Die Berliner Datenschutzbehörde verhängt ein Bußgeld in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen. Der laxe Umgang mit den Daten von Mieter:innen dürfte Wasser auf die Mühlen der Initiativen sein, die eine Enteignung des Immobilienkonzerns fordern.

Die Deutsche Wohnen SE soll mit 14,5 Millionen Euro die höchste Strafe zahlen, die bisher in Deutschland wegen Datenschutzverstößen verhängt wurde. Der Immobilienkonzern speichere persönliche Daten seiner Mieter:innen, ohne zu prüfen, ob dies rechtmäßig und erforderlich sei, teilte die Berliner Datenschutzbeauftragte Maja Smoltczyk heute in einer Pressemitteilung mit [PDF]. Das führe dazu, dass ohne Grund sensible Informationen über die persönliche und finanzielle Situation der Mieter:innen über Jahre vorgehalten werden.

Tatsächlich sehe das Archivsystem der Deutsche Wohnen (DW) überhaupt keine Möglichkeit vor, Daten zu löschen, die nicht mehr benötigt werden, so die Mitteilung weiter. Das heißt konkret, dass Informationen wie etwa Gehaltsbescheinigungen, Kontoauszüge, Selbstauskünfte, Auszüge aus Arbeitsverträgen sowie Steuer-, Sozial- und Krankenversicherungsdaten in den Datenbanken gespeichert bleiben.

Die Deutsche Wohnen ist eines der größten Immobilienunternehmen der Bundesrepublik. Nach eigenen Angaben gehören dem Konzern insgesamt mehr als 168.000 Wohn- und Gewerbeeinheiten. Mit mehr als 110.000 Wohnungen in Berlin ist die Deutsche Wohnen die größte private Eignerin der Hauptstadt.

Die Bußgeldentscheidung ist noch nicht rechtskräftig, die DW kann noch Einspruch einlegen.

Zwei Jahre Zeit, den Datenfriedhof aufzuräumen

Bereits nach einer Vor-Ort-Prüfung 2017 habe die Datenschutzbehörde der Deutsche Wohnen dringend empfohlen, ihr Archivsystem zu ändern. Eine erneute Prüfung im März 2019 habe gezeigt, dass das Unternehmen seine Datenbestände immer noch nicht bereinigt hatte. Auch rechtliche Gründe für eine weitere Speicherung der Informationen habe der Konzern demnach nicht vorbringen können.

Zwar seien Vorbereitungen getroffen worden, um das Archivsystem zu verändern, doch selbst wenn diese umgesetzt worden wären, hätten sie das Problem nicht gelöst.

„Datenfriedhöfe“ wie diesen würden ihr in der Aufsicht immer wieder begegnen, kritisiert die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk:

Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen.

Deutsche Wohnen im Fokus der Öffentlichkeit

Das Bußgeld fällt in eine Zeit, in der die Deutsche Wohnen ohnehin erhöhter öffentlicher Aufmerksamkeit ausgesetzt ist. In der gesellschaftlichen Auseinandersetzung um das Grundrecht auf Wohnen ist sie für viele zum Symbol für rücksichtlose Immobilienkonzerne geworden – und für das Scheitern einer Politik, die die Wohnfrage durch den Markt regeln lassen wollte.

Das Unternehmen wurde 1998 als Tochter der Deutschen Bank gegründet. Durch massive Aufkäufe ist es in den letzten 20 Jahren zu einem der größten privaten Immobilieneigner der Republik geworden. Dabei profitierte die Deutsche Wohnen massiv von der Privatisierung kommunaler Wohnungsbestände. Allein in Berlin waren einem Bericht des RBB zufolge mehr als 95.000 ihrer Immobilien vormals in Besitz der öffentlichen Hand.

Inzwischen ist die DW ein eigenständiges börsennotiertes Unternehmen mit einem Umsatz von mehr als 1,4 Milliarden Euro in 2018 [PDF] – und Gegenstand anhaltender Kritik. In Berlin sammelt eine Initiative mit dem Slogan „Deutsche Wohnen enteignen“ Unterschriften für ein Volksbegehren. Es ruft zur Vergesellschaftung des Wohnungsbestandes der DW und anderer großer Eigner auf. Die Initiative kritisiert, dass die Deutsche Wohnen „eine Strategie der Mietpreissteigerung um jeden Preis“ verfolge. Da ihre Aufkäufe durch Kredite finanziert und die Gewinnerwartung der Aktionäre hoch sei, gehöre „das Ausquetschen der Mieterschaft“ zur Geschäftsstrategie.

Privacy by Design sieht anders aus

Mit ihrer Millionenstrafe nimmt die Behörde einen strukturellen Mangel bei der Deutsche Wohnen aufs Korn. Das Archivsystem verstoße sowohl gegen die Grundsätze der Datenschutzgrundverordnung (Artikel 5 DSGVO) als auch gegen das Gebot des Datenschutzes durch Technikgestaltung (Artikel 25 DSGVO). Der Fall ist auch deshalb von besonderer Bedeutung, weil dieses „Privacy by Design“ genannte Gebot mit der DSGVO neu eingeführt wurde und bisher kaum mit Leben gefüllt ist.

Wegen der unzulässigen Datenspeicherung von Mieter:innen muss die Deutsche Wohnen in 15 konkreten Fällen aber auch Einzelbußgelder in Höhe mehrerer Tausend Euro zahlen. Es ist davon auszugehen, dass es die Beschwerden dieser Menschen waren, die das Verfahren bei der Behörde ins Rollen brachten.

Rechnet man die Zahlen auf den Wohnungsbestand der Deutsche Wohnen hoch, dürften die tatsächlichen Betroffenenzahlen aber in die Hunderttausende gehen. Klassischerweise werden Informationen wie Kontoauszüge und Selbstauskünfte im Zuge des Bewerbungsprozesses eingesammelt und müssten dann gelöscht werden. Ob und welchem Umfang ihre Erhebung überhaupt rechtmäßig ist, ist derzeit Gegenstand diverser Gerichtsverfahren.

Erstes Millionenbußgeld unter der DSGVO in Deutschland

Die Mitteilung der Datenschutzbehörde war mit Spannung erwartet worden, nachdem Maja Smoltczyk im August angekündigt hatte, bald das erste Bußgeld in Millionenhöhe zu verhängen. Während die Datenschutzbehörden in Frankreich und Großbritannien bereits Bußgelder in dutzendfacher Millionenhöhe verhängten, hielten sich ihre deutschen Pendants bisher bewusst zurück. Hierzulande lag die höchste Strafzahlung unter der DSGVO bisher bei 195.000 Euro. Sie wurde gegen das Lieferunternehmen Delivery Hero verhängt, ebenfalls von Maja Smoltczyk.

Mit der Einführung der Datenschutzgrundverordnung hat sich der Bußgeldrahmen, über den die Aufsichtsbehörden in der EU verfügen können, deutlich erhöht. Bis dahin waren Bußgelder in Deutschland bei 300.000 Euro gedeckelt. Die Schwäche der Aufsichtsbehörden wird allgemein als Hauptgrund dafür gesehen, dass die schon lange bestehenden Datenschutzgesetze im Zuge der Digitalisierung so wenig beachtet wurden.

Die DSGVO gibt der Datenschutzaufsicht seit Mai 2018 die Möglichkeit, Strafen von bis zu 4 Prozent des weltweiten Umsatzes eines Unternehmens zu verhängen, je nach Schwere des Verstoßes. Bei Verstößen gegen Vorgaben zu organisatorish-technischen Maßnahmen, wie in diesem Fall, liegt die Obergrenze bei 2 Prozent des Umsatzes. Erst kürzlich haben sich die deutschen Behörden auf einen gemeinsamen Katalog geeinigt, mit dem sie die angemessen Höhe eines Bußgeldes ermitteln.

Für die Deutsche Wohnen habe das maximal mögliche Bußgeld bei etwa 28 Millionen Euro gelegen, teilt die Datenschutzbehörde mit. Weil das Unternehmen erste Verbesserungsmaßnahmen vorgenommen habe und ihm keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, bewege sich das letztlich verhängte Bußgeld im mittleren Bereich.

…

Update, 6. November 2019: Die DW hat gestern Nachmittag in einer kurzen Pressemitteilung erklärt, Einspruch gegen die Bußgeldentscheidung einzulegen: „Die Deutsche Wohnen betont ausdrücklich, dass keinerlei Daten von Mietern datenschutzwidrig an unternehmensfremde Dritte gelangt sind. Vielmehr hat die Deutsche Wohnen bereits im Jahr 2017 umfangreiche personelle und prozessuale Veränderungen eingeleitet, um den aktuellen Datenschutzanforderungen vollumfänglich gerecht zu werden. Die Deutsche Wohnen teilt die rechtliche Bewertung der Berliner Datenschutzbeauftragten nicht und wird den Bußgeldbescheid gerichtlich überprüfen lassen.“