EU-Datenschutz-Grundverordnung: Das bedeutet sie für Makler, Vermieter und Suchende
Mehr Schutz für persönliche Daten: Seit 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Hauptsächlich richtet sich die Verordnung an Unternehmen und somit auch Immobilienmakler, die in der EU tätig sind. Für sie gelten dann strengere Regelungen für den Umgang mit den Daten ihrer Kunden. Doch auch private Vermieter sind von den neuen Regelungen betroffen. Schließlich verarbeiten auch sie regelmäßig Personendaten – die ihrer Mieter. Worauf Immobilienprofis und Vermieter in Zukunft achten müssen und was die neue Verordnung für Immobilien-Suchende bedeutet – ein Überblick.
In Zeiten zunehmender Digitalisierung wird Datenschutz ein immer wichtigeres Thema. Die neue EU-Datenschutz-Grundverordnung, die seit 25. Mai 2018 in allen Mitgliedsstaaten gilt, soll dafür sorgen, dass die Privatsphäre von Menschen besser geschützt wird. Im Wesentlichen besagt die Grundverordnung, dass personenbezogene Daten dem gehören, den sie betreffen. Kundendaten gehören also dem Kunden. Wenn dieser beispielsweise will, dass seine Daten gelöscht werden, müssen sie gelöscht werden. Grundsätzlich dürfen personenbezogene Daten nur dann gespeichert und verarbeitet werden, wenn der Kunde oder das Gesetz dies explizit erlaubt. Wer mit den Daten fremder Menschen arbeitet, also auch Immobilienprofis und Vermieter, muss in Zukunft einiges beachten. Aber auch Immobilien-Suchende sollten ihre Rechte kennen.
Die EU-Datenschutz-Grundverordnung ist bereits am 24. Mai 2016 in Kraft getreten und wird am 25. Mai 2018 nach einer zweijährigen Übergangsfrist für alle EU-Staaten bindend. Grundlage für die Verordnung ist das Recht einer Privatperson an ihren eigenen Daten. Denn prinzipiell ist die Erfassung und Verarbeitung von Personendaten verboten – außer es wird erlaubt oder ist für die Geschäftsbeziehung unbedingt notwendig. Das ist in Deutschland auch jetzt schon so im Bundesdatenschutzgesetz geregelt. Neu ist, dass die DSGVO in der ganzen EU gilt. Die einzelnen Mitgliedsstaaten müssen nur in speziellen Bereichen, wie zum Beispiel der Videoüberwachung, eigene nationale Regelungen schaffen.
Von der Verordnung betroffen sind alle, die personenbezogene Daten verarbeiten – ganz egal ob es sich um ein Unternehmen oder eine Privatperson handelt.
Info
Was ist Datenverarbeitung?
Datenverarbeitung ist das Erfassen, Übermitteln, Ordnen und Umformen von Daten zur Informationsgewinnung – im Allgemeinen mithilfe eines Computers.
Wie richtig mit Kundendaten umgehen? Die Datenschutzgrundverordnung – kurz DSGVO – stellt Makler vor neue Herausforderungen.
Foto: iStock/ alvarez
Mit der EU-Datenschutzverordnung werden Makler, die Immobilien innerhalb der EU vermitteln, vor neue Herausforderungen gestellt. Besonders wenn es um den Umgang mit Kundendaten geht, sollten Immobilienprofis in Zukunft genau aufpassen – bei Verstößen drohen hohe Geldstrafen oder Ansprüche auf Schadensersatz.
Worauf es für Immobilienprofis in Zukunft ankommt, erläutert Dr. Christian Osthus, Leiter der Abteilung Recht beim Immobilienverband Deutschland (IVD), in Praxisbeispielen.
1. Wann dürfen Immobilienprofis Kundendaten erfassen und verarbeiten?
Die Verarbeitung von Daten, also etwa das Nutzen, Speichern oder Übermitteln, ist für Makler laut Datenschutzgrundverordnung nur dann zulässig, wenn:
Der betroffene Kunde zustimmt. Dies kann entweder schriftlich oder mündlich erfolgen – der Gesetzgeber verlangt hier keine spezielle Form. Um späteren Streitigkeiten vorzubeugen, empfiehlt sich aber die schriftliche Variante.
Wenn eine in der DSGVO selbst normierte Ausnahme vorliegt. Eine solche Ausnahme ist insbesondere gegeben, wenn die Verarbeitung der Daten für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist – etwa, wenn der Makler mit einem Wohnungssuchenden in Kontakt tritt und diesen um seine E-Mail-Adresse bittet – beispielsweise um dem Kunden ein Exposé zuschicken zu können. In diesem Fall müssen Makler keine extra Erlaubnis vom Kunden einholen, um die Daten verarbeiten zu können.
Wenn der Makler rechtlich dazu verpflichtet ist, Daten zu erheben – etwa durch das Geldwäschegesetz. Auch hier ist keine extra Erlaubnis vom Kunden erforderlich.
2. Wie müssen Makler jetzt mit Personendaten umgehen?
Neben den Regeln, wann eine Datenerfassung zulässig ist und wann nicht, schreibt die DSGVO auch vor, wie Unternehmen mit personenbezogenen Daten umgehen müssen:
Die Daten müssen auf rechtmäßige und nachvollziehbare Weise verarbeitet werden. Das ist etwa der Fall, wenn die Daten im Rahmen einer Vertragsanbahnung erhoben wurden und in einer Kundendatenbank gespeichert werden.
Die Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden, beispielsweise für die Vermittlung einer Immobilie.
Die Daten müssen sachlich richtig sein – also korrekter Name, korrekte Anschrift des Kunden.
Die Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet.
Die Daten müssen in einer Form gespeichert werden, die die Identifizierung der fraglichen Personen nur so lange ermöglicht, wie dies erforderlich ist. Die Daten müssen in der Praxis also leicht zu löschen sein.
Zudem gilt das Grundprinzip der Datenminimierung. Das bedeutet, dass sämtliche erhobenen Daten auf das notwendige Maß beschränkt werden müssen. Für die Vermittlung einer Immobilie sind E-Mail, Telefonnummer und Adresse des Suchenden wohl erforderlich – seine Haarfarbe oder die Adresse seines Arbeitgebers jedoch eher nicht.
Praxis-Tipp
In der Praxis bedeuten die Regelungen zum Umgang mit Personendaten nicht, dass Makler alle Kundendaten löschen müssen, sobald beispielsweise eine Immobilie erfolgreich vermittelt ist. „Die DSGVO sieht zwar die Datenvermeidung und auch das Recht auf Vergessenwerden explizit vor“, erklärt Christian Osthus, Leiter der Abteilung Recht beim Immobilienverband Deutschland (IVD). Dennoch könne es Gründe geben, wieso Daten nicht gelöscht werden dürfen oder müssen. „Konkret können spezialgesetzliche Aufbewahrungspflichten einer Löschung entgegenstehen.“ Diese können sich beispielsweise aus der Makler- und Bauträgerverordnung, der Abgabenordnung oder dem Geldwäschegesetz ergeben.
So ergibt sich aus der Abgabenordnung (AO), dass grundsätzlich alle Unterlagen aufbewahrt werden müssen, die für die Besteuerung relevant sind. Dies sind nicht nur Rechnungen, sondern können auch Fahrtenbücher sein, die beispielsweise Fahrten zu Besichtigungen mit Kunden belegen. „Es kann aber auch ganz andere praktische Gründe für die Speicherung von Daten geben“, sagt Osthus. Etwa wenn ein Kunde sich zwar gegen eine bestimmte Kaufimmobilie entschieden, dem Makler aber einen Suchauftrag gegeben hat. „Dieser besteht natürlich weiterhin und der Makler kann seinem Kunden bis zum Widerruf entsprechende passende Immobiliendaten vorschlagen“, so Osthus. Erhebt der Makler solche Daten von seinen Kunden, muss er ihn darüber zwar informieren – um Erlaubnis bitten muss er ihn aber nicht zusätzlich, wenn die Daten für die Vertragserfüllung notwendig sind oder der Makler gesetzlich ohnehin dazu verpflichtet ist, sie zu erheben.
Eine Löschung scheidet auch aus, wenn hierdurch die Durchsetzung oder Abwehr zivilrechtlicher Ansprüche vereitelt werden kann. Ein Beispiel: der Kunde bezahlt die Provision und verlangt die Löschung aller Aufzeichnungen zur Vermittlung. Nach der Löschung widerruft er den Maklervertrag und behauptet, nicht ordnungsgemäß belehrt worden zu sein. Hat der Makler alles gelöscht, könnte es ihm schwerfallen, die Übermittlung der Widerrufsbelehrung zu beweisen.
Achtung: In der Praxis kommt es manchmal vor, dass Unternehmen die Verarbeitung personenbezogener Daten einem Dienstleister übergeben. Diese sogenannte Auftragsdatenverarbeitung ist laut DSGVO jedoch nur zulässig, wenn der Auftraggeber seinen Dienstleister sorgfältig kontrolliert und alle Rechte und Pflichten vorab in einem Vertrag fixiert werden. Bei einem Verstoß gegen die DSGVO sind der Auftraggeber und auch der Dienstleister haftbar!
Gibt der Makler die Daten des Mieters an den späteren Vermieter weiter, gelten die Regeln der Auftragsdatenverarbeitung übrigens nicht – da der Vermieter nicht im Auftrag des Maklers Daten verarbeitet. Die Übermittlung rechtfertigt sich vielmehr über das Vertragsverhältnis zwischen Mieter und Vermieter.
3. Neu für Makler: Informationspflichten
Egal ob per E-Mail oder Telefonanruf: Makler müssen aufgrund der DSGVO Verbraucher darüber informieren, wenn sie Daten von ihnen erheben.
Foto: iStock/ lechatnoir
Neben all diesen Vorsichtsmaßnahmen regelt die DSGVO auch, dass Verbraucher immer informiert sein müssen, wenn Daten von ihnen erhoben werden. Das gilt unabhängig davon, ob der Makler eine gesonderte Erlaubnis zur Datenverarbeitung von seinen Kunden benötigt.
Sobald er Daten erhebt, muss ein Makler den betroffenen Personen laut Artikel 13 der DSGVO zum Zeitpunkt der Datenerhebung bestimmte Informationen mitteilen. Wie er das macht, ist Sache des Maklers.
Folgende Informationen müssen aber auf jeden Fall an den Kunden übermittelt werden:
Identität des betroffenen Kunden
Kontaktdaten des Datenschutzbeauftragten (falls dieser vorhanden ist; ab einer Unternehmensgröße von zehn Mitarbeitern ist ein Beauftragter vorgeschrieben)
Falls die Daten weitergegeben werden, die Kontaktdaten des Empfängers
Verarbeitungszwecke und Rechtsgrundlage
die Dauer der Speicherung
die Rechte des Verbrauchers
Verbraucher haben das Recht auf Auskunft über die gespeicherten Daten, außerdem können sie verlangen, dass die Daten gelöscht oder berichtigt werden oder die Verarbeitung einschränken. Auch können sie ihre Einwilligung in die Datenspeicherung jederzeit widerrufen und haben ein Beschwerderecht bei der zuständigen Aufsichtsbehörde. Ausnahme: Der Makler ist aus rechtlichen Gründen verpflichtet, die Daten zu erheben – zum Beispiel wegen des Geldwäschegesetzes.
Praxis-Tipp
„Sobald der Makler als Verantwortlicher personenbezogene Daten einer betroffenen Person erhebt, muss er seiner Informationspflicht nachkommen“, sagt IVD-Rechtsexperte Osthus. Und zwar egal, ob er diese Daten nun benötigt, um eine Immobilie zu vermitteln, um seinen regelmäßigen Newsletter an den Kunden zu schicken oder ob er ihm nur einmal pro Jahr eine Weihnachtskarte zukommen lassen will. Der Kunde soll dabei in transparenter Weise erfahren, wo seine Daten erhoben wurden, wofür und aufgrund welcher Rechtsgrundlage diese Daten verarbeitet werden, zum Beispiel, weil er die Daten braucht, um den Maklervertrag zu erfüllen, oder weil er durch das Geldwäschegesetz dazu verpflichtet ist.
Laut Osthus werden die Informationspflichten in der Praxis allerdings sehr unterschiedlich umgesetzt. „Im Internet lässt sich dies einfach mittels einer Datenschutzerklärung realisieren, die man beim Kontaktformular mittels Haken bestätigen muss“, betont Osthus. Bei telefonischer Kontaktaufnahme sei eine E-Mail im Nachgang denkbar. Letztlich soll der Kunde wissen, wer mit seinen Daten arbeitet und wozu diese verwendet werden. „Wie der Makler seiner Informationspflicht nachkommt, ist grundsätzlich unerheblich“, sagt Osthus.
4. Technische und organisatorische Maßnahmen zum Datenschutz
Wer Mitarbeiter hat, muss sie regelmäßig im Datenschutz schulen.
Foto: iStock/ alvarez
Weiter konkretisiert die DSGVO Maßnahmen, die alle Unternehmen ergreifen müssen, um die obigen Anforderungen einzuhalten. So müssen Unternehmen ihre Mitarbeiter im Datenschutz schulen und regelmäßig Kontrollen durchführen, ob die Datenschutzmaßnahmen auch eingehalten werden. Hierbei kann es zum Beispiel sinnvoll sein, sich von Zeit zu Zeit zeigen zu lassen, wie diese Ihre E-Mails verschicken und wo Daten abgelegt werden.
Bei Unternehmen, die zehn oder mehr Mitarbeiter haben, die ständig mit der Datenverarbeitung beschäftigt sind, ist zudem die Benennung eines Datenschutzbeauftragten und die Veröffentlichung von dessen Kontaktdaten sowie eine entsprechende Mitteilung an die zuständige Aufsichtsbehörde verpflichtend.
Die DSGVO beschreibt in Artikel 32 Maßnahmen, die für einen angemessenen Schutz von Kundendaten sorgen sollen:
die Pseudonymisierung und Verschlüsselung personenbezogener Daten
die Belastbarkeit und Verfügbarkeit der Datenverarbeitungssysteme, Computersysteme müssen also beispielsweise stabil laufen und dürfen nicht fehleranfällig sein
die Fähigkeit, die Daten bei einem physischen oder technischen Zwischenfall schnell wiederherstellen zu können
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der genannten Maßnahmen
Praxis-Tipp
Muss jetzt jedes Unternehmen seine Daten zwangsläufig verschlüsseln? Nicht unbedingt. „Der Vorteil bei verschlüsselten Daten ist natürlich, dass Cyberkriminelle mit diesen Daten auch nichts anfangen können“, sagt Osthus. „Es muss aber auch die Eintrittswahrscheinlichkeit, die Schwere des Risikos, der Stand der Technik und mehr mit beachtet werden.“ Dennoch empfiehlt der Experte: „Eine Verschlüsselung von Daten auf mobilen Geräten wie Notebooks, Smartphones und Tablets ist mehr als anzuraten“. Denn gerade diese kann man leicht mal irgendwo verlieren. Auch müsse die Verschlüsselung bei Datentransfer sichergestellt werden. Osthus empfiehlt für E-Mails die sogenannte SSL-Verschlüsselung, die von den meisten E-Mail-Anbietern und -Programmen unterstützt wird. Wie sich das System in der Praxis einsetzen lässt, erfahren Makler bei ihren jeweiligen Internet-Providern.
5. Datenschutzverletzungen müssen gemeldet werden
Melden ist angesagt: Wird eine Datenschutzverletzung bekannt, müssen Makler rasch handeln.
Foto: fotofabrika/ fotolia.com
Kommt es trotz aller Vorsichtsmaßnahmen zu einer Datenschutzverletzung, müssen Unternehmen dies unverzüglich an die zuständige Aufsichtsbehörde melden – nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls. Ein solcher Vorfall kann beispielsweise eintreten, wenn ein Makler sein Handy verloren hat, wenn sein Computersystem gehackt wurde oder wenn bei ihm eingebrochen und ein Computer mit vertraulichen Daten gestohlen wurde. Eine Ausnahme von der Meldepflicht besteht nur dann, wenn trotz Datenschutzverletzung kein Risiko für die Sicherheit der Kundendaten besteht. Ein solches Risiko kann beispielsweise durch eine geeignete Verschlüsselung ausgeschlossen werden. Sollte es zu Datenschutzverletzungen gekommen sein, weil zum Beispiel der Computer gehackt oder das Handy gestohlen wurde, müssen alle betroffenen Personen unverzüglich benachrichtigt werden. Zu den betroffenen Personen zählen alle, deren Daten im zum Beispiel gehackten Computer gespeichert waren.
Praxis-Tipp
Die zuständige Aufsichtsbehörde ist im Fall der DSGVO die Datenschutzaufsichtsbehörde. Diese ist im jeweiligen Bundesland angesiedelt, in Nordrhein-Westfalen ist das beispielsweise der Landesbeauftragte für den Datenschutz NRW. Zwar gibt es für die Meldung von Datenschutzverletzungen keine konkrete Formvorschrift. „Die Meldung sollte dennoch gewisse Inhalte zum Verantwortlichen enthalten, also das Maklerunternehmen und einen Ansprechpartner“, sagt Osthus. Der Experte empfiehlt zudem die Beschreibung der Art der Verletzung – also eine Angabe zur Zahl der betroffenen Personen und Datensätze. „Erforderlich ist auch die Beschreibung der von dem Verantwortlichen ergriffenen Maßnahmen, um den Schutz personenbezogener Daten wiederherzustellen und aufrecht zu erhalten."
Konsequenzen bei Verstößen gegen die DSGVO
Sollte ein Unternehmen gegen die DSGVO verstoßen, so sieht die Verordnung harte Höchststrafen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmens vor. Zwar dürfte diese Strafhöhe bei kleineren Unternehmen eher nicht abgerufen werden – Makler sollten sich dennoch tunlichst mit der DSGVO beschäftigen und die Regelungen der Verordnung einhalten.
Von der Schufa bis zur Mieterselbstauskunft haben Vermieter Umgang mit zahlreichen persönlichen Daten – auch sie sind von der Datenschutzgrundverordnung betroffen.
Foto: iStock/ kupicoo
Nebenkostenabrechnung, Schufa-Auskunft, Fragebögen, SEPA-Lastschrift: Jeder Vermieter erhebt zwangsläufig persönliche Daten seiner Mieter oder lässt sie verarbeiten, zum Beispiel von Ablesefirmen. Aus diesem Grund trifft Vermieter die EU-Datenschutzgrundverordnung genauso wie große Wohnungsbaugesellschaften oder Hausverwaltungen.
Vermieter sollten daher in Zukunft einige Punkte im Umgang mit den Daten ihrer Mieter beachten –schlimmstenfalls drohen hohe Geldstrafen oder Schadensersatzansprüche von Mietern.
Umgang mit Mieter-Daten – die 6 wichtigsten Punkte aus der DSGVO:
1. Einwilligung einholen:
Zukünftig gewinnen Einwilligungserklärungen an Bedeutung. Diese spielen aber für Vermieter nur eine kleine Rolle. Denn sie sind nur nötig, bevor es zu einem Mietverhältnis kommt. Spätestens mit Erstellen des Mietvertrages ist der Vermieter verpflichtet Daten zu erheben, um seinen rechtlichen Pflichten nachzukommen. Alle Daten, die allerdings vorher – also bei der Anbahnung des Mietverhältnisses – gesammelt werden (zum Beispiel Schufa-Auskünfte zur Bewertung der Bonität), dürfen nur mit der Einwilligung des Mietinteressenten gespeichert werden. Das betrifft grundsätzlich alle Informationen, die für die Durchführung des Mietverhältnisses nicht erforderlich sind. Das kann sogar die E-Mail-Kommunikation betreffen. Wird ein Vermieter von einem Interessenten angeschrieben und plant der Vermieter diese Daten dauerhaft zu speichern, so muss er darüber informieren. Wie er das macht, bleibt dem Vermieter überlassen. Eine Möglichkeit ist, beim Beantworten der Mail die Datenschutzregelungen zu erwähnen. Während der Anbahnung des Mietverhältnisses sind die Interessenten auch berechtigt, ihre Einwilligung jederzeit zurückzuziehen. In dem Fall muss der Vermieter die Daten unverzüglich löschen.
2. Datensparsamkeit
Grundsätzlich gilt bei der Datenerfassung das Prinzip „so viel wie nötig, so wenig wie möglich“. Im Gesetzestext heißt das Datensparsamkeit beziehungsweise Datenminimierung. Es sollen also nur jene Daten erhoben werden, die tatsächlich relevant und zweckgebunden sind. In der Praxis bedeutet das: Für Vermieter reicht es zum Beispiel aus, Telefonnummer oder E-Mail-Adresse ihrer Mieter zu erfassen – die Religion des Mieters ist für das Mietverhältnis nicht relevant. „Vermieter müssen sich fragen, ob sie die Daten tatsächlich für das Mietverhältnis brauchen“, rät Inka-Marie Storm, Chefjustiziarin des Eigentümerverbands Haus und Grund. „Sammeln sie Daten, müssen Vermieter letztlich auch begründen können, wieso und wofür.“
3. Neue Dokumentationspflicht für Vermieter
Ab ins Archiv: Vermieter müssen ihre Mieterdaten aufgrund der DSGVO umfangreich dokumentieren.
Foto: iStock/ TommL
Die erhobenen Daten unterliegen umfangreichen Dokumentationspflichten. Vermieter sind ab 25. Mai 2018 verpflichtet, ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 der DSGVO zu führen. Darin müssen sie alle wesentlichen Angaben zur Datenverarbeitung dokumentieren.
Folgende Punkte gehören ins Verzeichnis:
Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls eines Vertreters
Zweck der Verarbeitung
Kategorien betroffener Personen – für Vermieter sind das die Mieter – und der personenbezogenen Daten, also Kontaktdaten oder Verbrauchsdaten der Mieter
Empfänger der Daten, wie zum Beispiel Ablesefirmen oder Hausverwaltungen
vorgesehene Fristen für die Löschung der Daten
Das Verzeichnis müssen Vermieter jederzeit und vollständig der Datenschutzbehörde vorzeigen können. Liegt ein solches Verzeichnis nicht vor, kann die Behörde ein Bußgeld verhängen.
4. Datenverarbeitung im Auftrag
Sofern der Vermieter andere Firmen mit der Datenverarbeitung beauftragt, wie etwa Hausverwaltungen oder Ablesefirmen, muss diese Dienstleistung zukünftig datenschutzrechtlich abgesichert werden. Die sogenannte Datenverarbeitung im Auftrag fordert dabei spezielle Verträge zwischen Vermieter und Dienstleister, die klar festlegen, dass allein der Vermieter und nicht der Dienstleister die Datenhoheit behält. Der Dienstleister muss in diesen Verträgen auch geeignete Sicherheitsvorkehrungen nachweisen können.
5. Informationspflicht gegenüber Mietern
Was passiert mit den Daten des Mieters? Hierüber müssen Vermieter aufklären.
Foto: iStock/ SolStock
Aber es bestehen nicht nur Pflichten gegenüber der Datenschutz-Aufsichtsbehörde, sondern auch gegenüber den Mietern.
So müssen Vermieter ihren Mietern noch vor Mietbeginn und immer dann, wenn Daten neu verarbeitet werden, in einer klaren, einfachen Sprache und am besten schriftlich erklären, was mit deren Daten geschieht. Eine besondere Form gibt der Gesetzgeber allerdings nicht vor.
Folgende Punkte müssen in den Hinweisen aber angesprochen werden:
Name und Kontaktdaten des Vermieters sowie gegebenenfalls seines Vertreters
warum die Daten erhoben werden – zum Beispiel, weil sie für die Nebenkostenabrechnung relevant sind
die Rechtsgrundlage für die Verarbeitung ihrer Daten – zum Beispiel aus vertraglichen oder steuerrechtlichen Gründen
wie lange die Daten gespeichert werden
ein Hinweis, dass der Mieter grundlegende Rechte im Bereich des Datenschutzes hat: das Recht auf Auskunft, auf eine Kopie der Daten, die Löschung – insofern der Vermieter rechtlich nicht verpflichtet ist, sie weiterhin zu speichern – sowie die Einschränkung der Verarbeitung
der Mieter hat ein Beschwerderecht bei der Datenschutzbehörde
der Mieter hat das Recht, die Einwilligung jederzeit zurückzuziehen, sofern keine anderweitige Rechtsgrundlage für die Verarbeitung – beispielsweise die Notwendigkeit zur Vertragserfüllung – besteht
welche weiteren Empfänger die Daten erhalten können – zum Beispiel Ablesefirmen
Der Vermieter darf die Daten aber nur dann an Dritte weitergeben, wenn es ein berechtigtes Interesse dafür gibt. Das ist zum Beispiel bei den turnusmäßigen Ablesungen von Wasser-, Strom- oder Gaszähler durch die Versorger der Fall. Erst kürzlich entschied der Bundesgerichtshof, dass Mieter Einblick in die Nebenkostenabrechnung der anderen Mieter im Haus werfen dürfen, wenn es Zweifel an der Richtigkeit der Abrechnung gibt (BGH, Az.: VIII ZR 189/17). In dem Fall wurde das berechtigte Interesse des anfragenden Mieters höher bewertet als der Schutz der personenbezogenen Daten der Nachbarn. Nach den neuen Informationspflichten ist der Vermieter aber verpflichtet, diese Einsicht den betroffenen Mietern mitzuteilen.
6. Technische Sicherheit
Je nach Art und Menge der erfassten Daten ist künftig ein bestimmtes Sicherheitslevel an die Speicherung geknüpft. Geboten sein kann unter anderem eine Pseudonymisierung oder Verschlüsselung der Daten. In der Regel betrifft dies private Vermieter aber nicht, da sie gar nicht so viele Daten speichern müssen.
Wenn der Vermieter allerdings in der Bewerbungsphase sensible Dokumente, wie die Bonitätsauskunft, anfordert, ist er dazu verpflichtet, eine gesicherte Datenübermittlung bereitzustellen.
Praxisbeispiele: Die Datenverarbeitung vor, während und nach dem Mietverhältnis
Wer nun eine Wohnung oder ein Haus vermieten will, den interessiert in der Regel, an wen er vermietet. „Es dürfen aber nur für das Mietverhältnis wichtige Daten gesammelt und gespeichert werden. Also alles, was für die Anbahnung, die Dauer und das Ende der Vertragsabwicklung relevant ist“, sagt Inka-Marie Storm vom Eigentümerverband Haus und Grund. Darunter fallen Personalien, Selbstauskünfte und Abrechnungen.
Vor dem Mietverhältnis:
Foto: iStock/ TommL
Reichen vor der Besichtigung der Name und eventuell Kontaktdaten wie Telefonnummer oder E-Mail-Adresse, so dürfen Vermieter nach der Besichtigung und der Willensbekundung der potenziellen Mieter zum Beispiel auch Fragen zur Zahlungsfähigkeit stellen. Stellt der Vermieter unzulässige Fragen, so dürfen die Miet-Interessenten sogar lügen. Denn es besteht keine grundsätzliche Pflicht zur wahrheitsgemäßen Beantwortung. Das betrifft insbesondere die Mieterselbstauskunft, die Vermieter gern bereits zur Besichtigung einholen.
Kommt es zu einem Mietvertrag, muss der Vermieter weitere Daten seines Mieters erheben. Doch der Grundsatz der Datensparsamkeit gilt auch dabei. In der Regel werden für die Abwicklung des Vertragsverhältnisses nur der Name und die Anschrift des Vertragspartners sowie die Bankverbindung gegebenenfalls mit einer Einverständniserklärung für ein SEPA-Lastschriftmandat benötigt. In manchen Fällen ist auch die Erhebung des Geburtsdatums erforderlich, um Mieter mit gleichem Namen auseinanderhalten zu können. Darüber hinausgehende Daten dürfen nur dann erfasst werden, wenn sie für die Erfüllung des Vertrages von Bedeutung sind. Das sind zum Beispiel Daten zur Art des Einkommens oder die Anzahl der in der Wohnung lebenden Personen sowie deren familiäre Stellung zum Mieter.
Achtung: Kommt es zu keinem Mietvertrag mit einem Interessenten, so ist der Vermieter verpflichtet, die bis dahin erhobenen Daten unverzüglich zu löschen.
Während des Mietverhältnisses:
Foto: iStock/ Vanda9
Auch nach Abschluss des Mietvertrages darf der Vermieter nicht wahllos Daten über seine Mieter erheben. Zum Beispiel dürfen Vermieter nicht einfach Fotos oder Filmaufnahmen der Mietsache ohne die Genehmigung des Mieters machen, es sei denn, sie dokumentieren damit Schäden.
Regelmäßig erhoben werden während des Mietverhältnisses Ablesewerte von Strom, Wasser und gegebenenfalls Gas. Das Ablesen übertragen Vermieter in der Regel Ablesefirmen. Welche das sind, müssen sie vor dem Ablesetermin ihren Mietern mitteilen.
Nach dem Mietverhältnis:
Foto: Robert Kneschke/ fotolia.com
Zieht der Mieter aus der Mietwohnung wieder aus und beendet das Mietverhältnis, so markiert das grundsätzlich auch das Ende der Verarbeitungsbefugnis der Personendaten des Mieters. Aus dem Grundsatz der Datenminimierung und dem Erforderlichkeitsgrundsatz ergibt sich die Verpflichtung die Mieterdaten nach Vertragsende zu löschen. Bis zur Rückzahlung der Kaution und der Endabrechnung der Nebenkosten bleiben die Daten für den Vermieter allerdings erforderlich und zögern somit das Löschen heraus. Weitere Gründe, die Daten über das Mietverhältnis hinaus zu behalten, sind steuerliche Verpflichtungen oder laufende Rechtstreitigkeiten mit dem ehemaligen Mieter.
Auch wenn das Mietverhältnis beendet ist, bleibt der Datenschutz für ehemalige Mieter erhalten. So unterliegt das Übermitteln von Daten – zum Beispiel an eine Mietdatenbank, die einen Mietspiegel für den Wohnort erstellt – weiterhin der Informationspflicht. Auch wenn dabei die Einzelangaben nicht direkt an eine Person geknüpft sind. Es reicht schon die rechtliche oder technische Möglichkeit aus, die Daten mit der Person in Bezug bringen zu können.
Empfindliche Strafen sollen abschreckend wirken
Werden die Datenschutzvorschriften der DSGVO nicht eingehalten, haben Datenschutzbehörden verschiedene Handlungsoptionen. Zum einen kann die Behörde bei einem Verstoß eine Warnung aussprechen. Zum anderen kann sie ein vorübergehendes oder endgültiges Verbot der Verarbeitung sowie eine Geldbuße verhängen. Die Behörde muss dabei sicherstellen, dass die Geldbuße wirksam, verhältnismäßig und abschreckend ist. Dabei spielen die Art, Schwere und Dauer des Verstoßes eine Rolle. Aber auch ob der Verstoß versehentlich oder vorsätzlich geschah. Außerdem können betroffene Personen Schadenersatz verlangen. Dabei sollte beachtet werden, dass die Beweislast beim Verantwortlichen liegt. In einem Mietverhältnis muss der Vermieter somit nachweisen, dass er mit den Daten sorgfältig umgegangen ist.
Auch für Immobiliensuchende bringt die neue Datenschutzverordnung einige Änderungen mit sich: In erster Linie verbessert sich der Schutz der Suchenden durch die Pflichten derjenigen, die ihre Daten erheben und speichern. Daneben gibt es aber auch neue Rechte für sie.
Wer eine Immobilie sucht, vertraut seine Daten Suchportalen, Maklern und schließlich Immobilieneigentümern an, die ihre Immobilie vermieten oder verkaufen wollen. Dabei sollten Suchende wissen: Grundsätzlich ist es verboten, personenbezogene Daten zu erheben, sie zu nutzen und sie zu speichern. Hierzu gibt es aber gesetzlich definierte Ausnahmen. Das sind die wesentlichen Ausnahmen:
wenn sie selbst die Erlaubnis dazu erteilen
wenn Daten beispielsweise zur Erfüllung eines Vertrages oder rechtlicher Pflichten notwendig sind. So muss ein Makler beispielsweise die Identität von Interessenten feststellen und eine Kopie vom Ausweis anfertigen, um das Geldwäschegesetz zu erfüllen. Und auch einen Miet- oder Kaufvertrag kann man nicht anonym abschließen. In diesen Fällen dürfen Makler und Vermieter Daten verarbeiten, ohne den Mieter explizit um Erlaubnis zu fragen.
Daraus folgt für die jeweiligen Geschäftsparteien:
Makler dürfen Daten von Immobiliensuchenden ohne gesonderte Erlaubnis verarbeiten, wenn sie rechtlich dazu verpflichtet sind oder die Verarbeitung der Daten zur Vertragserfüllung notwendig ist. Damit der Makler Suchenden ein Exposé zuschicken kann, benötigt er zum Beispiel die E-Mail-Adresse. Zur Anbahnung eines Miet- oder Kaufvertrags sind ebenso einige Daten geschäftsrelevant, etwa die Anzahl der Personen, die in eine Mietimmobilie einziehen sollen, oder der aktuelle Beruf des Interessenten. Auch bestimmte Gesetze, wie das Geldwäschegesetz, verpflichten Makler, Daten von Suchenden zu verarbeiten.
Sobald der Suchende sich gegen eine Wohnung entscheidet oder abgelehnt wurde, müssen die Daten in der Regel gelöscht werden. Es sei denn, der Makler ist verpflichtet, bestimmte Unterlagen aus steuerrechtlichen Gründen aufzubewahren.
Vermieter benötigen ebenfalls nur dann Daten, wenn ein Geschäft zustande kommt oder eines angebahnt wird: Die Anschrift ist ohnehin bekannt, der Name steht im Mietvertrag, die Kontodaten erhält der Vermieter spätestens mit der ersten Mietzahlung automatisch. Alle weiteren Daten wie beispielsweise seine Telefonnummer muss ein Interessent nicht herausgeben. Da es allerdings sinnvoll ist, schnell und einfach mit dem Vermieter oder Makler kommunizieren zu können, geben Interessenten ihre Nummer üblicherweise freiwillig heraus.
Vermieter dürfen gewisse Daten ihrer Mieter in bestimmten Fällen auch weitergeben – zum Beispiel an eine Ablesefirma oder die Hausverwaltung. Eine gesonderte Erlaubnis des Mieters ist hierfür in aller Regel nicht erforderlich. Der Vermieter muss den Mieter aber über diesen Datentransfer informieren.
Nach dem Ende des Mietverhältnisses braucht der Vermieter auch die neue Anschrift, um beispielsweise die Nebenosten abrechnen zu können. Sobald aber die letzte Nebenkostenabrechnung verschickt wurde und der Vermieter auch die Kaution zurücküberwiesen hat, muss er die Daten seines früheren Mieters löschen.
Die 4 wichtigsten DSGVO-Punkte für Immobilien-Suchende
Mieter haben gut lachen: Durch die DSGVO dürfen sie jederzeit nachfragen, welche Daten Vermieter oder Makler über sie haben. Und dürfen auch das Löschen fordern.
Foto: iStock/ lechatnoir
Suchende können folgende Rechte wahrnehmen, um selbst aktiv dafür zu sorgen, dass ihre persönlichen Daten geschützt werden:
1. Auskunftsrecht: Suchende können bei Maklern, Verkäufern und Vermietern nachfragen, welche Daten diese haben und wozu sie die personenbezogenen Daten verwenden.
2. Informationspflicht: Passend dazu verpflichtet die Datenschutz-Grundverordnung Makler und Eigentümer dazu, Immobilieninteressenten umgehend zu informieren, sobald sie personenbezogene Daten erheben und speichern. Eine besondere Form ist für diese Informationen vom Gesetzgeber nicht vorgesehen.
3. Erlaubnis widerrufen: Sofern Suchende irgendwann eine Erlaubnis erteilt haben, Daten zu erheben, können sie diese jederzeit widerrufen. Auch dieser Vorgang ist formfrei, kann also schriftlich oder mündlich erfolgen. Das nützt ihnen allerdings nichts, wenn die Daten aufgrund eines gesetzlichen Privilegs erhoben wurden. Ein Mieter kann also nicht vom Vermieter verlangen, seine Daten während des laufenden Mietverhältnisses zu löschen.
4. Löschung: Suchende können Makler und Vermieter auch dazu auffordern, eventuell gespeicherte Daten zu löschen. Auch hiervon sind Daten, die aufgrund des Erlaubnisvorbehaltes erhoben wurden und noch benötigt werden, ausgenommen. Braucht der Vermieter die Daten also zum Beispiel noch, um die Nebenkosten abrechnen zu können, muss er sie nicht löschen.
Was Immobilieninteressenten bei Datenschutzverstößen tun können
Fällt einem Immobilien-Suchenden auf, das seine Daten unberechtigt erhoben und gespeichert wurden oder nicht ausreichend geschützt wurden, kann er dies dem Datenschutzbeauftragten melden. Zuständig sind die Datenschutzbeauftragten des Bundeslandes, in welchem der Vermieter wohnt oder in dem der Makler seinen Sitz hat.
in obiger Seite wird darauf hingewiesen, daß Wohnungsanbieter 'datensparsam' handeln sollen und vor einer Besichtigung lediglich Namen, Anschrift und Telefonnummer (ggfs auch eMail-Adresse) erfragt werden... mehr
wir arbeiten schon seit längerem an einer Vielzahl von Änderungen, um unsere Webseite an die Vorgaben der neuen DSGVO anzupassen und unseren Kunden bei richtiger Handhabung eine sichere Nutzung unserer... mehr
