Datenfriedhof in Berlin: 14,5 Millionen Euro Bußgeld

Deutsche Wohnen Bußgeld Datenschutz

Photo by rafa espada on Unsplash

Mit dem Slogan „Berlin, wir müssen reden“ konstatiert die Immobilienfirma Deutsche Wohnen SE ihren Einsatz für die Gestaltung eines fairen Wohnungsmarkts.

„Wir müssen reden“ hat nun auch die Berliner Datenschutzbeauftragte gedacht,  nachdem sie im Jahr 2017 einen eklatanten Datenschutzverstoß durch das Unternehmen festgestellt hat.

Am 30. Oktober 2019 verhängte die Behörde einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro. Zusätzlich dazu gab es weitere Bußgelder zwischen 6.000 und 17.000 Euro wegen unzulässiger Speicherung personenbezogener Daten von Mieterinnen und Mietern in 15 konkreten Fällen.

Frau Maja Smoltczyk, Berliner Beauftragte für Datenschutz und Informationsfreiheit, bezeichnete die Deutsche Wohnen SE als einen der mehreren „Datenfriedhöfe“, auf die sie „leider häufig“ in ihrer Aufsichtspraxis treffe.

Die Deutsche Wohnen speicherte sensible Kundendaten ohne Möglichkeit zur Löschung

Im Archiv des Konzerns waren sensible Mieterdaten gespeichert, die auch nach deren Erübrigung nicht gelöscht wurden. So konnten sie immer noch eingesehen und verarbeitet werden. Dazu gehörten etwa Informationen zur Sozial- und Krankenversicherung, Arbeitsverträge und Daten zu finanziellen Verhältnissen.

Laut Stellungnahme der Deutsche Wohnen SE teile diese die rechtliche Bewertung der Berliner Datenschutzbeauftragten nicht und werde den Bußgeldbescheid gerichtlich überprüfen lassen. Ebenfalls bekundet sie, „dass keinerlei Daten von Mietern datenschutzwidrig an unternehmensfremde Dritte gelangt sind. Vielmehr hat die Deutsche Wohnen SE bereits im Jahr 2017 umfangreiche personelle und prozessuale Veränderungen eingeleitet, um den aktuellen Datenschutzanforderungen vollumfänglich gerecht zu werden.“

Die Datenaufsichtsbehörde hatte das Unternehmen bereits 2017 zu stärkerem Datenschutz aufgefordert

Anders sieht es aber die Aufsichtsbehörde. Diese bemängelt gerade die Nichteinleitung von datenschutzrechtlichen Veränderungen seitens des Unternehmens, obwohl es bereits im Juni 2017 dazu aufgefordert wurde.

Auch im Hinblick auf den Bußgeldbetrag habe es sich zu dessen/seinen Lasten ausgewirkt, dass es wider besseres Wissens über einen längeren Zeitraum hinweg die Mieterdaten verarbeitet habe. In Ihrer Pressemitteilung sagt die Beauftrage:

„Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen. Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt. Die Verhängung eines Bußgeldes wegen eines Verstoßes gegen Artikel 25 Abs. 1 DSGVO sowie Artikel 5 DSGVO für den Zeitraum zwischen Mai 2018 und März 2019 war daher zwingend.“

Zu betonen gilt, dass zum Zeitpunkt der ersten Rüge die DSGVO noch nicht in Kraft getreten war. Gültig ist sie erst seit dem 25.5.2018.

Immerhin hat der Konzern die Daten nicht weitergereicht

Die Deutsche Wohnen SE ist nach Vonovia der zweitgrößte Wohnungsvermieter Deutschlands. Das Unternehmen hat 2018 fast eine Milliarde Euro erwirtschaftet – dieser Betrag war als der weltweit erzielte Vorjahresumsatz maßgeblich für die Festsetzung des Bußgeldes. Demnach hätte die Aufsichtsbehörde vom Konzern sogar bis zu 28 Millionen fordern können.

Die Beschränkung des Betrags auf 14,5 war auf die kooperative Haltung des Unternehmens sowie darauf zurückzuführen, dass eine Weiterreichung an Dritte nicht stattgefunden hatte. Dennoch handelt es sich immer noch um den höchsten verhängten Bußgeldbetrag seitens der Behörde nach den gegen Delivery Hero ausgesprochenen 195.000 Euro.

Signal für die Wirksamkeit der DSGVO

Den Schritt haben SPD- wie Grünenpolitiker begrüßt und als Signal für die Wirksamkeit der DSGVO bezeichnet. Diese sieht eine Pflicht zur Ergreifung aller technischen und organisatorischen Maßnahmen vor, die zur sog. „Datenminimierung“ erforderlich sind. Dieser in Art. 5 festgelegte Grundsatz besagt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen“.

Die Datenschutzbehörde hat nun ein eindeutiges Signal gesetzt, das von allen Unternehmen zügig beherzigt werden sollte.

Die mobile Version verlassen