Deutsche Wohnen verstößt gegen die DSGVO

Die Berliner Datenschutzbeauftragte Maja Smoltczyk hat gegen die Deutsche Wohnen ein Bußgeld in Höhe von 14,5 Millionen Euro erwirkt. Die Wohnungsgesellschaft mit Sitz in Berlin soll widerrechtlich Daten von Mieterinnen und Mietern gesammelt und archiviert haben, was gegen die Vorgaben der Datenschutz-Grundverordnung verstoße. Die Bußgeldentscheidung ist bisher nicht rechtskräftig, die Deutsche Wohnen kann gegen den Bußgeldbescheid somit noch Einspruch einlegen.

Wie die Datenschutzbeauftragte in einer Pressemitteilung [PDF] ausführt, habe die Aufsichtsbehörde bei einer Untersuchung der Gesellschaft im Juni 2017 und im März 2019 ein unzulässiges Archivsystem vorgefunden. Dieses wurde zur Speicherung personenbezogener Daten von Mieterinnen und Mietern eingesetzt und erlaubte keine Löschung einmal gesammelter Informationen. Darüber hinaus wurden die Daten gespeichert, "ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist."

In einzelnen Fällen konnten Informationen von Personen ohne jegliche Legitimation für den Bestimmungszweck eingesehen werden. Wie Smoltczyk weiter ausführt, umfasst der Datensatz mitunter Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Bereits bei der ersten Vor-Ort-Prüfungen im Jahr 2017 hatte die Datenschutzbeauftragte aufgrund dieser  DSGVO-Verstöße empfohlen, das Archivsystem zu überarbeiten. Bis 2019 hatte die Deutsche Wohnen weder den Datenbestand bereinigt, noch eine Legitimation für die weitere Speicherung der Informationen eingeholt. Aus diesem Grund wurde nun das Bußgeld gegen die Wohnungsgesellschaft ausgesprochen.

"Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen", führt die Datenschutzbeauftragte Smoltczyk aus.

Die Höhe der Strafe richtet sich unter anderem am Umsatz des jeweils betroffenen Unternehmens aus. Im Fall der Deutsche Wohnen, die für 2018 einen Jahresumsatz von über einer Milliarde Euro ausgewiesen hatte, belaufe sich die Bußgeldbemessung auf etwa 28 Millionen Euro. Von der maximalen Bußgeldhöhe ist der behandelte Verstoß demnach noch weit entfernt.

Zusätzlich verhängt die Datenschutzbeauftragte weitere Bußgelder gegen das Unternehmen in 15 konkreten Einzelfällen. Die Höhe der Strafen beläuft sich hier zwischen 6.000 und 17.000 Euro.

Die Deutsche Wohnen ist durchaus nicht das erste Unternehmen, das aufgrund von Verstößen gegen die DSGVO zur Kasse geboten wurde. Beispielsweise soll die Fluggesellschaft British Airways (BA) knapp 205 Millionen Euro Strafe zahlen, weil ein Fehler im System Angreifern den Zugriff auf Daten von rund 500.000 Kunden ermöglicht hatte.