Wohnraum-Mietverhältnisse sind datenintensiv. Viele der Mieterdaten, die sich bei Vermietern im Laufe der Jahre ansammeln, dürfen gar nicht oder nicht mehr gespeichert sein beziehungsweise verarbeitet werden. Diesbezügliche Mieter-Beschwerden bei den zuständigen Aufsichtsbehörden für Datenschutz häufen sich. Beim Hamburgischen Beauftragten für Datenschutz und Informationssicherheit gibt es bereits eine eigene Abteilung für Beschwerden und Anfragen rund um Wohnraumvermietungen. Hier ein kleiner Überblick, worauf Vermieter achten sollten.
Es bringt keinen wirklichen Vorteil, trotzdem ist es immer wieder zu beobachten, dass viele Vermieter erheblich mehr Daten als unbedingt notwendig zu Mietinteressenten, Mietern und deren Familienangehörigen erheben und sammeln. Derlei Datenfriedhöfe sind unzulässig. Dieser Grundsatz der Datensparsamkeit oder Datenminimierung ist in Art. 5 Abs. 1 lit. c DSGVO geregelt. Neben der Datensparsamkeit dürfen nur personenbezogene Daten erhoben werden, wenn gem. Art. 5 Abs. 1 lit. b DSGVO ein konkreter Zweck für die Erhebung vorliegt. Das können vorvertragliche oder auch vertragliche Verhandlungen, etwa der Mietvertrag sein, wofür Daten wie beispielsweise Name, Geburtsdatum oder die aktuelle Meldeanschrift notwendig sind. Konkret heißt in dem Zusammenhang, dass die Datenerhebung einen gegenwärtigen Hintergrund hat. Es dürfen also nicht Daten auf Vorrat erhoben werden, weil sie vielleicht irgendwann einmal gebraucht werden könnten.
Rechtsgrundlagen zur Datenerhebung
Auch die Rechtsgrundlagen für die Datenerhebung-, Speicherung und Verarbeitung müssen gegeben sein. Für die Vermietpraxis sind wesentlich –
- Die Einwilligung gem. Art 6 Abs. 1 lit. a DSGVO – Wenn die Person, dessen Daten verarbeitet werden soll, der Datenverarbeitung zugestimmt hat
- Die Vertragserfüllung gem. Art. 6 Abs. 1 lit. b DSGVO – Wenn die Verarbeitung für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist und die Person, dessen Daten verarbeitet werden, Vertragspartner ist oder werden soll
- Eine Rechtspflicht gem. Art. 6 Abs. 1 lit. c DSGVO – Wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des verantwortlichen Vermieters erforderlich ist
- Das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DSGVO – Wenn die Verarbeitung zur Wahrung berechtigter Interessen des verantwortlichen Vermieters oder eines Dritten erforderlich ist, sofern nicht schutzwürdige Interessen der Person, dessen Daten verarbeitet werden, überwiegen
Name und Adressdaten reichen fürs Erste
Für eine Vorauswahl zur Wohnungsbesichtigung reichen der Name und die Kontaktdaten der Mietinteressenten aus. Spätestens bei der Besichtigung müssen die Interessen gem. Art. 13 DSGVO über Zweck, Verarbeitungsgrund und Verwendung ihrer Daten informiert werden. Dass Vermieter dabei ungefragt manchmal selbst hochsensible Daten erhalten, darf nicht ausgenutzt werden. Solche Informationen und eventuelle Angaben zu rassischer oder ethnischer Herkunft, weltanschaulicher Überzeugung sind sofort zu löschen. Letztere gehören sogar zu den besonderen Kategorien gem. Art 9 Abs. 1 und dürfen nur in Ausnahmefällen erhoben werden.
Freiwillige vor für die Mietinteressentenliste
Willigt ein Mietinteressent in die Speicherung seiner Daten ein, beispielsweise weil es eine Interessentenliste gibt, muss nicht gelöscht werden. Die Einwilligung muss aber nach Art. 7 DSGVO freiwillig erfolgen. Die Einwilligung kann jederzeit gem. Art. 7 Abs. 3 DSGVO widerrufen werden, der Mietinteressent muss über die Möglichkeit zum Widerruf informiert werden.
Persönliche Hintergrundinformationen bei der Mieterbewerbung
Zwar gehören Kontoauszüge, Gehaltsbescheinigungen, eine Schufa-Auskunft oder Mieterselbstauskunft nicht zu den zwingend erforderlichen personenbezogenen Daten für einen Mietvertrag, aber der Vermieter hat ein berechtigtes Interesse zu erfahren, ob sein zukünftiger Mieter solvent ist. Daher darf er nach diesen Daten gem. Art 6 Abs. 1 lit. f DSGVO fragen. Allerdings ist auch hier der richtige Zeitpunkt, die Verhältnismäßigkeit, das Datenminimierungsprinzip und die tatsächliche Erforderlichkeit zu beachten. Bankdaten beispielweise werden frühestens bei Abschluss eines Mietvertrages benötigt und das auch nur, wenn ein Lastschrifteinzugsverfahren für die monatlichen Mietzahlungen vereinbart wird.
Notwendige Daten behalten, umfassend Auskunft erteilen
Die zur Vertragserfüllung erforderliche Erhebung von Namen, Meldeanschrift, Geburtsdatum braucht gem. Art. 6 Abs. 1 lit. b DSGVO keine Einwilligung. Alle anderen Daten, die nicht für die Vertragserfüllung benötigt werden und für die es keine gesetzlich vorgeschriebene Aufbewahrungspflicht gibt, sind nach Zweckerreichung zu löschen. Das heißt, dass beispielsweise Daten wie Gehaltsbescheinigungen, Bonitätsauskünfte, die Mieterselbstauskunft oder eine Vormieterbescheinigung, die im Rahmen der Mieterbewerbung eine legitime Rolle gespielt haben, vernichtet werden müssen. Zusammen mit dem Mietvertrag sollten Vermieter ihren Mietern umfassende Informationen gemäß Art. 13 DSGVO zu der Verwendung und Weitergabe ihrer Daten geben.
Datenweitergabe an Dritte
Die Datenweitergabe braucht ebenfalls immer eine Rechtsgrundlage. Beauftragte Handwerker sind Dritte gem. Art.4 Abs. 10 DSGVO. Zur Auftragsausführung benötigen sie Namen und Adresse. Zur zügigen Terminvereinbarung sind Telefondaten nützlich. Naheliegend wäre es hier, ein berechtigtes Interesse als Rechtsgrund für die Weitergabe anzunehmen. Aber Vorsicht, das sehen nicht alle so. Für die Berliner Beauftragte für Datenschutz und Informationssicherheit gibt es kein berechtigtes Interesse, die Telefonnummer eines Mieters ohne dessen Einwilligung weiterzugeben. Schließlich könne eine Terminvereinbarung ja auch auf anderem Weg oder über die Hausverwaltung/den Vermieter vorgenommen werden. Nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht hingegen besteht jedoch auch für die Weitergabe der Telefonnummern der Mieter ein berechtigtes Interesse gem. Art. 6 Abs.1 lit. f DSGVO (FAQ Rubrik Wohnungswirtschaft). Wer auf Nummer sicher gehen möchte, lässt sich eine Einwilligung seiner Mieter zur Weitergabe der Telefondaten an Handwerker geben.
Sinnvolle Mietvertragsergänzung bei externer Hausverwaltung
Steuerberater, Rechtsanwälte, Wirtschaftsprüfer sind ebenfalls Dritte im Sinne der DSGVO. Da sie Berufsgeheimnisträger sind, besteht bei ihrer Inanspruchnahme gem. § 29 BDSG keine Verpflichtung zur Information der betroffenen Mieter. Auch wenn Mieter im Rahmen einer Überprüfung der jährlichen Neben- und Betriebskostenabrechnung Ablesebelege anderer Parteien im Haus sehen wollen, handelt es sich um eine Datenweitergabe an Dritte. Vermieter müssen die Einsicht gewähren. Sie dürfen sich gegenüber den anderen Mietern auf ihr berechtigtes Interesse gem. Art. 6 Abs.1 lit.f DSGVO berufen. Die Einwilligung der übrigen Mieter muss nicht vorliegen, aber sie müssen informiert werden. Ist eine Hausverwaltung eingesetzt, empfiehlt es sich, die Information hierzu und die damit verbundene Weitergabe von Mieterdaten im Mietvertrag oder als Ergänzung zum Mietvertrag, anzugeben. Die Weitergabe von Mieterdaten an andere Mieter, das hauseigene Mietermagazin, für Jubiläen oder Gemeinschaftsveranstaltungen ist hingegen nur nach vorheriger Einwilligung durch die betreffenden Mieter erlaubt.
Datenweitergabe an Auftragsverarbeiter
Bei den turnusmäßigen Tätigkeiten von Ablesediensten handelt es sich um Datenverarbeitungen, deren Rechtsgrundlage die Vertragserfüllung gem. Art.6 Abs. 1 lit.b DSGVO ist. Vermieter haben eine vertraglich geregelte Abrechnungspflicht und um diese zu erfüllen, müssen sie regelmäßig Verbrauchsdaten bei ihren Mietern erheben. Die Firmen, welche mit der Verbrauchserfassung beauftragt werden, sind Auftragsverarbeiter gem. Art. 28 DSGVO. Mit ihnen müssen schriftliche Auftragsdatenverarbeitungsverträge vereinbart sein.
Informationspflichten bei der Datenerhebung
Art. 13 und Art. 14 DSGVO regeln die Informationspflichten beispielsweise darüber, welche Mieterdaten zu welchen Zwecken und Rechtsgründen verarbeitet werden. Unter anderem muss die Datenquelle genannt, ob und wie lange die Daten gespeichert und an wen die Daten gegebenenfalls weitergegeben werden. Der Verantwortliche und –sofern vorhanden-, der Datenschutzbeauftragte sind genauso anzugeben wie der Hinweis auf das Recht zur Auskunft, zum Widerspruch, zur Löschung und zur Beschwerde bei der zuständigen Aufsichtsbehörde.
Auskunfts- und weitere Betroffenenrechte
Will ein Mieter wissen, was alles über ihn gespeichert ist, hat er gem. Art. 15 DSGVO einen Rechtsanspruch auf umfassende Information, die überdies gem. Art. 12 Abs. 3 innerhalb eines Monat zu erteilen ist. Darüber hinaus müssen Vermieter weitere Betroffenenrechte ihrer Mieter wie das Recht auf Berichtigung gem. Art. 16 DSGVO, das Recht auf Löschung gem. Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung gem. Art. 18 DSGVO, das Recht auf Datenübertragbarkeit gem. Art. 20DSGVO, das Widerspruchsrecht gem. Art. 21 DSGVO, das Recht, keiner automatisierten Entscheidung unterworfen zu sein gem. Art. 22 DSGVO
Welche Löschfristen sind zu beachten
Grundsätzlich sind alle personenbezogenen Daten zu löschen, sobald der Zweck, für den sie erhoben wurden, gem. Art 17 Abs.1 lit.a entfällt oder die einmal erteilte Einwilligung gem. Art. 17 Abs.1 lit. b widerrufen wird. Daten, die sich auf Vermieteransprüche beziehen, sind gem. § 195 BGB wenigstens 3 Jahre aufzubewahren, bei gerichtsanhängigen Verfahren mindestens bis zum rechtskräftigen Verfahrensabschluss. Für Betriebs- und Nebenkostenabrechnungen sind die Aufbewahrungsfristen gem. § 147 AO, 10 Jahre, zu beachten.
Verarbeitungsverzeichnis auch für private Vermieter
Gem. Art. 30 Abs. 5 muss auch bei weniger als 250 Mitarbeitern ein Verarbeitungsverzeichnis dann geführt werden, wenn Datenverarbeitungen mehr als nur gelegentlich vorkommen. Hin und wieder mal eine Email, weil der Wasserhahn tropft oder der Gärtner hereingelassen werden muss, geht vielleicht als gelegentlich durch. Aber spätestens bei der Buchhaltung, den monatlichen Mietzahlungen, Zahlungen an die Versorger geht es regelmäßig zu. Von daher empfiehlt es sich auch für private oder Vermieter mit nur 1 oder 2 Wohnungen, ein Verarbeitungsverzeichnis gem. Art. 30 DSGVO zu führen.
Technische und organisatorische Maßnahmen TOM
TOM steht für die Sicherheit der Datenverarbeitung gem. Art. 32 DSGVO. Die datenschutzrechtlich Verantwortlichen und Auftragsverarbeiter müssen „unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung […] geeignete technische und organisatorische Maßnahmen“ umsetzen, um ein angemessenes Schutzniveau zu gewährleisten. Das fängt an bei der Abschließbarkeit der Bürotür, für Dritte uneinsehbar angeordnete Bildschirme, abschließbare Aktenschränke und aufgeräumte Schreibtische, geht über verschlüsselte PC oder Firmenhandys, bis hin zu betrieblichen Arbeitsanweisungen für den datenschutzkonformen Umgang mit personenbezogenen Daten, um nur einige wenige Stichworte zu nennen. Alle diese Maßnahmen haben gem. Art. 30 DSGVO zum Ziel-
- Die Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Die Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der System und Dienste
- Die Gewährleistung von Verfügbarkeit und den Zugang zu den personenbezogenen Daten bei einem technischen oder physischen Zwischenfall
- Ein Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit aller eingesetzten TOM.
Datenschutz ist Chefsache
Die Geschäftsführung eines Unternehmens steht letztendlich immer in der Verantwortung für die Einhaltung der Datenschatz-Vorschriften. Wenn in einem Unternehmen mindestens 20 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, dann muss gemäß Art. 37 DSGVO in Verbindung mit § 38 BDSG ein Datenschutzbeauftragter bestellt werden.
Autor: Daniela Maria Hübsch
Der Beitrag ist auch in dem Fachmagazin PRev Revisionspraxis, Ausgabe 3/2020 www.prev.de erschienen
