Der erste Check der Datenschutzgrundverordnung (DSGVO) ist erledigt. Jetzt wird erst in vier Jahren wieder evaluiert. Am Gesetz wollte die EU-Kommission dieses Mal nicht drehen. Sie forderte aber die Datenschutzbehörden auf, kleinere und mittlere Unternehmen bürokratisch zu entlasten.
Die Datenschutzgrundverordnung (DSGVO) ist seit dem 25.5.2018 in Kraft. Das erste einheitliche Datenschutzrecht in der Europäischen Union (EU) gilt auch für Wohnungsunternehmen, Privatvermieter, Makler und Immobilienverwalter – also alle, die Angaben von EU-Bürgern verarbeiten, nutzen und speichern. Doch auch nach zwei Jahren läuft nicht alles rund.
Die Evaluierungsregel des Artikel 97 DSGVO verpflichtet die EU-Kommission zur regelmäßigen Vorlage eines Evaluationsberichts an das EU-Parlament und den Rat: Der erste Report sollte eigentlich zum zweiten Geburtstag im Mai 2020 präsentiert werden, verzögerte sich aber wegen Corona und wurde schließlich am 24. Juni veröffentlicht. In der Folge wird die Evaluierung nur noch alle vier Jahre fällig.
EU-Kommission erkennt: Bürokratische Belastung der Unternehmen ist groß
Vor allem für kleine und mittlere Unternehmen (KMU) kann die Umsetzung der Pflichten aus der DSGVO zur bürokratische Belastung werden. Das hat die EU-Kommission im Zuge der ersten Evaluierung erkannt – hier sollen die Datenschutzbehörden den Unternehmen mit mehr Flexibilität entgegenkommen. Das kann Informationspflichten oder die Meldung von Datenschutzbeauftragten an die Aufsichtsbehörden betreffen. Da auch KMU eine große Menge personenbezogener Daten verarbeiten müssten, sieht die Kommission keinen Weg, die Unternehmen per Gesetz zu entlasten.
Dabei hat die EU-Kommission festgestellt, dass viele Behörden personell unterbesetzt oder technisch mangelhaft ausgestattet sind. Nicht nur Unternehmen, auch die Aufsichtsbehörden für den Datenschutz hatten sich im Vorfeld für Anpassungen in der Verordnung ausgesprochen: Die Herausforderungen, die Vorgaben der DGSVO zu erfüllen, sind groß. Das wiegt um so schwerer, als Verstöße mittlerweile scharf geahndet werden.
Erster DSGVO-Evaluierungsbericht der EU-Kommision (engl.)
DSGVO-Bußgelder in Millionenhöhe auch gegen Wohnungsunternehmen
Die Regeln der DSGVO sind kompliziert und schwer umzusetzen, schreibt auch unser Autor und Rechtsexperte Sven R. Johns. Dabei drohen bisweilen Bußgelder im mittleren dreistelligen Bereich.
Die Berliner Landesdatenschutzbeauftragte hatte Ende 2019 als zuständige Aufsichtsbehörde ein Bußgeld über 14,5 Millionen Euro gegen ein deutsches Wohnungsunternehmen erlassen. Es handelt sich um das höchste in Deutschland bislang nach der DSGVO erlassene Bußgeld (Stand: Januar 2020). Darüber hinaus wurden gegen das Unternehmen Bußgelder zwischen 6.000 und 17.000 Euro in 15 geprüften Einzelfällen wegen der unzulässigen Speicherung von Daten von Mieterinnen und Mietern verhängt.
Ebenfalls 2019 wurde bekannt, dass gegen ein Telekommunikationsunternehmen ein Bußgeld von neuneinhalb Millionen Euro verhängt worden ist, weil keine hinreichenden technischen und organisatorischen Maßnahmen getroffen wurden, um zu verhindern, dass Unbefugte bei einer telefonischen Anfrage Auskunft zu personenbezogenen Daten Dritter erhalten.
Die DSGVO gibt den Aufsichtsbehörden die Befugnis, bei Verstößen Geldstrafen von bis zu vier Prozent der weltweiten Einnahmen oder 20 Millionen Euro durchzusetzen. Die bisher höchste Strafe musste Google mit 50 Millionen Euro in Frankreich zahlen.
Datenspeicherung: überhaupt erforderlich?
Beim Bußgeld bei dem Wohnungsunternehmen führte die Berliner Beauftragte für Datenschutz und Informationsfreiheit aus, dass "für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem" verwendet worden sei, "das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist.
In begutachteten Einzelfällen konnten daher teilweise jahrealte private Angaben betroffener Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieter, wie zum Beispiel Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge".
Bei einer Überprüfung vor Ort im Jahr 2017 war von der Aufsichtsbehörde gerügt worden, dass das verwendete Archivsystem nicht den Anforderungen an den Datenschutz genüge und dass dieses geändert werden müsse. Vor allem müsse die Löschung von Mieterdaten ermöglicht werden. Eine erneute Prüfung 18 Monate später zeigte, dass nichts geändert worden waren.
In Artikel 17 DSGVO, in dem es um die Löschung von Daten geht, ist geregelt, dass Unternehmen oder Verantwortliche dazu verpflichtet sind, von sich aus personenbezogene Daten zu löschen, wenn diese "für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind". In Absatz 3 steht jedoch, dass dies nicht gilt, soweit die Verarbeitung der personenbezogenen Daten aus Gründen der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Buchstabe e) oder zur Erfüllung einer rechtlichen Verpflichtung (Buchstabe b) erforderlich ist. Besonders die Angaben zu den persönlichen und finanziellen Verhältnissen (aus Gehaltsbescheinigungen, Mietselbstauskünften oder Auszügen aus Arbeitsverträgen) sind der Aufsichtsbehörde ein Dorn im Auge.
Mieterdaten: Zu frühes Löschen kann sich in Rechtsstreitigkeiten nachteilig auswirken
Das verwundert, da Angaben aus der Mietselbstauskunft und aus Gehaltsbescheinigungen in der Regel zur Ausfertigung des Mietvertrages und zur Entscheidung über die Vergabe einer Mietwohnung führen. Diese werden damit zur Grundlage des abgeschlossenen Vertrages. In einem späteren Rechtsstreit kann es deshalb auf diese Angaben ankommen.
Da Vermieter nicht wissen können, wann die Daten aus diesen Unterlagen für einen späteren Rechtsstreit im laufenden Mietverhältnis von Bedeutung sein könnten, sollten diese Angaben aufbewahrt werden. Genauso kann es bei der rechtlich komplizierten Frage der Überbelegung einer Wohnung auf die bei Abschluss des Mietvertrages von den Mietern getätigten Angaben ankommen. Weitere Konstellationen in Rechtsstreitigkeiten zwischen Mietern und Vermietern sind denkbar, in denen es auf Angaben bei Abschluss des Mietvertrages ankommt.
Wann müssen Mieterdaten gelöscht werden?
Für alle gestaltenden Erklärungen in Mietverhältnissen müssen die Angaben sechs Jahre nach Beendigung des Mietvertrages gelöscht werden. Für alle Abrechnungsunterlagen aus dem Mietverhältnis gilt die zehnjährige Aufbewahrungsfrist ab dem Jahresende, in dem der Mietvertrag beendet worden ist. Dies sehen die steuerrechtlichen Aufbewahrungsfristen aus dem Handelsgesetzbuch (HGB), der Abgabenordnung (AO) und den Grundsätzen der ordnungsgemäßen Buchführung (GoBD) vor.
Aus den GoBD folgt zudem, dass die Daten "revisionssicher" aufbewahrt werden müssen. Das bedeutet, dass an Datensätzen nachträglich keine Veränderung der Zusammensetzung oder Ähnliches vorgenommen werden darf. Nach überwiegendem Rechtsverständnis muss auch eine Mieterakte komplett aufbewahrt werden, und zwar so, dass jede Veränderung zum Beispiel durch die Steuerbehörden oder das Finanzamt nachvollzogen werden kann. Zu der Kollision zwischen der Pflicht zur Löschung von Angaben zu persönlichen und finanziellen Verhältnissen, zum Beispiel aus Kontoauszügen oder Selbstauskünften, und der Pflicht zur unveränderten Aufbewahrung von Datensätzen hat die Berliner Aufsichtsbehörde nicht Stellung genommen.
Datenschutz und Archivierung von Mieterdaten
Eine Auslegung der in diesem Punkt viel zu knappen Veröffentlichung der Aufsichtsbehörde führt zu der Erkenntnis, dass die Behörde entweder den Datenschutz über das steuerrechtliche Erfordernis der Aufbewahrung von Daten stellt oder diesen Konflikt bewusst nicht entscheiden wollte. Es bedarf daher der dringenden Klarstellung durch die Aufsichtsbehörden im Datenschutz, wie die Archivierung von Mieterdaten gestaltet sein soll, ohne dass Immobilienunternehmen entweder gegen den Datenschutz oder gegen das Steuerrecht verstoßen.
Außerdem muss bei der Aufbewahrung zwischen Mieterdaten und Daten von Mietbewerbern unterschieden werden. Daten von Bewerbern, die eine Wohnung nicht bekommen, müssen unverzüglich gelöscht werden, wenn die Aufbewahrungsfristen abgelaufen sind. Das dürfte nach zwei bis sechs Monaten der Fall sein.
Die Bußgeldverfahren zeigen, wie wichtig es für die Immobilienfirmen ist, die Entwicklungen im Datenschutz im Auge zu behalten und die Anforderungen im eigenen Unternehmen umzusetzen. Eine Schlussfolgerung zeigt das Verfahren gegen das Wohnungsunternehmen: Ein Archivsystem ohne Löschfunktion darf nicht im Einsatz sein, weil spätestens nach Ablauf der Aufbewahrungsfristen alle Mieterdaten gelöscht werden müssen.
Der vollständige Beitrag von Sven R. Johns erschien im Fachmagazin "Immobilienwirtschaft", Ausgabe 02/2020.