Deutsche Wohnen SE – 14,5 Mio.€ Bußgeld wurde „aufgehoben“

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

Datenschutzverstöße können Unternehmen teuer kommen – zum einen aufgrund von Strafen, zum anderen aufgrund von Schadensersatz. Aber auch nicht monetäre Schäden können entstehen – Stichwort Imageschaden.

 

Immer wieder verhängen Behörden Bußgelder. 2019 kassierte die Deutsche Wohnen SE die erste Millionenstrafe in Deutschland. Jetzt gibt es Updates.

Die Kurzfassung

Im Herbst 2019 hat die Berliner Datenschutzbehörde einen Bußgeldbescheid in Höhe von 14,5 Millionen gegen die Deutsche Wohnen SE erlassen. Das Landgericht Berlin stellte jedoch das Verfahren im Februar 2021 ein.  Das Gericht hatte den Bußgeldbescheid für unwirksam erklärt, weil er keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens enthalte. Anschließend legte die Staatsanwaltschaft Beschwerde ein. Jetzt geht der Rechtsstreit in die nächste Runde. Es würde sich hierbei um das höchste Bußgeld handeln, das in Deutschland bis dato wegen Datenschutzverstößen je fällig wird.

Deutsche Wohnen SE

Die Deutsche Wohnen ist eines der größten Immobilienunternehmen Deutschlands, welchem insgesamt mehr als 165.000 Wohn- und Gewerbeeinheiten gehören. Mit mehr als 110.000 Wohnungen in Berlin ist die Deutsche Wohnen die größte private Eignerin der Hauptstadt.

Die Hintergründe

Der Immobilienkonzern speicherte persönliche Daten seiner Mieter, ohne zu prüfen, ob dies rechtmäßig und erforderlich ist. Konkret wird dem Unternehmen vorgeworfen, keine Maßnahmen zur regelmäßigen Löschung von nicht mehr benötigten Mieterdaten vorgenommen zu haben. Dadurch waren im Archiv personenbezogene Daten von Mietern einsehbar. Ohne Grund wurden sensible Informationen über die persönliche und finanzielle Situation der Mieter über Jahre festgehalten. Das Archivsystem der Deutsche Wohnen bietet zudem keine Möglichkeit, Daten zu löschen, die nicht mehr benötigt werden. Das heißt konkret, dass Informationen wie etwa Gehaltsbescheinigungen, Kontoauszüge, Selbstauskünfte, Auszüge aus Arbeitsverträgen sowie Steuer-, Sozial- und Krankenversicherungsdaten in den Datenbanken gespeichert bleiben.

Die Deutsche Wohnen wurde auch schon zuvor aufgrund von Datenschutz-Verstößen abgemahnt. Nach einer Prüfung im Jahr 2017 hat die Datenschutzbehörde der Deutsche Wohnen nahegelegt, das Archivsystem zu ändern. Um diesen Datenfriedhof zu beseitigen, wurde ein Zeitraum von zwei Jahren vereinbart. Eine Prüfung im März 2019 zeigte, dass das Unternehmen seine Datenbestände immer noch nicht bereinigt hatte. Auch Rechtsgrundlagen für eine weitere Speicherung der personenbezogenen Daten habe der Konzern demnach nicht vorbringen können. Das Archivsystem verstößt somit gegen die Grundsätze der Datenschutzgrundverordnung (Artikel 5 DSGVO) als auch gegen das Gebot des Datenschutzes durch Technikgestaltung (Artikel 25 DSGVO).

Da nach der Abmahnung keine Maßnahmen ergriffen wurden, wurde das Bußgeld von 14,5 Millionen Euro verhängt. Wegen der unzulässigen Datenspeicherung von Mietern muss die Deutsche Wohnen in 15 konkreten Fällen zudem noch Einzelbußgelder in Höhe mehrerer Tausend Euro zahlen. Es ist davon auszugehen, dass es die Beschwerden dieser Menschen waren, die das Verfahren bei der Behörde ins Rollen brachten. Rechnet man die Zahlen auf den Wohnungsbestand der Deutsche Wohnen hoch, dürften die tatsächlichen Betroffenenzahlen aber in die Hunderttausende gehen. In der Regel werden Informationen wie Kontoauszüge und Selbstauskünfte im Zuge des Bewerbungsprozesses für eine Wohnung gesichtet und müssten dann gelöscht werden. 

Ob und in welchem Umfang ihre Erhebung überhaupt rechtmäßig ist, ist derzeit Gegenstand diverser Gerichtsverfahren. Die EU-Verordnung sieht bei DSGVO-Verstößen Zwangsgelder von bis zu 20 Millionen Euro beziehungsweise bis zu vier Prozent des Gesamtumsatzes vor. Der zugrunde gelegte Umsatz der Deutsche Wohnen von 2018 hätte ein Bußgeld von insgesamt bis zu 28 Millionen Euro erlaubt.

Unser Fazit & Maßnahmenempfehlungen 

Für die Einhaltung der datenschutzrechtlichen Vorgaben sind Unternehmen selbst verantwortlich. Sie müssen damit rechnen, dass Aufsichtsbehörden die Umsetzung prüfen. Regelmäßige Datenschutzaudits können helfen, in diesem Zusammenhang böse Überraschungen zu vermeiden. Für den Fall, dass tatsächlich etwas passieren sollte, ist es wichtig sich im Vorfeld Gedanken zu machen, was zu tun ist.

Im Folgenden finden Sie drei Maßnahmen, welche Strafen wie bei der Deutsche Wohnen und auch Datengräber vermeiden.

Verarbeitungsverzeichnis

Ein gepflegtes Verarbeitungsverzeichnis definiert den Kern eines effizienten Datenschutzmanagementsystems. Es dient der Transparenz über die Verarbeitung personenbezogener Daten und der rechtlichen Absicherung. Es ermöglicht, dass die zuständige Aufsichtsbehörde sich jederzeit über alle Verarbeitungen personenbezogener Daten informieren kann. Andererseits stellt das Verzeichnis von Verarbeitungstätigkeiten die zentrale Unternehmensdokumentation dar, um der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachzukommen.

Löschkonzept

Um Datengräber wie bei der Deutsche Wohnen zu vermeiden, ist ein Löschkonzept unumgänglich. Online findet man eine Vielzahl an Mustervorlagen zu rechtlichen Themen. Beim Thema Löschkonzept stößt man allenfalls nur auf eine DIN-Norm oder allgemeine rechtstheoretische Texte, die nur bedingt weiterhelfen. Man sollte hier also alle Abteilungen nochmal interviewen und die Vollständigkeit der bisherigen Dokumentationen überprüfen. Ein vollständiges und umfassendes Verarbeitungsverzeichnis bildet die Basis für das Löschkonzept. In der Regel bedarf es bei der Erstellung eines Löschkonzeptes einer engen Zusammenarbeit mit den einzelnen Abteilungen und einem Datenschutzexperten.

Privacy by design

Die DSGVO behandelt im Artikel 25 “Datenschutz durch Technikgestaltung” und “Datenschutz durch datenschutzfreundliche Voreinstellungen”. Privacy by Design bedeutet, dass Software und Hardware von Grund auf so konzipiert und entwickelt werden, dass Datenschutzmaßnahmen von Anfang an berücksichtigt werden. Datenschutz lässt sich am leichtesten einhalten, wenn er bereits vollständig technisch integriert ist, sodass keine nachträglichen Maßnahmen wie beispielsweise die Löschung von zu Unrecht erhobenen Daten erforderlich wird, wie es bei der Deutschen Wohnen der Fall war. Technische und organisatorische Maßnahmen (TOMs) zum Schutz personenbezogener Daten werden frühzeitig in der Entwicklungsphase ergriffen, sodass die entsprechende Software oder Hardware ab Auslieferung bzw. Einsatzbeginn DSGVO-konform eingesetzt werden kann. Dies ist eine entsprechende Maßnahme, um Strafen zu verhindern.