Datenschutz-Grundverordnung - Teil I

Was müssen Vermieter wissen?

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Das bisher in Deutschland geltende Bundesdatenschutzgesetz wurde daher überarbeitet und gilt ab diesem Zeitpunkt neben den Regelungen der DSGVO auch für alle privaten Vermieter, Hausverwalter und Makler. Wer sich bisher noch nicht mit dem Datenschutzrecht beschäftigt hat, sollte sich nun mit den Anforderungen auseinandersetzen, um Konflikte zu vermeiden. Denn wer sich nicht an die Vorschriften hält, riskiert Bußgelder und die Überprüfung der datenschutzrechtlich gebotenen Vorkehrungen durch die zuständige Landesdatenschutzbehörde.

In Panik muss aber keiner verfallen. Zwar sind die Pflichten vielfältig und können von privaten Vermietern nicht immer hundertprozentig erfüllt werden. Aber wenn Vermieter den Aufsichtsbehörden zeigen, dass sie sich mit der Materie auseinandergesetzt haben, können einzelne Missstände und Lücken auch nach und nach geschlossen werden.

Wer muss die datenschutzrechtlichen Vorschriften beachten?

Natürliche Personen sind von dem Anwendungsbereich der DSGVO ausgenommen, wenn sie personenbezogene Daten ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten verarbeiten (Art. 2 Abs. 2 DSGVO). Alle geschäftlichen Prozesse eines privaten Vermieters unterfallen aber dem Anwendungsbereich und zwar vollkommen unabhängig, ob er wenige oder viele Wohnungen vermietet.

Grundsatz der Datenminimierung und Zweckbindung

Grundsätzlich gilt: Es ist unzulässig, so viele Daten wie möglich über Mieter und deren Familienangehörige zu sammeln (Grundsatz der Datensparsamkeit/Datenminimierung Art. 5 Abs. 1 lit. c DSGVO). Vielmehr dürfen nur die im Zusammenhang mit dem konkreten Zweck – zum Beispiel der Begründung eines Mietverhältnisses – erforderlichen Daten erhoben werden (Grundsatz der Zweckbindung Art. 5 Abs. 1 lit. b). Vor jeder Datenerhebung ist daher ein konkreter Zweck zu ermitteln. Danach bestimmt sich der Umfang der zulässigen Datenverarbeitung. Auch der zeitliche Zusammenhang ist maßgeblich. Es geht also nicht darum, welche Daten benötigt der Vermieter möglicherweise irgendwann einmal. Vielmehr muss er sich fragen, wozu benötigt er die Daten zum jetzigen Zeitpunkt konkret. Wenn der Zweck erreicht wurde und es keinen Grund für die weitere Datenaufbewahrung gibt (etwa wegen einzuhaltender Aufbewahrungsfristen nach der AO), müssen die Daten wieder gelöscht beziehungsweise vernichtet werden.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören unter anderem Namen und Adressdaten, Geburtsdaten, Bankdaten und Verbrauchsdaten. Werden personenbezogene Daten automatisiert oder aber auch nicht automatisiert verarbeitet und in einem Dateiensystem gespeichert, müssen die Regelungen des Datenschutzrechts beachtet werden. Dabei liegt eine automatisierte Verarbeitung schon vor, wenn beispielsweise ein Kopierer oder ein Scanner benutzt wird. Auch handschriftliche Aufzeichnungen werden als nicht automatisierte Verarbeitung erfasst. Der Begriff der Datenverarbeitung ist dabei grundsätzlich weit auszulegen. Die Verarbeitung erfolgt durch Erheben, Erfassen, Ordnen in Ablageordnern, Speichern, Verändern, Abfragen, Verwenden, Offenlegen durch Übermitteln, Abgleichen, Verknüpfen sowie Löschen beziehungsweise Vernichten personenbezogener Daten.

Welche Daten dürfen nicht erhoben werden?

Daten zu Sexualleben und sexueller Orientierung, rassischer oder ethnischer Herkunft, religiöser Weltanschauung oder politischer Einstellung sind sogenannte Daten der besonderen Kategorie (Art. 9 DSGVO). Solche Daten dürfen nur in sehr engen Ausnahmefällen erhoben werden. Im Mietverhältnis ist eine solche Datenerhebung grundsätzlich unzulässig. Vermietern können solche Daten auch aufgedrängt werden, beispielsweise indem der Mieter selbst solche Daten ungefragt übergibt oder sich Mitmieter schriftlich äußern. Solche Daten sind dann zu löschen beziehungsweise zu vernichten.

Keine Datenverarbeitung ohne Rechtsgrundlage

Die Datenerhebung, Ablage und Weitergabe ist nur zulässig, wenn eine Rechtsgrundlage die Verarbeitung erlaubt. Insbesondere folgende Rechtsgrundlagen (Art. 6 DSGVO) können für die Verarbeitung personenbezogener Daten herangezogenen werden:

  • Vertragserfüllung: Wenn die Verarbeitung für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist und die Person, dessen Daten verarbeitet werden, Vertragspartner ist oder werden soll.
  • Berechtigte Interessen: Wenn die Verarbeitung zur Wahrung berechtigter Interessen des verantwortlichen Vermieters oder eines Dritten erforderlich ist, sofern nicht schutzwürdige Interessen der Person, dessen Daten verarbeitet werden, überwiegen.
  • Rechtspflicht: Wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des verantwortlichen Vermieters erforderlich ist
  • Einwilligung: Wenn die Person, deren Daten verarbeitet werden sollen, der Datenverarbeitung zugestimmt hat.

Vorsicht mit Einwilligung als Rechtsgrundlage!

Die Einwilligung als Rechtsgrundlage sollte allerdings sparsam verwendet werden, denn sie ist an verschiedene Voraussetzungen geknüpft. So muss sie freiwillig, also ohne Druck oder empfundenen Zwang erteilt werden. Dies kann beispielsweise bei der Datenerhebung von Mietinteressenten in einem angespannten Wohnungsmarkt problematisch sein. Darüber hinaus kann die Einwilligung auch jederzeit widerrufen werden. Der Vermieter ist aber verantwortlich, im Streitfall auch die Rechtsgrundlage, auf der er die Daten erhoben und gespeichert hat, nachzuweisen.

Datenschutz-Grundverordnung - Teil II

Was müssen Vermieter jetzt tun?
Vor der Wohnungsbesichtigung

Wenn ein Vermieter eine Wohnung inseriert und zunächst eine allgemeine Wohnungsbesichtigung durchführen will, ohne zuvor eine Auswahl unter den Mietinteressenten zu treffen, so benötigt der Vermieter nur Namen und Telefonnummer der Interessenten. Weitergehende Daten sind für die Durchführung der Besichtigung nicht notwendig.

Anders sieht es aus, wenn der Vermieter nur zuvor ausgewählten Interessenten einen Besichtigungstermin anbietet, etwa weil die Böden der Wohnung besonders empfindlich sind oder die Wohnung noch vermietet ist und jeder einzelne Termin mit dem aktuellen Mieter abgestimmt werden muss. In diesem Fall geht es um die Auswahl des richtigen Mieters, bevor ihm die Wohnung gezeigt wird. Auf der Rechtsgrundlage des berechtigten Interesses kann der Vermieter dann weitere Daten, wie die Mieterselbstauskunft, erheben. Bei der Rechtsgrundlage „berechtigtes Interesse“ gilt immer der Maßstab der Verhältnismäßigkeit. Interessen von Vermieter und Mietinteressenten müssen abgewogen werden. So sind Kontodaten für die Auswahl nicht erforderlich. Diese können mit Abschluss des Mietvertrages erhoben werden.

Aufgedrängte Daten

Übergibt der Mietinteressent unaufgefordert Unterlagen mit persönlichen Daten, die etwa zur besonderen Kategorie gehören oder die für die Begründung des Mietverhältnisses keine Rolle spielen, sind diese Daten zu löschen. Dies gilt streng genommen auch für Bewerbungsunterlagen, die vor der Besichtigung eingereicht werden. Eine Löschung kann aber dann unterbleiben, wenn der Mietinteressent sein Einverständnis erteilt, dass die Unterlagen bis zur endgültigen Mieterauswahl beziehungsweise zur Begründung des Mietverhältnisses beibehalten werden.

Wahl des richtigen Mieters

Nach der Wohnungsbesichtigung hat der Vermieter ein Interesse daran, die Zuverlässigkeit und Zahlungsfähigkeit der verbliebenen Interessenten zu prüfen, bevor er sich für einen Mieter entscheidet. Hierzu dient die Mieterselbstauskunft. Als Rechtsgrundlage kommen zumindest berechtigtes Interesse oder auch Vertragsanbahnung in Betracht.

Wichtig ist, dass nur für den Vertragsabschluss relevante Daten erfasst werden. Nach dem Grundsatz der Datensparsamkeit dürfen keine Daten erfasst werden, die ganz eventuell irgendwann einmal von Interesse sein könnten. Das Verwandtschaftsverhältnis des potenziellen Mieters zu einer bestimmten Person kann zwar eine relevante Information sein, wenn dieser nach einem 20 Jahre andauernden Mietverhältnis stirbt und ein Abkömmling in den Vertrag eintreten will. Diese Personendaten sind aber für den Zweck der Begründung des Mietverhältnisses nicht erheblich.

Warteliste

Möchte ein nicht berücksichtigter Interessent gern benachrichtigt werden, wenn eine andere vergleichbare Wohnung frei wird, kann der Vermieter nicht ohne weiteres auf die zum Zeitpunkt der ersten Wohnungsbesichtigung übergebenen Daten zurückgreifen. Denn der Zweck der Anmietung einer bestimmten Wohnung entfällt, wenn die vorherige Wohnung anderweitig vergeben wurde. Name und Kontaktdaten können nur dann vorgehalten werden, wenn der Interessent eine Einwilligung erteilt. Dann muss er darüber aufgeklärt werden, dass er diese jederzeit widerrufen kann. Auch muss sichergestellt werden, dass die Daten nicht dauerhaft gespeichert werden.

Abschluss des Mietvertrages

Bei Abschluss des Mietvertrages werden erneut Daten, beispielsweise Kontodaten, erhoben. Rechtsgrundlage ist Vertragserfüllung.

Weitergabe von Daten an Dritte und Auftragsdatenverarbeitung

Auch die Weitergabe von Daten an Dritte, wie Handwerker oder andere Mieter, ist eine Datenverarbeitung und darf, wenn keine Einwilligung der Person vorliegt, deren Daten verarbeitet werden sollen, nur erfolgen, wenn eine Rechtsgrundlage dies gestattet.

Ein Vermieter kann auch Daten durch einen Dienstleister im Rahmen eines sogenannten Auftragsdatenverarbeitungsvertrages verarbeiten lassen. Der Auftragsdatenverarbeiter erhebt, speichert und bearbeitet Daten im Auftrag und nach Weisung des für den Datenschutz verantwortlichen Vermieters. Eine typische Auftragsdatenverarbeitung liegt beispielsweise bei der Beauftragung eines Unternehmens zur jährlichen Ablesung der Verbrauchsdaten und Erstellung der Heizkostenabrechnung vor.

Der Vermieter bleibt Verantwortlicher für den Datenschutz und muss mit dem Auftragsdatenverarbeiter zwingend einen schriftlichen oder elektronischen Vertrag mit dem Inhalt des Art. 28 DSGVO abschließen. Oftmals bieten die Dienstleister selbst die entsprechenden Verträge an. Ansonsten finden sich solche Verträge auch unter: https://www.bvdnet.de/wp-content/uploads/2017/07/Muster-AV-Vertrag.doc.

Beim Ablesen der Verbrauchsdaten für Heizung und Warmwasser handelt es sich um eine Datenverarbeitung. Für ihre Verarbeitung braucht es eine Rechtsgrundlage. In Betracht kommt Vertragserfüllung, weil die Datenerhebung zur Erfüllung der mietvertraglichen Abrechnungspflicht des Vermieters erforderlich ist. Da die Daten nicht von der Person, deren Daten verarbeitet werden sollen, selbst mitgeteilt werden, muss sie und mögliche Mitbewohner über die Datenerhebung informiert werden. Dies kann entweder durch den Mietvertrag geschehen oder im Vorfeld der Ablesung.

Einsichtsrecht eines Mieters in die Verbrauchsdaten der Mitmieter

Verlangt ein Mieter Einsicht in die Abrechnungsunterlagen zur Betriebskostenabrechnung, muss ihm der Vermieter auf Verlangen auch die Ablesebelege zu den anderen Wohnungen im Haus vorlegen. Es handelt sich hierbei um eine Datenverarbeitung in Form der Weitergabe der Daten an Dritte. Eine Einwilligung der übrigen Mieter ist nicht erforderlich. Der Vermieter darf dem Mieter die Belege zur Verfügung stellen, denn er ist dazu mietrechtlich verpflichtet (zuletzt Bundesgerichtshof, Urteil vom 7. Februar 2018, VIII ZR 189/17). Gegenüber übrigen Mietern kann sich der Vermieter auf die Rechtsgrundlage des berechtigten Interesses berufen, da kein Grund zu der Annahme besteht, dass die übrigen Mietparteien ein schutzwürdiges Interesse am Ausschluss der Übermittlung haben. Die übrigen Mieter und alle Mitbewohner müssen von der Datenweitergabe an den auskunftsberechtigten Mieter informiert werden.

Weitergabe der Daten an Handwerker

Um seinen Instandhaltungspflichten nachzukommen, darf der Vermieter einen Handwerker beauftragen und ihm – sofern erforderlich – Namen und Adresse seiner Mieter benennen. Als Rechtsgrundlage kommt die rechtliche Verpflichtung bei Modernisierungen, jedenfalls auch berechtigtes Interesse in Betracht. Die Mieter sind darüber zu informieren. Es ist allerdings nicht erforderlich, auch die Telefonnummer der Mieter zur Terminabstimmung zu übermitteln. Diesen kann der Vermieter selbst abstimmen. Die direkte Terminabstimmung mag zwar praktisch sein, ist aber für die Instandsetzung der Wohnung nicht erforderlich. Wenn also die Telefonnummer an den Handwerker übermittelt werden soll, benötigt der Vermieter das ausdrückliche Einverständnis des betroffenen Mieters.

Mietverwaltung

Beauftragt der Vermieter eine Verwaltung mit der kompletten Mietverwaltung, ist dies kein Fall der Auftragsdatenverarbeitung. Die Verwaltung wird regelmäßig bevollmächtigt, selbstständig alle Entscheidungen bezüglich des Mietverhältnisses zu treffen. Die Verwaltung ist folglich „Verantwortlicher“ im Sinne der DSGVO, wenn sie Daten der Mietinteressenten und Mieter erhebt, speichert, bearbeitet und an Dritte weitergibt. Auch der Vermieter muss die Anforderungen der DSGVO erfüllen, sofern er Daten der Mieter von der Hausverwaltung erhält, speichert und ablegt. Gibt der Vermieter Daten der Mieter an seinen Steuerberater auf Grundlage des berechtigten Interesses weiter, muss der Mieter grundsätzlich darüber informiert werden.

Datenschutz-Grundverordnung - Teil III

Was müssen Vermieter jetzt tun?
Informationspflichten und Auskunftsrechte

Jede Person, deren Daten verarbeitet werden, hat das Recht zu erfahren, um welche Daten es sich handelt und wie sie verarbeitet werden. Der Vermieter ist hier dem Mieter gegenüber in der Pflicht. Die Informationspflichten entstehen gemäß Artikel 13, 14 DSGVO im Zeitpunkt der Datenerhebung beziehungsweise der Datenverarbeitung.

Dabei muss der Vermieter dem Betroffenen zum Zeitpunkt der Datenverarbeitung Folgendes mitteilen:

  • Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten
  • Zweck der Datenverarbeitung und Rechtsgrundlage sowie Dauer der Speicherung
  • gegebenenfalls Empfänger der personenbezogenen Daten
  • Hinweis auf Auskunftsrecht, Beschwerderecht bei der zuständigen Aufsichtsbehörde, Widerspruchsrecht, Recht auf Löschung usw.
  • zusätzlich auch die Kategorien personenbezogener Daten, die verarbeitet werden, wenn die Datenerhebung nicht bei der betroffenen Person erfolgt.

Wenn Sie ein Muster benötigen, erkundigen Sie sich bitte bei Ihrem Haus & Grund-Verein.

Daneben stehen dem Betroffenen auch noch folgende weitere Rechte zu:

  • Auskunft (Artikel 15 DSGVO, § 34 BDSG)
  • Berichtigung (Artikel 16 DSGVO, Löschung § 35 BDSG-neu, Artikel 18 DSGVO)
  • Widerspruch gegen die Verarbeitung (§ 36 BDSG)
  • Recht, keiner automatisierten Entscheidung unterworfen zu sein (§ 37 BDSG, Artikel 22 DSGVO)

Macht ein Mieter seine Rechte geltend, muss der Verantwortliche (Vermieter) reagieren. Verlangt der Mieter beispielsweise Auskunft, muss der Vermieter dessen Daten zusammenstellen und ihm unverzüglich, regelmäßig aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung stellen (Artikel 12 Abs. 3 DSGVO). Die Identität des Auskunftsverlangenden muss vor der Erteilung der Auskunft gesichert sein (vgl. Artikel 12 Abs. 1 S. 3 letzter Halbsatz, Abs. 6 DSGVO), etwa durch Vorlage eines Ausweisdokuments. Übermittelt der Vermieter Daten an einen Rechtsanwalt oder Steuerberater, muss er darüber weder informieren (§ 29 Abs. 2 BDSG) noch Auskunft erteilen (§ 34 Abs. 1 BDSG). Die Ablehnung des Auskunftsverlangens muss aber dokumentiert werden.

Löschfristen

Gemäß § 17 DSGVO sind alle personenbezogenen Daten zu löschen, wenn diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.

Der Zeitpunkt der Löschung hängt also vom jeweiligen Zweck der Datenbearbeitung ab:

  • Daten zu den Betriebskosten sind mindestens bis zum Ablauf der Mieter-Einwendungsfrist aufzubewahren (gemäß § 556 Abs. 3 S. 4 BGB zwölf Monate nach Zustellung der Abrechnung).
  • Daten, die Vermieteransprüche betreffen, sind mindestens bis zum Ablauf der regelmäßigen Verjährungsfrist gemäß § 195 BGB (drei Jahre) aufzubewahren.
  • Im Falle eines Rechtsstreits sind die Daten nicht vor rechtskräftigem Abschluss des Rechtsstreits zu löschen.
  • Mietverträge und Betriebskostenabrechnungsunterlagen sind gemäß § 147 AO zehn Jahre aufzubewahren.

Verzeichnis der Datenverarbeitungstätigkeit

Ob auch private Vermieter als Verantwortliche ein sogenanntes Verzeichnis der Datenverarbeitungstätigkeiten gemäß Artikel 30 DSGVO führen müssen, ist bisher nicht abschließend geklärt. Haus & Grund empfiehlt, ein solches Verarbeitungsverzeichnis zu erstellen. Gemäß Artikel 30 Abs. 5 DSGVO ist das immer dann notwendig, wenn die Verarbeitung von Daten nicht nur gelegentlich erfolgt. Nach den Hinweisen zum Verzeichnis von Verarbeitungstätigkeiten, Artikel 30 DSGVO der DSK (Datenschutzkonferenz), liegt eine gelegentliche Datenverarbeitung bereits dann nicht mehr vor, wenn etwa regelmäßig Lohnabrechnungen getätigt werden. Dieses Beispiel ist wohl gleichzusetzen mit der Abrechnung monatlicher Mieteinnahmen.

Das Verzeichnis der Datenverarbeitungstätigkeiten kann jederzeit bearbeitet und ergänzt werden. Auch hier gibt es kein verbindliches Muster. Erst die Praxis wird in den kommenden Jahren zeigen, wie die Anforderungen konkret auszusehen haben. Ein Muster hierzu erhalten Sie bei Ihrem Haus & Grund-Verein.

Technische und organisatorische Maßnahmen (TOM)

Die Datenverarbeitungsgeräte (wie PC, Tablets, Smartphones) müssen überprüft werden, um Datenschutz zu gewährleisten. Denn Artikel 32 DSGVO, § 64 BDSG verpflichtet jeden, geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Integrität und Vertraulichkeit der Daten zu gewährleisten. Es gibt hier keinen standardisierten Katalog. Die Maßnahmen müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignet und angemessen sein. Das bedeutet, dass von einem privaten Vermieter weniger Wohnungen ohne Einsatz von eigenen Servern, Personal und Ähnlichem andere technische Maßnahmen erwartet werden können als von einer großen Hausverwaltung, die dutzende Datensätze mit wechselndem Personal und Dienstleistern managt.

Folgende technische Schutzmaßnahmen können von privaten Kleinvermietern im Allgemeinen erwartet werden:

  • Die Geräte müssen über einen aktuellen Anti-Viren-Schutz und eine aktuelle Firewall verfügen.
  • Die Geräte müssen passwortgesichert sein. Das Passwort sollte Zahlen sowie eine Kombination aus Groß- und Kleinbuchstaben enthalten. Es sollte auch nicht zu kurz sein.
  • Sofern Dritte wie Familienangehörige ebenfalls das Gerät benutzen, müssen Ordner mit personenbezogenen Daten passwortgesichert sein, so dass sie für Dritte nicht zugänglich sind.
  • Die Weitergabe von Daten sollte verschlüsselt erfolgen. Sofern personenbezogene Daten per E-Mail versendet werden, ist eine Transportverschlüsselung (TLS- oder SSL-Verschlüsselung) erforderlich. Wenn Dienstleister Dokumentenmanagementsysteme zum Hochladen von Dateien und zur Kommunikation anbieten, die mit Benutzerkonto und individuellem Passwort gesichert sind, sollten diese genutzt werden. Falls möglich, sollten Daten in anonymisierter oder pseudonymisierter Form weitergebeben werden.
  • Von den Dateien sind regelmäßig Sicherheitskopien zu erstellen. Dabei sind die Löschpflichten zu beachten. Daher sollten die Datenträger regelmäßig überschrieben werden.
  • Akten mit personenbezogenen Daten sind so aufzubewahren, dass Dritte keinen ungehinderten Zugang erhalten. Dies kann durch verschließbare Aktenschränke oder durch Abschließen des Raumes geschehen. Auch ausgedruckte E-Mails und Briefe dürfen nicht offen herumliegen.
  • Bei der Benutzung von Mailverteilern gilt: E-Mailadressen der anderen Empfänger dürfen nicht sichtbar sein (bcc-Einstellungen); nur verschlüsselte W-LANs sollten genutzt werden.
  • Akten sind bei Ablauf der Löschfristen ordnungsgemäß durch den Einsatz von Aktenvernichtern oder durch Dienstleister zu vernichten. Auch Datenträger und Computer sind – nachdem sie aussortiert wurden – ordnungsgemäß zu löschen, beispielsweise durch Einsatz von professioneller Überschreibungssoftware.
  • Etwaiges Reinigungspersonal ist sorgfältig auszuwählen.
  • Achtung: Clouddienste sind regelmäßig Auftragsdatenverarbeiter. Hier müssen Auftragsdatenverarbeitungsverträge abgeschlossen werden. Dies ist bei E-Mailkonten nicht der Fall.

Kein Datenschutzbeauftragter erforderlich

Ein Datenschutzbeauftragter muss nur dann bestellt werden, wenn in einem Unternehmen mindestens zehn Personen mit der automatisierten Datenverarbeitung von personenbezogenen Daten beschäftigt sind (Artikel 37 Abs. 1 DSGVO, § 38 BDSG). Dies ist bei der privaten Vermietung regelmäßig nicht der Fall.