DSGVO–ABC

Neben den systematischen Fragen, die wir in den vorangegangenen Beiträgen beschrieben haben, wollen wir hier in unserem DsGVO-ABC in lockerer Reihenfolge auf einzelne Fragen eingehen, die sich im Laufe der Zeit zum Thema Datenschutz im Allgemeinen und zur DSGVO im Besonderen stellen. Sie werden sich vor allem mit Fragen aus dem wohnungswirtschaftlichen Alltag befassen.

Die Beiträge sind alphabetisch geordnet.

Inhalt:

D:

  • DSGVO ist in Kraft: Droht jetzt eine Abmahn- und Klagewelle?

E:

  • E-Mail: Datenschutz bei der Kommunikation via E-Mail

F:

  • Fax: Datenschutz bei der Kommunikation via Telefax
  • Fotografieren unter der DSGVO

K:

  • Klingelschild: Verstößt der Mietername auf dem Klingelschild gegen die DSGVO?

P:

  • Passwörter
  • Personalausweis des Mieters

S:

  • Strom: Übermittlung von Mieterdaten an Grundversorger

T:

  • Telefonanrufe: Datenschutzrechtliche Pflichten

V:

  • Visitenkarten: Datenschutzrechtliche Pflichten
D:
DSGVO ist in Kraft: Droht jetzt eine Abmahn- und Klagewelle?

Nein! Natürlich kann man niemanden davon abhalten, eine Abmahnung zu schreiben und zu versenden. Das ist jedoch nicht mehr als ein Brief, den man an einen anderen schickt. Entscheidend ist jedoch die Frage, ob eine solche Abmahnung gerechtfertigt wäre.

Die DSGVO sieht als solche gar keine Möglichkeit vor, bei einem Verstoß als nicht direkt von dem Datenschutzverstoß Betroffener einen anderen abzumahnen. Eine Ermächtigungsgrundlage bietet die DSGVO nur den jeweiligen Datenschutzbehörden. Eine Abmahnung müsste sich daher wie auch bisher schon auf § 3a UWG stützen. Danach darf ein Marktteilnehmer einen anderen auf Unterlassung in Anspruch nehmen, wenn der eine Rechtsnorm verletzt, die eine Marktverhaltensregel darstellt. Das ist nichts Neues und hat auch bisher schon Abmahnungen getragen, die beispielsweise bei einer Verletzung der Impressumspflicht auf einer Website geltend gemacht wurden. Die Frage, ob die DSGVO eine solche Marktverhaltensregel darstellt, ist umstritten und noch völlig ungeklärt. Zum Beispiel enthält die DSGVO in Artikel 80 eine Regelung in Bezug auf die in Zusammenhang mit Datenschutzverstößen bestehende Möglichkeit, Rechte und Ansprüche durch Dritte geltend machen zu lassen, die diese Möglichkeit aber nur den Betroffenen selbst, nicht irgendwelchen Mitbewerbern eröffnet. Ob daneben überhaupt noch Raum für die Anwendung von § 3a UWG ist, ist umstritten und muss sicher erst höchstrichterlich geklärt werden. Gerade diese Unklarheit dürfte dazu führen, dass Massenabmahner, die nur Interesse an schnellem Geld, nicht aber an rechtlichen Auseinandersetzungen über strittige Fragen haben, die Finger von dem Thema lassen.

Das heißt nicht, dass es keine Abmahnversuche geben wird. Und wahrscheinlich auch Gerichtsverfahren, die letztlich zu einer Klärung der offenen Fragen führen werden. Eine Abmahnwelle ist jedoch nicht zu erwarten, auch vor dem Hintergrund, dass die Betroffenen entsprechender Pamphlete in der Regel gewerblich tätig sind und daher über die Ressourcen verfügen, um sich zur Wehr zu setzen.

E:
E-Mail: Datenschutz bei der Kommunikation via E-Mail

E-Mails sind, wie das Wort schon sagt, elektronische Briefe. Im Jahr 2018 wurden fast 850 Milliarden E-Mails verschickt (ohne Spam). Auch in der Wohnungs- und Immobilienwirtschaft dürfte die E-Mail das am häufigsten genutzte Mittel zur Kommunikation sein.

E-Mails haben viele Vorteile. Sie sind spontan und schnell geschrieben, preisgünstiger als Briefe (kein Papier, kein Porto, in der Regel weniger Arbeitsaufwand), sie erleichtern kollaboratives Arbeiten und sie ermöglichen es dem Empfänger, sich mit der Angelegenheit zu befassen, wann es bei ihm zeitlich passt (Näheres in unserem Beitrag „E-Mails schreiben”). Sie wirft aber auch eine Reihe von datenschutzrechtlichen Problemen auf.

Den Anforderungen der DGSVO unterliegt zunächst einmal der Inhalt einer E-Mail, die ein Wohnungsunternehmen mit einem Mieter oder Mietinteressenten austauscht. Aber auch bei der E-Mail-Adresse des Mieters oder Mietinteressenten handelt es sich um ein personenbezogenes Datum, das dem Datenschutz unterliegt. Dabei ist es für die rechtliche Beurteilung unerheblich, ob sie den vollen Namen des Mieters oder Mietinteressenten enthält oder es sich um eine E-Mail-Adresse ohne weitere persönliche Daten handelt. Die E-Mail-Adresse des Mieters oder Mietinteressenten darf daher ohne rechtliche Grundlage nicht weitergegeben oder archiviert werden. Als solche kommt z.B. nach Artikel 6 Absatz 1 lit.b DSGVO die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei der Mieter ist, oder die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage eines Mietinteressenten erfolgen, in Betracht. Das ist bei einem Mietvertrag der Fall. Ohne personenbezogene Daten des Mieters kann er nicht abgeschlossen und abgewickelt werden.

Bei einer E-Mail stellt sich desweiteren die Frage, ob die Technik als solche DSGVO-konform ist. Häufig wird die E-Mail mit einer Postkarte verglichen, deren Inhalt für den, der sie transportiert, sichtbar ist. Dies ist heute in der Regel nicht mehr der Fall. Die Kommunikation zwischen den meisten E-Mail-Servern findet verschlüsselt mittels TLS (Transport Layer Security) statt. Dies hängt allerdings von der Konfiguration der beteiligten E-Mail-Server ab. Wer dies für die beteiligten Server überprüfen möchten, kann dazu den Online-Dienst https://www.checktls.com/TestReceiver nutzen. Eine solche Transportverschlüsselung wird von den Aufsichtsbehörden mittlerweile als Stand der Technik angesehen und sollte bei den Servern der Wohnungsunternehmen gewährleistet sein. Dadurch wird auch den Mietinteressenten oder Mietern die Möglichkeit gegeben, ihre E-Mails verschlüsselt zu senden. Als verantwortliche Stelle hat das Wohnungsunternehmen damit alles getan, um eine verschlüsselte Übertragung zu ermöglichen. Damit sind nicht alle datenschutztechnischen Probleme gelöst, aber für die meisten Kommunikationen zwischen Mietern und Vermietern ist das ausreichend.

Neben dieser Verschlüsselung des Transportweges kann man auch den Inhalt einer E-Mail verschlüsseln. Man kann einzelne Dateianhänge mit Passwörtern sichern, die man dem Empfänger gesondert übermittelt, oder aber die ganze E-Mail mit einer entsprechenden Technik verschlüsseln.

F:
Fax: Datenschutz bei der Kommunikation via Telefax

Noch vor einigen Jahren gehörte das Fax zu den selbstverständlichen Kommunikationswegen im Büroalltag. Vor 20 oder 30 Jahren war es der Goldstandard, da die Alternativen das Telefonat oder der Brief waren. Der eine Weg erlaubte nur die Übermittlung relativ einfacher Informationen, der andere dauerte lange. Mit dem Fax konnte man komplexe Informationen innerhalb von Minuten versenden. Erst die E-Mail hat das Fax im privaten und geschäftlichen Alltag zu großen Teilen verdrängt. Sie ist einfacher, schneller und man kann die übermittelten Informationen weiterverarbeiten.

Trotzdem findet man auf den meisten Briefköpfen und Kontaktwebseiten der Wohnungsunternehmen weiterhin Faxnummern und es stellt sich die Frage, ob diese Art der Kommunikation, insbesondere mit Mietinteressenten und Mietern, den Anforderungen der DSGVO entspricht.

In den klassischen Telefonnetzen (analog und ISDN) wird für die Übertragung eine Ende-zu-Ende-Verbindung genutzt. Die Informationen werden dabei auf direktem Wege übertragen und ein Mitlesen der Daten ist nur innerhalb dieser Verbindung möglich, also vor allem am jeweiligen Endgerät. Ein derart verschicktes Fax kann daher als sicher im Sinne des Datenschutzes angesehen werden, wenn man gewährleistet, dass nur berechtigte Mitarbeiter Zugang zu dem jeweiligen Faxgerät haben. Solche direkten Verbindungen gibt es jedoch kaum noch. Analoge Leitungen und ISDN sterben aus. Nach Schätzung der Bundesnetzagentur verfügten im Jahr 2019 noch ca. 90.000 Haushalte über einen analogen und ca. 530.000 über einen ISDN-Anschluss.

Auch Telefon und Telefax funktionieren mittlerweile überwiegend (ca. 30 Millionen Anschlüsse) digital. Dabei wird die Datenübertragung über das Internet realisiert. Spätestens 2022 soll die gesamte Analog- bzw. ISDN-Technik auch beim Fax auf „Fax over IP“ (FoIP) umgestellt sein. Dabei werden die Informationen nicht direkt zwischen zwei Endgeräten ausgetauscht, sondern als Datenpakete über verschiedene Zwischenstationen durch das Internet geschickt. Da die so versendeten Daten dabei in der Regel nicht verschlüsselt werden, ist es möglich, dass sie an jeder passierten Zwischenstation ausgelesen werden. Die Vertraulichkeit der verschickten Daten ist daher nicht sicher gewahrt.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen hat daher in ihrem „1. Jahresbericht nach der Europäischen Datenschutzgrundverordnung (Berichtsjahr 2018)” ausgeführt, dass die Übermittlung per Fax wie die Übermittlung durch eine unverschlüsselte E-Mail bewertet werden müsse. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hatt den Versand personenbezogener Daten per Fax als riskant bezeichnet, da dieser Dienst grundsätzlich keine Datensicherheitsmaßnahmen enthalte. Dieser Ansicht hat sich mit Beschluss vom 22. Juli 2020 (11 LA 104/19) das OVG Lüneburg angeschlossen. Der Versand personenbezogener Daten per Fax könne daher aus datenschutzrechtlichen Gründen unzulässig sein.

Für die wohnungswirtschaftliche Praxis muss man aufgrund der genannten Zahlen davon ausgehen, dass ein Fax heutzutage über das Internet verschickt wird und daher datenschutzrechtlich problematisch ist. Man sollte daher keine sensiblen personenbezogenen Daten wie Einkommens-, Steuer- oder Personalinformationen auf diesem Weg versenden, sondern lieber eine E-Mail nutzen. Diese ist in den überwiegenden Fällen nämlich mit einer Transportverschlüsselung versehen (siehe den vorstehenden Artikel).

Den Mietinteressenten und Mietern sollte immer die Möglichkeit angeboten werden, Unterlagen per Brief oder per E-Mail einzureichen oder persönlich abzugeben.

Fotografieren unter der DSGVO

Kaum ein datenschutzrechtliches Thema ist so kompliziert und unklar wie das Fotografieren. Zur Verarbeitung personenbezogener Daten gehört auch die Anfertigung und das Verbreiten eines Fotos (einschließlich der Metadaten wie Ort und Zeit der Aufnahme) einer Person und der damit einhergehenden Informationen zur Person. Die DSGVO findet nach Artikel 2 Absatz 2 c) keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Solange man also ausschließlich für private Zwecke fotografiert, ist das datenschutzrechtlich nicht relevant. Aber schon mit der Verwendung der Fotos im Internet oder in Sozialen Medien (z.B. bei Facebook, Instagram etc.) wird der familiäre Rahmen verlassen und das veröffentlichte Bild datenschutzrechtlich bedeutsam. Ist man außerhalb dieses Bereichs,  fällt nahezu jeder technische Vorgang wie das Aufnehmen, Speichern, Kopieren, Bearbeiten, Übermitteln, Ausdrucken und das Löschen unter den Begriff der „Verarbeitung“ nach Art. 4 Nr. 2 DSGVO und wird folgerichtig von der Verordnung erfasst.

Jede zulässige Datenverarbeitung setzt nach Artikel 6 DSGVO zunächst eine Rechtsgrundlage voraus (Näheres dazu in unserem Beitrag „Datenschutz nach der DSGVO”). Diese kann sich aus der Einwilligung des Betroffenen (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) oder aber einer Rechtsvorschrift (Erfüllung eines Vertrages, eine rechtliche Verpflichtung, der Schutz lebenswichtiger Interessen, das öffentliches Interesse oder eine Interessenabwägung gem. Art. 6 Abs. 1 S. 1 lit. b-f DSGVO) ergeben. Die §§ 22 und 23 KUG, die die zivilrechtliche Einwilligung von Abgebildeten in die Verbreitung eines Fotos betreffen, spielen im Datenschutzrecht keine Rolle.

Am wichtigsten dürfte die Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a), Art. 7 DSGVO sein, die von dem Betroffenen oder bei Kindern unter 16 Jahren von den Eltern erteilt wird. Für die Einwilligung gilt auch beim Fotografieren der volle Anforderungskatalog von Artikel 7 DSGVO. Außerdem kann eine Einwilligung jederzeit widerrufen werden. Die Einwilligung dürfte vor allem dann wichtig sein, wenn es um Fotos von Gremiensitzungen (Eigentümerversammlung bei der WEG, Mieterbeirat, Vertreterversammlung der Genossenschaft) geht.

Eine weitere Rechtsgrundlage könnte die Vertragserfüllung nach Art. 6 Abs. 1 lit. b) DSGVO sein. Die Herstellung und Verbreitung bzw. Nutzung eines Fotos ist jedoch im Rahmen der Wohnungswirtschaft in der Regel nicht erforderlich für die Erfüllung des Mietvertrages.

Bei Bildern von Mieterveranstaltungen oder Mieterfesten wird häufig anzunehmen sein, dass die Herstellung und Verbreitung des Fotos durch eine „berechtigten Interesses“ des Wohnungsunternehmens im Sinne von Art. 6 Abs. 1. S. 1 lit. f) gerechtfertigt ist. Diesem Interesse stehen regelmäßig auch keine schutzwürdigen Interessen der Betroffenen entgegen, schließlich ist in den meisten Fällen lediglich die Sozialsphäre betroffen. Bestärkt wird dieses Interesse durch die auf dem Mietvertrag beruhende Nähebeziehung zwischen dem Vermieter und den Abgebildeten (Es sei denn, es handelt sich um Gäste der Veranstaltung). Die DSGVO verlangt hier aber eine nachweisbare Abwägung der (Grund-) Rechte im Einzelfall, also der Vermieter müsste nachweisen können, die Rechte der abgebildeten Personen gegenüber dem Interesse des Unternehmens an der Verarbeitung der Bilder abgewogen zu haben.

Aber auch wenn von einer Rechtsgrundlage ausgegangen werden kann müssen die Informationspflichten nach den Artikeln 13, 14 DSGVO eingehalten werden (Näheres dazu in unserem Beitrag „Die Rechte der Mieter nach der Datenschutz-Grundverordnung”). Bei geschlossenen Veranstaltungen kann dies mit der Einladung oder über eine Ansage zu Beginn der Veranstaltung erfolgen. Bei öffentlichen Veranstaltungen wie Mieterfesten würde es wohl nur über entsprechende Hinweisschilder gehen. Hiervon könnte jedoch Artikel 11 DSGVO befreien. Nach dieser Vorschrift ist das Wohnungsunternehmen nicht verpflichtet, zur bloßen Einhaltung der DSGVO zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren. Dies aber nur für den Fall, dass die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich ist. In der Regel hat das Wohnungsunternehmen bei solchen Veranstaltungen weder ein Interesse noch die Möglichkeit, die auf dem Bild abgebildete Person zu identifizieren. Die Identifizierung würde allein aus dem Grund erfolgen, um die Vorgaben der Art. 13, 14 DSGVO zu erfüllen. Einige Datenschutzbehörden gehen in einem solchen Fall von der Ausnahme von Art. 14 Abs. 5 DSGVO aus, wonach man von der Informationspflicht befreit ist, wenn dies einen unverhältnismäßigen Aufwand erfordern würde. Diese Handhabung ist aber nicht sicher und man muss ihre Voraussetzungen auch nachweisen können. Trotzdem gibt es einige rechtliche Argumente, um davon ausgehen zu können, dass man bei solchen Veranstaltungen keiner Informationspflicht unterliegt.

Werden die Fotos durch eine Agentur oder eine Druckerei weiterverarbeitet, handelt es sich um eine Auftragsverarbeitung im Sinne des Artikel 28 DSGVO. Es müssen daher alle Regelungen zur Zusammenarbeit mit einem solchen Auftragsverarbeiter eingehalten werden (Näheres dazu in unserem Beitrag „Organisatorische Anforderungen nach der Datenschutz-Grundverordnung”).

K:
Klingelschild: Verstößt der Mietername auf dem Klingelschild gegen die DSGVO?

In Wien hatte sich der Mieter einer Wohnung der städtischen Wohnungsbaugesellschaft Wiener Wohnen über den an seinem Klingelschild angebrachten Namen beschwert. Er sah hierin einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO). Wiener Wohnen nimmt dies zum Anlass, bis Ende 2018 an den Klingeltableaus ihrer Wohnanlagen die Namen der Mieter durch Nummern zu ersetzen (siehe Mitteilung von Wiener Wohnen). Hiervon betroffen sind 220.000 Wohnungen. Mieter, die nach wie vor ihren Namen an der Klingel sehen wollen, werden darauf verwiesen, diesen selbst dort anzubringen.

Anlässlich dieser Nachricht wies der Eigentümerverband Haus & Grund in einer Mitteilung vom 18. Oktober 2018  darauf hin, dass auch in Deutschland Namen an Klingelschildern und Briefkästen ohne Einwilligung der Mieter aus Datenschutzgründen möglicherweise unzulässig seien.

Die Bundesbeauftragte für den Datenschutz hat in einem Statement vom 18. Oktober 2018 dagegen klargestellt, dass die Aufforderung zur Entfernung sämtlicher Klingelschilder unnötig sei. Das Ausstatten der Klingelschilder mit Namen stelle weder eine automatisierte Verarbeitung noch eine Speicherung in Dateisystemen dar. Insofern sei in entsprechenden Fällen in der Regel gar nicht der Anwendungsbereich der DSGVO nach deren Artikel 2 Absatz 1 eröffnet. Selbst wenn die DSGVO anwendbar wäre, käme als Rechtsgrundlage neben einer Einwilligung auch Artikel 6 Absatz 1 Buchst. f DSGVO (Interessenabwägung) als Rechtsgrundlage in Betracht. Der Mieter hätte dann in besonderen Fällen ein Widerspruchsrecht gegen die Verarbeitung nach Artikel 21 DSGVO (Ist ein Mieter nicht einverstanden, dass sein Name am Klingelschild steht, kann er das seinem Vermieter mit Verweis auf Art. 21 der Verordnung mitteilen. Der name kann dann durch eine Nummer ersetzt werden. Es könnte dann allerdings schwieriger werden, Briefe und Pakete zuzustellen. Auch Polizei und Rettungsdienste äußerten Bedenken, da sich Menschen in Notsituationen nicht an ihre Wohnungsnummer erinnern würden.).

Diese Ansicht teilt auch das Bundesinnenministerium als zuständige Stelle in der Bundesregierung. Es sieht auch keinen Bedarf für eine gesetzliche Änderung.

(Stand: 21. Oktober 2018)

P:
Passwörter

Die Verwendung von Passwörtern gehört mittlerweile zum wohnungswirtschaftlichen Alltag. Mitarbeiter verwenden sie, um sich an ihren Rechnern anzumelden oder bestimmte Anwendungen nutzen zu können. Mieter benötigen sie, um sich in Mieter- oder Eigentümerportale einloggen zu können.

Passwörter gehören zu den organisatorischen Anforderungen nach § 24 DSGVO. Sie müssen vor allem sicher sein, um eine missbräuchliche Verwendung durch unbefugte Dritte zu verhindern.

Passwörter sollten lang und kompliziert sein. Bekannte Beispiele dafür, wie Passwörter nicht gestaltet sein sollten, sind „Passwort” oder „1234567890”. Sie sollten nicht weniger als zehn Zeichen haben, besser zwölf oder mehr. Sie sollten verschiedene Arten von Zeichen verwenden, also Buchstaben in Groß- und Kleinschreibung, Ziffern und Sonderzeichen. Am besten verwendet man einen Passwortmanager, um die eigenen Passwörter zu verwalten. Diese gibt es als eigenständiges Programm oder als Teil des Betriebssystems.

Man sollte ein Passwort nur für eine Anwendung verwenden, also für jeden Zugang zu einem Gerät, einer Anwendung oder einer Datenbank ein eigenes Passwort. Auch dies wird durch die Verwendung eines Passwortmanagers vereinfacht.

Man sollte das Passwort auf keinen Fall am oder in der Nähe des jeweiligen Zugangsgerätes notieren. Jeder weiß das vom Handy oder der Kreditkarte. Es gilt aber grundsätzlich für alle Passwörter.

Noch sicherer wird das Passwort, wenn es mit einer 2-Faktor-Authentifizierung verbunden wird. Dabei wird ein sogenanntes „One-Time-Password (OTP)” auf ein zweites Gerät wie ein Smartphone geschickt, dass zusätzlich eingegeben werden muss. Dies ist besonders für sensible Zugänge wie dem zu Bankkonten oder auch zu Datenbanken mit sensiblen personenbezogenen Daten wichtig, wenn diese aus dem Internet erreichbar sind.

Nach mehreren Fehleingaben des Passwortes sollte der Zugang wenigstens zeitweise gesperrt werden. Erfolgt der Zugang mit einem anderen Gerät oder von einem anderen Ort als gewöhnlich, sollte eine Meldung per automatisierter E-Mail erfolgen.

Anders als früher gibt es heutzutage nicht mehr die Vorgabe, ein Passwort in regelmäßigen Abständen (Beispielsweise alle 90 Tage) zu ändern. Auch beim BSI ist dies nicht mehr Teil des IT-Grundschutz-Kompendiums. Die Qualität des Passwortes nach den vorstehenden Regeln ist wichtiger.

Apropos Regeln: In Wohnungsunternehmen und Hausverwaltungen sollte es selbstverständlich sein, dass es eine Passwortrichtlinie gibt, in der formale und inhaltliche Anforderungen an die zu verwendenden Passwörter vorgegeben werden.

(Stand: 13. Februar 2020)

Personalausweis des Mieters

Der Mieter wird bei der Wohnungsvermietung in der Regel eine natürliche Person sein. In diesem Fall wird man sie mit ihrem Namen, dem Geburtsdatum, dem Geburtsort und der bisherigen Anschrift identifizieren. Als Vermieter sollte man sich auch Unterlagen vorlegen lassen, die die Identität des Mieters belegen, insbesondere den Personalausweis. Ob man von diesem für die Mieterakte eine Kopie anfertigen darf, war früher umstritten. Die Datenschützer waren dagegen⁠. Gegen das Einscannen hatte sich auch das Verwaltungsgericht Hannover⁠ ausgesprochen (VG Hannover, Urteil vom 28.11.2013, 10 A 5342/11). Seit dem 15. Juli 2017 ist es jedoch aufgrund einer Neuregelung in § 20 des Personalausweisgesetzes erlaubt, den Ausweis in einer Weise abzulichten, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist. Die allgemeinen datenschutzrechtlichen Vorschriften müssen natürlich trotzdem weiterhin beachtet werden.

S:
Strom: Übermittlung von Mieterdaten an Grundversorger

Zum vertragsgemäßen Gebrauch gehört in Deutschland auch ohne ausdrückliche Vereinbarung im Mietvertrag, dass die Räume mit Strom versorgt werden können. Für die Stromversorgung der Wohnung ist in der Regel der Mieter verantwortlich. Er muss dazu mit einem Energieversorgungsunternehmen einen entsprechenden Liefervertrag abschließen.

Probleme entstehen häufig in der Übergangszeit zwischen zwei Mietverhältnissen. Der bisherige Mieter muss sich bei seinem Stromversorger abmelden. Der neue Mieter zieht dann zum Vertragsbeginn ein und meldet sich bei seinem Versorger an.

Kontrollieren kann dies der Vermieter jedoch nicht, ebensowenig wie der Versorger. Wenn der neue Mieter keinen ausdrücklichen Versorgungsvertrag abschließt, sondern einfach nur Strom verbraucht, stellt sich die Frage, wer eigentlich Vertragspartner des Energieversorgers geworden ist und den verbrauchten Strom bezahlen muss.

Der Bundesgerichtshof hat dazu durch Urteil vom 27. November 2019 (VIII ZR 165/18) entschieden: Wird der Stromverbrauch einer in einem Mehrparteienhaus gelegenen und vermieteten Wohnung über einen Zähler erfasst, der ausschließlich dieser Wohnung zugeordnet ist, richtet sich die in der Bereitstellung von Strom liegende Realofferte des Versorgungsunternehmens regelmäßig nicht an den Hauseigentümer (=Vermieter), sondern an den Mieter, welcher durch die seinerseits erfolgte Stromentnahme das Angebot konkludent annimmt (Mehr dazu in unserem Beitrag „Strom”). Dabei sei es unerheblich, ob dem Energieversorger die Identität des Inhabers der tatsächlichen Verfügungsgewalt bekannt ist, er also etwa wisse, dass das zu versorgende Objekt sich im Besitz eines Mieters befinde und dieser die tatsächliche Verfügungsgewalt über den Versorgungsanschluss ausübe.

Nutzt der neue Mieter das Stromangebot des Grundversorgers durch die Entnahme aus der Steckdose, kommt hierdurch nach der genannten Entscheidung ein Grundversorgungsvertrag zwischen dem Grundversorger und dem neuen Mieter zustande. Nach § 2 Absatz 3 Stromgrundversorgungsverordnung (StromVV) ist der Kunde verpflichtet, die Entnahme von Elektrizität und seine persönlichen Daten dem Grundversorger unverzüglich in Textform mitzuteilen.

Kommt der Mieter dieser Pflicht nicht nach, ist die Ermittlung der erforderlichen Daten für den Grundversorger mit erheblichem Aufwand verbunden. Häufig wendet sich der Grundversorger daher an den Vermieter mit der Bitte, ihm die Daten des neuen Mieters mitzuteilen. Es stellt sich dann die Frage, ob der Vermieter berechtigt ist, sie dem Grundversorger mitzuteilen.

Die routinemäßige Mitteilung der Mieterdaten an den Grundversorger durch den Vermieter ist unzulässig. In Betracht käme die Wahrnehmung berechtigter Interessen des Vermieters (=des Verantwortlichen) nach Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Da nach dem vorgenannten Urteil des BGH jedoch in der Regel keine Haftung des Vermieters für die Stromkosten des neuen Mieters entsteht, kann diese Regelung nicht herangezogen werden. Ein berechtigtes Interesse könnte auch beim Stromlieferanten (=einem Dritten) vorliegen, der wissen muss, wer aufgrund der Stromentnahme sein Vertragspartner ist. Dieses Interesse besteht jedoch nur dann, wenn der neue Mieter sich entgegen § 2 StromVV nicht gemeldet hat. Eine rein vorsorgliche Datenübermittlung kann dadurch nicht gerechtfertigt werden.

Nur wenn der neue Mieter keinen ausdrücklichen Stromliefervertrag abgeschlossen hat und desweiteren seinen Mitteilungspflichten gegenüber dem Grundversorger nicht nachgekommen ist, sind die Voraussetzungen des Artikel 6 Absatz 1 Satz 1 lit. f DSGVO erfüllt. Der Vermieter ist in diesem Fall datenschutzrechtlich berechtigt, dem Grundversorger auf Anfrage Namen und Anschrift des neuen Mieters mitzuteilen (siehe auch: 16. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt, Seite 70).

T:

Telefonanrufe: Datenschutzrechtliche Pflichten

Artikel 13 DSGVO schreibt eine umfassende Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betreffenden Person vor (Mehr dazu in unserem Beitrag „Die Rechte der Mieter nach der Datenschutz-Grundverordnung (DSGVO)”). Das ist unproblematisch, wenn die Daten zum Beispiel im Rahmen eines Vermietungsgesprächs in der Wohnung oder in der Geschäftsstelle erhoben werden. Es ist offensichtlich, dass hier Daten erhoben und das daher entsprechend informiert werden muss.

Es gibt aber auch immer wieder Situationen, in denen das nicht so klar ist, in denen nicht deutlich ist, dass hier gerade Daten im Sinne der DSGVO erhoben werden. Ruft beispielsweise ein Mieter wegen eines Mangels beim Vermieter an und bittet darum, den Hauswart oder eine Firma vorbei zu schicken, um die Klingel zu reparieren, so wird häufig seine Mobilnummer notiert, um sie an den Hauswart oder die Firma weiterzugeben, damit ein Termin vereinbart werden kann. In dieser Situation werden personenbezogene Daten erhoben, und sei es nur die Mobilnummer. Dies löst nach Artikel 13 DSGVO sofort und vollumfänglich die dort genannten Informationspflichten aus. Diese Norm lässt keine Ausnahmen und keinen Interpretationsspielraum zu. In den meisten Fällen wird Artikel 13 Absatz 4 DSGVO einschlägig sein. Danach findet die Informationspflicht keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt. Das ist bei einem bestehenden Mietverhältnis hinsichtlich des Mieters in der Regel der Fall.

Anders dagegen bei Mietinteressenten, mit denen erstmals Kontakt aufgenommen wird. Wenn dieser Erstkontakt telefonisch stattfindet, kann Artikel 13 Absatz 4 DSGVO noch nicht vorliegen. Als Vermieter oder Makler muss man jetzt eigentlich jedem Anrufer, den man nicht bereits in seiner Kundendatei hat, die komplette Info-Liste nach Artikel 13 DSGVO am Telefon herunterbeten. Bei dieser wörtlichen Auslegung der Norm wäre man den halben Tag damit beschäftigt, die Anrufer mit Informationen zu versorgen, die sie in dieser Situation in aller Regel gar nicht interessieren.

Die DSGVO kennt insoweit aber kein Pardon. Es nutzt daher nichts, bei dem Anrufer nachzufragen, ob er die Informationen überhaupt Anrufer hören will. Die Norm lässt hier aber  keine Wahl. Sie verpflichtet denjenigen, der die Daten erhebt, die benannten Infos der betreffenden Person mitzuteilen. Bei Kontrollanrufen der Datenschutzbehörden (Die in den kommenden Monaten nicht zu erwarten sind) würde die rechtswidrige Handhabung offenbar werden. Außerdem wäre es ein Verstoß gegen die Compliance-Regeln.

Ein Weg wäre, die Informationen am Ende des Gesprächs anzuhängen. Man könnte den Anrufer darauf hinweisen, dass man ihm jetzt die vorgeschriebenen Informationen zum Datenschutz mitteilt und zum Beispiel eine Bandansage abspielen. Selbst wenn der Mietinteressent dann auflegt, was wohl in den meisten Fällen zu erwarten ist, hat man seiner Pflicht zur Information Genüge getan.

Nimmt man, was heutzutage in den meisten Fällen üblich ist, neben der Telefonnummer auch noch die E-Mail-Adresse auf, kann man den Interessenten auch per E-Mail informieren. Wenn dies im engen zeitlichen Zusammenhang mit dem Telefonat erfolgt, dürfte dies auch noch rechtzeitig im Sinne von Artikel 13 DSGVO sein.

V:
Videoüberwachung

Ein häufig im Bereich des Mietrechts diskutiertes Problem ist das des rechtskonformen Einsatzes von Videoüberwachungstechnik. Der Wunsch danach kommt zumeist von den Vermietern zum Schutz ihres Eigentums, wird aber häufig auch von Mietern unterstützt, vor allem in großen anonymen Wohnanlagen oder in sehr luxuriösen Häusern. Regelungen in den Mietverträgen gibt es dazu jedoch nur selten.

Das Mietrecht enthält keine Vorschriften, die sich ausdrücklich mit dem Thema der Videoüberwachung befassen. Man muss daher auf § 535 BGB und die Gebrauchsrechte des Mieters zurückgreifen. Auch die DSGVO enthält keine speziellen Regeln zur Videoüberwachung. Deswegen müssen die datenschutzrechtlichen Anforderungen an den Einsatz von Videoüberwachung aus den allgemeinen Regelungen des Gesetzeswerks abgeleitet werden. Dazu hat der Europäische Datenschutzausschuss Leitlinien (Guidelines 3/2019 on processing of personal data through video devices) verabschiedet, die Kamerabetreiberinnen und -betreibern die Anwendung der DSGVO erleichtern und Betroffene über ihre Rechte aufklären soll. Da es sich um Leitlinien handelt, bleiben Abweichungen durch die Mitgliedsstaaten möglich.

Die Leitlinie betont den Grundsatz der Verhältnismäßigkeit. Da jede Videoüberwachung mit einem Eingriff in die Persönlichkeitsrechte verbunden ist, muss ihr stets ein berechtigtes Interesse des Kamerabetreibers zugrunde liegen. Dieses Interesse muss objektiv vorliegen, das heißt, bei einer Videoüberwachung aus Sicherheitsgründen müssen stets auch tatsächliche Anhaltspunkte für eine Gefahr für Leib, Leben oder Sachgüter vorliegen. Die Leitlinie stellt klar, dass ein rein subjektives Sicherheitsgefühl nicht genügt, um eine Videoüberwachung zu rechtfertigen. Auch dann nicht, wenn die Mehrheit der Mieter oder Wohnungseigentümer dies fordert.

Visitenkarten: Datenschutzrechtliche Pflichten

Im Geschäftsverkehr, auch in der Wohnungswirtschaft, ist es üblich, dass bei Beginn von Gesprächen Visitenkarten ausgetauscht werden. Auf einer Visitenkarte befinden sich personenbezogene Daten wie der Name, die Kontakt- und die E-Mail-Adresse, Telefonnummern, etc. Nimmt man die Visitenkarte vom Gesprächspartner entgegen und steckt sie ein, liegt darin eine Datenerhebung. Richtet man sich streng nach der DSGVO, so würde das die vollen Informationspflichten nach § 13 DSGVO auslösen. Mein Gegenüber möchte aber in der Regel keinen langen Vortrag hören. Und einen DIN-A-4-Zettel mit den erforderlichen Informationen trägt man in der Regel auch nicht mit sich, ganz abgesehen davon, dass es ziemlich albern wäre, würden sich zwei Geschäftsführer zu Beginn eines Gesprächs die jeweiligen Informationsblätter überreichen. In manchen Fällen wird man mit Artikel 13 Absatz 4 DSGVO zurechtkommen, da die betroffene Personen aus dem das Treffen vorbereitenden Schriftwechsel bereits über die Informationen verfügt. Ansonsten könnte man einem Rat der Bitkom-Geschäftsleiterin Dehmel folgen, die Person welche die Visitenkarte herausgegeben hat, zeitnah im Nachgang zum Beispiel per E-Mail über die Pflichtangaben zu informieren. In den meisten Fällen dürfte es aber gerade im geschäftlichen Bereich darauf hinauslaufen, dass man die Informationspflicht in professionellem Einvernehmen ignoriert.

Bild: magele-picture / Fotolia

Schreibe einen Kommentar