Die Bremer Landesbeauftragte für Datenschutz und Informationssicherheit (LfDI), Dr. Imke Sommer, verhängte am 3. März 2022 ein Bußgeld in Höhe von 1,9 Millionen Euro gegen die Bremer Wohnungsbaugesellschaft BREBAU GmbH. Hintergrund des Bußgeldes ist eine exzessive Datenerhebung bei Mietinteressenten. Erhoben wurden u.a. Merkmale wie die Hautfarbe, die Religionszugehörigkeit, die sexuelle Orientierung und der Gesundheitszustand bis hin zum Körpergeruch.
Hintergrund des Bußgeldes
Aufmerksam auf die BREBAU GmbH wurde die LfDI aufgrund der Berichte des Bremer Regional- und Lokalmagazins buten un binnen. Bereits am 20. Mai 2021 veröffentlichte das Magazin einen Bericht über erhebliche Datenschutzverstöße der BREBAU GmbH. Die Prüfung der LfDI förderte die unrechtmäßige Verarbeitung von zum Teil besonders schützenswerten personenbezogenen Daten und ein bewusstes Vorenthalten des Betroffenenrechts auf Auskunft nach Art. 15 DSGVO zu Tage.
Die Bremer Wohnungsgesellschaft Brebau GmbH steht zu 100 Prozent im Eigentum der Stadt Bremen und vermietet derzeit 6.000 Wohnungen.
Es stellte sich heraus, dass die Gesellschaft über 9.500 personenbezogene Daten von Wohnungsbewerbern ohne das Vorhandensein einer geeigneten Rechtsgrundlage verarbeitet hatte. In der Datenbank der Wohnungsbaugesellschaft fanden sich Informationen zu Haarfrisuren, dem Körpergeruch und zum persönlichen Auftreten. Darüber hinaus wurden auch besonders schützenswerte personenbezogene Daten wie die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und der Gesundheitszustand verarbeitet.
Auf Grundlage dieser Daten fand eine systematische Kategorisierung der jeweiligen Bewerber nach Herkunft und äußeren Merkmalen statt. Während die Abkürzung E40 beispielsweise für Personen of color stand, wurden mit der Bezeichnung KT kopftuchtragende Bewerberinnen beschrieben.
Die Verarbeitung dieser Daten sei, so die LfDI, für den Abschluss eines Mietverhältnisses nicht erforderlich. Zudem weigerte sich die BREBAU GmbH, Anfragen betroffener Personen zu den von ihnen verarbeiteten Daten zu beantworten. In beiden Aspekten sah die LfDI eine schwerwiegende Verletzung des Grundrechts auf Datenschutz und verhängte daher das Bußgeld auf Grundlage des Art. 83 DSGVO.
In Anbetracht der Schwere der Datenschutzverletzung wäre laut LfDI durchaus ein wesentlich höheres Bußgeld gerechtfertigt gewesen. Aufgrund der umfassenden Kooperation von Seiten der BREBAU GmbH im Rahmen des datenschutzrechtlichen Aufsichtsverfahrens, sich um Schadensminderung zu bemühen und durch interne Maßnahmen dafür Sorge zu tragen, dass sich derartige Vorfälle nicht wiederholen, wurde die Höhe des Bußgeldes erheblich reduziert. Die BREBAU GmbH entließ zudem aufgrund des Vorfalls zwei leitende Angestellte.
Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!
Datenschutzrechtliche Einschätzung
Die Art. 6 und 9 DSGVO schreiben vor, dass nach dem Grundsatz der Rechtmäßigkeit, personenbezogene Daten grundsätzlich nicht verarbeitet werden dürfen, es sei denn, dass ausnahmsweise eine Rechtsgrundlage vorliegt, welche die Verarbeitung erlaubt. Daher wird im Rahmen der Datenverarbeitung gemäß DSGVO auch von einem Verbot mit Erlaubnisvorbehalt gesprochen:
- Soweit die Verarbeitung keine besonderen personenbezogenen Daten umfasst, richtet sich die Rechtmäßigkeit nach Art. 6 DSGVO.
- Werden dagegen besondere Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) verarbeitet, bedarf es einer gesonderten Rechtsgrundlage nach Art. 9 DSGVO.
Vor der Vermietung von Wohnraum erheben Vermieter bei Mietinteressenten persönliche Angaben durch die Einholung sog. Selbstauskünfte. An der Beantwortung der Fragen durch die Selbstauskunftsbögen, müssen die Vermieter regelmäßig ein berechtigtes Interesse haben. Folglich dürfen nur solche Daten erhoben werden, die zur Durchführung des Mietvertrages erforderlich sind. Das Recht des Mietinteressenten auf informationelle Selbstbestimmung muss stets mitbeachtet werden.
Nach der veröffentlichten Orientierungshilfe der DSK (Datenschutzkonferenz) vom 30. Januar 2018 zur Einholung von Selbstauskünften bei Mietinteressentinnen kann bei der Datenerhebung von Mietinteressenten zwischen zwei bis drei Zeitpunkten differenziert werden:
- Die Zulässigkeit der Datenerhebung während des Besichtigungstermins richtet sich nach 6 Abs. 1 lit. f) DSGVO.
- Nach der Erklärung des Mietinteressenten, eine konkrete Wohnung anmieten zu wollen, basiert die Datenverarbeitung auf 6 Abs. 1 lit. b) DSGVO, da ein vorvertragliches Schuldverhältnis entsteht.
- Im Rahmen der Anwendung von 6 Abs.1 lit. b), f) DSGVO kommt es dann gemäß einer Erforderlichkeitsprüfung darauf an, ob von Seiten der Interessenten Offenbarungspflichten bestehen.
Die verarbeiten Daten durch die BREBAU GmbH über die angeführten personenbezogenen Daten waren für den Abschluss des Mietvertrages nicht erforderlich. Das ergibt sich bei einigen der Daten schon ganz klar daraus, dass die Erhebung der jeweiligen Daten ein Verstoß gegen das allgemeine Gleichbehandlungsgesetz (AGG) darstellt: Was verboten ist, kann nicht erforderlich sein.
Verstoß gegen des AGG
Das AGG gilt bei der Begründung, Durchführung und Beendigung eines zivilrechtlichen Schuldverhältnisses und damit auch im Rahmen der Wohnungsvermietung. Das Gesetz schützt vor Benachteiligungen wegen der Rasse, der ethnischen Herkunft, des Geschlechts, der Religion, einer Behinderung, des Alters oder der sexuellen Identität.
Bei der BREBAU GmbH handelt es sich um eine Wohnungsbaugesellschaft, die circa 6.000 Wohnungen vermietet und damit Massenmietverträge nach Art 19 Abs. 1 Nr. 1 AGG abschließt. Folglich greifen die Regelungen des AGG, wonach eine Benachteiligung aus genannten Gründen beim Abschluss eines Mietvertrags nicht zulässig ist. Daher kann auch keine Erforderlichkeit für die Verarbeitung der Daten durch die BREBAU im Sinne der DSGVO bestehen, da keine geeignete Rechtsgrundlage die Verarbeitung der jeweiligen Daten rechtfertigen kann, wenn die Verarbeitung aufgrund eines AGG-Verstoßes gesetzeswidrig ist.
Die Verarbeitung basierte damit auf einer rein diskriminierend-systematischen Kategorisierung von potentiellen Mietern und erfolgte damit ohne einen Erlaubnistatbestand. Die DSGVO schützt nicht unmittelbar vor Diskriminierung, da im Rahmen einer Verarbeitung von personenbezogenen Daten der konkrete Einzelfall im Hinblick auf die rechtmäßige Verarbeitung betrachtet werden muss. Jedoch ist es nach der DSGVO nur unter bestimmten, restriktiv handzuhabenden Umständen erlaubt, auch Daten über die Hautfarbe, ethnische Herkunft, Religionszugehörigkeit, sexuelle Orientierung und den Gesundheitszustand zu verarbeiten. Der potentielle Mietvertrag mit der BREBBAU GmbH stellt keine mögliche Rechtsgrundlage zur Verarbeitung nach Art. 9 DSGVO dar. Damit bewirkt die DSGVO einen indirekten Schutz vor Diskriminierung.
Missachtung der Betroffenenrechte
Von der BREBAU GmbH wurde zu keinem Zeitpunkt über die Verarbeitung der angeführten Daten entsprechend der Vorgaben der Art. 12, 13 DSGVO informiert. Auch hier liegt ein klarer Verstoß gegen die DSGVO vor.
Nach Art. 13 DSGVO sind betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten ausführlich zu informieren, um eine klare Vorstellung hierüber zu erlangen. Dabei muss der Verantwortliche u.a. sowohl über die Zwecke und Rechtsgrundlage der jeweiligen Verarbeitung personenbezogener Daten, als auch über die zustehenden Betroffenenrechte informieren. Die Rahmenbedingungen für die Erfüllung dieser Informationspflicht gibt Art. 12 Abs. 1 S.1 DSGVO vor. Hiernach muss der Verantwortliche die Informationen u.a. sowohl in transparenter Form als auch in leicht verständlicher Sprache wiedergeben.
Dadurch, dass die Information über die Datenverarbeitung unterblieb, verhinderte die BREBAU GmbH faktisch auch für viele der Mietinteressenten die Möglichkeit zur Ausübung Ihrer Betroffenenrechte, wie beispielsweise des Rechts auf Auskunft nach Art. 15 DSGVO. Betroffene Personen sind über die Ihnen zustehenden Rechte zu informieren, da davon ausgegangen werden muss, dass nur die wenigsten diese Rechte tatsächlich kennen. Wer die Rechte nicht mitteilt, muss sich deshalb vorwerfen lassen, dass er die Geltendmachung von Rechten vereitelt, was wiederum ein Bußgeld nach sich ziehen kann – so hier auch geschehen.[/vc_column_text][vc_row_inner el_class=”klara-stoerer”][vc_column_inner][vc_column_text]Tipp: Lesen Sie dazu auch unseren Ratgeber zu den Informationspflichten nach DSGVO.
Fazit: Was gilt es bei der Aufnahme von potentiellen Mietinteressenten-Daten zu beachten?
Bei der Erhebung von personenbezogenen Daten sollten Sie generell darauf achten, dass Sie nur die Menge personenbezogener Daten erheben, die auch für die jeweilige Verarbeitung erforderlich ist. Folglich müssen Sie, entsprechend dem Grundsatz der Datensparsamkeit nach Art 5 Abs. 1 lit. c) DSGVO, versuchen, mit dem Mindestmaß an Daten das intendierte Ziel der jeweiligen Verarbeitung zu erreichen.
Durch das vorliegende Bußgeld wird deutlich, dass in jeder Phase – vom Zeitpunkt des Anbietens einer Wohnung bis zur Vermietung – der Verantwortliche konkret hinterfragen muss, inwieweit die jeweiligen personenbezogenen Daten zu dem jeweiligen Zeitpunkt mit dem potentiellen Mietverhältnis über Wohnraum in einem objektiven Zusammenhang stehen und ob schutzwürdige Interessen der Wohnungsbewerber am Ausschluss der Datenverarbeitung vorliegen.
Die Verarbeitung von Mietbewerberdaten unterliegt den allgemeinen datenschutzrechtlichen Anforderungen an Verantwortliche, d.h. insbesondere,
- dass diese Daten nur aufgrund einer bestehenden Rechtsgrundlage verarbeitet werden dürfen,
- die Grundsätze der DSGVO nach Art. 5 DSGVO beachtet werden müssen
- und die Information der Betroffenen nach Artikel 13 DSGVO zu gewährleisten ist.
Achtung: Darüber hinaus sollten Vermieter stets bedenken, dass insbesondere die Daten von abgelehnten Mietinteressenten rechtzeitig zu löschen sind.
Im Zweifel sollten Sie im Rahmen der Erhebung von Daten bei der Mieterauswahl professionellen Rat hinzuziehen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!