DSGVO: Millionen-Bußgeld gegen Deutsche Wohnen verhängt

Die Landesdatenschutzbeauftragte Berlin Maja Smoltczyk hat gegen die umstrittene Immobiliengesellschaft Deutsche Wohnen ein Bußgeld verhängt. Wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) verlangt die Behörde eine Zahlung von 14,5 Millionen Euro von der Immobiliengesellschaft.

Bereits bei einer Vor-Ort-Kontrolle im Juni 2017 bemängelte die Landesdatenschutzbeauftragte ein Archivsystem, in welchem personenbezogene Daten der Mieter gespeichert wurden. Dabei habe es sich beispielsweise um Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge gehandelt, erklärt die Datenschutzbehörde. Die Daten seien zum Teil etliche Jahre alt gewesen, dem ursprünglichen Zweck der Speicherung hätten sie nicht mehr gedient. Weder sei geprüft worden, ob eine Speicherung der Daten zulässig oder erforderlich sei, noch habe das System eine Möglichkeit vorgesehen, nicht mehr erforderliche Daten zu löschen.

Die Datenschutzbehörde forderte bereits 2017 das Archivsystem umzustellen. Bei einer erneuten Überprüfung im März 2019 habe die Deutsche Wohnen weder den Datenbestand bereinigt, noch habe sie Gründe für die fortlaufende Speicherung darlegen können. Laut Smoltczyk sind in innerhalb der anderthalb Jahre nur "Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen" worden.

"Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist", sagte Smoltczyk.

Seit Mai 2018 gilt die Datenschutzgrundverordnung. Danach wird bei einem Bußgeld auch der Umsatz des Unternehmens berücksichtigt. Die Deutsche Wohnen machte im vergangen Jahr über eine Milliarde Euro Umsatz. Der gesetzlich vorgegebene Rahmen für ein Bußgeld für den festgestellten Datenschutzverstoß habe daher bei ungefähr 28 Millionen Euro gelegen, sagte die Datenschutzbeauftragte. Nach einer Abwägung hat Smoltczyk das Bußgeld in Höhe von 14,5 Millionen festgesetzt. Hinzu kommen weitere Bußgelder wegen der unzulässigen Speicherung personenbezogener Daten von Mietern in 15 konkreten Einzelfällen. Diese liegen zwischen 6.000 und 17.000 Euro.

Bereits im September verhängte Smoltczyk ein Bußgeld gegen den Lieferdienst Delivery Hero. Wegen mehrerer Datenschutzverstöße musste dieser 195.000 Euro bezahlen. Auch der Onlinebank N26 stellte sie einen Bußgeldbescheid aus. Das Unternehmen hatte eine schwarze Liste mit ehemaligen Kunden zur Geldwäscheprävention angelegt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren. Beide Unternehmen akzeptierten die Bußgelder.

Anfang Juli verlangte die britische Datenschutzbehörde eine Strafzahlung von 200 Millionen Euro von der Fluggesellschaft British Airways für ein Datenleck. In der Begründung wurde auf die "schwachen Sicherheitsvorkehrungen" bei der Airline verwiesen.