Deutsche Wohnen – ein „Datenfriedhof“ für 14, 5 Millionen Euro

Nun ist es da – das von der Berliner Beauftragten für Datenschutz und Informationsfreiheit schon lange angekündigte Bußgeld in zweistelliger Millionenhöhe. Bereits seit geraumer Zeit ziehen die Strafen für Datenschutzverstöße stark an. Die Berliner Datenschutzbehörde hat sich nun in die Top 3 der höchsten bislang verhängten DSGVO-Bußgelder in Europa eingereiht. Getroffen hat es die Deutsche Wohnen – eine Wohnungsgesellschaft, die auch wegen ihrer Vermieterpraxis in Berlin keine Unbekannte ist.

Marodes Archivsystem

Bereits im Jahr 2017 war die Berliner Datenschutzbehörde bei der Deutschen Wohnen vor Ort. Besonders negativ aufgefallen war dabei das Archivsystem für Mieterdaten. Hier häuften sich nicht nur Stammdaten zu den Mieterinnen und Mietern, sondern vor allem auch Informationen zu deren finanziellen Verhältnissen. Im Archiv befanden sich Gehaltsbescheinigungen, Auszüge aus Arbeitsverträgen und sogar Sozial- und Krankenversicherungsdaten. Daten, die typischerweise bei der Bewerbung auf eine Wohnung im hart umkämpften Wohnungsmarkt preisgegeben werden müssen. Für die Verwaltung der laufenden Mietverhältnisse oder die Archivierung sah die Behörde die Daten als nicht mehr erforderlich an. Ihre weitere Aufbewahrung stufte sie als klaren Verstoß gegen den Datenschutz ein.

Wo liegt das Problem?

In Art. 5 DSGVO sieht die Datenschutzverordnung für die Verarbeitung personenbezogener Daten bestimmte Grundsätze vor. Dazu zählt unter anderem der Grundsatz der Datenminimierung. Nur solche Daten sollen verarbeitet werden, die für den Zweck der Verarbeitung tatsächlich erforderlich sind. Im Kontext der Archivierung bedeutet das, dass nur solche Daten aufbewahrt werden dürfen, die aufgrund rechtlicher oder vertraglicher Vorgaben aufgehoben werden müssen. Nach dem Grundsatz der Speicherbegrenzung dürfen Daten nur so lange gespeichert werden, wie dies für die festgelegten Verarbeitungszwecke erforderlich ist. Nach Ablauf dieser Frist sind die Daten entweder zu löschen oder zu anonymisieren.

Die Deutsche Wohnen speicherte die Daten hingegen, ohne zu hinterfragen, ob die erhobenen Daten weiterhin benötigt werden. Schlimmer noch – das Archivsystem der Deutsche Wohnen sah überhaupt keine Möglichkeit der Löschung der nicht mehr erforderlichen Daten vor.

Dieser technische Mangel verstößt neben den zuvor genannten Datenschutzgrundsätzen auch gegen die Vorgaben des in Art. 25 Abs. 1 DSGVO verankerten Prinzips „Privacy by design“. Das Prinzip verlangt, dass der Verantwortliche geeignete technische Maßnahmen ergreift, um die Datenschutzgrundsätze wirksam umzusetzen. Insbesondere technische Systeme sollten von Beginn an so ausgestaltet sein, dass der Datenschutz gewahrt wird. Dazu zählt natürlich insbesondere die Möglichkeit, Daten aus dem System wieder löschen zu können. Das Archivsystem der Wohnungsgesellschaft blieb hinter all diesen Anforderungen zurück.

Die Berliner Beauftragte für den Datenschutz hatte der Deutschen Wohnen daher dringend angeraten, das System umzustellen, um den gesetzlichen Vorgaben zu entsprechen.

Missstände nicht behoben

Im März 2019 führte die Berliner Datenschutzbehörde eine zweite Vor-Ort-Prüfung durch. Das Ergebnis war ernüchternd: Weder war das Archivsystem umgestellt, noch konnte die Wohnungsgesellschaft rechtliche Gründe angeben, warum die Daten weiterhin im Archiv vorhanden waren. Zwar hatte die Deutsche Wohnen in den vergangenen zwei Jahren nach dem ersten Besuch der Aufsichtsbehörde bereits Vorbereitungen getroffen, um die Missstände zu beseitigen. Über diese Vorbereitung ging es jedoch nicht hinaus – in dem Archiv befanden sich weiterhin personenbezogene Daten, die nicht dorthin gehörten. Die Berliner Datenschutzbehörde sah sich deshalb gezwungen, ein Bußgeld zu verhängen.

Bußgeld muss abschreckend sein

Die Höhe eines Bußgeldes bestimmen die Datenschutzbehörden nach eigenem Ermessen. Die DSGVO gibt dabei die maximale Grenze vor, die abhängig von der Schwere des Verstoßes bei zwei oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (Art. 83 DSGVO) liegen kann. Dabei sollen die Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein.

Abschreckend ist der Betrag sicherlich – ist es doch die bislang höchste in Deutschland verhängte Geldbuße. Als strafschärfend sah die Behörde an, dass das Archiv bewusst angelegt und die Daten über einen langen Zeitraum rechtswidrig gespeichert wurden.

Es wurden jedoch nicht nur erschwerende Umstände berücksichtigt. Dass die Deutsche Wohnen sich bemüht hatte, das Archivsystem umzustellen und mit der Behörde formal gut zusammenarbeitete, würdigte die Berliner Beauftragte für Datenschutz wohlwollend. Auch dass es nicht zu einem Datenschutzvorfall kam, beispielsweise durch einen missbräuchlichen Zugriff auf die Daten durch Dritte, kam der Wohnungsgesellschaft zu Gute.

Deutsche Wohnen legt Rechtsmittel ein

Der Bußgeldbescheid der Aufsichtsbehörde ist bislang noch nicht rechtskräftigt. Die Deutsche Wohnen hat Rechtsmittel dagegen einlegen. In einer Pressemitteilung kündigte die Wohnungsgesellschaft an, Einspruch erheben zu wollen und den Fall vor Gericht zu bringen. Interessant ist die Begründung: So ließ die Deutsche Wohnen verlautbaren, dass „keinerlei Daten von Mietern datenschutzwidrig an unternehmensfremde Dritte gelangt sind.“

Gegenstand des Bußgeldbescheides ist aber gerade nicht die Weitergabe an Dritte, sondern die rechtswidrige Speicherung von personenbezogenen Daten. Es bleibt abzuwarten, ob die Wohnungsgesellschaft mit dieser Verteidigungsstrategie vor Gericht Erfolg haben wird.

Fazit: Löschen lohnt sich!

Das unreflektierte Aufbewahren von Daten ist immer wieder Gegenstand von Bußgeldverfahren der Aufsichtsbehörden. Bereits bei dem Verfahren gegen die Delivery Hero SE wurde unter anderem bemängelt, dass Daten von Altkunden nicht gelöscht wurden.

Die Berliner Beauftragte für Datenschutz geht davon aus, dass die Deutsche Wohnen nicht das einzige Unternehmen ist, bei dem das Datensammeln zum Problem wird. „Ich empfehle allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen.“, rät Maja Smoltczyk in ihrer Pressemitteilung.

Dazu sollte der gesamte Datenverarbeitungsprozess überprüft werden. Bevor Daten verarbeitet werden, müssen die Zwecke der Verarbeitung konkret bestimmt werden. Anknüpfend an den Zweck bemisst sich dann auch der Zeitraum, wann die Daten zu löschen sind. Die einzelnen Löschfristen sollten zudem in einem Löschkonzept festgehalten werden, allerdings ist die Erstellung eines Löschkonzeptes in den meisten Fällen komplex und zeitaufwändig. Umso wichtiger ist es, das Thema nicht auf die lange Bank zu schieben.

procado hilft Ihnen gerne bei der Erstellung Ihres persönlichen Löschkonzepts.

Quellen:

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationssicherheit vom 05.11.2019: Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft

heise online vom 05.11.2019: Verstoß gegen DSGVO: Deutsche Wohnen soll 14,5 Millionen Euro zahlen