Wie die Presse gestern mitteilte, hat der Berliner Beauftragte für den Datenschutz, die Berliner Datenschutzbehörde, gegen den Konzern Deutsche Wohnen ein Rekord Bußgeld von 14,5 Million € festgesetzt.

Dem Konzern wurde vorgeworfen, Daten von Mieterinnen und Mietern in einem Archivsystem gespeichert zu haben. Nicht mehr erforderliche Daten wurden nicht gelöscht. Damit wurde wurden wesentliche datenschutzrechtliche Pflichten verletzt. Der Spiegel, https://www.spiegel.de/wirtschaft/soziales/deutsche-wohnen-soll-14-5-millionen-euro-strafe-zahlen-a-1294968.html, und die ZEIT, https://www.zeit.de/wirtschaft/unternehmen/2019-11/immobilienkonzern-deutsche-wohnen-bussgeld-datenschutzverstoesse, berichteten, dass es sich um Unterlagen handelte, die Mietinteressenten vor Abschluss eines Mietvertrags zum Nachweis ihrer Bonität vorlegen mussten, diese sind:

• Einkommensnachweise,
• SCHUFA-Auskünfte und
• Arbeitsverträge.
• Hinzu kommt, dass Mieterdaten, so der Spiegel völlig unzureichend gesichert gewesen“ seien.

1. Welche datenschutzrechtliche Grundsätze hat der Konzern dabei verletzt?

I) Das Datenschutzrecht enthält in Art. 5 DSGVO Grundsätze für die Verarbeitung personenbezogener Daten. Darin heißt es insbesondere, dass die Verarbeitung personenbezogener Daten

dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen; der Grundsatz der Datenminimierung. Demnach muss die Datenverarbeitung der Menge nach so begrenzt werden, dass für sich genommen gegebenenfalls auch angemessen und erhebliche Daten nicht verarbeitet werden dürfen, wenn der Verwaltungszweck auch ohne sie erreicht werden kann bzw. der Zweck erfüllt wurde.

Hier ging es darum die Bonität möglicher Mieter zu erfassen. Entschied sich die deutsche Wohn gegen einen Mietinteressenten, waren die Daten sofort zu löschen. Das hat die deutsche Wohn augenscheinlich nicht getan, sodass richtigerweise ein Bußgeld verlassen war.

II) Datenverarbeitung ist ebenfalls nach der DSGVO nur dann erlaubt, wenn einer der in Art. 6 Abs. 1 DSGVO genannten sechs Gründe vorliegt. Diese sind abschließend, „ist nur rechtmäßig“.

Regelmäßig dürfte die deutsche Wohn bei der Verarbeitung der Daten von Mietinteressenten die Daten nach Art. 6 Abs. 1 lit. D DSGVO verarbeitet haben. Das ist die Datenverarbeitung für die Erfüllung eines Vertrags. Die Erfüllung eines Vertrags erfasst dabei ebenfalls auch vorvertragliche Maßnahmen, so etwa die Analyse der Solvenz eines Mietinteressenten.

In dem Moment jedoch, wo sich die Deutsche Wohnen gegen ein Mietinteressenten entschieden hat, entfällt der Rechtfertigungsgrund nach Art. 6 Abs. 1 lit. D DSGVO. Das Gesetzes eine Stelle eindeutig. Es sagt: die Verarbeitung ist nur rechtmäßig.

III) Andere Gründe, wie etwa die Einwilligung nach Art. 6 Abs. 1 lit. A DSGVO dürften entfallen. Die Einwilligung dürfte auch obsolet sein, wenn der Zweck der Datenerhebung erreicht ist. Der Zweck der Datenerhebung zur Ermittlung der Solvenz eines Mietinteressenten ist mit der Entscheidung gegen oder für einen Interessenten erreicht. Die Datenerhebung auf Grundlage der Einwilligung dürfte damit ebenfalls entfallen.

IV) Schlussendlich wurde augenscheinlich der deutschen Wohn vorgeworfen, sie würde keine ausreichenden technischen und obligatorischen Maßnahmen ergreifen, um die Sicherheit der erhobenen Daten sicherzustellen. Jenes wird jedoch ausdrücklich von Art. 5 Abs. 1 lit. F DSGVO verlangt. Diese Grundsätze werden in den Art. 24 ff. DSGVO, insbesondere Art. 32 DSGVO weiter ausgestaltet. Art. 32 DSGVO verpflichtet ausdrücklich zu folgendem:

„Unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos für die Rechte und Freiheiten natürliche Person treffen der verantwortliche und der Auftragsverarbeiter geeignete technische und umso große Maßnahmen, um ein dem Risiko angemessen Schutzniveau zu gewährleisten;“

Gemäß der Auskünfte des Spiegel waren die Daten von deutschen Wohn so „gelagert“, dass es kann ohne weiteres möglich gewesen war, auf die Daten, die zur Erinnerung nicht mehr legal gespeichert wurden, zugegriffen werden konnte.

B) Das Gesetz erlaubt den Datenschutzbehörden auf der Grundlage des Art. 82 DSGVO den Erlass von Bußgeldbescheid.

Da hier besondere Arten personenbezogene Daten nach Art. 9 DSGVO verarbeitet werden dürften, war das Bußgeld von 14,5 Million € angemessen.

Dass besondere personenbezogene Daten verarbeitet wurden, dürfte an den Umstand gelegen haben, dass die entsprechenden Daten der Mietinteressenten Rückschlüsse auf deren

• Sexualität,
• religiöse oder weltanschauliche Überzeugung
• und/oder Gewerkschaftszugehörigkeit

erlaubt haben dürften. Immerhin wurden Einkommensnachweise SCHUFA-Auskünfte und Arbeitsverträge verlangt. Zu den Einkommensnachweisen dürften Steuerbescheide gehört haben. Aus den Steuerbescheiden wiederum lässt sich aufgrund der Tatsache des Abführens von Kirchensteuer die Zugehörigkeit zu einer Kirche ableiten. Wer sich zudem etwa für eine Wohnung bewirbt, und dabei als Mitbewohner eine gleichgeschlechtliche gleichnamige, dem Nachnamen nach, Person angibt, dürfte zudem homosexuell sein. Der Umstand der Sexualität, ist ein besonderes personenbezogenes Datum nach Art. 9 DSGVO. Beim Umgang mit solchen Daten ist erhebliche Sorgfalt geboten. Deren Verarbeitung ist nur unter außergewöhnlichen Umständen erlaubt.

C) Alles in allem, ist die Entscheidung der Berliner Datenschutzbehörden richtig und zeigt, dass insbesondere Hausverwaltungen in den Fokus der Behörden gelangt sind. Schließlich dürfte entsprechendes für andere Hausverwaltungen bzw. große Eigentümer gelten bzw. diese ähnlich handeln.