DSGVO: Einzelfragen

Neben den systematischen Fragen, die wir in den vorangegangenen Beiträgen beantwortet haben, wollen wir hier in lockerer Reihenfolge auf einzelne Fragen eingehen, die sich im Laufe der Zeit zum Thema Datenschutz im Allgemeinen und zur DSGVO im Besonderen stellen.

Vom Personalausweis des Mieters dürfen Kopien für die Mieterakte angefertigt werden

Der Mieter wird bei der Wohnungsvermietung in der Regel eine natürliche Person sein. In diesem Fall wird man sie mit ihrem Namen, dem Geburtsdatum, dem Geburtsort und der bisherigen Anschrift identifizieren. Als Vermieter sollte man sich auch Unterlagen vorlegen lassen, die die Identität des Mieters belegen, insbesondere den Personalausweis. Ob man von diesem für die Mieterakte eine Kopie anfertigen darf, war früher umstritten. Die Datenschützer waren dagegen⁠. Gegen das Einscannen hatte sich auch das Verwaltungsgericht Hannover⁠ ausgesprochen (VG Hannover, Urteil vom 28.11.2013, 10 A 5342/11). Seit dem 15. Juli 2017 ist es jedoch aufgrund einer Neuregelung in § 20 des Personalausweisgesetzes erlaubt, den Ausweis in einer Weise abzulichten, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist. Die allgemeinen datenschutzrechtlichen Vorschriften müssen natürlich trotzdem weiterhin beachtet werden.

Der Mietername auf dem Klingelschild verstößt nicht gegen die DSGVO

In Wien hatte sich der Mieter einer Wohnung der städtischen Wohnungsbaugesellschaft Wiener Wohnen über den an seinem Klingelschild angebrachten Namen beschwert. Er sah hierin einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO). Wiener Wohnen nimmt dies zum Anlass, bis Ende 2018 an den Klingeltableaus ihrer Wohnanlagen die Namen der Mieter durch Nummern zu ersetzen (siehe Mitteilung von Wiener Wohnen). Hiervon betroffen sind 220.000 Wohnungen. Mieter, die nach wie vor ihren Namen an der Klingel sehen wollen, werden darauf verwiesen, diesen selbst dort anzubringen.

Anlässlich dieser Nachricht wies der Eigentümerverband Haus & Grund in einer Mitteilung vom 18. Oktober 2018  darauf hin, dass auch in Deutschland Namen an Klingelschildern und Briefkästen ohne Einwilligung der Mieter aus Datenschutzgründen möglicherweise unzulässig seien.

Die Bundesbeauftragte für den Datenschutz hat in einem Statement vom 18. Oktober 2018 dagegen klargestellt, dass die Aufforderung zur Entfernung sämtlicher Klingelschilder unnötig sei. Das Ausstatten der Klingelschilder mit Namen stelle weder eine automatisierte Verarbeitung noch eine Speicherung in Dateisystemen dar. Insofern sei in entsprechenden Fällen in der Regel gar nicht der Anwendungsbereich der DSGVO nach deren Artikel 2 Absatz 1 eröffnet. Selbst wenn die DSGVO anwendbar wäre, käme als Rechtsgrundlage neben einer Einwilligung auch Artikel 6 Absatz 1 Buchst. f DSGVO (Interessenabwägung) als Rechtsgrundlage in Betracht. Der Mieter hätte dann in besonderen Fällen ein Widerspruchsrecht gegen die Verarbeitung nach Artikel 21 DSGVO (Ist ein Mieter nicht einverstanden, dass sein Name am Klingelschild steht, kann er das seinem Vermieter mit Verweis auf Art. 21 der Verordnung mitteilen. Der name kann dann durch eine Nummer ersetzt werden. Es könnte dann allerdings schwieriger werden, Briefe und Pakete zuzustellen. Auch Polizei und Rettungsdienste äußerten Bedenken, da sich Menschen in Notsituationen nicht an ihre Wohnungsnummer erinnern würden.).

Diese Ansicht teilt auch das Bundesinnenministerium als zuständige Stelle in der Bundesregierung. Es sieht auch keinen Bedarf für eine gesetzliche Änderung.

(Stand: 21. Oktober 2018)

Fotografieren unter der DSGVO

Kaum ein datenschutzrechtliches Thema ist so kompliziert und unklar wie das Fotografieren. Zur Verarbeitung personenbezogener Daten gehört auch die Anfertigung und das Verbreiten eines Fotos (einschließlich der Metadaten wie Ort und Zeit der Aufnahme) einer Person und der damit einhergehenden Informationen zur Person. Die DSGVO findet nach Artikel 2 Absatz 2 c) keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Solange man also ausschließlich für private Zwecke fotografiert, ist das datenschutzrechtlich nicht relevant. Aber schon mit der Verwendung der Fotos im Internet oder in Sozialen Medien (z.B. bei Facebook, Instagram etc.) wird der familiäre Rahmen verlassen und das veröffentlichte Bild datenschutzrechtlich bedeutsam. Ist man außerhalb dieses Bereichs,  fällt nahezu jeder technische Vorgang wie das Aufnehmen, Speichern, Kopieren, Bearbeiten, Übermitteln, Ausdrucken und das Löschen unter den Begriff der „Verarbeitung“ nach Art. 4 Nr. 2 DSGVO und wird folgerichtig von der Verordnung erfasst.

Jede zulässige Datenverarbeitung setzt nach Artikel 6 DSGVO zunächst eine Rechtsgrundlage voraus (Näheres dazu in unserem Beitrag „Datenschutz nach der DSGVO”). Diese kann sich aus der Einwilligung des Betroffenen (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) oder aber einer Rechtsvorschrift (Erfüllung eines Vertrages, eine rechtliche Verpflichtung, der Schutz lebenswichtiger Interessen, das öffentliches Interesse oder eine Interessenabwägung gem. Art. 6 Abs. 1 S. 1 lit. b-f DSGVO) ergeben. Die §§ 22 und 23 KUG, die die zivilrechtliche Einwilligung von Abgebildeten in die Verbreitung eines Fotos betreffen, spielen im Datenschutzrecht keine Rolle.

Am wichtigsten dürfte die Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a), Art. 7 DSGVO sein, die von dem Betroffenen oder bei Kindern unter 16 Jahren von den Eltern erteilt wird. Für die Einwilligung gilt auch beim Fotografieren der volle Anforderungskatalog von Artikel 7 DSGVO. Außerdem kann eine Einwilligung jederzeit widerrufen werden. Die Einwilligung dürfte vor allem dann wichtig sein, wenn es um Fotos von Gremiensitzungen (Eigentümerversammlung bei der WEG, Mieterbeirat, Vertreterversammlung der Genossenschaft) geht.

Eine weitere Rechtsgrundlage könnte die Vertragserfüllung nach Art. 6 Abs. 1 lit. b) DSGVO sein. Die Herstellung und Verbreitung bzw. Nutzung eines Fotos ist jedoch im Rahmen der Wohnungswirtschaft in der Regel nicht erforderlich für die Erfüllung des Mietvertrages.

Bei Bildern von Mieterveranstaltungen oder Mieterfesten wird häufig anzunehmen sein, dass die Herstellung und Verbreitung des Fotos durch eine „berechtigten Interesses“ des Wohnungsunternehmens im Sinne von Art. 6 Abs. 1. S. 1 lit. f) gerechtfertigt ist. Diesem Interesse stehen regelmäßig auch keine schutzwürdigen Interessen der Betroffenen entgegen, schließlich ist in den meisten Fällen lediglich die Sozialsphäre betroffen. Bestärkt wird dieses Interesse durch die auf dem Mietvertrag beruhende Nähebeziehung zwischen dem Vermieter und den Abgebildeten (Es sei denn, es handelt sich um Gäste der Veranstaltung). Die DSGVO verlangt hier aber eine nachweisbare Abwägung der (Grund-) Rechte im Einzelfall, also der Vermieter müsste nachweisen können, die Rechte der abgebildeten Personen gegenüber dem Interesse des Unternehmens an der Verarbeitung der Bilder abgewogen zu haben.

Aber auch wenn von einer Rechtsgrundlage ausgegangen werden kann müssen die Informationspflichten nach den Artikeln 13, 14 DSGVO eingehalten werden (Näheres dazu in unserem Beitrag „Die Rechte der Mieter nach der Datenschutz-Grundverordnung”). Bei geschlossenen Veranstaltungen kann dies mit der Einladung oder über eine Ansage zu Beginn der Veranstaltung erfolgen. Bei öffentlichen Veranstaltungen wie Mieterfesten würde es wohl nur über entsprechende Hinweisschilder gehen. Hiervon könnte jedoch Artikel 11 DSGVO befreien. Nach dieser Vorschrift ist das Wohnungsunternehmen nicht verpflichtet, zur bloßen Einhaltung der DSGVO zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren. Dies aber nur für den Fall, dass die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich ist. In der Regel hat das Wohnungsunternehmen bei solchen Veranstaltungen weder ein Interesse noch die Möglichkeit, die auf dem Bild abgebildete Person zu identifizieren. Die Identifizierung würde allein aus dem Grund erfolgen, um die Vorgaben der Art. 13, 14 DSGVO zu erfüllen. Einige Datenschutzbehörden gehen in einem solchen Fall von der Ausnahme von Art. 14 Abs. 5 DSGVO aus, wonach man von der Informationspflicht befreit ist, wenn dies einen unverhältnismäßigen Aufwand erfordern würde. Diese Handhabung ist aber nicht sicher und man muss ihre Voraussetzungen auch nachweisen können. Trotzdem gibt es einige rechtliche Argumente, um davon ausgehen zu können, dass man bei solchen Veranstaltungen keiner Informationspflicht unterliegt.

Werden die Fotos durch eine Agentur oder eine Druckerei weiterverarbeitet, handelt es sich um eine Auftragsverarbeitung im Sinne des Artikel 28 DSGVO. Es müssen daher alle Regelungen zur Zusammenarbeit mit einem solchen Auftragsverarbeiter eingehalten werden (Näheres dazu in unserem Beitrag „Organisatorische Anforderungen nach der Datenschutz-Grundverordnung”).

Datenschutzrechtliche Pflichten bei Telefonanrufen

Artikel 13 DSGVO schreibt eine umfassende Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betreffenden Person vor (Mehr dazu in unserem Beitrag „Die Rechte der Mieter nach der Datenschutz-Grundverordnung (DSGVO)”). Das ist unproblematisch, wenn die Daten zum Beispiel im Rahmen eines Vermietungsgesprächs in der Wohnung oder in der Geschäftsstelle erhoben werden. Es ist offensichtlich, dass hier Daten erhoben und das daher entsprechend informiert werden muss.

Es gibt aber auch immer wieder Situationen, in denen das nicht so klar ist, in denen nicht deutlich ist, dass hier gerade Daten im Sinne der DSGVO erhoben werden. Ruft beispielsweise ein Mieter wegen eines Mangels beim Vermieter an und bittet darum, den Hauswart oder eine Firma vorbei zu schicken, um die Klingel zu reparieren, so wird häufig seine Mobilnummer notiert, um sie an den Hauswart oder die Firma weiterzugeben, damit ein Termin vereinbart werden kann. In dieser Situation werden personenbezogene Daten erhoben, und sei es nur die Mobilnummer. Dies löst nach Artikel 13 DSGVO sofort und vollumfänglich die dort genannten Informationspflichten aus. Diese Norm lässt keine Ausnahmen und keinen Interpretationsspielraum zu. In den meisten Fällen wird Artikel 13 Absatz 4 DSGVO einschlägig sein. Danach findet die Informationspflicht keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt. Das ist bei einem bestehenden Mietverhältnis hinsichtlich des Mieters in der Regel der Fall.

Anders dagegen bei Mietinteressenten, mit denen erstmals Kontakt aufgenommen wird. Wenn dieser Erstkontakt telefonisch stattfindet, kann Artikel 13 Absatz 4 DSGVO noch nicht vorliegen. Als Vermieter oder Makler muss man jetzt eigentlich jedem Anrufer, den man nicht bereits in seiner Kundendatei hat, die komplette Info-Liste nach Artikel 13 DSGVO am Telefon herunterbeten. Bei dieser wörtlichen Auslegung der Norm wäre man den halben Tag damit beschäftigt, die Anrufer mit Informationen zu versorgen, die sie in dieser Situation in aller Regel gar nicht interessieren.

Die DSGVO kennt insoweit aber kein Pardon. Es nutzt daher nichts, bei dem Anrufer nachzufragen, ob er die Informationen überhaupt Anrufer hören will. Die Norm lässt hier aber  keine Wahl. Sie verpflichtet denjenigen, der die Daten erhebt, die benannten Infos der betreffenden Person mitzuteilen. Bei Kontrollanrufen der Datenschutzbehörden (Die in den kommenden Monaten nicht zu erwarten sind) würde die rechtswidrige Handhabung offenbar werden. Außerdem wäre es ein Verstoß gegen die Compliance-Regeln.

Ein Weg wäre, die Informationen am Ende des Gesprächs anzuhängen. Man könnte den Anrufer darauf hinweisen, dass man ihm jetzt die vorgeschriebenen Informationen zum Datenschutz mitteilt und zum Beispiel eine Bandansage abspielen. Selbst wenn der Mietinteressent dann auflegt, was wohl in den meisten Fällen zu erwarten ist, hat man seiner Pflicht zur Information Genüge getan.

Nimmt man, was heutzutage in den meisten Fällen üblich ist, neben der Telefonnummer auch noch die E-Mail-Adresse auf, kann man den Interessenten auch per E-Mail informieren. Wenn dies im engen zeitlichen Zusammenhang mit dem Telefonat erfolgt, dürfte dies auch noch rechtzeitig im Sinne von Artikel 13 DSGVO sein.

Datenschutzrechtliche Pflichten im Zusammenhang mit Visitenkarten

Im Geschäftsverkehr, auch in der Wohnungswirtschaft, ist es üblich, dass bei Beginn von Gesprächen Visitenkarten ausgetauscht werden. Auf einer Visitenkarte befinden sich personenbezogene Daten wie der Name, die Kontakt- und die E-Mail-Adresse, Telefonnummern, etc. Nimmt man die Visitenkarte vom Gesprächspartner entgegen und steckt sie ein, liegt darin eine Datenerhebung. Richtet man sich streng nach der DSGVO, so würde das die vollen Informationspflichten nach § 13 DSGVO auslösen. Mein Gegenüber möchte aber in der Regel keinen langen Vortrag hören. Und einen DIN-A-4-Zettel mit den erforderlichen Informationen trägt man in der Regel auch nicht mit sich, ganz abgesehen davon, dass es ziemlich albern wäre, würden sich zwei Geschäftsführer zu Beginn eines Gesprächs die jeweiligen Informationsblätter überreichen. In manchen Fällen wird man mit Artikel 13 Absatz 4 DSGVO zurechtkommen, da die betroffene Personen aus dem das Treffen vorbereitenden Schriftwechsel bereits über die Informationen verfügt. Ansonsten könnte man einem Rat der Bitkom-Geschäftsleiterin Dehmel folgen, die Person welche die Visitenkarte herausgegeben hat, zeitnah im Nachgang zum Beispiel per E-Mail über die Pflichtangaben zu informieren. In den meisten Fällen dürfte es aber gerade im geschäftlichen Bereich darauf hinauslaufen, dass man die Informationspflicht in professionellem Einvernehmen ignoriert.

Die DSGVO ist in Kraft. Droht jetzt eine Abmahn- und Klagewelle?

Nein! Natürlich kann man niemanden davon abhalten, eine Abmahnung zu schreiben und zu versenden. Das ist jedoch nicht mehr als ein Brief, den man an einen anderen schickt. Entscheidend ist jedoch die Frage, ob eine solche Abmahnung gerechtfertigt wäre.

Die DSGVO sieht als solche gar keine Möglichkeit vor, bei einem Verstoß als nicht direkt von dem Datenschutzverstoß Betroffener einen anderen abzumahnen. Eine Ermächtigungsgrundlage bietet die DSGVO nur den jeweiligen Datenschutzbehörden. Eine Abmahnung müsste sich daher wie auch bisher schon auf § 3a UWG stützen. Danach darf ein Marktteilnehmer einen anderen auf Unterlassung in Anspruch nehmen, wenn der eine Rechtsnorm verletzt, die eine Marktverhaltensregel darstellt. Das ist nichts Neues und hat auch bisher schon Abmahnungen getragen, die beispielsweise bei einer Verletzung der Impressumspflicht auf einer Website geltend gemacht wurden. Die Frage, ob die DSGVO eine solche Marktverhaltensregel darstellt, ist umstritten und noch völlig ungeklärt. Zum Beispiel enthält die DSGVO in Artikel 80 eine Regelung in Bezug auf die in Zusammenhang mit Datenschutzverstößen bestehende Möglichkeit, Rechte und Ansprüche durch Dritte geltend machen zu lassen, die diese Möglichkeit aber nur den Betroffenen selbst, nicht irgendwelchen Mitbewerbern eröffnet. Ob daneben überhaupt noch Raum für die Anwendung von § 3a UWG ist, ist umstritten und muss sicher erst höchstrichterlich geklärt werden. Gerade diese Unklarheit dürfte dazu führen, dass Massenabmahner, die nur Interesse an schnellem Geld, nicht aber an rechtlichen Auseinandersetzungen über strittige Fragen haben, die Finger von dem Thema lassen.

Das heißt nicht, dass es keine Abmahnversuche geben wird. Und wahrscheinlich auch Gerichtsverfahren, die letztlich zu einer Klärung der offenen Fragen führen werden. Eine Abmahnwelle ist jedoch nicht zu erwarten, auch vor dem Hintergrund, dass die Betroffenen entsprechender Pamphlete in der Regel gewerblich tätig sind und daher über die Ressourcen verfügen, um sich zur Wehr zu setzen.

Bild: magele-picture / Fotolia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere