Brebau: Hohes Bußgeld für rechtswidrige Datenverarbeitung

Hintergrund

Die Bremer Wohnungsbaugesellschaft Brebau GmbH steht im hundertprozentigen Eigentum der Stadt Bremen und vermietet nach eigenen Angaben derzeit etwa 6.000 Wohnungen. Am 20. Mai 2021 veröffentlichte das Bremer Regional- und Lokalmagazin „buten un binnen“ einen aufsehenerregenden Bericht über erhebliche Datenschutzverstöße bei der Brebau; die Gesellschaft hatte über 9.500 personenbezogene Daten von Wohnungsbewerbern und -bewerberinnen ohne eine entsprechende Einwilligung gesammelt. Nachfragen von Betroffenen über die Verarbeitung ihrer Daten wurden zusätzlich bewusst unterlaufen. Nun hat die Bremer Datenschutzbeauftragte ein Bußgeld in Höhe von 1,9 Mio. € gegen die Gesellschaft verhängt.

Was genau hat die Brebau gemacht?

Die Brebau hatte u.a. Informationen über Haarfrisuren, den Körpergeruch und das persönliche Auftreten verarbeitet, die für den Abschluss von Mietverhältnissen generell nicht erforderlich sind. Über die Hälfte der verarbeiteten Daten waren zudem solche, die nach der DSGVO besonders geschützt sind. Dazu zählten Informationen zu Hautfarbe, ethnischer Herkunft, Religion, sexuelle Orientierung und Gesundheitszustand. Dabei wurden gezielt Menschen nach ihrer Herkunft und äußeren Merkmalen kategorisiert. In den von „buten un binnen“ veröffentlichten internen Unterlagen der Brebau gab es etwa Vorgaben, dass dunkelhäutige Menschen unter dem Code „E40“ und Menschen mit Kopftuch mit der Abkürzung „KT“ erfasst werden sollten. Bei gleichgeschlechtlichen Bewerbern oder Be-werberinnen war festzuhalten, ob sie als Paar oder als Wohngemeinschaft auf der Suche nach einer Wohnung waren.

Aus diesen Gründen entstand der Verdacht der Diskriminierung von Minderheiten. Dieser Verdacht hat sich jedoch nicht erhärtet. So stellte der eingeschaltete Sonderermittler Prof. Matthias Stauch in seinem Untersuchungsbericht fest, dass es bei der Brebau keine durch Indizien zu belegende Diskriminierung gegeben habe.

Auffällig war überdies, dass die Mitarbeiter der Brebau in den Arbeitsanweisungen dazu angehalten wurden, bei Nachfragen von Kunden zunächst die in einem Notizfeld gespeicherten Informationen zu kopieren, sie dann zu löschen, anschließend dem Kunden oder der Kundin den Bildschirm mit dem nunmehr leeren Notizfeld zu zeigen und die Informationen letztendlich wiederherzustellen. Bei der Brebau war man sich also der Rechtswidrigkeit dieser Datenverarbeitung durchaus bewusst, weswegen Auskunftsersuchen von Betroffenen bewusst unterlaufen werden sollten.

Welche Konsequenzen hatte die rechtswidrige Datenverarbeitung für die Brebau?

Abgesehen von dem erheblichen Imageschaden, den die Brebau nach der Veröffentlichung des Beitrags von „buten un binnen“ erlitt, wurden zunächst zwei leitende Angestellte entlassen und es erfolgte die oben bereits erwähnte Prüfung durch den Sonderermittler Prof. Matthias Stauch. Des Weiteren sollten Maßnahmen getroffen werden, um eine etwaige Wiederholung derartiger Datenschutzverstöße zu verhindern.

Kürzlich erfolgte schließlich eine Geldbuße in Höhe von 1,9 Mio. € durch die Bremer Landesdatenschutzbeauftragte Ilke Sommer. Nach eigenen Angaben der Landesdatenschutzbeauftragten wäre aufgrund der „außerordentlichen Tiefe der Verletzung des Grundrechts auf Datenschutz“ eigentlich „eine deutlich höhere“ Strafe angemessen gewesen. Durch ihre umfassende Kooperation, eine eigene Aufklärung des Sachverhalts und durch die getroffenen Maßnahmen zur Vermeidung derartiger Verstöße in der Zukunft konnte die Brebau das Bußgeld jedoch auf ein geringeres Niveau bringen.

Es ist dabei zu beachten, dass der Brebau eine Diskriminierung von Bewerbern und Bewerberinnen nicht nachgewiesen werden konnte. Das festgelegte Bußgeld bezieht sich ausschließlich auf die erfolgten Datenschutzverstöße. Wäre der Brebau überdies noch ein diskriminierendes Vorgehen bei der Wahl ihrer Mieter und Mieterinnen nachgewiesen worden, wäre die Strafe wohl wesentlich höher ausgefallen.

Wie schützt die DSGVO vor Diskriminierung?

Die DSGVO schützt nur indirekt vor Diskriminierungen. Für die Bearbeitung sämtlicher personenbezogener Daten, also etwa Alter oder Geschlecht einer Person, wird eine Rechtsgrundlage benötigt. Als Rechtsgrundlage kommen beispielsweise die ausdrückliche Einwilligung der betroffenen Person, die Notwendigkeit der Datenverarbeitung zur Erfüllung eines Vertrags mit der betroffenen Person oder die Interessen und Grundrechte der betroffenen Person überwiegende Interessen des Datenverarbeiters in Betracht.

Die Verarbeitung besonderer Kategorien personenbezogener Daten, wie etwa Daten zur ethnischen Herkunft, zu politischen Meinungen, zur Genetik, zum Sexualleben oder zur Gesundheit der betroffenen Person, ist hingegen grundsätzlich nicht erlaubt und darf nur in Ausnahmefällen erfolgen, etwa bei einer ausdrücklichen Einwilligung der betroffenen Person. Dadurch, dass es grundsätzlich nicht gestattet ist, diese Daten zu verarbeiten, können sie auch nicht missbraucht werden. Auf diese Weise bietet die DSGVO einen indirekten Diskriminierungsschutz.

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

Alexandra Hecht

Rechtsanwältin, Fachanwältin für Arbeitsrecht

Zum Profil von Alexandra Hecht

Joshua Kniesburges

Rechtsanwalt

Zum Profil von Joshua Kniesburges

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
YouTube Video laden
Permalink