kontakt@klie-sieber.de
0361 - 550 756 0

Klie & Sieber

Regelmäßige Fachbeiträge

EU – Datenschutzgrundverordnung (DSGVO) für Vermieter

16 Mai 2018
0

Das DSGVO-Gespenst geht um. Im Hinblick auf den 25.05.2018 als Umsetzungsdatum ohne weitere Übergangsfristen bewegt sich bei vielen der Gemütszustand zwischen Panik und noch mehr Panik. Das liegt vor allem an den unreflektiert zitierten Höchstbußgeldern der Vorschrift mit 20 Millionen Euro oder 4 % des weltweiten Gesamtjahresumsatzes.

Die EU – DSGVO betrifft auch Vermieter

Für Sie als Vermieter stellt sich daher die Frage: „Geht mich die EU – DSGVO überhaupt etwas an? Ich vermiete doch nur ein, zwei oder mehrere Wohnungen.“ Dies lässt sich recht leicht beantworten: mit einem einfachen “Ja”.

Eine Datenerhebung und -verarbeitung u.a. persönlicher Daten beginnt schon mit den Angaben im Mietvertrag nebst den vielleicht eingeholten SCHUFA- und Bürgelauskünften, eingeholten Mietschuldenfreiheitsbescheinigungen oder vom Mieter angeforderten Bankdaten usw.. Selbst wenn vorgenannte Unterlagen einfach nur in den vorhandenen Leitzordner in ein Regal gestellt werden, liegt eine klassische Verarbeitung und Datenspeicherung vor. Darüber hinaus hat es sich als üblich eingebürgert, dass die Kommunikation zwischen Vermieter und Mieter oft per Mail abgewickelt wird und die entsprechenden E-Mails selbstverständlich dann auch gespeichert werden. Es ist also vollkommen gleich, ob ich lediglich nur ein oder zwei Wohnungen vermiete oder einen umfangreichen Wohnungsbestand verwalte. Es werden in jedem Falle regelmäßig personenbezogene Daten verarbeitet.

Nicht nur Mieterdaten – auch Interessentendaten sind betroffen

Selbst bei Interessentenanfragen muss der Interessent darüber informiert und dessen Einverständnis eingeholt werden, dass seine Daten gespeichert werden. Sollte es in der Folge jedoch nicht zu einem Mietvertragsabschluss kommen, ist der Vermieter verpflichtet, die erhobenen Daten unverzüglich zu löschen. Was also für Interessenten gilt, gilt erst recht für Mieter.

Pflichten im Umgang mit den Daten

Vermieter haben jedenfalls gegenüber ihren Mietern eine Pflicht, eine Einwilligungserklärung über die Datenspeicherung einzuholen. Eine Löschpflicht besteht auch nach Beendigung des Mietverhältnisses soweit nicht eigene Interessen des Vermieters einer Löschung entgegenstehen. Dies ist wiederum dann der Fall, wenn sogenannte berechtigte Interessen des Verantwortlichen vorliegen zum Beispiel bei der Durchsetzung eigener Rechte, bei gesetzlichen Aufbewahrungspflichten und insbesondere auch noch für das laufende Mietverhältnis. Die Löschfristen beginnen also regelmäßig bis der mit der Speicherung und Verarbeitung der Daten verbundene Zweck weggefallen ist. Diese zugegebenermaßen recht weiche Formulierung ist auslegungsbedürftig und muss von Fall zu Fall einzeln vom Vermieter als Verantwortlichem bewertet werden.

Der Vermieterseite ist daher grundsätzlich zur Erfüllung und Umsetzung der DSGVO-Normen zu empfehlen – wenigstens in Textform – über die Datenverarbeitung aufzuklären. Folgende Punkte müssen in die Erklärung mit hineinfließen:

– Kontaktdaten einschließlich Namen des Vermieters, gegebenenfalls der Hausverwaltung
– eine Erklärung des Grundes für die Datenerhebung
– Aufklärung über eventuelle Weiterleitung der Daten an Dritte
– Datenspeicherungsdauer
– Aufklärung über die Rechte der Mieter einschließlich der Nennung der jeweiligen gesetzlichen
Grundlage
– Aufklärung über das Beschwerderecht bei der zuständigen Datenschutzbehörde

Verfahrensverzeichnis

Die DSGVO bestimmt, dass grundsätzlich jede verantwortliche Stelle der Pflicht zur Erstellung und Führung eines Verfahrensverzeichnisses verpflichtet ist. Eine gewisse Erleichterung gibt es für Unternehmen oder Einrichtungen, welche weniger als 250 Mitarbeiter aufweisen. Gemäß Art. 30 Abs. 5 DSGVO ist von der Führung eines Verzeichnisses derjenige befreit, bei welchem die Verarbeitung von personenbezogenen Daten

– kein Risiko für die Rechte und Freiheit der betroffenen Person bergen,
– nur gelegentlich erfolgen oder
– keine besonderen Datenkategorien gemäß § 9 Abs. 1 DSGVO oder strafrechtliche Verurteilung und Straftaten im Sinne von Art. 10 DSGVO betreffen

Jetzt könnte man hier also auf die Idee kommen, dass Vermieter von der Führung eines Verarbeitungsverzeichnisses entbunden sein könnten. Scheint es doch, dass nur gelegentlich Daten beispielsweise bei Abschluss eines Mietvertrages, erhoben werden. Jedoch erfolgen regelmäßig im Rahmen des Mietverhältnisses jährliche Nebenkostenabrechnungen oder in regelmäßigen Abständen notwendige Mieterhöhungen. Regelmäßig wird außerdem der Brief- und E-Mail-Verkehr zwischen Mietern und Vermietern gespeichert, sodass derzeit die Ansicht vorherrscht, dass nur mit ganz geringen Ausnahmefällen wohl immer ein Verzeichnis geführt werden muss.

Gemäß Art. 30 EU – DSGVO unterliegt daher der Vermieter hinsichtlich erhobener Daten auch umfangreichen Dokumentationspflichten. Diese müssen ab dem 25.05.2018 umgesetzt werden und es muss ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten angefertigt werden.

Das Verarbeitungsverzeichnis muss folgende Punkte aufweisen:

– Namen und Kontaktdaten des Verantwortlichen, also hier des Vermieters und des Vertreters
(beispielsweise Hausverwaltung)
– der Grund und der Zweck der Verarbeitung der Daten
– Kategorie der betroffenen Personen
– Aufklärung darüber, an wen die Mieterdaten weitergeleitet werden im Rahmen des
Mietverhältnisses
– Aufstellung eines Löschkonzepts
– Dokumentation von technischen und organisatorischen Maßnahmen (TOM) – also Maßnahmen
zur Gewährleistung der Sicherheit der Verarbeitung von personenbezogenen Maßnahmen
einschließlich einer sogenannten Datenschutzfolgeabschätzung

Einsatz beauftragter Dritter

Sobald sich ein Vermieter darüber hinaus anderer Firmen oder Dritter bedient, welche sich ebenfalls mit der Datenverarbeitung der Mieterdaten befassen, wie beispielsweise eine klassische Hausverwaltung oder Ablesefirma, muss der Vermieter die Dienstleistung datenschutzrechtlich absichern.

Die Gesetzgebung fordert hier spezielle Verträge zwischen dem Vermieter und dem Dienstleister, welche vertraglich festlegen, dass der Vermieter weiter die Datenhoheit behält und den Dienstleister zudem verpflichten, geeignete Sicherheitsvorkehrungen hinsichtlich der Mieterdaten zu gewährleisten (Vereinbarungen zur Auftragsdatenvereinbarung).

Soweit Dritte zwar nicht mit der Verarbeitung von Daten beauftragt sind, allerdings im Rahmen ihrer Tätigkeit möglichen Zugang zu Daten haben, sind diese zur Verschwiegenheit zu verpflichten. Diese Verpflichtungen sind zu dokumentieren.

Datenschutzbeauftragter

Zu guter Letzt muss sich der Vermieter dann noch klarmachen, ob er einen internen oder externen Datenschutzbeauftragten bestellen muss. Ein Datenschutzbeauftragter muss im Grundsatz jedoch erst bestellt werden, wenn mindestens 10 Mitarbeiter regelmäßig mit der automatisierten Datenverarbeitung (Erhebung und Nutzung) zu tun haben.

Sollten hingegen besondere Kategorien von personenbezogenen Daten verarbeitet werden, beispielsweise über die Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person, besteht ebenfalls eine Verpflichtung – unabhängig von der Anzahl der Mitarbeiter – in jedem Falle einen Datenschutzbeauftragten zu bestellen. Bei der Durchführung eines Mietverhältnisses sollte daher geprüft werden, inwieweit darauf verzichtet werden kann, vorgenannte Daten zu erheben, verarbeiten oder zu speichern. Auch liegt bei einem Mietverhältnis in der Regel nicht ein Geschäftsfeld vor, in welchem personenbezogene Daten geschäftsmäßig übermittelt, erhoben, verarbeitet oder genutzt werden, also Verarbeitungsvorgänge die Kerntätigkeit des Unternehmens sind.

Sanktionen und Bußgelder

Nun kommen wir zu den Gründen der landläufigen Hektik und Panik. Diese finden sich in der Höhe der angedrohten Bußgelder für den Fall, dass ein Verstoß aufgedeckt wird. Angedroht sind im Höchstfall 20 Millionen Euro oder 4 % des weltweiten Gesamtjahresumsatzes – selbstverständlich müssen sich konkrete Bußgelder jedoch nach Art und Schwere des Verstoßes richten. Der zweite Grund ist die Angst vor einer möglichen Abmahnung.

Handlungsempfehlung

Hektik und Panik ist jedoch unangebracht. Grundsätzlich muss man sich vor Augen halten, dass das Prinzip gilt, dass es besser ist, etwas zu tun, als nichts zu unternehmen. Mit einer gewissen Einarbeitungszeit und unter entsprechender Anleitung kann ein sogenanntes Datenverarbeitungsverzeichnis mit überschaubarem Aufwand erstellt werden. Unter weiterer Beachtung der vorgenannten Grundsätze, Aufklärungspflichten und Einholung von Einwilligungen zur Datenverarbeitung von Ihren Mietern ist die vermeintliche Gefahr schnell gebannt.

Sollten Sie dennoch abgemahnt werden, müssen Sie sich immer vor Augen halten, dass es sich vorliegend um ein gänzlich neues Rechtsgebiet handelt. Viele Teilbereiche dieses Rechtsgebietes sind derzeit noch heillos umstritten, da sie unklar geregelt worden sind. Insoweit kann man nur raten, dass für den Fall des Zugangs einer Unterlassungserklärung diese keinesfalls unterschrieben werden sollte, sondern allenfalls eine selbst verfasste modifizierte Unterlassungserklärung abgegeben wird – und das am besten nach einer rechtlichen Beratung. Auch sollten keinesfalls Zahlungen geleistet werden. Abmahnkanzleien werden in der Regel Rechtsstreite scheuen, da sie sich immer in der Gefahr befinden, dass ihr schönes Geschäftsmodell schnell zerschlagen werden kann, sobald auch nur eine entgegenstehende Entscheidung im Internet veröffentlicht wird. Erstes Gebot ist daher „Ruhe bewahren !“.

Folgende Maßnahmen empfehlen wir Vermietern nun ohne großes Zögern vorzunehmen:

  1. Erstellen eines Informationsschreibens zur Datenspeicherung für Interessenten
  2. Erarbeitung von Einwilligungserklärungen zur Datenspeicherung für Mieter
  3. Erfüllung von Informationspflichten gegenüber Mietern
  4. Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten
  5. Erstellen und Abschließen vertraglicher Vereinbarungen mit Auftragsdatenverarbeitern (z.B. Ablesedienste)
  6. Einholen von Verschwiegenheitsverpflichtungserklärungen von Mitarbeitern und weiteren beauftragten Dritten

Unterstützung

Soweit Sie konkrete Beratung und Unterstützung bei der Umsetzung benötigen, wenden Sie sich gern an uns als Kanzlei.

, , , , , , , , , , ,

Autor des Beitrags

Kanzlei Klie & Sieber

Werter Leser, in unserem Blog finden Sie einige hilfreiche Tipps aus den Bereichen Recht & Steuern. Diese Beiträge ersetzen allerdings nie eine detaillierte Beratung. Sollten Sie Fragen haben zu diesem oder weiteren Themen, dann schreiben Sie uns!