Datenschutzgrundverordnung: Die Immobilienwirtschaft

Zunächst muss die gesamte interne Ablauf-Organisation jedes Vermieters auf den Prüfstand gestellt werden. Sind die einzelnen Verarbeitungsabläufe (z.B. Einholung einer Selbstauskunft, jährliches Ablesen der Heizkörper usw.) festgehalten, müssen diese anschließend auf datenschutzrechtliche Konformität überprüft werden. Hierzu ist ein sog. „Verfahrensverzeichnis“ zu erstellen. Dabei können datenschutzrechtliche Lücken aufgedeckt und dementsprechend dauerhaft beseitigt werden. Das Verzeichnis dient aber auch der datenschutzrechtlichen Nachweispflicht. Oft scheint es eine unüberwindbare Herausforderung zu sein, mit richtiger fachlicher Unterstützung lässt sich jedoch die Datenschutzkonformität problemlos und dauerhaft gewährleisten.

Um das am Beispiel der Wohnungswirtschaft zu verdeutlichen: Es stellt sich schon vor Beginn des Mietvertrages die Frage, welche Daten der Vermieter überhaupt von seinem potenziellen Mieter erfragen darf und – noch wichtiger – wie er dann mit den erhobenen Daten zu verfahren hat.

Dass der Vermieter ein berechtigtes Interesse an der Person seines potenziellen Mieters hat, ist selbstverständlich. Demnach soll dieser idealerweise solvent und zuverlässig sein und sich in die vorhandene Wohnstruktur gut eingliedern. Um einen solchen Mieter auswählen zu können, bedarf es der Einholung entsprechender Auskünfte, was in der Praxis durch sog. „freiwillige Selbstauskünfte“ erfolgt. Der Umfang solcher Auskünfte bestimmt sich dabei nach dem Zeitpunkt der Einholung, kann also unterschiedliche Interessen und Ziele verfolgen. Kann ein berechtigtes Interesse an der Datenerhebung oder die Verwendung zu vertraglichen Zwecken bejaht werden, ist eine solche Erhebung und Verarbeitung seitens der Datenschutzgrundverordnung erlaubt. So hat z.B. der Vermieter nach dem Besichtigungstermin und vor der Vertragsunterzeichnung ein berechtigtes Interesse zu erfahren, ob sein Mieter in der Lage ist, die Miete zu entrichten, ob er Haustiere besitzt oder ein Musikinstrument spielt. Hierzu kann und darf sich der Vermieter die Gehaltsabrechnungen zeigen lassen oder gewisse Fragen zu Tieren und Verhalten des Mieters in der Selbstauskunft ausfüllen lassen.

Besteht das Interesse des Vermieters aber zunächst nur an der Besichtigung der Wohnung, ist zu unterscheiden: Ein datenschutzrechtliches Interesse an Daten zum Wohnverhalten (Tiere) besteht dann noch nicht. Der Vermieter braucht lediglich Name und Erreichbarkeiten des Mietinteressenten, denn hierbei geht es lediglich um die Besichtigung einer Wohnung, dafür muss ein grober Steckbrief des Mieters ausreichen. In dem Besichtigungsstadium sind die wirtschaftlichen Verhältnisse und das Wohnverhalten für die Begründung eines Mietverhältnisses nicht relevant.

Will nun der Vermieter trotzdem eine entsprechende Auskunft schon in diesem Stadium haben, muss er sich vorab eine Einwilligung des Mieters einholen, die dem Vermieter erlaubt, diese zusätzlichen Daten schon jetzt zu erhalten. Auch hier bestimmt die Datenschutzgrundverordnung sehr genau, wie eine solche Einwilligung zu gestalten ist. Sind die Voraussetzungen nicht eingehalten, fehlt die datenschutzrechtliche Rechtsgrundlage für die Einholung der Selbstauskunft, sodass der Vermieter sich hohen Bußgeldern und Schadensersatzansprüchen ausgesetzt sehen muss.

Ist der Vermieter mit den erhaltenen Angaben zufrieden, fällt die Entscheidung zugunsten eines Mieters. In der Praxis verschwindet somit die ausgefüllte Selbstauskunft in der Mieterakte und liegt den Verträgen mindestens bis zur Beendigung des Mietverhältnisses bei. Dieses gewohnte und gelebte Verhalten muss sich jedoch mit der Geltung der Datenschutzgrundverordnung drastisch ändern. Entfällt nämlich der Zweck für die Einholung einer Selbstauskunft, müssen die eingeholten Daten sofort gelöscht werden. Wie oben bereits festgestellt, besteht der Zweck einer Selbstauskunft darin, dem Vermieter einen Einblick in die wirtschaftlichen und persönlichen Verhältnisse sowie in die Wohngewohnheiten des Mieters zu gewähren. Anhand dieser Angaben fällt der Vermieter seine Entscheidung mit dem potenziellen Mieter ein Mietverhältnis einzugehen, nach dem Vertragsschluss werden diese Angaben obsolet. Daher besteht auch in der Regel kein berechtigtes Interesse an der weiteren Aufbewahrung.

Ein weiteres Beispiel: Der Ablesedienst liest jährlich die Heizkostenverteiler oder andere Verbrauchserfassungsgeräte ab. Hierzu werden ihm der Name des Mieters übermittelt und bei der Ablesung die Verbrauchswerte des jeweiligen Mietern erfasst. Auch das ist Datenverarbeitung personenbezogener Daten. Hier begründet die Grundverordnung im Rahmen der Betroffenenrechte zusätzliche umfassende Informationspflichten gegenüber dem Mieter. Das hat zur Folge, dass der Mieter mit einem Informationsscheiben bei berechtigter Weitergabe der Daten oder bei Erhebung, hierüber zu informieren ist. Auch hier gibt die Grundverordnung genau vor, welche Angaben das Informationsschreiben enthalten muss um den Betroffenenrechte ausreichend Rechnung zu tragen. Das gilt z.B. wohl auch, wenn die Handytelefonnummer des Mieters dem Handwerker z.B. zur Reparatur des Wasserhahns zur Verfügung gestellt wird, damit der Handwerker selbstständig den Mieter zur Vereinbarung eines Termins anrufen kann.

Sind alle gewünschten Auskünfte rechtmäßig erhoben und ist der Vermieter seiner Informationspflicht gegenüber dem Mieter stets nachgekommen, muss er sich trotzdem schon jetzt Gedanken über die Zeit nach der Vertragsbeendigung machen. Auch hier erwarten ihn strenge Vorgaben der Datenschutzgrundverordnung. Mit der Vertragsbeendigung entfällt auch die an die Vertragserfüllung anknüpfende Befugnis, die Daten zu besitzen. Aufgrund des Grundsatzes der Datenminimierung, Datensparsamkeit und des Erforderlichkeitsgrundsatzes ergibt sich eine Löschungsverpflichtung der Mieterdaten nach der Vertragsbeendigung. Der genaue Zeitpunkt der Löschung bestimmt sich u.a. nach den materiell-rechtlichen Verjährungsfristen, steuerrechtlichen und handelsrechtlichen Aspekten sowie konkreter Rechtsverteidigungsinteressen als Fall berechtigter Interessen, die eine weitere Speicherung rechtfertigen.

Für Makler gelten die obigen Ausführungen ebenfalls, da diese als Verantwortliche i.S.d. Datenschutzgrundverordnung tätig werden. Werden nämlich die Makler mit der Vermittlung einer Mietwohnung beauftragt, holen diese eigenverantwortlich Auskünfte über die Mietinteressenten ein und beraten den Vermieter bei der Mieterauswahl.

Die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz neu gelten ab 25. Mai 2018. Bis zu diesem Stichtag müssen die vorstehenden datenschutzrechtlichen Bestimmungen umgesetzt sein. Im Falle eines datenschutzrechtlichen Verstoßes drohen empfindliche Bußgelder von bis zu 20.000.000 Euro. Sicherlich wird dieser Rahmen bei eher kleineren Vermietern nicht ausgeschöpft werden, das bleibt aber abzuwarten. Die Zeit drängt also.

Gerade anhand eines doch simplen Beispiels, „der Einholung einer Selbstauskunft“, wird deutlich, wie komplex die Vorgaben des neuen Datenschutzes sind. Um handlungsfähig zu bleiben, müssen Vermieter und Makler Prozesse schaffen, entsprechende Vereinbarungen und Informationsmuster anfertigen und durch Schulungen die eigenen Mitarbeiter für den Umgang mit personenbezogenen Daten sensibilisieren. Denn haftbar wird immer der „Verantwortliche“ gemacht. Das ist der Chef, der Geschäftsführer oder der Vereinsvorsitzende.

Unsere Experten für Miet-, IT- und Datenschutzrecht begleiten Sie gerne auf dem Weg zur Erfüllung der datenschutzrechtlichen Anforderungen.