Die unrechtmäßige Speicherung von sensiblen Daten von Mieter*innen durch den Immobilienkonzern Deutsche Wohnen landet vor dem Europäischen Gerichtshof. Das Kammergericht Berlin legte dem EuGH kurz vor Weihnachten zwei Fragen zu dem Fall vor, wie ein Sprecher des EU-Gerichts auf Anfrage von netzpolitik.org bestätigte.
Hohe Mieten und fehlende Reparaturen in den rund 160.000 Wohnungen von Deutsche Wohnen in Berlin lieferten den Anlass für den Volksentscheid „Deutsche Wohnen und Co. enteignen“, dem im September 2021 eine Mehrheit der Wahlbevölkerung Berlins zustimmte. Ärger gibt es für den Konzern aber auch mit dem Datenschutz. Denn Deutsche Wohnen speichert massenhaft Daten wie etwa Kopien von Personalausweisen, Kontoauszüge, Gehaltsbescheinigungen und Krankenversicherungsdaten. Das ist zumindest bei Ausweisen nicht rechtens – Vermieter*innen dürften bei Mietinteressent*innen diese zwar überprüfen, die Anfertigung einer Ausweiskopie sei aber „nicht erforderlich und damit unzulässig“, heißt es von der Datenschutzkonferenz.
Auch müsste der Konzern eigentlich nicht mehr erforderliche Daten löschen, doch das tat er nach Angaben der Berliner Datenschutzbehörde jahrelang und trotz mehrfacher Aufforderungen nicht.
Rechtswiderspruch rüttelt an Konzernstrafen
Ein 14,5-Millionen-Euro-Bußgeld der Behörde hob das Landgericht Berlin wegen eines bizarren rechtlichen Widerspruchs wieder auf. Die Datenschutzgrundverordnung der EU sieht bei Fehlverhalten von Unternehmen Bußgelder von bis zu vier Prozent ihres Jahresumsatzes vor. Doch das Landgericht Berlin urteilte, dass juristische Personen wie Deutsche Wohnen nur dann bestraft werden können, wenn einem konkreten Verantwortlichen bei der Firma Fehlverhalten nachgewiesen werden kann. Dies sei im deutschen Recht so angelegt.
Doch dies widerspreche geltendem EU-Recht, argumentiert die Berliner Datenschutzbehörde. „Im Ergebnis würde es dazu führen, dass in Deutschland – im Gegensatz zu vielen anderen Mitgliedstaaten – ein Bußgeld gegen große Unternehmen aufgrund der komplexen Unternehmensstruktur häufig nicht nachweisbar wäre.“
Das Kammergericht Berlin lässt die Sache nun vom Europäischen Gerichtshof in Luxemburg prüfen. Es müsse geklärt werden, ob nur das Fehlverhalten einzelner Verantwortlicher zu Bußgeldern führen könne. Auch will das Berliner Gericht wissen, wie handfest Verstöße sein müssten, um für Bußgelder zu sorgen. Die Berliner Datenschutzbehörde teilte auf unsere Anfrage mit, sie begrüße die Einschaltung des EuGH und hoffe, dass eine höchstgerichtliche Klärung „zu einer einheitliche Anwendung der DSGVO in allen Mitgliedstaaten und damit zur erforderlichen Rechtssicherheit führt – nicht nur für die Aufsichtsbehörden, sondern auch für die datenverarbeitenden Unternehmen.“
Ob Deutsche Wohnen inzwischen der Aufforderung der Datenschutzbehörde zur Löschung unnötiger Daten nachgekommen ist und sein Datenmanagement verbessert hat, ist unklar. Der Konzern antwortete auf eine Presseanfrage von netzpolitik.org, er wolle das Thema aufgrund des noch laufenden Verfahrens nicht kommentieren.
>> Denn Deutsche Wohnen speichert massenhaft Daten wie etwa Kopien von Personalausweisen, Kontoauszüge, Gehaltsbescheinigungen und Krankenversicherungsdaten. Das ist zumindest bei Ausweisen nicht rechtens <<
Und bei Krankenversicherungsdaten ist das rechtens? Ich bitte um Erklärung bzw. Richtigstellung.
Im Übrigen ist es das gewaltige Machtgefälle zwischen Wohnungssuchenden und Vermietern, das solche illegalen Praktiken ermöglicht. Werden die Daten nicht gegeben, "bekommt die Wohnung jemand, der nicht mit Datenschutzbedenken herumzickt" (OT bei einer Wohnungsbesichtigung).
Es stellt sich die grundlegende Frage, wie Wohnungssuchende unerlaubte Fragen nach persönlichen Umständen und Verhältnissen ohne Schaden (nicht die Wohnung zu bekommen) überhaupt überstehen kann.
Selbst wenn die Daten widerwillig gegeben werden, braucht es keine geringe Anstrengung, sich im Nachhinein juristisch mit dem Vermieter/Makler auseinander zu setzten. Das ist nicht jedermanns Sache und wird meistens verworfen.
Auf die Situation herunter gebrochen bedeutet das, entweder du parierst und bist willig, oder du gehst leer aus. Faktisch bedeutet das, schutzlos den Begierden von Vermietern ausgeliefert zu sein.
Im Übrigen gab es mal in der DDR ein Recht auf Wohnen. Es war in der Verfassung vom 6. April 1968 verankert.
Es steht im verlinkten Dokument der DSK lediglich, dass die Anfertigung einer Ausweiskopie nicht zulässig ist. Zu Krankenversicherungsdaten findet sich in dieser Orientierungshilfe keine Hinweise.
Grundsätzlich wird die Auskunft über Angabe der Krankenversicherung für ein privates Mietverhältnis nicht notwendig sein, da hierzulande Krankenversicherungspflicht besteht. Die Angabe könnte dem Vermieter höchstens im Rahmen einer Bonitätsprüfung nützlich und zulässig sein (private/gesetzliche KV). Letzteres würde allerdings schon durch die Angabe der Einkommensverhältnisse abgedeckt.
Ferner könnten die Angaben im Rahmen einer Selbstauskunft zulässig sein. Hier wiederum liegt das generelle Problem vor, dass in diesem Abhängigkeitsverhältnis die Freiwilligkeit der Einwilligung in die Verarbeitung der personenbezogenen Daten in Frage gestellt ist.
Alles in allem ist die Verarbeitung der Krankenversicherungsdaten wohl ebenso unzulässig. Es gibt diesbezüglich im Gegensatz zur Ausweiskopie noch keine offizielle Stellungnahme. Wie genau die BfDI Berlin dazu argumentiert, finde ich nicht. Da alleine mit der Ausweiskopie bzw. dem nicht Nachkommen des Löschens bereits eine schwere Verletzung des Datenschutzes und das Bußgeld begründet, ist die Frage wegen der Krankenversicherungsdaten wohl erst einmal unerheblich.
Wow krasser Fall und schöner Beitrag. Bitte bitte weiter dran bleiben und drüber berichten :)
Da hier immer wieder die Frage aufkommt, warum explizit nur die Personalausweiskopie unzulässig sein soll, kann ich vielleicht aushelfen:
Es gibt in Deutschland ein spezielles Gesetz, dass Ausweiskopien (mit Ausnahmen) generell untersagt. Es nennt sich Personalausweisgesetz (PAuswG). Siehe https://www.gesetze-im-internet.de/pauswg/BJNR134610009.html. Das PAuswG schränkt die Verarbeitung über die DSGVO hinaus zusätzlich ein.
Die Erhebung der anderen Datenkategorien (Krankenversicherung etc.) muss sich dann an der DSGVO messen lassen, sofern keine anderen Bundesgesetze gelten.