DSGVO skurril: Wiener Wohnen im Datenschutz-Dilemma

Beitragsbild Data Breach

In den vergangenen Tagen war oft zu lesen, dass Wiener Wohnen auf Grund einer Beschwerde eines Mieters sämtliche Namensschilder von den Gegensprechanlagen entfernt und durch Top-Nummern ersetzt. Bei immerhin 220.000 Wohneinheiten, die Wiener Wohnen angeblich verwaltet, eine engagierte Aufgabe. Aber: Ist das die Lösung des Problems?

Um uns der Antwort zu nähern, müssen wir zuerst einmal einen Blick in die Begriffsbestimmungen der DSGVO werfen. Was versteht die DSGVO unter „personenbezogenen Daten“? Artikel 4 Ziffer 1 besagt dazu:

„personenbezogene Daten“ (sind) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, (…) identifiziert werden kann;

Direkt identifiziert werden kann eine natürliche Person also einerseits direkt, zum Beispiel durch deren Namen. Aber eine natürliche Person gilt auch als identifizierbar, wenn sie anhand einer „Kennnummer“ – wie zum Beispiel der Top-Nummer – indirekt identifiziert werden kann. Beides, sowohl der Name des Mieters als auch seine Top-Nummer, sind also Daten anhand derer die Mieter – einmal direkt, einmal indirekt – identifiziert werden können.

Top-Nummern lösen das Problem nicht!

Tauscht Wiener Wohnen die Namen der Mieter gegen deren Top-Nummer aus, dann wird lediglich ein personenbezogener Datensatz gegen einen anderen ausgetauscht. Der Mieter, der mit seiner Beschwerde den Stein ins Rollen gebracht hat, kann – sobald seine Top-Nummer an der Sprechanlage angebracht ist – erneut eine Beschwerde einbringen. Und wir vermutlich wieder Recht bekommen.

Es fehlt die Rechtsgrundlage

Personenbezogene Daten dürfen nur verarbeitet werden (in diesem Fall ist das das Offenlegen), wenn der Verantwortliche eine Rechtsgrundlage dafür hat. Eine Rechtsgrundlage für das Veröffentlichen von Namen an Sprechanlagen wäre zum Beispiel die ausdrückliche Einwilligung jedes einzelnen Mieters. Vermutlich hat Wiener Wohnen aber keine solche Einwilligungen eingeholt. Und selbst, wenn Wiener Wohnen so eine Einwilligung ab sofort beim Abschluss neuer Mietverträge einholt, fehlen sie immer noch von den abertausenden Altmietern.

Dazu kommt, dass Einwilligungen jederzeit widerrufen werden können. Manche Mieter werden nichts dagegen haben, wenn ihr Name unten an der Sprechanlage steht. Andere wiederrum werden widersprechen. Alleine der administrative Aufwand dafür wäre ein Wahnsinn für sich.

Das Anbringen des Namens an der Sprechanlage zur Bedingung für das Mietverhältnis zu machen – sich also der Rechtsgrundlage der Vertragserfüllung zu bedienen – stellt im Sinne der DSGVO eine Koppelung dar. Und die ist verboten, weil eine freiwillige Einwilligung nicht an Bedingungen gekoppelt sein darf.

Gesetzliche Grundlage scheidet als Rechtsgrundlage ebenfalls aus, denn diese gibt es nicht. In welchem Gesetz steht, dass der Name des Mieters unten an der Sprechanlage stehen muss? Ich kenne keines.

Und schließlich fällt es auch schwer das berechtigte Interesse des Verantwortlichen, also Wiener Wohnen, herzuleiten. Worin sollte dieses berechtige Interesse am Namen an der Sprechanlage bestehen? Wiener Wohnen weiß ohnehin ganz genau welcher Mieter wo wohnt. Paketzusteller hätten sicher berechtigtes Interesse am Namen vor der Haustür, aber die sind in diesem Fall nicht der Verantwortliche für die Datenverarbeitung.

Etwas weit hergeholt, aber vielleicht anwendbar, könnte das lebenswichtige Interesse der betroffenen Person sein. Rettungskräfte, Feuerwehren, Polizei, usw. haben es mit dem Namen an der Sprechanlage sicherlich leichter schnell zu Hilfe zu kommen. Die Frage ist nur, ob mit dem lebenswichtigen Interesse bereits argumentiert werden kann bevor überhaupt ein Notfall eingetreten ist.

Und wie sieht die korrekte Lösung nun aus?

Wenn Wiener Wohnen (ebenso wie sämtliche anderen Wohnungsvermieter wie zum Beispiel Genossenschaften und private Hausbesitzer) keine Rechtsgrundlage zum Veröffentlichen der Namen an der Sprechanlage haben, dann dürfen keine personenbezogenen Daten der Mieter veröffentlicht werden. Weder die Namen, noch die Top-Nummern (denn anhand der Top-Nummern kann der Mieter – indirekt, aber doch – identifiziert werden, also sind auch Top-Nummern personenbezogene Daten).

Aus meiner Sicht einzig denkbarer Lösungsansatz im Sinne der DSGVO sind Einwilligungen der Mieter. Und zwar von jedem Einzelnen, dessen Name vor der Haustür an der Sprechanlage stehen darf. Inklusive der aufwendigen Administration der Widerrufe.

Update per 17.10.2018: Pressemitteilung des LDA Bayern

Explizit zum Fall der „Wiener Wohungsbaugesellschaft“ hat das Bayerische Landesamte für Datenschutzaufsicht eine Pressemitteilung herausgegeben. Aus Sicht der LDA Bayern wäre „die Verarbeitung durch die Wohnungsbaugesellschaft in aller Regel nach Artikel 6 Ziffer 1 Buchstabe f DSGVO datesnchutzrechtlich zulässig„.

Dieser Artikel der DSGVO besagt u.a., dass die Verarbeitung rechtmäßig ist, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Dieser Dritte wäre im vorliegenden Fall der Mieter, in dessen Interesse es wäre, wenn seine Name an der Sprechanlage steht.

Trotzdem hält Wiener Wohnen am Austausch der Namen gegen Top-Nummer fest: „Es stimmt, es ist nicht explizit verboten, aber wir brauchen trotzdem die Zustimmung der Mieter, dass wir die Daten verarbeiten dürfen, und die haben wir nicht“, begründete ein Sprecher von „Wiener Wohnen“ das Vorgehen am Donnerstag auf APA-Anfrage. (Quelle: wien.orf.at, „Wiener Wohnen“: Tausch der Schilder bleibt)


Nur ein Klick zur Newsletter-Anmeldung!

Nach Klick auf den Button können Sie mir eine Nachricht an meine Adresse jaichwillnews@andreasdolezal.at mit Ihren Kontaktdaten in der Signatur senden. Diese Nachricht verstehe ich als Ihre Zustimmung für das Zusenden von Informationen an Ihre Absender-Mailadresse sowie das Akzeptieren der Datenschutzerklärung.


Weitere interessante Beiträge:

DSGVO: Darf WhatsApp weiterhin genutzt werden?

Einfacher Datenschutz im beruflichen und privaten Alltag

Datenschutz: Muss HTTPS-Verschlüsselung für Internetseiten sein?