Datenschutz-Grundverordnung

Was müssen Vermieter wissen?

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Das bisher in Deutschland geltende Bundesdatenschutzgesetz wurde daher überarbeitet und gilt ab diesem Zeitpunkt neben den Regelungen der DSGVO auch für alle privaten Vermieter, Hausverwalter und Makler. Wer sich bisher noch nicht mit dem Datenschutzrecht beschäftigt hat, sollte sich nun mit den Anforderungen auseinandersetzen, um Konflikte zu vermeiden. Denn wer sich nicht an die Vorschriften hält, riskiert Bußgelder und die Überprüfung der datenschutzrechtlich gebotenen Vorkehrungen durch die zuständige Landesdatenschutzbehörde.

In Panik muss aber keiner verfallen. Zwar sind die Pflichten vielfältig und können von privaten Vermietern nicht immer hundertprozentig erfüllt werden. Aber wenn Vermieter den Aufsichtsbehörden zeigen, dass sie sich mit der Materie auseinandergesetzt haben, können einzelne Missstände und Lücken auch nach und nach geschlossen werden.

Wer muss die datenschutzrechtlichen Vorschriften beachten?
Natürliche Personen sind von dem Anwendungsbereich der DSGVO ausgenommen, wenn sie personenbezogene Daten ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten verarbeiten (Art. 2 Abs. 2 DSGVO). Alle geschäftlichen Prozesse eines privaten Vermieters unterfallen aber dem Anwendungsbereich und zwar vollkommen unabhängig, ob er wenige oder viele Wohnungen vermietet.

Grundsatz der Datenminimierung und Zweckbindung
Grundsätzlich gilt: Es ist unzulässig, so viele Daten wie möglich über Mieter und deren Familienangehörige zu sammeln (Grundsatz der Datensparsamkeit/Datenminimierung Art. 5 Abs. 1 lit. c DSGVO). Vielmehr dürfen nur die im Zusammenhang mit dem konkreten Zweck – zum Beispiel der Begründung eines Mietverhältnisses – erforderlichen Daten erhoben werden (Grundsatz der Zweckbindung Art. 5 Abs. 1 lit. b). Vor jeder Datenerhebung ist daher ein konkreter Zweck zu ermitteln. Danach bestimmt sich der Umfang der zulässigen Datenverarbeitung. Auch der zeitliche Zusammenhang ist maßgeblich. Es geht also nicht darum, welche Daten benötigt der Vermieter möglicherweise irgendwann einmal. Vielmehr muss er sich fragen, wozu benötigt er die Daten zum jetzigen Zeitpunkt konkret. Wenn der Zweck erreicht wurde und es keinen Grund für die weitere Datenaufbewahrung gibt (etwa wegen einzuhaltender Aufbewahrungsfristen nach der AO), müssen die Daten wieder gelöscht beziehungsweise vernichtet werden.

Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören unter anderem Namen und Adressdaten, Geburtsdaten, Bankdaten und Verbrauchsdaten. Werden personenbezogene Daten automatisiert oder aber auch nicht automatisiert verarbeitet und in einem Dateiensystem gespeichert, müssen die Regelungen des Datenschutzrechts beachtet werden. Dabei liegt eine automatisierte Verarbeitung schon vor, wenn beispielsweise ein Kopierer oder ein Scanner benutzt wird. Auch handschriftliche Aufzeichnungen werden als nicht automatisierte Verarbeitung erfasst. Der Begriff der Datenverarbeitung ist dabei grundsätzlich weit auszulegen. Die Verarbeitung erfolgt durch Erheben, Erfassen, Ordnen in Ablageordnern, Speichern, Verändern, Abfragen, Verwenden, Offenlegen durch Übermitteln, Abgleichen, Verknüpfen sowie Löschen beziehungsweise Vernichten personenbezogener Daten.

Welche Daten dürfen nicht erhoben werden?
Daten zu Sexualleben und sexueller Orientierung, rassischer oder ethnischer Herkunft, religiöser Weltanschauung oder politischer Einstellung sind sogenannte Daten der besonderen Kategorie (Art. 9 DSGVO). Solche Daten dürfen nur in sehr engen Ausnahmefällen erhoben werden. Im Mietverhältnis ist eine solche Datenerhebung grundsätzlich unzulässig. Vermietern können solche Daten auch aufgedrängt werden, beispielsweise indem der Mieter selbst solche Daten ungefragt übergibt oder sich Mitmieter schriftlich äußern. Solche Daten sind dann zu löschen beziehungsweise zu vernichten.

Keine Datenverarbeitung ohne Rechtsgrundlage
Die Datenerhebung, Ablage und Weitergabe ist nur zulässig, wenn eine Rechtsgrundlage die Verarbeitung erlaubt. Insbesondere folgende Rechtsgrundlagen (Art. 6 DSGVO) können für die Verarbeitung personenbezogener Daten herangezogenen werden:

• Vertragserfüllung: Wenn die Verarbeitung für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist und die Person, dessen Daten verarbeitet werden, Vertragspartner ist oder werden soll.
• Berechtigte Interessen: Wenn die Verarbeitung zur Wahrung berechtigter Interessen des verantwortlichen Vermieters oder eines Dritten erforderlich ist, sofern nicht schutzwürdige Interessen der Person, dessen Daten verarbeitet werden, überwiegen.
• Rechtspflicht: Wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des verantwortlichen Vermieters erforderlich ist.
• Einwilligung: Wenn die Person, deren Daten verarbeitet werden sollen, der Datenverarbeitung zugestimmt hat.
  

Vorsicht mit Einwilligung als Rechtsgrundlage!
Die Einwilligung als Rechtsgrundlage sollte allerdings sparsam verwendet werden, denn sie ist an verschiedene Voraussetzungen geknüpft. So muss sie freiwillig, also ohne Druck oder empfundenen Zwang erteilt werden. Dies kann beispielsweise bei der Datenerhebung von Mietinteressenten in einem angespannten Wohnungsmarkt problematisch sein. Darüber hinaus kann die Einwilligung auch jederzeit widerrufen werden. Der Vermieter ist aber verantwortlich, im Streitfall auch die Rechtsgrundlage, auf der er die Daten erhoben und gespeichert hat, nachzuweisen.