Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Das bisher in Deutschland geltende Bundesdatenschutzgesetz wurde daher überarbeitet und gilt ab diesem Zeitpunkt neben den Regelungen der DSGVO auch für alle privaten Vermieter, Hausverwalter und Makler. Wer sich bisher noch nicht mit dem Datenschutzrecht beschäftigt hat, sollte sich nun mit den Anforderungen vertraut machen, um Konflikte zu vermeiden. Denn wer sich nicht an die Vorschriften hält, riskiert Bußgelder und die Überprüfung der datenschutzrechtlich gebotenen Vorkehrungen durch die zuständige Landesdatenschutzbehörde.
In Panik muss aber keiner verfallen. Zwar sind die Pflichten vielfältig und können von privaten Vermietern nicht immer hundertprozentig erfüllt werden. Aber wenn Vermieter den Aufsichtsbehörden zeigen, dass sie sich mit der Materie auseinandergesetzt haben, können einzelne Missstände und Lücken auch nach und nach geschlossen werden.
Wer muss die datenschutzrechtlichen Vorschriften beachten?
Natürliche Personen sind von dem Anwendungsbereich der DSGVO ausgenommen, wenn sie personenbezogene Daten ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten verarbeiten (Art. 2 Abs. 2 DSGVO). Alle geschäftlichen Prozesse eines privaten Vermieters unterfallen aber dem Anwendungsbereich, und zwar vollkommen unabhängig, ob er wenige oder viele Wohnungen vermietet.
Grundsatz der Datenminimierung und Zweckbindung
Grundsätzlich gilt: Es ist unzulässig so viele Daten wie möglich über Mieter und deren Familienangehörige zu sammeln (Grundsatz der Datensparsamkeit/Datenminimierung Art. 5 Abs. 1 lit. c DSGVO). Vielmehr dürfen nur die im Zusammenhang mit dem konkreten Zweck – zum Beispiel der Begründung eines Mietverhältnisses – erforderlichen Daten erhoben werden (Grundsatz der Zweckbindung Art. 5 Abs. 1 lit. b). Vor jeder Datenerhebung ist daher ein konkreter Zweck zu ermitteln. Danach bestimmt sich der Umfang der Datenverarbeitung. Auch der zeitliche Zusammenhang ist maßgeblich. Es geht also nicht darum, welche Daten der Vermieter möglicherweise irgendwann einmal benötigt. Vielmehr muss er sich fragen, wozu er die Daten zum jetzigen Zeitpunkt konkret benötigt. Wenn der Zweck erreicht wurde und es keinen Grund für die weitere Datenaufbewahrung gibt (etwa wegen einzuhaltender Aufbewahrungsfristen nach der AO), müssen die Daten wieder gelöscht bzw. vernichtet werden.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Dazu gehören unter anderem Namen und Adressdaten, Geburtsdaten, Bankdaten, Verbrauchsdaten. Werden personenbezogene Daten automatisiert oder aber auch nicht automatisiert verarbeitet und in einem Dateiensystem gespeichert, müssen die Regelungen des Datenschutzrechts beachtet werden. Dabei liegt eine automatisierte Verarbeitung schon vor, wenn beispielsweise ein Kopierer oder ein Scanner benutzt wird. Auch handschriftliche Aufzeichnungen werden als nicht automatisierte Verarbeitung erfasst. Der Begriff der Datenverarbeitung ist dabei grundsätzlich weit auszulegen. Die Verarbeitung erfolgt durch Erheben, Erfassen, Ordnen in Ablageordnern, Speichern, Verändern, Abfragen, Verwenden, Offenlegen durch Übermitteln, Abgleichen, Verknüpfen sowie Löschen bzw. Vernichten personenbezogener Daten.
Welche Daten dürfen nicht erhoben werden?
Daten zu Sexualleben und sexueller Orientierung, rassischer oder ethnischer Herkunft, religiöser Weltanschauung oder politischer Einstellung sind sogenannte Daten der besonderen Kategorie (Art. 9 DSGVO). Solche Daten dürfen nur in sehr engen Ausnahmefällen erhoben werden. Im Mietverhältnis ist eine solche Datenerhebung grundsätzlich unzulässig. Vermietern können solche Daten auch aufgedrängt werden, beispielsweise indem der Mieter selbst solche Daten ungefragt übergibt oder sich Mitmieter schriftlich äußern. Solche Daten sind dann zu löschen bzw. zu vernichten.
Keine Datenverarbeitung ohne Rechtsgrundlage
Die Datenerhebung, Ablage und Weitergabe ist nur zulässig, wenn eine Rechtsgrundlage die Verarbeitung erlaubt. Insbesondere folgende Rechtsgrundlagen (Art. 6 DSGVO) können für die Verarbeitung personenbezogener Daten herangezogen werden:
- VERTRAGSERFÜLLUNG: Wenn die Verarbeitung für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist und die Person, dessen Daten verarbeitet werden, Vertragspartner ist oder werden soll.
- BERECHTIGTE INTERESSEN: Wenn die Verarbeitung zur Wahrung berechtigter Interessen des verantwortlichen Vermieters oder eines Dritten erforderlich ist, sofern nicht schutzwürdige Interessen der Person, dessen Daten verarbeitet werden, überwiegen.
- RECHTSPFLICHT: Wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des verantwortlichen Vermieters erforderlich ist.
- EINWILLIGUNG: Wenn die Person, deren Daten verarbeitet werden sollen, der Datenverarbeitung zugestimmt hat.
Vorsicht mit Einwilligung als Rechtsgrundlage
Die Einwilligung als Rechtsgrundlage sollte allerdings sparsam verwendet werden, denn sie ist an verschiedene Voraussetzungen geknüpft. So muss sie freiwillig, also ohne Druck oder empfundenen Zwang, erteilt werden. Dies kann beispielsweise bei der Datenerhebung von Mietinteressenten in einem angespannten Wohnungsmarkt problematisch sein. Darüber hinaus kann die Einwilligung auch jederzeit widerrufen werden. Der Vermieter ist aber verantwortlich, im Streitfall auch die Rechtsgrundlage, auf der er die Daten erhoben und gespeichert hat, nachzuweisen.
Welche Daten dürfen vor der Besichtigung einer Wohnung erhoben werden?
Wenn ein Vermieter eine Wohnung inseriert und zunächst eine allgemeine Wohnungsbesichtigung durchführen will, ohne zuvor eine Auswahl unter den Mietinteressenten zu treffen, so benötigt der Vermieter nur Namen und Telefonnummer der Interessenten. Weitergehende Daten sind für die Durchführung der Besichtigung nicht notwendig. Anders sieht es aus, wenn der Vermieter nur zuvor ausgewählten Interessenten einen Besichtigungstermin anbietet, etwa weil die Böden der Wohnung besonders empfindlich sind oder die Wohnung noch vermietet ist und jeder einzelne Termin mit dem aktuellen Mieter abgestimmt werden muss. In diesem Fall geht es um die Auswahl des richtigen Mieters, bevor ihm die Wohnung gezeigt wird.
Auf der Rechtsgrundlage des berechtigten Interesses kann der Vermieter dann weitere Daten, wie zum Beispiel die Mieterselbstauskunft, erheben. Bei der Rechtsgrundlage „berechtigtes Interesse“ gilt immer der Maßstab der Verhältnismäßigkeit.
Interessen von Vermieter und Mietinteressenten müssen abgewogen werden. So sind Kontodaten für die Auswahl nicht erforderlich. Diese können mit Abschluss des Mietvertrages erhoben werden.
Welche Daten dürfen für die Wahl des richtigen Mieters erhoben werden?
Nach der Wohnungsbesichtigung hat der Vermieter ein Interesse daran, die Zuverlässigkeit und Zahlungsfähigkeit der verbliebenen Interessenten zu prüfen, bevor er sich für einen Mieter entscheidet. Hierzu dient die Mieterselbstauskunft. Als Rechtsgrundlage kommen zumindest das berechtigte Interesse oder auch die Vertragsanbahnung in Betracht. Wichtig ist, dass nur für den Vertragsabschluss relevante Daten erfasst werden. Nach dem Grundsatz der Datensparsamkeit dürfen keine Daten erfasst werden, die eventuell irgendwann einmal von Interesse sein könnten. Das Verwandtschaftsverhältnis des potenziellen Mieters zu einer bestimmten Person kann zwar eine relevante Information sein, wenn dieser nach einem 20 Jahre andauernden Mietverhältnis stirbt und ein Abkömmling in den Vertrag eintreten will. Diese Personendaten sind aber für den Zweck der Begründung des Mietverhältnisses nicht erheblich.
Abschluss des Mietvertrages
Bei Abschluss des Mietvertrages werden erneut Daten, beispielsweise Kontodaten, erhoben. Die Rechtsgrundlage dafür ist die Vertragserfüllung.
Weitergabe von Daten an Dritte und Auftragsverarbeitung
Auch die Weitergabe von Daten an Dritte, wie zum Beispiel Handwerker oder andere Mieter, ist eine Datenverarbeitung und darf, wenn keine Einwilligung der Person vorliegt, deren Daten verarbeitet werden sollen, nur erfolgen, wenn eine Rechtsgrundlage dies gestattet.
Ein Vermieter kann im Rahmen eines sogenannten Auftragsverarbeitungsvertrags auch Daten durch einen Dienstleister verarbeiten lassen. Der Auftrags Verarbeiter erhebt, speichert und bearbeitet Daten im Auftrag und nach Weisung des für den Datenschutz verantwortlichen Vermieters. Eine typische Auftragsverarbeitung liegt beispielsweise bei der Beauftragung eines Unternehmens zur jährlichen Ablesung der Verbrauchsdaten und Erstellung der Heizkostenabrechnung vor.
Der Vermieter bleibt Verantwortlicher für den Datenschutz und muss mit dem Auftrags Verarbeiter zwingend einen schriftlichen oder elektronischen Vertrag mit dem Inhalt des Art. 28 DSGVO abschließen. Oftmals bieten die Dienstleister selbst die entsprechenden Verträge an.
Beim Ablesen der Verbrauchsdaten für Heizung und Warmwasser handelt es sich um eine Datenverarbeitung. Für ihre Verarbeitung braucht es eine Rechtsgrundlage. In Betracht kommt Vertragserfüllung, weil die Datenerhebung zur Erfüllung der mietvertraglichen Abrechnungspflicht des Vermieters erforderlich ist. Da die Daten nicht von der Person, deren Daten verarbeitet werden sollen, selbst mitgeteilt werden, muss sie und mögliche Mitbewohner über die Datenerhebung informiert werden. Dies kann entweder durch den Mietvertrag geschehen oder im Vorfeld der Ablesung.
Einsichtsrecht eines Mieters in die Verbrauchsdaten der Mitmieter
Verlangt ein Mieter Einsicht in die Abrechnungsunterlagen zur Betriebskostenabrechnung, muss ihm der Vermieter auf Verlangen auch die Ablesebelege zu den anderen Wohnungen im Haus vorlegen. Es handelt sich hierbei um eine Datenverarbeitung in Form der Weitergabe der Daten an Dritte. Eine Einwilligung der übrigen Mieter ist nicht erforderlich. Der Vermieter darf dem Mieter die Belege zur Verfügung stellen, denn er ist dazu mietrechtlich verpflichtet (zuletzt BGH, Urteil vom 7. Februar 2018, VIII ZR 189/17). Gegenüber übrigen Mietern kann sich der Vermieter auf die Rechtsgrundlage des berechtigten Interesses berufen, da kein Grund zu der Annahme besteht, dass die übrigen Mietparteien ein schutzwürdiges Interesse am Ausschluss der Übermittlung haben. Die übrigen Mieter und alle Mitbewohner müssen von der Datenweitergabe an den auskunftsberechtigten Mieter informiert werden.
Weitergabe der Daten an Handwerker
Um seinen Instandhaltungspflichten nachzukommen, darf der Vermieter einen Handwerker beauftragen und ihm – sofern erforderlich – Namen und Adresse seiner Mieter benennen. Als Rechtsgrundlage kommt die rechtliche Verpflichtung, bei Modernisierungen jedenfalls auch berechtigtes Interesse in Betracht. Die Mieter sind darüber zu informieren. Es ist allerdings nicht erforderlich, auch die Telefonnummer der Mieter zur Vereinbarung eines Termins zu übermitteln. Diesen kann der Vermieter selbst abstimmen. Die direkte Terminabstimmung mag zwar praktisch sein, ist aber für die Instandsetzung der Wohnung nicht erforderlich. Wenn also die Telefonnummer an den Handwerker übermittelt werden soll, benötigt der Vermieter das ausdrückliche Einverständnis des betroffenen Mieters.
Mietverwaltung
Beauftragt der Vermieter eine Verwaltung mit der kompletten Mietverwaltung, ist dies kein Fall der Auftragsverarbeitung.
Die Verwaltung wird regelmäßig bevollmächtigt, selbstständig alle Entscheidungen bezüglich des Mietverhältnisses zu treffen.
Die Verwaltung ist folglich „Verantwortlicher“ im Sinne der DSGVO, wenn sie Daten der Mietinteressenten und Mieter erhebt, speichert, bearbeitet und an Dritte weitergibt. Auch der Vermieter muss die Anforderungen der DSGVO erfüllen, sofern er Daten der Mieter von der Hausverwaltung erhält, speichert und ablegt. Gibt der Vermieter Daten der Mieter an seinen Steuerberater auf Grundlage des berechtigten Interesses weiter, muss der Mieter grundsätzlich darüber informiert werden.
Informationspflichten und Auskunftsrechte
Jeder Betroffene hat das Recht zu erfahren, welche Daten von ihm zu welchem Zweck gespeichert wurden (Art. 15 DSGVO).
Sofern die Person, deren Daten verarbeitet werden, die Daten nicht selbst übermittelt oder auch von der Verarbeitung beispielsweise durch die Weitergabe an Dritte nichts weiß, muss sie über die Verarbeitung informiert werden. Dabei muss der Vermieter dem Betroffenen zum Zeitpunkt der Datenverarbeitung Folgendes mitteilen:
■ Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten
■ Zweck der Datenverarbeitung und Rechtsgrundlage sowie Dauer der Speicherung
■ gegebenenfalls Empfänger der personenbezogenen Daten
■ Hinweis auf Auskunftsrecht, Beschwerderecht bei der zuständigen Aufsichtsbehörde, Widerspruchsrecht, Recht auf Löschung usw.
■ zusätzlich auch die Kategorien personenbezogener Daten, die verarbeitet werden, wenn die Datenerhebung nicht bei der betroffenen Person erfolgt
Löschfristen
Gemäß § 17 DSGVO sind alle personenbezogenen Daten zu löschen, wenn diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Der Zeitpunkt des Wegfalls hängt also vom jeweiligen Zweck der Datenbearbeitung ab:
■ Daten zu Betriebskosten sind mindestens bis zum Ablauf der Mieter-Einwendungsfrist aufzubewahren (gemäß § 556 Abs. 3 S. 4 BGB zwölf Monate nach Zustellung der Abrechnung)
■ Daten, die Vermieteransprüche betreffen, sind mindestens bis zum Ablauf der regelmäßigen Verjährungsfrist gem. § 195 BGB (drei Jahre) aufzubewahren.
■ Im Falle eines Rechtsstreits sind die Daten nicht vor rechtskräftigem Abschluss des Rechtsstreits zu löschen.
■ Mietverträge und Betriebskostenabrechnungsunterlagen sind gemäß § 147 AO zehn Jahre aufzubewahren
Was müssen Vermieter jetzt tun?
Praxistipps und Umsetzung der DSGVO
Zunächst sollte die Verarbeitungstätigkeit möglichst kleinteilig erfasst werden. Bei jedem Prozess sind Zweck und Rechtsgrundlage der Datenverarbeitung zu ermitteln. Dabei sollte auch geprüft werden, ob eine wirksame Einwilligung vorliegt oder ob diese noch erforderlich ist. Die so gewonnenen Erkenntnisse dienen dazu, das Verarbeitungsverzeichnis nebst Anlagen zu erstellen.
Verzeichnis der Datenverarbeitungstätigkeit erstellen
Vermieter müssen als Verantwortliche ein sogenanntes Verzeichnis der Datenverarbeitungstätigkeiten führen (Art. 30 DSGVO). Dieses kann jederzeit bearbeitet und ergänzt werden. Auch hier gibt es kein verbindliches Muster. Erst die Praxis wird in den kommenden Jahren zeigen, wie die Anforderungen konkret auszusehen haben. Ein Beispiel kann der Anlage entnommen werden. Es erhebt keinen Anspruch auf Vollständigkeit. Vielmehr muss es individuell angepasst und ggf. ergänzt werden.
Technische und organisatorische Maßnahmen (TOM) ergreifen
Die Datenverarbeitungsgeräte (wie PC, Tablets, Smartphones etc.) müssen überprüft werden, um Daten-schutz zu gewährleisten. Denn Art. 32 DSGVO, § 64 BDSG-neu verpflichtet jeden, geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Integrität und Vertraulichkeit der Daten zu gewährleisten. Es gibt hier keinen standardisierten Katalog. Die Maßnahmen müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignet und angemessen sein, um das Schutzniveau zu gewährleisten. Das bedeutet, dass bei einer privaten Vermietung weniger Wohnungen ohne Einsatz von eigenen Servern, Personal etc. andere technische Maßnahmen zu erwarten sind als von einer großen Hausverwaltung, die dutzende Datensätze, wechselndes Personal und Dienstleister beschäftigt.
ZUGANGSKONTROLLE: Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte
DATENTRÄGERKONTROLLE: Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern
SPEICHERKONTROLLE: Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten
BENUTZERKONTROLLE: Verhinderung der Nutzung automatisierter Verarbeitungssysteme mithilfe von Einrichtungen zur Datenübertragung durch Unbefugte
ZUGRIFFSKONTROLLE: Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben
ÜBERTRAGUNGSKONTROLLE: Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mithilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können
EINGABEKONTROLLE: Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogene Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind
TRANSPORTKONTROLLE: Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden
WIEDERHERSTELLBARKEIT: Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können
ZUVERLÄSSIGKEIT: Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden
DATENINTEGRITÄT: Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können
AUFTRAGSKONTROLLE: Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können
VERFÜGBARKEITSKONTROLLE: Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind
TRENNBARKEIT: Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können
Folgende technische Schutzmaßnahmen können von privaten Vermietern, die selbst wenige Wohnungen vermieten und über kein Personal und Dienstleister verfügen, im Allgemeinen erwartet werden:
Die Geräte müssen über einen aktuellen Anti-Viren-Schutz und eine aktuelle Firewall verfügen.
Die Geräte müssen passwortgesichert sein. Das Passwort sollte Zahlen sowie eine Kombination aus Groß- und Kleinbuchstaben enthalten. Es sollte auch nicht zu kurz sein.
Sofern Dritte wie Familienangehörige ebenfalls das Gerät benutzen, müssen Ordner mit personenbezogenen Daten passwortgesichert sein, so dass sie für Dritte nicht zugänglich sind.
Die Weitergabe von Daten sollte verschlüsselt erfolgen. Verschlüsselungssoftware ist zu installieren und zu benutzen. Sofern Dienstleister Dokumentenmanagementsysteme zum Hochladen von Dateien und zur Kommunikation anbieten, die mit Benutzerkonto und individuellem Passwort gesichert sind, sollten diese genutzt werden. Sofern möglich, sollten Daten in anonymisierter oder pseudonymisierter Form weitergebeben werden.
Von den Dateien sind regelmäßig Sicherheitskopien zu erstellen. Dabei sind die Löschpflichten zu beach-ten. Daher sollten die Datenträger regelmäßig überschrieben werden.
Akten mit personenbezogenen Daten sind so aufzubewahren, dass Dritte keinen ungehinderten Zugang erhalten. Dies kann durch verschließbare Aktenschränke oder durch Abschließen des Raumes geschehen. Auch ausgedruckte E-Mails und Briefe dürfen nicht offen herumliegen.
Bei der Benutzung von Mailverteilern gilt: E-Mailadressen der anderen Empfänger dürfen nicht sichtbar sein (bcc-Einstellungen); nur verschlüsselte W-LANs sollten genutzt werden.
Akten sind bei Ablauf der Löschfristen ordnungsgemäß durch den Einsatz von Aktenvernichtern oder durch Dienstleister zu vernichten. Auch Datenträger und Computer sind, nachdem sie aussortiert wurden, ordnungsgemäß zu löschen, beispielsweise durch Einsatz von professioneller Überschreibungssoftware.
Etwaiges Reinigungspersonal ist sorgfältig auszuwählen.
Achtung: Cloud-Dienste sind regelmäßig Auftragsdatenverarbeitung. Dazu gehören nicht E-Mailkonten.
Kein Datenschutzbeauftragter erforderlich
Ein Datenschutzbeauftragter muss nur dann bestellt werden, wenn in einem Unternehmen mindestens zehn Personen beschäftigt sind (Art. 37 Abs. 1 DSGVO, § 38 BDSG-neu). Dies ist bei der privaten Vermietung regelmäßig nicht der Fall.