Aspekten der DSGVO, die das Mietverhältnis betreffen. Soweit ein Wohnungsunternehmen oder Verwalter in einer anderen Eigenschaft wie beispielsweise als Arbeitgeber oder Gesellschaft betroffen ist, gelten gesonderte Regeln.

Inhalt:
  1. Erste Schritte
  2. Gegenstand und Ziele der DSGVO
  3. Sachlicher Anwendungsbereich der DSGVO
  4. Räumlicher Anwendungsbereich der DSGVO
  5. Verantwortlicher
  6. Auftragsverarbeiter
  7. Grundsätze der Verarbeitung personenbezogener Daten
  8. Rechtmäßigkeit der Datenverarbeitung
  9. Bußgelder
1. Erste Schritte

Der Gesamtverband der Wohnungwirtschaft (GdW) empfiehlt, als erstes folgende Schritte anzugehen und umzusetzen:

  • Bestellung eines Datenschutzbeauftragten und eines Vertreters sowie bei externen Datenschutzbeauftragten eines internen Ansprechpartners nach Artikel 37 ff DSGVO,
  • Erarbeitung eines Verzeichnisses der Verarbeitungstätigkeiten nach Artikel 30 DSGVO,
  • Erstellung und Bereitstellung von Informationshinweisen zur Datenerhebung,
  • Mitarbeiterschulung,
  • Anpassung der Verträge mit Unternehmen, die in Ihrem Auftrag Daten verarbeiten (Auftragsverarbeiter),
  • Anpassung der Verpflichtung auf Datengeheimnis,
  • Überprüfung und Anpassung der Webseite (Datenschutzerklärung, Impressum),
  • Erstellung von notwendigen Dokumentationen, wie z. B.: IT-Infrastrukturübersicht, Backupkonzept, Notfallplan, Passwortrichtlinie und Umgang mit Passwörtern, Archivie- rungs- bzw. Löschkonzept, Richtlinien und Arbeitsanweisungen etc. und die Vornahme der entsprechenden technischen und organisatorischen Maßnahmen (TOMs).
2. Gegenstand und Ziele der DSGVO

Nach Artikel 1 Absatz 1 enthält die DSGVO Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Sie schützt dadurch nach Artikel 1 Absatz 2 deren Grundrechte und Grundfreiheiten, insbesondere ihr Recht auf Schutz personenbezogener Daten. Außerdem soll sie den freien Verkehr von personenbezogenen Daten im Binnenraum der Europäischen Union schützen.

Personenbezogene Daten sind nach Artikel 4 Nummer 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person”) beziehen. Unternehmen sind daher keine Betroffenen, fallen also nicht unter den Schutz der DSGVO. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Beispiele für personenbezogene Daten sind der Vor- und Nachname, dass Geburtsdatum, das Geschlecht, die Anschrift, Telefon- und Faxnummer, die E-Mail Anschrift und die IP-Adresse, Kontodaten, Kreditkartendaten, etc. Nicht personenbezogenen sind wohnungsbezogene Daten wie die Wohnungsausstattung, die Miethöhe oder die Verbrauchsdaten.

Verarbeitung ist nach Artikel 4 Nummer 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Der DSGVO liegt somit ein sehr weiter Begriff der personenbezogenen Daten und der Verarbeitung zugrunde. Dies führt dazu, dass nahezu alle erhobenen Daten unter die DSGVO fallen. Beispielsweise liegt bereits dann eine Verarbeitung personenbezogener Daten vor, wenn mit einem Mietinteressenten ein Besichtigungstermin vereinbart wird und seine Name, seine Telefonnummer und der Termin im System des Wohnungsunternehmens hinterlegt werden.

Eine Verletzung des Schutzes personenbezogener Daten ist nach Artikel 4 Nummer 12 DSGVO eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

3. Sachlicher Anwendungsbereich der DSGVO

Die DSGVO gilt nach Artikel 2 Absatz 1 für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung (Also analoge, Stichwort: Papierkalender, Adressbuch) personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Sie findet nach Artikel 2 Absatz 2 c) keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Ein Dateisystem ist nach Artikel 4 Nummer 6 DSGVO jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.

4. Räumlicher Anwendungsbereich der DSGVO

Die DSVGO findet nach Artikel 3 Absatz 1 Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

5. Verantwortlicher

Verantwortlicher ist nach Artikel 4 Nummer 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im Bereich der Wohnungswirtschaft sind das in erster Linie die Wohnungsunternehmen und Immobilienverwaltungen.

6. Auftragsverarbeiter

Ein Auftragsverarbeiter ist nach Artikel 4 Nummer 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personen­bezogene Daten im Auftrag des Verantwortlichen verarbeitet. Auf den Auftragsverarbeiter als externen Dritten werden bestimmte Tätigkeiten und somit auch die Verarbeitung von dazu erforderlichen personenbezogenen Daten delegiert. Es geht dabei um Messdienstleister, Lohn- und Geschäftsbuchführung und sonstige IT-Dienstleister. Aber auch im Fall einer Einbeziehung von Auftragsverarbeitern trifft der Verantwortliche weiterhin die wesentlichen Entscheidungen über Zweck und Mittel der Datenverarbeitung.

7. Grundsätze der Verarbeitung personenbezogener Daten

Artikel 5 der DSGVO gibt Grundsätze für die Verarbeitung personenbezogener Daten vor. Der Verantwortliche (siehe Artikel 4 Nummer 7 DSGVO) ist gemäß Artikel 5 Absatz 2 DSGVO für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). Datenschutzkonformes Handeln im Sinne der DSGVO verlangt deshalb mehr als die Einhaltung materieller Anforderungen. Um der Rechenschaftspflicht gerecht zu werden, ist vielmehr eine umfassende Bestandsaufnahme aller Vorgänge mit Bezug zu personenbezogenen Daten erforderlich (Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 Absatz 1 DSGVO) sowie eine Neustrukturierung mit dem Ziel, die materiellen und formellen Anforderungen der DSGVO einzuhalten.

Danach müssen personenbezogene Daten

  • auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  • für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
  • sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisa­torischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicher­begrenzung“);
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
8. Rechtmäßigkeit der Datenverarbeitung

Nach Artikel 6 Absatz 1 DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.

Die Einwilligung zur Datenverarbeitung ist in Artikel 7 DSGVO geregelt. Beruft sich der Vermieter für die Datenverarbeitung auf eine Einwilligung des Mieters, muss er gemäß Artikel 7 Absatz 1 DSGVO nachweisen können, dass der Mieter in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat. Erfolgt die Einwilligung des Mieters durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft (z.B. in einem Interessentenformular oder in einem Mietvertrag), so muss das Ersuchen um Einwilligung nach Artikel 7 Absatz 2 DSGVO in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

Die Einwilligung ist nur wirksam, wenn sie freiwillig erteilt wird. Eine „Einwilligung” ist nach Artikel 4 Nummer 11 der DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise (Also vor allem in Kenntnis des Zwecks der Datenerhebung) und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der der Mieter zu verstehen gibt, dass er mit der Verarbeitung der ihn betreffenden personenbezogenen Daten einverstanden ist. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss nach Artikel 7 Absatz 4 DSGVO dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Eine bestimmte Form (Näheres dazu in unserem Beitrag „Form”) ist für die Einwilligung nicht vorgeschrieben. Zur Dokumentation und Beweissicherung sollte sie jedoch immer schriftlich eingeholt werden. Werden die Daten im Internet erhoben, empfiehlt es sich, die Einwilligung über einen gesonderten Einwilligungsklick zu dokumentieren.

Der Mieter hat nach Artikel 7 Absatz 3 DSGVO das Recht, seine Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Der Mieter muss vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt gesetzt werden. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen. Das ist bei einem Mietvertrag der Fall. Ohne personenbezogene Daten des Mieters kann er nicht abgeschlossen und abgewickelt werden.

c) Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt. Auch dieser Rechtfertigungsgrund liegt für einige personenbezogenen Daten des Mieters vor, da der Vermieter unter anderem verpflichtet ist, eine Vermieterbescheinigung zu erteilen (Mehr dazu in unserem Beitrag „Melderecht”). Ebenso fällt die Weitergabe von Mitarbeiterdaten im Rahmen der Lohn- und Gehaltsabrechnung unter diese Bestimmung.

d) Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Diese Bestimmung wird im Rahmen eines Mietverhältnisses ihrer selten einschlägig sein.

e) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Bestimmung wird im Rahmen eines Mietverhältnisses ihrer selten einschlägig sein.

f) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personen­bezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Bei diesem sehr allgemein formulierte Erlaubnistatbestand besteht noch Unsicherheit über seinen Anwendungsbreich. Nach Erwägungsgrund 47 der DSGVO könnte ein berechtigtes Interesse beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. Dies ist bei einem Mietverhältnis bzw. bei konkreten Mietvertragsgesprächen in der Regel gegeben. Berechtigte Interessen dürften die Datenverarbeitung auch dann erlauben, wenn ein Vermieter die Datenverarbeitung für ein Inkasso- oder Gerichtsverfahren vornimmt, weil der Mieter nicht zahlt.

9. Bußgelder

Die DSGVO sieht in Artikel 83 für Unternehmen Geldbußen von bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor. An Verstößen gegen die DSGVO beteiligte natürliche Personen müssen mit Geldbußen von bis zu 20 Mio. EUR rechnen. Damit verschärft sich der Bußgeldrahmen gegenüber dem bisherigen Recht, dass Bußgelder bis maximal 300.000 EUR vorsah, drastisch.

Nach Artikel 83 Absatz 1 DSGVO müssen Bußgelder in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein.

Die einzelnen Bußgeldtatbestände ergeben sich aus Artikel 83 Abs. 4, 5 und 6 DSGVO und umfassen alle Pflichten des Verantwortlichen und auch des Auftragsverarbeiters nach der DSGVO und dem BDSG. Die Aufsichtsbehörden haben damit umfangreiche Möglichkeiten um auf Verstöße gegen datenschutzrechtliche Pflichten zu reagieren.

Mit Wirksamkeit der DSGVO existierten zunächst noch keine Erfahrungswerte hinsichtlich der Höhe und Angemessenheit der Bußgelder. Darüber hinaus wird es eine gewisse Zeit dauern, bis die mittlerweile verhängten ersten Strafen von den Gerichten geprüft wurden.

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat am 14.Oktober 2019 ein „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder” zur Bußgeldzumessung in Verfahren gegen Unternehmen” veröffentlicht. Es soll bis zur Veröffentlichung von Leitlinien des Europäischen Datenschutzausschusses zur Festlegung von Geldbußen herangezogen werden. Dem Konzept kann eine grobe Orientierung entnommen werden, wie Bußgelder auf der Grundlage der DSGVO festgelegt werden sollen.

Ausgangspunkt sind vier Größenklassen, in die die Unternehmen anhand ihres mittleren Jahresumsatzes eingeteilt werden:

  1. Kleinstunternehmen (Größenklasse A bis 2 Mio. € Jahresumsatz mit d Untergruppen),
  2. kleine Unternehmen (Größenklasse B über 2 bis 10 Mio. € Jahresumsatz mit 3 Untergruppen),
  3. mittlere Unternehmen (Größenklasse C über 10 bis 50 Mio. € Jahresumsatz mit 7 Untergruppen),
  4. Großunternehmen (über 50 Mio. € Jahresumsatz mit 7 Untergruppen)

Die vier Größenklassen verfügen über weitere Untergruppen von Kleinstunternehmen der niedrigsten Stufe (A.I.) mit einem Jahresumsatz von bis zu 700.000 € bis hin zu Großkonzernen der höchsten Untergruppe (D.VII) mit einem Jahresumsatz über 500 Mio. €.

Anschließend wird der mittlere Jahresumsatz für das jeweilige Unternehmen bestimmt und durch 360 Tage geteilt. So wird ein bestimmter Tagessatz für das betroffene Unternehmen festgelegt.

Im letzten Schritt muss dann noch ein Multiplikator für den jeweiligen Verstoß festgelegt werden, mit dem der Tagessatz multipliziert wird. Nach Schwere des Verstoßes wird ein Multiplikator zwischen 1 und 12 festgelegt. Die Festlegung erfolgt für formelle Verstöße nach Artikel 83 Absatz 4 DSGVO und materielle Verstöße nach Artikel 83 Absätze 5 und 6 DSGVO anhand der Schwere der Tatumstände (leicht, mittel, schwer oder sehr schwer). Als Ergebnis ergibt sich ein Faktor zwischen 1-6 für formelle Verstöße und 1-12 für materielle Verstöße.

Schließlich müssen bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag noch die in Artikel 83 Absatz 2 DSGVO genannten Kriterien gebührend berücksichtigt werden. Dabei geht es vor allem um

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
  • jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
  • Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
  • etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
  • Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
  • Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsver­arbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
  • jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Das bisher höchste und für die Wohnungswirtschaft relevanteste Bußgeld wurde in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE verhängt. Das Unternehmen hatte trotz mehrfacher Aufforderung der Berliner Aufsichtsbehörde kein Löschkonzept hinsichtlich der gespeicherten Mieterdaten umgesetzt. Das Verfahren liegt jetzt beim Berliner Landgericht. Das dürfte allerdings ein ziemlich einmaliger Fall bleiben.

Alltagsrelevanter ist da wahrscheinlich das Bußgeld gegen das Chatportal Knuddels in Höhe von 20.000 Euro nach einer Datenpanne. Aus dem System des Unternehmers wurden durch einen Hackerangriff mehrere Hunderttausend E-Mail-Adressen und etwa 2 Millionen  Nutzernahmen und Passwörter gestohlen. Die Datenpanne ereignete sich, weil die Daten unverschlüsselt auf einem alten Server gespeichert waren.

Wegen fehlender Auftragsverarbeitungsverträge musste musste eine Firma Kolibri 5.000 € Bußgeld zahlen. Da half auch der Einwand nicht, man habe den Vertragspartner mehrfach darum gebeten. Antwort der Aufsichtsbehörde: Dann hätte man ihn erst danach beauftragen dürfen.

Der Hamburgische Beauftragte für Datenschutz hat 2019 ein Bußgeld in Höhe von 51.000 € gegen die deutsche Tochter von Facebook verhängt, weil sie es entgegen Artikel 37 Absatz 7 DSGVO unterlassen hatte, der Behörde nach einem Wechsel die Kontaktdaten des neuen Datenschutzbeauftragten zu melden. Die Vorschrift gilt nicht nur für die Erst- bzw. Folgebenennung, sondern auch für jede Änderung der Kontaktdaten, insbesondere des Namens oder der Anschrift.

Für das Bußgeldverfahren gelten nach § 41 Absatz 1 BDSG die Vorschriften des Gesetzes über Ordnungswidrigkeiten sinngemäß. Ergeht ein Bußgeldbescheid, muss der nach § 69 Absatz 1 OWiG innerhalb einer 2-Wochen-Frist nach der Zustellung des Bußgeldbescheids einen Einspruch bei der Aufsichtsbehörde einlegen. Die Behörde prüft dann, ob sie dem Einspruch abhilft oder den Bußgeldbescheid aufrechterhält. Wenn sie an ihrem Bußgeldbescheid festhält, leitet sie die Akten nach § 69 Absatz 3 OWiG an die zuständige Staatsanwaltschaft. Die Staatsanwaltschaft leitet das Verfahren dann an das zuständige Gericht weiter, wenn keine weiteren Ermittlungen durchzuführen sind und aus ihrer Sicht keine Einstellung des Verfahrens in Frage kommt (§ 69 Absatz 4 OWiG). Zuständig ist nach § 68 Absatz 1 OWiG das Amtsgericht, in dessen Bezirk die Verwaltungsbehörde ihren Sitz hat. Übersteigt jedoch das Bußgeld 100.000 €, ist nach § 41 Absatz 1 Satz 2 BDSG das Landgericht zuständig.

Vermeiden lassen sich Bußgelder am besten, indem man sich bemüht, die Vorgaben der DSGVO und des BDSG einzuhalten. Eine konsequente Dokumentation und eine gute datenschutzrechtliche Beratung sind dafür Voraussetzung.

Ist ein Verfahren bereits eingeleitet worden, ist es entscheidend, mit der Aufsichtsbehörde zusammenzuarbeiten (siehe Artikel 31 DSGVO) und die datenschutzrechtlichen Mängel schnell und konsequent zu beheben. Oft führt dies zur Einstellung des Verfahrens oder zumindest der Senkung der Geldbuße.

Bild: magele-picture / Fotolia

Schreibe einen Kommentar