Deutsche WohnenEuropäischer Gerichtshof klärt Grundsatzfragen beim Datenschutz

Deutsche Wohnen sammelte massenhaft Kopien von Personalausweisen, Kontoauszügen und anderen sensiblen Dokumenten von Mieter:innen. Im Streit um ein Rekordbußgeld der Berliner Datenschutzbehörde klärte der Europäische Gerichtshof nun gleich zwei Grundsatzfragen.

- - in Datenschutz - 2 Ergänzungen
Blick aus Fenster auf Wohnungen
Die Deutsche Wohnen hat sensible Daten ihrer Mieter:innen über Jahre gespeichert, auch wenn es dazu keinen Grund gab. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Florencia Viadana

Darf ein ganzes Unternehmen als juristische Person mit einem Bußgeld belegt werden, wenn es jahrelang zu Unrecht sensible Daten und Dokumente von Mieter:innen gehortet hat? Ja, darf es, urteilte jetzt der Europäische Gerichtshof im Fall des Wohnungskonzerns Deutsche Wohnen.

Nach jahrelangem Streit ist damit die Rechtsauffassung der Berliner Datenschutzbehörde bestätigt. Sie hatte 2019 ein Rekordbußgeld gegen die Deutsche Wohnen verhängt, weil das Unternehmen Unterlagen von Mieter:innen wie Kontoauszüge, Personalausweise oder Gehaltsnachweise in einer Datenbank sammelte – und auch nach mehrfacher Aufforderung der Behörde nicht löschte.

Das Gericht stellte aber auch fest: Ein Bußgeld darf die Aufsichtsbehörde nur dann verhängen, wenn der Verstoß schuldhaft war. Dazu muss er vorsätzlich oder fahrlässig begangen werden.

Urteil mit Strahlkraft

Die Deutsche Wohnen hatte Widerspruch gegen den Bescheid eingelegt. Und hatte damit Erfolg: Das Landgericht Berlin hatte den Bußgeldbescheid in einem Beschluss für nichtig erklärt. Nicht etwa, weil die Datenschutzverstöße des DAX-Unternehmens strittig gewesen wären, sondern aus formalen Gründen: Nach der Rechtsauffassung des Landgerichts Berlin könnten juristische Personen wie Deutsche Wohnen nur dann bestraft werden, wenn einem konkreten Verantwortlichen, also einer natürlichen Person, bei der Firma Fehlverhalten nachgewiesen werden kann. Das aber hatte die Datenschutzaufsicht in ihrem Bescheid nicht getan.

Das Kammergericht Berlin hatte die Sache vom Europäischen Gerichtshof in Luxemburg prüfen lassen. Es müsse geklärt werden, ob nur das Fehlverhalten einzelner Verantwortlicher zu Bußgeldern führen könne.

Die Antwort aus Luxemburg ist nun da und fällt deutlich aus. „Für eine direkte Sanktionierung des Unternehmens reicht der europäischen Rechtsprechung zufolge die Feststellung, dass Mitarbeitende eines Unternehmens einen Verstoß begangen haben, ohne dass die konkret handelnden Personen ermittelt werden oder Leitungspersonen des Unternehmens sein müssen. Es bedarf noch nicht einmal einer Kenntnis der Leitungspersonen von dem Verstoß“, fasst die Berliner Aufsichtsbehörde das Urteil in einer Mitteilung zusammen.

Das Urteil ist damit nicht nur ein Erfolg für die Berliner Datenschutzbehörde – es hat auch eine Grundsatzfrage geklärt. Bereits 2019 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) darauf hingewiesen, dass die nationalen Haftungsregeln in Deutschland nicht im Einklang mit den Datenschutzregeln der EU standen.

„Erforderliche Rechtssicherheit“

Meike Kamp, die vor etwas über einem Jahr den Posten der Berliner Datenschutzbeauftragten übernommen hat, begrüßt die Entscheidung: „Die Sanktionierung von Datenschutzverstößen durch Unternehmen war in Deutschland gegenüber anderen EU-Mitgliedstaaten deutlich erschwert. Dies widersprach dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und stand nicht im Einklang mit der Datenschutzgrundverordnung.“ Gerade bei großen Konzernen sei es schwierig, eine konkrete Person festzustellen, die verantwortlich ist. Nun gebe es Rechtssicherheit – für Aufsichtsbehörden und Unternehmen gleichermaßen.

Auch die juristischen Vertreter der Deutsche Wohnen begrüßten das Urteil: „Wir freuen uns, dass der Europäische Gerichtshof nun klargestellt hat, dass nur ein vorsätzlicher oder fahrlässiger Verstoß gegen die DSGVO zu einem Bußgeld führen kann“, sagte eine damit befasste Anwaltskanzlei gegenüber LTO.

Das Kammergericht Berlin muss nun entscheiden und das Urteil aus Luxemburg dazu berücksichtigen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Chris Köver ist seit 2018 Redakteurin von netzpolitik.org. Sie recherchiert unter anderem zu Digitaler Gewalt, so genannter Künstlicher Intelligenz und zur Migrationskontrolle. Bis 2014 war sie Chefredakteurin des Missy Magazine.

Kontakt: E-Mail (OpenPGP)

Veröffentlicht 06.12.2023 um 17:01
Kategorie
Schlagworte
Weitere Artikel
Im Hintergrund Zahlen-Kolonnen: Ortsdaten. Im Vordergrund eine illustrative Schreibtischszene. Auf dem Computer-Bildschirm eine Karte mit Ortsmarken.
Off/On – der Podcast von netzpolitik.org

#283 Off The RecordSo lief die Recherche zu den Databroker Files

3,6 Milliarden Standortdaten von Handys aus Deutschland: Damit begannen unsere Recherchen zu den Databroker Files. Im Podcast berichten Sebastian und Ingo, wie sie an die Daten kamen, wie die Kooperation mit dem Bayerischen Rundfunk ablief und wie das Team mit den sensiblen Daten umging.

Lesen Sie diesen Artikel: So lief die Recherche zu den Databroker Files

2 Ergänzungen

  2. Die Befugnisse der (Berliner) Datenschutzbeauftragten sind also immer noch nicht gemäß EU-Recht nachgebessert worden – ein Glück, dass es den EUGH gibt.
    Aber schön wäre auch, wenn mein Land in dieser Sache freundlicherweise beginnen würde, sich an geltendes Recht zu halten,
    und ENDLICH die Befugnisse der Datenschutzbeauftragten gesetzlich in Ordnung brächte:

    https://netzpolitik.org/2021/eu-datenschutzrichtlinie-fuer-strafverfolgung-deutschland-hat-die-frist-laengst-ueberschritten/
    https://netzpolitik.org/2022/eklatant-rechtswidrig-doppelte-ruege-der-datenschutzbeauftragten-fuer-die-berliner-polizei/

    2016 (EU-Richtlinie zum Datenschutz bei Justiz und Strafverfolgung)! so alt ist das Thema schon !

    Antworten

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.