Verstöße gegen DSGVO werden inzwischen scharf geahndet

Wer die Regeln der Datenschutzgrundverordnung (DSGVO) nicht einhält, kann nicht mehr auf ein Nachsehen der Aufsichtsbehörden hoffen. Doch sind Millionen-Bußgelder berechtigt? Und wie stellen sich Immobilienfirmen generell zur Einhaltung des Datenschutzes?

Wenn es teuer wird, überlegen sich Autofahrer zweimal, ob sie einen Verstoß bewusst in Kauf nehmen. Anders ausgedrückt: Wo abgeschleppt wird, wird nicht geparkt, und wenn Punkte im Verkehrszentralregister drohen, wird die Geschwindigkeit reduziert. Verhält es sich mit der Einhaltung der Datenschutzgrundverordnung (DSGVO) in den Immobilienfirmen genauso?

"Es wird schon nicht so schlimm kommen", denken nach wie vor viele Immobilienfirmen

Vielfach ist zu hören, dass man natürlich den Datenschutz einhalten wolle, die Regeln der DSGVO aber so kompliziert seien, dass man in der Umsetzung noch nicht sehr weit gekommen sei. Ein ebenfalls viel gehörter Satz auf Branchenveranstaltungen ist: "Es wird schon nicht so schlimm kommen".

Die Berliner Landesdatenschutzbeauftragte hat als zuständige Aufsichtsbehörde ein Bußgeld über 14,5 Millionen Euro gegen ein deutsches Wohnungsunternehmen mit mehr als 160.000 Wohnungen erlassen. Allein die Höhe des Bußgeldes sollte zu einem Umdenken bei der Einhaltung der DSGVO führen. Es handelt sich um das höchste in Deutschland bislang nach der DSGVO erlassene Bußgeld (Stand: Januar 2020). Der Bußgeldbescheid ist nicht rechtskräftig, und die Gerichte werden sich wohl mit dem Vorgang befassen. Eines zeigt sich an dem Bescheid jedoch sehr deutlich: Wer bislang gedacht hat, dass sich die DSGVO-­Bußgelder im mittleren dreistelligen Bereich bewegen werden, wird eines Besseren belehrt.

Die Mitteilung der Berliner Aufsichtsbehörde zeigt ferner, dass das hohe Bußgeld gegen das Unternehmen wegen der Nichteinhaltung von technischen und organisatorischen Maßnahmen (so genannte TOM nach Art. 32 DSGVO) erlassen worden ist. Darüber hinaus wurden Bußgelder zwischen 6.000 und 17.000 Euro in 15 geprüften Einzelfällen wegen der unzulässigen Speicherung von Daten von Mieterinnen und Mietern verhängt.

Hohe Bußgelder sind kein Einzelfall mehr

Bei dem hohen Bußgeld handelt es sich auch nicht mehr um einen Einzelfall. Ebenfalls im vierten Quartal 2019 wurde bekannt, dass gegen ein Telekommunikationsunternehmen ein Bußgeld von 9,5 Millionen Euro verhängt worden ist, weil dort keine hinreichenden technischen und organisatorischen Maßnahmen getroffen wurden, um zu verhindern, dass Unbefugte bei einer telefonischen Anfrage Auskunft zu personenbezogenen Daten Dritter erhalten.

Beim Bußgeld bei dem Wohnungsunternehmen führte die Berliner Beauftragte für Datenschutz und Informationsfreiheit aus, dass "für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem" verwendet worden sei, "das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist.

In begutachteten Einzelfällen konnten daher teilweise jahrealte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie zum Beispiel Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits­ und Ausbildungsverträgen, Steuer­, Sozial­ und Krankenversicherungsdaten sowie Kontoauszüge".

Vor dem Bußgeld hatte das Unternehmen schon eine Rüge bekommen und nicht reagiert

Bei einer Überprüfung vor Ort war von der Aufsichtsbehörde im Jahr 2017 gerügt worden, dass das verwendete Archivsystem nicht den Anforderungen an den Datenschutz genüge und dass dieses geändert werden müsse. Vor allem müsse die Löschung von Mieterdaten ermöglicht werden.

Eine erneute Überprüfung etwa 18 Monate später zeigte, dass keine Maßnahmen zur Veränderung vorgenommen worden waren. Aus den knappen Angaben der Pressemitteilung der Aufsichtsbehörde ließe sich die Rechtsauffassung herauslesen, wonach von Mietern erhobene Daten gelöscht werden müssten, wenn diese nicht mehr dem Zweck ihrer ursprünglichen Erhebung dienten. In Artikel 17 DSG­VO, in dem es um die Löschung von Daten geht, ist geregelt, dass Unternehmen oder Verantwortliche dazu verpflichtet sind, von sich aus personenbezogene Daten zu löschen, wenn diese "für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind".

Allerdings ist in Artikel 17 Absatz 3 DSGVO geregelt, dass dies dann nicht gilt, soweit die Verarbeitung der personenbezogenen Daten aus Gründen der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Buchstabe e) oder zur Erfüllung einer rechtlichen Verpflichtung (Buchstabe b) erforderlich ist. Besonders die Angaben zu den persönlichen und finanziellen Verhältnissen, wie sich diese in Gehaltsbescheinigungen, Mietselbstauskünften oder Auszügen aus Arbeitsverträgen befinden, sind der Aufsichtsbehörde ein Dorn im Auge.

Das frühzeitige Löschen von Mieterdaten kann sich in Rechtsstreitigkeiten nachteilig auswirken

Das verwundert insofern, als dass Angaben aus der Mietselbstauskunft und aus Gehaltsbescheinigungen in der Regel zur Ausfertigung des Mietvertrages und zur Entscheidung über die Vergabe einer Mietwohnung führen. Diese werden damit zur Grundlage des abgeschlossenen Vertrages. In einem späteren Rechtsstreit, zum Beispiel wegen eines Einmietbetruges, kann es deshalb auf die Angaben aus den seinerzeit bereitgestellten Unterlagen zur eigenen Rechtsverfolgung ankommen.

Da aber Vermieter nicht wissen können, wann die Daten aus diesen Unterlagen für einen späteren Rechtsstreit im laufenden Mietverhältnis von Bedeutung sein können, müssen diese Angaben aufbewahrt werden. Genauso kann es bei der rechtlich höchst komplizierten Frage der Überbelegung einer Wohnung auf die bei Abschluss des Mietvertrages von den Mietern getätigten Angaben ankommen. Weitere Konstellationen in Rechtsstreitigkeiten zwischen Mietern und Vermietern sind denkbar, in denen es auf Angaben bei Abschluss des Mietvertrages ankommen kann.

Wann müssen die Mieterdaten also spätestens gelöscht werden?

Für alle gestaltenden Erklärungen in Mietverhältnissen müssen die Angaben sechs Jahre nach Beendigung des Mietvertrages gelöscht werden. Für alle Abrechnungsunterlagen aus dem Mietverhältnis gilt die zehnjährige Aufbewahrungsfrist ab dem Jahresende, in dem der Mietvertrag beendet worden ist. Dies sehen die steuerrechtlichen Aufbewahrungsfristen aus dem Handelsgesetzbuch (HGB), der Abgabenordnung (AO) und den Grundsätzen der ordnungsgemäßen Buchführung (GoBD) vor. Aus den GoBD folgt zudem, dass die Daten "revisionssicher" aufbewahrt werden müssen.

Das bedeutet, dass an Datensätzen nachträglich keine Veränderung der Zusammensetzung oder Ähnliches vorgenommen werden darf. Was bedeutet dies für eine Mieterakte? Nach überwiegendem Rechtsverständnis muss eine Mieterakte komplett aufbewahrt werden, und zwar so, dass jede Veränderung zum Beispiel durch die Steuerbehörden oder das Finanzamt nachvollzogen werden kann. Zu der Kollision zwischen der Pflicht zur Löschung von Angaben zu persönlichen und finanziellen Verhältnissen, zum Beispiel aus Kontoauszügen oder Selbstauskünften, und der Pflicht zur unveränderten Aufbewahrung von Datensätzen hat die Berliner Aufsichts behörde nicht Stellung genommen.

Datenschutz und Archivierung von Mieterdaten

Eine Auslegung der in diesem Punkt viel zu knappen Veröffentlichung der Aufsichtsbehörde führt zu der Erkenntnis, dass die Behörde entweder den Datenschutz über das steuerrechtliche Erfordernis der Aufbewahrung von Daten stellt oder diesen Konflikt bewusst nicht entscheiden wollte. Es bedarf daher der dringenden Klarstellung durch die Aufsichtsbehörden im Datenschutz, wie die Archivierung von Mieterdaten gestaltet sein soll, ohne dass Immobilienunternehmen entweder gegen den Datenschutz oder gegen das Steuerrecht verstoßen.

Außerdem muss bei der Aufbewahrung zwischen Mieterdaten und Daten von Mietbewerbern unterschieden werden. Daten von Bewerbern, die eine Wohnung nicht bekommen, müssen unverzüglich gelöscht werden, wenn die Aufbewahrungsfristen abgelaufen sind. Das dürfte nach zwei bis sechs Monaten der Fall sein. Was darf überhaupt von Mietinteressenten erfragt werden? Dazu gibt es eine Handreichung der Datenschutzkonferenz (DSK), die letztmalig im Januar 2018 aktualisiert worden ist. Eine Kopie des Personalausweises darf zum Beispiel nicht erbeten werden. Reicht ein Mietinteressent eine Personalausweiskopie von sich aus ein, muss diese auch dann vernichtet werden, wenn mit diesem Interessenten ein Mietvertrag abgeschlossen wird.

Die Bußgeldverfahren zeigen, wie wichtig es für die Immobilienfirmen ist, die Entwicklungen im Datenschutz im Auge zu behalten und die Anforderungen im eigenen Unternehmen umzusetzen. Eine Schlussfolgerung zeigt das Verfahren gegen das Wohnungsunternehmen: Ein Archivsystem ohne Löschfunktion darf nicht im Einsatz sein, weil spätestens nach Ablauf der Aufbewahrungsfristen alle Mieterdaten gelöscht werden müssen.

Der Beitrag ist im Magazin "Immobilienwirtschaft", Ausgabe 02/2020, erschienen.


Das könnte Sie auch interessieren:

Datenschutz: Das müssen Immobilienverwalter wissen

Deutsche Wohnen wehrt sich gegen Bußgeld wegen DSGVO-Verstoß

Schlagworte zum Thema:  Datenschutz-Grundverordnung