Deutsche Wohnen wehrt sich gegen Bußgeld wegen DSGVO-Verstoß

Mit der neuen Datenschutz-Grundverordnung (DSGVO) wurden auch die Bußgelder bei unsensiblem Umgang mit privaten Daten, etwa von Mietern, massiv erhöht. 14,5 Millionen Euro soll nun die "Deutsche Wohnen" zahlen – der Immobilienkonzern will Widerspruch einlegen. Die Behörde sieht sich erst am Anfang.

Den Bußgeldbescheid gegen die Deutsche Wohnen in Höhe von 14,5 Millionen Euro hat die Berliner Datenschutzbeauftragte Maja Smoltczyk bereits Ende Oktober erlassen. Der Behörde zufolge sollen im Archiv von Deutschlands zweitgrößtem Wohnungsvermieter hinter dem Branchenriesen Vonovia persönliche Daten der Mieter noch immer eingesehen und verarbeitet werden können  darunter Imformationen zur Sozial- und Krankenversicherung, Arbeitsverträge und Informationen über finanzielle Verhältnisse.

Der Bußgeldbescheid ist noch nicht rechtskräftig. Die Deutsche Wohnen kündigte an, den Bescheid "gerichtlich prüfen" lassen zu wollen. Es wäre das bislang höchste Bußgeld, das in Deutschland wegen Datenschutz-Verstößen fällig würde. Weitere könnten folgen. "Datenfriedhöfe", wie sie bei der Deutsche Wohnen SE vorgefunden worden seien, begegneten ihr in der Aufsicht immer wieder, kritisierte Smoltczyk. 

Erste Rüge der Datenschutzbehörde 2017: Da war die DSGVO noch nicht in Kraft

Erstmals sei beim Konzern Deutsche Wohnen im Juni 2017 festgestellt worden, dass personenbezogene Daten von Mietern in einem Archivsystem gespeichert worden seien, in dem nicht mehr erforderliche Daten gar nicht gelöscht werden konnten, so die Berliner Datenschützer. Bis zu einer Untersuchung vor Ort im März dieses Jahres habe sich an dem Zustand trotz Aufforderung kaum etwas geändert, erklärte die Behörde ihr drastisches Vorgehen.

Bei der Festsetzung der Höhe des Bußgelds sei für das Unternehmen nachteilig ausgelegt worden, dass es die beanstandete Archivstruktur bewusst angelegt und die betroffenen Daten über einen langen Zeitraum unzulässig verarbeitet habe, betonte die Datenschutzbehörde. Zum Zeitpunkt der ersten Prüfung und Rüge war die neue DSGVO noch nicht gültig: Die verschärfte Regelung trat am 25.5.2018 in Kraft.

"Die Vorwürfe beziehen sich auf die bereits abgelöste Datenarchivierungslösung des Unternehmens", wehrt sich die Deutsche Wohnen, es seien "keinerlei Daten von Mietern datenschutzwidrig an unternehmensfremde Dritte gelangt".

Beim Düsseldorfer Wohnungskonzern LEG war im Juli vorübergehend ein Mieter-Portal abgeschaltet worden, nachdem ein Informatikstudent Sicherheitslücken öffentlich gemacht hatte. Es seien keine besonderen Computerkenntnisse notwendig gewesen, um sämtliche Daten anderer Mieter abzurufen, heißt es in einem Bericht des WDR. Der Student wurde von der LEG angezeigt.

Behörde: Bis zu 28 Millionen Euro Bußgeld gegen "Deutsche Wohnen" wären möglich

Neben der Sanktionierung des strukturellen Verstoßes verhängten die Berliner Datenschützer weitere Bußgelder gegen die Deutsche Wohnen. Zwischen 6.000 und 17.000 Euro soll die unzulässige Speicherung von personenbezogenen Daten von Mietern in 15 konkreten Fällen kosten.

Zur Berechnung der Höhe des Bußgeldes hat die Behörde den weltweit erzielten Vorjahresumsatz des Unternehmens herangezogen: 2018 habe der Konzern rund eine Milliarde Euro erwirtschaftet – demnach hätte das Bußgeld insgesamt bis zu 28 Millionen Euro betragen können. Mildernd sei gewesen, dass die Deutsche Wohnen formal mit der Behörde zusammengearbeitet und die Daten nicht an Dritte weitergereicht habe.

Die EU-Verordnung sieht bei Verstößen Zwangsgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des Gesamtumsatzes vor. Dabei wird etwa bei Tochterunternehmen der gesamte Umsatz des weltweiten Mutterkonzerns zugrunde gelegt. Allerdings wird empfohlen, dass unabsichtliche Fehler oder Erstverstöße nachsichtig geahndet werden sollen.

Datenschutz: Für viele Wohnungsunternehmen gibt es noch Handlungsbedarf

In einem Interview mit dem Berliner "Tagesspiegel" erklärte Smoltczyk, dass die massive Speicherung von Daten häufiger vorkomme und sich Unternehmen oft wenig Gedanken machten, ob die Daten überhaupt gespeichert werden müssten. Wohnungsunternehmen hätten zwar bestimmte Vorhaltepflichten, doch für den beanstandeten Umgang mit den personenbezogenen Daten der Mieter wären andere Löschfristen zu beachten gewesen.

Um Unternehmen bei der Umsetzung der Datenschutz-Grundverordnung zu unterstützen, hat etwa die Gesellschaft für Datenschutz und Datensicherheit Praxishilfen zur DSGVO veröffentlicht. Unterstützung findet speziell die Immobilienbranche auch bei den Verbänden  so gibt es zum Beispiel Checklisten beim IVD oder Informationsveranstaltungen und Beratung für die Anwender der ERP-Lösungen von Haufe.


Das könnte Sie auch interessieren:

DSGVO : Was Wohnungsunternehmen beachten müssen

dpa