DatenschutzgrundverordnungDeutsche Wohnen kassiert erste Millionenstrafe [Update]

Die Berliner Datenschutzbehörde verhängt ein Bußgeld in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen. Der laxe Umgang mit den Daten von Mieter:innen dürfte Wasser auf die Mühlen der Initiativen sein, die eine Enteignung des Immobilienkonzerns fordern.

Blick aus Fenster auf Wohnungen
Die Deutsche Wohnen hat sensible Daten ihrer Mieter:innen über Jahre gespeichert, auch wenn es dazu keinen Grund gab. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Florencia Viadana

Die Deutsche Wohnen SE soll mit 14,5 Millionen Euro die höchste Strafe zahlen, die bisher in Deutschland wegen Datenschutzverstößen verhängt wurde. Der Immobilienkonzern speichere persönliche Daten seiner Mieter:innen, ohne zu prüfen, ob dies rechtmäßig und erforderlich sei, teilte die Berliner Datenschutzbeauftragte Maja Smoltczyk heute in einer Pressemitteilung mit [PDF]. Das führe dazu, dass ohne Grund sensible Informationen über die persönliche und finanzielle Situation der Mieter:innen über Jahre vorgehalten werden.

Tatsächlich sehe das Archivsystem der Deutsche Wohnen (DW) überhaupt keine Möglichkeit vor, Daten zu löschen, die nicht mehr benötigt werden, so die Mitteilung weiter. Das heißt konkret, dass Informationen wie etwa Gehaltsbescheinigungen, Kontoauszüge, Selbstauskünfte, Auszüge aus Arbeitsverträgen sowie Steuer-, Sozial- und Krankenversicherungsdaten in den Datenbanken gespeichert bleiben.

Die Deutsche Wohnen ist eines der größten Immobilienunternehmen der Bundesrepublik. Nach eigenen Angaben gehören dem Konzern insgesamt mehr als 168.000 Wohn- und Gewerbeeinheiten. Mit mehr als 110.000 Wohnungen in Berlin ist die Deutsche Wohnen die größte private Eignerin der Hauptstadt.

Die Bußgeldentscheidung ist noch nicht rechtskräftig, die DW kann noch Einspruch einlegen.

Zwei Jahre Zeit, den Datenfriedhof aufzuräumen

Bereits nach einer Vor-Ort-Prüfung 2017 habe die Datenschutzbehörde der Deutsche Wohnen dringend empfohlen, ihr Archivsystem zu ändern. Eine erneute Prüfung im März 2019 habe gezeigt, dass das Unternehmen seine Datenbestände immer noch nicht bereinigt hatte. Auch rechtliche Gründe für eine weitere Speicherung der Informationen habe der Konzern demnach nicht vorbringen können.

Zwar seien Vorbereitungen getroffen worden, um das Archivsystem zu verändern, doch selbst wenn diese umgesetzt worden wären, hätten sie das Problem nicht gelöst.

„Datenfriedhöfe“ wie diesen würden ihr in der Aufsicht immer wieder begegnen, kritisiert die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk:

Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen.

Deutsche Wohnen im Fokus der Öffentlichkeit

Das Bußgeld fällt in eine Zeit, in der die Deutsche Wohnen ohnehin erhöhter öffentlicher Aufmerksamkeit ausgesetzt ist. In der gesellschaftlichen Auseinandersetzung um das Grundrecht auf Wohnen ist sie für viele zum Symbol für rücksichtlose Immobilienkonzerne geworden – und für das Scheitern einer Politik, die die Wohnfrage durch den Markt regeln lassen wollte.

Das Unternehmen wurde 1998 als Tochter der Deutschen Bank gegründet. Durch massive Aufkäufe ist es in den letzten 20 Jahren zu einem der größten privaten Immobilieneigner der Republik geworden. Dabei profitierte die Deutsche Wohnen massiv von der Privatisierung kommunaler Wohnungsbestände. Allein in Berlin waren einem Bericht des RBB zufolge mehr als 95.000 ihrer Immobilien vormals in Besitz der öffentlichen Hand.

Inzwischen ist die DW ein eigenständiges börsennotiertes Unternehmen mit einem Umsatz von mehr als 1,4 Milliarden Euro in 2018 [PDF] – und Gegenstand anhaltender Kritik. In Berlin sammelt eine Initiative mit dem Slogan „Deutsche Wohnen enteignen“ Unterschriften für ein Volksbegehren. Es ruft zur Vergesellschaftung des Wohnungsbestandes der DW und anderer großer Eigner auf. Die Initiative kritisiert, dass die Deutsche Wohnen „eine Strategie der Mietpreissteigerung um jeden Preis“ verfolge. Da ihre Aufkäufe durch Kredite finanziert und die Gewinnerwartung der Aktionäre hoch sei, gehöre „das Ausquetschen der Mieterschaft“ zur Geschäftsstrategie.

Privacy by Design sieht anders aus

Mit ihrer Millionenstrafe nimmt die Behörde einen strukturellen Mangel bei der Deutsche Wohnen aufs Korn. Das Archivsystem verstoße sowohl gegen die Grundsätze der Datenschutzgrundverordnung (Artikel 5 DSGVO) als auch gegen das Gebot des Datenschutzes durch Technikgestaltung (Artikel 25 DSGVO). Der Fall ist auch deshalb von besonderer Bedeutung, weil dieses „Privacy by Design“ genannte Gebot mit der DSGVO neu eingeführt wurde und bisher kaum mit Leben gefüllt ist.

Wegen der unzulässigen Datenspeicherung von Mieter:innen muss die Deutsche Wohnen in 15 konkreten Fällen aber auch Einzelbußgelder in Höhe mehrerer Tausend Euro zahlen. Es ist davon auszugehen, dass es die Beschwerden dieser Menschen waren, die das Verfahren bei der Behörde ins Rollen brachten.

Rechnet man die Zahlen auf den Wohnungsbestand der Deutsche Wohnen hoch, dürften die tatsächlichen Betroffenenzahlen aber in die Hunderttausende gehen. Klassischerweise werden Informationen wie Kontoauszüge und Selbstauskünfte im Zuge des Bewerbungsprozesses eingesammelt und müssten dann gelöscht werden. Ob und welchem Umfang ihre Erhebung überhaupt rechtmäßig ist, ist derzeit Gegenstand diverser Gerichtsverfahren.

Erstes Millionenbußgeld unter der DSGVO in Deutschland

Die Mitteilung der Datenschutzbehörde war mit Spannung erwartet worden, nachdem Maja Smoltczyk im August angekündigt hatte, bald das erste Bußgeld in Millionenhöhe zu verhängen. Während die Datenschutzbehörden in Frankreich und Großbritannien bereits Bußgelder in dutzendfacher Millionenhöhe verhängten, hielten sich ihre deutschen Pendants bisher bewusst zurück. Hierzulande lag die höchste Strafzahlung unter der DSGVO bisher bei 195.000 Euro. Sie wurde gegen das Lieferunternehmen Delivery Hero verhängt, ebenfalls von Maja Smoltczyk.

Mit der Einführung der Datenschutzgrundverordnung hat sich der Bußgeldrahmen, über den die Aufsichtsbehörden in der EU verfügen können, deutlich erhöht. Bis dahin waren Bußgelder in Deutschland bei 300.000 Euro gedeckelt. Die Schwäche der Aufsichtsbehörden wird allgemein als Hauptgrund dafür gesehen, dass die schon lange bestehenden Datenschutzgesetze im Zuge der Digitalisierung so wenig beachtet wurden.

Die DSGVO gibt der Datenschutzaufsicht seit Mai 2018 die Möglichkeit, Strafen von bis zu 4 Prozent des weltweiten Umsatzes eines Unternehmens zu verhängen, je nach Schwere des Verstoßes. Bei Verstößen gegen Vorgaben zu organisatorish-technischen Maßnahmen, wie in diesem Fall, liegt die Obergrenze bei 2 Prozent des Umsatzes. Erst kürzlich haben sich die deutschen Behörden auf einen gemeinsamen Katalog geeinigt, mit dem sie die angemessen Höhe eines Bußgeldes ermitteln.

Für die Deutsche Wohnen habe das maximal mögliche Bußgeld bei etwa 28 Millionen Euro gelegen, teilt die Datenschutzbehörde mit. Weil das Unternehmen erste Verbesserungsmaßnahmen vorgenommen habe und ihm keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, bewege sich das letztlich verhängte Bußgeld im mittleren Bereich.


Update, 6. November 2019: Die DW hat gestern Nachmittag in einer kurzen Pressemitteilung erklärt, Einspruch gegen die Bußgeldentscheidung einzulegen: „Die Deutsche Wohnen betont ausdrücklich, dass keinerlei Daten von Mietern datenschutzwidrig an unternehmensfremde Dritte gelangt sind. Vielmehr hat die Deutsche Wohnen bereits im Jahr 2017 umfangreiche personelle und prozessuale Veränderungen eingeleitet, um den aktuellen Datenschutzanforderungen vollumfänglich gerecht zu werden. Die Deutsche Wohnen teilt die rechtliche Bewertung der Berliner Datenschutzbeauftragten nicht und wird den Bußgeldbescheid gerichtlich überprüfen lassen.“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

10 Ergänzungen

  1. Im allerbesten Fall gehen gerade bei anderen Unternehmen (bzw. deren Datenschutzbeauftragten) die Augenbrauen hoch, dass jetzt schnell etwas gemacht werden muss.

    Ich hoffe, dass das Vorgehen Schule macht. Die DW wird behandelt wie die Clans in Neukölln: Mit Druck von möglichst vielen Seiten. Man könnte nun noch eine städtische Beratungsstelle für Gentrifizierungsopfer einrichten, die gegen jeden Versuch der Vertreibung immer jeden Widerstand auffährt, bis es sich einfach nicht mehr lohnt – aber das ist ein Wohnungs- kein Netzthema.

  2. „Tatsächlich sehe das Archivsystem der Deutsche Wohnen (DW) überhaupt keine Möglichkeit vor, Daten zu löschen, die nicht mehr benötigt werden,“

    Nun agiert ja die DW nicht als kleine Klitsche auf’m platten Land aus einer Scheune mit OpenOffice heraus, sondern nutzt sicher ein umfangreiches ERP-Paket.
    Es stellt sich daher die Frage: Wenn die Software das löschen nicht vorsieht, wie machen es dann die anderen Immo-Unternehmen?“

    Wenn das systemisch nicht darstellbar ist, dann gehört das Systemhaus abgefragt, wer die Software noch im Einsatz hat und jedem Einzelnen die Aufforderung zu übermitteln das abzustellen.
    Kontrolle – und ggfls. Bußgeld folgend.

    1. Was für ein Irrsinn das Ganze. Alleine aufgrund der Verjährungsfristen sowie der Fristen für die Aufbewahrung steuerrechtlich relevanter Geschäftsvorgänge sowie der Einhaltung der GOB ist eine Löschung vor Ablauf von 4 – 10 Jahren untunlich, will man sich die Beweismöglichkeiten in einem Zivil- oder steuerrechtlichen Verfahren nicht abschneiden. Rechtsweg erschöpfen und Verfassungsbeschwerde gegen dieses unsägliche Gesetz einlegen und den ganzen Quatsch zu Fall bringen.

      1. Die Speicherung von Gehaltsabrechnungen oder Arbeitsverträgen ist für einen Mietvertrag gar nicht notwendig. Schon das Vorzeigen ist nicht einmal notwendig – und hier auf dem Land unüblich.

      2. Bitte nenne eine Rechtsvorschrift, die es notwendig macht Ausweiskopien oder Gehaltsnachweise – z.T. auch aus erfolglosen Bewerbungen – etc. zu speichern.
        Nein, AO und HGB sind es nicht.

        Immer wieder hört man die Mähr, das man dazu verpflichtet sei Ausweisdokumente zu kopieren.
        Wenn man sich das aber genau ansieht, spricht die Gesetzgebung jedoch von *Identitäts-(über-)prüfung*! Also Ausweis zeigen lassen und mit den Angaben auf dem Antrag vergleichen.
        Maximal in den Unterlagen vermerken: „ausgewiesen durch PA Nr.: xxxx“ Fertig.

        Alles andere – insbesondere Unterlagen der Bonitätsprüfungen – sind weder verpflichtend vorgesehen noch unterliegen Sie irgendeiner Speicherfrist. Alles ungezügeltes privatrechtliches Wollen der Immo-Unternehmen.

        Wenn es in zwei Jahren nicht möglich war, sich mit der DsB des Landes Berlin auf ein (Datenschutz-)rechtlich einwandfreies Verfahren zu verständigen, ist die 14Mio gegenüber der bisher ausgezahlten Dividende eher Peanuts. Aber wenigstens ein Zeichen.

      3. Weder meine Selbstauskunft noch mein Arbeitsvertrag noch meine Kontoauszüge braucht mein Vermieter für irgendwas anderes als Bonitätsprüfung (und das ist schon fragwürdig) , diese sollte mit Unterschrift des Mietvertrag aber abgeschlossen sein.

  3. Solche Datensammlungen und die gar nicht mal so verschlungenen Austauschwege spannen das wirkliche Darknet auf.

  4. Kurzer Hinweis: Gegen einen Bußgelbescheid wird Einspruch eingelegt (§§ 67 ff. OWiG), nicht Widerspruch.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.