1. Home
  2. News
  3. DSGVO: Mögliche Millionenstrafe gegen Deutsche Wohnen
  • Infobrief 01/24

DSGVO: Mögliche Millionenstrafe gegen Deutsche Wohnen

Im Rechtsstreit um ein DSGVO-Bußgeld in Höhe von 14,5 Millionen Euro gegen den Immobilienkonzern Deutsche Wohnen, der seit 2021 zu Vonovia gehört, gibt es Entwicklungen. Der Europäische Gerichtshof (EuGH) hat die Position der Berliner Datenschutzbehörde gestärkt. Nach dem Urteil des EuGH geht es wie folgt weiter.

Der Immobilienkonzern Deutsche Wohnen, der gegen einen Bußgeldbescheid von 14,5 Millionen Euro aufgrund eines Datenschutzverstoßes gemäß der Datenschutz-Grundverordnung (DSGVO) kämpft, den die unabhängige oberste Landesbehörde Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) im Oktober 2020 erlassen hatte, befindet sich im Rechtsstreit. Der Verstoß bezog sich auf das Speichern von Mieterdaten.

Der EuGH hat nun festgestellt, dass nur ein schuldhafter Verstoß – sei es vorsätzlich oder fahrlässig – gegen die DSGVO zu einer Geldbuße führen kann. Die Höhe der Geldbuße kann sich am Umsatz des Unternehmens oder der Muttergesellschaft orientieren.

Dieses Urteil folgte unter anderem einer Vorlage (Art. 267 AEUV) des Berliner Kammergerichts, das die Frage aufwarf, ob DSGVO-Bußgeldverfahren direkt gegen Unternehmen gerichtet werden können. In diesem Fall betraf es die Deutsche Wohnen SE. (EuGH, Urteil v. 5.12.2023, Az. C-807/21)

Das Berliner Landgericht hat vorerst das Verfahren gegen die Deutsche Wohnen eingestellt, da der Bußgeldbescheid im Februar 2021 als unwirksam erklärt wurde. Diese Entscheidung beruhte darauf, dass der Bescheid keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens enthielt (LG Berlin, Beschluss der 26. Großen Strafkammer v. 18.2.2021, Az. 526 AR).

Die Staatsanwaltschaft legte dagegen Beschwerde ein, und das Kammergericht Berlin muss nun als nächsthöhere Instanz diese Entscheidung überprüfen. Das dortige Verfahren (Az. 3 Ws 250/21) wurde ausgesetzt, da rechtliche Fragen zur Klärung dem EuGH mit Beschluss vom 6.12.2021 vorgelegt wurden, wie ein Gerichtssprecher im Januar 2022 mitteilte.

Im EuGH-Verfahren ging es um die grundlegende Frage, ob eine juristische Person in Deutschland, die ein Unternehmen betreibt, nach den Grundsätzen des EU-Rechts direkt für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) sanktioniert werden kann, ohne dass eine Ordnungswidrigkeit einer natürlichen und identifizierten Leitungsperson festgestellt werden muss. Der EuGH entschied, dass Verstöße durch Vertreter ausreichen, und bestätigte somit die Rechtsauffassung der Datenschutzbehörde. Das Berliner Kammergericht wird nun auf Basis dieses EuGH-Urteils abschließend im Fall „Deutsche Wohnen“ entscheiden müssen.

Am 27. April 2023 legte Generalanwalt Manuel Campos Sánchez-Bordon seine Schlussanträge in der Rechtssache C‑807/21 (Deutsche Wohnen SE gegen Staatsanwaltschaft Berlin) vor. Er kam zu dem Schluss, dass die Behörden bei Verstößen von Mitarbeitern direkt Bußgelder nach der Datenschutz-Grundverordnung (DSGVO) gegen ein Unternehmen verhängen können, wenn diesen ein vorsätzliches oder fahrlässiges Handeln nachgewiesen werden kann. Der Europäische Gerichtshof (EuGH) hat sich somit der Rechtsauffassung von Sánchez-Bordon angeschlossen.

Die Berliner Datenschutzbehörde erhob konkrete Vorwürfe gegen die Deutsche Wohnen, indem sie behauptete, dass das Unternehmen es zwischen Mai 2018 und März 2019 versäumt habe, ausreichende Maßnahmen zur regelmäßigen Löschung nicht mehr benötigter Mieterdaten zu implementieren. Zu diesem Zeitpunkt soll es möglich gewesen sein, im Archiv des Konzerns auf persönliche Daten der Mieter zuzugreifen und diese zu verarbeiten. Hierzu gehörten Informationen über Sozial- und Krankenversicherung, Arbeitsverträge sowie Details zu finanziellen Verhältnissen.

Erstmals wurde die Deutsche Wohnen der Behörde im Juni 2017 auffällig. Zu diesem Zeitpunkt stellte die Behörde fest, dass personenbezogene Daten von Mietern in einem Archivsystem gespeichert wurden, in dem nicht mehr erforderliche Daten nicht gelöscht werden konnten. Da dieser Zustand bis März 2019 unverändert blieb, griff die Behörde zu drastischen Maßnahmen. Es ist zu beachten, dass die verschärfte Regelung der Datenschutz-Grundverordnung (DSGVO) erst am 25. Mai 2018 in Kraft trat.

Neben der Sanktionierung des strukturellen Verstoßes verhängte die Behörde weitere Bußgelder gegen die Deutsche Wohnen. Die unzulässige Speicherung von personenbezogenen Daten von Mietern in 15 konkreten Fällen soll allein zwischen 6.000 und 17.000 Euro kosten.

Gemäß der EU-Verordnung können bei DSGVO-Verstößen Zwangsgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des Gesamtumsatzes verhängt werden. Der zugrunde gelegte Umsatz der Deutsche Wohnen im Jahr 2018 hätte ein Bußgeld von insgesamt bis zu 28 Millionen Euro erlaubt.

Es gibt Handlungsbedarf bei Wohnungsunternehmen in Sachen Datenschutz.
Im Juli 2019 beispielsweise wurde beim Wohnungsunternehmen LEG vorübergehend ein Mieterportal deaktiviert, nachdem ein Informatikstudent Sicherheitslücken öffentlich gemacht hatte. Ein Bericht des Westdeutschen Rundfunks (WDR) betonte, dass keinerlei besondere Computerkenntnisse erforderlich waren, um auf sämtliche Daten anderer Mieter zuzugreifen. Die damalige Berliner Datenschützerin Maja Smoltczyk erklärte in einem Interview mit dem „Tagesspiegel“ im November 2019, dass die umfangreiche Datenspeicherung häufig vorkomme und Unternehmen oft wenig darüber nachdächten, ob die Daten tatsächlich gespeichert werden müssten.

Obwohl Wohnungsunternehmen Vorhaltepflichten hätten, seien sie verpflichtet, Löschfristen für personenbezogene Mieterdaten zu beachten. Zur Unterstützung bei der Umsetzung der Datenschutz-Grundverordnung hat die Gesellschaft für Datenschutz und Datensicherheit (GDD) Praxishilfen veröffentlicht, die auch von Branchenverbänden, insbesondere in der Immobilienbranche, genutzt werden können.

Weitere Informationen finden Sie hier:
https://www.haufe.de/immobilien/wirtschaft-politik/deutsche-wohnen-wehrt-sich-gegen-bussgeld-wegen-dsgvo-verstoss_84342_503486.html

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo