Zwei Jahre DSGVO in der Immobilienbranche

Die Datenschutzgrundverordnung (DSGVO) ist seit zwei Jahren in Kraft. Zum Geburtstag wollte die EU-Kommission eine Evaluierung präsentieren, doch die kommt nun erst im Juni. Viele Unternehmen hoffen auf Optimierung, um die Vorgaben leichter erfüllen zu können – angesichts der saftigen Strafen kein Wunder.

Seit dem 25.5.2018 gilt die Datenschutzgrundverordnung (DSGVO), das erste einheitliche Datenschutzrecht in der Europäischen Union (EU), auch für Wohnungsunternehmen, Privatvermieter, Makler und Immobilienverwalter – also alle, die Angaben von EU-Bürgern verarbeiten, nutzen und speichern.

Unter anderem Unternehmen und die Aufsichtsbehörden für den Datenschutz sehen Bedarf für Veränderungen an der Verordnung, denn es ist noch immer eine große Herausforderung, die Vorgaben der DGSVO zu erfüllen. Das wiegt um so schwerer, als Verstöße mittlerweile scharf geahndet werden. Die DSGVO selbst sieht eine Evaluierung durch die EU-Kommission vor – diese sollte eigentlich zum zweiten Geburtstag vorliegen und danach alle vier Jahre wiederholt werden. Das wird sich nun verzögern: Voraussichtlich bis zum 10. Juni.

Hohe Bußgelder sind kein Einzelfall mehr

Vielfach ist zu hören, dass man natürlich den Datenschutz einhalten wolle, die Regeln der DSGVO aber so kompliziert seien, dass man in der Umsetzung noch nicht sehr weit gekommen sei, hat unser Autor und Rechtsexperte Sven R. Johns im Februar beobachtet. Ein ebenfalls viel gehörter Satz auf Branchenveranstaltungen ist: "Es wird schon nicht so schlimm kommen." Johns hat nachgeforscht: Ist das so?

Die Berliner Landesdatenschutzbeauftragte hat Ende 2019 als zuständige Aufsichtsbehörde ein Bußgeld über 14,5 Millionen Euro gegen ein deutsches Wohnungsunternehmen erlassen. Allein die Höhe des Bußgeldes sollte zu einem Umdenken bei der Einhaltung der DSGVO führen. Es handelt sich um das höchste in Deutschland bislang nach der DSGVO erlassene Bußgeld (Stand: Januar 2020). Eines zeigt sich an dem Bescheid sehr deutlich: Wer bislang gedacht hat, dass sich die DSGVO-­Bußgelder im mittleren dreistelligen Bereich bewegen werden, wird eines Besseren belehrt.

Die Mitteilung der Berliner Aufsichtsbehörde zeigt ferner, dass das hohe Bußgeld gegen das Unternehmen wegen der Nichteinhaltung von technischen und organisatorischen Maßnahmen (so genannte TOM nach Art. 32 DSGVO) erlassen worden ist. Darüber hinaus wurden Bußgelder zwischen 6.000 und 17.000 Euro in 15 geprüften Einzelfällen wegen der unzulässigen Speicherung von Daten von Mieterinnen und Mietern verhängt.

Datenspeicherung: zulässig oder überhaupt erforderlich?

Bei dem hohen Bußgeld handelt es sich auch nicht mehr um einen Einzelfall. Ebenfalls im vierten Quartal 2019 wurde bekannt, dass gegen ein Telekommunikationsunternehmen ein Bußgeld von 9,5 Millionen Euro verhängt worden ist, weil keine hinreichenden technischen und organisatorischen Maßnahmen getroffen wurden, um zu verhindern, dass Unbefugte bei einer telefonischen Anfrage Auskunft zu personenbezogenen Daten Dritter erhalten.

Beim Bußgeld bei dem Wohnungsunternehmen führte die Berliner Beauftragte für Datenschutz und Informationsfreiheit aus, dass "für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem" verwendet worden sei, "das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist.

Vor dem Bußgeld hatte das Unternehmen schon eine Rüge bekommen und nicht reagiert

In begutachteten Einzelfällen konnten daher teilweise jahrealte private Angaben betroffener Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieter, wie zum Beispiel Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits­ und Ausbildungsverträgen, Steuer­, Sozial­ und Krankenversicherungsdaten sowie Kontoauszüge".

Bei einer Überprüfung vor Ort im Jahr 2017 war von der Aufsichtsbehörde gerügt worden, dass das verwendete Archivsystem nicht den Anforderungen an den Datenschutz genüge und dass dieses geändert werden müsse. Vor allem müsse die Löschung von Mieterdaten ermöglicht werden. Eine erneute Überprüfung etwa 18 Monate später zeigte, dass keine Maßnahmen zur Veränderung vorgenommen worden waren.

In Artikel 17 DSG­VO, in dem es um die Löschung von Daten geht, ist geregelt, dass Unternehmen oder Verantwortliche dazu verpflichtet sind, von sich aus personenbezogene Daten zu löschen, wenn diese "für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind". Allerdings ist in demselben Artikel in Absatz 3 auch geregelt, dass dies nicht gilt, soweit die Verarbeitung der personenbezogenen Daten aus Gründen der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Buchstabe e) oder zur Erfüllung einer rechtlichen Verpflichtung (Buchstabe b) erforderlich ist. Besonders die Angaben zu den persönlichen und finanziellen Verhältnissen (aus Gehaltsbescheinigungen, Mietselbstauskünften oder Auszügen aus Arbeitsverträgen) sind der Aufsichtsbehörde ein Dorn im Auge.

Das frühzeitige Löschen von Mieterdaten kann sich in Rechtsstreitigkeiten nachteilig auswirken

Das verwundert, da Angaben aus der Mietselbstauskunft und aus Gehaltsbescheinigungen in der Regel zur Ausfertigung des Mietvertrages und zur Entscheidung über die Vergabe einer Mietwohnung führen. Diese werden damit zur Grundlage des abgeschlossenen Vertrages. In einem späteren Rechtsstreit, zum Beispiel wegen eines Einmietbetruges, kann es deshalb auf die Angaben aus den seinerzeit bereitgestellten Unterlagen zur eigenen Rechtsverfolgung ankommen.

Da Vermieter nicht wissen können, wann die Daten aus diesen Unterlagen für einen späteren Rechtsstreit im laufenden Mietverhältnis von Bedeutung sein können, müssen diese Angaben aufbewahrt werden. Genauso kann es bei der rechtlich höchst komplizierten Frage der Überbelegung einer Wohnung auf die bei Abschluss des Mietvertrages von den Mietern getätigten Angaben ankommen. Weitere Konstellationen in Rechtsstreitigkeiten zwischen Mietern und Vermietern sind denkbar, in denen es auf Angaben bei Abschluss des Mietvertrages ankommt.

Wann müssen Mieterdaten gelöscht werden?

Für alle gestaltenden Erklärungen in Mietverhältnissen müssen die Angaben sechs Jahre nach Beendigung des Mietvertrages gelöscht werden. Für alle Abrechnungsunterlagen aus dem Mietverhältnis gilt die zehnjährige Aufbewahrungsfrist ab dem Jahresende, in dem der Mietvertrag beendet worden ist. Dies sehen die steuerrechtlichen Aufbewahrungsfristen aus dem Handelsgesetzbuch (HGB), der Abgabenordnung (AO) und den Grundsätzen der ordnungsgemäßen Buchführung (GoBD) vor. Aus den GoBD folgt zudem, dass die Daten "revisionssicher" aufbewahrt werden müssen.

Das bedeutet, dass an Datensätzen nachträglich keine Veränderung der Zusammensetzung oder Ähnliches vorgenommen werden darf. Nach überwiegendem Rechtsverständnis muss auch eine Mieterakte komplett aufbewahrt werden, und zwar so, dass jede Veränderung zum Beispiel durch die Steuerbehörden oder das Finanzamt nachvollzogen werden kann. Zu der Kollision zwischen der Pflicht zur Löschung von Angaben zu persönlichen und finanziellen Verhältnissen, zum Beispiel aus Kontoauszügen oder Selbstauskünften, und der Pflicht zur unveränderten Aufbewahrung von Datensätzen hat die Berliner Aufsichtsbehörde nicht Stellung genommen.

Datenschutz und Archivierung von Mieterdaten

Eine Auslegung der in diesem Punkt viel zu knappen Veröffentlichung der Aufsichtsbehörde führt zu der Erkenntnis, dass die Behörde entweder den Datenschutz über das steuerrechtliche Erfordernis der Aufbewahrung von Daten stellt oder diesen Konflikt bewusst nicht entscheiden wollte. Es bedarf daher der dringenden Klarstellung durch die Aufsichtsbehörden im Datenschutz, wie die Archivierung von Mieterdaten gestaltet sein soll, ohne dass Immobilienunternehmen entweder gegen den Datenschutz oder gegen das Steuerrecht verstoßen.

Außerdem muss bei der Aufbewahrung zwischen Mieterdaten und Daten von Mietbewerbern unterschieden werden. Daten von Bewerbern, die eine Wohnung nicht bekommen, müssen unverzüglich gelöscht werden, wenn die Aufbewahrungsfristen abgelaufen sind. Das dürfte nach zwei bis sechs Monaten der Fall sein. Was darf überhaupt von Mietinteressenten erfragt werden? Dazu gibt es eine Handreichung der Datenschutzkonferenz (DSK), die letztmalig im Januar 2018 aktualisiert worden ist (Stand Januar 2020). Eine Kopie des Personalausweises darf zum Beispiel nicht erbeten werden. Reicht ein Mietinteressent eine Personalausweiskopie von sich aus ein, muss diese auch vernichtet werden, wenn mit dem Interessenten ein Mietvertrag abgeschlossen wird.

Die Bußgeldverfahren zeigen, wie wichtig es für die Immobilienfirmen ist, die Entwicklungen im Datenschutz im Auge zu behalten und die Anforderungen im eigenen Unternehmen umzusetzen. Eine Schlussfolgerung zeigt das Verfahren gegen das Wohnungsunternehmen: Ein Archivsystem ohne Löschfunktion darf nicht im Einsatz sein, weil spätestens nach Ablauf der Aufbewahrungsfristen alle Mieterdaten gelöscht werden müssen.

Der vollständige Beitrag erschien im Fachmagazin "Immobilienwirtschaft", Ausgabe 02/2020.


Das könnte Sie auch interessieren:

Datenschutz: Das müssen Immobilienverwalter wissen

DSGVO: Das Abmahnrisiko steigt für nicht verschlüsselte Webseiten

Deutsche Wohnen wehrt sich gegen Bußgeld wegen DSGVO-Verstoß

Schlagworte zum Thema:  Datenschutz-Grundverordnung