Rekordbußgeld wegen Datenschutzverstößen: Deutsche Wohnen muss 14,5 Millionen Euro Strafe bezahlen
Das Unternehmen soll sensible Mieterdaten rechtswidrig gespeichert haben. Berliner Politiker bezeichnen die Höhe des Bußgelds als „Paukenschlag“.
Die in Berlin ansässige Wohnungsgesellschaft Deutsche Wohnen muss ein Rekordbußgeld wegen Verstößen gegen den Datenschutz zahlen. Das teilte Berlins Datenschutzbeauftragte Maja Smoltczyk am Dienstag mit und bestätigte damit entsprechende Informationen des Berliner SPD-Datenschutz-Experten Sven Kohlmeier.
Kohlmeier schrieb zuvor auf Twitter, das Wohnungsunternehmen müsse 14,5 Millionen Euro zahlen. Grundlage sei die Datenschutzgrundverordnung (DSGVO). Die Summe sei das zweithöchste Bußgeld, was jemals in Europa wegen Verstößen gegen den Datenschutz verhängt wurde, und das höchste in Deutschland. Er schrieb: „Das ist eine Ansage! Eine großartige Arbeit der Berliner Datenschutzbeauftragten & Team!“
Deutsche Wohnen speichert personenbezogene Daten von Mietern
Die Berliner Datenschutzbeauftragte teilte am Mittag mit, der Bußgeldbescheid sei bereits am 30. Oktober erlassen worden. Die Behörde hatte bei Prüfungen festgestellt, dass die Deutsche Wohnen personenbezogene Daten von Mietern in einem System speichere, das keine Möglichkeit biete, diese wieder zu löschen.
Die Deutsche Wohnen und der Verstoß gegen Datenschutz – der Überblick:
- Die Deutsche Wohnen muss 14,5 Millionen Euro Strafe zahlen
- Das Unternehmen hat gegen die Datenschutzgrundverordnung (DSGVO) verstoßen
- Das System speicherte Daten von Bewerbern – und kann diese nicht löschen
- Unter anderem besitzt die Deutsche Wohnen somit sensible Angaben über finanzielle Verhältnisse, Gehaltsbescheinigungen, und Versicherungsdaten der Bewerber
- Die Strafe ist das zweithöchste Bußgeld, was jemals in Europa wegen Verstößen gegen den Datenschutz verhängt wurde – und die höchste in Deutschland
Es handele sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieter, wie Gehaltsbescheinigungen, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.
Daten hätten gelöscht werden müssen
Die Speicherung personenbezogener Daten ist aber nach den in Artikel 5 der Datenschutzgrundverordnung (DSGVO) festgehaltenen Grundsätzen für die Verarbeitung von personenbezogenen Daten nicht zulässig: Demnach muss die Speicherung und Verarbeitung von Daten dem Zweck dienen, aus dem diese Daten erhoben worden.
Deshalb müssen beispielsweise die Daten von ehemaligen Mietern, die längst woanders wohnen, gelöscht werden. Ferner verstößt das Verhalten der Deutschen Wohnen nach Ansicht der Landesdatenschutzbeauftragten auch gegen Artikel 25 der DSGVO, in dem die Pflicht zum Datenschutz durch Technikgestaltung festgehalten wird.
Smoltczyk erklärte zu dem Rekordbußgeld am Dienstag: „Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist.“ Aber auch ohne solch einen „Daten-Gau“ handele es sich um einen „eklatanten Verstoß gegen die Grundsätze des Datenschutzes“.
Angaben über finanzielle Verhältnisse und Gehaltsbescheinigungen gespeichert
Auch über die Hintergründe für die Entscheidung gibt die Pressemitteilung Auskunft. So seien „in begutachteten Einzelfällen“ zum Teil Jahre alte private Angaben von Mieterinnen und Mieter von der Aufsichtsbehörde eingesehen worden, und zwar „ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten“.
Die Datenschutzbeauftragte hatte der Deutsche Wohnen nach einem ersten Termin 2017 sogar Zeit eingeräumt, die Verstöße zu beseitigen und das Archiv-System umzustellen. Bei einer weiteren Prüfung mehr als eineinhalb Jahre später sei aber festgestellt worden, dass kaum etwas passiert sei.
Der Tagesspiegel kooperiert mit dem Umfrageinstitut Civey. Wenn Sie sich registrieren, tragen Sie zu besseren Ergebnissen bei. Mehr Informationen hier.
[In unseren Leute-Newslettern aus den zwölf Berliner Bezirken befassen wir uns regelmäßig unter anderem mit Themen zum Wohnungsmarkt in Berlin. Die Newsletter können Sie hier kostenlos bestellen: leute.tagesspiegel.de]
Ferner habe die Deutsche Wohnen auch keine rechtlichen Argumente vorweisen können, aus denen heraus sie die Daten hätte speichern können oder müssen. Zwar habe das Unternehmen Vorbereitung für Löschungen getroffen, doch auch dadurch wäre das Archiv, nach Angaben der Berliner Landesdatenschutzbeauftragten, nicht in einen rechtskonformen Zustand überführt worden.
Bußgeld hätte noch höher ausfallen können
Das Bußgeld sei auch so hoch ausgefallen, heißt es weiter, weil das Unternehmen „die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden.“
Mit dem Bußgeld in Höhe von 14,5 Millionen Euro blieb die Landesdatenschutzbeauftragte unter dem möglichen Strafrahmen, den die Datenschutzgrundverordnung vorsieht. Laut Artikel 83 der DSGVO sind bei schwerwiegenden Verstößen gegen Artikel 25, wie im Fall der Deutschen Wohnen, Geldbußen von bis zu zwei Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens möglich.
Die Landesdatenschutzbeauftragte in Berlin legte das mögliche Strafmaß auf 28 Millionen Euro fest, hielt dem Unternehmen aber zugute, dass sie zumindest eine, wenn auch nicht ausreichende, Löschung vorbereitet habe.
Kohlmeier: „Offenbar wirkt die Datenschutzgrundverordnung“
Die Deutsche Wohnen bestätigte am Dienstag, dass ihr ein Bußgeldbescheid zugestellt wurde. Die Vorwürfe der Datenschutzbeauftragten bezögen sich aber auf die bereits abgelöste Datenarchivierungslösung des Unternehmens, heißt es in einer Mitteilung.
Es seien keinerlei Daten von Mietern datenschutzwidrig an Dritte gelangt.
Das Unternehmen erklärte, man habe „umfangreiche personelle und prozessuale Veränderungen eingeleitet, um den aktuellen Datenschutzanforderungen vollumfänglich gerecht zu werden.“
Sven Kohlmeier, Rechts- und Netzpolitikexperte der SPD-Fraktion im Abgeordnetenhaus, sagte dem Tagesspiegel: „Offenbar wirkt die Datenschutzgrundverordnung und wird gerade für große Unternehmen richtig teuer.“ Die Deutsche Wohnen habe als Vermieter schon mehrfach in der Öffentlichkeit gestanden, „weil offenbar alles der Rendite untergeordnet wird". Das Rekordbußgeld der Berliner Datenschutzbeauftragten sei „eine angemessene Reaktion auf die erheblichen Datenschutzverstöße der unkontrollierten Sammlung“ der Daten von Mieterinnen und Mietern.
Diese könnten auch missbräuchlich verwendet werden, zum Beispiel um anhand des Einkommens von Mieterinnen und Mietern Klagerisiken zu kalkulieren oder die Einkommenssituation für Mietpreiskalkulationen zu verwenden. „Wir werden die Deutsche Wohnen daher in den Datenschutzausschuss des Abgeordnetenhauses vorladen“, sagte Kohlmeier.
Die Deutsche Wohnen SE ist eine börsennotierte deutsche Wohnungsgesellschaft. Das Unternehmen besitzt etwa 163.000 Wohnungen und 2.600 Gewerbeimmobilien. Rund 111.000 Wohnungen befinden sich in Berlin. Der Bußgeldbescheid ist bislang nicht rechtskräftig, das Unternehmen will den Bescheid gerichtlich prüfen lassen.
Andere Fraktionen äußern sich
Politiker verschiedener Fraktionen im Berliner Abgeordnetenhaus haben sich mittlerweile zu dem Vorfall geäußert. Bernd Schlömer, Sprecher für Digitalisierung, Netzpolitik und Bürgerrechte der FDP-Fraktion, sagte dem Tagesspiegel: „Die Höhe des Bußgeldes und das betroffene Unternehmen sind ein echter Paukenschlag. Die Berliner Datenschutz-Aufsicht ist inzwischen bekannt für ihr konsequentes Handeln. Ob das Bußgeldverfahren ein bundesweiter Maßstab wird, muss man abwarten.“
Dass die rechtswidrige Speicherung von Daten konsequent geahndet wird, betonte auch Stefan Ziller, Digitalisierungs- und Datenschutzsprecher der Grünen-Fraktion im Abgeordnetenhaus. „Der Bußgeldbescheid der Datenschutzbeauftragten zeigt, wie wirksam die Datenschutz-Grundverodnung ist", sagte Ziller dem Tagesspiegel. „Der sorglose Umgang mit personenbezogenen Daten hat heute Konsequenzen. Unternehmen sollten den Bescheid zum Anlass nehmen, den eigenen Umgang mit Daten überprüfen."