Am 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Dr. Carsten Brückner gibt 20 Fragen kompakte Antworten, was im Mietrecht zu beachten ist.
1. Was ist unter Datenschutz zu verstehen?
Werden personenbezogene Daten automatisiert oder nicht automatisiert verarbeitet und in einem Dateiensystem gespeichert, müssen die Regelungen des Datenschutzrechts beachtet werden. Datenschutz bedeutet Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten, Art. 1 Europäische Datenschutzgrundverordnung (DSGVO).
2. Wer unterliegt den Datenschutzregelungen?
Vermieter/innen verarbeiten fremde personenbezogene Daten bereits während der Anbahnungsphase zu einem Mietverhältnis, während eines bestehenden Mietverhältnisses aber auch nach Beendigung des Mietverhältnisses sowie lange danach.
Die Regelungen der DSGVO gelten für die ganz oder teilweise automatisierte sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, Art. 2 Abs.1 DSGVO.
Vermieter/innen unterliegen den Reglungen des Datenschutzes somit unabhängig davon, wie viele Wohnungen sie vermieten (es genügt bereits die Untervermietung eines Teils von Wohnraum) und unabhängig von der Art und Weise ihrer Datenverarbeitung (erfasst sind auch Datenverarbeitungen auf Haftnotizen, Papierblättern, Wandboards, Notizbüchern und Leitzordnern).
3. Gibt es Ausnahmen vom Datenschutz?
Nicht in den Anwendungsbereich der datenschutzrechtlichen Vorschriften fällt eine Datenverarbeitung durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, Art. 2 Abs.2 Nr.3 DSGVO.
4. Woraus ergibt sich das Erfordernis des Datenschutzes?
Der Datenschutz ergibt sich aus europäischen und deutschen Regelungen
- der Europäischen Datenschutzgrundverordnung
- des Bundesdatenschutzgesetzes
- den Datenschutzgesetzen der Bundesländer
- individuellen Datenschutzrichtlinien
Während die Europäische Datenschutzgrundverordnung und das Bundesdatenschutzgesetz den Vermieter zur Einhaltung des Datenschutzes zwingen, regeln die Datenschutzgesetze der Länder den Umgang der Behörden mit den Bürgern; individuelle Datenschutzrichtlinien stellen lediglich interne für den Ersteller zu beachtende Reglungen dar, auf die sich in der Regel ein anderer nicht berufen kann.
5. Was sind personenbezogene Daten?
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, Art. 4 Abs.1 DSGVO.
Darunter fallen z.B. Name(n), Adressangaben, Geburtsdaten, Bankdaten, Angaben aus dem Personalausweis, Arbeitgeberdaten, Verbrauchsdaten usw..
6. Was ist unter Datenverarbeitung zu verstehen?
Unter Datenverarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten zu verstehen, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung, Art. 4 Abs.2 DSGVO.
7. Gibt es Daten die überhaupt nicht verarbeitet werden dürfen?
Die Europäische Datenschutzgrundverordnung verbietet die Verarbeitung bestimmter personenbezogener Daten grundsätzlich. Nicht verarbeitet werden dürfen Daten aus denen hervorgehen die rassische oder ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder Gewerkschaftszugehörigkeit einer Person. Einem Verarbeitungsverbot unterliegen auch genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten der sexuellen Orientierung einer Person, Art. 9 Abs.1 DSGVO.
8. Was ist bei der Datenverarbeitung zu beachten?
Die DSGVO stellt bestimmte Grundsätze auf, nach denen sich die Datenverarbeitung durch den Verantwortlichen zu richten hat. Diese Grundsätze sind:
- „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“: Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
- „Zweckbindung“: Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
- „Datenminimierung“: Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
- „Richtigkeit“: Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
- „Speicherbegrenzung“: Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
- „Integrität und Vertraulichkeit“: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
Vgl. Art. 5 Abs.1 DSGVO.
Hieraus ergeben sich dauerhaft vier Fragen, die stets zu beantworten sind:
- wofür werden Daten benötigt
- welche Daten (dafür) werden benötigt
- wie lange werden die Daten benötigt
- Rechtsgrundlage für die Datenverarbeitung
9. Was ist unter einer Rechtsgrundlage für die Datenverarbeitung zu verstehen?
Um personenbezogene Daten zu verarbeiten benötigen Vermieter/innen als Ermächtigung eine Rechtsgrundlage, Art. 6 Abs.1 DSGVO. Im Mietrecht kommen als Rechtsgrundlagen in Betracht:
- Vertragserfüllung: Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
- Erfüllung Rechtspflicht: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
- Berechtigtes Interesse: Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
- Einwilligung: Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
Überwiegend wird jedoch davon ausgegangen, dass es im Mietrecht an der Freiwilligkeit des Mieters zur Abgabe einer wirksamen Einwilligung fehlt, so dass diese als Rechtsgrundlage bei der Datenverarbeitung des Vermieters nicht anzuwenden ist.
10. Müssen Vermieter/innen die Mieter/innen (sog. Betroffene) über die Datenverarbeitung informieren?
Der Mieter muss über die Datenverarbeitung des Vermieters in Kenntnis gesetzt werden. Hierfür ist dem Mieter eine Erklärung abzugeben, Art. 13 Abs.1 und 2 DSGVO. Diese Erklärung hat zu beinhalten
- den Namen und die Kontaktdaten des Verantwortlichen (Vermieters) sowie gegebenenfalls seines Vertreters
- gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
- wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
- gegebenenfalls das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Absätze 1 und 4.
11. Kann der Mieter die beim Vermieter gespeicherten Daten kontrollieren?
Datenschutz ist nur dann effektiv, wenn er auch transparent gestaltet ist. Zur Transparenz gehört die Möglichkeit für den Mieter, die Datenverarbeitung beim Vermieter zu kontrollieren und gegebenenfalls zu beeinflussen.
Auskunft (Art. 15 DSGVO, § 34 BDSG)
Der Mieter kann vom Vermieter Auskunft über die beim Vermieter gespeicherten Daten verlangen. Die Auskunftserteilung des Vermieters
- bedarf keiner bestimmten Form, sondern kann je nach Sachlage schriftlich, elektronisch oder mündlich – muss aber später beweisbar sein
- muss unverzüglich, spätestens nach einem Monat
- grundsätzlich unentgeltlich
- erteilt werden und
- kann verweigert oder kann von der Entrichtung eines Entgelts abhängig gemacht werden, wenn das Auskunftsbegehren des Mieters/Betroffenen offenkundig unbegründete oder exzessiv ist.
Berichtigung (Art. 16 DSGVO)
Der Mieter kann vom Vermieter verlangen, dass die von ihm gespeicherten persönlichen Daten korrigiert werden. Stimmen z.B. Angaben zur Bankverbindung des Mieters nicht (mehr), kann der Mieter die Speicherung der richtigen Daten vom Vermieter einfordern und nachgewiesen verlangen, Art. 16 DSGVO.
Löschung „Recht auf Vergessenwerden“ (Art. 17 DSGVO)
Der Mieter kann vom Vermieter die Löschung der Daten einfordern, wenn
- die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind
- die betroffene Person ihre Einwilligung widerruft, auf die sich die Verarbeitung stützte, und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt
- die betroffene Person Widerspruch gegen die Verarbeitung einlegt und es keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen
- die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
Verarbeitungseinschränkung (Art. 18 DSGVO)
Insbesondere wenn zwischen den Beteiligten umstritten ist, ob der Vermieter die Daten noch gespeichert halten darf oder nicht, ist die Verarbeitung dieser Daten eingeschränkt.
Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Recht, keiner automatisierten Entscheidung unterworfen zu sein (Art. 22 DSGVO)
Die beiden letztgenannten Rechte spielen im Mietrecht keine Rolle.
12. Muss die Datenverarbeitung durch Vermieter/innen dokumentiert werden?
Vermieter/innen müssen ein Verarbeitungsverzeichnis über die Datenverarbeitung erstellen. Die Anlage und dauernde Aktualisierung eines Verarbeitungsverzeichnisses ist die Grundlage für eine strukturierte Datenschutzdokumentation.
Ein solches Verzeichnis ist schriftlich oder elektronisch zu führen und muss enthalten:
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
- die Zwecke der Verarbeitung
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.
Der Verantwortliche muss auf Anfrage der Aufsichtsbehörde das Verzeichnis dieser zur Verfügung stellen, Art. 30 DSGVO.
13. Wie wird der Datenschutz technisch sicher gestellt?
Verantwortliche des Datenschutzes müssen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei sind der Stand der Technik, der Implementierungskosten und die Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen.
Diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung, Art. 32 DSGVO.
14. Wer ist Aufsichtsbehörde für den Datenschutz?
In Berlin ist die zuständige Aufsichtsbehörde die Berliner Beauftragte für Datenschutz und Informationsfreiheit.
15. Welche Möglichkeiten hat die Aufsichtsbehörde, den Datenschutz durchzusetzen?
Die Aufsichtsbehörde verfügt über sämtliche Abhilfebefugnisse, die es ihr gestatten,
- einen Verantwortlichen zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen oder wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat
- den Verantwortlichen anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen oder Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen oder die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen
- eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen
- die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten offengelegt wurden, über solche Maßnahmen anzuordnen
- eine Geldbuße verhängen, zusätzlich zu oder anstelle der zuvor genannten Maßnahmen.
Die von der Aufsichtsbehörde zu verhängenden Bußgelder können bis zu 20 Millionen Euro betragen oder bis zu 4 % des gesamten weltweiten Jahresumsatzes, Art. 83 DSGVO.
16. Unterliegen Vermieter/innen einer Meldepflicht?
Findet eine Verletzung des Schutzes personenbezogener Daten statt, muss der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
Die Meldung muss zumindest folgende Informationen enthalten:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Der Verantwortliche muss Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen dokumentieren. Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen des Art. 33 DSGVO.
17. Können Daten auch an das EU-Ausland übermittelt?
Datenübertragungen an Stellen, die sich außerhalb der Europäischen Union befinden, unterliegen strengen Voraussetzungen, die sich nach den §§ 78ff BDSG richten. Eine solche Übertragung sollte im Zweifel unterlassen werden.
18. Was versteht man unter Auftragsdatenverarbeitung?
(Daten)Auftragsverarbeiter ist eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, Art. 4 Nr.8 DSGVO. Die Datenverarbeitung durch den Auftragsverarbeiter wird grundsätzlich dem Verantwortlichen (Vermieter) zugerechnet. Dieser muss bei der Auswahl des Auftragsverarbeiters
- die Geeignetheit des Auftragsverarbeiters prüfen
- den Nachweis hinreichender Garantien, dass geeignete technische und organisatorische Maßnahmen für einen ausreichenden Datenschutz angewendet werden, einfordern
- einen Vertrag mit dem Auftragsverarbeiter über die weisungsgebundene Tätigkeit (EU-Standardverträge) abschließen, Art. 28 DSGVO.
19. Können Mieter/innen Schadensersatz verlangen?
Erleidet der Mieter wegen eines Verstoßes des Vermieters gegen die DSGVO einen Schaden, so kann er diesen vom Vermieter ersetzt verlangen. Dazu gehört nicht nur ein materieller Schaden, sondern auch ein gegebenenfalls eingetretener immaterieller Schaden, der nur mit einem Schmerzensgeld wieder gut gemacht werden kann, Art. 82 DSGVO.
20. Wo kann ich mich zum Thema Datenschutz weiter informieren?
Fragen zum Thema Datenschutz beantwortet Ihnen die Geschäftsstelle Ihres Haus & Grund Ortsvereins.
Sie können sich auch per E-Mail an die Geschäftsstelle des Landesverbandes wenden. Hier können Sie Fragen zum Datenschutz stellen aber bitte auch Ihre Erfahrungen mit dem Datenschutz mitteilen. Wir werden diese dann bei Gesprächen mit der Berliner Datenschutzbeauftragten berücksichtigen.
datenschutz@haus-und-grund-berlin.de
Zur Vertiefung und Absicherung des Umgangs mit dem Datenschutz kann auf die Kurzpapiere zur Auslegung der DSGVO der Datenschutzkonferenz, bei der es ich um Treffen der Datenschutzbeauftragten der Länder handelt, zurückgreifen.
© Dr. Carsten Brückner, 2018