In unserem heutigen Blogbeitrag ist die Überschrift Programm: Anfang März verhängte die Landesdatenschutzbeauftragte von Bremen gegen die BREBAU GmbH ein Rekord-Bußgeld in Höhe von 1,9 Mio. EUR. Dem vorausgegangen war die Datenverarbeitung von mehr als 9.500 Daten der Mietinteressenten durch das Unternehmen, u.a. Informationen über Körpergeruch, Frisuren und zum sonstigen Auftreten. Die erforderliche Rechtsgrundlage lag hierfür selbstverständlich nicht vor.

Was genau ist vorgefallen?

Bei der BREBAU GmbH handelt es sich um eine staatliche Wohnungsgesellschaft mit Sitz in Bremen. Als Wohnungsgesellschaft kommt das Unternehmen naturgemäß Tag für Tag mit personenbezogenen Daten von Mietern in Kontakt. Diese gilt es zu verarbeiten, um ein Mietverhältnis abschließen zu können. Allerdings darf man nicht alle hierbei anfallenden Daten auch verarbeiten, sondern nur die, die für den Abschluss eines Mietverhältnisses erforderlich sind.

Im vorliegenden Fall verarbeitete die BREBAU GmbH neben den Namen, Kontaktdaten und beruflichen Tätigkeiten auch solche, die für die Bewerbungsphase bzw. den Abschluss des Mietvertrages nicht erforderlich sind. Es wurden bis zu 9.500 Daten über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung, den Gesundheitszustand und schließlich auch über den Körpergeruch, die Haarfrisur und das generelle Auftreten von Mietinteressenten verarbeitet, um diese anschließend bewerten zu können. Dieses Vorgehen stellt nicht nur eine Diskriminierung, sondern auch einen enormen Datenschutzverstoß dar und wurde entsprechend geahndet.

Was sagt die DSGVO zu dieser Datenverarbeitung?

Bereits in unseren Blogbeiträgen Bewerberdatenschutz und Blacklists – was ist erlaubt? und Backround-Check von Bewerbern – geht das? gingen wir auf entsprechende Fragen ein. Wir erklärten, welche Bewerberdaten zu (vor-)vertraglichen Zwecken bzw. aufgrund berechtigten Interesses intern verarbeitet werden dürfen. Und widmeten uns auch dem Thema, für welche man wiederum eine Einwilligung benötigt. Diese Grundsätze können gleichermaßen auf den vorliegenden Fall übertragen werden.

Nach dem Grundsatz der Datenminimierung dürfen nur die Daten verarbeitet werden, die für einen bestimmten Datenverarbeitungszweck zwingend erforderlich sind. Also Daten, die für den Abschluss des Mietvertrages nicht erforderlich sind, dürfen ohne Einwilligung der Betroffenen nicht verarbeitet werden. Eine Einwilligung wurde nicht eingeholt, sodass die Datenverarbeitung rechtswidrig erfolgte. Ebenfalls wurde auch nicht über die Datenverarbeitung gem. Art. 13 DSGVO informiert, wodurch die Datenverarbeitung auch im Hinblick auf die Transparenzpflichten des Verantwortlichen rechtswidrig erfolgte.

Spezielle personenbezogenen Daten sind besonders schützenswert

Zusätzlich fällt ein weiterer Umstand ins Gewicht: Beim Großteil der verarbeiteten Daten, u.a. die Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und den Gesundheitszustand handelt es sich um besonders sensible Daten gem. Art. 9 Abs.1 DSGVO. Diese Daten sind besonders schützenswert und dürfen abgesehen von vereinzelten gesetzlichen Ausnahmefällen nur mit Hilfe einer Einwilligung verarbeitet werden.

Die rechtswidrige Verarbeitung solcher besonderer personenbezogenen Daten stellt selbstverständlich einen umso gravierenderen Datenschutzverstoß dar.

Wie reagierte die Aufsichtsbehörde auf diese Datenverarbeitung?

Art. 83 DSGVO stellt das Instrumentarium für die Sanktionierung solcher Datenschutzverstöße dar. Geldbußen wegen rechtswidrigen Datenverarbeitungen können also bis zu 20.000.000 EUR oder bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs eines Unternehmens betragen – je nachdem, welcher der Beträge höher ist. Die konkrete Höhe richtet sich hierbei nach den Umständen des Einzelfalls. Kooperatives Verhalten gegenüber der Behörde kann sich positiv auf die Höhe des Bußgeldes auswirken. Auch die Aufsichtsbehörde Bremen betonte das. Da die BREBAU die Aufsichtsbehörde umfassend bei der Sachverhaltsaufklärung unterstützte und sich um eine Schadensminderung und um Maßnahmen zum zukünftigen Schutz vor solchen Vergehen bemühte, wurde die Geldbuße auf nur 1,9 Mio. EUR beschränkt. Wäre dies nicht der Fall gewesen, wäre das Bußgeld insb. im Hinblick auf die umfassende Verarbeitung besonderer personenbezogener Daten deutlich höher ausgefallen.

Was hat dieser Fall mit mir zu tun?

Sie werden sich vielleicht denken, was hat denn dieser Fall mit mir zu tun? Ich vermiete keine Wohnung und sammle auch keine Daten über Mieter. Das mag sein, doch nicht selten sammeln Unternehmen Daten über ihre Kunden oder Arbeitnehmer. Hier werden gerne Vermerke wie „ist eine Nervensäge“, „beschwert sich ständig“, „liebt Fußball“, „hatte eine Operation“ im CRM zu den einzelnen Kunden hinterlegt, um diese Informationen für die Betreuung im Rahmen der Geschäftsbeziehung zu nutzen.

Auch in diesen Fällen sind die Daten für die Erbringung von vertraglichen Leistungen nicht notwendig. Ob diese aus berechtigtem Interesse oder nur auf Grund einer Einwilligung verarbeitet werden dürfen, hängt vom Einzelfall ab. In jedem Fall sind die Kunden hierüber zu belehren!

Um solchen empfindlichen Bußgeldern vorwegzugreifen, sensibilisieren und beraten wir unsere Kunden dahingehend, nur die erforderlichen Daten mit Hilfe der entsprechenden Rechtsgrundlagen zu verarbeiten und die Betroffenen hierüber zu belehren.

Sie haben noch Fragen in diesem Bereich, benötigen einen Datenschutzbeauftragten oder datenschutzrechtliche Beratung, kontaktieren Sie uns gerne unter 0931-780 877-0 oder info@sidit.de.

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

Kein Kommentar

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ihre personenbezogenen Daten werden für die Veröffentlichung Ihres Kommentars zum Blogbeitrages gem. unserer Datenschutzerklärung von uns verarbeitet.