Datenschutz-Grundverordnung, Teil 3

(Teil 1 finden Sie hier: Was müssen Vermieter wissen - Teil 1

Teil 2 finden Sie hier: Was müssen Vermieter wissen - Teil 2)

Informationspflichten und Auskunftsrechte
Jede Person, deren Daten verarbeitet werden, hat das Recht zu erfahren, um welche Daten es sich handelt und wie sie verarbeitet werden. Der Vermieter ist hier dem Mieter gegenüber in der Pflicht. Die Informationspflichten entstehen gemäß Artikel 13, 14 DSGVO im Zeitpunkt der Datenerhebung beziehungsweise der Datenverarbeitung. Dabei muss der Vermieter dem Betroffenen zum Zeitpunkt der Datenverarbeitung Folgendes mitteilen:

• Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten
• Zweck der Datenverarbeitung und Rechtsgrundlage sowie Dauer der Speicherung
• gegebenenfalls Empfänger der personenbezogenen Daten
• Hinweis auf Auskunftsrecht, Beschwerderecht bei der zuständigen Aufsichtsbehörde, Widerspruchsrecht, Recht auf Löschung usw. 
• zusätzlich auch die Kategorien personenbezogener Daten, die verarbeitet werden, wenn die Datenerhebung nicht bei der betroffenen Person erfolgt.
  

Wenn Sie ein Muster benötigen, erkundigen Sie sich bitte bei Ihrem Haus & Grund-Verein.

Daneben stehen dem Betroffenen auch noch folgende weitere Rechte zu:

• Auskunft (Artikel 15 DSGVO, § 34 BDSG)
• Berichtigung (Artikel 16 DSGVO, Löschung § 35 BDSG-neu, Artikel 18 DSGVO)
• Widerspruch gegen die Verarbeitung (§ 36 BDSG)
• Recht, keiner automatisierten Entscheidung unterworfen zu sein (§ 37 BDSG, Artikel 22 DSGVO)
  

Macht ein Mieter seine Rechte geltend, muss der Verantwortliche (Vermieter) reagieren. Verlangt der Mieter beispielsweise Auskunft, muss der Vermieter dessen Daten zusammenstellen und ihm unverzüglich, regelmäßig aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung stellen (Artikel 12 Abs. 3 DSGVO). Die Identität des Auskunftsverlangenden muss vor der Erteilung der Auskunft gesichert sein (vgl. Artikel 12 Abs. 1 S. 3 letzter Halbsatz, Abs. 6 DSGVO), etwa durch Vorlage eines Ausweisdokuments. Übermittelt der Vermieter Daten an einen Rechtsanwalt oder Steuerberater, muss er darüber weder informieren (§ 29 Abs. 2 BDSG) noch Auskunft erteilen (§ 34 Abs. 1 BDSG). Die Ablehnung des Auskunftsverlangens muss aber dokumentiert werden.

Löschfristen
Gemäß § 17 DSGVO sind alle personenbezogenen Daten zu löschen, wenn diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Der Zeitpunkt der Löschung hängt also vom jeweiligen Zweck der Datenbearbeitung ab:

• Daten zu den Betriebskosten sind mindestens bis zum Ablauf der Mieter-Einwendungsfrist aufzubewahren (gemäß § 556 Abs. 3 S. 4 BGB zwölf Monate nach Zustellung der Abrechnung).
• Daten, die Vermieteransprüche betreffen, sind mindestens bis zum Ablauf der regelmäßigen Verjährungsfrist gemäß § 195 BGB (drei Jahre) aufzubewahren.
• Im Falle eines Rechtsstreits sind die Daten nicht vor rechtskräftigem Abschluss des Rechtsstreits zu löschen.
• Mietverträge und Betriebskostenabrechnungsunterlagen sind gemäß § 147 AO zehn Jahre aufzubewahren.

Verzeichnis der Datenverarbeitungstätigkeit
Ob auch private Vermieter als Verantwortliche ein sogenanntes Verzeichnis der Datenverarbeitungstätigkeiten gemäß Artikel 30 DSGVO führen müssen, ist bisher nicht abschließend geklärt. Haus & Grund empfiehlt, ein solches Verarbeitungsverzeichnis zu erstellen. Gemäß Artikel 30 Abs. 5 DSGVO ist das immer dann notwendig, wenn die Verarbeitung von Daten nicht nur gelegentlich erfolgt. Nach den Hinweisen zum Verzeichnis von Verarbeitungstätigkeiten, Artikel 30 DSGVO der DSK (Datenschutzkonferenz), liegt eine gelegentliche Datenverarbeitung bereits dann nicht mehr vor, wenn etwa regelmäßig Lohnabrechnungen getätigt werden. Dieses Beispiel ist wohl gleichzusetzen mit der Abrechnung monatlicher Mieteinnahmen.

Das Verzeichnis der Datenverarbeitungstätigkeiten kann jederzeit bearbeitet und ergänzt werden. Auch hier gibt es kein verbindliches Muster. Erst die Praxis wird in den kommenden Jahren zeigen, wie die Anforderungen konkret auszusehen haben. Ein Muster hierzu erhalten Sie bei Ihrem Haus & Grund-Verein.

Technische und organisatorische Maßnahmen (TOM)
Die Datenverarbeitungsgeräte (wie PC, Tablets, Smartphones) müssen überprüft werden, um Datenschutz zu gewährleisten. Denn Artikel 32 DSGVO, § 64 BDSG verpflichtet jeden, geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Integrität und Vertraulichkeit der Daten zu gewährleisten. Es gibt hier keinen standardisierten Katalog. Die Maßnahmen müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignet und angemessen sein. Das bedeutet, dass von einem privaten Vermieter weniger Wohnungen ohne Einsatz von eigenen Servern, Personal und Ähnlichem andere technische Maßnahmen erwartet werden können als von einer großen Hausverwaltung, die dutzende Datensätze mit wechselndem Personal und Dienstleistern managt.

Folgende technische Schutzmaßnahmen können von privaten Kleinvermietern im Allgemeinen erwartet werden:

• Die Geräte müssen über einen aktuellen Anti-Viren-Schutz und eine aktuelle Firewall verfügen.
• Die Geräte müssen passwortgesichert sein. Das Passwort sollte Zahlen sowie eine Kombination aus Groß- und Kleinbuchstaben enthalten. Es sollte auch nicht zu kurz sein.
• Sofern Dritte wie Familienangehörige ebenfalls das Gerät benutzen, müssen Ordner mit personenbezogenen Daten passwortgesichert sein, so dass sie für Dritte nicht zugänglich sind.
• Die Weitergabe von Daten sollte verschlüsselt erfolgen. Sofern personenbezogene Daten per E-Mail versendet werden, ist eine Transportverschlüsselung (TLS- oder SSL-Verschlüsselung) erforderlich. Wenn Dienstleister Dokumentenmanagementsysteme zum Hochladen von Dateien und zur Kommunikation anbieten, die mit Benutzerkonto und individuellem Passwort gesichert sind, sollten diese genutzt werden. Falls möglich, sollten Daten in anonymisierter oder pseudonymisierter Form weitergebeben werden.
• Von den Dateien sind regelmäßig Sicherheitskopien zu erstellen. Dabei sind die Löschpflichten zu beachten. Daher sollten die Datenträger regelmäßig überschrieben werden.
• Akten mit personenbezogenen Daten sind so aufzubewahren, dass Dritte keinen ungehinderten Zugang erhalten. Dies kann durch verschließbare Aktenschränke oder durch Abschließen des Raumes geschehen. Auch ausgedruckte E-Mails und Briefe dürfen nicht offen herumliegen.
• Bei der Benutzung von Mailverteilern gilt: E-Mailadressen der anderen Empfänger dürfen nicht sichtbar sein (bcc-Einstellungen); nur verschlüsselte W-LANs sollten genutzt werden.
• Akten sind bei Ablauf der Löschfristen ordnungsgemäß durch den Einsatz von Aktenvernichtern oder durch Dienstleister zu vernichten. Auch Datenträger und Computer sind – nachdem sie aussortiert wurden – ordnungsgemäß zu löschen, beispielsweise durch Einsatz von professioneller Überschreibungssoftware.
• Etwaiges Reinigungspersonal ist sorgfältig auszuwählen.
• Achtung: Clouddienste sind regelmäßig Auftragsdatenverarbeiter. Hier müssen Auftragsdatenverarbeitungsverträge abgeschlossen werden. Dies ist bei E-Mailkonten nicht der Fall.
  

Kein Datenschutzbeauftragter erforderlich
Ein Datenschutzbeauftragter muss nur dann bestellt werden, wenn in einem Unternehmen mindestens zehn Personen mit der automatisierten Datenverarbeitung von personenbezogenen Daten beschäftigt sind (Artikel 37 Abs. 1 DSGVO, § 38 BDSG). Dies ist bei der privaten Vermietung regelmäßig nicht der Fall.