Wohnungsbaugesellschaften in ganz Deutschland haben den Datenschutz in der Vergangenheit vernachlässigt. Nach Recherchen der Frankfurter Allgemeinen Zeitung (FAZ/Herbst 2016) wurden in Interessenten- und Suchformularen persönliche und hoch sensible Daten erfasst und unverschlüsselt übertragen. Das gilt beispielsweise für Angaben über Einkommen, Arbeitsverhältnisse und Sozialleistungen. „Betroffen“ sind mindestens neun Unternehmen mit einem Bestand von insgesamt 230.000 Wohnungen. Auch große Immobilien-Unternehmen sind dabei – unter anderem in Frankfurt, Köln, Duisburg, Stuttgart, Lübeck und Erfurt.
Diese Sicherheitslücken sollen zwischenzeitlich geschlossen worden sein. Tatsächlich ist es aber so, dass einige Wohnungsbaugesellschaften immer noch veraltete Verschlüsselungsverfahren nutzen. Zum Teil stehen noch immer ungeschützte Kontakt- und Mieterformulare auf den Webseiten von Wohnungsbaugesellschaften.
Behördliche Datenschutzbeauftragte werden diesen Verfehlungen nachgehen. Für einzelne Unternehmen bedeutet das im Falle des Nachweises eines Verstoßes einen erheblichen Imageverlust. Dieser Imageschaden ist zudem mit hohen Geldbußen verbunden. Das Thema ist auch deshalb so sensibel, weil die Kunden und Nutzer natürlich darauf vertrauen, dass die Wohnungsgesellschaft die Daten sensibel behandelt. Das Gegenteil ist aber regelmäßig der Fall. Wohnungsbaugesellschaften haben nicht nur schon lange geltende Standards unterschritten, sondern auf ihren Webseiten die Einhaltung des Datenschutzes versprochen, obwohl die verwendeten Formulare diese Sicherheitsgarantie nicht halten konnten. Zu den in Webformularen eingegebenen Informationen gehören hoch sensible Daten wie Einkommen, Arbeitsverhältnis oder Sozialleistungen. Angaben, die jeder Mieter geschützt wissen will.
Handlungsempfehlung
Die Anforderungen an Wohnungsbaugesellschaften sind jetzt hoch, werden aber durch die neue Datenschutzgrundverordnung (DSGVO) noch weitaus höher. Die DSGVO tritt am 1. Mai 2018 in Kraft. Unternehmen der Immobilienwirtschaft – und besonders Wohnungsbaugesellschaften – müssen sich also beeilen. Im Falle eines Verstoßes gegen die DSGVO droht nicht nur ein erheblicher Imageschaden, sondern tatsächlich eine Geldbuße in mehrfacher Millionenhöhe.
Checkliste für die Erst-Anamnese bei Wohnungsbaugesellschaften
- Wo sind personenbezogene Daten gespeichert?
- Wer hat Zugriff auf personenbezogene Daten?
- Welche Mitarbeiter haben überall Zugriff?
- Welcher Mitarbeiter hat worauf Zugriff?
- Welche sind die besonders sicherheitsrelevanten Gruppen? Welche Daten berichtigen diese und wer ist darin Mitglied?
- Verfügt das Unternehmen über einen verständlichen Report über die Zugriffsrechte-Situation?
Datenschutz gehört zu einem funktionierenden Compliance-Management-System. Compliance bedeutet Professionalität.