07. Februar 2020 DSGVO in der Wohnungswirtschaft – na, auch einen Datenfriedhof im Keller?

Das Millionenbußgeld, das die Deutsche Wohnen wegen Datenschutzverstößen kassiert hat, hat die Branche aufgescheucht. Doch was ist zu tun, um DSGVO-konform zu sein?

14,5 Millionen Euro – in der Branche hat die Nachricht über die Bestrafung und vor allem die Höhe der Strafe für die Deutsche Wohnen Erstaunen, Erschrecken und Besorgnis ausgelöst. Wie konnte das passieren bei einem Branchenriesen dieses Ausmaßes? Die Datenschutzgrundverordnung (DSGVO) war auch in der Immobilienbrache ein Riesenthema. Eigentlich nicht vorstellbar, dass da ein Unternehmen mit Augen zu und durch reagiert hat. 

Wohnungsunternehmen sind wahre Datensammler

Allerdings befinden sich auch – laut einer Studie von BITKOM – 75 Prozent der deutschen Unternehmen noch mitten in der Umsetzung der DSGVO. Und in manchen Branchen, wie der Wohnungswirtschaft, kommen die Vorbedingungen erschwerend hinzu. Denn Wohnungsunternehmen sind wahre Datensammler. Zusätzlich werden beim Vermietungsprozess hoch sensible personenbezogene Daten verarbeitet. 

Der Deutsche Mieterbund hält denn auch den bei der Deutschen Wohnen entdeckten Missstand nur für die Spitze des Eisbergs. Geschäftsführer Ulrich Ropertz hegt den Verdacht, dass erstens die gesamte Branche eh zu viele Daten sammelt, obwohl dies der DSGVO zuwiderläuft, und dass zweitens „Daten nicht gelöscht werden, obwohl sie schon gar nicht gesammelt werden dürfen“. 

Der Datenfriedhof ist die größte Gefahr

house-sicherheit_860

Diese sogenannten Datenfriedhöfe bilden denn auch das größte Risiko für einen Verstoß gegen die DSGVO. Sie entstehen, wenn Interessenten- und Mieterdaten nicht rechtzeitig gelöscht werden oder gar nicht mehr zugeordnet werden können. Denn auch wenn die Verarbeitung der Daten im Rahmen einer Vermietungssoftware stattfindet, sind Vermieter nicht davor gefeit, dass einzelne Mitarbeiter in Parallelsystemen wie beispielsweise E-Mail-Programmen Daten abspeichern. Außerdem kann es passieren, dass die Daten in der Vermietungssoftware nicht richtig zugeordnet werden. 

Auch der Deutschen Wohnen wurde offenbar das verwendete System zum Verhängnis: diesem fehlte die Löschfunktion. Trotz DSGVO und der darin geforderten Datenminimierung immer noch ein häufiges Problem – denn Softwarehersteller gehen davon aus, dauerhaft und gut zu speichern. Löschen und Löschoption haben wenige auf dem Schirm. Damit kämpften nicht nur Wohnungsunternehmen, sondern auch Verwalter. Diese Gruppe gehört ebenfalls zu den großen Datensammlern der Branche – und damit zu den potenziellen Prüfzielen der Datenschutzbehörden. 

In zwei Jahren ist nichts passiert – das verblüfft

Verblüfft muss man trotzdem sein: Der Konzern (110.000 Wohnungen in Berlin) schaffte es innerhalb von zwei Jahren nicht, den von der Behörde monierten Datenfriedhof rechtskonform aufzuräumen. 2017 hatte die Datenschutzbehörde nach einer Beschwerde aus einem anderen Bereich bei einer Vor-Ort-Prüfung massenhaft seit Jahren gespeicherte Selbstauskunftsformulare, Gehaltsbescheinigungen, Arbeitsverträge und Kontoauszüge vorgefunden. Die Unterlagen stammten teilweise aus Zukäufen und uralten Mietverhältnissen und waren elektronisch gespeichert. 

Wie lange Daten revisionssicher aufzubewahren sind bzw. ob der Datenschutz Vorrang unter anderem vor Vorschriften der Finanzverwaltung hat, wird aktuell noch diskutiert. Die Empfehlung vieler Rechtsanwälte lautet: Nach Abschluss des Mietvertrags dürfen Vorname, Name, Geburtsdatum und -ort zehn Jahre festgehalten werden, allenfalls für ein Jahr die Bonitätsauskunft. Für ein Mehr bei der Aufbewahrung gibt es keine Rechtsgrundlage. 

Secure Content als Lösung

Wie Sie Ihr Unternehmen rechtssicher und DSGVO-konform machen erfahren Sie in unserem kostenlosen Infopaket für die Wohnungswirtschaft. Gleich herunterladen!

Jetzt anfordern...

Im Bereich der DSGVO sollten technische und rechtliche Aspekte gemeinsam betrachtet werden. Bisher haben sich viele Immobilienunternehmen zwar auf die organisatorische Umsetzung von Pflichten konzentriert, dabei aber nicht beachtet, ob ihre bestehenden Prozesse und IT-Systeme überhaupt in der Lage sind, mögliche diese zeitnah umzusetzen. Secure Content Plattformen und Managed File Transfer Lösungen bieten hier die Möglichkeit für Wohnbaugesellschaften die DSGVO-Konformität herzustellen. Sie ermöglichen den zeitgesteuerten Clean-Up von Dateien und Dokumenten. Damit kann die Zugriffsdauer auf diverse Inhalte kontrolliert und Speicherplatz automatisch wieder freigegeben werden. Administratoren sparen durch diese digitalisierten Prozesse eine Menge Arbeits- und Administrationszeit und können sich auf andere Aufgaben fokussieren. 

Darüber hinaus bieten diese Lösungen einen erheblichen Mehrwert, indem sie Unternehmen in die Lage versetzen, rechtssicher und DSGVO-konform zu kommunizieren, die Prozesse hinter den Daten zu optimieren und die dazu notwendigen Schnittstellen mit hohen Sicherheitsanforderungen zu vernetzen, diese kontinuierlich zu überwachen, um eine optimale Leistung zu gewährleisten.

zurück