Die Unachtsamkeit der eigenen Mitarbeiter ist eine Herausforderung für die Datenschutz-Compliance und die IT-Sicherheit in den Immobilienunternehmen. Von Dr. Florian Scheriau, Partner bei Grant Thornton
Der Europäische Gerichtshof (EuGH) hat den Berliner Bußgeldbescheid von 2019 an die Deutsche Wohnen wegen Datenschutzverstößen im Kern bestätigt. Für Details geht es nun wieder zurück an das Landgericht Berlin. Auch wenn die mittlerweile zu Vonovia gehörige Deutsche Wohnen weiterhin gegen die Bußzahlung von über 14 Millionen Euro vorgehen möchte, ist der Kern des europäischen Urteils folgenreich: Denn Immobilienunternehmen können für das Fehlverhalten einzelner Mitarbeiter wie auch Dienstleister direkt belangt werden. Damit ergeben sich neue Anforderungen an die Informationssicherheit der Unternehmen.
Die Immobilienbranche steht im Fokus eines ständig wachsenden Datenmeeres, das von Gebäudeinformationen über Transaktionsdaten bis hin zu persönlichen Mieterangaben reicht. In Anbetracht dieser vielfältigen und umfangreichen Datenverarbeitung ist der Datenschutz zu einem unverzichtbaren Pfeiler für Immobilienunternehmen geworden. Spätestens seit der Inkraftsetzung der Datenschutz-Grundverordnung (DSGVO) 2018 sind sämtliche Unternehmen in der Pflicht, sowohl Datensparsamkeit als auch Datensicherheit bei allen Formen der Datenverarbeitung zu beachten.
Die europäischen Behörden sind in der Umsetzung der Verordnung sehr konsequent, was sich beispielsweise am Wachstum der Bußgelder von 29 Prozent im Jahr 2023 gegenüber dem Vorjahr zeigt. Trotzdem gab in einer branchenübergreifenden Bitkom-Umfrage von Oktober 2023 noch ein Drittel der befragten Unternehmen an, die DSGVO bislang unvollständig oder überhaupt nicht umgesetzt zu haben. Nur jedes fünfte Unternehmen hatte zu diesem Zeitpunkt die DSGVO in Gänze implementiert.
Kurz nach Inkraftsetzung der DSGVO hatte die Berliner Datenschutzbehörde 2019 ein Bußgeld von 14,5 Millionen Euro an die Deutsche Wohnen wegen unterlassener Löschung von Mieterdaten verhängt. Dass die Höhe der Strafzahlung prozentual zum Konzernumsatz im betreffenden Geschäftsjahr festgelegt wurde, zeigt auf, mit welch empfindlichen Strafen zu rechnen ist. Tochterunternehmen, die gegen die DSGVO verstoßen, werden folglich nach dem Umsatz der gesamten Holding bestraft.
Neu und höchst relevant für die Unternehmen ist zudem der Umstand, dass Datenschutzverstöße auch juristische Personen betreffen. Denn bislang fanden Ordnungswidrigkeiten, zu denen die DSGVO-Verstöße gehören, nur Anwendung bei natürlichen Personen. Dies bedeutet im Umkehrschluss: Wenn einem einzelnen Mitarbeiter ein fahrlässiger Umgang mit Datenschutz nachgewiesen werden kann, muss der Gesamtkonzern geradestehen. Dies gilt in erster Linie für die eigenen Beschäftigten, aber auch für Dienstleister. So haben Bestandshalter beispielsweise von Wohnungsportfolios die Pflicht, ihre Property Manager auf einen gesetzeskonformen Umgang mit Mieterdaten zu prüfen.
Datenschutz und IT-Sicherheit gehören zusammen
In der Immobilienbranche sind daher detaillierte Verträge mit externen Dienstleistern unerlässlich, um die Prüfung zur Einhaltung der DSGVO sicherzustellen. Diese Verträge sollten die sichere Verarbeitung von Mieterdaten, Interessentendaten bei Kauf oder Miete und Daten im Zusammenhang mit Immobilientransaktionen regeln. Nur wenn die Verträge diese Details abbilden, sind sie auch tragfähig, um eventuelle Haftungsfälle für das eigene Unternehmen auszuschließen.
Auch für die direkte Kommunikation gilt es, den richtigen Kanal zu wählen: Videocall-Anbieter aus den USA beispielsweise sind in der Auffassung einiger Datenschützer aufgrund gespeicherter Daten auf US-Servern nicht DSGVO-konform. Im Zweifelsfall gilt es, eine Datenschutzfolgeabschätzung durchzuführen.
Klassische Anwendungsfälle stammen in diesem Zusammenhang aus der Wohnungswirtschaft: das Smart Metering, das individuelle Verbrauchswerte pro Wohneinheit digital abbildet, oder die Videoüberwachung von Hauseingängen mit Einblick in öffentliche Bereiche. Hierbei ist stets eine juristische Konsultation geboten.
Die Nutzung verschiedener IT-Systeme im Zusammenspiel mit den Dienstleistern erfordert eine umfassende Bewertung der technischen und organisatorischen Maßnahmen. Dazu gehören Sicherheitsanalysen von Cloud-Diensten, die Verschlüsselung von Datenübertragungen sowie Zugriffskontrollen auf Datenbanken. Datenleaks können nicht nur durch den unachtsamen Datenumgang innerhalb der Unternehmen auftreten, sondern auch durch externe Angriffe. Hacking-Attacken stellen eine Bedrohung für die Integrität der Daten dar und können bei mangelnden Sicherheitsvorkehrungen einen unmittelbaren Datenschutzverstoß herbeiführen.
Eine Erhebung von Grant Thornton aus dem Jahr 2023 zeigt auf, dass 44 Prozent der befragten Immobilienunternehmen ihre Beschäftigten als Haupteinfallstor für Sicherheitslücken nicht ausreichend geschult haben. Nur fünf Prozent nutzen Frühwarnsysteme wie XDR-Tools, um mögliche Lücken in ihrer IT-Sicherheit zu identifizieren.
Verstärkte Maßnahmen zum Datenschutz notwendig
Die Unachtsamkeit der eigenen Mitarbeiter bleibt eine massive Herausforderung für die Datenschutz-Compliance und die IT-Sicherheit in den Immobilienunternehmen. Entweder zeigt sie sich in einem fahrlässigen Umgang mit personenbezogenen Kundendaten oder sie öffnet Hacking-Angriffen die Tore durch die Missachtung der IT-Sicherheitskriterien.
Doch auch die Unternehmen selbst tragen Verantwortung, indem sie die notwendige Infrastruktur für eine ausreichende und zertifizierbare IT-Sicherheit gewährleisten müssen. Geschieht dies nicht, ist eine doppelte Konsequenz zu erwarten – in Form unbrauchbarer, da gehackter IT-Systeme und verlorener Daten, die zu drastischen Bußgeldern führen können. Gerade Branchenakteure, die regelmäßig personenbezogene Daten verarbeiten wie die Wohnungswirtschaft und ihre Dienstleister, sind zu entsprechenden Schutzmaßnahmen verpflichtet.
Ein Beitrag von Dr. Florian Scheriau, Partner bei Grant Thornton.
