Im Oktober 2019 hatte die Berliner Aufsichtsbehörde (BlnBDI) ein Bußgeld in Höhe von 14,5 Millionen EUR gegen die Deutsche Wohnen SE erlassen. Sie warf der Deutschen Wohnen vor, ein Archivsystem für Mieterdaten nicht DSGVO-konform geführt zu haben. Die Gesellschaft, die mit einem Bestand von rund 165.700 Einheiten zu den größten Vermietern der Hauptstadt zählt, habe darin personenbezogene Informationen wie Gehaltsbescheinigungen, Selbstauskunftsformulare, Steuer-, Sozial- und Krankenversicherungsangaben sowie Kontoauszüge gespeichert und nicht überprüft, ob dies zulässig oder überhaupt erforderlich gewesen sei.
Gegen diesen Bußgeldbescheid ist die Deutsche Wohnen gerichtlich vorgegangen. Das Landgericht Berlin hat nun am 18.02.2021 entschieden, dass Bußgelder gegen juristische Personen nur verhängt werden könnten, wenn eine nachgewiesene konkrete Handlung von Leitungspersonen oder gesetzlichen Vertreter:innen dargelegt wird, die zu dem Bußgeldtatbestand geführt hat. Das Fehlen eines solchen Nachweises sei ein Verfahrenshindernis. Als Folge hat das Gericht das Bußgeldverfahren gegen die Deutsche Wohnen SE eingestellt, ohne sich in der Sache mit den von der Berliner Aufsichtsbehörde festgestellten Datenschutzverstößen auseinanderzusetzen. Gegen die Entscheidung des Landgerichts hat die Berliner Aufsichtsbehörde über die Staatsanwaltschaft Beschwerde eingelegt.
Praxishinweis: Der Fall zeigt anhand der interessanten juristischen Positionen, dass die DSGVO weiterhin Auslegungsspielräume hat, die noch einer gerichtlichen Klärung bedürfen. Aus Praxissicht ist der Fall jedoch ein guter Anlass, auf die Notwendigkeit einer funktionierenden Datenschutzorganisation hinzuweisen. Unabhängig vom schuldhaften Verhalten einzelner Personen im Unternehmen muss die Geschäftsleitung zum eigenen Schutz vor persönlicher Haftung und zum Schutz vor Haftung des Unternehmens dafür sorgen, dass sie sich kein Organisationsverschulden zurechnen lassen muss. Hätte die Berliner Aufsichtsbehörde ein Organisationsverschulden im Bußgeldbescheid festgestellt, hätte das Landgericht nämlich das Verfahren nicht eingestellt. Zur Entlastung von einem Organisationsverschulden gehört es, Verantwortlichkeiten festzulegen und Handlungsvorgaben und Regelungen zu treffen, deren Einhaltung regelmäßig geprüft werden (z.B. über Richtlinien, wie einer Datenschutz-Unternehmensrichtlinie). Werden hierbei intern Verstöße festgestellt, müssen hieraus Konsequenzen abgleitet werden. Die entscheidenden Stichworte an dieser Stelle sind: Verbindlichkeit, Nachhaltigkeit und Konsequenz!
Wenn Sie Hilfe benötigen, kontaktieren Sie uns.