Datenschutz nach der Datenschutz-Grundverordnung (DSGVO)

Die von der EU verabschiedete Datenschutz-Grundverordnung (DS-GVO) gilt nach Artikel 99 Absatz 2 DSGVO seit dem 25. Mai 2018. Ab diesem Zeitpunkt ist jede Form von Datenverarbeitung im Mietverhältnis nach den neuen Vorschriften durchzuführen. Sie besteht aus elf Kapiteln mit 99 Artikeln und soll einen einheitlichen europäischen Rechtsrahmen in einer zunehmend digitalisierten Welt schaffen.

Anders als EU-Richtlinien gilt die DS-GVO unmittelbar in den Mitgliedsstaaten der EU und hat als unmittelbar geltendes europäisches Recht Vorrang vor unserem nationalen Recht. Sie muss nicht erst in nationales Recht umgesetzt werden und schafft somit einen einheitlichen Rechtsrahmen für den Datenschutz in ganz Europa. Wichtig ist dies vor allem für grenzüberschreitend tätige Unternehmen, die sich in der deutschen Wohnungswirtschaft allerdings nur selten finden. Aber auch für Firmen und EU-Bürger als Mieter bringt dies eine Erleichterung mit sich.

Den Mitgliedsstaaten ist es nicht möglich, den von der Verordnung vorgegebenen Datenschutz abzuändern. Neben der DSGVO sind aber auch in Zukunft nationale Datenschutzvorschriften – wie das Bundesdatenschutzgesetz (BDSG) – zu beachten, welche modifiziert weiterhin fortbestehen. Die DSGVO als Recht der Europäischen Union überlässt es nämlich den Mitgliedsstaaten an diversen Stellen durch Öffnungsklauseln, Einzelheiten in bestimmten datenschutzrechtlichen Angelegenheiten weiterhin eigenständig zu regeln. Das bedeutet, dass bei der Einhaltung der datenschutzrechtlichen Vorgaben in Zukunft mehrere Rechtsmaterien zu beachten sind.

Vom BDSG sind nur die Teile 1 und 2 (§§ 1 bis 44) für Wohnungsunternehmen beachtlich, da sich Teil 3 (§§ 45 bis 85) nur mit dem Datenschutz bei Polizei und Justiz befasst.

Die DSGVO behält im Prinzip die wichtigsten inhaltlichen datenschutzrechtliche Grundsätze des bisherigen BDSG wie den der Datensparsamkeit, das Verbot mit Erlaubnisvorbehalt oder die Zweckbindung der erhobenen Daten bei. Sie erweitert aber die Rechte der von der Datenverarbeitung betroffenen Personen und die Pflichten der datenverarbeitenden Unternehmen.

Im Detail gibt es aber auch entscheidende Änderungen und Neuregelungen, die ein Handeln der Vermieter erforderlich machen. So ist der Geltungsbereich der DSGVO weiter, die Transparenz- und Dokumentationsanforderungen sind höher und es gibt weitere ausdrückliche Rechte der von der Datenverarbeitung betroffenen Mieter wie etwa das „Recht auf Vergessenwerden” und umfangreiche Informationsrechte.

Vor dem Hintergrund der erweiterten Haftung und der erheblichen Geldbußen (siehe unten) ist es wichtiger als bisher, Datenschutz als strategische Aufgabe zu betrachten, die Datenschutzmaßnahmen umfassend zu dokumentieren, Informations-, Archivierungs- und Löschkonzepte zu beschließen und Strukturen und Prozesse zu schaffen, um die umfassenden Anforderungen der DSGVO zu erfüllen. Es ist ein Datenschutz-Managementsystem als Teil des Risiko-Managementsystems erforderlich. Dazu gehören auch ein regelmäßiger Kontakt zur Datenschutzbehörde sowie regelmäßige Informationen über den Datenschutz, da die meisten Regelungen der DSGVO noch neu und sehr allgemein gehalten sind und noch der Konkretisierung in der Rechtspraxis bedürfen.

Wir befassen uns im folgenden nur mit den Aspekten der DSGVO, die das Mietverhältnis betreffen. Soweit ein Wohnungsunternehmen oder Verwalter in einer anderen Eigenschaft wie beispielsweise als Arbeitgeber oder Gesellschaft betroffen ist, gelten gesonderte Regeln.

Inhalt:
  1. Erste Schritte
  2. Gegenstand und Ziele der DSGVO
  3. Sachlicher Anwendungsbereich der DSGVO
  4. Räumlicher Anwendungsbereich der DSGVO
  5. Verantwortlicher
  6. Auftragsverarbeiter
  7. Grundsätze der Verarbeitung personenbezogener Daten
  8. Rechtmäßigkeit der Datenverarbeitung
  9. Bußgelder
1. Erste Schritte

Der Gesamtverband der Wohnungwirtschaft (GdW) empfiehlt, als erstes folgende Schritte anzugehen und umzusetzen:

  • Bestellung eines Datenschutzbeauftragten und eines Vertreters sowie bei externen Datenschutzbeauftragten eines internen Ansprechpartners nach Artikel 37 ff DSGVO,
  • Erarbeitung eines Verzeichnisses der Verarbeitungstätigkeiten nach Artikel 30 DSGVO,
  • Erstellung und Bereitstellung von Informationshinweisen zur Datenerhebung,
  • Mitarbeiterschulung,
  • Anpassung der Verträge mit Unternehmen, die in Ihrem Auftrag Daten verarbeiten (Auftragsverarbeiter),
  • Anpassung der Verpflichtung auf Datengeheimnis,
  • Überprüfung und Anpassung der Webseite (Datenschutzerklärung, Impressum),
  • Erstellung von notwendigen Dokumentationen, wie z. B.: IT-Infrastrukturübersicht, Backupkonzept, Notfallplan, Passwortrichtlinie und Umgang mit Passwörtern, Archivie- rungs- bzw. Löschkonzept, Richtlinien und Arbeitsanweisungen etc. und die Vornahme der entsprechenden technischen und organisatorischen Maßnahmen (TOMs).
2. Gegenstand und Ziele der DSGVO

Nach Artikel 1 Absatz 1 enthält die DSGVO Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Sie schützt dadurch nach Artikel 1 Absatz 2 deren Grundrechte und Grundfreiheiten, insbesondere ihr Recht auf Schutz personenbezogener Daten. Außerdem soll sie den freien Verkehr von personenbezogenen Daten im Binnenraum der Europäischen Union schützen.

Personenbezogene Daten sind nach Artikel 4 Nummer 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person”) beziehen. Unternehmen sind daher keine Betroffenen, fallen also nicht unter den Schutz der DSGVO. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Beispiele für personenbezogene Daten sind der Vor- und Nachname, dass Geburtsdatum, das Geschlecht, die Anschrift, Telefon- und Faxnummer, die E-Mail Anschrift und die IP-Adresse, Kontodaten, Kreditkartendaten, etc. Nicht personenbezogenen sind wohnungsbezogene Daten wie die Wohnungsausstattung, die Miethöhe oder die Verbrauchsdaten.

Verarbeitung ist nach Artikel 4 Nummer 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Der DSGVO liegt somit ein sehr weiter Begriff der personenbezogenen Daten und der Verarbeitung zugrunde. Dies führt dazu, dass nahezu alle erhobenen Daten unter die DSGVO fallen. Beispielsweise liegt bereits dann eine Verarbeitung personenbezogener Daten vor, wenn mit einem Mietinteressenten ein Besichtigungstermin vereinbart wird und seine Name, seine Telefonnummer und der Termin im System des Wohnungsunternehmens hinterlegt werden.

Eine Verletzung des Schutzes personenbezogener Daten ist nach Artikel 4 Nummer 12 DSGVO eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

3. Sachlicher Anwendungsbereich der DSGVO

Die DSGVO gilt nach Artikel 2 Absatz 1 für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung (Also analoge, Stichwort: Papierkalender, Adressbuch) personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Sie findet nach Artikel 2 Absatz 2 c) keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Ein Dateisystem ist nach Artikel 4 Nummer 6 DSGVO jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.

4. Räumlicher Anwendungsbereich der DSGVO

Die DSVGO findet nach Artikel 3 Absatz 1 Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

5. Verantwortlicher

Verantwortlicher ist nach Artikel 4 Nummer 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im Bereich der Wohnungswirtschaft sind das in erster Linie die Wohnungsunternehmen und Immobilienverwaltungen.

6. Auftragsverarbeiter

Ein Auftragsverarbeiter ist nach Artikel 4 Nummer 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personen­bezogene Daten im Auftrag des Verantwortlichen verarbeitet. Auf den Auftragsverarbeiter als externen Dritten werden bestimmte Tätigkeiten und somit auch die Verarbeitung von dazu erforderlichen personenbezogenen Daten delegiert. Es geht dabei um Messdienstleister, Lohn- und Geschäftsbuchführung und sonstige IT-Dienstleister. Aber auch im Fall einer Einbeziehung von Auftragsverarbeitern trifft der Verantwortliche weiterhin die wesentlichen Entscheidungen über Zweck und Mittel der Datenverarbeitung.

7. Grundsätze der Verarbeitung personenbezogener Daten

Artikel 5 der DSGVO gibt Grundsätze für die Verarbeitung personenbezogener Daten vor. Der Verantwortliche (siehe Artikel 4 Nummer 7 DSGVO) ist gemäß Artikel 5 Absatz 2 DSGVO für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). Datenschutzkonformes Handeln im Sinne der DSGVO verlangt deshalb mehr als die Einhaltung materieller Anforderungen. Um der Rechenschaftspflicht gerecht zu werden, ist vielmehr eine umfassende Bestandsaufnahme aller Vorgänge mit Bezug zu personenbezogenen Daten erforderlich (Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 Absatz 1 DSGVO) sowie eine Neustrukturierung mit dem Ziel, die materiellen und formellen Anforderungen der DSGVO einzuhalten.

Danach müssen personenbezogene Daten

  • auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  • für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
  • sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisa­torischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicher­begrenzung“);
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
8. Rechtmäßigkeit der Datenverarbeitung

Nach Artikel 6 Absatz 1 DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.

Die Einwilligung zur Datenverarbeitung ist in Artikel 7 DSGVO geregelt. Beruft sich der Vermieter für die Datenverarbeitung auf eine Einwilligung des Mieters, muss er gemäß Artikel 7 Absatz 1 DSGVO nachweisen können, dass der Mieter in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat. Erfolgt die Einwilligung des Mieters durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft (z.B. in einem Interessentenformular oder in einem Mietvertrag), so muss das Ersuchen um Einwilligung nach Artikel 7 Absatz 2 DSGVO in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

Die Einwilligung ist nur wirksam, wenn sie freiwillig erteilt wird. Eine „Einwilligung” ist nach Artikel 4 Nummer 11 der DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise (Also vor allem in Kenntnis des Zwecks der Datenerhebung) und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der der Mieter zu verstehen gibt, dass er mit der Verarbeitung der ihn betreffenden personenbezogenen Daten einverstanden ist. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss nach Artikel 7 Absatz 4 DSGVO dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Eine bestimmte Form (Näheres dazu in unserem Beitrag „Form”) ist für die Einwilligung nicht vorgeschrieben. Zur Dokumentation und Beweissicherung sollte sie jedoch immer schriftlich eingeholt werden. Werden die Daten im Internet erhoben, empfiehlt es sich, die Einwilligung über einen gesonderten Einwilligungsklick zu dokumentieren.

Der Mieter hat nach Artikel 7 Absatz 3 DSGVO das Recht, seine Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Der Mieter muss vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt gesetzt werden. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen. Das ist bei einem Mietvertrag der Fall. Ohne personenbezogene Daten des Mieters kann er nicht abgeschlossen und abgewickelt werden.

c) Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt. Auch dieser Rechtfertigungsgrund liegt für einige personenbezogenen Daten des Mieters vor, da der Vermieter unter anderem verpflichtet ist, eine Vermieterbescheinigung zu erteilen (Mehr dazu in unserem Beitrag „Melderecht”). Ebenso fällt die Weitergabe von Mitarbeiterdaten im Rahmen der Lohn- und Gehaltsabrechnung unter diese Bestimmung.

d) Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Diese Bestimmung wird im Rahmen eines Mietverhältnisses ihrer selten einschlägig sein.

e) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Bestimmung wird im Rahmen eines Mietverhältnisses ihrer selten einschlägig sein.

f) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personen­bezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Bei diesem sehr allgemein formulierte Erlaubnistatbestand besteht noch Unsicherheit über seinen Anwendungsbreich. Nach Erwägungsgrund 47 der DSGVO könnte ein berechtigtes Interesse beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. Dies ist bei einem Mietverhältnis bzw. bei konkreten Mietvertragsgesprächen in der Regel gegeben. Berechtigte Interessen dürften die Datenverarbeitung auch dann erlauben, wenn ein Vermieter die Datenverarbeitung für ein Inkasso- oder Gerichtsverfahren vornimmt, weil der Mieter nicht zahlt.

9. Bußgelder

Die DSGVO sieht in Artikel 83 für Unternehmen Geldbußen von bis zu 4 % des Umsatzes vor. An Verstößen gegen die DSGVO beteiligte natürliche Personen müssen mit Geldbußen von bis zu 20 Mio. EUR rechnen. Damit verschärft sich der Bußgeldrahmen gegenüber dem bisherigen Recht, dass Bußgelder bis maximal 300.000 EUR vorsah, drastisch.

Mit Wirksamkeit der DSGVO existieren zunächst noch keine Erfahrungswerte hinsichtlich der Angemessenheit der Bußgelder. Darüber hinaus wird es eine gewisse Zeit dauern, bis die ersten verhängten Strafen von den Gerichten bestätigt werden. Das bedeutet, dass die Aufsichtsbehörden voraussichtlich zunächst eher geringere Strafen festsetzen werden, um die Verhältnismäßigkeit sicher zu wahren.

Bild: magele-picture / Fotolia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere