Seit der unmittelbaren Geltung der EU-Datenschutzverordnung (DS-GVO) zur Harmonisierung des Datenschutzes für die Mitgliedstaaten der Europäischen Union seit dem 25.05.2018 überschlagen sich die über die Medien verbreiteten Probleme der Unternehmen in der datenschutzkonformen Umsetzung der EU-Verordnung.

Dabei gehen viele Vermieter davon aus, dass die DS-GVO für sie keine Geltung entfaltet. Demgegenüber ist es üblich, dass bei einer Neu- und/oder Nachvermietung die Vermieter von potentiellen Mietern geradezu selbstverständlich ein ganzes Bündel von Informationen abfordern. So fordern Vermieter eine aktuelle Schufa-Auskunft, einen Einkommensnachweis über die letzten zwölf Monate oder zwei Jahre, den Nachweis einer Privathaftpflichtversicherung, Lebensläufe, Bescheinigung des letzten Vermieters über die pünktliche Mietzinszahlung, Bescheinigung des Arbeitgebers, dass keine Lohnpfändungen bestanden/bestehen, die Mitteilung von Name und Anschrift der Eltern und/oder einer Elternbürgschaft. Und selbst wenn diese Informationen nicht ausdrücklich gefordert werden, stellen sie unter Umständen bei Unvollständigkeit ein Ausschlusskriterium dar.

Damit erhalten Mieter bereits vor der Vermietung, damit auch von potentiellen am Ende nicht zum Zuge gelangter Mieter, ein Bündel an sehr persönlichen, nicht allgemein zugänglichen, Informationen.

Wie gehen Vermieter damit um? Sind Vermieter auch zum Schutz dieser persönlichen Daten verpflichtet? Das Ergebnis vorwegnehmend – ja – möchte der Beitrag die Anforderungen an die Vermieter in der Umsetzung der DS-GVO aufzeigen.

Rechtlicher Hintergrund

Mit der EU-Datenschutzverordnung (DS-GVO) wird der Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten (=betroffene Person) in Unternehmen für die Mitgliedstaaten harmonisiert. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; neben Name und Adresse zählt dazu auch „kommt aus Celle“ oder „fährt eine alten Ford Fiesta“.

Ab dem 25. Mai 2018 muss die bereits in 2016 in Kraft getretene EU-Datenschutzverordnung (DSGVO) von allen Unternehmen umgesetzt sein. Ab diesem Zeitpunkt gelten im Vergleich zum alten BDSG erheblich verschärfte Regeln mit weitreichenden Änderungen für Unternehmen.

Bislang wurde das Thema Datenschutz in Unternehmen eher stiefmütterlich behandelt. Dies ungeachtet dessen, dass sich bereits unter dem „alten“ Bundesdatenschutzgesetz (BDSG) Pflichten für die Verarbeitung personenbezogener Daten im Unternehmen ergaben. Sei es die Erstellung eines Verfahrensverzeichnisses, die Vereinbarung über eine Auftragsdatenverarbeitung, die getroffenen technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit (TOM‘s) oder die Bearbeitung von geltend gemachten Auskunftsansprüchen. Dies war nicht zuletzt dem Umstand der bislang überschaubaren Risiken und finanziellen Konsequenzen in Gestalt eines Bußgeldbescheides geschuldet.

Der Vermieter als „Unternehmen“

Viele Unternehmen sind sich allerdings der Tatsache nicht bewusst, dass auch sie von der neuen Verordnung betroffen ist. Sobald ein Unternehmen, sei es der börsennotierte Baukonzern, der Handwerksbetrieb oder das inhabergeführte Architektur- und/oder Ingenieurbüro, mit/ohne EDV personenbezogene Daten von Mitarbeitern und/oder Kunden und/oder Lieferanten (nicht) elektronisch verarbeiten, gilt die DS-GVO.

Nach Art. 4 Nr. 18 DS-GVO sind Unternehmen grundsätzlich natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausüben.

Dagegen gilt die DS-GVO gem. Art. 2 Abs. 2 Lit c DS-GVO nicht, wenn natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten personenbezogene Daten verarbeiten.

Bei dem sehr weiten Begriffsverständnis des Unternehmens mit wirtschaftlicher Tätigkeit und der engen Auslegung „ausschließlich persönlich oder familiär“ sollte dem Vermieter, der mit der Vermietung regelmäßig wirtschaftliche Zwecke verfolgt, klar sein, dass er „als Unternehmen im Sinne des DS-GVO“ den Vorschriften der DS-GVO unterliegt. Dies gilt auch dann, wenn in dem selbstbewohnten Mehrfamilienhaus „nur“ zwei Wohnungen vermietet werden. Denn ungeachtet der seitens des Vermieters vermieteten Wohneinheiten haben alle, auch die potentiellen, Mieter einen Anspruch auf Vertraulichkeit der erhobenen personenbezogenen Daten und – ganz wesentlich – deren Schutz gegen den unberechtigten Zugriff Dritter. Dies gilt auch für den einzigen Mieter.

Daher sollten auch den Vermietern die Vorgaben und Fallstricke der Verordnung bekannt sein.

Die drohenden Konsequenzen bei Missachtung der DS-GVO

Die Umsetzung der DS-GVO ist deshalb so wichtig, da, wer gegen die EU DS-GVO verstößt, mit einem Bußgeld von bis zu 20 Millionen Euro bzw. 4 % des weltweiten jährlichen Umsatzes rechnen muss. Und, so Art. 83 DS-GVO, „je nachdem, welcher der Beträge höher ist“. Für den „kleinen Vermieter“ bedeutet dies, dass das im Einzelfall zu erhebende Bußgeld verhältnismäßig, aber auch abschreckend sein muss.

Und, damit nicht genug, der Verantwortliche muss einen Verstoß binnen 72 Stunden der zuständigen Aufsichtsbehörde anzeigen.

Rechtliche Vorgaben

Mit Scharfschaltung der DS-GVO unterliegt jedes Unternehmen gem. Art. 5 Abs. 2 DS-GVO der sog. Rechenschaftspflicht. Der Verantwortliche (=also auch der Vermieter) muss die Einhaltung der gesetzlichen Pflichten bei der Verarbeitung personenbezogener Daten, z.B. woher stammen die Daten, was ist der Zweck der Verarbeitung der personenbezogenen Daten, ist dieser Zweck rechtlich zulässig, ist der Betroffene hierüber vor Erhebung der personenbezogenen Daten aufgeklärt worden, wann werden die Daten gelöscht und werden technische und organisatorische Maßnahmen (=TOM’s) für einen angemessenen Schutz der personenbezogenen Daten vor unbefugtem Zugriff, unbeabsichtigtem Verlust oder Zerstörung, getroffen (Art 24 DS-GVO), nachweisen können.

Grundsätzlich kommt der Verantwortliche dieser Rechenschaftspflicht entsprechend Art. 30 DS-GVO mit der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten nach.

Dabei sieht die DS-GVO in Art. 32 DS-GVO eine Angemessenheitsprüfung vor. Dies um ein „Ausufern der Anforderungen“ in der Umsetzung der DS-GVO zu verhindern. Es wird damit dem Umstand Rechnung getragen, dass Vermieter zur Einhaltung der datenschutzrechtlichen Vorgaben grundsätzlich verpflichtet sind. Abhängig davon, ob nur eine Wohneinheit oder mehrere hundert Wohneinheiten vermietet werden, hat der Vermieter als verantwortliche Stelle ein dem Risiko angemessenen Schutz zu gewährleisten.

Vermieter mit wenigen Wohneinheiten

Damit Vermieter mit wenigen Wohneinheiten möglichst wenig Konfliktpotential mit der DS-GVO ansammeln, gilt es wesentliche Vorgaben der DS-GVO zu beherzigen.

Bei Neu- und/oder Nachvermietung werden die potentiellen Mieter vorab gem. Art. 13 DS-GVO informiert. Neben den kompletten Daten des Vermieters wird neben anderem die Vermietung und deren Rechtsgrundlage gem. Art 6 Abs. 1 Lit. c DS-GVO als Zweck zur Erhebung der Daten benannt ebenso wie die Löschfristen (Beendigung Mietverhältnis/steuerliche Aufbewahrungsfristen) der Daten und/oder an wen die Daten, Fachfirma für die Erstellung der Nebenkostenabrechnung und/oder Ablesung von Wasseruhr und/oder Heizungszähler, weitergegeben werden ebenso wie die Rechte des Mieters, mitgeteilt.

Mit Verweis auf den Grundsatz der Datenminimierung (Art. 5 Abs. 1 Lit. c DS-GVO) sind Daten, die nicht mehr notwendig benötigt werden, an (potentiellen) Mieter zurückzugegeben/zu löschen/zu vernichtet.

So werden bspw. personenbezogener Daten der „nicht zum Zuge gekommenen Wohnungsinteressenten“ unmittelbar an diese zurückgegeben und/oder vernichtet.

Bei personenbezogenen Daten von Mietern müssen z.B. die Daten gelöscht werden, die mit Abschluss des Mietvertrages nicht mehr notwendig sind. So z.B. die Schufa-Auskunft und/oder etwaige Einkommensnachweise, da diese keine Beständigkeit für das nun laufende Mietverhältnis gewähren.

Aufbewahrung von Mietvertragsunterlagen und weiteren personenbezogenen Mieterdaten

Die Aufbewahrung von Unterlagen in Papierform ebenso wie in digitalisierter Form ist so zu gestalten, dass im Rahmen der Angemessenheit ein unbefugter Zugriff Dritter ausgeschlossen ist. Dies sind die sog. technischen und organisatorischen Maßnahmen (=TOM’s).

Für Daten in Papierform sollte daher zumindest ein mit einem Schloss verschlossener Schrank gewährleistet sein. Ein mit „Mieter Musterstrasse 3“ beschrifteter Aktendeckel in einem offenen Büro-/Bücherregal neben dem heimischen Arbeitsplatz kann einen Zugriff unberechtigter Dritter nicht verhindern.

Für digitalisierte Daten gilt ebenfalls, dass sie gegen den unberechtigten Zugriff Dritter geschützt sein müssen. Für Daten, die auf dem eigenen Rechner gespeichert sind, sind die Daten neben einer funktionierenden Datensicherung anhand von Passwörtern gegen den unberechtigten Zugriff von Dritten zu schützen. Zumindest sind die Datei-Ordner, unter denen die Mietverhältnisse abgespeichert sind, mit einem tauglichen Passwortschutz zu versehen.

Cloud-Lösungen sind problematisch, wenngleich möglich, da hier die Datenspeicherung außerhalb des persönlichen Zugriffs erfolgt.

Datenverarbeitung durch Dritte - Auftragsverarbeitungsvereinbarung

Regelmäßig beauftragt der Vermieter Dritte mit der Wahrnehmung von Dienst- Handwerksleistungen und übermittelt ihm hierzu die Daten der Mieter. So für die Heizungsablesung, das Ablesen der Wasseruhr, die Erstellung von Nebenkostenabrechnungen und/oder dem Austausch eines Wasserhahns.

Damit der Vermieter seine vertraglichen Pflichten aus dem Mietvertrag erfüllen kann, ist die Weitergabe personenbezogener Daten des Mieters, z.B. Name und Mobilfunknummer, zulässig.

Da der Vermieter aber weiter verantwortlich für die Daten seiner Mieter ist, schließt er eine Auftragsverarbeitungsvereinbarung mit dem Dienstleister/Handwerker ab, worin sich diese gegenüber dem Vermieter verpflichten, ihrerseits mit den Mieterdaten DS-GVO-konform zu verfahren.

Dokumentation

Unabhängig von der Frage, ob der Vermieter für seine Rechenschaftsverpflichtung entsprechend Art. 30 DS-GVO zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet ist, so der Autor diese Beitrages, sollte jeder Vermieter zumindest schriftlich den Umgang mit „Mieterdaten“ dokumentieren.

In dieser Dokumentation führt der Vermieter seine Maßnahmen im Umgang mit Mieterdaten auf. So die Datenschutzinformation, die Rückgabe/Löschung von nicht mehr benötigten Daten, die Dienstleister, an die Daten weitergeleitet werden und entsprechende Auftragsverarbeitungsvereinbarung und die getroffenen technischen und organisatorischen Maßnahmen zur Schutz der Mieterdaten vor dem unbefugten Zugriff Dritter.

Mit dieser Dokumentation vergewissert sich der Vermieter, dass er dem Schutz der von ihm verarbeiteten personenbezogenen Daten seiner Mieter die notwendige Aufmerksamkeit widmet. Daneben ist der Vermieter so auch für eine Nachfrage durch die Landesdatenschutzbeauftragte gut gewappnet.

Die Ausführungen stellen erste Informationen dar, die zum Zeitpunkt der Erstveröffentlichung aktuell waren. Die Rechtslage kann sich seitdem geändert haben. Zudem können die Ausführungen eine individuelle Beratung zu einem konkreten Sachverhalt nicht ersetzen. Bitte nehmen Sie dazu Kontakt mit uns auf.

Anwälte finden