Die wichtigsten DSGVO-Erfordernisse die man als Makler und Vermieter einhalten sollte, um sein Unternehmen vor Datenschutz-Sanktionen zu schützen. Immobilien sind oft Opfer von Rechtsstreitigkeiten in denen mangelnder Datenschutz eine Schwachstelle darstellt.
Der Datenschutz ist für Makler, Hausverwalter und Vermieter besonders wichtig, denn in der Immobilienwirtschaft werden besonders sensible Informationen verarbeitet.
In der Immobilienwirtschaft werden besonders sensible Informationen verarbeitet. Trotzdem vernachlässigen Immobilienmakler und Hausverwalter meist unbewusst die gesetzlichen Anforderungen der DSGVO. Sogar die einfachsten Regeln, um hoch vertrauliche Daten zu schützen, werden ignoriert. Kein Wunder, dass diese Branche besonders unter Datenschutz-Sanktionen und Cyberschäden leidet.
1. Vermietung von Immobilien
Ein klassischer Bereich intensiver Datenverarbeitung ist die Vermietung. Vermieter erhalten oft extrem sensible Daten wie Schufa Auskunft und Einkommensnachweise, um die Bonität potenzieller neuer Mieter zu überprüfen. Wer hier die Datenschutz-Anforderungen nicht korrekt einhält, riskiert empfindliche Strafen.
Für Makler und Vermieter ist hier das Risiko besonders groß, weil erstens oft die Unschuldsnachweispflicht beim eigenen Unternehmen liegt und zweitens Mieter in der Regel bei Gericht wohlwollend behandelt werden.
Im Datenschutzrecht gilt der Grundsatz der „Datenminimierung“, wonach Daten nur insoweit verarbeitet werden dürfen, wie dies für einen konkreten Zweck erforderlich und angemessen ist. Vor dem Hintergrund dieses Grundsatzes ist eine vollständige Erfassung aller Daten „auf Vorrat“ zu Beginn des Vermietungsprozesses unzulässig. Die Aufsichtsbehörden teilen den Vermietungsprozess in drei Abschnitte:
- vor/bei der Besichtigung
- Mietinteressent äußert konkretes Interesse an der Immobilie
- kurz vor/bei Vertragsschluss
Dabei dürfen in jedem Abschnitt nur bestimmte Informationen von den Mietinteressenten abgefragt werden. Nach Auffassung der Aufsichtsbehörden dürfen Einkommensnachweise erst verlangt werden, wenn bereits ein konkreter Mietinteressent ausgewählt wurde.
Hier die Regel:
1. vor/bei der Besichtigung
- Kontaktdaten
- Daten zu Suchkriterien
- Vorlegen des Wohnberechtigungsscheines
2. Mietinteressent äußert konkretes Interesse an der Immobilie
- Höhe des Nettoeinkommens
- Anzahl der einziehenden Personen
- Beruf, Arbeitgeber
- Eröffnetes Verbraucherinsolvenzverfahren
- Name und Höhe des Nettoeinkommens eines Bürgen
3. kurz vor/bei Vertragsschluss
- Einkommensnachweise
- Bonitätsauskünfte
2. Umgang mit Auskunfteien
Um die Bonität eines Mietinteressenten zu überprüfen, werden häufig Auskunfteien wie die Schufa angefragt. Dies ist jedoch nur eingeschränkt zulässig und sollte – soweit zur Beurteilung der Bonität noch erforderlich – erst kurz vor Vertragsschluss mit einem Mietinteressenten erfolgen. Gängige Praxis der Vermieter ist es auch, von Mietinteressenten die Vorlage einer Selbstauskunft zu verlangen, obwohl diese Informationen enthält, die für das Mietverhältnis irrelevant sind.
Regelmäßig gibt es derzeit neue Urteile zum Schadenersatz nach DSGVO. Und sie fallen immer häufiger zugunsten der betroffenen Person aus.
Informationspflichten des Vermieters
Der Vermieter muss Mietinteressenten bzw. Mieter vor der ersten Datenerhebung über die Datenverarbeitung im Vermietungsprozess und im anschließenden Mietverhältnis informieren. Die Zwecke und Rechtsgrundlagen der Datenverarbeitung, die Dauer der Speicherung und potentielle Empfänger der Daten müssen erläutert werden.
Tipp:
Vermieter können entsprechende Datenschutzhinweise als Anlage zum Mietinteressentenfragebogen/Mietvertrag beilegen.
Löschung der Daten
Die Löschung der Daten wird von Vermietern und Maklern oft versehentlich vergessen oder absichtlich vermieden. Das ist immer wieder eine Schwachstelle, wenn diese Unternehmen juristisch angegriffen werden. Die DSGVO wird allzu oft als Druckmittel verwendet, um Recht zu bekommen.
Vermieter sollten wissen, wann personenbezogene Daten von Mietinteressenten und Mietern zu löschen sind. Makler und Vermieter sind zur Löschung verpflichtet, wenn der ursprüngliche Verarbeitungszweck entfällt und keine (bspw. steuer- und handelsrechtlichen) Aufbewahrungspflichten bestehen. Das gilt z.B. wenn der Mieter ausgezogen ist und ein neuer Mieter die Wohnung bewohnt. Nach dem Ende der Mieterauswahl, also nach Vertragsabschluss, darf ein Vermieter grundsätzlich nur die Daten weiterhin speichern, die zur Durchführung des Mietverhältnisses oder zur Erfüllung gesetzlicher Pflichten notwendig sind. Also keine Auskünfte betreffend seiner oder ihrer Bonität.
Datenweitergaben an Dritte
Die Weitergabe von Informationen von Betroffenen, also oft Mieter oder Mietinteressenten ist selbstverständlich ich in der DSGVO geregelt. Vermieter und Makler sollten prüfen, inwieweit Mieterdaten an Dritte, z.B. Hausverwaltungen, Makler und sonstige Dienstleistungsunternehmen, weitergegeben werden dürfen. Gelegentlich müssen Datenschutzverträge mit entsprechenden Dienstleistern abgeschlossen werden.
Kommunikation mit Mietern
Ein gutes Verhältnis zwischen Vermieter und Mieter ist immer hilfreich. Selbstverständlich werden zwangsläufig personenbezogene Daten der Mieter verarbeitet. Wenn es um Dinge rund um den Vertrag oder die Nebenkosten geht, ist der Austausch von personenbezogenen Daten unvermeidbar und erlaubt.
Etwas Anderes kann in Fällen gelten, in denen die Datenverarbeitung nur am Rande Berührungspunkte mit dem Mietvertrag aufweist (z.B. Veranstaltung eines Mieterfestes, Newsletter-Versand). In diesen Fällen bedarf die Datenverarbeitung einer gesonderten Prüfung, insbesondere ist zu prüfen, ob eine Einwilligung der Mieter erforderlich ist.
Daneben können datenschutzrechtliche Vorgaben beim Einsatz bestimmter Kommunikationsmittel (z.B. Messenger-Dienste) nötig sein. Neben der Frage der Rechtmäßigkeit der Datenverarbeitung stellen sich in diesen Fällen immer wieder Probleme bezüglich der Weitergabe der Kommunikationsdaten an die Betreiber der Dienste, so die Erfahrung der Kanzlei Taylor Wessing in Wien.
3. Immobilien- bzw. Unternehmenskauf
Was für die Vermietung gilt, gilt selbstverständlich auch für den Verkauf von Immobilien oder Unternehmen mit Immobilien. Auch hier sind vertrauliche und weniger vertrauliche, personenbezogene Daten, Bestandteil der Dokumente oder Information, die im Verkaufsprozess verarbeitet werden.
Rechtmäßigkeit der Weitergabe von Mieterdaten im Verkaufsprozess
Bei Immobilientransaktionen stellt der Verkäufer dem Käufer in den einzelnen Phasen des Verkaufs Informationen zur Verfügung, um eine Prüfung wertbildender Faktoren des Zielobjekts zu ermöglichen. Bei der Weitergabe oder beim Empfang personenbezogener Daten müssen die Parteien die datenschutzrechtlichen Anforderungen berücksichtigen. Der Verkauf einer vermieteten Immobilie enthält vertrauliche Daten von Unbeteiligten, die einen Einfluss auf den Wert der Immobilie haben können. In den meisten Fällen müssen personenbezogene Daten anonymisiert werden. Grundsätzlich gilt aber, je näher eine Vertragseinigung rückt, desto mehr Informationen dürfen ausgetauscht werden.
Informationspflichten
Selbstverständlich sind auch bei Transaktionen Informationspflichten zu beachten. So muss jedenfalls das Unternehmen, das personenbezogene Daten im Rahmen einer Transaktion offenlegt, die betroffenen Mieter darüber meistens informieren.
Tipp:
Informationen über eine mögliche Datenweitergabe an Dritte können bereits in abstrakter Form in die allgemeinen Datenschutzhinweise aufgenommen werden, um die Notwendigkeit eines späteren Tätigwerdens zu vermeiden.
4. Videoüberwachung von Immobilien
Die Videoüberwachung von Häusern ist eines der häufigsten Stolpersteine der Immobilienwirtschaft. Sie ist auch eines der beschwerdeträchtigsten Bereiche.
Zulässigkeit der Videoüberwachung/Datenschutz-Folgenabschätzung
Wer bei Häusern eine Videoüberwachung durchführt oder durchführen lässt, sollte sorgfältig prüfen, ob der Zweck und die Wahrung der Interessen rechtmäßig sind. Meistens ist eine Datenschutzfolgenabschätzung durchzuführen. Selbstverständlich sind die Dauer der Speicherung, Zugriff auf die Informationen und Kameratyp sorgfältig zu prüfen. Die Abläufe müssen dokumentiert sein.
Informationspflichten
Zudem muss die Videoüberwachung durch ein Piktogramm kenntlich gemacht werden. Die betroffenen Personen müssen über den Zweck der Videoüberwachung, ihre Rechtsgrundlage und die Dauer der Datenspeicherung informiert werden.
Datenlöschung
Videoaufnahmen sollten grundsätzlich spätestens nach 48 Stunden gelöscht werden. In Ausnahmefällen und guter Begründung ist auch eine längere Speicherung möglich.
Sicherheit
Die Filme der Videoüberwachung müssen ausreichend vor Missbrauch geschützt werden. Dies kann z.B. durch eine Verschlüsselung der Aufnahmen und eine kontrollierte Zugriffsberechtigung geschehen.
5. „Smart Home, Smart Building“
Die Welt von Internet of Things (IOT) verbreitet sich auch in der Immobilienwirtschaft. „Smart Meter“ für Energiemessungen oder intelligente Licht- und Alarmsysteme in Wohnimmobilien verbessern mittels vernetzter Geräte und automatisierter Abläufe die Wohnqualität und Sicherheit.
Auch aus Vermietersicht werten IOT-Systeme Häuser auf. So kann man zum Beispiel automatisch Nebenkosten ermitteln und in ein ERP System überführen. Dass dabei personenbezogene Daten übermittelt und verarbeitet werden, ist klar. Also gilt auch hier die DSGVO.
Vermieter müssen prüfen, ob die Datenverarbeitung von einer entsprechenden Rechtsgrundlage gedeckt ist. In Betracht kommt z.B. die Einwilligung der betroffenen Person (z.B. eines Mieters). Damit eine Einwilligung wirksam ist, muss diese über die Datenverarbeitung informieren.
Auch wenn eine Rechtgrundlage zur Datenverarbeitung und die Einwilligung vorliegen, sollten Unternehmen den Grundsatz der Datenminimierung beachten. Danach dürfen (auch) bei „Smart Home“-Anwendungen personenbezogene Daten nur insoweit verarbeitet werden, wie dies für den verfolgten Zweck erforderlich und angemessen ist.
Sicherheit
Die Daten aus IOT-Systemen müssen ausreichend vor Missbrauch geschützt werden. Dies kann, z.B. durch eine Verschlüsselung der Aufnahmen, eine kontrollierte Zugriffsberechtigung geschehen.
6. Allgemeine datenschutzrechtliche Anforderungen
Wie alle Unternehmen, die personenbezogene Daten in größerem Umfang verarbeiten, müssen Vermieter und Makler die allgemeinen datenschutzrechtlichen Anforderungen entsprechen:
- Verarbeitungsverzeichnis: Ein Verzeichnis, das Informationen zu den Datenverarbeitungstätigkeiten enthält (z.B. zu den Verarbeitungszwecken, den verarbeiteten Daten und den Fristen für eine Löschung der Daten).
- Datenschutzbeauftragter: Ein Datenschutzbeauftragter lohnt sich immer. Er oder sie kennt die Grenzen zwischen legaler und illegaler Datenverarbeitung.
- Betroffenenrechte: Unternehmen müssen sicherstellen, dass die Rechte der betroffenen Personen (z.B. auf Auskunft, Löschung und Widerspruch) erfüllt werden.
- Meldepflichten: Im Fall einer Verletzung des Schutzes personenbezogener Daten sind – unter bestimmten Voraussetzungen – innerhalb von 72 Stunden nach Kenntniserlangung die Aufsichtsbehörden und ggf. auch die betroffenen Personen zu informieren.
- Datenschutz-Management-System: Zur Bewältigung der zahlreichen datenschutzrechtlichen Anforderungen empfiehlt es sich häufig, ein Datenschutz-Management-System einzuführen. Im Rahmen dieses Systems sollten v.a. Rollen und Verantwortlichkeiten festgelegt und Konzepte, Richtlinien und Standardvorgehensweisen zu bestimmten Vorgängen entwickelt werden (z.B. zur beschriebenen Erfüllung der Betroffenenrechte und Meldepflichten).
Quellen:
DSGVO, Anwaltskanzlei Taylor Wessing, Dr. Paul Voigt, Partner, Wiebke Reuter, LL.M.