DSGVO-Bußgeld gegen Deutsche Wohnen ist nicht vom Tisch

14,5 Millionen Euro soll die Deutsche Wohnen wegen eines DSGVO-Verstoßes zahlen. Das Landgericht Berlin stellte das Verfahren ein. Dagegen legte die Staatsanwaltschaft Beschwerde ein. Jetzt geht der Rechtsstreit in die nächste Runde.

Ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) wegen jahrelang gespeicherter Mieterdaten könnte das Immobilienunternehmen Deutsche Wohnen 14,5 Millionen Euro kosten. Den Bußgeldbescheid hatte die Berliner Datenschutzbehörde im Herbst 2019 erlassen. Im Februar 2021 hat das Landgericht Berlin das Verfahren eingestellt: Der Bescheid sei unwirksam. (LG Berlin, Beschluss der 26. Großen Strafkammer v. 18.2.2021, Az.: 526 AR).

Nun geht der Rechtsstreit in eine weitere Runde: Die Staatsanwaltschaft hat Beschwerde dagegen eingelegt, dass das Landgericht das Verfahren gegen den Dax-Konzern eingestellt hatte, wie eine Gerichtssprecherin am 3. März bestätigte.

Streitpunkt: Unwirksamer Beschluss der Datenschutzbehörde

Den Bußgeldbescheid gegen die Deutsche Wohnen hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, am 30.9.2019 wegen des Vorwurfs von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) verhängt.

Das Gericht hatte den Bußgeldbescheid deshalb für unwirksam erklärt, weil er keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens enthalte. Smoltczyk hält das nicht für erforderlich und verwies unter anderem auf europäische Vorschriften. Sie hoffe, dass durch eine gerichtliche Klärung das Verhältnis von nationalem Ordnungswidrigkeitenrecht und europäischem Datenschutzrecht geklärt werde. Davon profitierten Aufsichtsbehörden und Unternehmen.

Vorwurf: Unsensibler Umgang mit Mieterdaten

Die Datenschutzbehörde wirft dem Berliner Großvermieter Deutsche Wohnen konkret vor, es zwischen Mai 2018 und März 2019 unterlassen zu haben, Maßnahmen zur Ermöglichung einer regelmäßigen Löschung nicht (mehr) benötigter Mieterdaten in ausreichendem Umfang umgesetzt zu haben. Der Behörde zufolge soll es zu diesem Zeitpunkt möglich gewesen sein, im Archiv des Konzerns persönliche Daten der Mieter einzusehen und zu verarbeiten darunter Informationen zur Sozial- und Krankenversicherung, Arbeitsverträge und Informationen über finanzielle Verhältnisse.

Die Deutsche Wohnen hatte bereits im Oktober 2019 angekündigt, den Bußgeldbescheid "gerichtlich prüfen" lassen zu wollen. Es wäre das bislang höchste Bußgeld gewesen, das in Deutschland wegen Datenschutz-Verstößen fällig geworden wäre.

Erste Rüge gegen Deutsche Wohnen schon 2017

Erstmals sei die Deutsche Wohnen der Behörde im Juni 2017 aufgefallen. Damals habe man bereits festgestellt, dass personenbezogene Daten von Mietern in einem Archivsystem gespeichert worden seien, in dem nicht mehr erforderliche Daten gar nicht gelöscht werden konnten, so die Berliner Datenschützer. Weil an dem Zustand bis März 2019 nichts geändert worden sei, habe man zu drastischen Mitteln gegriffen, erklärte die Behörde. Zum Zeitpunkt der ersten Prüfung und Rüge war die neue DSGVO noch gar nicht gültig: Die verschärfte Regelung trat erst am 25.5.2018 in Kraft.

Neben der Sanktionierung des strukturellen Verstoßes verhängte die Behörde weitere Bußgelder gegen die Deutsche Wohnen. Zwischen 6.000 und 17.000 Euro soll alleine die unzulässige Speicherung von personenbezogenen Daten von Mietern in 15 konkreten Fällen kosten. Die EU-Verordnung sieht bei DSGVO-Verstößen Zwangsgelder von bis zu 20 Millionen Euro beziehungsweise bis zu vier Prozent des Gesamtumsatzes vor. Der zugrundegelegte Umsatz der Deutsche Wohnen von 2018 hätte ein Bußgeld von insgesamt bis zu 28 Millionen Euro erlaubt.

Datenschutz: Handlungsbedarf bei vielen Wohnungsunternehmen

Auch beim Düsseldorfer Wohnungskonzern LEG war im Juli 2019 vorübergehend ein Mieter-Portal abgeschaltet worden, nachdem ein Informatikstudent Sicherheitslücken öffentlich gemacht hatte. Es seien keine besonderen Computerkenntnisse notwendig gewesen, um sämtliche Daten anderer Mieter abzurufen, hieß es in einem entsprechenden Bericht des Westdeutschen Rundfunks (WDR). Der Student wurde von der LEG angezeigt.

In einem Interview mit dem Berliner "Tagesspiegel" erklärte Smoltczyk im November 2019, dass die massive Speicherung von Daten häufiger vorkomme und sich Unternehmen oftmals wenig Gedanken machten, ob die Daten überhaupt gespeichert werden müssten. Wohnungsunternehmen hätten zwar Vorhaltepflichten, müssten aber bei den personenbezogenen Daten der Mieter bestimmte Löschfristen beachten.

Um Unternehmen bei der Umsetzung der Datenschutz-Grundverordnung zu unterstützen, hat die Gesellschaft für Datenschutz und Datensicherheit Praxishilfen zur DSGVO veröffentlicht. Unterstützung findet speziell die Immobilienbranche auch bei den Branchenverbänden  so gibt es zum Beispiel Checklisten beim IVD oder Informationsveranstaltungen und Beratung für die Anwender der ERP-Lösungen von Haufe.


Das könnte Sie auch interessieren:

DSGVO in der Immobilienwirtschaft: 1x1 der Bußgeldberechnung

DSGVO: Behörden sollen strapazierten Unternehmen unter die Arme greifen

dpa