Was passiert bei Datenschutzverstoß der Hausverwaltung?

Top-Thema 07.01.2025 DSGVO-Fokus auf Verwaltung & WEG
Haufe Online Redaktion
Haufe Online Redaktion
Kapitel
Datenschutzverstoß der Hausverwaltung: Strafen und Bußgelder
Bild: AdobeStock Immobilienverwalter sollten Bescheid wissen, welche DSGVO-Paragrafen sie betreffen und welche Löschfristen sie einhalten müssen

Hausverwaltungen hantieren mit vielen Daten ihrer Wohnungseigentümer und Mieter. Diese Daten müssen sie gemäß der DSGVO schützen – andernfalls drohen saftige Bußgelder. Welche Gesetze Hausverwalter kennen müssen und welche Stolperfallen sie meiden sollten.

Grundsätzlich gilt: Wer Daten verarbeitet, muss Rechenschaft darüber ablegen und beweisen können, dass er sich an die Bestimmungen der Datenschutzgrundverordnung (DSGVO) hält. Die nimmt auch Hausverwaltungen in die Pflicht. Nachlässigkeit kann teuer werden. Welche Daten Verwaltungen für welchen Zweck erheben dürfen, ist in manchen Fällen eindeutig, in anderen eine Abwägungsfrage.

Datenschutz-Regeln für Hausverwaltungen

Geregelt ist das in Art. 6 Absatz 1 DSGVO: Hausverwaltungen dürfen Daten demnach nicht grundlos verarbeiten. Es braucht immer eine gesetzliche oder (miet-)vertragliche Grundlage, die das erlaubt, ein berechtigtes Interesse oder die Einwilligung der Personen, die es betrifft – in diesem Fall Mieter und Eigentümer.

Beispiel für einen komplexeren Fall ist das Thema Videoüberwachung: "Grundsätzlich dürfen Eigentümer nicht einfach eine Videoüberwachung installieren lassen", sagt Katharina Gündel, Fachanwältin für Miet- und Wohneigentumsrecht bei der Gross Rechtsanwaltsgesellschaft. Wollen Eigentümer eine Kamera installieren lassen und erkundigen sich bei der Hausverwaltung nach einer Erlaubnis, lautet die datenschutzrechtlich-konforme Antwort zunächst einmal: Nein.

Berechtigtes Interesse und Daten

Allerdings können Sicherheitsbedenken ein triftiger Grund sein, Videoüberwachung doch zu erlauben, etwa bei einbruchgefährdeten Gewerbeimmobilien wie Juwelieren und in bestimmten Fällen auch bei Privatpersonen. "Häufige Einbrüche in den Kellern oder Brandstiftung an Müllstandsflächen wären zum Beispiel valide Gründe", erklärt Gündel. In diesen Fällen liegt ein berechtigtes Interesse vor.

Auch bei der Weitergabe von Daten an Handwerker besteht nach Ansicht von Gündel ein berechtigtes Interesse. So könnten etwa Telefonnummern ungefragt weitergegeben werden, damit ein Mangel schnell und unkompliziert beseitigt wird. Wenn die Hausverwaltung vorher nachfragt, ist aber die Antwort der Mieter maßgeblich. Sagen diese Nein, gilt die Einwilligung als verweigert und die Hausverwaltung darf die Daten nicht weitergeben.

Kein berechtigtes Interesse liegt vor, wenn ein Makler Fotos von einer Wohnung machen will. Dafür braucht er in jedem Fall die Einwilligung der Mieter.

DSGVO-Pflichten: Kontrolle der Datenschutzbehörden

Hausverwaltungen müssen sich noch an viele weitere Regeln halten, um ihre DSGVO-Pflichten zu erfüllen.

Informationspflicht, wenn Daten verarbeitet werden

Laut Art. 13 DSGVO haben Hausverwaltungen eine Informationspflicht, sobald sie Daten verarbeiten. Sie müssen alle Betroffenen unaufgefordert darüber informieren, wie und zu welchem Zweck sie Daten erheben. Theoretisch heißt das: Auf der Suche nach Mietern müsste eine Hausverwaltung schon beim Besichtigungstermin allen Interessenten einen Zettel mit Datenschutzhinweisen aushändigen. Die Mietinteressenten bringen eine Selbstauskunft mit und übergeben somit bereits erste Daten. In der Praxis ist das allerdings für die meisten ein zu hoher bürokratischer Aufwand.

Verwalter gehen der Informationspflicht daher in der Regel anders nach: per Datenschutzerklärung auf der Unternehmenswebsite. "In der Regel genügt das", sagt Rechtsanwältin Gündel. Wichtig sei nur, dass Hausverwaltungen Mieter und Eigentümer auf die Homepage verweisen, etwa über eine Email-Signatur. Hausverwaltungen sollten zusätzlich bei Wohnungsbesichtigungen einen Zettel mit Verweis auf die Homepage und die Datenschutzerklärung auslegen. Auch wer nur mündlich mit seinen Mietern kommuniziert, sollte auf die Homepage mit der Datenschutzerklärung verweisen.

Recht auf Auskunft und Berichtigung von Daten

Art. 12 bis 23 DSGVO regelt die Betroffenenrechte. Hausverwaltungen müssen diese geltend machen und dafür konkrete Arbeitsabläufe festlegen. Betroffene dürfen jederzeit um Auskunft bezüglich ihrer Daten bitten und fehlerhafte Angaben berichtigen lassen. Die Verwaltung muss dann innerhalb von einem Monat reagieren und Informationen bereitstellen oder verbessern.

Art.30 DSGVO schreibt Verantwortlichen vor, ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten zu führen. Hier wird standardmäßig aufgelistet:

  • welche Datenkategorien sie jeweils erheben – zum Beispiel personenbezogene Daten wie Name, Adresse und Geburtsdatum sowie Einkünfte und Kontodaten,
  • welche Person oder Fachabteilungen die Daten ermitteln, an wen sie diese weitergeben und wer Zugriff darauf hat, auch im außereuropäischen Ausland. Vorsicht: Mitarbeiter übermitteln unter Umständen bereits dann Daten ins Ausland, wenn sie Software von US-Firmen auf ihren Computern haben;
  • was der Zweck der jeweiligen Datenverarbeitung ist, etwa das Zustandekommen eines Mietverhältnisses und
  • welche Löschfristen es für die verschiedenen Datenkategorien gibt.

Daten, die das Mietverhältnis betreffen

Hausverwaltungen hantieren bei vielen verschiedenen Arbeitsschritten mit Daten – sei es bei der Mieterauswahl, beim Abschluss des Mietvertrags, bei der Betriebskostenabrechnung sowie bei der Mieterhöhung und bei einer Modernisierungsmaßnahme. Für jeden dieser Prozesse protokolliert die Verwaltung im Verzeichnis alle Datenverarbeitungstätigkeiten, etwa in Form einer Excel-Tabelle, die sie nur dann aktualisieren muss, wenn sich an den Prozessen etwas ändert. Es gibt Muster, die beim Erstellen eines solchen Verzeichnisses helfen können.

Gündel rät Immobilienverwaltungen, sich zusätzlich Hilfe zu holen: Falls die Datenschutzaufsichtsbehörde prüfen kommt, sollte dieses Verzeichnis vorliegen. Hausverwaltungen sind im Übrigen verpflichtet, auf Anfrage mit der Aufsichtsbehörde zusammenarbeiten, schreibt Art. 31 DSGVO vor.

DSGVO: Bei Verstoß drohen Bußgelder

Hausverwaltungen sollten Datenschutzregeln ernstnehmen, andernfalls kann es teuer werden. Das Bußgeld für Datenschutzverstöße liegt in Deutschland bei bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Dass das keine leeren Drohungen sind, zeigt der Fall Deutsche Wohnen: Gegen den Wohnungskonzern ist 2019 das bislang höchste Bußgeld für einen Datenschutzverstoß verhängt worden.

"Damit es so weit kommt, muss schon ein schwerwiegender Datenschutzverstoß vorliegen", sagt Juristin Gündel. In der Regel belaufen sich die Bußgelder eher im vier- bis fünfstelligen Bereich. "Das Ganze soll wehtun und einen abschreckenden Effekt haben." Ein typisches Beispiel für einen kleinen Verstoß sind Rundmails, in denen Hausverwaltungen alle Eigentümer in cc setzen, sodass ihre Email-Adressen für alle ersichtlich sind. Solche Verstöße werden zwar oftmals nicht mit einem Bußgeld geahndet, doch Hausverwaltungen sollten lieber sichergehen und auch vermeintliche Lappalien auf dem Schirm haben.

Ein Datenschutzverstoß, den Mandanten Gündel und ihren Kollegen oft vorlegen, hängt mit dem Recht auf Auskunft zusammen. Wenn Mieter oder Eigentümer die Hausverwalter um Auskunft bezüglich ihrer Daten bitten, müssen diese innerhalb von einem Monat reagieren. Passiert das nicht, kann ein Bußgeld drohen.

Wann müssen Mieterdaten gelöscht werden?

Mieter haben ein Recht darauf, dass ihre Daten nach bestimmten Fristen gelöscht werden, sprich: ein Recht auf Vergessenwerden. Auf der Gegenseite müssen sich Immobilienverwaltungen an bestimmte Aufbewahrungs- und Löschfristen halten.

Die Löschfristen hängen von der Art der Daten und vom Zweck der Datenverarbeitung ab. Umgekehrt gibt es gesetzliche Aufbewahrungsfristen, bestimmte Daten müssen Hausverwaltungen also für einen gesetzten Zeitraum aufbewahren. Orientierung bietet hier § 147 Abgabenordnung (AO). Steuerlich relevante Unterlagen müssen Verwaltungen zehn Jahre aufbewahren, Handels- und Geschäftsbriefe sechs Jahre.

In der Praxis bedeutet das:

  • Für Mietverträge gilt die Zehn-Jahres-Frist.
  • Für Betriebskostenabrechnungen, Modernisierungs- und Mängelangelegenheiten sowie für Mieterhöhungen gilt die Sechs-Jahres-Frist.
  • Kontodaten sollten Hausverwaltungen noch eher zu löschen, hier gehen die Datenschützer von einer Löschfrist von sechs Monaten nach Beendigung des Mietverhältnisses aus.

Unter bestimmten Umständen können Mieter und Eigentümer laut Art. 17 DSGVO darüber hinaus verlangen, dass personenbezogene Daten sofort gelöscht werden, unter anderem:

  • sobald die ihren Zweck erfüllt haben,
  • sobald die betroffene Person ihre Einwilligung widerruft oder Widerspruch dagegen einlegt. Vorausgesetzt, es gibt keine anderen berechtigten Gründe, die Daten zu erheben,
  • sofern die Daten gar nicht erst hätten erhoben werden dürfen.

Rechtsanwältin Gündel empfiehlt Hausverwaltungen, sich das Löschen von Daten als regelmäßige Aufgabe im Terminkalender einzutragen.

Schlagworte zum Thema:  Mieter, Bußgeld, Vermieter, Datenschutz, Hausverwalter, Datenschutz-Grundverordnung, WEG, WEG-Verwalter, WEG-Verwaltung, Eigentümergemeinschaft
Meistgelesene Beiträge
Neueste Beiträge
Zum Haufe Shop
Zum Thema Wirtschaft & Politik
Daten-Speicherung: Videoüberwachung und DSGVO-Vorgaben: Rechtsgrundsätze und -pflichten
Videoüberwachung im Freien durch Kameras

Videoüberwachung wird sowohl im öffentlichen Raum als auch am Arbeitsplatz immer öfter eingesetzt. Ziel ist meist die Erhöhung der Sicherheit, doch permanente Bildaufzeichnung bedeutet auch einen weitgehenden Eingriff in die Grundrechte der betroffenen Personen. Zulässig ist sie nur unter strengen DSGVO-Vorgaben, bei Verstößen drohen hohe Bußgelder.
Datenschutz: Was Arbeitgeber beim Thema Mitarbeiterfotos beachten müssen
Firmenfeier Betriebsfeier

"Bitte lächeln!": Bei Firmenfeiern oder Betriebsausflügen werden häufig Fotos und Videos von den Beschäftigten gemacht. Eine schöne Erinnerung, die von Unternehmen gerne zu Werbezwecken auf ihrer Homepage oder in den sozialen Medien verwendet wird. Die Folge sind immer häufiger Schadensersatzklagen wegen Datenschutzverstößen. Was müssen Arbeitgeber beachten, wenn sie Aufnahmen von Mitarbeitenden verwenden möchten?
Rechtssicher und effizient: Praxisfälle für den WEG-Verwalter
Praxisfälle für WEG-Verwalter

Vom Eigentümerwechsel über die Beschlusssammlung bis hin zu baulichen Veränderungen: Dieses praktische Werk zeigt, wie Immobilienverwalter:innen den Spagat zwischen Theorie und Praxis bewältigen können. Es stellt Fallbeispiele sowie typische Probleme vor und zeigt Lösungswege auf.
Sanktionen bei Datenschutzverstößen
Sanktionen bei Datenschutzverstößen

Zusammenfassung Überblick Sanktionen bei Datenschutzverstößen können sich auf öffentlich-rechtlicher (Geldbußen und Freiheitsstrafen) oder privatrechtlicher Grundlage (Schadenersatz wegen immaterieller Schäden) ergeben. 1 Allgemeines Selbst wenn eine ...

4 Wochen testen
Bleiben Sie immer Up-to-date mit dem haufe.de ImmobilienWirtschaft Newsletter - kostenlos und unverbindlich