Private Vermieter und der neue Datenschutz

21.04.2018, Autor: Herr Anton Bernhard Hilbert / Lesedauer ca. 5 Min. (356 mal gelesen)
Die Datenschutzgrundverordnung, die am 25 Mai 2018 in Kraft tritt, stellt auch an jeden privaten Vermieter vielfältige Anforderungen. Bei Verstößen drohen Bußgelder. Deshalb muss sich jeder Vermieter mit der Materie auseinandersetzen. Darauf weist Rechtsanwalt Anton Bernhard Hilbert, Waldshut-Tiengen, hin.

1. Grundsatz der Datensparsamkeit und der Zweckbindung

Datenerhebungen sind nur zulässig, wenn sie einen konkreten Zweck dienen – Grundsatz der Datenminimierung und Zweckbindung. Dies gilt vor allem für personenbezogene Daten, zu denen der Name und die Adressdaten, das Geburtsdatum, Bankdaten und Verbrauchsdaten gehören. Nach Zweckerreichung müssen die nicht mehr benötigten Daten gelöscht werden. In Mietverhältnissen dürfen keine Daten zu Sexualleben und sexuelle Orientierung, zu rassischer oder ethnischer Herkunft, zu religiöser Weltanschauung oder politische Einstellung erhoben werden.

 
2. Alles, was nicht erlaubt ist, ist verboten

Die Datenerhebung und Datenverarbeitung ist nur zulässig, wenn sie gesetzlich erlaubt ist. Erlaubt ist sie insbesondere in folgenden Fällen nach Art. 6 der Datenschutz Grundverordnung:

–          Vertragserfüllung: Die Verarbeitung ist für die Erfüllung des Vertrages erforderlich oder für vorvertragliche Maßnahmen, wenn die betreffende Person Vertragspartner werden soll.

–          Berechtigte Interessen: Die Verarbeitung ist zur Wahrung berechtigter Interessen des Vermieters oder eines Dritten erforderlich nach Abwägung der schutzwürdigen Interessen der betreffenden Person.

–          Rechtspflicht: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung des Vermieters erforderlich.

–          Einwilligung: Die betreffende Person hat der Datenverarbeitung freiwillig und ohne Druck in jederzeit widerruflicher Weise nachweislich zugestimmt.

 
3. Datenverarbeitung vor Mietvertragsabschluss

Grundsätzlich dürfen für die Auswahl von Interessenten nur deren Namen und Telefonnummern als Daten erhoben werden. Soll dann unter dem Kreis der infrage kommenden Interessenten den Vertragspartner ausgesucht und mit in die Wohnung besichtigt werden, darf der Vermieter weitergehende Daten erheben, beispielsweise durch eine Mieterselbstauskunft. Auch hier gilt der Grundsatz der Daten Sparsamkeit und der Zweckbindung. Kontodaten werden deshalb erst bei Abschluss des Mietvertrages verarbeitet.

 
4. Datenverarbeitung bei Mietvertragsabschluss, Weitergabe von Daten an Dritte

Bei Mietvertragsabschluss können weitergehende Daten, beispielsweise die Bankverbindung, erhoben werden. Rechtsgrundlage für diese Datenerhebung ist die Vertragserfüllung.

Auch die Weitergabe von Daten an Dritte (Handwerker, andere Mieter, Verwalter, Steuerberater, Abrechnungsunternehmen) darf nur auf gesetzlicher Grundlage erfolgen, wenn dies also durch Vertragserfüllung, berechtigte Interessen, Rechtspflicht oder Einwilligung gedeckt ist. Auch dann bleibt der Vermieter für den Datenschutz verantwortlich und muss mit dem Dritten einen Vertrag des Inhalts abschließen, den Art. 28 Datenschutz Grundverordnung vorgibt. Oftmals bieten die Dienstleister solche Verträge dem Vermieter an. Beim Ablesen von Verbrauchsdaten müssen die Mieter über die Datenerhebung informiert werden, entweder im Mietvertrag selbst oder bei der Ankündigung der Ablesung der Verbrauchserfassungsgeräte.

 
5. Einsichtsrechte des Mieters in die Verbrauchsdaten anderer Mieter

Der Vermieter ist verpflichtet, einem Mieter auf Verlangen auch die Ablesebelege zu den anderen Wohnungen im Haus vorzulegen (vergleiche BGH, Urteil vom 07.02.2018, Az. VIII ZR 189/17). Auch dabei handelt es sich um eine Datenverarbeitung in Form der Weitergabe der Daten an Dritte. Rechtsgrundlage für die Offenlegung der Unterlagen ist die Vertragserfüllung. Die Mieter müssen informiert werden.

 
6. Weitergabe von Mieterdaten an Handwerker

Müssen Instandsetzungsmaßnahmen in der Wohnung vorgenommen werden, darf der Vermieter dem beauftragten Handwerker den Namen und die Adresse des Mieters benennen, nicht jedoch dessen Telefonnummer. Der Handwerker muss, wie auch bei sonstiger Weitergabe von Daten an Dritte, verpflichtet werden, die Daten nach Erfüllung des Auftrages wieder zu löschen.

 
7. Mietverwaltung

Hat der Vermieter ein Unternehmen mit der kompletten Mietverwaltung beauftragt, stellt dies keine Auftragsdatenverarbeitung dar. In diesem Fall ist das Unternehmen, das die Mietverwaltung durchführt, verantwortlich im Sinne der Datenschutz Grundverordnung. Allerdings muss auch der Vermieter die Anforderung des Gesetzes erfüllen, sofern er von der Hausverwaltung Mieterdaten erhält. Gibt der Vermieter solche Daten an seinen Steuerberater (Rechtsgrundlage: Berechtigtes Interesse) weiter, muss er den Mieter grundsätzlich darüber informieren.


8. Informationspflichten und Auskunftsrechte

Nach Art. 15 der Datenschutz Grundverordnung hat jeder Betroffene Anspruch darauf, Auskunft darüber zu erhalten, welche Daten von ihm zu welchem Zweck gespeichert worden. Er hat auch Anspruch auf Information, an wen seine Daten weitergegeben werden. Deshalb muss der Vermieter dem Mieter folgendes mitteilen:

- Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten
- Zweck der Datenverarbeitung und Rechtsgrundlage sowie Dauer der Speicherung
- Empfänger der personenbezogenen Daten
- Hinweis auf Auskunftsrecht, Beschwerderecht bei der zuständigen Aufsichtsbehörde,         Widerspruchsrecht, Recht auf Löschung usw.
- zusätzlich auch die Kategorien der persönlichen Daten, die verarbeitet werden, falls die Datenerhebung nicht bei der betroffenen Person erfolgt.

Die Mieter stehen auch noch weitere Rechte zu, nämlich das Recht auf

- Auskunft
- Berichtigung
- Widerspruch und
- das Recht, keine automatisierten Entscheidung unterworfen zu sein.

 
9.  Löschfristen

 Nach Art. 17 Datenschutz-Grundverordnung müssen alle personenbezogenen Daten gelöscht werden, wenn diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Die Notwendigkeit der Löschung hängt also vom jeweiligen Zweck der Datenerhebung bzw. Datenverarbeitung ab:

Betriebskosten: Aufbewahrung mindestens bis zum Ablauf der Einwendungsfrist des Mieters (12 Monate nach Zustellung der Abrechnung) die Abrechnung selbst mindestens 10 Jahre (§ 147 AO)

Daten, die Ansprüche des Vermieters gegen den Mieter betreffen: Aufbewahrung mindestens bis zum Ablauf der regelmäßigen Verjährungsfrist (gemäß § 190 BGB mindestens 3 Jahre)

Daten eines Rechtsstreits: Aufbewahrung mindestens bis zum rechtskräftigen Abschluss des Rechtsstreits

Mietverträge: Mindestens 10 Jahre gemäß § 147 AO

 
10. Verarbeitungsverzeichnis, technische und organisatorische Maßnahmen (TOM)

Der Vermieter ist gehalten, ein Verzeichnis der Datenverarbeitungstätigkeiten zu führen (Verarbeitungsverzeichnis). Dieses Verzeichnis kann jederzeit bearbeitet und ergänzt werden. Verbindliche Muster gibt es nicht.

Die Datenverarbeitungsgeräte (Computer, Notebooks, Tablets, Smartphones) müssen überprüft werden, um Datenschutz sicherstellen zu können. Jeder Vermieter ist nach § 64 BDSG (neu) verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Integrität und Vertraulichkeit der Daten zu gewährleisten. Es sind folgende Bereiche betroffen:

- Zugangskontrolle: Kein Zugang für Unbefugte
- Datenträgerkontrolle: Verhinderung unbefugter Nutzung des Daten (Lesen, Kopieren, Verändern, Löschen des Datenträgers)
- Speicherkontrolle: Verhinderung der unbefugten Eingabe personenbezogener Daten, der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten
- Benutzerkontrolle: Verhinderung unbefugter Nutzung durch automatisierte Verarbeitungssysteme mithilfe von Einrichtungen zur Datenübertragung
- Zugriffskontrolle: Gewährleistung, das Zugangsberechtigte ausschließlich zu den Daten Zugang haben, die für ihre Zwecke erforderlich sind
- Übertragungskontrolle: Feststellbarkeit, an welche Stellen Daten übermittelt wurden
- Eingabekontrolle: Der Steuerbarkeit, welche Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind
- Transportkontrolle: Schutz der personenbezogenen Daten bei der Übermittlung sowie beim Transport von Datenträgern hinsichtlich Vertraulichkeit und Integrität
- Datenintegrität: Sicherung gespeicherter Daten vor Fehlfunktionen des Systems
- Auftragskontrolle: Sicherstellung, dass Daten, die von Dritten im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können
- Verfügbarkeitskontrolle: Gewährleistung, dass Daten gegen Zerstörung oder Verlust geschützt sind
- Trennbarkeit: Möglichkeit, dass Daten je nach ihrem Zweck getrennt verarbeitet werden können.

Es können von privaten Vermietern, die nicht gewerblich tätig sind, folgende technische Schutzmaßnahmen erwartet werden:

 - Die Geräte müssen über einen aktuellen Anti Virenschutz und über eine aktuelle Firewall verfügen.
- Die Geräte müssen Passwort gesichert sein, das Passwort muss geeignet sein und eine Kombination aus Zahlen und Buchstaben enthalten.
- Ordner mit personenbezogenen Daten müssen Passwort gesichert sein, so dass sie für Dritte nicht zugänglich sind.
- Die Weitergabe von Daten sollte verschlüsselt erfolgen. Dazu ist eine Verschlüsselungssoftware zu installieren und zu benutzen. Sofern möglich, sollten Daten in anonymisierter oder pseudonymisierter Form weitergegeben werden.
- Von den Daten sind regelmäßig Sicherheitskopien zu erstellen.
- Akten mit personenbezogenen Daten sind so aufzubewahren, dass Dritte keinen ungehinderten Zugang erhalten. Dies kann geschehen durch verschließbare Aktenschränke oder durch das Abschließen des Raumes. Auch ausgedruckte E-Mails und/oder Briefe dürfen nicht offen             herumliegen.
- Bei der Benutzung von Mail Verteilern dürfen die E-Mail-Adressen der anderen Empfänger nicht sichtbar sein (bcc-Einstellung); nur verschlüsselte WLans sollten genutzt werden.
- Akten müssen nach Ablauf der Löschfrist durch den Einsatz von Aktenvernichtern oder Dienstleistern vernichtet werden. Datenträger sind, nachdem sie aussortiert wurden, ordnungsgemäß zu löschen, beispielsweise durch Einsatz von professioneller Überschreibungssoftware.
- Etwaiges Reinigungspersonal ist sorgfältig auszuwählen.


Ein Datenschutzbeauftragte muss nur dann bestellt werden, wenn mindestens 10 Personen in einem Unternehmen beschäftigt sind. Dies ist bei der privaten Vermietung regelmäßig nicht der Fall. Verantwortlicher für den Datenschutz ist dann der Vermieter.