Datenfriedhof bei einem der größten Wohnungsunternehmen

Millionen-Bußgeld gegen Deutsche Wohnen

Die Berliner Datenschutzbeauftragte hat gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutzgrundverordnung erlassen. Die Deutsche Wohnen will den Bescheid gerichtlich prüfen lassen.
1105
Akten, Hängeregister, Verwaltung, Datenschutz, Daten, Mieterakte, Archiv, Büro Bild: AdobeStock photocrew 19712869
Akten, Hängeregister, Verwaltung, Datenschutz, Daten, Mieterakte, Archiv, Büro Bild: AdobeStock photocrew 19712869

Die Berliner Datenschutzbeauftragte Maja Smoltczyk spricht von einem „Datenfriedhof“, den die Behördenvertreter in der EDV der Deutsche Wohnen vorgefunden hätten. Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 habe die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Wie die Datenschutzbeauftragte Maja Smoltczyk in einer Pressemitteilung erklärt, seien personenbezogene Daten von Mietern gespeichert worden, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten die Prüfer Jahre alte private Angaben einsehen, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es habe sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieter gehandelt wie zum Beispiel Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Smoltczyk kommentiert den Datenfund bei der Deutsche Wohnen mit den Worten: „Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen.“

Datenbestand über Monate nicht bereinigt

In den mehr als anderthalb Jahren zwischen dem ersten und dem zweiten Prüfungstermin habe die Deutsche Wohnen den Datenbestand nicht bereinigt, obwohl zwischenzeitlich die verschärften Bestimmungen der europäischen Datenschutzgrundverordnung in Kraft getreten waren. Zwar habe das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen. Diese Maßnahmen hätten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Datenspeicherung geführt. Die Verhängung eines Bußgeldes wegen eines Verstoßes gegen die DSGVO für den Zeitraum zwischen Mai 2018 und März 2019 sei daher zwingend gewesen.

Belastend habe sich vor allem ausgewirkt, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet habe. Bußgeldmildernd wurde von der Datenschutzbeauftragten hingegen berücksichtigt, dass das Unternehmen erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet habe.

Neben der Sanktionierung dieses strukturellen Verstoßes verhängte die Berliner Datenschutzbeauftragte gegen das Unternehmen noch weitere Bußgelder zwischen 6.000 und 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mietern in 15 konkreten Einzelfällen.

Reaktion der Deutsche Wohnen

Die Bußgeldentscheidung ist bisher nicht rechtskräftig. Die Deutsche Wohnen SE kündigte an, den Bußgeldbescheid gerichtlich überprüfen zu lassen. Die Vorwürfe der Behörde bezögen sich auf die bereits abgelöste Datenarchivierungslösung des Unternehmens. In einer Pressemitteilung heißt es wörtlich: „Die Deutsche Wohnen betont ausdrücklich, dass keinerlei Daten von Mietern datenschutzwidrig an unternehmensfremde Dritte gelangt sind. Vielmehr hat die Deutsche Wohnen bereits im Jahr 2017 umfangreiche personelle und prozessuale Veränderungen eingeleitet, um den aktuellen Datenschutzanforderungen vollumfänglich gerecht zu werden.“ Thomas Engelbrecht

Grundsätze des Datenschutzes

Die Deutsche Wohnen wehrt sich mit den Hinweisen, erstens sei ein veraltetes Archivierungstool inzwischen abgelöst worden und zweitens seien Daten von Mietern nicht an Dritte weitergegeben worden.

Es bleibt jedoch festzuhalten, dass die Sammlung von persönlichen Daten „auf Vorrat“ unzulässig ist. Im Datenschutzrecht gilt der Grundsatz der „Datenminimierung“, wonach Daten nur insoweit verarbeitet werden dürfen, wie dies für einen konkreten Zweck erforderlich und angemessen ist.

Datenlöschung: Immobilienunternehmen sollten sorgfältig prüfen, wann personenbezogene Daten von Mietinteressenten und Mietern zu löschen sind. Unternehmen sind zur Löschung verpflichtet, wenn der ursprüngliche Verarbeitungszweck entfällt und keine (bspw. steuer- und handelsrechtlichen) Aufbewahrungspflichten bestehen. So wird eine Löschung von Daten eines Mietinteressenten häufig angezeigt sein, wenn die Wohnung an jemand anderen vermietet wurde. Im Hinblick auf den ausgewählten Mietinteressenten darf ein Vermieter grundsätzlich nur die Daten weiterhin speichern, die zur Durchführung des Mietverhältnisses oder zur Erfüllung gesetzlicher Pflichten notwendig sind.

Informationspflichten: Der Vermieter muss Mietinteressenten bzw. Mieter vor der ersten Datenerhebung umfassend über die Datenverarbeitung im Vermietungsprozess und im anschließenden Mietverhältnis informieren (z. B. über die Zwecke und Rechtsgrundlagen der Datenverarbeitung, die Dauer der Speicherung und potenzielle Empfänger der Daten). Dieser Pflicht sollten Vermieter durch entsprechende Datenschutzhinweise (z. B. als Anlage zum Mietinteressentenfragebogen/Mietvertrag) nachkommen. (Red.)

Thomas Engelbrecht

Thomas Engelbrecht
Chefredakteur
AnhangGröße
Beitrag als PDF herunterladen486.89 KB

◂ Heft-Navigation ▸

Artikel Millionen-Bußgeld gegen Deutsche Wohnen
Seite 20
27.8.2019
Wer Daten mit Mietern, Handwerkern oder Dienstleistern austauscht, E-Mails empfängt oder andere Internet-Dienste nutzt, geht Risiken ein. Zu den durch Computerviren verursachten Sicherheitsproblemen...
4.2.2020
Smart Meter und der Schutz persönlicher Daten
Im Dezember wurde einem dritten Hersteller von Smart Meter Gateways im Bundeswirtschaftsministerium ein Sicherheitszertifikat ausgestellt. Damit darf das digitale Messgerät in den Markt gebracht...
3.5.2017
Interview mit Andreas Ibel, Präsident des BFW
Die Digitalisierung ist angeblich die große Triebfeder der Veränderung. Ständig gibt es Apelle zum Aufbruch. Andreas Ibel, Präsident des BFW Bundesverband Freier Immobilien- und Wohnungsunternehmen...
9.2.2018
Die Situation auf dem deutschen Wohnungsmarkt macht es Vermietern leicht, potenziellen Mietern bei der Bewerbung Fragen zu stellen, die über das Maß des Datenschutzes hinausgehen. Die Interessenten...
4.2.2020
Die Vorteile von digitalen Zählern
Es ist ein Meilenstein für die Digitalisierung des Messwesens: Aller Voraussicht nach wird die verpflichtende Markteinführung von intelligenten Stromzählern (Smart Meter) Anfang 2020 beginnen. Aber...
16.3.2018
Die neue EU-Datenschutz-Grundverordnung stellt Prozesse, Inhalte und Organisationen von Immobilienverwaltungen auf den Prüfstand. Nicht zuletzt wegen empfindlicher Bußgelder empfiehlt es sich, eher...